Linux

`你是否曾经拥有一个梦
    ——你的计算机
         可以自动为你干活？
或许，并非因为
    你刚看了终结者。
然而，除此之外
    脚本和任务自动化
        是每个高级用户追寻的梦
如果今天
    有许多的解决方案
        可以满足这个目标
那么
    有时候
       就难以从那众多之中采撷那
       简洁、聪明而又高效的一个
我
    不能假装
       是我自己发现了它
而与此同时
    却偏爱着那个
       整洁的软体——xdotool
其方法是如此直观
    正如它作为X11自动化工具的表露
转换思想
    xdotool可以通过读取文本文件
       模拟击键的旋律
           以及鼠标的曼舞`

让Xdotool在Linux定居

对于Ubuntu，Debian或者Linux Mint，你能够只做：

$ sudo apt-get install xdotool

对于Fedora，请使用yum命令：

$ sudo yum install xdotool

对于CentOS用户，可以在EPEL repo中找到该包。在启用EPEL仓库后，只要使用上面的yum命令就可以达成你的愿望。

对于Arch用户，可在Community仓库中找到该包：

$ sudo pacman -S xdotool

如果你还是找不到你的发行版的对应xdotool，你可以从它的官方站点下载。

Xdotool基本功

虽然xdotool是那样的直观，但它仍然是个脚本程序。因此，为了要正确地使用它，你还是得了解它的语法。不过敬请放心，相对于程序的功能而言，语法还是比较简单易学的。

首先，模拟击键是很容易的。你可以从终端敲入下面的命令：

$ xdotool key [name of the key]

如果你想要连接两个键，可以在它们之间使用“+”操作符。它看起来像这样：

$ xdotool key alt+Tab

这两个组合键可以为你切换窗口。

要想让xdotool帮你输入，可以使用以下命令：

$ xdotool type ''

这些对于基本的击键而言已经足够了。但是，xdotool的众多长处之一，就是它可以获取特定窗口的焦点。它可以获取右边的窗口，然后在里面输入，所有你记录下的按键都不会人间蒸发，而是老老实实的如你所愿的出现在那里。要获得该功能，一个简单的命令可以搞定：

$ xdotool search --name [name of the window] key [keys to press]

该命令将在打开的窗口中搜索对应名称的窗口，并聚焦于该窗口，然后模拟击键。

来点更高级的，但很有用哦，xdotool可以模拟鼠标移动和点击，看这命令：

$ xdotool mousemove x y

你可以将光标定位到屏幕坐标（x，y）（像素）。你也可以使用“click”参数来组合：

$ xdotool mousemove x y click 1

这会让鼠标移动到（x，y），然后点击鼠标左键。“1”代表鼠标左键，“2”则是滚轮，“3”则是右键。

最后，一旦你这些命令根植于你脑海，你也许想要实际转储于文件来编辑并试着玩玩。鉴于此，就会有超过一个语句以上的内容了。你需要的就是写一个bash脚本了：

#!/bin/bash
xdotool [command 1]
xdotool [command 2]
etc

或者你可以使用：

$ xdotool [filename]

这里你将命令写入到一个独立的文件中，然后通过将文件名作为xdotool命令的参数。

意外收获

作为本文的一个意外收获，这里是xdotool的一个具体实例。你可能听说过，也可能没听说过Bing —— 微软的搜索引擎。在后面的实例中，你会看到你可能从没听过Bing奖励：一个程序，可以让你用Bing积分兑取亚马逊的礼物卡和其它的一些礼物卡（LCTT 译注：我是从来没听说过~）。要赚取这些积分，你可以每天在Bing上搜索累计达30次，每次搜索你都会获得0.5个积分。换句话说，你必须把Bing设为默认搜索引擎，并每天使用它。

或者，你可以使用xdotool脚本，在这个脚本中，会自动聚焦到Firefox（你可以用你喜欢的浏览器来取代它），并使用fortune命令生成一些随机单词来实施搜索。大约30秒之内，你的日常搜索任务就完成了。

#!/bin/bash
for i in {1..30}
do
  WID=`xdotool search --title "Mozilla Firefox" | head -1`
  xdotool windowfocus $WID
  xdotool key ctrl+l
  xdotool key Tab
  SENTENCE="$(fortune | cut -d' ' -f1-3 | head -1)"
  xdotool type $SENTENCE
  xdotool key "Return"
  sleep 4
done

下面来个小结吧：我真的很喜欢xdotool，即便它的完整功能超越了本文涵盖的范围。这对于脚本和任务自动化而言，确实是种平易的方式。负面的问题是，它可能不是最有效率的一个。但我要再说一遍，它忠于职守了，而且学习起来也不是那么麻烦。

你对xdotool怎么看呢？你是否更喜欢另外一个自动化工具，而不是它呢？为什么呢？请在评论中告诉我们吧。

via: http://xmodulo.com/2014/07/simulate-key-press-mouse-movement-linux.html

译者：GOLinux 校对： wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来源：https://linux.cn/article-3724-1.html

近来很多知名企业都出现了密码泄露，业内对多重认证的呼声也越来越高。在这种多重认证的系统中，用户需要通过两种不同的认证程序：提供他们知道的信息（如 用户名/密码），再借助其他工具提供用户所不知道的信息（如 用手机生成的一次性密码）。这种组合方式常叫做双因子认证或者两阶段验证。

为了鼓励广泛采用双因子认证的方式，Google公司发布了Google Authenticator，一款开源的，可基于开放规则（如 HMAP/基于时间）生成一次性密码的软件。这是一款跨平台软件，可运行在Linux, Android, iOS。Google公司同时也支持插件式鉴别模块PAM(pluggable authentication module)，使其能和其他也适用PAM进行验证的工具（如OpenSSH）协同工作。

在本教程中，我们将叙述集成OpenSSH和Google提供的认证器实现如何为SSH服务设置双因子认证。我将使用一款Android设备来生成一次性密码，本教程中需要两样武器：(1)一台运行着OpenSSH服务的Linux终端，(2)一台安卓设备。

在Linux系统中安装Google Authenticator

第一步需要在运行着OpenSSH服务的Linux主机上安装Google认证器。按照如下步骤安装Google认证器及其PAM模块。

用安装包安装 Google Authenticator

如果你不想自己构建 Google Authenticator，在几个 Linux 发行版上有已经编译好的安装包。安装包里面包含 Google Authenticator 二进制程序和 PAM 模块。

在 Ubuntu 上安装 Google Authenticator：

$ sudo apt-get install libpam-google-authenticator

在 Fedora 上安装 Google Authenticator：

$ sudo yum install google-authenticator

在 CentOS 上安装 Google Authenticator ，需要首先启用 EPEL 软件库，然后运行如下命令（LCTT 译注：EPEL 库中可能已经删除了该软件包，请使用源代码编译方式安装）：

$ sudo yum install google-authenticator

如果不想使用已经编译好的安装包，或者你的 Linux 发行版不在此列，可以自行编译：

在 Linux 上编译 Google Authenticator

首先，安装构建 Google Authenticator 所需的软件包。

在 Debian、 Ubuntu 或 Linux Mint 上：

$ sudo apt-get install wget make gcc libpam0g-dev

在 CentOS、 Fedora 或 RHEL上：

$ sudo yum install wget make gcc pam-devel

然后下载 Google Authenticator 的源代码，并按如下命令编译（已经从 Google Code 迁移到了 Github）。

$ wget https://github.com/google/google-authenticator/archive/master.zip
$ unzip master.zip
$ cd google-authenticator-master/libpam
$ ./bootstrap.sh
$ ./configure
$ make

如果构建成功，你会在目录中看到 pam_google_authenticator.so 和 google-authenticator 两个文件。

最后，将 Google Authenticator 安装到合适位置。默认会安装到 /usr/local/lib/security 下，根据你的系统不同，你可能需要将其符号链接到 pam 库的位置（比如 CentOS 7 会在 /usr/lib64/security）。

$ sudo make install

排错

当编译 Google Authenticator 时出现如下错误：

fatal error: security/pam_appl.h: No such file or directory

要修复这个问题，请安装如下依赖包。

在 Debian、 Ubuntu 或 Linux Mint 上：

$ sudo apt-get install libpam0g-dev

在 CentOS、 Fedora 或 RHEL 上：

$ sudo yum install pam-devel

当Google认证器安装好后，你需要在Linux主机上创建验证密钥，并且在安卓设备上注册，注意这项配置操作是一次性的。我们将详细叙述如何完成这些操作：

生成验证密钥

在Linux主机上运行Google认证器

$ google-authenticator

你将看到一个QR码，它使用如下图形表示我们数字形态的密钥。一会我们要用到它在安卓设备上完成配置。

Google认证器会问一些问题，如果你不确定，就回答”Yes”。这个应急备用验证码(图中 emergency scratch codes）可以在你由于丢失了绑定的安卓设备的情况下（所以不能得到生成的一次性密码）恢复访问。最好将应急备用验证码妥善保存。

在安卓设备上运行Google认证器

我们需要在安卓设备上安装Google Authenticator app才能完成双因子认证，到Google Play下载并安装一个。在安卓设备上运行Google认证器，找到下图所示中的配置菜单。

你可以选择”Scan a barcode” 或者”Enter provided key”选项。”Scan a barcode”允许你扫描QR码来完成密钥的输入，在此可能需要先安装扫描软件Barcode Scanner app。如果选择”Enter provided key”选项，你可以使用键盘输入验证密钥，如下图所示：

无论采用上述两种选项的任何方式，一旦成功，你将看到注册成功提示和一次性密码，如下图所示：

为SSH服务器用Google认证器

最终我们需要修改两个文件来完成集成Google认证器和OpenSSH服务这临门一脚。

首先，修改PAM配置文件，命令和需添加的内容如下：

$ sudo vi /etc/pam.d/sshd

auth required pam_google_authenticator.so

然后打开SSH配置文件，找到参数ChallengeResponseAuthentication，并启用它。

$ sudo vi /etc/ssh/sshd_config

ChallengeResponseAuthentication yes

最后，重启SSH服务。

在 Ubuntu、 Debian 和 Linux Mint 上：

$ sudo service ssh restart

在Fedora （或 CentOS/RHEL 7）上：

$ sudo systemctl restart sshd

在CentOS 6.x或 RHEL 6.x上：

$ sudo service sshd restart

不要退出当前的 ssh 链接，大多数 Linux 发行版重启 ssh 服务并不会中断当前已经建立的 ssh 连接。另外开个窗口去重新连接 ssh 服务，如果遇到问题，还可以在原来的 ssh 连接下修改和恢复。

验证双因子认证

在绑定的安卓设备上运行Google认证器，获得一个一次性验证码，该验证码30秒内有效，一旦过期，将重新生成一个新的验证码。

现在和往常一样，使用SSH登录终端

$ ssh user@ssh_server

当提示你输入验证码的时候，输入我们刚获得的验证码。验证成功后，再输入SSH的登录密码。

双因子认证通过在用户密码前新增一层来有效的保护我们脆弱的用户密码。你可以使用Google认证器来保护我们其他的密码，如Google账户, WordPress.com, Dropbox.com, Outlook.com等等。是否使用这项技术，取决于我们自己，但采用双因子认证已经是行业的大趋势了。

via: http://xmodulo.com/2014/07/two-factor-authentication-ssh-login-linux.html

译者：nd0104 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来源：https://linux.cn/article-3725-1.html

前面一篇文章《最近架构随想》，我提到架构设计的一些构想，其实也是对之前项目经验的一些归纳及总结。今天我们就以权限系统作为切入点，谈一谈怎么设计权限系统以及怎么做到系统具有以下特性：

1. Organized：如果系统组织比较好，可以起到事半功倍的效果。
2. Encapsulated：对功能，结构，数据进行有效的封装，会使系统维护变得更加容易。
3. Reusable：对常用功能以及组件进行有效的封装，可以使系统变得结构清晰且方便维护。
4. Extensible：在设计系统的时候，如果很好的遵守OO的设计理念（OO的五大原则SOLID），即使系统做得很大，也会像火箭一样直冲云霄！
5. Replaceable：在很多时候我们需要考虑到系统，组件或者功能的可替换性，因为需求是会变的。
6. Testable：做到系统的可测性，会大大帮助开发以及维护，对团队开发以及分工协作起着非常重要的作用。
7. Loose Coupling：隔离耦合是架构设计必须要考虑的一个因素，如果系统不能做到高内聚、低耦合，那么在维护，升级，新功能开发方面就会是一场噩梦！
8. High Performance：高性能是系统设计必须重视的要点，用户不可能忍受简单页面加载超过十秒，也不可能接受页面操作频繁卡死的情形，所以在架构设计的时候必须从数据库，逻辑，服务以及UI进行合理的优化。
9. Scalability：如果能做到前面的几点，那么我有理由相信你的系统一定具备Scalability。
10. Enjoy Your Life：最后一点也是最重要的一点，不要忙碌于重复的码农工作，喝杯咖啡，享受代码，早点回家，陪老婆、陪小孩，环球旅游，享受生活！

废话半天，下面就开始看图说话环节：

架构设计图：

部署及组件图：

详细解决方案：

01_Client：存放UI相关的项目，比如Winform, WPF，ASP.NET， Silverlight，ASP.NET MVC或者相关的Web Model及View Model项目。

02_Hosting：存放与Service相关的项目，可以是Direct Service，Remoting Service，Web Service，WCF Service或者Web API Service 。

03_Domain：业务逻辑相关的所有实体以及操作（根据OO的思想设计类以及类之间的关系）。

04_Infrastructure：非业务方面的功能框架 （Data，Common，DataContract，AOP， IOC，Logging，Encryption，Email）。

05_Database：数据库项目（包含所有数据库脚本，方便开发，部署以及维护）。

06_Tests：所有测试项目（数据访问测试，框架测试，业务逻辑测试，服务测试以及View Model测试）。

07_ReferenceLibs：项目相关的外部引用。

08_Tools：一些简单的工具，方便开发，测试以及部署。

各层执行序列 (调用Service之前需要调用Service Adapter，然后根据项目配置来决定调用WCF Service，Web API Service 还是直接DLL引用)：

权限系统设计 （支持多系统，Module多层级，Group多层级，多用户来源，功能权限，数据权限等）：

权限系统数据库关系图（三个中心点：Users, Roles, Paths）：

权限系统所有表（包括主要表以及备份表，主要是针对中小型项目，如果大型项目则要采用分库，分表以及分区的策略）：

数据库项目——脚本注意事项以及如何一键执行所有数据库脚本（方便管理数据库脚本并且对团队开发以及分工协作帮助很大）：

代码生成器——T4完全生成数据库，业务实体，业务层，服务层以及UI代码 （之前也用Winform和WPF写过代码生成器，这是第一次使用T4生成整个项目，感觉非常好用，并且随时修改随时使用，而且还可以根据项目进行定制化）。

来源：http://www.cnblogs.com/KnightsWarrior/p/ACL.html

问题:我安装了一个程序到/usr/local/bin目录下，这个程序需要root权限才能执行，当我用sudo去执行它时，收到”sudo: XXXXX: command not found”的错误提示，不知道为什么/usr/local/bin没有被包含到PATH环境变量下面来，我该如何解决这个问题？

当你使用sudo去执行一个程序时，处于安全的考虑，这个程序将在一个新的、最小化的环境中执行，也就是说，诸如PATH这样的环境变量，在sudo命令下已经被重置成默认状态了。所以当一个刚初始化的PATH变量中不包含你所要运行的程序所在的目录，用sudo去执行，你就会得到”command not found”的错误提示。

要想改变PATH在sudo会话中的初始值，用文本编辑器打开/etc/sudoers文件，找到”secure_path”一行，当你执行sudo 命令时，”secure_path”中包含的路径将被当做默认PATH变量使用。

添加所需要的路径(如 /usr/local/bin）到”secure_path”下，在开篇所遇见的问题就将迎刃而解。

Defaults    secure_path = /sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin

这个修改会即刻生效。

via: http://ask.xmodulo.com/define-path-environment-variable-sudo-commands.html

译者：nd0104 校对：Caroline

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来源：https://linux.cn/article-3737-1.html

　　本文对目前数种分布式文件系统进行简单的介绍。当前比较流行的分布式文件系统包括：Lustre、Hadoop、MogileFS、FreeNAS、FastDFS、NFS、OpenAFS、MooseFS、pNFS、以及GoogleFS。

　　Lustre（www.lustre.org）

　　lustre是一个大规模的、安全可靠的，具备高可用性的集群文件系统，它是由SUN公司开发和维护。该项目主要的目的就是开发下一代的集群文件系统，可以支持超过10000个节点，数以PB的数量存储系统。

　　lustre是开放源代码的集群文件系统，采取GPL许可协议，目前在集群计算机里，计算机与磁盘间数据交换的提升无法跟上微处理器和内存增长的速 度，从而也拖累了应用程序的性能，一种新兴的集群文件系统软件提高了I/O速度，可能降低企业购买存储设备的成本并改变企业购买存储的方式，集群文件系统 已经在大学、实验室和超级计算机研究中心里使用，而且即将进入通用商业计算市场。新的集群文件系统采用了开源的lustre技术，由美国能源部 (Department Of Energy）开发，惠普公司(HP）提供商业支持。它显著提高了输入输出（I/O)速度，目前已经在高校、国家实验室和超级计算研究中心产生了一定影 响，未来几年中，它很有可能进入普通的商业计算机领域。

　　运行在linux下,开发语言c/c++

　　Hadoop（hadoop.apache.com）

　　hadoop并不仅仅是一个用于存储的分布式文件系统，而是设计用来在由通用计算设备组成的大型集群上执行分布式应用的框架。

　　如下图是hadoop的体系结构：

　　授权协议apache,开发语言java，资源耗费有点大。

　　MogileFs（www.danga.com）

　　Mogile Fs是一个开源的分布式文件系统，主要特征包括

　　1、应用层的组件

　　2、无单点故障

　　3、自动文件复制

　　4、具有比RAID更好的可靠性

　　5、无需RAID nigukefs支持 ，运行在linux下。

　　FreeNAS（www.openqrm.org）

　　FreeNAS是网络附加存储(NAS)服务专用操作系统(FreeBSD的简化版 )。基于m0n0wall防火墙，该系统通过提供磁盘管理及RAID软件，可让用户home将PC转换为NAS服务器，支持FTP/NFS/RSYNC/CIFS/AFP/UNISON/SSH sourceforge.net/pro协议，旨在让人们重新使用旧硬件.

　　FastDFS（code.google.com/p/fastdfs）

　　FastDFS是一个开源的分布式文件系统，它对文件进行管理，功能包括:文件存储、文件同步、文件访问(文件上传、文件下载)等，解决了大容量存储和负载均衡的问题。特别适合以文件为载体的在线服务， 如相册网站，视频网站等等。FastDFS服务端有两个角色：跟踪器(tracker)和存储节点(storage)。跟踪器主要做调度的工作，在访问上起负载均衡的作用。存储节点存储文件，完成文件管理的所有功能：

　　存储、同步、和提供存取接口，FastDFS同时对文件的meta data进行管理。所谓文件的meta data就是文件的相关属性，以键值对(key value pair)方式表示，如：width=1024,其中的key为width，value为1024。文件meta data是文件属性列表，可以包含多个键值树。

　　开发语言c/c++，运行在linux系统下。

　　NFS（www.tldp.org/HOWTO/NFS-HOWTO/index.html）

　　网络文件系统是FreeBSD支持的文件系统中的一种，也被称为NFS。

　　NFS允许一个系统在网络上与它人共享目录和文件。通过使用NFS， 用户和程序可以象访问本地文件一样访问远端系统上的文件。它的好处是：

　　1、本地工作站使用更少的磁盘空间，因为通常的数据可以存放在一台机器上而且可以通过网络访问到。

　　2、用户不必在每个网络上机器里面都有一个home目录。home目录可以被放在NFS服务器上并且在网络上处处可用。

　　3、诸如软驱、CDROM、和ZIP之类的存储设备可以在网络上面被别的机器使用。可以减少整个网络上的可移动介质设备的数量。

　　开发语言c/c++,可跨平台运行。

　　OpenAFS（www.openafs.org）

　　OpenAFS是一套开放源代码的分布式文件系统，允许系统之间通过局域网和广域网来分享档案和资源。OpenAFS是围绕一组叫做cell的文件服 务器组织的，每个服务器的标识通常是隐藏在文件系统中，从AFS客户机登陆的用户将分辨不出他们在那个服务器上运行，因为从用户的角度上看，他们想在有识 别的Unix文件系统语义的单个系统上运行。

　　文件系统内容通常都是跨cell复制，一便一个硬盘的失效不会损害OpenAFS客户机上的运行。OpenAFS需要高达1GB的大容量客户机缓存， 以允许访问经常使用的文件。它是一个十分安全的基于kerbero的系统，它使用访问控制列表(ACL）以便可以进行细粒度的访问，这不是基于通常的 Linux和Unix安全模型。开发协议IBM Public，运行在linux下。

　　MooseFs（derf.homelinux.org）

　　Moose File System是一个具备容错功能的网路分布式文件统，它将数据分布在网络中的不同服务器上，MooseFs通过FUSE使之看起来就 是一个Unix的文件系统。但有一点问题，它还是不能解决单点故障的问题。开发语言perl,可跨平台操作。

　　pNFS（www.pnfs.com）

　　网络文件系统(Network FileSystem,NFS)是大多数局域网(LAN）的重要的组成部分。但NFS不适用于高性能计算中苛刻的输入书橱密集型程序，至少以前是这样。NFS标准的罪行修改纳入了Parallel NFS(pNFS），它是文件共享的并行实现，将传输速率提高了几个数量级。

　　开发语言c/c++,运行在linu下。

　　googleFs

　　据说是一个比较不错的一个可扩展分布式文件系统，用于大型的，分布式的，对大量数据进行访问的应用。它运行于廉价的普通硬件上，但可以提供容错功能，它可以给大量的用户提供性能较高的服务。google自己开发的。

来源：http://blog.sina.com.cn/s/blog_6fd323d10102v19j.html

DigitalOcean是云VPS主机市场中最炙手可热的新生儿。虽然没有提供像Amazon之类一样的综合服务业务，但DigitalOcean定位于中小型企业和开发者，已经成为基于Linux的最佳云VPS服务的强有力竞争者，这都得归功于它们具有竞争力的价格和用户友好的管理界面。

不管什么时候，当你需要一个面向网络的服务器用于你的个人项目，你都可以全速开动一个“水滴”（DigitalOcean中VPS实例的昵称），也可以在你不需要时杀掉它，没必要为了让你的VPS保持运作而烧光了你的钱袋。尽管DigitalOcean基于网络的管理界面已经十分高效，但对于那些命令行界面的死忠派，它还是提供了基于命令行界面的水滴管理工具，它叫tugboat。多亏了这个命令行工具，所有复杂的水滴管理任务都可以简单地转变成一个脚本来完成。

在本文中，我打算讲述怎样使用tugboat来从命令行对DigitalOcean水滴进行管理。

在Linux上安装tugboat

在Debian，Ubuntu或者Linux Mint上安装tugboat：

$ sudo apt-get install ruby-dev
$ sudo gem install tugboat

在Fedora上安装tugboat：

$ sudo yum install ruby-devel
$ sudo gem install tugboat

要在CentOS上安装tugboat，首先安装或升级到最新的Ruby，因为在CentOS 6.5以及更早的版本上，默认的Ruby不满足Tugboat所需的最小版本（1.9及更高版本）。安装Ruby 1.9及更高版本后，请按如下方式安装tugboat。

$ sudo gem install tugboat

tugboat首次使用配置

在安装完后，就该进行一次配置，其中包括授权tugboat访问DigitalOcean帐号。

转到https://cloud.digitalocean.com/api_access，并创建新的API密钥，记录客户ID和API密钥。

通过运行以下命令来启动授权过程：

$ tugboat authorize

在提示你输入客户ID和API密钥时，请输入。它会询问几个其它问题，目前你可以接受默认的回答。我们将会在后面自定义默认设置。

现在，让我们自定义默认水滴设置，以反映你典型的使用状况。要做到这一点，首先检查水滴提供的可用设置项（如，可用的镜像、区域、大小）。

运行以下命令，它会列出可用的水滴镜像。选取使用一个默认镜像，并记录相关的ID。

$ tugboat images --global

类似，从可用区域中选取一个默认的地理位置：

$ tugboat regions

同时，从可用的RAM大小中选择一个默认的水滴大小：

$ tugboat sizes

现在，把你的默认选择放到~/.tugboat中。例如，我在这里自定义了默认设置：区域在纽约，系统是Ubuntu 14.04，内存512MB。如果你想要通过密钥验证启用SSH，设置“ssh_user”为root，这个我很快会讲到。

$ vi ~/.tugboat

---
authentication:
  client_key: XXXXXXXXXXXXXXXXXXX
  api_key: XXXXXXXXXXXXXXXXXXXX
ssh:
  ssh_user: root
  ssh_key_path: /home/dev/.ssh/id_rsa
  ssh_port: '22'
defaults:
  region: '4'
  image: '3240036'
  size: '66'
  ssh_key: ''
  private_networking: 'false'
  backups_enabled: 'false'

创建并添加SSH密钥到DigitalOcean

要访问水滴实例，一个安全的方式是通过密钥验证的SSH连接到该实例。

事实上，你可以通过使用DigitalOcean来注册SSH公钥，为你的水滴实现自动启用密钥验证。下面告诉你怎么做。

首先，生成一个公/私密钥对（如果你还没有）。

$ ssh-keygen -t rsa -C "your@emailaddress.com"

假设生成的密钥对由~/.ssh/id_rsa（私钥）和~/.ssh/id_rsa.pub（公钥）构成，去将你的公钥上传吧，命令如下：

$ tugboat add-key [name-of-your-key]

你可以任意给你的密钥命名（如，“my-default-key”）。当出现提示时，输入公钥路径（如，/home/user/.ssh/id_rsa.pub）。在密钥上传完成后，运行以下命令来验证密钥是否正确添加：

$ tugboat keys

密钥也应该出现在DigitalOcean的SSH密钥页。如果你想要密钥自动使用到水滴中，添加密钥ID到~/.tugboat中。

ssh_key: '182710'

Tugboat的基本用法

这里列出了tugboat命令行的一些基本使用情况。

1. 使用默认设置创建新水滴。

   $ tugboat create

2. 列出所有活动水滴。

   $ tugboat droplets

3. 显示水滴的信息。

   $ tugboat info

1. 关闭水滴，并移除镜像。

   $ tugboat destroy

2. 关闭水滴，但保持镜像

   $ tugboat halt

3. 为水滴创建快照，水滴必须先关闭。

   $ tugboat snapshot

4. 调整水滴大小（增加或减少RAM大小），水滴必须先关闭。

   $ tugboat resize -s

  如果你想要了解特定命令的更多选项，运行：

$ tugboat help 

排障

1. 当我运行tugboat命令时，它出现以下错误。

   /usr/lib/ruby/site_ruby/1.8/rubygems/custom_require.rb:31:in `gem_original_require': /usr/lib/ruby/gems/1.8/gems/tugboat-0.2.0/lib/tugboat/cli.rb:12: syntax error, unexpected ':', expecting kEND (SyntaxError)

   Tugboat要求Ruby 1.9及更高版本，你需要升级Ruby来解决该问题。对于CentOS，请参考此教程

2. 当我试着用gem来安装Tugboat时，出现了下面的错误。

   /usr/local/share/ruby/site_ruby/rubygems/core_ext/kernel_require.rb:55:in `require': cannot load such file -- json/pure (LoadError)

  安装以下gem来修复该问题。

$ sudo gem install json_pure

via: http://xmodulo.com/2014/07/manage-digitalocean-vps-droplets-command-line-linux.html

原文作者：Dan Nanni

译者：GOLinux 校对：Caroline

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来源：https://linux.cn/article-3744-1.html

一、javascript 使用 unicode16 字符集，可以使用中文变量名和函数名

计算机使用 8 位(bit)二进制表示一个字节(Byte)，计算机内存最小寻址单位就是 1 字节。早期为了在计算机上使用同一的方式使用字符，使用无符号整数来标记字符。

ANSI（美国国家标准局）制订了ASCII（American Standard Code for Information Interchange，美国信息交换标准代码），使用一个字节大小的二进制数来编码每个字符。ASCII已经被国际标准化组织（ISO）定为国际标准，称为ISO 646标准。

一个字节为8位二进制，2的8次方为256，因此有256个字符可以用一个字节来表示(0~255)，但ASCII字符集只设计了128个字符（字母、数字、一些标点符号和控制字符），因此实际上只用到7位二进制，第八位设置为0，剩下的128个编码位置是闲置的。

有的计算机厂商可能会利用闲置的128个空位来制订一些字符的编码，称为OEM字符集。例如，IBM使用多出来的128位扩展了一个ASCII 扩展表，包含了一些控制符和制表符等等，被广泛使用在电子元件的数据通讯和存储中，但OEM字符集不是通用的标准。

为了编码更多的字符，2个研究字符编码的机构合并研究成果，制订了 unicode 字符集。unicode 字符集使用使用多个字节来为字符编码，按使用的字节数不同制订了不同方案，所有 unicode 编码方案前 1 个字节（256个码位）的编码对应的字符都是 ASCII 字符集中的字符。

目前 unicode 编码已经达到 64 位，使用 8 个字节标记一个字符。

如果每个字符用2个字节（16位二进制数）来标记，可以编码 65536 个字符（2 的16次方），这基本上已经可以标记世界上所有国家的语言符号，因此，在实际中通用的是UCS-2通用字符集（Universal Character Set，UCS），由ISO制定的ISO 10646（或称ISO/IEC 10646）标准所定义。UCS 为第一字节的128个空位增补了一个字符集，称为 C1控制符及拉丁文补充-1 (C1 Control and Latin 1 Supplement)。

UCS-2字符集编码法有17个位面，每个位面都用2个字节来标记字符，17个位面可以映射 1,112,064个字符，其中最常用最重要的是编号为 0 的位面，里面包含了最常用的字符编码，称为基本多国语言平面BMP（Basic Multilingual Plane）。

Unicode 第 0 平面（BMP）中的编码被划分为不同区段，各国文字符号、控制符、制表符、图形字符等 都有连续的分布，其中中文简繁体区段是 4E00-9FBF。

• 0000-007F：C0控制符及基本拉丁文 (C0 Control and Basic Latin)　　
• 0080-00FF：C1控制符及拉丁文补充-1 (C1 Control and Latin 1 Supplement)　　
• 0100-017F：拉丁文扩展-A (Latin Extended-A)　　
• 0180-024F：拉丁文扩展-B (Latin Extended-B)　　
• 0250-02AF：国际音标扩展 (IPA Extensions)　　
• 02B0-02FF：空白修饰字母 (Spacing Modifiers)　　
• 0300-036F：结合用读音符号 (Combining Diacritics Marks)
• 4E00-9FBF：CJK 统一表意符号 (CJK Unified Ideographs)
• (……还有很多国家语言和甲骨文等已经不用或极少使用的语言或字符的专用区段)

从第1位面开始，字符的unicode编码已经超出16位二进制数的范围，因此UCS-2无法使用2个字节直接编码BMP位面之外的字符。但是，在 UCS-2 编码中，区段 UD800 到 UDFFF 的码位是闲置的保留位，因此，可以使用这个区段中的码位通过一定的转换方式映射到其他位面的 unicode 编码。

在实际的字符传输和存储行为中，为了节省字节数，可能不会直接传输 unicode 编码，而是使用 Unicode转换格式（Unicode Transformation Format，简称为UTF），目前常见的 UTF格式有UTF-7, UTF-7.5, UTF-8, UTF-16, 以及 UTF-32，他们是由 ITTF（Internet Engineering Task Force，互联网工程任务组）组织进行标准化的，UTF-8 和 UTF-16 编码使用比较广泛。

UTF-16 编码：该编码法在 UCS-2 第0位面字符集的基础上利用 D800-DFFF 区段的码位通过一定转换方式将超出2字节的字符编码为一对16比特长的码元(即32bit,4Bytes)，称作代理码对 (surrogate pair)。

例如字符“”，他处于编号’2’的位面(总共17个位面,位面编号为16进制数0-10，第0位面可以舍去编号0直接用4位16进制数编码)，码位是A6A5，即unicode编码为 2A6A5，它在UTF-16中的代理码对为 d869 dea5，但是通过 js 的charCodeAt()函数只能得出高位码对，但是这并不影响解码软件对字符编码进行定位，因为这些字符的代理码对都是成对地分布在  UD800-UDFFF 区段内的，并不存在交叉的现象，知道高位码对也可以简单地搜索到低位码对。

UTF-16 编码出现以前，UD800-UDFFF 区段的码位可能会被一些计算机产品设计者利用，而且其他位面的字符极少用到，因此，一些软件可能无法正确识别代理码对，这可能会导致一些BUG。例如，python 2.6 在 UNIX 平台上便无法正确识别代理码对。如果一个软件声称自己支持UCS-2，那么他很可能是不支持UTF-16的。

javascript 跟 java 一样使用UTF-16编码，因此， 实际上 javascript 程序中变量名和函数名可以使用ASCII 之外的字符，例如中文，不过网页文件保存的编码格式要注意，使用的编码格式对字符编码的范围应当不小于 UTF-16，比如保存为 utf-8 编码。

function 试试看(){
  var 打个招呼 = {你好:'好你妹!'};
  alert(打个招呼.你好);
}
试试看(); 

二、字符编码格式及其在 javascript 中的使用

1、unicode 16进制编码

unicode 16 使用 16位二进制编码字符，但是其编码格式在书面上使用16进制(二进制写起来太长了)，在javascript中， u 加 4个16进制字符表示一个字符的编码（每个字节 8 位二进制对应2位十六进制，2^8 = 256 = 16^2），不足4位16进制的，高位用0补足，比如 u55B5 表示汉字 “喵”,字母 “a” 的 ASCII 码是10进制 97，表示成 16 进制 unicode 编码格式就是 u0061。试试打印出来： 

document.write('u55B5'); 
document.write('u0061');

2、javascript charCodeAt 和 String.fromChartCode 使用 10 进制编码

在 javascript 字符串的 charCodeAt 和 String.fromChartCode 中取得和使用的字节编码都是 10 进制的，因此在 document.write 和 这些方法配合使用时需要进行进制转换。另外要注意的是，如果一个变量保存了一个字符的 unicode() 编码，你想用 document.write() 打印到页面上就需要注意了，不要将’u’ 转义成 ‘\u’ ,如果转义了，需要使用 eval() 来执行，否则将直接把编码打印出来：

var code1 = '\u0061';
document.write(code1); // u0061
var code2 = 'u0061';
document.write(code2); // a

但是在表达式中，也许你想拼接出 unicode 编码后打印字符串，这就要注意了，因为在字符串中 u 后面必须接 4个十六进制字符才是合法的语法，所以不得不转义：

var code = "\u"+("0000"+('a').charCodeAt(0).toString(16)).slice(-4);
document.write(code); // u0061
document.write(eval('"'+code+'"')); //正确做法 ，注意eval 时加上引号，因为 document.write 接受的参数是字符串,document.write("u0061")，其中 u0061 是单个字符，而不是可以分割的多个字符组成的字符串 (  "\"+"u"+"0061" ), 而形如document.write(u0061) 的语句是个语法错误.

 试试下面代码

function u0061(){ console.log(123) }
u0061();
a();

3、javascript 中的单字节编码

在 js 中，可以使用 x 加 2位16进制字符标记一个单字节的字符，例如字符 ‘a’ 可以表示为 x61，用法类似u 加4位16进制编码。

document.write('x61');// a

u 加四位十六进制数 或 x 加2位十六进制数属于转义字符，在 js 字符串长度中只算 1 个，转义字符不能直接用于 HTML 文件(不会转换后输出，而是直接输出转义格式的字符串)，但可以用 document.write()打印出来，因为在 js 语法范围内，虽然表达方式不一样，但是转义字符和直接的字符字面量都是指同一个东西:

console.log("u0061"==='a'); //true 
('123|u55b5abc').length //12
('123|u55b5abc').split('') //["1", "2", "3", "|", "u", "5", "5", "b", "5", "a", "b", "c"]
('123u55b5abc').length //7
('123u55b5abc').split('') // ["1", "2", "3", "喵", "a", "b", "c"]

4、 xss 与 字符编码

当向页面显示用户输入的内容是，通常我们要过滤或转义 script 标签以避免 XSS 攻击，

但是，需要注意的是， u+16进制 、x+16进制 、字符实体如果出现在模板中的 HTML 标签属性中就需要特别注意了，他们会正确解码后才赋给标签的属性，例如：

document.body.innerHTML = '';

对标签属性之进行转义时，需要对注意，是比较下面2个做法：

document.body.innerHTML = 'click me';
document.body.innerHTML = 'click me';

5、八进制转义字符

js 字符串中， 开始后接正数，可能被解析为8进制转义字符。

一个八进制转义字符形成的条件是：斜线后面接的整数最长3位，至少1位，单个数字的字面值不大于8。

如果过不满足任意一项，都将结束一个字符的解释，开始新字符的解释。八进制转义字符的10进制数字字面值最大值为377，即 ‘377’ 被解析为一个字符，’378′ 被解析为2个字符： ’37’ 和 ‘8’ ：

'377'.length   //1
console.log('377')   // ÿ
'378'.length //2
'128'.length //2
console.log('127') //W
'W'.charCodeAt(0) //87
(87).toString(8) //'127'

来源：http://www.cnblogs.com/ecalf/archive/2012/09/04/unicode.html

Code Review即代码审查是软件开发中常用的手段，它和QA测试相比，更容易发现架构以及时序相关等较难发现的问题，还可以帮助团队成员统一编程风格，提高编程技能等。代码审查被公认为是一个提高代码质量的有效手段。目前很多开发团队虽然进行了代码审查，但是他们可能没有有效、合理的进行代码审查，以致没有很好达到代码审查的目的。近日，BIDS 贸易科技有限公司的CTOJim Bird 总结了关于代码审查的一些建议。现对这些建议进行了一个全面的梳理，具体内容如下：

1、代码审查不要太正式

目前，有很多研究表明正式代码的评审会议会延误开发进度和增加开发成本。尽管可能只需要几周的时间进行代码评审，但是只有4%的缺陷是在会议期间发现的，其余所有的权限是靠代码审查者自己发现和处理的。只有采用简短、轻量的代码审查才是有效的发现问题在代码检查,这样的代码审查更适合迭代、增量开发，为开发者提供更快的反馈。

2、代码审查人员要尽可能少

并不是代码审查人员越多就能发现越多Bug，只有合理数量的审查人员才能够更加有效的地审查代码。研究表明，平均来说，一个代码审查人员能够发现Bug的一半, 第二审稿人会发现剩余新问题的一半。多个人同2个人发现问题的数量没有太大差异，故两个人进行代码审查是比较合适的。另外，还由于社会惰性的存在，更多代码审查人员意味着多人在寻找同样的问题，使得审查人员积极性、主动性不高，更加不利于代码审查工作的有效进行。

3、需要有经验的开发者进行代码审查

研究充分表明，代码审查的有效性依赖于审查人的技能和对问题领域以及代码的熟悉程度。如果让新加入团队的成员进行代码审查的话，并不利于他们的成长，且对于代码审查来说也是一种非常糟糕的方式。只有擅长阅读代码、程序调试、非常熟悉语言、框架、对应的问题的人才最适合代码审查，才能够高效发现问题、提供更多有价值的反馈。新的、没有经验的开发者只适合检查代码的变化和使用静态分析工具并和另一位评论人员共同代码审查。

4、实质重于方式

完全按照编码规格标准进行的代码审查是一个浪费开发人员宝贵时间的方式。代码审查的实质是确认代码能够正确的运行，发现安全漏洞、功能错误、代码错误、设计失误、安全验证和防范、恶意代码等。而不是单单按照编码规范完全保证代码格式一致，而丢失了代码审查的实质。

5、合理安排Bug 和可维护性问题代码的审查时间分配

发现代码中的Bug是很难的，在别人的代码找到的Bug更难。研究表明，代码审查人员找到Bug和可维护性、可读性问题的比例是25:75，故消耗在了代码可读性、可维护性等问题上和Bug上的代码审查时间应该合理分配。

6、尽量使用静态代码分析工具以提高审查效率

工欲善其事，必先利其器。静态代码分析工具可以帮助程序开发人员自动执行静态代码分析，快速定位代码隐藏错误和缺陷；帮助代码设计人员更专注于分析和解决代码设计缺陷；显著减少在代码逐行检查上花费的时间，提高了软件可靠性并节省软件开发和测试成本。

7、二八定律处理高风险代码

审查所有的代码并没有太大的意义，应该把审查的重点放在高风险的代码和容易引起高风险的修改或者重构的代码上。旧而复杂、处理敏感数据、处理重要业务逻辑和流程、大规模重构以及刚加入团队的开发者实现的代码都是审查的重点。

8、从代码审查中尽量获得最大的收益

虽然代码审查是发现Bug、提高开发人员代码编写质量的重要方式，但是它也增加了代码开发成本。如果没有合理、有效的进行代码审查，将有可能影响项目进度和破坏团队文化。故我们要紧抓代码审查的实质性问题，尽早和经常性的进行非正式的代码审查；选择精而少的人员并运用二八定律审查高风险的代码，同时，还需要合理分配Bug以及可维护性问题的代码审查时间，才可以从代码审查中获得最大的收益。

来源：http://www.infoq.com/cn/news/2014/09/code-check

我为什么要谈KeepAlive

最近工作中遇到一个问题，想把它记录下来，场景是这样的： 

从上图可以看出，用户通过Client访问的是LVS的VIP， VIP后端挂载的RealServer是Nginx服务器。 Client可以是浏览器也可以是一个客户端程序。一般情况下，这种架构不会出现问题，但是如果Client端把请求发送给Nginx，Nginx的后端需要一段时间才能返回结果，超过1分30秒就会有问题，使用LVS作为负载均衡设备看到的现象就是1分30秒之后， Client和Nginx链接被断开，没有数据返回。原因是LVS默认保持TCP的Session为90s，超过90s没有TCP报文在链接上传输，LVS就会给两端发送RESET报文断开链接。LVS这么做的原因相信大家都知道一二，我所知道的原因主要有两点：

1.节省负载均衡设备资源，每一个TCP/UDP的链接都会在负载均衡设备上创建一个Session的结构， 链接如果一直不断开，这种Session结构信息最终会消耗掉所有的资源，所以必须释放掉。 2.另外释放掉能保护后端的资源，如果攻击者通过空链接，链接到Nginx上，如果Nginx没有做合适 的保护，Nginx会因为链接数过多而无法提供服务。

这种问题不只是在LVS上有，之前在商用负载均衡设备F5上遇到过同样的问题，F5的Session断开方式和LVS有点区别，F5不会主动发送RESET给链接的两端，Session消失之后，当链接中一方再次发送报文时会接收到F5的RESET, 之后的现象是再次发送报文的一端TCP链接状态已经断开，而另外一端却还是ESTABLISH状态。 

知道是负载均衡设备原因之后，第一反应就是通过开启KeepAlive来解决。到此这个问题应该是结束了，但是我发现过一段时间总又有人提起KeepAlive的问题，甚至发现由于KeepAlive的理解不正确浪费了很多资源，原本能使用LVS的应用放在了公网下沉区，或者换成了商用F5设备(F5设备的Session断开时间要长一点，默认应该是5分钟)。所以我决定把我知道的KeepAlive知识点写篇博客分享出来。

为什么要有KeepAlive？

在谈KeepAlive之前，我们先来了解下简单TCP知识(知识很简单，高手直接忽略)。首先要明确的是在TCP层是没有“请求”一说的，经常听到在TCP层发送一个请求，这种说法是错误的。TCP是一种通信的方式，“请求”一词是事务上的概念，HTTP协议是一种事务协议，如果说发送一个HTTP请求，这种说法就没有问题。也经常听到面试官反馈有些面试运维的同学，基本的TCP三次握手的概念不清楚，面试官问TCP是如何建立链接，面试者上来就说，假如我是客户端我发送一个请求给服务端，服务端发送一个请求给我。。。这种一听就知道对TCP基本概念不清楚。下面是我通过wireshark抓取的一个TCP建立握手的过程。（命令行基本上用TCPdump,后面我们还会用这张图说明问题）:

现在我看只要看前3行，这就是TCP三次握手的完整建立过程，第一个报文SYN从发起方发出，第二个报文SYN,ACK是从被连接方发出，第三个报文ACK确认对方的SYN，ACK已经收到，如下图：

但是数据实际上并没有传输，请求是有数据的，第四个报文才是数据传输开始的过程，细心的读者应该能够发现wireshark把第四个报文解析成HTTP协议，HTTP协议的GET方法和URI也解析出来，所以说TCP层是没有请求的概念，HTTP协议是事务性协议才有请求的概念，TCP报文承载HTTP协议的请求(Request)和响应(Response)。

现在才是开始说明为什么要有KeepAlive。链接建立之后，如果应用程序或者上层协议一直不发送数据，或者隔很长时间才发送一次数据，当链接很久没有数据报文传输时如何去确定对方还在线，到底是掉线了还是确实没有数据传输，链接还需不需要保持，这种情况在TCP协议设计中是需要考虑到的。TCP协议通过一种巧妙的方式去解决这个问题，当超过一段时间之后，TCP自动发送一个数据为空的报文给对方，如果对方回应了这个报文，说明对方还在线，链接可以继续保持，如果对方没有报文返回，并且重试了多次之后则认为链接丢失，没有必要保持链接。

如何开启KeepAlive

KeepAlive并不是默认开启的，在Linux系统上没有一个全局的选项去开启TCP的KeepAlive。需要开启KeepAlive的应用必须在TCP的socket中单独开启。Linux Kernel有三个选项影响到KeepAlive的行为：

1. net.ipv4.tcpkeepaliveintvl = 75
2. net.ipv4.tcpkeepaliveprobes = 9
3. net.ipv4.tcpkeepalivetime = 7200

tcpkeepalivetime的单位是秒，表示TCP链接在多少秒之后没有数据报文传输启动探测报文; tcpkeepaliveintvl单位是也秒,表示前一个探测报文和后一个探测报文之间的时间间隔，tcpkeepaliveprobes表示探测的次数。

TCP socket也有三个选项和内核对应，通过setsockopt系统调用针对单独的socket进行设置：

1. TCPKEEPCNT: 覆盖 tcpkeepaliveprobes
2. TCPKEEPIDLE: 覆盖 tcpkeepalivetime
3. TCPKEEPINTVL: 覆盖 tcpkeepalive_intvl 

举个例子，以我的系统默认设置为例，kernel默认设置的tcpkeepalivetime是7200s, 如果我在应用程序中针对socket开启了KeepAlive,然后设置的TCP_KEEPIDLE为60，那么TCP协议栈在发现TCP链接空闲了60s没有数据传输的时候就会发送第一个探测报文。

TCP KeepAlive和HTTP的Keep-Alive是一样的吗？

估计很多人乍看下这个问题才发现其实经常说的KeepAlive不是这么回事，实际上在没有特指是TCP还是HTTP层的KeepAlive，不能混为一谈。TCP的KeepAlive和HTTP的Keep-Alive是完全不同的概念。TCP层的KeepAlive上面已经解释过了。 HTTP层的Keep-Alive是什么概念呢？ 在讲述TCP链接建立的时候，我画了一张三次握手的示意图，TCP在建立链接之后， HTTP协议使用TCP传输HTTP协议的请求(Request)和响应(Response)数据，一次完整的HTTP事务如下图：

各位看官请注意，这张图我简化了HTTP(Req)和HTTP(Resp)，实际上的请求和响应需要多个TCP报文。从图中可以发现一个完整的HTTP事务，有链接的建立，请求的发送，响应接收，断开链接这四个过程,早期通过HTTP协议传输的数据以文本为主，一个请求可能就把所有要返回的数据取到，但是，现在要展现一张完整的页面需要很多个请求才能完成，如图片,JS,CSS等，如果每一个HTTP请求都需要新建并断开一个TCP，这个开销是完全没有必要的，开启HTTP Keep-Alive之后，能复用已有的TCP链接，当前一个请求已经响应完毕，服务器端没有立即关闭TCP链接，而是等待一段时间接收浏览器端可能发送过来的第二个请求，通常浏览器在第一个请求返回之后会立即发送第二个请求，如果某一时刻只能有一个链接，同一个TCP链接处理的请求越多，开启KeepAlive能节省的TCP建立和关闭的消耗就越多。当然通常会启用多个链接去从服务器器上请求资源，但是开启了Keep-Alive之后，仍然能加快资源的加载速度。HTTP/1.1之后默认开启Keep-Alive, 在HTTP的头域中增加Connection选项。当设置为Connection:keep-alive表示开启，设置为Connection:close表示关闭。实际上HTTP的KeepAlive写法是Keep-Alive，跟TCP的KeepAlive写法上也有不同。所以TCP KeepAlive和HTTP的Keep-Alive不是同一回事情。

Nginx的TCP KeepAlive如何设置

开篇提到我最近遇到的问题，Client发送一个请求到Nginx服务端，服务端需要经过一段时间的计算才会返回， 时间超过了LVS Session保持的90s,在服务端使用Tcpdump抓包,本地通过wireshark分析显示的结果如第二副图所示，第5条报文和最后一条报文之间的时间戳大概差了90s。在确定是LVS的Session保持时间到期的问题之后，我开始在寻找Nginx的TCP KeepAlive如何设置，最先找到的选项是keepalivetimeout,从同事那里得知keepalivetimeout的用法是当keepalivetimeout的值为0时表示关闭keepalive,当keepalivetimeout的值为一个正整数值时表示链接保持多少秒，于是把keepalivetimeout设置成75s,但是实际的测试结果表明并不生效。显然keepalivetimeout不能解决TCP层面的KeepAlive问题，实际上Nginx涉及到keepalive的选项还不少，Nginx通常的使用方式如下：

从TCP层面Nginx不仅要和Client关心KeepAlive,而且还要和Upstream关心KeepAlive, 同时从HTTP协议层面，Nginx需要和Client关心Keep-Alive,如果Upstream使用的HTTP协议，还要关心和Upstream的Keep-Alive，总而言之，还比较复杂。所以搞清楚TCP层的KeepAlive和HTTP的Keep-Alive之后，就不会对于Nginx的KeepAlive设置错。我当时解决这个问题时候不确定Nginx有配置TCP keepAlive的选项，于是我打开Ngnix的源代码，在源代码里面搜索TCP_KEEPIDLE,相关的代码如下：

从代码的上下文我发现TCP KeepAlive可以配置，所以我接着查找通过哪个选项配置，最后发现listen指令的so_keepalive选项能对TCP socket进行KeepAlive的配置。

以上三个参数只能使用一个，不能同时使用， 比如so_keepalive=on, so_keepalive=off或者so_keepalive=30s::(表示等待30s没有数据报文发送探测报文)。通过设置listen 80,so_keepalive=60s::之后成功解决Nginx在LVS保持长链接的问题，避免了使用其他高成本的方案。在商用负载设备上如果遇到类似的问题同样也可以通过这种方式解决。

参考资料

《TCP/IP协议详解VOL1》–强烈建议对于网络基本知识不清楚同学有空去看下。

http://tldp.org/HOWTO/html_single/TCP-Keepalive-HOWTO/#overview

http://nginx.org/en/docs/http/ngx_http_core_module.html

Nginx Source code: https://github.com/alibaba/tengine

作者：李成栋阿里技术保障 架构工具资深工程师 个人微博 Bryton的岁月http://weibo.com/u/2474674454 

(题图来自：deviantart.net )

(感谢@肥颓：推荐的题图配曲，potral2的主题曲：http://t.cn/8sdXTf9 ，大家可以听听哦)

来源：http://blog.sina.com.cn/s/blog_e59371cc0102ux5w.html

如果你喜欢做‘排名前10’之类的列表但又有点不好意思这样说，那么告诉人们你热爱数据的探索。为了进一步打动他们，向他们解释你在命令行间的数据探索。但是不要告诉他们这其实很容易，以免你的好形象就这样被毁灭了哦！

在这篇文章中，我将基于GNU/Linux工具和’单列表格’（也就是我所说的简单列表）来做一些数据探索。如若想在这里通过命令行查看更多的信息，请查看’man’页，或者在“注释”部分求解。

密码

在第一个列表里探讨的是马克.伯内特2011著的关于10000 个最常用的密码汇编。这个列表是有序的、使用最频繁的，也是广为人知的阶乘“密码”的最常用来源之一，与“123456”并列排名第二。在这里，我把该列表放到一个名为“passwords”的文件中，并且使用head命令把排名前10的列出来了：

（伯内特解释他是如何收集这些密码的这里。你会注意到在列表中他把所有大写字母都转换成小写的。)

OK，所以’password’是伯内特列表的顶部。那么每个数字呢？

非常有趣的是！数字’1’出现在密码列表中的次数多于第二个最常用数字’2’的两倍，而且，除了0和9之外，这十个数字出现的次数以其数字顺序排列。而排名前10的字母呢？

在 passwords 文件中出现最频繁的字母依次是EARONISTLC，类似于EAIRTONSLC，这是至少一个出版的表格中提到的常用英文单词中出现的字频。这是否意味着，大部分密码其实是一些常见的英语单词呢，也许会参杂一些数字呢？

为了找到答案，我先把密码转换成一个纯字母的字符串列表，然后看看有多少字符串是可以在英语词典中找到的。

首先我将通过 sed 命令删除所有密码中的数字，然后删除所有的标点符号，再删除所有的空行。这将创建出一个纯字母的密码列表。然后我通过sort 和 uniq来修剪列表的排序，将重复项取出。（例如，’abc1234def’和’abc1!2!3!def!’都剔除剩下’abcdef’.) 。根据wc命令，我把1000个密码减至成8583个纯字母的字符串：

我经常使用一本便携式的英语字典，我通常会使用usr/share/dict/american-english，这个文件是来自Debian Linux的一个发行版本。它包含了99171个单词。我会先通过tr命令将这个词表转换为纯小写的，然后使用sort 和 uniq删除掉任何重复的条目排序（例如’A’ 和 ‘a’ 都将成为 ‘a’）。这样就将词表的数量减至97723项了：

我现在可以用comm命令及’-23’的参数来比较两个列表，并报告纯字母文件中而没有出现在字典中的单词：

总数是3137，所以至少有8583 -3137 = 5446个’核心’密码在伯纳特的纯小写字母列表中（大约63%）是简单的英语单词，或者是简单的单词附加一些数字或者标点符号。我之所以说“至少”，是因为在3137个字符串中有很大比例是只有经过轻微修改的纯英语单词、名称、或者在/usr/share字典中未能找到的名称修改而成的。在LA项中，例如，’labtec’, ‘ladyboy’, ‘lakeside’, ‘lalakers’, ‘lalala’, ‘laserjet’, ‘lasvegas’, ‘lavalamp’ 和 ‘lawman’.

地名

在之前的一篇Linux Rain article，我描述了如何建立一张37万项澳大利亚的地名表。有了它，我现在可以回答一些类似这样的关键问题“Round Hill是澳大利亚山脉中最流行的名字吗？”和“桑迪是沙滩之最，而岩溪峡谷呢？”

在地名表中地名字段的排名第2，所以这里有：

哇。我当时甚至没有关闭这个终端。（但是请注意到我是如何通过^string1^string2命令保存打印的内容。它重复着最后一个命令，但是用第2个字符串代替了第1个字符串。这是多么有用的BASH绝招！）

另一个亟待解决的问题是有多少地名有’Mile’在其中，例如’Six Mile Creek’,而他们的排名又是如何：

我在我的澳洲之旅发现有很多Dead Horse Creeks，因此有这些地名：

种类

第三个列表是探索我今年出版的1961-2010年期间澳大利亚新种类昆虫名。从这个列表中，我去掉所有“物种的绰号”，就是种群组合的第二部分，比如像智人（你和我）和西方蜜蜂（欧洲蜜蜂）。

（科技小贴士：这个昆虫表，可以从开发数据Zenodo库中https://zenodo.org/record/10481取得，包括亚种。在我的‘top 10’练习中，我首先分离出所有独特的种群组合，这样避免了重复的，例如蜜蜂iberica的亚种，以避免蜜蜂的绰号intermissa，等等。最后一个物种文件有18155个绰号。）

大多数人讲科学名称带玩笑式地用’-us’结局，如’Biggus buggus’。那么昆虫学家呢？有几个不错的，用命令行的方式获取字符串的最后2个字母，在这里我都会用到这2个：

耶！昆虫学家喜欢也‘-us’结尾。接下来，我不知道有多少物种是以我的家乡Tasmania州来命名的？（下面我想看看前100行，来确保我得到的所有’tasman’组合.)

那么昆士兰呢？

一般来说，昆虫物种名单中的前10名分别是什么呢？

嗯，除了明显的’australis’和’australiensis’，而地理方面的’occidentalis’（西部），另外昆虫学家创建7个在10个最流行列表中的绰号已经履行了其它昆虫学家的意愿。(绰号’commoni’是给澳大利亚蝴蝶和蛾专家Ian F.B. Common[1917-2006]的荣誉。)

演变

上面的这些命令用在简单列表上。要从简单的列表变成文本块，那就再次需要我们的命令行朋友了。例如，我把澳大利亚参议院于2014年7月16日的演讲保存成文本文件hansard。将hansard分割成一个单词列表：

现在看看讲话中的单词使用频率：

即将推出…

从多列的表中做’top 10’等排名，需要更多些的命令行工具。我将会在未来的文章中证明他们的用处。

via: http://thelinuxrain.com/articles/top-10-fun-on-the-command-line

原文作者：Bob Mesibov(Bob Mesibov 是塔斯马尼亚人，已经退休，热衷于 Linux tinkerer)

译者：disylee 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来源：https://linux.cn/article-3775-1.html

Linux发行版可以作为全功能打包，也可以按需分解，它驱动了从市内标示牌到市议会桌面系统在内的所有设备。

正是这种多样化，几乎可塑的质量，让Linux发行版，包括Ubuntu在内，在众多不同领域如此成功。

信息亭和单功能计算机

Ubuntu更为流行的使用之一，是在信息亭（kiosk）类计算机中。这些设备趋向于运行功能剥离的，或者功能有限的OS版本，只允许一个单一应用运行。

信息亭计算机可以设置提供短时的或者被动的访问，适用于网吧或只能让用户访问特定功能时（如网页浏览器）。

构建Ubuntu信息端

但你会怎样来创建这样一台计算机？好吧，不用去Google了。Linux开发者Oli Warner最近发布了两篇文章，介绍了使用Ubuntu 14.04和Google Chrome来创建单一功能的设备。

他的第一篇指南从零开始，使用Ubuntu Server和少量的软件包来创建一个轻量级的X和Openbox的组合，开机启动Chrome。该安装需要最多2GB的磁盘空间和仅仅512MB的内存来运行。

• 从零开始构建信息亭计算机

第二篇教程反其道而行，一步一步介绍了将一个现存的Ubuntu桌面安装转变为一个更轻巧的单一功能的变形版本。

• 将Ubuntu转换成信息亭计算机

两个指南都不是给那些胆小的新手的，而对于大多数中级水平的用户而言却是简单易行的。跟着指南来获得一次实用的安装体验，不要畏首畏尾，大胆去剥离一些深层次的包和进程，或者加固安全吧，特别是如果想要在公共环境中使用时。

via: http://www.omgubuntu.co.uk/2014/07/create-ubuntu-kiosk

作者：Joey-Elijah Sneddon 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来源：https://linux.cn/article-3776-1.html

一. 硬件连接：

红外接收器

vcc 连 pin1 (3.3v)

gnd 连 pin6(ground)

data连 pin12(gpio18)

红外发射器

vcc 连pin2(5v)

gnd连pin25(ground)

data连pin11(gpio17)

如果是2pin的红外发射器，就不用接vcc，为了提高稳定性，需要添加添加三极管和电阻，我们这里就偷懒了，只连接了2pin。

二.软件部分

1. 安装lirc软件组件，

sudo apt-get install lirc

2. 加载驱动

 sudo modprobe lirc_rpi

3. 测试lirc是否正常

sudo mode2 -d /dev/lirc0   # 按遥控上的任何键，查看是否有输出类似
space 4960669
pulse 2697
……
pulse 2697

 4. 修改/etc/lirc/hardware.conf  文件中的 DRIVER和DEVICE

 pi@raspberrypi ~ $ cat /etc/lirc/hardware.conf
# /etc/lirc/hardware.conf
#
# Arguments which will be used when launching lircd
LIRCD_ARGS=""
#Don't start lircmd even if there seems to be a good config file
#START_LIRCMD=false
#Don't start irexec, even if a good config file seems to exist.
#START_IREXEC=false
#Try to load appropriate kernel modules
LOAD_MODULES=true
# Run "lircd --driver=help" for a list of supported drivers.
DRIVER="default"
# usually /dev/lirc0 is the correct setting for systems using udev
DEVICE="/dev/lirc0"
MODULES=""
# Default configuration files for your hardware if any
LIRCD_CONF=""
LIRCMD_CONF=""

5. 我们发射的红外指令，都是通过先录制，然后发送的方法，录制的情况分2种，  

一种是风扇这种简单的指令，我们使用的办法，可以直接解析出命令，使用lirc的录制功能就可以完成   另一种就是例如空调这种比较复杂带逻辑的命令，这种无法直接录制，我们采用的办法是使用原始的录制方法，后面讲，这里先给大家提醒一下

6.  irrecord –list-namespace | grep -i key_  挑几个你喜欢的键名，后面会用到的

7.先讲讲一般的录制，风扇这种比较简单的设备遥控

sudo irrecord -d /dev/lirc0  ~/fan.conf,在用户自己的目录下生成文件 按两下回车后，进行录制，首先按住一个键等待点一直出现到结束 然后不停得按遥控器上不同的键，重复按也没有关系，反正就是要等到点一直出现到结束 第三步，输入你的键名，一定是前面看到的KEY_XX，回车后，按一下你想要录制的那个键 后面输入键名录制，重复进行，直接回车，录制结束，在目录下就生成了fan.conf，如果过程中出错，删掉文件，重新录制

有兴趣的同学，可以看看文件的具体内容，再结合红外的协议标准研究一下，这里就不细说了，有兴趣可以私下给我留言

8.新建一个目录/etc/lirc/remotes，用来存放我们录制的文件，并将文件放入其中

sudo cp  ~/fan.conf /etc/lirc/remotes/

并修改文件中name 为好记的字段，这个后面要用的

begin remote   name  fan
bits 16   flags SPACE_ENC|CONST_LENGTH 

 9.修改/etc/lirc/lircd.conf,添加如下：  

 include "/etc/lirc/remotes/fan.conf" 

10.重启 sudo /etc/init.d/lirc restart，加载配置文件

11.测试你的风扇吧：

sudo irsend SEND_ONCE  fan KEY_NEXT  

 fan：为第8步骤中提到的名字   KEY_NEXT：你的键值   (这些要是忘记了，可以再remotes下面的配置文件进行查看，如果失败，就看看你的硬件接法，以及元件好坏)

12.下面讲讲空调这种复杂的玩意，这种是无法直接录制的(希望大家在学习下面的内容前先，学习一下红外的协议标准，不然后面的东西，可能不知所以然) 红外协议：http://www.cnblogs.com/yulongchen/archive/2013/04/12/3017409.html

13. 学习了标准后，就明白了载波，以及频率的概念了，后头看看刚才sudo mode2 -d /dev/lirc0 的输出，那个就是我们的协议波形，space表示低电平，pulse表示      高电平，后面跟的是持续的时间，前面风扇用的是解析出来的命令，这里就要用的是这种原始的波形方式

14. 首先在开始录制空调的文件之前，我们需要有一个样板的conf文件，这个文件不能使用前面的文件，我们需要重新录制。

 irrecord  -f -d /dev/lirc0 ~/fanraw.conf

 -f –force : force raw mode 强制使用raw模式，使用前面步骤7的办法进行录制

完成后，大家看看文件内容与前面的有什么不同，并看看与mode2 打出来的信息的关联，估计聪明的孩子已经知道怎么回事了吧

15. raw模式录制的文件其实就是pulse和space的延续时间，然后lirc在按照这个时间进行发送

16.开工：

首先使用sudo mode2 -d /dev/lirc0，找到你的那个键的总行数，多按几次，保证是没有问题的去掉第一行，然后把后面的数字，一次看看之前的raw文件的样子，写进去，会代码的朋友，可以写个工具处理，嗖嗖的，或者使用linux的正则搞定

17.在文件中重复添加其他键的那些数值，还有键名，最后把name也修改了，include到lircd.conf中，重启程序 

18.测试一把，打完收工啦。

19.有问题的同学，可以给我留言进行询问

其中用到的参考资料，提供给大家：

• http://www.shumeipai.net/forum.php?mod=viewthread&tid=12646
• http://www.eeboard.com/bbs/thread-6940-1-1.html
• http://www.chengchao.name/wordpress/?p=284
• http://www.cnblogs.com/yulongchen/archive/2013/04/12/3017409.html
• http://blog.sina.com.cn/s/blog_9f14969901012jlf.html 

来源：http://blog.sina.com.cn/s/blog_8f689c6a0102v1jg.html

对于花大量时间在Linux屏幕前的系统管理员和Linux爱好者来说，网络/本地电台上的音乐可以极大提高生产力，你们知道吗？不管你们相信与否，，在工作环境中有适当的声音，如音乐或者闲聊声包围，都可以提高我们的创造力。如果你喜欢在音乐环境中工作，这个教程也许会对你有用。我将会向你展示如何在命令行中收听潘多拉（Pandora）在线电台（LCTT译注：Pandora Internet Radio是一个仅为美国、澳大利亚和新西兰提供自动音乐推荐的系统。详细介绍Prandoea电台）

正如你已经知道的，Pandora是最有名的在线电台服务之一，它包含无数的不同种类的免费音乐流，同时它还有一个强大的音乐推荐引擎。Pandora可以通过不同的方式访问，如：浏览器，桌面客户端或者手机Apps，开源社区还给出了另一种访问Pandora音乐服务的方法：Linux命令行。

pianobar是一个播放Pandora在线电台音乐的开源命令行音乐播放器。它有一个简单的终端接口，用于播放和管理音乐电台。同时还有其他包括歌曲评价，即将上线音乐列表，播放历史，自定义快捷键绑定，远程控制等功能。对于那些居住在不可访问Pandora音乐服务区域的用户（即美国、澳大利亚和新西兰以外的用户），Pianobar还配置了代理服务的支持。

在Linux中安装Pianobar

在Debian或者其他Debian的衍生品中，如Ubuntu或LinuxMint，Pianobar是一个已经编译好的软件包，因此安装Pianobar只是简单的输入如下命令：

$ sudo apt-get install pianobar

在Fedora中，Pianobar并不包含在基础的软件库中。因此，你需要通过源代码编译安装Pianobar。整个安装过程会有点麻烦，但是下面的教程将会实现Pianobar在Fedora系统中编译安装。该教程在Fedora20版本中测试通过。

首先，根据FFmpeg安装教程编译并安装FFmpeg。

然后，启用RPM Fusion源，并安装其他依赖软件：

 $ sudo yum install wget gcc-c++ pkgconfig gnutls-devel json-c-devel libgcrypt-devel make libao-devel faad2-devel libmad-devel libao faad2-libs

编译并安装Pianobar

$ wget http://6xq.net/projects/pianobar/pianobar-2014.06.08.tar.bz2
$ tar xvfvj pianobar-2014.06.08.tar.bz2
$ cd pianobar-2014.06.08
$ PKG_CONFIG_PATH=/usr/local/lib/pkgconfig:$PKG_CONFIG_PATH make
$ sudo make install

最后允许Paniobar加载安装在/usr/local/lib目录下的FFmpeg共享库，在/etc/ld.so.conf配置文件中添加下面一行：

/usr/local/lib

重载所有的共享库

$ sudo ldconfig

就这样，Pianobar已经在Fedora系统中安装完成。

在命令行中收听Pandora音乐

paniobar的基本用法是输入如下命令：

$ pianobar

该命令将会要求你登录到Pandora并从你的个性化电台列表中选择要收听的电台。在你选择电台后，音乐就开始自动播放。

按‘？’按键pianobar会列出一系列可用个命令，其中一些如下：

• s: 更换电台
• u: 查看即将上线音乐列表
• h: 查看播放历史
• n: 播放下一首
• b: 收藏歌曲或艺术家
• ( 或者 ): 减少或增加播放音量
• S: 暂停播放
• P: 恢复播放
• V：为当前收听的歌曲或者艺术家创建一个电台
• +或者-：查看上一首或者下一首歌曲
• a：添加音乐到电台
• q：退出pianobar

将Pianobar配置为自动安装

你可以在一个单独的配置文件中配置Pianobar的各项默认配置。例如：你可以将你的登录信息放到配置文件中，这样你就不用每次都要手动输入。下面是如何创建一个配置文件的示例：

$ mkdir -p ~/.config/pianobar

$ vi ~/.config/pianobar/config

# Example pianobar configuration file
# Pandora login info
user = your@email_address
password = plaintext_password
# Users who cannot access Pandora in their region can set a proxy.
control_proxy = http://user:password@host:port/
# Initial volume in dB: between -30 and +5
volume = 0
# Audio quality: high, medium or low
audio_quality = high

如需了解完整的配置选项，请参阅其man手册页。

$ man pianobar

远程控制Pianobar

Pianobar的另一个优秀特性是支持远程控制，你可以通过命令管道（FIFO）为Pianobar的一个运行实例发送命令。下面是远程控制Pianobar的示例：

首先在目录~/.config/pianobar下创建一个FIFO命令管道

$ mkfifo ~/.config/pianobar/ctl

然后运行Pianobar

现在，你可以通过使用echo命令发送任何的单字符命令键到Pianobar中，例如：播放下一首歌曲：

$ echo -n 'n' > ~/.config/pianobar/ctl

你可以很容易的将此配置扩展到远程计算机中，当Pianobar在主机X上运行，你可以从远程主机Y中通过SSH控制Pianobar,如下所示：

在主机Y中，运行：

$ ssh user@host_X "echo -n 'n' > ~/.config/pianobar/ctl"

当然，你希望为登录到主机X的SSH登录认证启用秘钥认证，这样你就不用每次都输入SSH密码。

当你想在树莓Pi上设置一个可以远程控制的在线电台播放器时，Pianobar的远程控制特性将会让你非常方便地实现该需求。

希望你和我一样喜欢Pianobar，若有什么想法，请在评论中告诉我。

via: http://xmodulo.com/2014/08/listen-to-internet-radio-command-line-linux.html

作者：Dan Nanni 译者：cvsher 校对：Caroline

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来源：https://linux.cn/article-3783-1.html

systemd 是一种新型init系统「译者注：每个操作系统都有一个启动程序，而Linux init是Linux系统操作中不可缺少的程序之一。所谓的init进程，它是一个由内核启动的用户级进程。内核自行启动（已经被载入内存，开始运行，并已初始化所有的设备驱动程序和数据结构等）之后，就通过启动一个用户级程序init的方式，完成引导进程。所以init始终是第一个进程（其进程编号始终为1）」，最早在Fedora中使用「译者注：据维基百科资料：http://en.wikipedia.org/wiki/Systemd#Adoption，最早使用 systemd 的是gentoo，最早使用并成为默认 init system 的是openSUSE。」，经过调整适应了其它许多发行版，例如RedHat、Suse和CentOS。

历史上，我们大部分人用过传统的SysV init 初始化脚本，它通常情况下在/etc/rc.d/init.d/文件夹下。这些脚本调用守护进程二进制代码，在后台fork一个进程。

尽管shell脚本非常的灵活，但是很难实现像superviseing（监管）进程和并行执行命令这样的任务。

通过对systemd的新式守护进程的介绍，我们发现systemd可以在runtime（运行时）更加简单的监管和控制守护进程，并且简化了监控的实现方式（implementation）。

systemctl命令是systemd团队一个非常好的首创。

这个命令能够显示更多的详细错误信息和包括启动错误在内的服务运行时错误。systemd引入了一个新术语：cgroups（控制组），它基本上是可被分层次安排的进程任务组。「译者注：这里简单介绍一下cgroup（control group）称为Containers，Containers着眼于资源的分配，利用configfs作配置。它有两个重要概念：第一是subsystem，内核可以给进程提供的服务/资源；第二是container，一个进程组，成员共享同样的一个或多个子系统分配限制。Containers是分层次的，一个container可以hold多个container。它的可取之处是创建了一个资源分配的框架，其它开发者可以利用这个框架去开发自己的资源分配patch，比如磁盘设备。」

如果仅仅通过原来的初始化系统，决定哪个进程是做什么的、属于哪个用户的变得越来越困难。

但是通过systemd，当一个进程派生其它进程时，这些子进程会被自动变成父进程控制组的成员，这样一来就可以避免继承的混乱。

有许多新的运行在 rhel / centos 7.0 上的 systemd 命令可以替代 sysvinit 的对应命令。你也可以下载 本文的 PDF 版本。

via: http://linoxide.com/linux-command/systemd-vs-sysvinit-cheatsheet/

作者：Bobbin Zachariah 译者：szrlee 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来源：http://linoxide.com/linux-command/systemd-vs-sysvinit-cheatsheet/

/proc是个虚拟文档系统，我们能够通过对他的读写操作做为和kernel实体间进行通信的一种手段。也就是说能够通过修改/proc中的文档，来对当前kernel的行为做出调整。

那么我们能够通过调整/proc/sys/vm/drop_caches来释放内存。操作如下：

1、查看 /proc/sys/vm/drop_caches的值，默认为0：

[root@server test]# cat /proc/sys/vm/drop_caches
0

2、手动执行sync命令：

[root@server test]# sync

sync 命令运行 sync 子例程。假如必须停止系统，则运行 sync 命令以确保文档系统的完整性。sync 命令将任何未写的系统缓冲区写到磁盘中，包含已修改的 i-node、已延迟的块 I/O 和读写映射文档。

3、将/proc/sys/vm/drop_caches值设为3

[root@server test]# echo 3 > /proc/sys/vm/drop_caches
[root@server test]# cat /proc/sys/vm/drop_caches
3

4、再来运行free命令：

[root@server test]# free -m
total used free shared buffers cached
Mem: 249 66 182 0 0 11
-/+ buffers/cache: 55 194
Swap: 511 0 511

发现现在的used为66MB，free为182MB，buffers为0MB，cached为11MB。有效的释放了buffer和cache。

有关/proc/sys/vm/drop_caches的用法在下面进行了说明：

/proc/sys/vm/drop_caches (since Linux 2.6.16) Writing to this file causes the kernel to drop clean caches, dentries and inodes from memory, causing that memory to become free. To free pagecache, use echo 1 > /proc/sys/vm/drop_caches; to free dentries and inodes, use echo 2 > /proc/sys/vm/drop_caches; to free pagecache, dentries and inodes, use echo 3 > /proc/sys/vm/drop_caches. Because this is a non-destructive operation and dirty objects are not freeable, the user should run sync(8) first.

Systemd是一种新的linux系统服务管理器。

它替换了init系统，能够管理系统的启动过程和一些系统服务，一旦启动起来，就将监管整个系统。在本文中，我们用的是安装有 systemd 216 版本的centos 7.0，其最新版本可以从 freedesktop.org 下载得到。

因为linux操作系统里出现的这一个新人，PID 1被“systemd”占据了，这能通过pstree命令看到。

[root@linoxide ~]# pstree

那么现在让我们来探索systemd擅长什么，它又有多大的可能性成为sysVinit的新的替代品。

1. 更快启动

sysvinit一次一个串行地启动进程。

而Systemd则并行地启动系统服务进程，并且最初仅启动确实被依赖的那些服务，极大地减少了系统引导的时间。

你可以用下面的命令看到系统引导用时：

[root@linoxide ~]# systemd-analyze

使用 time 参数也能够显示同样的内容。

[root@linoxide ~]# systemd-analyze time

如果你想以进程初始化所占用时间排序打印出所有正在运行的单元列表，那么systemd-analyze命令可以帮助你完成这个任务。

[root@linoxide ~]# systemd-analyze blame

上面的截屏只显示了小部分进程，你可以就像less分页器那样用箭头滚动列表。

2. systemctl 命令

systemctl命令是自systemd出现以来被广泛讨论的命令。你可以通过这个命令管理你的整个系统，让我们通过探究这个命令来更进一步。

2.1 列出单元

systemctl命令可以带上list-units，也可以什么选项都不带来列出所有正在运行的单元。

[root@linoxide ~]# systemctl

或

[root@linoxide ~]# systemctl list-units

2.2 列出失败的单元

运行失败的单元可以用带–failed选项的命令显示出来。

[root@linoxide ~]# systemctl --failed

你可以在这篇文章很多地方看到systemctl的用法。

3. 管理服务

让我们来看看systemd是怎么管理系统服务的。

3.1 激活的服务

所有被激活的服务可以同下面这条命令来查看。

[root@linoxide ~]# systemctl list-units -t service

3.2 服务状态

在sysvinit中，我们可以用“service”命令来管理服务，但在systemd中，我们用systemctl这个命令。 我们可以用下面这个命令来查看服务是否在运行。

[root@linoxide ~]# systemctl status dnsmasq

3.3 启动一个服务

用下面这条命令来启动服务。

[root@linoxide ~]# systemctl start dnsmasq

对应于service命令，这个命令不进行输出。但是毋庸置疑，我们可以通过再次查看这个刚刚被启动的服务的status（状态）来确认他是否被成功地启动了。

3.4 停止一个服务

现在聪明的你一定知道怎么在systemd下用命令来关闭服务了吧。

[root@linoxide ~]# systemctl stop dnsmasq

3.5 重启一个服务

类似的，重启系统服务是用‘systemctl restart’来管理的。

[root@linoxide ~]# systemctl restart dnsmasq

3.6 重新加载一个服务

在我们需要重新加载服务的配置文件又不想重启这个服务（例如ssh）时，我们可以用这个命令。

[root@linoxide ~]# systemctl reload sshd

虽然上述几个命令的语法是可以工作的，但是官方文档建议我们用下面这种语法形式来运行命令（LCTT 译注，即使用在服务名后面跟上“.service”的完整名称）：

[root@linoxide ~]# systemctl status dnsmasq.service

来源：https://linux.cn/article-3801-1.html

问题: 是否有一个命令可以快速地检查系统已经运行了多久? 也就是我怎么知道Linux系统最后的重启时间?

有许多方法来查询系统最后的重启时间。

方法一

第一种方法是使用last命令。

$ last reboot

这条命令实际上显示的是最近几天的系统运行时间。last原本被设计来显示某个特定用户的登录历史。在Linux中，有一个特别的“伪用户”称为reboot会在系统重启的时候立即自动登录。这样通过检查reboot用户的登录历史，你就可以检查最后的重启时间。

方法二

另外一个检测系统最后启动时间的方法是使用who命令带上‘-b’选项。

$ who -b

方法三

你同样可以使用uptime命令来推断系统最后的启动时间。uptime命令会显示当前的时间，同样也会显示系统已经运行的时间。从这些信息中，你就可以计算系统最后启动的时间了

$ uptime

via: http://ask.xmodulo.com/check-last-time-system-rebooted-linux.html

译者：geekpi 校对：Caroline

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来源：https://linux.cn/article-3804-1.html

大家好，我是邪恶君子！今天，邪恶就给大家分享一下，使用小小的一个netstat命令，就能让你检测出系统是否处于安全状态！！！

这篇文档，复杂°：简单；难易°：易。坚决让小白都看得懂，学得会，掌握牢，上手快！好，废话不多说，看招：

大家都知道，Linux上的web服务每天都要面临成千上万的连接，这些连接都是要遵循TCP协议的，这都是众所周知的（至于TCP协议，这里就不在过多的介绍，不懂的同学可以自己搜索，友好多）。既然都是TCP协议连接，那就不得不面临一个网路最大的安全问题，DOS攻击及DDOS攻击，这些攻击是没有办法抹除的，因为这是针对TCP协议本身的一个设计缺陷儿造成的。所以，这就要求运维人员，时刻监测系统安全，是否处于被DOS攻击状态。

那么是怎么监测及检测的呢？这就要用到我一开始就要提到的netstat命令。先简单的介绍一下netstat命令的主要作用：可以查看系统当前的连接状态，不管是TCP连接还是udp协议连接，以及每个连接的进程号、是哪个应用程序、连接所用的端口号，这些都可以陈列出来。是不是很强大。

在讲监测检测之前，先给大家在普及一个知识，那就是TCP连接的状态，TCP进行3次握手，其过程有很多状态，不同的连接状态，都有想对应的状态码，看下面列表：

• LISTEN：侦听来自远方的TCP端口的连接请求
• SYN-SENT：再发送连接请求后等待匹配的连接请求
• SYN-RECEIVED：再收到和发送一个连接请求后等待对方对连接请求的确认
• ESTABLISHED：代表一个打开的连接
• FIN-WAIT-1：等待远程TCP连接中断请求，或先前的连接中断请求的确认
• FIN-WAIT-2：从远程TCP等待连接中断请求
• CLOSE-WAIT：等待从本地用户发来的连接中断请求
• CLOSING：等待远程TCP对连接中断的确认
• LAST-ACK：等待原来的发向远程TCP的连接中断请求的确认
• TIME-WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认
• CLOSED：没有任何连接状态

大家最好一定要记住这些状态，因为运维人员在监控系统并发连接状态时，监控系统返回的也是这些状态码！

了解完这些后，还要再了解一个Linux系统的脚本中的一个小知识点，那就是“|”管道符，管道符的作用就不多说了，这里就简单提一下，因为下面的例子要用到。

好了，终于可以进入正题了，是不是都有点心急了呢 ？嘿嘿

以下这条命令将会显示出netstat的帮助信息，不懂的以及不太了解这个命令有哪些参数可用的都可以在这个命令的返回信息中看到：

#netstat --help

显示当前所有活动的网络连接：

#netstat -na

显示出所有处于监听状态的应用程序及进程号和端口号：

#netstat -aultnp

如果想对一个单一的进行查询，只需要在命令后面再加上“| grep $”。这里就用到了管道符，以及grep筛选命令，$代表参数，也就是你要查询的那个。

如要显示所有80端口的网络连接：

#netstat -aultnp | grep 80

如果还想对返回的连接列表进行排序，这就要用到sort命令了，命令如下：

#netstat -aultnp | grep :80 | sort

当然，如果还想进行统计的话，就可以再往后面加wc命令。如：

#netstat -aultnp | grep :80 | wc -l

其实，要想监测出系统连接是否安全，要进行多状态的查询，以及要分析，总结，还有就是经验。总的下来，才可以判断出连接是否处于安全状态。

下面就给大家再举一些例子，让大家彻底的明白，及彻底的理解这个命令的用处，使其发挥出最大功能。

#netstat -n -p|grep SYN_REC | wc -l

这个命令可以查找出当前服务器有多少个活动的 SYNC_REC 连接。正常来说这个值很小，最好小于5。 当有Dos攻击或者邮件炸弹的时候，这个值相当的高。尽管如此，这个值和系统有很大关系，有的服务器值就很高，也是正常现象。

#netstat -n -p | grep SYN_REC | sort -u

列出所有连接过的IP地址。

#netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'

列出所有发送SYN_REC连接节点的IP地址。

#netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

使用netstat命令计算每个主机连接到本机的连接数。

#netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

列出所有连接到本机的UDP或者TCP连接的IP数量。

#netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

检查 ESTABLISHED 连接并且列出每个IP地址的连接数量。

#netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1

列出所有连接到本机80端口的IP地址和其连接数。80端口一般是用来处理HTTP网页请求。

怎么样，是否能弄懂上面的这些命令及作用？在这儿呢，邪恶负责的说一句话：如果你能把上面的这些都彻底的理解消化了，能举一反三了，那么，恭喜您，您在Linux系统网络检测这一小块已经是一个高手了，不在是菜鸟或者小白了，为自己鼓鼓掌吧！！！

说明一点：命令及参数是死的，但是人是活的，要想发挥出其最大的功能，还需要自己去摸索，自己去理解及配合其他命令一起使用。同时，netstat -an在Windows上也管用哦！

那么，如果真的发现有大量的假连接了，那么也不要慌，要先找出一些“另类的IP地址”，怎么解释呢，因为在进行Dos攻击时，会为造出大量的假IP去连接服务器，进行3次握手，所以，这就要根据经验去找出假IP，然后通过防火墙规则，添加一个规则拒接这个假IP的网段连接。

例如：

#iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT

注意，你需将$IPADRESS 替换成需要拒绝连接的IP地址。执行完iptables 后呢，要重启一下web服务。

好了，今天的学习呢，到这儿就结束了，至于能掌握多少，这就要因人而异了，但我相信：天道酬勤！！！

最后，如果哪里有不对的地方，希望大家多多交流！！！

来源：https://linux.cn/article-3807-1.html

Linux 平台上的性能工具有很多，眼花缭乱，长期的摸索和经验发现最好用的还是那些久经考验的、简单的小工具。系统性能专家 Brendan D. Gregg 在最近的 LinuxCon NA 2014 大会上更新了他那个有名的关于 Linux 性能方面的 talk (Linux Performance Tools) 和幻灯片。

和 Brendan 去年的 talk 比较，今年增加了测试和优化两部分。下面的三张图片分别总结了 Linux 各个子系统以及监控、测试、优化这些子系统所用到的工具。

监控

测试

优化

来源：http://www.vpsee.com/2014/09/linux-performance-tools/

1、用单引号代替双引号来包含字符串，这样做会更快一些。因为PHP会在双引号包围的字符串中搜寻变量， 单引号则不会，注意：只有echo能这么做，它是一种可以把多个字符串当作参数的”函数”(译注：PHP手册中说echo是语言结构，不是真正的函数，故 把函数加上了双引号)。

2、如果能将类的方法定义成static，就尽量定义成static，它的速度会提升将近4倍。

3、$row[‘id’] 的速度是$row[id]的7倍。

4、echo 比 print 快，并且使用echo的多重参数(译注：指用逗号而不是句点)代替字符串连接，比如echo $str1,$str2。

5、在执行for循环之前确定最大循环数，不要每循环一次都计算最大值，最好运用foreach代替。

6、注销那些不用的变量尤其是大数组，以便释放内存。

7、尽量避免使用__get，__set，__autoload。

8、require_once()代价昂贵。

9、include文件时尽量使用绝对路径，因为它避免了PHP去include_path里查找文件的速度，解析操作系统路径所需的时间会更少。

10、如果你想知道脚本开始执行(译注：即服务器端收到客户端请求)的时刻，使用 $_SERVER[‘REQUEST_TIME’] 要好于 time()

11、函数代替正则表达式完成相同功能。

12、str_replace函数比preg_replace函数快，但strtr函数的效率是str_replace函数的四倍。

13、如果一个字符串替换函数，可接受数组或字符作为参数，并且参数长度不太长，那么可以考虑额外写一段替换代码，使得每次传递参数是一个字符，而不是只写一行代码接受数组作为查询和替换的参数。

14、使用选择分支语句(译注：即switch case)好于使用多个if，else if语句。

15、用@屏蔽错误消息的做法非常低效，极其低效。

16、打开apache的mod_deflate模块，可以提高网页的浏览速度。

17、数据库连接当使用完毕时应关掉，不要用长连接。

18、错误消息代价昂贵。

19、在方法中递增局部变量，速度是最快的。几乎与在函数中调用局部变量的速度相当。

20、递增一个全局变量要比递增一个局部变量慢2倍。

21、递增一个对象属性(如：$this->prop++)要比递增一个局部变量慢3倍。

22、递增一个未预定义的局部变量要比递增一个预定义的局部变量慢9至10倍。

23、仅定义一个局部变量而没在函数中调用它，同样会减慢速度(其程度相当于递增一个局部变量)。PHP大概会检查看是否存在全局变量。

24、方法调用看来与类中定义的方法的数量无关，因为我(在测试方法之前和之后都)添加了10个方法，但性能上没有变化。

25、派生类中的方法运行起来要快于在基类中定义的同样的方法。

26、调用带有一个参数的空函数，其花费的时间相当于执行7至8次的局部变量递增操作。类似的方法调用所花费的时间接近于15次的局部变量递增操作。

27、Apache解析一个PHP脚本的时间要比解析一个静态HTML页面慢2至10倍。尽量多用静态HTML页面，少用脚本。

28、除非脚本可以缓存，否则每次调用时都会重新编译一次。引入一套PHP缓存机制通常可以提升25%至100%的性能，以免除编译开销。

29、尽量做缓存，可使用memcached。memcached是一款高性能的内存对象缓存系统，可用来加速动态Web应用程序，减轻数据库负载。对运算码 (OP code)的缓存很有用，使得脚本不必为每个请求做重新编译。

30、当操作字符串并需要检验其长度是否满足某种要求时，你想当然地会使用strlen()函数。此函数执行起来相当快，因为它不做任何计算， 只返回在zval 结构(C的内置数据结构，用于存储PHP变量)中存储的已知字符串长度。但是，由于strlen()是函数，多多少少会有些慢，因为函数调用会经过诸多步 骤，如字母小写化(译注：指函数名小写化，PHP不区分函数名大小写)、哈希查找，会跟随被调用的函数一起执行。在某些情况下，你可以使用isset() 技巧加速执行你的代码。

(举例如下)

if (strlen($foo) < 5) { echo “Foo is too short”$$ }

(与下面的技巧做比较)

if (!isset($foo{5})) { echo “Foo is too short”$$ }

调用isset()恰巧比strlen()快，因为与后者不同的是，isset()作为一种语言结构，意味着它的执行不需要函数查找和字母小写化。也就是说，实际上在检验字符串长度的顶层代码中你没有花太多开销。

31、当执行变量$i的递增或递减时，$i++会比++$i慢一些。这种差异是PHP特有的，并不适用于其他语言，所以请不要修改你的C或 Java代码并指望它们能立即变快，没用的。++$i更快是因为它只需要3条指令(opcodes)，$i++则需要4条指令。后置递增实际上会产生一个 临时变量，这个临时变量随后被递增。而前置递增直接在原值上递增。这是最优化处理的一种，正如Zend的PHP优化器所作的那样。牢记这个优化处理不失为 一个好主意，因为并不是所有的指令优化器都会做同样的优化处理，并且存在大量没有装配指令优化器的互联网服务提供商(ISPs)和服务器。

32、并不是事必面向对象(OOP)，面向对象往往开销很大，每个方法和对象调用都会消耗很多内存。

33、并非要用类实现所有的数据结构，数组也很有用。

34、不要把方法细分得过多，仔细想想你真正打算重用的是哪些代码?

35、当你需要时，你总能把代码分解成方法。

36、尽量采用大量的PHP内置函数。

37、如果在代码中存在大量耗时的函数，你可以考虑用C扩展的方式实现它们。

38、评估检验(profile)你的代码。检验器会告诉你，代码的哪些部分消耗了多少时间。Xdebug调试器包含了检验程序，评估检验总体上可以显示出代码的瓶颈。

39、mod_zip可作为Apache模块，用来即时压缩你的数据，并可让数据传输量降低80%。

40、在可以用file_get_contents替代file、fopen、feof、fgets等系列方法的情况下，尽量用 file_get_contents，因为他的效率高得多!但是要注意file_get_contents在打开一个URL文件时候的PHP版本问题。

41、尽量的少进行文件操作，虽然PHP的文件操作效率也不低的。

42、优化Select SQL语句，在可能的情况下尽量少的进行Insert、Update操作(在update上，我被恶批过)。

43、尽可能的使用PHP内部函数(但是我却为了找个PHP里面不存在的函数，浪费了本可以写出一个自定义函数的时间，经验问题啊!)。

44、循环内部不要声明变量，尤其是大变量：对象(这好像不只是PHP里面要注意的问题吧?)。

45、多维数组尽量不要循环嵌套赋值。

46、在可以用PHP内部字符串操作函数的情况下，不要用正则表达式。

47、foreach效率更高，尽量用foreach代替while和for循环。

48、用单引号替代双引号引用字符串。

49、用i+=1代替i=i+1。符合c/c++的习惯，效率还高。

50、对global变量，应该用完就unset()掉。

来源：http://www.techug.com/50-tips-improve-php-performance

简介

进程无法启动，软件运行速度突然变慢，程序的”Segment Fault”等等都是让每个Unix系统用户头痛的问题，本文通过三个实际案例演示如何使用truss、strace和ltrace这三个常用的调试工具来快速诊断软件的”疑难杂症”。

truss和strace用来 跟踪一个进程的系统调用或信号产生的情况，而 ltrace用来 跟踪进程调用库函数的情况。truss是早期为System V R4开发的调试程序，包括Aix、FreeBSD在内的大部分Unix系统都自带了这个工具；而strace最初是为SunOS系统编写的，ltrace最早出现在GNU/Debian Linux中。这两个工具现在也已被移植到了大部分Unix系统中，大多数Linux发行版都自带了strace和ltrace，而FreeBSD也可通过Ports安装它们。

你不仅可以从命令行调试一个新开始的程序，也可以把truss、strace或ltrace绑定到一个已有的PID上来调试一个正在运行的程序。三个调试工具的基本使用方法大体相同，下面仅介绍三者共有，而且是最常用的三个命令行参数：

-f ：除了跟踪当前进程外，还跟踪其子进程。
-o file ：将输出信息写到文件file中，而不是显示到标准错误输出（stderr）。
-p pid ：绑定到一个由pid对应的正在运行的进程。此参数常用来调试后台进程。

使用上述三个参数基本上就可以完成大多数调试任务了，下面举几个命令行例子：

truss -o ls.truss ls -al： 跟踪ls -al的运行，将输出信息写到文件/tmp/ls.truss中。
strace -f -o vim.strace vim： 跟踪vim及其子进程的运行，将输出信息写到文件vim.strace。
ltrace -p 234： 跟踪一个pid为234的已经在运行的进程。

三个调试工具的输出结果格式也很相似，以strace为例：

brk(0)                                  = 0x8062aa8
brk(0x8063000)                          = 0x8063000
mmap2(NULL, 4096, PROT_READ, MAP_PRIVATE, 3, 0x92f) = 0x40016000

每一行都是一条系统调用，等号左边是系统调用的函数名及其参数，右边是该调用的返回值。 truss、strace和ltrace的工作原理大同小异，都是使用ptrace系统调用跟踪调试运行中的进程，详细原理不在本文讨论范围内，有兴趣可以参考它们的源代码。

下面举两个实例演示如何利用这三个调试工具诊断软件的”疑难杂症”：

案例一：运行clint出现Segment Fault错误

操作系统：FreeBSD-5.2.1-release

clint是一个C++静态源代码分析工具，通过Ports安装好之后，运行：

# clint foo.cpp
Segmentation fault (core dumped)

在Unix系统中遇见”Segmentation Fault”就像在MS Windows中弹出”非法操作”对话框一样令人讨厌。OK，我们用truss给clint”把把脉”：

# truss -f -o clint.truss clint
Segmentation fault (core dumped)
# tail clint.truss
  739: read(0x6,0x806f000,0x1000)               = 4096 (0x1000)
  739: fstat(6,0xbfbfe4d0)                       = 0 (0x0)
  739: fcntl(0x6,0x3,0x0)                        = 4 (0x4)
  739: fcntl(0x6,0x4,0x0)                        = 0 (0x0)
  739: close(6)                                    = 0 (0x0)
  739: stat("/root/.clint/plugins",0xbfbfe680)   ERR#2 'No such file or directory'
SIGNAL 11
SIGNAL 11
Process stopped because of:  16
process exit, rval = 139

我们用truss跟踪clint的系统调用执行情况，并把结果输出到文件clint.truss，然后用tail查看最后几行。

注意看clint执行的最后一条系统调用（倒数第五行）： stat(“/root/.clint/plugins”,0xbfbfe680) ERR#2 ‘No such file or directory’，问题就出在这里：clint找不到目录”/root/.clint/plugins”，从而引发了段错误。怎样解决？很简单： mkdir -p /root/.clint/plugins，不过这次运行clint还是会”Segmentation Fault”9。继续用truss跟踪，发现clint还需要这个目录”/root/.clint/plugins/python”，建好这个目录后clint终于能够正常运行了。

案例二：vim启动速度明显变慢

操作系统：FreeBSD-5.2.1-release

vim版本为6.2.154，从命令行运行vim后，要等待近半分钟才能进入编辑界面，而且没有任何错误输出。仔细检查了.vimrc和所有的vim脚本都没有错误配置，在网上也找不到类似问题的解决办法，难不成要hacking source code？没有必要，用truss就能找到问题所在：

# truss -f -D -o vim.truss vim

这里-D参数的作用是：在每行输出前加上相对时间戳，即每执行一条系统调用所耗费的时间。我们只要关注哪些系统调用耗费的时间比较长就可以了，用less仔细查看输出文件vim.truss，很快就找到了疑点：

735: 0.000021511 socket(0x2,0x1,0x0)       = 4 (0x4)
735: 0.000014248 setsockopt(0x4,0x6,0x1,0xbfbfe3c8,0x4) = 0 (0x0)
735: 0.000013688 setsockopt(0x4,0xffff,0x8,0xbfbfe2ec,0x4) = 0 (0x0)
735: 0.000203657 connect(0x4,{ AF_INET 10.57.18.27:6000 },16) ERR#61 'Connection refused'
735: 0.000017042 close(4)          = 0 (0x0)
735: 1.009366553 nanosleep(0xbfbfe468,0xbfbfe460) = 0 (0x0)
735: 0.000019556 socket(0x2,0x1,0x0)       = 4 (0x4)
735: 0.000013409 setsockopt(0x4,0x6,0x1,0xbfbfe3c8,0x4) = 0 (0x0)
735: 0.000013130 setsockopt(0x4,0xffff,0x8,0xbfbfe2ec,0x4) = 0 (0x0)
735: 0.000272102 connect(0x4,{ AF_INET 10.57.18.27:6000 },16) ERR#61 'Connection refused'
735: 0.000015924 close(4)          = 0 (0x0)
735: 1.009338338 nanosleep(0xbfbfe468,0xbfbfe460) = 0 (0x0)

vim试图连接10.57.18.27这台主机的6000端口（第四行的connect（）），连接失败后，睡眠一秒钟继续重试（第6行的nanosleep（））。以上片断循环出现了十几次，每次都要耗费一秒多钟的时间，这就是vim明显变慢的原因。

可是，你肯定会纳闷：”vim怎么会无缘无故连接其它计算机的6000端口呢？”。问得好，那么请你回想一下6000是什么服务的端口？没错，就是X Server。看来vim是要把输出定向到一个远程X Server，那么Shell中肯定定义了DISPLAY变量，查看.cshrc，果然有这么一行： setenv DISPLAY ${REMOTEHOST}:0，把它注释掉，再重新登录，问题就解决了。

案例三：用调试工具掌握软件的工作原理

操作系统：Red Hat Linux 9.0

用调试工具实时跟踪软件的运行情况不仅是诊断软件”疑难杂症”的有效的手段，也可帮助我们理清软件的”脉络”，即快速掌握软件的运行流程和工作原理，不失为一种学习源代码的辅助方法。下面这个案例展现了如何使用strace通过跟踪别的软件来”触发灵感”，从而解决软件开发中的难题的。

大家都知道，在进程内打开一个文件，都有唯一一个文件描述符（fd：file descriptor）与这个文件对应。而本人在开发一个软件过程中遇到这样一个问题：已知一个fd ，如何获取这个fd所对应文件的完整路径？不管是Linux、FreeBSD或是其它Unix系统都没有提供这样的API，怎么办呢？我们换个角度思考：Unix下有没有什么软件可以获取进程打开了哪些文件？如果你经验足够丰富，很容易想到lsof，使用它既可以知道进程打开了哪些文件，也可以了解一个文件被哪个进程打开。

好，我们用一个小程序来试验一下lsof，看它是如何获取进程打开了哪些文件。

/* testlsof.c */
#include 
#include 
#include 
#include 
#include 
int main(void)
{
        open("/tmp/foo", O_CREAT|O_RDONLY);    /* 打开文件/tmp/foo */
        sleep(1200);                                /* 睡眠1200秒，以便进行后续操作 */
        return 0;
}

将testlsof放入后台运行，其pid为3125。命令lsof -p 3125查看进程3125打开了哪些文件，我们用strace跟踪lsof的运行，输出结果保存在lsof.strace中：

# gcc testlsof.c -o testlsof
# ./testlsof &
[1] 3125
# strace -o lsof.strace lsof -p 3125

我们以”/tmp/foo”为关键字搜索输出文件lsof.strace，结果只有一条：

# grep '/tmp/foo' lsof.strace
readlink("/proc/3125/fd/3", "/tmp/foo", 4096) = 8

原来lsof巧妙的利用了/proc/nnnn/fd/目录（nnnn为pid）：Linux内核会为每一个进程在/proc/建立一个以其pid为名的目录用来保存进程的相关信息，而其子目录fd保存的是该进程打开的所有文件的fd。目标离我们很近了。好，我们到/proc/3125/fd/看个究竟：

# cd /proc/3125/fd/
# ls -l
total 0
lrwx------    1 root     root           64 Nov  5 09:50 0 -> /dev/pts/0
lrwx------    1 root     root           64 Nov  5 09:50 1 -> /dev/pts/0
lrwx------    1 root     root           64 Nov  5 09:50 2 -> /dev/pts/0
lr-x------    1 root     root           64 Nov  5 09:50 3 -> /tmp/foo
# readlink /proc/3125/fd/3
/tmp/foo

答案已经很明显了：/proc/nnnn/fd/目录下的每一个fd文件都是符号链接，而此链接就指向被该进程打开的一个文件。我们只要用readlink()系统调用就可以获取某个fd对应的文件了，代码如下：

#include 
#include 
#include 
#include 
#include 
#include 
int get_pathname_from_fd(int fd, char pathname[], int n)
{
        char buf[1024];
        pid_t  pid;
        bzero(buf, 1024);
        pid = getpid();
        snprintf(buf, 1024, "/proc/%i/fd/%i", pid, fd);
        return readlink(buf, pathname, n);
}
int main(void)
{
        int fd;
        char pathname[4096];
        bzero(pathname, 4096);
        fd = open("/tmp/foo", O_CREAT|O_RDONLY);
        get_pathname_from_fd(fd, pathname, 4096);
        printf("fd=%d; pathname=%sn", fd, pathname);
        return 0;
}

【注】出于安全方面的考虑，在FreeBSD 5 之后系统默认已经不再自动装载proc文件系统，因此，要想使用truss或strace跟踪程序，你必须手工装载proc文件系统：mount -t procfs proc /proc；或者在/etc/fstab中加上一行：

proc                   /proc           procfs  rw              0       0

ltrace不需要使用procfs。

来源：http://www.ibm.com/developerworks/cn/linux/l-tsl/

问题:我想给VMware ESXi上的一台虚拟机分配一个静态的MAC地址。然而当我开始这么做的时候，虚拟机就不能启动了，并且抛出了一个这样一个错误”00:0c:29:1f:4a:ab is not an allowed static Ethernet address. It conflicts with VMware reserved MACs”（00:0c:29:1f:4a:ab不是一个合法的静态以太网地址。它与VMWare的保留MAC地址冲突）。我该如何在VMware ESXi虚拟机上设置静态MAC地址？

当你在VMware ESXi上创建虚拟机时，虚拟机的每个网络接口就被分配了一个动态的NAC地址。如果你想要改变默认的行为并给你的虚拟机分配一个静态MAC地址时就这样做

如你上图所见，VMWare的vSphere的GUI客户端已经有一个为虚拟机分配静态MAC地址的菜单。然而，基于GUI的方法只允许你在00:50:56:xx:xx:xx的范围里选择一个静态MAC地址，这是VMWare保留的MAC地址范围。如果你尝试设置任何超出这个范围的MAC地址，你就会无法启动VM，接着就会看到下面的错误。

那么如果我想要给虚拟机设置任意的MAC地址怎么办？

幸运地，这里有一个对于这个限制的临时方案。方法就是，不使用vSphere GUI客户端编辑。在登录ESXi主机后直接编辑你虚拟机的.vmx文件。

首先关闭你想要分配静态MAC地址的虚拟机。

对你的ESXi主机启用SSH访问，如果你还没这么做的话。接着通过SSH登录ESXi主机。

移到你虚拟机的.vmx文件所在目录。

# cd vmfs/volumes/datastore1/[name-of-vm]

用文本编辑器打开.vmx文件，接着在加入下面这几行。把MAC地址替换成你自己的MAC地址。

ethernet0.addressType = "static"
ethernet0.checkMACAddress = "false"
ethernet0.address = "00:0c:29:1f:4b:ac"

现在你应该可以使用你定义在.vmx文件中的静态MAC地址启动虚拟机了。

via: http://ask.xmodulo.com/static-mac-address-vmware-esxi-virtual-machine.html

译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来源：https://linux.cn/article-3824-1.html

列出所有安装了的包的方法取决于你用什么发行版以及包管理器。

在这个教程里，我们将提供主流发行版的命令。

注意: 你可以用管道筛选或者用重定向符（>）来把结果重定向到一个文件。例子如下。

example | less

example > installed_packages.txt

Red Hat/Fedora Core/CentOS Linux:

rpm -qa

Arch Linux:

pacman -Qq

Ubuntu / Debian / Linux Mint:

dpkg --get-selections

dpkg --list

dpkg -l

祝你一天好心情。

via: http://www.unixmen.com/quick-tip-list-installed-packages-linux-distributions/

作者：Enock Seth Nyamador 译者：2q1w2007 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来源：https://linux.cn/article-3825-1.html

前段时间我发布了一篇关于shelr.tv这个网站的文章，它提供一个服务允许你从网站上直接分享你的终端记录。

现在shelr.tv这个网站似乎关闭了，然后我四处寻找是否有类似的网站，于是我发现了commands.com。

从它的主页上来看，它的服务和其他网站提供的服务是类似的，因此让我们来测试它。

步骤 1 – 在网站上注册

只需要注册一个新的 用户名/密码，或者直接使用你的github账户快速登录。

步骤 2 – 下载安装monitor程序

Monitor是一个命令行工具，它能捕获命令行的输入输出并且发送到commands.com网站上，这个程序是开源的，并托管在github上。

Monitor使得仓库的设置/安装变得更简单。通过它，你能方便地向人们展示最常见的错误与命令的输出。

简而言之，你能方便地和世界分享你的命令及其输出。

通过如下简单几步来安装它：

1) 克隆github上的这个项目的仓库，这样你能获得最新的源代码。

要完成这步，你需要在系统中已经安装了git命令，如果你得到关于这个命令的报错信息，你可以使用包管理工具来安装它，例如：

基于Debian的发布版：

apt-get install git

Redhat/Centos/Fedora发布版：

yum install git

现在从终端克隆这个仓库：

git clone https://github.com/dtannen/monitor.git

2) 安装readline和curl，这些库是通过源码构建程序的先决条件：

基于Debian的发布版：

apt-get install libreadline-dev libcurl4-openssl-dev

Redhat/Centos/Fedora发布版：

yum install readline-devel curl-devel

3) 构建程序：

要完成这步，你必须进入刚刚用git克隆的目录，然后编译这个c程序：

cd monitor
make
sudo make install

默认安装将把二进制文件放入/usr/local/bin目录下。

步骤 3 – 使用monitor命令

monitor命令特别简单易用：

monitor {-d} {-h} {-u }
    -d : 不删除/tmp下的文件
    -h : 帮助
    -u : commands.com用户名

要退出monitor程序，需要按ctrl-c。

对我来说这仅仅意味着打开一个终端然后执行这些命令：

riccio@mint-desktop ~ $ monitor -u ricciocri
Password:
Successfully logged in...
AuthKey saved to /tmp/.riccio.commands.com.  Delete file to return to Anonymous posting.
monitor$ cd /tmp
...

想知道在这之后我使用过的哪个命令吗？我已经把这个会话公开（默认是私有），因此你可以去这个url查看：https://commands.com/JTNSHRLQJA

在这里，你能看我已经使用过的命令以及它们的输出，一个有趣的选项是“fold/expand”你可以折叠（fold）所有的命令的输出或者仅仅展开（expand）你喜欢的那个命令的输出。

总结

这只是一个简单的安装指南，在这个网站上你能参加更多“社会化”的活动，比如评论脚本/shell会话，派生它们或者选择你的最爱。

和github一样，你能派生任何一个公开的脚本/命令并能直接在网站上改变它，然后你也能得到一个公开（或私有）的url。你可以直接运行你脚本，就像这样：

curl commands.io/JTNSHRLQJA | sh

在网络上储存一些你在电脑/服务器上经常使用到的脚本，这是极好的，通常不要放置任何密码或敏感信息，这样你的信息才足够安全。

via: http://linuxaria.com/article/how-to-share-on-linux-the-output-of-your-shell-commands

译者：guodongxiaren 校对：Caroline

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来源：https://linux.cn/article-3829-1.html

在每种编程语言中，变量都扮演了一个重要的角色。在Linux shell脚本编程中，我们使用两种类型的变量：系统定义的变量和用户定义的变量。

shell脚本中的变量是用来调用一个数值或者字符值的手段。与正规的编程语言不同的是，shell脚本不要求你去为变量声明一个类型。

在本文中，我们将讨论shell脚本编程中的变量及其类型，以及如何设置和使用这些变量。

系统定义的变量：

这些变量由操作系统（Linux）自身创建并维护，通常它们以大写字母定义，我们可以通过命令“$ set”来查看这些变量。下面列出了部分系统定义的变量：

要打印以上变量的值，可以使用echo command命令，如下：

# echo $HOME
# echo $USERNAME

我们可以通过在环境变量名前前置一个美元符号来从你的脚本里输入环境变量。请看下面脚本演示：

$ cat myscript
#!/bin/bash
# display user information from the system.
echo “User info for userid: $USER”
echo UID: $UID
echo HOME: $HOME

注意：echo命令中的环境变量在脚本运行时会被它们的值替代。同时注意，我们可以再第一个字符串的双引号中放置$USER系统变量，而shell脚本仍然可以明白我们的意思。然而，该方法有一个缺点。看下面这个例子：

$ echo “The cost of the item is $15”
The cost of the item is 5

很明显，那不是我们说希望的。无论何时，当脚本遇见引号中的美元符号时，它都会认为你是在调用一个变量。在本例中，该脚本试着显示变量$1（而这个变量并没有定义），然后显示数字5。要显示实际上的美元符号，你必须前置一个反斜线字符：

$ echo “The cost of the item is $15”
The cost of the item is $15

那样好多了。反斜线允许shell脚本将美元符号解释成为实际的美元符号，而不是变量。

用户定义的变量：

这些变量由用户定义。shell脚本允许我们在脚本中设置并使用我们自己的变量。设置变量允许你临时存储数据并在脚本中使用，让shell脚本看起来像一个真正的计算机程序。

用户变量可以是任何不超过20个的字母、数字或者下划线字符的文本字符串（LCTT 译注：变量只能以字母或下划线开头）。用户变量是大小写敏感的，因此，变量Var1和变量var1是不同的变量。这个小规则常常让新手编写脚本时麻烦重重。

我们可以通过等于号为变量赋值。变量，等于号和值（对于新手又是个麻烦的地方）之间不能有空格。下面是几个给用户变量赋值的例子：

var1=10
var2=-57
var3=testing
var4=“still more testing”

shell脚本为变量值自动确定数据类型。shell脚本内定义的变量会在脚本运行时保留它们的值，当脚本完成后则删除这些值。

就像系统变量一样，用户变量也可以使用美元符号来调用：

$ cat test3
#!/bin/bash
# testing variables
days=10
guest="Katie"
echo "$guest checked in $days days ago"
days=5
guest="Jessica"
echo "$guest checked in $days days ago"
$

运行脚本会产生以下输出：

$ chmod u+x test3
$ ./test3
Katie checked in 10 days ago
Jessica checked in 5 days ago
$

每次变量被调用，它都会变成了当前分配给它的值。有一点很重要，当调用一个变量值时，你使用美元符号，但是当为一个变量分配一个值时，你不能用美元符号。下面用例子来说明：

$ cat test4
#!/bin/bash
# assigning a variable value to another variable
value1=10
value2=$value1
echo The resulting value is $value2
$

当你使用赋值语句中value1变量的值时，你仍然必须使用美元符号。这段代码产生了如下输出：

$ chmod u+x test4
$ ./test4
The resulting value is 10
$

如果你忘了美元符号，而又让value2赋值行看起来像这样：

value2=value1

你会获得下面的输出：

$ ./test4
The resulting value is value1
$

没有美元符号，shell解释变量名为普通文本字符串，这极有可能不是你想要的。

在shell变量中使用反引号（`）：

反引号允许你将shell命令的输出赋值给变量。虽然这似乎没什么大不了，但它是脚本编程中主要的构建基块。你必须使用反引号将整个命令行包含起来：

**testing=`date`**

shell会在反引号中运行命令，然后将输出结果赋值给变量testing。下面的例子给出了如何使用一个常规shell命令的输出结果来创建一个变量：

$ cat test5
#!/bin/bash
# using the backtick character
testing=`date`
echo "The date and time are: " $testing
$

变量testing接收来自date命令的输出结果，而它又在echo语句中被调用。运行脚本会产生如下输出：

$ chmod u+x test5
$ ./test5
The date and time are: Mon Jan 31 20:23:25 EDT 2011

注：在bash中，你也可以选用$(…)语法来替换反引号(`)，它有个优点就是可以重用（re-entrant）。

例：

$ echo " Today’s date & time is :" $(date)
Today’s date & time is : Sun Jul 27 16:26:56 IST 2014

via: http://www.linuxtechi.com/variables-in-shell-scripting/

作者：Pradeep Kumar 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

来源：https://linux.cn/article-3834-1.html

　　以下内容均出自Vagrant作者(Mitchell Hashimoto)与Docker作者(Solomon Hykes)在stackoverflow上面一个问题讨论。在这个问题中，双方阐述了vagrant和docker的特点和使用范围，对于深入理解vagrant和docker很有意义，因此笔者翻译出来，以供大家讨论学习。

　　Mitchell作为vagrant的作者，其在DevOps的世界里面沉浸多年，接触了很多类似docker的虚拟化软件。他目前接触了很多使用vagrant和docker的场景，所以看到了两者是如何相互搭配发生作用的。

　　他认为如果单单是开发人员一个人单独使用主机，使用docker可以简化很多事情，这种场景下使用docker和vagrant都没有什么区别。所以他更多的讨论了一些复杂场景，在这些复杂场景中，docker和vagrant就有一些区别了。

　　以下是他原文：

　 　不分场景而直接比对vagrant和docker是不恰当的！在一些简单场景中，它们两款产品作用是重复的，但在更多场景中，它们两款产品无法相互替 代。事实上，vagrant抽象度比docker更高，因此直接用vagrant同docker相比较是不恰当的。而把vagrant同 Boot2Docker(一款运行docker最小的内核) 进行比较似乎更加恰当。

　 　vagrant为了支持开发，在启动虚拟机环境时启动了很多的应用和服务。vagrant可以在VirtualBox, VMware上面运行(docker无法执行)。vagrant也可以在AWS, OpenStack这些云环境中运行。即便你使用了docker的容器，vagrant同样也没问题。vagrant可以自动install, pull down, build,  run Docker containers。

　　比如在vagrant V1.6版本中，vagrant集成了docker-based development environments,因此Vagrant可以在windows，mac和linux上面提供docker服务。

　　vagrant没有想替代docker的想法，相反它还包含了docker的一些特性。

　　如果我们从逻辑层面来比较vagrant和docker的话，那么：

　　1、docker只能执行docker所定义的容器。

　　2、docker缺乏灵活的隔离方案(docker只能运行在Linux主机环境中)。

　　如果我们从Production和CI层面来比较，那么docker就无法与vagrant相比了：Vagrant没有上面的约束条件，而docker必须依赖它们。

　　如果你的项目必须使用Docker的容器，同时只能部署在Linux主机中。这个时候Docker的确是一个不错的选择。除此之外，我就看不到使用docker的优势了，相反你还浪费了vagrant很多的优点：

• vagrant可以支持多种虚拟环境，例如 VirtualBox, VMware, AWS, OpenStack等等。无论你使用何种虚拟环境，vagrant都可以顺利执行起来。如果你使用了Docker，也可以在vagrant中顺利安装docker。
• vagrant可以降低项目复杂度。或者换个说法：你只需要考虑如何执行你的项目就可以，而不论这个项目是用的docker还是什么别的。在未来，如果出现了docker的竞争者，那么vagrant也可以顺利执行它。
• vagrant可以运行在多个主机环境中，windows(XP以上)，MAC(10.5以上)，Linux(2.6内核版本以上)。如果你使用了docker，那么vagrant也可以在上面三种操作系统之上运行你的docker。
• vagrant 可以更好的配置网络和文件共享。比如：vagrant可以给一个VM配置静态IP和端口数据转发。不论你使用的VirtualBox还是 VMware，vagrant都可以很好的完成配置。对于文件共享来说，vagrant提供了多种文件挂载方案供你考虑。如果你使用了docker，那么 这些事情就都需要你亲自动手来做了。
• vagrant 1.6中集成了docker-based development environments。所以在MAC和Windows环境中，vagrant会自动启动一个虚拟机来执行docker，这样就达到了docker的跨平台化。而背后例如网络，文件等等操作都是vagrant默默完成的。

　　下面两点是我听到docker可以替代vagrant的声音：

• “Docker 需要移动的数据很少”的确，Docker有这个特点(应该指的是Docker采用的UFS，导致docker每次变动所需的数据很少–笔者猜测)。但是 当你在每个项目都使用docker，或者在每个项目的现在，将来都使用docker时，你就会发现docker所产生的数据并不少。而如果你使用 vagrant，那么只需要移动一次就可以完成。(原文:”It is less moving parts” – Yes, it can be, if you use Docker exclusively for every project. Even then, it is sacrificing flexibility for Docker lock-in. If you ever decide to not use Docker for any project, past, present, or future, then you’ll have more moving parts. If you had used Vagrant, you have that one moving part that supports the rest).
• “Docker启动非常快”，当使用docker启动容器时，它比其他虚拟机启动的都快。但是我要说的是，目前从产品化角度分析所有vagrant主机基本都是启动一次，然后不再停机。如果从快速部署开发环境来说，docker这个特性真的是非常好。

 　　所以，我们现在可以得知vagrant和docker是有很大区别的，直接比较这两个是不正确的。对于开发环境来说，vagrant是一种更为抽象，更为通用的解决方案。Docker所能提供的场景只是vagrant所支持的特殊场景之一。

　　在一些极端案例场景下，docker完全可以替代vagrant。但在更多的场景下，这是错误的。同时vagrant也不会封锁你使用docker。

　　针对Mitchell的这些解释，Hykes写出了下述的论点：

　　如果你仅仅是想管理虚拟机，那么你应该使用vagrant。如果你想快速开发和部署应用，那么应该使用docker。

　　vagrant是一款管理虚拟机的工具，而docker是一款通过将应用打包到轻量级容器，而实现构建和部署的工具。两者适用范围不同。一个容器就是一个包含了应用执行所依赖的数据(包括lib，配置文件等等)。它可以保证应用在一个可重复的环境中随时执行。

　　有了这个容器，就可以很简单的构建你的容器也可以随时随地的进行部署。

　 　Docker只能在Linux上面执行是一个很大的误区！事实上，Docker可以在MAC和Windows上面安装。如果你在MAC上面安装 Docker，那么会有一个大概25MB的精简Linux VM来充当MAC和docker直接的交流者。一旦Docker安装完成后，就可以使用同样的命令进行操作了。这样，世界一下就美好了：你通过轻量级的容 器可以更好的测试和开发你的应用，并且很容易的将这些应用进行分发(比如通过 https://index.docker.io)。而你不需要了解如何管理这些虚拟机，而仅仅把虚拟机当做完成事情中的一个环节而已。

　　理论上，vagrant可以作为docker一个抽象数据层。理由如下：

• 首 先，vagrant不是对docker更好的抽象。vagrant设计使用来管理虚拟机的，而docker设计是用来管理应用的。这就意味着docker 在设计之初就是为了可以通过多种方式来相互组合应用。在docker中processes, log streams, environment variables ,network links between components是最底层的原型。在vagrant中machines, block devices, and ssh keys是最底层的原型。vagrant工作在系统底层，它同另外一个vagrant容器交互的方式只有把它当做一个可以”boot”和”log into”的机器。因此，你可以在docker上面安装插件后，执行”vagrant up”命令后等待美好的事情发生。
• 其 次，可锁定的环境参数(the lock-in argument)。””If you use Vagrant as an abstraction, you will not be locked into Docker!”站在管理虚拟机的vagrant角度上面看，这句说没有错：Docker不是另外一个独立的容器。像EC2和VMware一样，我们要避 免创造一个和其它工具相捆绑的东西。Docker对宿主机没有任何要求，它允许你通过轻量级的容器在任意地方进行部署。在你部署应用时，不需要考虑应该部 署到什么环境中。比如说：你可以在其他人提供的主机(很可能上面已经部署了EC2或者vagrant)上面部署应用。

　　所以最后可以说：Vagrant 适合用来管理虚拟机，而docker适合用来管理应用环境。

来源：http://www.cnblogs.com/vikings-blog/p/3973265.html

Chrome的开发者工具已经强大到没朋友的地步了，特别是其功能丰富界面友好的console，使用得当可以有如下功效：

• 更高「逼格」更快「开发调试」更强「进阶级的Frontender」
• Bug无处遁形「Console大法好」

console.log

大家都会用log，但鲜有人很好地利用console.error , console.warn 等将输出到控制台的信息进行分类整理。他们功能区别不大，意义在于将输出到控制台的信息进行归类，或者说让它们更语义化。各个所代表的语义如下：

• console.log：普通信息
• console.info：提示类信息
• console.error：错误信息
• console.warn：警示信息

当合理使用上述log方法后，可以很方便地在控制台选择查看特定类型的信息。

console.log('一颗红心向太阳','吼吼~');
console.info('楼上药不能停！');
console.warn('楼上嘴太贱！');
console.error('楼上关你毛事？');

如果再配合console.group 与console.groupEnd，可以将这种分类管理的思想发挥到极致。这适合于在开发一个规模很大模块很多很复杂的Web APP时，将各自的log信息分组到以各自命名空间为名称的组里面。

console.group("app.foo");
console.log("来自foo模块的信息 blah blah blah...");
console.groupEnd();
console.group("app.bar");
console.log("来自bar模块的信息 blah blah blah...");
console.groupEnd();

而关于console.log，早已被玩儿坏了。一切都源于Chrome提供了这么一个API：第一个参数可以包含一些格式化的指令比如%c。

比如给hello world 做件漂亮的嫁衣再拉出来见人：

console.log('%chello world','font-size:25px;color:red;');

如果你觉得不够过瘾，那就把你能写出来的最华丽的CSS样式都应用上吧，比如渐变。于是你可以得到如下华丽丽的效果：

console.log('%chello world', 'background-image:-webkit-gradient( linear, left top, right top, color-stop(0, #f22), color-stop(0.15, #f2f), color-stop(0.3, #22f), color-stop(0.45, #2ff), color-stop(0.6, #2f2),color-stop(0.75, #2f2), color-stop(0.9, #ff2), color-stop(1, #f22) );color:transparent;-webkit-background-clip: text;font-size:5em;');

各种招大招的节奏啊~

看着上面密集的代码不用惊慌，上面console.log()第二个参数全是纯CSS用来控制样式的，你不会陌生。而第一个参数里可以带用百分号开头的转义指令，如上面输出带样式的文字时使用的%c指令。更详细的指令参见官方API文档的这个表格。

如果还不够过瘾，那咱们来log一些图片吧，甚至。。。动图？对，你得先有图，我们拿这张图为例。

console.log("%c", "padding:50px 300px;line-height:120px;background:url('http://wayou.github.io/2014/09/10/chrome-console-tips-and-tricks/rabbit.gif') no-repeat;");

看着上面摇摆的豆比兔是不是有种抽它一脸的冲动。

除此，console.table 更是直接以表格的形式将数据输出，不能赞得太多！借用之前写过的一篇博文里的例子：

var data = [{'品名': '杜雷斯', '数量': 4}, {'品名': '冈本', '数量': 3}];
console.table(data);

另外，console.log() 接收不定参数，参数间用逗号分隔，最终会输出会将它们以空白字符连接。

console.log('%c你好','color:red;','小明','你知道小红被妈妈打了么');

console.assert

当你想代码满足某些条件时才输出信息到控制台，那么你大可不必写if或者三元表达式来达到目的，cosole.assert便是这样场景下一种很好的工具，它会先对传入的表达式进行断言，只有表达式为假时才输出相应信息到控制台。

var isDebug=false;
console.assert(isDebug,'开发中的log信息。。。');

console.count

除了条件输出的场景，还有常见的场景是计数。当你想统计某段代码执行了多少次时也大可不必自己去写相关逻辑，内置的console.count可以很地胜任这样的任务。

function foo(){
	//其他函数逻辑blah blah。。。
	console.count('foo 被执行的次数：');
}
foo();
foo();
foo();

console.dir

将DOM结点以JavaScript对象的形式输出到控制台而console.log是直接将该DOM结点以DOM树的结构进行输出，与在元素审查时看到的结构是一致的。不同的展现形式，同样的优雅，各种体位任君选择反正就是方便与体贴。

console.dir(document.body);
console.log(document.body);

来源：http://www.cnblogs.com/Wayou/p/chrome-console-tips-and-tricks.html