SUSE Linux Enterprise Server 12 SP4

管理指南

讲述系统管理任务,如维护、监视和自定义初始安装的系统。

出版日期: 2018 年 12 月 11 日
关于本指南
可用文档
反馈
文档约定
关于本文档的制作
I 常用任务
1 Bash 和 Bash 脚本
1.1 什么是外壳
1.2 编写外壳脚本
1.3 重定向命令事件
1.4 使用别名
1.5 在 Bash 中使用变量
1.6 将命令分组和组合
1.7 使用通用流程构造语句
1.8 更多信息
2 sudo
2.1 sudo 基本用法
2.2 配置 sudo
2.3 常见使用情况
2.4 更多信息
3 YaST 联机更新
3.1 联机更新对话框
3.2 安装增补程序
3.3 自动联机更新
4 YaST
4.1 高级组合键
5 文本方式的 YaST
5.1 在模块中导航
5.2 高级组合键
5.3 组合键的限制
5.4 YaST 命令行选项
6 使用命令行工具管理软件
6.1 使用 Zypper
6.2 RPM — 包管理器
7 通过 Snapper 进行系统恢复和快照管理
7.1 默认设置
7.2 使用 Snapper 撤销更改
7.3 通过从快照引导来执行系统回滚
7.4 创建并修改 Snapper 配置
7.5 手动创建和管理快照
7.6 自动清理快照
7.7 常见问题
8 使用 VNC 远程访问
8.1 vncviewer 客户端
8.2 Remmina:远程桌面客户端
8.3 一次性 VNC 会话
8.4 持续 VNC 会话
8.5 加密 VNC 通讯
9 使用 RSync 复制文件
9.1 概念概述
9.2 基本语法
9.3 在本地复制文件和目录
9.4 远程复制文件和目录
9.5 配置和使用 Rsync 服务器
9.6 更多信息
II 引导 Linux 系统
10 引导过程简介
10.1 术语
10.2 Linux 引导进程
11 UEFI(统一可扩展固件接口)
11.1 安全引导
11.2 更多信息
12 引导加载程序 GRUB 2
12.1 GRUB Legacy 与 GRUB 2 之间的主要差异
12.2 配置文件结构
12.3 使用 YaST 配置引导加载程序
12.4 z Systems 上终端使用方式的差异
12.5 有用的 GRUB 2 命令
12.6 更多信息
13 systemd 守护程序
13.1 systemd 概念
13.2 基本用途
13.3 系统启动和目标管理
13.4 使用 YaST 管理 服务
13.5 systemd 自定义
13.6 高级用途
13.7 更多信息
III 系统
14 64 位系统环境中的 32 位和 64 位应用程序
14.1 运行时支持
14.2 内核规范
15 journalctl:查询 systemd 日记
15.1 将日记设为永久
15.2 journalctl 的有用开关
15.3 过滤日记输出
15.4 调查 systemd 错误
15.5 Journald 配置
15.6 使用 YaST 过滤 systemd 日记
16 基本联网知识
16.1 IP 地址和路由
16.2 IPv6 — 下一代的因特网
16.3 名称解析
16.4 使用 YaST 配置网络连接
16.5 手动配置网络连接
16.6 路由器基本设置
16.7 设置绑定设备
16.8 设置小组设备以进行网络协作
16.9 采用 Open vSwitch 的软件定义网络
17 打印机操作
17.1 CUPS 工作流程
17.2 连接打印机的方法和协议
17.3 安装软件
17.4 网络打印机
17.5 使用命令行工具配置 CUPS
17.6 从命令行打印
17.7 SUSE Linux Enterprise Server 中的特殊功能
17.8 查错
18 X Window 系统
18.1 安装和配置字体
18.2 更多信息
19 使用 FUSE 访问文件系统
19.1 配置 FUSE
19.2 装入 NTFS 分区
19.3 更多信息
20 管理内核模块
20.1 使用 lsmod 和 modinfo 列出装载的模块
20.2 添加和去除内核模块
21 使用 udev 进行动态内核设备管理
21.1 /dev 目录
21.2 内核 ueventsudev
21.3 驱动程序、内核模块和设备
21.4 引导和启动设备设置
21.5 监视正在运行的 udev 守护程序
21.6 使用 udev 规则影响内核设备事件处理
21.7 永久设备命名
21.8 udev 使用的文件
21.9 更多信息
22 使用 kGraft 在线增补 Linux 内核
22.1 kGraft 的优势
22.2 kGraft 的底层函数
22.3 安装 kGraft 增补程序
22.4 增补程序生命周期
22.5 去除 kGraft 增补程序
22.6 阻塞的内核执行线程
22.7 kgr 工具
22.8 kGraft 技术的应用范围
22.9 SLE Live Patching 的应用范围
22.10 使用支持流程与我们交互
23 特别的系统功能组件
23.1 特殊软件包的相关信息
23.2 虚拟控制台
23.3 键盘映射
23.4 语言和国家/地区特定的设置
IV 服务
24 使用 NTP 同步时间
24.1 使用 YaST 配置 NTP 客户端
24.2 手动配置网络中的 NTP
24.3 运行时动态时间同步
24.4 设置本地参考时钟
24.5 与外部时间参考 (ETR) 的时钟同步
25 域名系统
25.1 DNS 术语
25.2 安装
25.3 使用 YaST 进行配置
25.4 启动 BIND 名称服务器
25.5 /etc/named.conf 配置文件
25.6 区域文件
25.7 区域数据的动态更新
25.8 安全事务
25.9 DNS 安全性
25.10 更多信息
26 DHCP
26.1 使用 YaST 配置 DHCP 服务器
26.2 DHCP 软件包
26.3 DHCP 服务器 dhcpd
26.4 更多信息
27 通过 NFS 共享文件系统
27.1 概述
27.2 安装 NFS 服务器
27.3 配置 NFS 服务器
27.4 配置客户端
27.5 更多信息
28 Samba
28.1 术语
28.2 安装 Samba 服务器
28.3 启动和停止 Samba
28.4 配置 Samba 服务器
28.5 配置客户端
28.6 将 Samba 用作登录服务器
28.7 带有 Active Directory 的网络中的 Samba 服务器
28.8 高级主题
28.9 更多信息
29 使用 Autofs 按需装入
29.1 安装
29.2 配置
29.3 操作和调试
29.4 自动装入 NFS 共享
29.5 高级主题
30 SLP
30.1 SLP 前端 slptool
30.2 通过 SLP 提供服务
30.3 更多信息
31 Apache HTTP 服务器
31.1 快速入门
31.2 配置 Apache
31.3 启动和停止 Apache
31.4 安装、激活和配置模块
31.5 启用 CGI 脚本
31.6 使用 SSL 设置安全性 Web 服务器
31.7 在同一服务器上运行多个 Apache 实例
31.8 避免安全性问题
31.9 查错
31.10 更多信息
32 使用 YaST 设置 FTP 服务器
32.1 启动 FTP 服务器
32.2 FTP 常规设置
32.3 FTP 性能设置
32.4 身份验证
32.5 专家设置
32.6 更多信息
33 代理服务器 Squid
33.1 有关代理缓存的一些事实
33.2 系统要求
33.3 Squid 的基本用法
33.4 YaST Squid 模块
33.5 Squid 配置文件
33.6 配置透明代理
33.7 使用 Squid 超速缓存管理器 CGI 接口 (cachemgr.cgi)
33.8 squidGuard
33.9 使用 Calamaris 生成缓存报告
33.10 更多信息
34 使用 SFCB 的基于 Web 的企业管理
34.1 简介和基本概念
34.2 设置 SFCB
34.3 SFCB CIMOM 配置
34.4 高级 SFCB 任务
34.5 更多信息
V 移动计算机
35 Linux 中的移动计算
35.1 便携式计算机
35.2 移动硬件
35.3 手提电话和 PDA
35.4 更多信息
36 使用 NetworkManager
36.1 NetworkManager 的用例
36.2 启用或禁用 NetworkManager
36.3 配置网络连接
36.4 NetworkManager 和安全性
36.5 常见问题 (FAQ)
36.6 查错
36.7 更多信息
37 电源管理
37.1 省电功能
37.2 高级配置和电源接口 (ACPI)
37.3 硬盘的休眠
37.4 查错
37.5 更多信息
VI 查错
38 帮助和文档
38.1 文档目录
38.2 手册页
38.3 信息页
38.4 联机资源
39 收集用于支持的系统信息
39.1 显示当前系统信息
39.2 使用 Supportconfig 收集系统信息
39.3 将信息提交到全球技术支持
39.4 分析系统信息
39.5 在安装过程中收集信息
39.6 内核模块支持
39.7 更多信息
40 常见问题及其解决方案
40.1 查找和收集信息
40.2 安装问题
40.3 引导问题
40.4 登录问题
40.5 网络问题
40.6 数据问题
40.7 IBM z Systems:将 initrd 用作救援系统
A 文档更新
A.1 2018 年 9 月(SUSE Linux Enterprise Server 12 SP3 的文档维护版本)
A.2 2018 年 6 月(SUSE Linux Enterprise Server 12 SP3 的文档维护版本)
A.3 2017 年 12 月(SUSE Linux Enterprise Server 12 SP3 的维护版本)
A.4 2017 年 9 月(SUSE Linux Enterprise Server 12 SP3 的初始版本)
A.5 2016 年 11 月(SUSE Linux Enterprise Server 12 SP2 的初始版本)
A.6 2016 年 3 月(SUSE Linux Enterprise Server 12 SP1 的维护版本)
A.7 2015 年 12 月(SUSE Linux Enterprise Server 12 SP1 的初始版本)
A.8 2015 年 2 月(文档维护性更新)
A.9 2014 年 10 月(SUSE Linux Enterprise Server 12 的初始版本)
B 网络示例
C GNU 许可证
C.1 GNU Free Documentation License
插图清单
3.1 YaST 联机更新
5.1 文本方式下 YaST 的主窗口
5.2 软件安装模块
7.1 引导加载程序:快照
8.1 vncviewer
8.2 Remmina 的主窗口
8.3 远程桌面首选项
8.4 快速启动
8.5 正查看 SLES 15 远程会话的 Remmina
8.6 查看配置文件的路径
8.7 远程管理
8.8 VNC 会话设置
8.9 加入持续 VNC 会话
11.1 安全引导支持
11.2 UEFI:安全引导流程
12.1 GRUB 2 引导编辑器
12.2 引导代码选项
12.3 代码选项
12.4 引导加载程序选项
12.5 内核参数
13.1 服务管理器
15.1 YaST systemd 日记
16.1 TCP/IP 的简化层次模型
16.2 TCP/IP 以太网包
16.3 配置网络设置
16.4 wicked 体系结构
24.1 YaST:NTP 服务器
24.2 高级 NTP 配置:安全设置
25.1 DNS 服务器安装:转发器设置
25.2 DNS 服务器安装:DNS 区域
25.3 DNS 服务器安装:完成向导
25.4 DNS 服务器:日志记录
25.5 DNS 服务器:区域编辑器(基本)
25.6 DNS 服务器:区域编辑器(NS 记录)
25.7 DNS 服务器:区域编辑器(MX 记录)
25.8 DNS 服务器:区域编辑器 (SOA)
25.9 为主区域添加记录
25.10 添加反向区域
25.11 添加反向记录
26.1 DHCP 服务器:卡选择
26.2 DHCP 服务器:全局设置
26.3 DHCP 服务器:动态 DHCP
26.4 DHCP 服务器:启动
26.5 DHCP 服务器:主机管理
26.6 DHCP 服务器:Chroot Jail 和声明
26.7 DHCP 服务器:选择声明类型
26.8 DHCP 服务器:配置子网
26.9 DHCP 服务器:TSIG 配置
26.10 DHCP 服务器:动态 DNS 的接口配置
26.11 DHCP 服务器:网络接口和防火墙
27.1 NFS 服务器配置工具
28.1 确定 Windows 域成员资格
28.2 Windows 资源管理器高级属性对话框
28.3 列有压缩文件的 Windows 资源管理器目录
28.4 在启用快照的情况下添加新的 Samba 共享
28.5 Windows 资源管理器中的以前的版本选项卡
31.1 HTTP 服务器向导:默认主机
31.2 HTTP 服务器向导:摘要
31.3 HTTP 服务器配置:侦听端口和地址
31.4 HTTP 服务器配置:服务器模块
32.1 FTP 服务器配置 - 启动
34.1 基于 Web 的企业管理模式的包选择
34.2 其他 CIM 提供程序的包选择
35.1 在现有环境中集成移动计算机
36.1 GNOME 网络连接对话框
39.1 SCA 工具生成的 HTML 报告
39.2 SCA 设备生成的 HTML 报告
40.1 检查媒体
40.2 美式键盘布局
范例清单
1.1 用于打印文本的外壳脚本
6.1 Zypper — 已知储存库的列表
6.2 rpm -q -i wget
6.3 搜索包的脚本
7.1 时间线配置示例
12.1 grub2-mkconfig 用法
12.2 grub2-mkrescue 用法
12.3 grub2-script-check 用法
12.4 grub2-once 用法
13.1 列出活动服务
13.2 列出失败的服务
13.3 列出属于某个服务的所有进程
16.1 编写 IP 地址
16.2 将 IP 地址链接到网络掩码
16.3 示例 IPv6 地址
16.4 指定前缀长度的 IPv6 地址
16.5 通用网络接口和部分静态路由
16.6 /etc/resolv.conf
16.7 /etc/hosts
16.8 /etc/networks
16.9 /etc/host.conf
16.10 /etc/nsswitch.conf
16.11 命令 ping 的输出
16.12 通过网络协作进行负载平衡的配置
16.13 DHCP 网络协作设备的配置
17.1 来自 lpd 的错误消息
17.2 来自 CUPS 网络服务器的广播
18.1 指定渲染算法
18.2 别名和系列名称替代
18.3 别名和系列名称替代
18.4 别名和系列名称替代
21.1 示例 udev 规则
23.1 /etc/crontab 中的项
23.2 /etc/crontab:删除时戳文件
23.3 ulimit:~/.bashrc 中的设置
25.1 named.conf 中的转发选项
25.2 基本的 /etc/named.conf
25.3 禁用日志记录的项
25.4 example.com 的区域项
25.5 example.net 的区域项
25.6 /var/lib/named/example.com.zone 文件
25.7 反向查找
26.1 配置文件 /etc/dhcpd.conf
26.2 配置文件的添加项
28.1 CD-ROM 共享
28.2 [homes] 共享
28.3 smb.conf 中的 global 部分
28.4 使用 rpcclient 请求 Windows Server 2012 共享快照
31.1 基于名称的 VirtualHost 项的基本示例
31.2 基于名称的 VirtualHost 指令
31.3 基于 IP 的 VirtualHost 指令
31.4 基本 VirtualHost 配置
31.5 VirtualHost CGI 配置
33.1 通过 squidclient 提交的请求
33.2 定义 ACL 规则
39.1 root 身份登录时的 hostinfo 输出

版权所有 © 2006– 2018 SUSE LLC 和贡献者。保留所有权利。

根据 GNU 自由文档许可证 (GNU Free Documentation License) 版本 1.2 或(根据您的选择)版本 1.3 中的条款,在此授予您复制、分发和/或修改本文档的许可权限;本版权声明和许可证附带不可变部分。许可证版本 1.2 的副本包含在题为GNU 自由文档许可证的部分。

有关 SUSE 商标,请参见 http://www.suse.com/company/legal/。所有其它第三方商标是其各自所有者的财产。商标符号(®、™ 等)代表 SUSE 及其附属公司的商标。星号 (*) 代表第三方商标。

本指南力求涵盖所有详细信息。但这并不确保本指南准确无误。SUSE LLC 及其附属公司、作者和译者对于可能出现的错误或由此造成的后果皆不承担责任。

关于本指南

本指南的目标用户为专业网络管理员和系统管理员,供其在操作 SUSE® Linux Enterprise 的过程中使用。因此,本指南的重点只在于确保 SUSE Linux Enterprise 的配置正确,并且网络上的所需服务都可使用,使其在初始安装后即可正常工作。本指南不包含用于确保 SUSE Linux Enterprise 与用户企业的应用程序软件兼容或者其核心功能符合那些要求的过程。本指南假定已经进行了全面的要求审核,已经请求进行安装或者已经请求进行用于此类审核的测试安装。

本指南包含如下内容:

支持任务和常见任务

SUSE Linux Enterprise 提供了大量工具,用于自定义系统的各个方面。本部分介绍其中几个。一个可用设备技术、高可用性配置及高级管理功能的明细表向管理员介绍了该系统。

系统

通过研究本部分了解关于底层操作系统的更多信息。SUSE Linux Enterprise 支持若干种硬件体系结构,您可以参考此信息来调整自己的应用程序,以便在 SUSE Linux Enterprise 上运行。引导加载程序和引导过程信息有助于您了解 Linux 系统的工作方式以及您自己的自定义脚本和应用程序与该系统的调和方式。

服务

SUSE Linux Enterprise 被设计为一个网络操作系统。它提供各种各样的网络服务,例如 DNS、DHCP、Web、代理和身份验证服务。它还可以很好地集成到异构环境中,其中包括 MS Windows 客户端和服务器。

移动计算机

需要特别注意便携式计算机、移动设备(如 PDA 或手机)和 SUSE Linux Enterprise 之间的通讯。要注意省电以及将不同设备集成到不断变化的网络环境中。同时要了解提供所需功能的后台技术。

查错

概述了当您需要更多信息或要执行特定任务时,如何查找帮助和其他文档。还提供了最常见的问题及其解决方法的列表。

1 可用文档

注意
注意:在线文档和最新更新

我们的产品文档可从 http://www.suse.com/documentation/ 获取,您也可以在此处找到最新更新,以及浏览或下载各种格式的文档。

此外,您安装的系统的 /usr/share/doc/manual 下通常会提供产品文档。

针对本产品提供的文档如下:

Article “安装快速入门

列出系统要求,并指导您从 DVD 或 ISO 映像逐步安装 SUSE Linux Enterprise Server

Book “部署指南

显示如何安装单个或多个系统,以及如何利用产品继承功能建立部署基础结构。有各种方法可供选择,可以选择使用本地安装或网络安装服务器,也可以选择使用远程控制、高度自定义的自动安装技术进行大规模部署。

管理指南

讲述系统管理任务,如维护、监视和自定义初始安装的系统。

Book “Virtualization Guide

概述虚拟化技术,并介绍虚拟化的统一接口 libvirt,以及有关特定超级管理程序的详细信息。

Book “储存管理指南

提供有关如何在 SUSE Linux Enterprise Server 上管理储存设备的信息。

Book “AutoYaST”

AutoYaST 系统会使用包含安装和配置数据的 AutoYaST 配置文件,让您以无人照管方式批量部署 SUSE Linux Enterprise Server 系统。该手册将引导您完成自动安装的基本步骤,包括准备、安装和配置。

Book “Security Guide

介绍系统安全的基本概念,包括本地安全方面和网络安全方面。说明如何使用产品固有的安全软件(例如 AppArmor),或者能够可靠收集有关任何安全相关事件的信息的审核系统。

Book “Security and Hardening Guide”

处理安装和设置安全 SUSE Linux Enterprise Server 的特定事项以及进一步确保和强化安装所需的额外安装后步骤。支持管理员选择与安全相关的选项并做出决策。

Book “System Analysis and Tuning Guide

关于问题检测、解决和优化的管理员指南。了解如何使用监视工具检查和优化系统以及如何有效管理资源。还包含常见问题和解决方法的概述以及其他帮助和文档资源。

Book “Subscription Management Tool for SLES 12 SP4

订阅管理工具管理员指南。订阅管理工具是用于 SUSE Customer Center 并包含储存库和注册目标的代理系统。了解如何安装和配置本地 SMT 服务器、镜像和管理储存库、管理客户端计算机,以及配置客户端以使用 SMT。

Book “GNOME 用户指南

介绍 SUSE Linux Enterprise Server 的 GNOME 桌面。指导您使用和配置桌面并帮助您执行关键任务。它主要面向想要有效使用 GNOME 作为其默认桌面的最终用户。

2 反馈

提供了多种反馈渠道:

错误和增强请求

有关产品可用的服务和支持选项,请参见 http://www.suse.com/support/

有关 openSUSE 的帮助由社区提供。有关更多信息,请参考 https://en.opensuse.org/Portal:Support

要报告产品组件的 Bug,请访问 https://scc.suse.com/support/requests 并登录,然后单击新建

用户意见

我们希望收到您对本手册和本产品中包含的其他文档的意见和建议。请使用联机文档每页底部的“用户注释”功能或转到 http://www.suse.com/documentation/feedback.html 并在此处输入注释。

邮件

如有对本产品文档的反馈,也可以发送邮件至 doc-team@suse.com。请确保反馈中含有文档标题、产品版本和文档发布日期。要报告错误或给出增强建议,请提供问题的简要说明并指出相应章节编号和页码(或 URL)。

3 文档约定

本文档中使用了以下通知和排版约定:

  • /etc/passwd:目录名称和文件名

  • PLACEHOLDERPLACEHOLDER 将会替换为实际的值

  • PATH:环境变量 PATH

  • ls--help:命令、选项和参数

  • user:用户和组

  • package name :包名称

  • AltAltF1:按键或组合键;这些键以大写形式显示,如在键盘上一样

  • 文件文件 › 另存为:菜单项,按钮

  • x86_64 本段内容仅与 AMD64/Intel 64 体系结构相关。箭头标记文本块的开始位置和结束位置。

    System z, POWER 本段内容仅与 z SystemsPOWER 体系结构相关。箭头标记文本块的开始位置和结束位置。

  • 跳舞的企鹅企鹅一章,↑其他手册):此内容参见自其他手册中的一章。

  • 必须使用 root 特权运行的命令。您往往还可以在这些命令前加上 sudo 命令,以非特权用户身份来运行它们。

    root # command
    tux > sudo command
  • 可以由非特权用户运行的命令。

    tux > command
  • 注意

    警告
    警告:警告通知

    在继续操作之前,您必须了解的不可或缺的信息。向您指出有关安全问题、潜在数据丢失、硬件损害或物理危害的警告。

    重要
    重要:重要通知

    在继续操作之前,您必须了解的重要信息。

    注意
    注意:注意通知

    额外信息,例如有关软件版本差异的信息。

    提示
    提示:提示通知

    有用信息,例如指导方针或实用性建议。

4 关于本文档的制作

本文档用 SUSEDoc(DocBook 5 的子集)编写而成。XML 源文件用 jing(请参见 https://code.google.com/p/jing-trang/)加以验证、用 xsltproc 进行处理,并用 Norman Walsh 的样式表的自定义版本转换为 XSL-FO。最终的 PDF 通过 Apache Software Foundation 的 FOP 排版。用于制作本文档的开放源代码工具和环境由 DocBook Authoring and Publishing Suite (DAPS) 提供。项目的主页可以在 https://github.com/openSUSE/daps 中找到。

本文档的 XML 源代码可以在 https://github.com/SUSE/doc-sle 中找到。

第 I 部分 常用任务

1 Bash 和 Bash 脚本

现今,许多人都在使用装有 GNOME 之类图形用户界面 (GUI) 的计算机。尽管它们提供了大量功能,但使用它们执行自动任务时,还是会有限制。外壳是对 GUI 的很好补充,本章提供关于外壳(在本例中为 Bash)的某些方面的概述。

2 sudo

许多命令和系统实用程序都需要以 root 身份运行才能修改文件和/或执行只有超级用户方能执行的任务。为了确保安全和避免发生意外运行危险命令的情况,通常建议不要直接以 root 身份登录。建议的做法是以非特权的普通用户身份工作,并使用 sudo 命令来运行需要较高特权的命令。

3 YaST 联机更新

SUSE 持续为您的产品提供软件安全更新。默认情况下,用更新小程序来保持您的系统是最新的。有关更新小程序的更多信息请参考Book “部署指南”, Chapter 13 “安装或删除软件”, Section 13.5 “保持系统最新”。本章介绍用于更新软件包的备用工具:YaST 联机更新。

4 YaST

YaST 是 SUSE Linux Enterprise Server 的安装和配置工具。它具有图形界面,并且能够在安装期间和安装之后快速自定义系统。它可用于设置硬件、配置网络、系统服务和调整安全性设置。

5 文本方式的 YaST

本章所针对的读者是在其系统上不运行 X 服务器而依赖于基于文本的安装工具的系统管理员和专家。它提供了与以文本方式启动和操作 YaST 有关的基本信息。

6 使用命令行工具管理软件

本章描述 Zypper 和 RPM,这是两个用于管理软件的命令行工具。有关此环境中使用的术语定义(例如,储存库增补程序更新),请参见Book “部署指南”, Chapter 13 “安装或删除软件”, Section 13.1 “术语定义”

7 通过 Snapper 进行系统恢复和快照管理

能够生成文件系统快照以便在 Linux 上实现回滚,这是过去常常要求提供的功能。如今,Snapper 与 Btrfs 文件系统或瘦配置的 LVM 卷相结合,填补了这一空白。

Btrfs 是全新的 Linux 写入时复制文件系统。它支持为子卷(每个物理分区中的一或多个单独的可装入文件系统)生成文件系统快照(复制子卷在某个时间点的状态)。XFS、Ext4 或 Ext3 格式的精简 LVM 卷上也支持快照。您可以使用 Snapper 创建并管理这些快照。Snapper 有一个命令行和一个 YaST 界面。从 SUSE Linux Enterprise Server 12 开始,还可以从 Btrfs 快照引导。有关详细信息,请参见第 7.3 节 “通过从快照引导来执行系统回滚”

8 使用 VNC 远程访问

利用虚拟网络计算(Virtual Network Computing,VNC)可以通过图形桌面控制远程计算机(与远程外壳访问相对)。VNC 是独立于平台的并允许您从任何操作系统访问远程计算机。

SUSE Linux Enterprise Server 支持两种不同种类的 VNC 会话:自客户端启动起在 VNC 连接期间在线的一次性会话和始终在线直到被明确终止的永久会话。

9 使用 RSync 复制文件

当今时代,用户通常都会有数台计算机:家用计算机和办公计算机、笔记本电脑、智能手机或平板电脑。因而,在多个设备之间保持文件和文档同步的任务就变得越发重要。

1 Bash 和 Bash 脚本

摘要

现今,许多人都在使用装有 GNOME 之类图形用户界面 (GUI) 的计算机。尽管它们提供了大量功能,但使用它们执行自动任务时,还是会有限制。外壳是对 GUI 的很好补充,本章提供关于外壳(在本例中为 Bash)的某些方面的概述。

1.1 什么是外壳

通常来说,外壳就是指 Bash(Bourne again 外壳)。在本章中提到外壳时,指的是 Bash。事实上,除了 Bash 还存在很多其他外壳(ash、csh、ksh、zsh 等),每种外壳都具备不同的功能和特征。如果需要关于其他外壳的更多信息,请在 YaST 中搜索外壳

1.1.1 了解 Bash 配置文件

外壳可调用为:

  1. 交互式登录外壳:  当登录计算机时需要使用此方式,即使用 --login 选项调用 Bash 或通过 SSH 登录到远程计算机时。

  2. 普通交互式外壳:  这通常在启动 xterm、konsole、gnome 终端或类似工具时使用。

  3. 非交互式外壳:  当在命令行调用外壳脚本时使用。

根据所用外壳的类型,会读取不同的配置文件。下表显示登录和非登录外壳的配置文件。

表 1.1︰ 登录外壳的 Bash 配置文件

文件

描述

/etc/profile

不要修改此文件,否则在下一次更新时可能损坏您的修改!

/etc/profile.local

如果扩展 /etc/profile,请使用此文件

/etc/profile.d/

包含特定程序的系统范围配置文件

~/.profile

在此处插入特定于用户的登录外壳配置

请注意,登录外壳还会获取表 1.2 “非登录外壳的 Bash 配置文件”中所列的配置文件。

表 1.2︰ 非登录外壳的 Bash 配置文件

/etc/bash.bashrc

不要修改此文件,否则在下一次更新时可能损坏您的修改!

/etc/bash.bashrc.local

使用此文件插入系统范围的修改(仅 Bash)

~/.bashrc

在此处插入特定于用户的配置

此外,Bash 还使用更多文件:

表 1.3︰ 用于 Bash 的特殊文件

文件

描述

~/.bash_history

包含已键入的所有命令的列表

~/.bash_logout

注销时执行

~/.alias

用户为常用命令定义的别名。有关如何定义别名的详细信息,请参见 man 1 alias

1.1.2 目录结构

下表简要介绍 Linux 系统上最重要的较高级别目录。以下列表中是关于这些目录和重要子目录的更多详细信息。

表 1.4︰ 标准目录树概述

目录

内容

/

根目录 — 目录树的起点。

/bin

基本二进制文件,例如系统管理员和普通用户都需要的命令。通常还包含外壳,如 Bash。

/boot

引导加载程序的静态文件。

/dev

访问特定于主机的设备所需的文件。

/etc

特定于主机的系统配置文件。

/home

储存系统上具有帐户的所有用户的用户主目录。但是,root 的主目录不在 /home 中,而是在 /root 中。

/lib

基本共享库和内核模块。

/media

可卸媒体的安装点。

/mnt

临时装入文件系统的安装点。

/opt

附加应用程序软件包。

/root

超级用户 root 的主目录。

/sbin

基本系统二进制文件。

/srv

系统提供的服务的数据。

/tmp

临时文件。

/usr

具有只读数据的辅助层次结构。

/var

变量数据,如日志文件。

/windows

只在系统上同时安装了 Microsoft Windows* 和 Linux 时可用。包含 Windows 数据。

以下列表提供有关这些目录中有哪些文件和子目录的更多详细信息,并给出一些示例:

/bin

包含 root 和其他用户都可使用的基本 shell 命令。这些命令包括 lsmkdircpmvrmrmdir/bin 也包含 Bash,它是 SUSE Linux Enterprise Server 中的默认外壳。

/boot

包含引导所需的数据,如引导加载程序、内核以及内核开始执行用户模式程序之前使用的其他数据。

/dev

储存代表硬件组件的设备文件。

/etc

包含控制诸如 X Window 系统等程序操作的本地配置文件。/etc/init.d 子目录包含引导过程中可执行的 LSB init 脚本。

/home/USERNAME

储存在系统中建立帐户的所有用户的私人数据。这里的文件只能由其拥有者或系统管理员修改。默认情况下,电子邮件目录和个人桌面配置以隐藏文件和目录的形式储存在此处,例如 .gconf/.config

注意
注意:网络环境中的用户主目录

如果在网络环境中工作,则您的用户主目录可能映射到文件系统中除 /home 之外的其他目录中。

/lib

包含引导系统和运行 root 文件系统中的命令所需的基本共享库。共享库相当于 Windows 中的 DLL 文件。

/media

包含 CD-ROM、闪存盘和数码相机(如果它们使用 USB)等可卸媒体的安装点。/media 通常包含除系统硬盘之外的各类驱动器。可卸媒体插入或连接到系统并装入之后,您便可从此处访问该媒体。

/mnt

此目录提供临时装入的文件系统的安装点。root 可以在此处装入文件系统。

/opt

保留用于安装第三方软件。在此处可以找到可选软件和较大附加产品程序包。

/root

root 用户的主目录。root 的个人数据储存在此处。

/run

systemd 和各个组件使用的 tmpfs 目录。/var/run/run 的符号链接。

/sbin

s 所表明的,该目录储存超级用户的实用程序。/sbin 包含 /bin 中的二进制文件以及引导和恢复系统所需的其他二进制文件。

/srv

储存系统提供的服务(如 FTP 和 HTTP)的数据。

/tmp

此目录由需要临时储存文件的程序使用。

重要
重要:在引导时清理 /tmp

系统重引导后,之前储存在 /tmp 中的数据无法保证仍然存在。这视情况而定,例如,取决于 /etc/tmpfiles.d/tmp.conf 中所做的设置。

/usr

/usr 与用户无关,而是 Unix 系统资源 (Unix system resource) 的缩写。/usr 中的数据是可以在符合文件系统层次标准 (FHS) 的各个主机之间共享的静态只读数据。此目录包含所有应用程序(包括 GNOME 等图形桌面),并且会在文件系统中创建次要层次。/usr 储存了多个子目录,例如 /usr/bin/usr/sbin/usr/local/usr/share/doc

/usr/bin

包含一般可访问的程序。

/usr/sbin

包含为系统管理员保留的程序,例如维修功能。

/usr/local

在此目录中,系统管理员可以安装本地的独立于分发包的扩展。

/usr/share/doc

储存系统的各种文档文件和发行描述。在 manual 子目录中可以找到此手册的联机版本。如果安装了多种语言,则此目录可能包含这些手册不同语言的版本。

packages 下可以找到系统上安装的软件包中包含的文档。对于每个包,都会创建一个子目录 /usr/share/doc/packages/PACKAGENAME,通常用其储存该包的自述文件,有时储存示例、配置文件或附加脚本。

如果系统上安装了操作指南,/usr/share/doc 还会包含 howto 子目录,其中有与 Linux 软件的安装和操作相关的许多任务的附加文档。

/var

/usr 用于储存静态只读的数据,而 /var 用于在系统操作期间写入并成为变量数据的数据,例如日志文件或假脱机数据。有关最重要日志文件的概述,可以在 /var/log/ 下找到,请参见见表 40.1 “日志文件”

1.2 编写外壳脚本

使用外壳脚本可以方便地完成各种任务:收集数据、在文本中搜索单词或短语,以及执行其他有用的操作。以下示例显示用于打印文本的小外壳脚本:

例 1.1︰ 用于打印文本的外壳脚本
#!/bin/sh 1
# Output the following line: 2
echo "Hello World" 3

1

第一行开头是 Shebang 字符 (#!),它表示此文件是一个脚本。该脚本使用 Shebang 后的指定解释程序执行,在本示例中为 /bin/sh

2

第二行是一个以哈希符号开头的注释。建议对较难理解的行进行注释以记住它们的作用。

3

第三行使用内置命令 echo 打印相应文本。

可以运行该脚本之前,需要一些先决条件:

  1. 每个脚本都应包含 Shebang 行(如上面的示例所示)。如果该行缺失,您需要手动调用解释器。

  2. 可以将该脚本保存在任何位置。但是,建议将其保存在外壳可以找到的目录中。外壳中的搜索路径由环境变量 PATH 确定。通常,一般用户不具有对 /usr/bin 的写权限。因此,建议将脚本保存在用户目录 ~/bin/ 中。在上例中使用名称 hello.sh

  3. 该脚本需要可执行权限。使用以下命令设置权限:

    chmod +x ~/bin/hello.sh

如果已满足上述所有先决条件,则可以按如下方式执行此脚本:

  1. 作为绝对路径:  可以使用绝对路径执行脚本。在本例中为 ~/bin/hello.sh

  2. 所有位置:  如果 PATH 环境变量包含脚本所在目录,则可以使用 hello.sh 来执行该脚本。

1.3 重定向命令事件

每个命令都可以使用三个通道输入或输出:

  • 标准输出:  这是默认的输出通道。在命令打印某些内容时都会使用标准输出通道。

  • 标准输入:  如果一个命令需要用户或其他命令输入,则使用此通道。

  • 标准错误:  命令使用此通道报告错误。

要重定向这些通道,有以下可行的操作方式:

命令 > 文件

将该命令的输出保存为文件,将删除现有文件。例如,ls 命令会将其输出写入文件 listing.txt

ls > listing.txt
命令 >> 文件

将命令输出追加到文件。例如,ls 命令会将其输出追加到文件 listing.txt

ls >> listing.txt
命令 < 文件

读取该文件作为给定命令的输入。例如,read 命令会将此文件的内容读入变量:

read a < foo
命令 1 | 命令 2

将左侧命令的输出重定向为右侧命令的输入。例如,cat 命令会输出文件 /proc/cpuinfo 的内容。grep 使用此输出仅过滤出包含 cpu 的行:

cat /proc/cpuinfo | grep cpu

每个通道都有一个文件描述符:0(零)表示标准输入,1 表示标准输出,2 表示标准错误。允许在 <> 字符前插入此文件描述符。例如,以下行搜索以 foo 开头的文件,但通过将错误重定向到 /dev/null 而抑制错误。

find / -name "foo*" 2>/dev/null

1.4 使用别名

别名是一个或多个命令的快捷方式定义。别名的语法为:

alias NAME=DEFINITION

例如,下行定义了一个别名 lt,它会输出一份较长的列表(选项 -l),将其按修改时间排序 (-t),并按排好序的倒序打印 (-r):

alias lt='ls -ltr'

要查看所有别名定义,请使用 alias。使用 unalias 和相应的别名删除别名。

1.5 在 Bash 中使用变量

外壳变量可以是全局变量,也可以是局部变量。全局变量(或环境变量)可以在所有外壳中访问。而局部变量仅在当前外壳中可见。

要查看所有环境变量,请使用 printenv 命令。如果需要知道变量的值,请将变量名称作为自变量插入:

printenv PATH

也可以使用 echo 查看变量(无论是全局或本地变量):

echo $PATH

要设置局部变量,请使用变量名后加等号和值:

PROJECT="SLED"

不要在等号两边插入空格,否则会出错。要设置环境变量,请使用 export

export NAME="tux"

要删除变量,请使用 unset

unset NAME

下表包含外壳脚本中可以使用的一些常见环境变量:

表 1.5︰ 有用的环境变量

HOME

当前用户的用户主目录

HOST

当前主机名

LANG

当一个工具本地化后,它使用此环境变量中的语言。英语也可以设置为 C

PATH

外壳的搜索路径,冒号分隔的目录列表

PS1

指定在每个命令前打印的普通提示符

PS2

指定在执行多行命令时打印的辅助提示符

PWD

当前工作目录

USER

当前用户

1.5.1 使用自变量

例如,如果具有脚本 foo.sh,则可以如下执行:

foo.sh "Tux Penguin" 2000

要访问传递给脚本的所有自变量,您需要定位参数。$1 表示第一个自变量,$2 表示第二个自变量,依此类推。至多可以有九个参数。要获取脚本名称,请使用 $0

以下脚本 foo.sh 打印从 1 到 4 的所有自变量:

#!/bin/sh
echo \"$1\" \"$2\" \"$3\" \"$4\"

如果使用上述自变量执行此脚本,将获取:

"Tux Penguin" "2000" "" ""

1.5.2 使用变量替换

变量替换将一个模式应用于变量的内容(从左侧或从右侧)。以下列表包含可能的语法格式:

${VAR#pattern}

从左侧删除可能的最短匹配:

file=/home/tux/book/book.tar.bz2
echo ${file#*/}
home/tux/book/book.tar.bz2
${VAR##pattern}

从左侧删除可能的最长匹配:

file=/home/tux/book/book.tar.bz2
echo ${file##*/}
book.tar.bz2
${VAR%pattern}

从右侧删除可能的最短匹配:

file=/home/tux/book/book.tar.bz2
echo ${file%.*}
/home/tux/book/book.tar
${VAR%%pattern}

从右侧删除可能的最长匹配:

file=/home/tux/book/book.tar.bz2
echo ${file%%.*}
/home/tux/book/book
${VAR/pattern_1/pattern_2}

将来自 PATTERN_1VAR 的内容替代为 PATTERN_2

file=/home/tux/book/book.tar.bz2
echo ${file/tux/wilber}
/home/wilber/book/book.tar.bz2

1.6 将命令分组和组合

外壳允许您对命令执行连接和分组以有条件地执行。每个命令都返回一个退出码,该退出码确定操作是成功还是失败。如果是 0,则命令成功,任何其他值都表示特定于该命令的一个错误。

以下列表显示可以如何将命令分组:

命令 1 ; 命令 2

顺序地执行这些命令。不检查退出码。以下行使用 cat 显示文件的内容,然后使用 ls 打印其文件属性,而不考虑退出码:

cat filelist.txt ; ls -l filelist.txt
命令 1 && 命令 2

如果左侧命令成功,则运行右侧命令(逻辑运算符 AND)。仅当上一个命令成功时,以下行才显示文件的内容并打印其文件属性(将其与列表中的上一项相比较):

cat filelist.txt && ls -l filelist.txt
命令 1 || 命令 2

当左侧命令失败时运行右侧命令(逻辑运算符 OR)。以下行仅当在 /home/tux/foo 中创建目录失败时才会在 /home/wilber/bar 中创建目录:

mkdir /home/tux/foo || mkdir /home/wilber/bar
funcname(){ ... }

创建外壳函数。您可以使用定位参数访问其自变量。以下行定义用于打印短消息的函数 hello

hello() { echo "Hello $1"; }

您可以如下调用此函数:

hello Tux

它会打印:

Hello Tux

1.7 使用通用流程构造语句

为了控制脚本的流程,外壳有 whileifforcase 等构造语句。

1.7.1 if 控制命令

if 命令用于检查表达式。例如,以下代码测试当前用户是否是 Tux:

if test $USER = "tux"; then
  echo "Hello Tux."
else
  echo "You are not Tux."
fi

测试表达式既可以复杂也可以简单。以下表达式检查文件 foo.txt 是否存在:

if test -e /tmp/foo.txt ; then
  echo "Found foo.txt"
fi

测试表达式也可以缩写在角括号中:

if [ -e /tmp/foo.txt ] ; then
  echo "Found foo.txt"
fi

http://www.cyberciti.biz/nixcraft/linux/docs/uniqlinuxfeatures/lsst/ch03sec02.html 上可以找到更多有用表达式。

1.7.2 使用 for 命令创建循环

for 循环允许您对一系列项执行命令。例如,以下代码打印关于当前工作目录中 PNG 文件的某些信息:

for i in *.png; do
 ls -l $i
done

1.8 更多信息

关于 Bash 的重要信息在手册页 man bash 中提供。可以在以下列表中找到关于此主题的更多信息:

2 sudo

许多命令和系统实用程序都需要以 root 身份运行才能修改文件和/或执行只有超级用户方能执行的任务。为了确保安全和避免发生意外运行危险命令的情况,通常建议不要直接以 root 身份登录。建议的做法是以非特权的普通用户身份工作,并使用 sudo 命令来运行需要较高特权的命令。

SUSE Linux Enterprise Server 上,sudo 默认配置为与 su 的工作方式类似。但是,sudo 可让用户以高度可配置的方式使用任何其他用户的特权来运行命令。这样,便可为某些用户和组指派具有特定特权的角色。举例来说,可以允许组 users 的成员使用 wilber 的特权运行命令。例如,通过禁止指定任何命令选项,可以进一步限制对命令的权限。虽然 su 始终需要 root 口令才能使用 PAM 进行身份验证,但是您可以将 sudo 配置为使用您自己的身份凭证进行身份验证。这样就不需要共享 root 口令,从而提高了安全性。例如,您可以允许 users 组的成员以 wilber 身份运行 frobnicate 命令,但限制其不能指定自变量。这样,便可为某些用户和组指派具有特定能力的角色。

2.1 sudo 基本用法

虽然 sudo 简单易用,功能却十分强大。

2.1.1 运行单个命令

以普通用户身份登录后,您可以在命令前加上 sudoroot 身份运行任何命令。按照提示输入 root 口令后,如果身份验证成功,您便能以 root 身份运行命令:

tux > id -un1
tux
tux > sudo id -un
root's password:2
root
tux > id -un
tux3
tux > sudo id -un
4
root

1

id -un 命令会打印当前用户的登录名。

2

在输入过程中不会显示口令,无论是明文还是密文均不显示。

3

只有以 sudo 开头的命令才会使用较高的特权运行。如果是不带 sudo 前缀的相同命令,仍会使用当前用户的特权运行。

4

在限定时间内,您无需再次输入 root 口令。

提示
提示:I/O 重定向

I/O 重定向的工作方式与您预期的可能不同:

tux >  sudo echo s > /proc/sysrq-trigger
bash: /proc/sysrq-trigger: Permission denied
tux >  sudo cat < /proc/1/maps
bash: /proc/1/maps: Permission denied

只有 echo/cat 二进制会使用较高特权运行,重定向则由用户外壳使用用户特权执行。您可以按第 2.1.2 节 “启动外壳”中所述启动外壳,也可以使用 dd 实用程序来启动:

echo s | sudo dd of=/proc/sysrq-trigger
sudo dd if=/proc/1/maps | cat

2.1.2 启动外壳

必须在每条命令前加上 sudo 可能很繁琐。虽然可以将外壳指定为命令 sudo bash,但还是建议您使用以下其中一种内置机制来启动外壳:

sudo -s (<命令>)

启动 SHELL 环境变量所指定的外壳或目标用户的默认外壳。如果给定了命令,则会将该命令传递给外壳(使用 -c 选项),否则外壳会以交互模式运行。

tux:~ > sudo -i
root's password:
root:/home/tux # exit
tux:~ > 
sudo -i (<命令>)

-s 类似,但是会将外壳启动为登录外壳。也就是说,系统会对外壳的启动文件(.profile 等)进行处理,并会将当前的工作目录设置为目标用户的主目录。

tux:~ > sudo -i
root's password:
root:~ # exit
tux:~ > 

2.1.3 环境变量

默认情况下,sudo 不会传播环境变量:

tux > ENVVAR=test env | grep ENVVAR
ENVVAR=test
tux > ENVVAR=test sudo env | grep ENVVAR
root's password:
1
tux > 

1

输出为空即表明在使用 sudo 运行的命令的环境中不存在环境变量 ENVVAR

此行为可通过 env_reset 选项进行更改,请参见表 2.1 “有用的标志和选项”

2.2 配置 sudo

sudo 是一个非常灵活的工具,提供各种配置选项。

注意
注意:无法使用 sudo

如果您不小心将自己锁定在 sudo 之外,则可以使用 su -root 口令来获取 root 外壳。要修复该错误,请运行 visudo

2.2.1 编辑配置文件

sudo 的主要策略配置文件为 /etc/sudoers。如果此文件中存在错误,您可能便会无法进入系统,因此强烈建议您使用 visudo 来编辑配置文件。此举可防止同时更改打开的文件,并会在保存修改之前检查语法错误。

您还可以通过设置 EDITOR 环境变量来使用除 vi 以外的编辑器(不论名字如何),例如:

sudo EDITOR=/usr/bin/nano visudo

不过,/etc/sudoers 文件本身是由系统包提供的,更新时这些修改可能会取消。因此,建议您将自定义配置放到 /etc/sudoers.d/ 目录下的文件中。该目录下的任何文件都会自动纳入系统中。要在该子目录下创建或编辑文件,请运行:

sudo visudo -f /etc/sudoers.d/NAME

或者,使用其他编辑器(例如 nano):

sudo EDITOR=/usr/bin/nano visudo -f /etc/sudoers.d/NAME
注意
注意:/etc/sudoers.d 中忽略的文件

/etc/sudoers 中的 #includedir 命令(用于 /etc/sudoers.d)会忽略以 ~(波浪号)结尾或包含 .(点)的文件。

关于 visudo 命令的详细信息,请运行 man 8 visudo

2.2.2 sudoers 基本配置语法

在 sudoers 配置文件中,有两种类型的选项:字符串和标志。字符串可以包含任何值,而标志则只能在“ON”或“OFF”之间切换。sudoers 配置文件最重要的语法构造为:

# Everything on a line after a # gets ignored 1
Defaults !insults # Disable the insults flag 2
Defaults env_keep += "DISPLAY HOME" # Add DISPLAY and HOME to env_keep
tux ALL = NOPASSWD: /usr/bin/frobnicate, PASSWD: /usr/bin/journalctl 3

1

#include#includedir 这两个普通命令例外。其后跟数字,用于指定 UID。

2

去除 ! 可将指定的标志设置为“ON”。

3

请参见第 2.2.3 节 “sudoers 中的规则”

表 2.1︰ 有用的标志和选项

选项名称

说明

示例

targetpw

此标志控制调用用户是需要输入目标用户(例如 root)的口令 (ON) 还是需要输入调用用户的口令 (OFF)。

Defaults targetpw # Turn targetpw flag ON
rootpw

如果设置了该选项,sudo 会提示输入 root 口令,而非目标用户或调用者的口令。默认值为“OFF”。

Defaults !rootpw # Turn rootpw flag OFF
env_reset

如果设置了该选项,sudo 会构造一个仅包含 TERMPATHHOMEMAILSHELLLOGNAMEUSERUSERNAMESUDO_* 集的最小环境。此外,会从调用环境导入 env_keep 中列出的变量。默认值为“ON”。

Defaults env_reset # Turn env_reset flag ON
env_keep

env_reset 标志设为“ON”时要保留的环境变量列表。

# Set env_keep to contain EDITOR and PROMPT
Defaults env_keep = "EDITOR PROMPT"
Defaults env_keep += "JRE_HOME" # Add JRE_HOME
Defaults env_keep -= "JRE_HOME" # Remove JRE_HOME
env_delete

env_reset 标志设为“OFF”时要去除的环境变量列表。

# Set env_delete to contain EDITOR and PROMPT
Defaults env_delete = "EDITOR PROMPT"
Defaults env_delete += "JRE_HOME" # Add JRE_HOME
Defaults env_delete -= "JRE_HOME" # Remove JRE_HOME

还可以使用 Defaults 令牌为用户、主机和命令集合创建别名。并且,可以仅将选项应用到特定用户集。

关于 /etc/sudoers 配置文件的详细信息,请参见 man 5 sudoers

2.2.3 sudoers 中的规则

sudoers 配置中的规则可能会非常复杂,因此本节仅涉及基本内容。每个规则都遵循基本模式([] 标记的是可选部分):

#Who      Where         As whom      Tag                What
User_List Host_List = [(User_List)] [NOPASSWD:|PASSWD:] Cmnd_List
sudoers 规则的语法
User_List

一个或多个(用 , 分隔)标识符:用户名、格式为 %GROUPNAME 的组或格式为 #UID 的用户 ID。可以使用 ! 前缀来取反。

Host_List

一个或多个(用 , 分隔)标识符:(完全限定的)主机名或 IP 地址。可以使用 ! 前缀来取反。Host_List 的惯常选项为 ALL

NOPASSWD:|PASSWD:

如果用户在 NOPASSWD: 后面运行的命令与 CMDSPEC 匹配,系统不会提示用户输入口令。

PASSWD 为默认选项,仅当两个选项位于同一行时才需要指定它:

tux ALL = PASSWD: /usr/bin/foo, NOPASSWD: /usr/bin/bar
Cmnd_List

一个或多个(用 , 分隔)区分符:可执行文件的路径,后跟允许使用的自变量或什么也不跟。

/usr/bin/foo     # Anything allowed
/usr/bin/foo bar # Only "/usr/bin/foo bar" allowed
/usr/bin/foo ""  # No arguments allowed

ALL 可以用作 User_ListHost_ListCmnd_List

允许 tux 在无需输入口令的情况下以 root 身份运行所有命令的规则:

tux ALL = NOPASSWD: ALL

允许 tux 运行 systemctl restart apache2 的规则:

tux ALL = /usr/bin/systemctl restart apache2

允许 tux 在不带自变量的情况下以 admin 身份运行 wall 的规则:

tux ALL = (admin) /usr/bin/wall ""
警告
警告:危险构造

以下类型的构造

ALL ALL = ALL

在没有 Defaults targetpw 的情况下切勿使用,否则任何人都能以 root 身份运行命令。

2.3 常见使用情况

尽管默认配置对于简单的设置和桌面环境通常已经够用,但是自定义配置非常有用。

2.3.1 在无需 root 口令的情况下使用 sudo

在具有特殊限制(用户 X 只能以 root 身份运行命令 Y)的情况下,无法实现此目的。在其他情况下,还是建议进行某种分隔。按照惯例,组 wheel 的成员能以 root 身份运行所有带有 sudo 的命令。

  1. 将自己添加到 wheel

    如果您自己的用户帐户尚不是 wheel 组的成员,请添加该帐户,具体做法是运行 sudo usermod -a -G wheel 用户名然后注销并再次登录。运行 groups 用户名以确认更改是否成功。

  2. 将使用调用用户的口令进行身份验证的选项设为默认设置。

    使用 visudo 创建文件 /etc/sudoers.d/userpw(请参见第 2.2.1 节 “编辑配置文件”)并添加:

    Defaults !targetpw
  3. 选择新默认规则。

    根据是否想要用户重新输入口令,取消对 /etc/sudoers 中特定行的注释,并将默认规则注释掉。

    ## Uncomment to allow members of group wheel to execute any command
    # %wheel ALL=(ALL) ALL
    
    ## Same thing without a password
    # %wheel ALL=(ALL) NOPASSWD: ALL
  4. 提高默认规则的限制性

    /etc/sudoers 中允许一切操作的规则注释掉或去除:

    ALL     ALL=(ALL) ALL   # WARNING! Only use this together with 'Defaults targetpw'!
    警告
    警告:sudoers 中的危险规则

    切勿漏掉这一步,否则任何用户都能以 root 身份执行任何命令。

  5. 测试配置

    尝试以 wheel 的成员和非成员身份运行 sudo

    tux:~ > groups
    users wheel
    tux:~ > sudo id -un
    tux's password:
    root
    wilber:~ > groups
    users
    wilber:~ > sudo id -un
    wilber is not in the sudoers file.  This incident will be reported.

2.3.2 对 X.Org 应用程序使用 sudo

在使用 sudo 启动图形应用程序时,可能会出现以下错误:

tux > sudo xterm
xterm: Xt error: Can't open display: %s
xterm: DISPLAY is not set

YaST 会选择 ncurses 界面而非图形界面。

要在通过 sudo 启动的应用程序中使用 X.Org,需要传播环境变量 DISPLAYXAUTHORITY。要进行此项配置,请创建文件 /etc/sudoers.d/xorg(请参见第 2.2.1 节 “编辑配置文件”)并添加下面一行:

Defaults env_keep += "DISPLAY XAUTHORITY"

如尚未设置 XAUTHORITY 变量,请按如下方式设置:

export XAUTHORITY=~/.Xauthority

现在,X.Org 应用程序便可正常运行:

sudo yast2

2.4 更多信息

使用 sudo --help 可检索有关可用命令行开关的简要概述。如需说明和其他重要信息,请参见手册页:man 8 sudo,配置相关信息详见 man 5 sudoers

3 YaST 联机更新

SUSE 持续为您的产品提供软件安全更新。默认情况下,用更新小程序来保持您的系统是最新的。有关更新小程序的更多信息请参考Book “部署指南”, Chapter 13 “安装或删除软件”, Section 13.5 “保持系统最新”。本章介绍用于更新软件包的备用工具:YaST 联机更新。

更新软件储存库提供了 SUSE® Linux Enterprise Server 的最新增补程序。如果安装时已注册您的产品,则更新安装源已配置。如果您尚未注册 SUSE Linux Enterprise Server,可通过在 YaST 中启动产品注册来完成注册。或者,可以从信任的源中手动添加更新安装源。要添加或去除储存库,请使用 YaST 中的软件 ›  软件储存库来启动储存库管理器。请在Book “部署指南”, Chapter 13 “安装或删除软件”, Section 13.4 “管理软件储存库和服务”中了解更多有关储存库管理器的内容。

注意
注意:访问更新编目时出错

如果您不能访问更新编目,可能是由于订阅已过期。通常,SUSE Linux Enterprise Server 会附带一年或三年的订阅,在此期间您可以访问更新编目。订阅结束后,将拒绝您访问更新编目。

如果访问更新编目时遭到拒绝,您将看到一条警告讯息,提示您访问 SUSE Customer Center 并查看您的订阅。可通过 https://scc.suse.com// 访问 SUSE Customer Center。

SUSE 提供了不同相关级别的更新:

安全性更新

修复严重的安全性危害,请务必安装。

推荐更新

修复可能危及计算机安全的问题。

可选更新

修复非安全性相关的问题或提供增强功能。

3.1 联机更新对话框

要打开 YaST 联机更新对话框,请启动 YaST 并选择软件 › 联机更新。也可以从命令行输入 yast2 online_update 来启动该对话框。

联机更新窗口由四部分组成。

YaST 联机更新
图 3.1︰ YaST 联机更新

左侧的摘要部分列出了 SUSE Linux Enterprise Server 可用的增补程序。增补程序按安全相关性(安全性推荐可选)排序。您可以从显示增补程序类别中选择以下某个选项来更改摘要部分的视图:

必需的增补程序(默认视图)

当前未安装的适用于系统上已安装的包的增补程序。

不需要的增补程序

适用于系统上未安装的包的增补程序,或要求已满足的增补程序(因为已从另一源对相关包进行了更新)。

所有增补程序

SUSE Linux Enterprise Server 的所有可用增补程序。

摘要部分的每个列表项都由符号和增补程序名称组成。如需了解可能符号及其含义的概述,请按 ShiftF1安全性建议增补程序需要的操作是自动预设置的。这些操作有自动安装自动更新自动删除

如果从非更新储存库的某个储存库安装最新包,此安装可能满足此包的某个增补程序的要求。在这种情况下,在增补程序摘要前会显示一个复选标记。该增补程序将显示在列表中,直到将其标记用于安装。这实际上不会安装增补程序(因为该包已经是最新的),而是将该增补程序标记为已安装。

摘要部分选择一个项,可在对话框左下角的增补程序描述中查看简短描述。右上部分列出所选增补程序中包含的包(一个增补程序可以由多个包组成)。单击右上部分中的项可以查看有关增补程序中包含的各个包的细节。

3.2 安装增补程序

在 YaST 的“联机更新”对话框中,您可以一次性安装所有可用的增补程序,也可以手动选择所需的增补程序。还可以还原已应用于系统的增补程序。

默认情况下,您的系统当前可用的所有新增补程序(可选增补程序除外)都已标记为可安装。一旦您单击接受应用,将自动应用它们。如果一个或多个增补程序需要重引导系统,在开始安装增补程序之前,系统会发出相关通知。此时,您可以选择继续安装所选增补程序、跳过需要重引导的所有增补程序的安装并安装剩余的增补程序,或者返回增补程序手动选择屏幕。

过程 3.1︰ 使用 YaST 联机更新应用增补程序
  1. 启动 YaST 并选择软件 ›  联机更新

  2. 要自动应用您的系统当前可用的所有新增补程序(可选增补程序除外),请按应用接受

  3. 首先请修改要应用的增补程序选择:

    1. 使用界面中提供的相应过滤器和视图。有关详细信息,请参见第 3.1 节 “联机更新对话框”

    2. 根据您的需要和喜好选择或取消选择增补程序,方法是右键单击增补程序并从上下文菜单中选择相应操作。

      重要
      重要:始终应用安全性更新

      除非很有必要,否则请不要取消选择任何安全性相关的增补程序。因为这些增补程序可修复严重的安全性危害,防止系统遭受攻击。

    3. 多数增补程序包含几个包的更新。如果要更改单个包的操作,请右键单击包视图中的包,并选择一项操作.

    4. 要确认您的选择并应用所选增补程序,请单击应用接受以继续。

  4. 安装完成后,单击完成退出 YaST 联机更新。您的系统现在已是最新的了。

3.3 自动联机更新

YaST 还提供设置每日、每周或每月自动更新的选项。要使用相应模块,需要先安装 yast2-online-update-configuration 包。

默认情况下,更新将以增量 RPM 的形式供您下载。由于基于增量 RPM 重构建 RPM 包需要占用大量内存和处理器资源,出于性能考虑,某些设置或硬件配置可能要求您禁用增量 RPM。

某些增补程序(如需要许可协议的内核更新或包)需要用户交互,这可能会导致自动更新过程停止。您可以配置为跳过需要用户交互的增补程序。

过程 3.2︰ 配置自动联机更新
  1. 安装后,启动 YaST 并选择软件 ›  联机更新配置

    也可以从命令行输入 yast2 online_update_configuration 来启动该模块。

  2. 激活自动联机更新

  3. 选择更新间隔:每日每周每月

  4. 要自动接受任何许可协议,请激活同意许可证

  5. 如果希望更新过程完全自动执行,请选择是否要跳过交互式增补程序

    重要
    重要:跳过增补程序

    如果选择跳过任何需要交互的包,请同样不定期运行手动联机更新以安装那些增补程序。否则可能会错过重要的增补程序。

  6. 要自动安装更新包推荐的所有软件包,请激活包含推荐的软件包

  7. 要禁用增量 RPM(出于性能方面的考虑),请停用使用增量 RPM

  8. 要按照类别(例如安全性或推荐)过滤增补程序,请激活按类别过滤,并从列表中添加适当的增补程序类别。只会安装选中类别的增补程序,而将跳过其他类别的增补程序。

  9. 单击确定确认您的配置。

之后,自动联机更新将不会自动重启动系统。如果有的包更新需要重引导系统,您需要手动重引导。

4 YaST

YaST 是 SUSE Linux Enterprise Server 的安装和配置工具。它具有图形界面,并且能够在安装期间和安装之后快速自定义系统。它可用于设置硬件、配置网络、系统服务和调整安全性设置。

4.1 高级组合键

YaST 具有一套高级组合键。

Print Screen

截图并保存。当 YaST 在某些桌面环境下运行时可能不可用。

ShiftF4

启用/禁用为视力受损的用户专门优化的配色。

ShiftF7

启用/禁用记录调试讯息。

ShiftF8

打开一个文件对话框,以将日志文件保存到非标准位置。

CtrlShiftAltD

发送一个调试事件。YaST 模块可执行特殊的调试操作来对此作出反应。结果取决于具体的 YaST 模块。

CtrlShiftAltM

启动/停止宏记录器。

CtrlShiftAltP

重新播放宏。

CtrlShiftAltS

显示样式表编辑器。

CtrlShiftAltT

将控件树转储到日志文件。

CtrlShiftAltX

打开一个终端窗口 (xterm)。当通过 VNC 安装时很有用。

CtrlShiftAltY

显示控件树浏览器。

5 文本方式的 YaST

本章所针对的读者是在其系统上不运行 X 服务器而依赖于基于文本的安装工具的系统管理员和专家。它提供了与以文本方式启动和操作 YaST 有关的基本信息。

文本模式的 YaST 使用 ncurses 库提供简单的伪图形用户界面。默认情况下已安装 ncurses 库。用于运行 YaST 的终端仿真器支持的最小大小为 80x25 个字符。

文本方式下 YaST 的主窗口
图 5.1︰ 文本方式下 YaST 的主窗口

以文本模式启动 YaST 时,会显示 YaST 控制中心(请参见图 5.1)。该窗口包含三个区域。左侧方框中显示各种模块所属的类别。此方框在 YaST 启动后处于活动状态,因此以白色粗边框进行标记。活动类别处于选中状态。右侧方框提供活动类别中可用模块的概述。底部框架中包含帮助退出按钮。

启动 YaST 控制中心时,会自动选择软件类别。使用 可更改类别。要从类别中选择某个模块,请使用 激活右侧方框,然后使用 选择该模块。按住箭头键在可用模块列表中滚动。选定模块处于选中状态。按 Enter 启动活动模块。

模块中的各种按钮和选择字段包含一个高亮显示的字母(默认为黄色)。使用 Althighlighted_letter 可直接选择按钮,而无需使用 →| 键导航。要退出 YaST 控制中心,请按 AltQ,或者选择退出并按 Enter

提示
提示:刷新 YaST 对话框

如果 YaST 对话框损坏或变形(例如在调整窗口大小时),请按 CtrlL 来刷新并恢复其内容。

5.1 在模块中导航

下面在介绍 YaST 模块中的控制元素时,均假定所有功能键和 Alt 组合键都可用并且没有被指派不同的全局功能。有关可能出现的异常的信息,请参见第 5.3 节 “组合键的限制”

在按钮和选择列表中导航

使用 →| 键在按钮和包含选择列表的框架之间导航。要以相反顺序导航,请使用 Alt→|Shift→| 组合键。

在选择列表中导航

使用方向键()可浏览包含选择列表的活动方框中的各个元素。如果方框内的项超出了方框宽度,请使用 ShiftShift 来左右水平滚动。也可以使用 CtrlECtrlA。如果使用 会导致更改活动方框或当前选择列表(如同在控制中心内),也可以使用此组合键。

按钮、单选项按钮和复选框

要选择带空方括号(复选框)或空圆括号(单选按钮)的按钮,请按 SpaceEnter 键。或者,可以使用 Althighlighted_letter 直接选择单选按钮和复选框。在这种情况下,无需使用 Enter 键进行确认。如果使用 →| 键导航到某个项目,请按 Enter 键执行所选操作或激活相应的菜单项。

功能密钥

功能键 (F1 ... F12) 可让您快速访问各种按钮。YaST 屏幕底部的行中显示了可用的功能键组合 (FX)。功能键和按钮的实际映射关系取决于活动 YaST 模块,因为不同的模块提供不同的按钮(细节信息添加删除等)。可以将 F10 用作接受确定下一步完成。按 F1 可访问 YaST 帮助。

在 ncurses 方式中使用导航树

某些 YaST 模块使用窗口左侧的导航树选择配置对话框。使用方向键()可在树中导航。使用 Space 可打开或关闭树中的项。在 ncurses 模式下,在导航树中进行选择之后必须按 Enter 才能显示所选对话框。这是一种有意行为,目的是在浏览导航树时避免耗时的重绘。

在软件安装模块中选择软件

使用左侧的过滤器可以限制显示的包数。已安装的包标有字母 i。要更改包的状态,请按 SpaceEnter。或者,也可以使用操作菜单选择所需的状态更改 (安装、删除、更新、禁止或锁定)。

软件安装模块
图 5.2︰ 软件安装模块

5.2 高级组合键

文本模式的 YaST 具有一套高级组合键。

ShiftF1

显示高级热键的列表。

ShiftF4

更改颜色方案。

Ctrl\

退出应用程序。

CtrlL

刷新屏幕。

CtrlD F1

显示高级热键的列表。

CtrlD Shift D

以屏幕截图的形式将对话框转储到日志文件。

CtrlD ShiftY

打开 YDialogSpy 以查看控件层次结构。

5.3 组合键的限制

如果您的窗口管理器使用全局 Alt 组合键,则 YaST 中的 Alt 组合键可能无效。像 AltShift 这样的键也可能会被终端设置占用。

使用 Esc 取代 Alt

可以代替 Alt 而使用 EscAlt 快捷键。例如,EscH 可代替 AltH。(首先按 Esc然后H 键。)

使用 CtrlFCtrlB 执行向后和向前导航

如果 AltShift 组合键由窗口管理器或终端占用,可改用组合键 CtrlF(向前)和 CtrlB(向后)。

功能键的限制

功能键 (F1 ... F12) 也用于执行多种功能。某些功能键可能会被终端占用而不能用于 YaST。但 Alt 组合键和功能键应该始终在纯文本控制台上完全可用。

5.4 YaST 命令行选项

除了文本模式界面以外,YaST 还提供了一个纯命令行界面。要获取 YaST 命令行选项列表,请输入:

yast -h

5.4.1 启动单个模块

为了节省时间,可以直接启动单个 YaST 模块。要启动模块,请输入:

yast <module_name>

要查看系统上所有可用模块名称的列表,请使用 yast -lyast --list。例如,要启动网络模块,请输入 yast lan

5.4.2 从命令行安装包

如果知道包名称且包是由您的任何活动安装源提供的,则可以使用命令行选项 -i 安装该包:

yast -i <package_name>

yast --install <package_name>

PACKAGE_NAME 可以是通过依赖项检查安装的单个简短包名称(例如 gvim),也可以是并非通过依赖项检查安装的 RPM 包的完整路径。

如果需要具有 YaST 未提供的功能的,基于命令行的软件管理实用程序,请考虑使用 Zypper。此实用程序使用相同的软件管理库,这也是 YaST 包管理器的基础。第 6.1 节 “使用 Zypper”中介绍了 Zypper 的基本用法。

5.4.3 YaST 模块的命令行参数

为了在脚本中使用 YaST 功能,YaST 提供了对单个模块的命令行支持。并非所有模块都具有命令行支持。要显示某个模块的可用选项,请输入:

yast <module_name> help

如果模块不提供命令行支持,将以文本方式启动,并显示以下消息:

This YaST module does not support the command line interface.

6 使用命令行工具管理软件

摘要

本章描述 Zypper 和 RPM,这是两个用于管理软件的命令行工具。有关此环境中使用的术语定义(例如,储存库增补程序更新),请参见Book “部署指南”, Chapter 13 “安装或删除软件”, Section 13.1 “术语定义”

6.1 使用 Zypper

Zypper 是一个命令行包管理器,用于安装、更新和去除包及管理储存库。这一点对于完成远程软件管理任务或从外壳脚本管理软件尤其有用。

6.1.1 一般使用

Zypper 的常用语法为:

zypper [--global-options] COMMAND  [--command-options] [arguments]

不需要括在括号中的组件。有关常规选项和所有命令的列表,请参见 zypper help。要获取有关特定命令的帮助,请键入 zypper help 命令

Zypper 命令

执行 Zypper 最简单的方式是,键入其名称后跟一个命令。例如,要将所有需要的增补程序应用于系统,请使用:

tux > sudo zypper patch
全局选项

此外,您还可以选择使用一个或多个全局选项,只需在命令前面键入它们即可:

tux > sudo zypper --non-interactive patch

在上面的示例中,选项 --non-interactive 表示在不询问任何问题的情况下运行命令(自动应用默认回答)。

命令特定的选项

要使用特定于某个命令的选项,请紧接在该命令后面键入这些选项:

tux > sudo zypper patch --auto-agree-with-licenses

在上面的示例中,--auto-agree-with-licenses 用于将所有需要的增补程序应用于系统,不要求您确认任何许可条款,而是自动接受许可条款。

自变量

某些命令需要一个或多个自变量。例如,使用 install 命令时,需要指定您要安装的一个或多个包:

tux > sudo zypper install mplayer

某些选项还需要单个自变量。用以下命令可列出所有已知模式:

tux > zypper search -t pattern

您可以组合上述所有模式。例如,下面的命令在冗长模式下运行时将安装 aspell-deaspell-fr 包(来自 factory 储存库):

tux > sudo zypper -v install --from factory aspell-de aspell-fr

--from 选项确保了在从指定储存库请求包时保留所有储存库的启用状态(用于解析任何依赖项)。

多数 Zypper 命令都有 dry-run 选项,它模拟给定的命令。它可用于测试。

tux > sudo zypper remove --dry-run MozillaFirefox

Zypper 支持 --userdata 字符串全局选项。您可以使用此选项指定一个将会写入 Zypper 的日志文件和插件(例如 Btrfs 插件)的字符串。它可以用于标记和标识日志文件中的事务。

tux > sudo zypper --userdata STRING patch

6.1.2 使用 Zypper 安装和删除软件

要安装或去除包,请使用以下命令:

tux > sudo zypper install PACKAGE_NAME
sudo zypper remove PACKAGE_NAME
警告
警告:不要去除必需的系统包

不要去除必需的系统包,例如 glibczypperkernel 。如果去除这些包,系统可能会变得不稳定,或完全停止工作。

6.1.2.1 选择要安装或去除的包

可以使用 zypper installzypper remove 命令通过多种方法来找到包。

按确切的包名称
tux > sudo zypper install MozillaFirefox
按确切的包名称和版本号
tux > sudo zypper install MozillaFirefox-52.2
按储存库别名和包名称
tux > sudo zypper install mozilla:MozillaFirefox

其中 mozilla 是用于安装的储存库别名。

使用通配符按包名称

您可以选择名称以特定字符串开头或结尾的所有包。使用通配符要小心,特别是去除包的时候。以下命令将安装名称以Moz开头的所有包:

tux > sudo zypper install 'Moz*'
提示
提示:去除所有 -debuginfo

在调试问题时,您有时需要临时安装大量的 -debuginfo 包,以获取有关正在运行的进程的详细信息。在调试会话完成后,如果您需要清理环境,请运行以下命令:

tux > sudo zypper remove '*-debuginfo'
按功能

例如,如果您要安装 Perl 模块但不知道包名称,功能就可以派上用场:

tux > sudo zypper install firefox
按功能、硬件体系结构或版本

可以结合功能指定硬件体系结构和版本:

  • 所需硬件体系结构的名称需要追加在功能的后面,两者以句点分隔。例如,要指定 AMD64/Intel 64 体系结构(在 Zypper 中命名为 x86_64),请使用:

    tux > sudo zypper install 'firefox.x86_64'
  • 版本必须追加到字符串的末尾,并且前面必须带有一个运算符:<(小于)、<=(小于等于)、=(等于)、>=(大于等于)或 >(大于)。

    tux > sudo zypper install 'firefox>=52.2'
  • 还可以指定硬件体系结构与版本组合要求:

    tux > sudo zypper install 'firefox.x86_64>=52.2'
按 RPM 文件的路径

您还可以指定包的本地或远程路径:

tux > sudo zypper install /tmp/install/MozillaFirefox.rpm
tux > sudo zypper install http://download.example.com/MozillaFirefox.rpm

6.1.2.2 同时安装和去除包

要同时安装和去除包,请使用 +/- 修饰符。要安装 emacs 并同时去除 vim ,请使用:

tux > sudo zypper install emacs -vim

要去除 emacs 并同时安装 vim ,请使用:

tux > sudo zypper remove emacs +vim

为避免 - 开头的包名称被解释为命令行选项,要始终把它用作第二个自变量。如果做不到这点,在它之前加上 --

tux > sudo zypper install -emacs +vim       # Wrong
tux > sudo zypper install vim -emacs        # Correct
tux > sudo zypper install -- -emacs +vim    # Correct
tux > sudo zypper remove emacs +vim         # Correct

6.1.2.3 清理已去除包的依赖项

如果您想将在指定的包去除后不再需要的所有包(随指定的包)自动去除,请使用 --clean-deps 选项:

tux > sudo zypper rm PACKAGE_NAME --clean-deps

6.1.2.4 在脚本中使用 Zypper

默认情况下,在安装或删除选定包之前或发生问题时,Zypper 会要求确认。您可以使用 --non-interactive 选项覆盖此行为。必须在实际命令(installremovepatch)的前面指定此选项,如下所示:

tux > sudo zypper --non-interactive install PACKAGE_NAME

该选项允许在脚本和 cron 任务中使用 Zypper。

6.1.2.5 安装或下载源包

要安装某个包的对应源代码包,请使用:

tux > zypper source-install PACKAGE_NAME

root 身份执行时,源包的默认安装位置为 /usr/src/packages/;以用户身份运行时,则为 ~/rpmbuild。可以在本地 rpm 配置中更改这些值。

使用此命令还会安装指定包的版本依赖项。如果不想执行此操作,请添加开关 -D

tux > sudo zypper source-install -D PACKAGE_NAME

要只安装版本依赖项,请使用 -d

tux > sudo zypper source-install -d PACKAGE_NAME

当然,只有当储存库列表中启用了含有源包的储存库时,才能这样做(默认添加但不启用它)。请参见第 6.1.5 节 “用 Zypper 管理安装源” 了解有关储存库管理的细节。

可使用以下方法来获取储存库中所有源包的列表:

tux > zypper search -t srcpackage

您也可以将所有已安装软件包的源包下载到本地目录。要下载源包,请使用:

tux > zypper source-download

默认的下载目录是 /var/cache/zypper/source-download。您可以使用 --directory 选项更改下载目录。若只想显示缺失或多余的包而不进行下载或删除任何内容,请使用 --status 选项。要删除多余的源包,请使用 --delete 选项。要禁用删除,请使用 --no-delete 选项。

6.1.2.6 从禁用的储存库安装包

通常,您只能安装或刷新来自启用的储存库的包。--plus-content 标记选项可帮助您指定要刷新的、要在当前 Zypper 会话期间暂时启用的,以及要在会话完成后禁用的储存库。

例如,要启用可以提供其他 -debuginfo-debugsource 包的储存库,请使用 --plus-content debug。可以多次指定此选项。

要暂时启用此类“调试”储存库以安装特定的 -debuginfo 包,请按如下所示使用该选项:

tux > sudo zypper --plus-content debug \
   install "debuginfo(build-id)=eb844a5c20c70a59fc693cd1061f851fb7d046f4"

对于缺少的 debuginfo 包,gdb 将会报告 build-id 字符串。

6.1.2.7 实用程序

要校验所有依赖项是否仍然满足,并修复缺少的依赖项,请使用:

tux > zypper verify

除了依赖项必须满足外,某些包还推荐其他包。只有在实际可用并可安装时才会安装这些推荐包。如果推荐的包在推荐它们的包已安装(通过添加其他包或硬件)之后才可用,请使用以下命令:

tux > sudo zypper install-new-recommends

此命令在插入网络摄像头或 Wi-Fi 设备后非常有用。如果可用,它将安装设备驱动程序和相关软件。只有在满足特定硬件依赖项后,才可安装驱动程序和相关软件。

6.1.3 使用 Zypper 更新软件

用 Zypper 更新软件有三种方式:安装包、安装包的新版本或更新整个分发包。最后一种方式可通过 zypper dist-upgrade 来实现。中介绍了如何升级 SUSE Linux Enterprise ServerBook “部署指南”, Chapter 19 “升级 SUSE Linux Enterprise”

6.1.3.1 安装全部所需的增补程序

要安装所有适用于您系统的正式发布的增补程序,请运行:

tux > sudo zypper patch

系统将会检查您计算机上配置的储存库中提供的所有增补程序是否与您的安装相关。如果相关(未分为可选功能类别),则会立即安装这些增补程序。请注意,正式的更新储存库仅在注册 SUSE Linux Enterprise Server 安装后才可用。

如果即将安装的增补程序所包含的更改要求重引导系统,您会在重引导前收到警告。

单纯使用 zypper patch 命令不会应用来自第三方储存库的包。要同时更新第三方储存库,请使用 with-update 命令选项,如下所示:

tux > sudo zypper patch --with update

要额外安装可选增补程序,请使用:

tux > sudo zypper patch --with-optional

要安装与特定 Bugzilla 问题相关的所有增补程序,请使用:

tux > sudo zypper patch --bugzilla=NUMBER

要安装与特定 CVE 数据库项相关的所有增补程序,请使用:

tux > sudo zypper patch --cve=NUMBER

例如,要安装 CVE 编号为 CVE-2010-2713 的安全增补程序,请执行:

tux > sudo zypper patch --cve=CVE-2010-2713

如果只想安装影响 Zypper 和包管理本身的增补程序,请使用:

tux > sudo zypper patch --updatestack-only

请记住,如果您使用了 updatestack-only 命令选项,将会丢弃原本还会更新其他储存库的其他命令选项。

6.1.3.2 列出增补程序

为了让您确定增补程序是否可用,Zypper 允许您查看以下信息:

所需增补程序的数目

要列出所需增补程序(适用于您的系统但尚未安装的增补程序)的数目,请使用 patch-check

tux > zypper patch-check
Loading repository data...
Reading installed packages...
5 patches needed (1 security patch)

可以结合 --updatestack-only 选项使用此命令,以便仅列出影响 Zypper 和包管理本身的增补程序。

所需增补程序的列表

要列出全部所需的增补程序(适用于您的系统但尚未安装的增补程序),请使用 list-patches

tux > zypper list-patches
Loading repository data...
Reading installed packages...

Repository     | Name        | Version | Category | Status  | Summary
---------------+-------------+---------+----------+---------+---------
SLES12-Updates | SUSE-2014-8 | 1       | security | needed  | openssl: Update for OpenSSL
所有增补程序的列表

要列出 SUSE Linux Enterprise Server 可用的所有增补程序,而不管它们是否已安装或适用于您的安装,请使用 zypper patches

还可以列出并安装与特定问题相关的增补程序。要列出特定的增补程序,请使用带以下选项的 zypper list-patches 命令:

按 Bugzilla 问题

要列出与 Bugzilla 问题相关的全部所需增补程序,请使用 --bugzilla 选项。

要列出针对特定 Bug 的增补程序,您也可以指定 Bug 编号:--bugzilla=编号。要搜索与多个 Bugzilla 问题相关的增补程序,请在 bug 编号之间添加逗号,例如:

tux > zypper list-patches --bugzilla=972197,956917
按 CVE 编号

要列出与 CVE(公共漏洞和披露)数据库中某个项相关的全部所需增补程序,请使用 --cve 选项。

要列出针对特定 CVE 数据库项的增补程序,您也可以指定 CVE 编号:--cve=编号。要搜索与多个 CVE 数据库项相关的增补程序,请在 CVE 编号之间添加逗号,例如:

tux > zypper list-patches --bugzilla=CVE-2016-2315,CVE-2016-2324

要列出所有增补程序而不管是否需要安装它们,请另外使用 --all 选项。例如,要列出指派有 CVE 编号的所有增补程序,请使用:

tux > zypper list-patches --all --cve
Issue | No.           | Patch             | Category    | Severity  | Status
------+---------------+-------------------+-------------+-----------+----------
cve   | CVE-2015-0287 | SUSE-SLE-Module.. | recommended | moderate  | needed
cve   | CVE-2014-3566 | SUSE-SLE-SERVER.. | recommended | moderate  | not needed
[...]

6.1.3.3 安装新的包版本

如果某个安装源只包含新包,但未提供增补程序,则 zypper patch 不会产生任何作用。要使用可用的较新版本更新所有已安装的包(同时还要保持系统完整性),请使用︰

tux > sudo zypper update

要更新个别包,请用更新或安装命令指定包:

tux > sudo zypper update PACKAGE_NAME
sudo zypper install PACKAGE_NAME

可使用此命令来获取所有新的可安装包的列表:

tux > zypper list-updates

请注意,此命令只会列出符合以下准则的包︰

  • 与已安装的包拥有相同的供应商,

  • 由至少与已安装包拥有相同优先级的储存库提供,

  • 可安装(满足所有依赖项)。

所有新的可用包(无论是否可安装)的列表可通过以下方式获取:

tux > sudo zypper list-updates --all

要找出新包无法安装的原因,请使用上面所述的 zypper installzypper update 命令。

6.1.3.4 识别孤立的包

每当您从 Zypper 中去除某个储存库或者升级系统时,某些包可能会进入孤立状态。这些孤立的包不再属于任何活动储存库。以下命令可以列出这些包:

tux > sudo zypper packages --orphaned

借助此列表,您可以确定是否仍然需要某个包,或者是否可以安全去除某个包。

6.1.4 识别使用已删除文件的进程和服务

在增补、更新或去除包时,系统上可能有一些正在运行的进程会继续使用更新或去除后已被删除的文件。运行 zypper ps 可以列出使用已删除文件的进程。如果此类进程属于某个已知的服务,则会列出服务名称,方便您重启动该服务。默认情况下,zypper ps 会显示一个表:

tux > zypper ps
PID   | PPID | UID | User  | Command      | Service      | Files
------+------+-----+-------+--------------+--------------+-------------------
814   | 1    | 481 | avahi | avahi-daemon | avahi-daemon | /lib64/ld-2.19.s->
      |      |     |       |              |              | /lib64/libdl-2.1->
      |      |     |       |              |              | /lib64/libpthrea->
      |      |     |       |              |              | /lib64/libc-2.19->
[...]
PID:进程的 ID
PPID:父进程的 ID
UID:运行进程的用户的 ID
User:运行进程的用户的登录名
Command:用于执行进程的命令
Service:服务名称(仅当命令与系统服务关联时才显示)
Files:已删除文件的列表

通过如下方式可控制 zypper ps 的输出格式:

zypper ps-s

创建一份简短表格,其中不会显示已删除的文件。

tux > zypper ps -s
PID   | PPID | UID  | User    | Command      | Service
------+------+------+---------+--------------+--------------
814   | 1    | 481  | avahi   | avahi-daemon | avahi-daemon
817   | 1    | 0    | root    | irqbalance   | irqbalance
1567  | 1    | 0    | root    | sshd         | sshd
1761  | 1    | 0    | root    | master       | postfix
1764  | 1761 | 51   | postfix | pickup       | postfix
1765  | 1761 | 51   | postfix | qmgr         | postfix
2031  | 2027 | 1000 | tux     | bash         |
zypper ps-ss

仅显示与系统服务关联的进程。

PID   | PPID | UID  | User    | Command      | Service
------+------+------+---------+--------------+--------------
814   | 1    | 481  | avahi   | avahi-daemon | avahi-daemon
817   | 1    | 0    | root    | irqbalance   | irqbalance
1567  | 1    | 0    | root    | sshd         | sshd
1761  | 1    | 0    | root    | master       | postfix
1764  | 1761 | 51   | postfix | pickup       | postfix
1765  | 1761 | 51   | postfix | qmgr         | postfix
zypper ps-sss

仅显示使用已删除文件的系统服务。

avahi-daemon
irqbalance
postfix
sshd
zypper ps--print "systemctl status %s"

显示用于检索可能需要重启动的服务状态信息的命令。

systemctl status avahi-daemon
systemctl status irqbalance
systemctl status postfix
systemctl status sshd

有关服务处理的详细信息,请参见第 13 章 “systemd 守护程序

6.1.5 用 Zypper 管理安装源

Zypper 的所有安装或增补程序命令均基于已知安装源列表。要列出系统已知的所有储存库,请使用命令:

tux > zypper repos

结果将类似于与以下输出:

例 6.1︰ Zypper — 已知储存库的列表
tux > zypper repos
# | Alias        | Name          | Enabled | Refresh
--+--------------+---------------+---------+--------
1 | SLEHA-12-GEO | SLEHA-12-GEO  | Yes     | No
2 | SLEHA-12     | SLEHA-12      | Yes     | No
3 | SLES12       | SLES12        | Yes     | No

当在各个命令中指定储存库时,可以使用别名、URI 或 zypper repos 命令输出中的储存库编号。储存库别名是用于储存库处理命令中的储存库名称的简短版本。请注意,在修改储存库列表后,储存库编号可能会更改。别名本身不会更改。

默认情况下不显示储存库的 URI 或优先级之类的细节。用以下命令可以列出所有细节:

tux > zypper repos -d

6.1.5.1 添加安装源

要添加安装源,请运行

tux > sudo zypper addrepo URI ALIAS

URI 可以是因特网储存库、网络资源、目录、CD 或 DVD(有关细节请参见 http://en.opensuse.org/openSUSE:Libzypp_URIs)。ALIAS 是储存库的唯一简写标识符。您可以随意选择别名,前提是它必须唯一。如果指定的别名已在使用,Zypper 将发出警告。

6.1.5.2 刷新储存库

zypper 可让您从配置的储存库中提取包的更改。要提取更改,请运行:

tux > sudo zypper refresh
注意
注意:zypper 的默认行为

有些命令默认会自动执行 refresh,因此您不需要明确运行该命令。

使用 refresh 命令时搭配 --plus-content 选项还可查看已禁用储存库中的更改:

tux > sudo zypper --plus-content refresh

该选项虽然会提取储存库中的更改,但会使禁用储存库的状态保持不变,即仍为禁用。

6.1.5.3 删除储存库

要从列表中去除某个储存库,请将命令 zypper removerepo 与要删除的储存库的别名或编号结合使用。例如,要从例 6.1 “Zypper — 已知储存库的列表”中去除储存库 SLEHA-12-GEO,请使用下列命令之一:

tux > sudo zypper removerepo 1
tux > sudo zypper removerepo "SLEHA-12-GEO"

6.1.5.4 修改储存库

zypper modifyrepo 启用或禁用储存库。您还可以用该命令更改储存库的属性(例如刷新行为、名称或优先级)。以下命令将会启用名为 updates 的储存库、打开自动刷新并将其优先级设置为 20:

tux > sudo zypper modifyrepo -er -p 20 'updates'

修改储存库并不局限于单个储存库 — 您也可以对组执行该操作︰

-a:所有储存库
-l:本地储存库
-t:远程储存库
-m 类型:特定类型的储存库(其中类型可以是以下之一:httphttpsftpcddvddirfilecifssmbnfshdiso

要重命名安装源别名,请使用 renamerepo 命令。以下示例将别名从 Mozilla Firefox 更改为 firefox

tux > sudo zypper renamerepo 'Mozilla Firefox' firefox

6.1.6 用 Zypper 查询储存库和包

Zypper 提供各种查询储存库或包的方式。要获取所有可用的产品、模式、包或增补程序的列表,请使用以下命令:

tux > zypper products
tux > zypper patterns
tux > zypper packages
tux > zypper patches

要查询特定包的所有储存库,请使用 search。要获得有关特定包的信息,请使用 info 命令。

6.1.6.1 zypper search 用法

zypper search 命令可对包名或(视情况)对包摘要和说明执行搜索。括在 / 中的字符串会解译为正则表达式。默认情况下搜索不区分大小写。

执行简单搜索来查找包含 fire 的包名称
tux > zypper search "fire"
执行简单搜索来查找确切的包 MozillaFirefox
tux > zypper search --match-exact "MozillaFirefox"
同时在包描述和摘要中搜索
tux > zypper search -d fire
仅显示尚未安装的包
tux > zypper search -u fire
显示包含字符串 fir 且该字符串后面不是 e 的包
tux > zypper se "/fir[^e]/"

6.1.6.2 zypper what-provides 用法

要搜索提供特殊功能的包,请使用命令 what-provides。例如,如果您想知道哪个包提供 Perl 模块 SVN::Core,请使用以下命令:

tux > zypper what-provides 'perl(SVN::Core)'

what-provides 包名rpm -q --whatprovides 包名类似,不过 RPM 只能查询 RPM 数据库(即所有已安装的包的数据库)。另一方面,Zypper 将告诉您任意储存库的功能的提供商,而非仅已安装的储存库功能的提供商。

6.1.6.3 zypper info 用法

要查询个别包,请使用 info 命令,并用完整包名称作为自变量。这会显示有关某个包的详细信息。如果包名与储存库中的所有包名都不匹配,该命令会输出非包匹配项的详细信息。如果您请求特定类型(通过使用 -t 选项),但该类型不存在,该命令会输出其他可用的匹配项,但不提供详细信息。

如果您指定源包,该命令会显示基于该源包构建的二进制包。如果您指定二进制包,该命令会输出用来构建该二进制包的源包。

如果还要显示该包必需/推荐的包,则使用选项 --requires--recommends

tux > zypper info --requires MozillaFirefox

6.1.7 配置 Zypper

Zypper 现在随附配置文件,允许您永久更改 Zypper 的行为(系统范围或用户特定)。要进行系统范围更改,请编辑 /etc/zypp/zypper.conf。要进行用户特定的更改,请编辑 ~/.zypper.conf。如果 ~/.zypper.conf 尚不存在,您可以使用 /etc/zypp/zypper.conf 作为模板:将其复制到 ~/.zypper.conf 并根据您的喜好进行调整。请参见文件中的注释,获取有关可用选项的帮助。

6.1.8 查错

如果您在访问配置的储存库中的包时遇到问题(例如,尽管您知道某个包在某个储存库中,但 Zypper 找不到该包),刷新储存库或许可以解决问题:

tux > sudo zypper refresh

如果不起作用,则尝试

tux > sudo zypper refresh -fdb

这会强制完全刷新和重构建数据库,包括强制下载原始元数据。

6.1.9 Btrfs 文件系统上的 Zypper 回滚功能

如果根分区上使用的是 Btrfs 文件系统,且系统中安装了 snapper,当 Zypper 提交对文件系统所做的更改以创建相应的文件系统快照时,会自动调用 snapper。这些快照可用于还原 Zypper 进行的任何更改。有关详细信息,请参见第 7 章 “通过 Snapper 进行系统恢复和快照管理

6.1.10 更多信息

有关从命令行管理软件的详细信息,请输入 zypper helpzypper help  命令,或参见 zypper(8) 手册页。有关详尽的命令参考、最重要的命令的速查表,以及如何在脚本和应用程序中使用 Zypper 的信息,请参见 http://en.opensuse.org/SDB:Zypper_usage。最新 SUSE Linux Enterprise Server 版本的软件更改列表可在 http://en.opensuse.org/openSUSE:Zypper versions 中找到。

6.2 RPM — 包管理器

RPM(RPM 程序包管理器)用于管理软件包。其主要程命令为 rpmrpmbuild。用户、系统管理员和包构建人员可以查询强大的 RPM 数据库以获得有关已安装软件的详细信息。

本质上,rpm 有五种模式:安装、卸装(或更新)软件包、重构建 RPM 数据库、查询 RPM 库或独立 RPM 存档、包的完整性检查以及对包签名。rpmbuild 可用于从原始源构建可安装的包。

用特殊的二进制格式对可安装 RPM 存档进行打包。这些存档由要安装的程序文件和某些元信息组成,这些元信息供 rpm 在安装过程中配置软件包使用或者储存在 RPM 数据库中进行存档。RPM 存档通常具有扩展名 .rpm

提示
提示:软件开发包

对于一些包,软件开发所需的组件(库、报头、包含文件等)已纳入独立的包中。只有当您要自己编译软件时才需要这些开发包(例如最新的 GNOME 包)。可以通过扩展名 -devel 确定这些开发包,例如包 alsa-develgimp-devel

6.2.1 校验包真实性

RPM 包具有 GPG 签名。要校验 RPM 包的签名,请使用 rpm --checksig  PACKAGE-1.2.3.rpm 命令确定该包是来自 SUSE 还是另一个可信机构。特别建议对来自因特网的更新包使用此命令。

修复操作系统中的问题时,您可能需要将问题临时修复 (PTF) 安装到生产系统中。SUSE 提供的包已使用特殊的 PTF 密钥签名。但是,与 SUSE Linux Enterprise 11 不同,SUSE Linux Enterprise 12 系统上默认不会导入此密钥。要手动导入该密钥,请使用以下命令:

tux > sudo rpm --import \
/usr/share/doc/packages/suse-build-key/suse_ptf_key.asc

导入该密钥后,您可以在系统上安装 PTF 包。

6.2.2 管理包:安装、更新和卸装

安装 RPM 存档的步骤通常十分简单,执行运行:rpm -i .rpm。使用此命令可以安装包,但前提是满足其依赖项并且不与其他包冲突。如果出现错误消息,rpm 将请求那些需要安装的包以满足依赖项要求。在后台,RPM 数据库确保不出现冲突 - 一个特定文件只能属于一个包。通过选择不同的选项,您可以强制 rpm 忽略这些默认设置,但这只供专家用户使用。否则,将影响系统的完整性并可能使系统无法更新。

选项 -U--upgrade 以及 -F--freshen 可用于更新包(例如,rpm -F PACKAGE.rpm)。此命令将删除旧版本的文件并立即安装新文件。两个版本之间的差别是:-U 安装系统中以前不存在的包,而 -F 只更新以前安装的包。更新时,rpm 使用以下策略小心更新配置文件:

  • 如果配置文件未被系统管理员更改,则 rpm 将安装适当文件的新版本。系统管理员无需执行任何操作。

  • 如果配置文件在更新前曾被系统管理员更改,则 rpm 会以扩展名 .rpmorig.rpmsave(备份文件)保存更改的文件,并安装新包中的版本。仅当原先安装的文件和较新的版本不同时,才执行此操作。如果是这种情况,则将备份文件(.rpmorig.rpmsave)与新安装的文件进行比较,并在新文件中再次进行更改。之后,请删除所有 .rpmorig.rpmsave 文件,以免以后的更新出现问题。

  • 如果配置文件已存在并且 .spec 文件中指定了 noreplace 标签,则出现 .rpmnew 文件。

更新后,在使用 .rpmsave.rpmnew 文件进行比较后应将它们删除,从而防止它们阻碍以后的更新。如果 RPM 数据库以前未能识别文件,则将为其指派扩展名 .rpmorig

否则,将使用 .rpmsave。换句话说,.rpmorig 是从异系统格式更新为 RPM 的结果。.rpmsave 是从较早的 RPM 更新为较新的 RPM 的结果。.rpmnew 不提供任何有关系统管理员是否对配置文件进行过任何更改的信息。/var/adm/rpmconfigcheck 中提供这些文件的列表。不覆盖某些配置文件(如 /etc/httpd/httpd.conf)以允许继续进行操作。

-U 开关仅仅是使用 -e 选项进行卸载并使用 -i 选项进行安装的等效项。只要可能,就可以使用 -U

要去除包,请输入 rpm -e PACKAGE。仅当不存在未解决的依赖项问题时,此命令才会删除包。例如,只要有其他程序需要 Tcl/Tk,理论上就不能删除它。即使是在这种情况下,RPM 也会向数据库寻求帮助。如果出于任何原因无法进行此删除操作(即使存在其他依赖项),则最好使用选项 --rebuilddb 重构建 RPM 数据库。

6.2.3 增量 RPM 包

增量 RPM 包包含旧版本和新版本的 RPM 包之间的差别。在旧 RPM 上应用增量 RPM 将得到全新的 RPM。不需要旧 RPM 的副本,因为增量 RPM 也可以与已安装的 RPM 一起工作。增量 RPM 包的大小甚至比增补程序 RPM 小,这有利于通过因特网传送更新包。缺点是,涉及增量 RPM 的更新操作与使用纯粹 RPM 或增补程序 RPM 进行更新的情况相比,占用的 CPU 周期要长得多。

makedeltarpmapplydelta 二进制文件是增量 RPM 套件(包 deltarpm)的一部分,可帮助您创建和应用增量 RPM 包。使用以下命令可以创建名为 new.delta.rpm 的增量 RPM。以下命令假设 old.rpmnew.rpm 是存在的:

tux > sudo makedeltarpm old.rpm new.rpm new.delta.rpm

如果旧包已经安装,则使用 applydeltarpm 可以从文件系统重新构建新的 RPM:

tux > sudo applydeltarpm new.delta.rpm new.rpm

如果不访问文件系统而从旧 RPM 得到它,请使用 -r 选项:

tux > sudo applydeltarpm -r old.rpm new.delta.rpm new.rpm

关于技术详细信息,请参见 /usr/share/doc/packages/deltarpm/README

6.2.4 RPM 查询

-q 选项的 rpm 将启动查询,如此用户便可查看 RPM 存档(通过添加选项 -p)并查询已安装包的 RPM 数据库。可以使用多个开关指定所需信息的类型。请参见表 6.1 “最重要的 RPM 查询选项”

表 6.1︰ 最重要的 RPM 查询选项

-i

包信息

-l

文件列表

-f FILE

查询包含文件 FILE 的包(必须使用 FILE 指定完整路径)

-s

带有状态信息的文件列表(间接指定 -l

-d

仅列出文档文件(间接指定 -l

-c

仅列出配置文件(间接指定 -l

--dump

带有完整详细信息的文件列表(将用于 -l-c-d

--provides

列出包中可被另一个包通过 --requires 请求的功能

--requires, -R

包需要的功能

--scripts

安装脚本(预安装、后安装、卸载)

例如,命令 rpm -q -i wget 显示例 6.2 “rpm -q -i wget 中所示的信息。

例 6.2︰ rpm -q -i wget
Name        : wget
Version     : 1.14
Release     : 17.1
Architecture: x86_64
Install Date: Mon 30 Jan 2017 14:01:29 CET
Group       : Productivity/Networking/Web/Utilities
Size        : 2046483
License     : GPL-3.0+
Signature   : RSA/SHA256, Thu 08 Dec 2016 07:48:44 CET, Key ID 70af9e8139db7c82
Source RPM  : wget-1.14-17.1.src.rpm
Build Date  : Thu 08 Dec 2016 07:48:34 CET
Build Host  : sheep09
Relocations : (not relocatable)
Packager    : https://www.suse.com/
Vendor      : SUSE LLC <https://www.suse.com/>
URL         : http://www.gnu.org/software/wget/
Summary     : A Tool for Mirroring FTP and HTTP Servers
Description :
Wget enables you to retrieve WWW documents or FTP files from a server.
This can be done in script files or via the command line.
Distribution: SUSE Linux Enterprise 12

只有当您指定带有完整路径的完整文件名时,选项 -f 才起作用。根据需要提供任意多个文件名。例如:

tux > rpm -q -f /bin/rpm /usr/bin/wget
rpm-4.11.2-15.1.x86_64
wget-1.14-17.1.x86_64

如果只知道部分文件名,则可以使用外壳脚本,如例 6.3 “搜索包的脚本”所示。当运行所显示的脚本时,将部分文件名以参数的形式传递给脚本。

例 6.3︰ 搜索包的脚本
#! /bin/sh
for i in $(rpm -q -a -l | grep $1); do
    echo "\"$i\" is in package:"
    rpm -q -f $i
    echo ""
done

rpm -q --changelog PACKAGE 命令会按日期排序显示有关特定包的详细更改信息列表。

借助已安装的 RPM 数据库,可以进行校验检查。使用 -V--verify 启动这些检查。使用此选项,rpm 显示安装后已被更改的包中的所有文件。rpm 使用 8 个字符符号给出有关以下更改的一些提示:

表 6.2︰ RPM 校验选项

5

MD5 校验和

S

文件大小

L

符号链接

T

修改时间

D

主要和次要设备编号

U

拥有者

G

M

方式(权限和文件类型)

对于配置文件,将输出字母 c。例如,对于 /etc/wgetrcwget 包)的更改:

tux > rpm -V wget
S.5....T c /etc/wgetrc

RPM 数据库的文件被放置在 /var/lib/rpm 中。如果分区 /usr 的大小为 1 GB,则此数据库可能会占用将近 30 MB,特别是在完全更新之后。如果数据库比预期大得多,则最好使用选项 --rebuilddb 重构建数据库。在执行此操作之前,制作旧数据库的备份。cron 脚本 cron.daily 每天制作数据库的副本(用 gzip 打包)并将这些副本储存在 /var/adm/backup/rpmdb 中。副本的数目是由 /etc/sysconfig/backup 中的变量 MAX_RPMDB_BACKUPS(默认值为 5)控制的。对于 1 GB 的 /usr,单个备份的大小大约为 1 MB。

6.2.5 安装和编译源包

所有源包都带有 .src.rpm 扩展名(源 RPM)。

注意
注意:已安装的源包

源包可以从安装媒体复制到硬盘并使用 YaST 解压缩。但是,在包管理器中它们不会被标记为已安装 ([i])。这是因为源包不是在 RPM 数据库中输入的。只有已安装的操作系统软件列在 RPM 数据库中。安装源包时,只将源代码添加到系统中。

以下目录必须可用于 /usr/src/packages 中的 rpmrpmbuild(除非在诸如 /etc/rpmrc 这样的文件中指定自定义设置):

SOURCES

代表原始源(.tar.bz2.tar.gz 文件等)和特定于发布版本的调整(多为 .diff.patch 文件)

SPECS

代表 .spec 文件,类似于元 Makefile,该文件控制构建进程

BUILD

在此目录中解压缩、增补和编译所有源

RPMS

储存完整的二进制包的位置

SRPMS

这里是源 RPM

使用 YaST 安装源包时,将在 /usr/src/packages 中安装所有需要的组件:源和调整在 SOURCES 中,相关的 .spec 文件在 SPECS 中。

警告
警告:系统完整性

不要对系统组件(glibcrpm 等)进行试验,因为这样做会影响系统的稳定性。

下面的示例使用 wget.src.rpm 包。安装源包后,应具有类似以下列表中的文件:

/usr/src/packages/SOURCES/wget-1.11.4.tar.bz2
/usr/src/packages/SOURCES/wgetrc.patch
/usr/src/packages/SPECS/wget.spec

rpmbuild -bX /usr/src/packages/SPECS/wget.spec 会启动编译。X 是通配符,代表构建进程的不同阶段(有关详细信息,请参见 --help 的输出或 RPM 文档)。以下内容只是简要描述:

-bp

/usr/src/packages/BUILD 中准备源:解压和打增补程序。

-bc

执行与 -bp 相同的操作,但还进行编译。

-bi

执行与 -bp 相同的操作,但还安装生成的软件。注意:如果包不支持 BuildRoot 功能,则可能会重写配置文件。

-bb

执行与 -bi 相同的操作,但还创建二进制包。如果编译成功,二进制包应该在 /usr/src/packages/RPMS 中。

-ba

执行与 -bb 相同的操作,但还创建源 RPM。如果编译成功,二进制包应该在 /usr/src/packages/SRPMS 中。

--short-circuit

跳过某些步骤。

现在可以使用 rpm -i 或最好使用 rpm -U 来安装创建的二进制 RPM。使用 rpm 进行安装使它显示在 RPM 数据库中。

请记住,从 SUSE Linux Enterprise Server 12 开始,已弃用规范文件中的 BuildRoot 指令。如果您仍然需要此功能,请使用 --buildroot 选项作为替代方法。有关更详细的背景信息,请参见 https://www.suse.com/support/kb/doc?id=7017104 上的支持数据库。

6.2.6 使用 build 编译 RPM 包

许多包存在的风险是构建进程中会将许多不需要的文件添加到正在运行的系统中。为防止发生这种情况,请使用 build,它将创建构建包的已定义环境。要建立这一 chroot 环境,build 脚本必须和完整的包树结构一起提供。可以通过 NFS 或从 DVD 使用硬盘上的此树。使用 build --rpms DIRECTORY 设置位置。与 rpm 不同,build 命令在源目录中查找 .spec 文件。要用系统中 /media/dvd 下装入的 DVD 构建 wget(如上例所示),请以 root 用户身份使用以下命令:

root # cd /usr/src/packages/SOURCES/
root # mv ../SPECS/wget.spec .
root # build --rpms /media/dvd/suse/ wget.spec

随后,将在 /var/tmp/build-root 建立一个最小的环境。在此环境中构建包。完成后,生成的包位于 /var/tmp/build-root/usr/src/packages/RPMS 中。

build 脚本提供多个其他选项。例如,使脚本优先选择您自己的 RPM、忽略构建环境的初始化或者将 rpm 命令限制在上述阶段之一。使用 build --help 并通过阅读 build 手册页来访问更多信息。

6.2.7 用于 RPM 存档和 RPM 数据库的工具

Midnight Commander (mc) 可以显示 RPM 存档的内容并复制部分内容。它将存档表示为虚拟文件系统,提供 Midnight Commander 所有常用的菜单选项。使用 F3 键显示 HEADER。使用光标键和 Enter 键查看存档结构。使用 F5 键复制部分存档。

拥有全部功能的包管理器将作为 YaST 模块提供。有关细节,请参见Book “部署指南”, Chapter 13 “安装或删除软件”

7 通过 Snapper 进行系统恢复和快照管理

摘要

能够生成文件系统快照以便在 Linux 上实现回滚,这是过去常常要求提供的功能。如今,Snapper 与 Btrfs 文件系统或瘦配置的 LVM 卷相结合,填补了这一空白。

Btrfs 是全新的 Linux 写入时复制文件系统。它支持为子卷(每个物理分区中的一或多个单独的可装入文件系统)生成文件系统快照(复制子卷在某个时间点的状态)。XFS、Ext4 或 Ext3 格式的精简 LVM 卷上也支持快照。您可以使用 Snapper 创建并管理这些快照。Snapper 有一个命令行和一个 YaST 界面。从 SUSE Linux Enterprise Server 12 开始,还可以从 Btrfs 快照引导。有关详细信息,请参见第 7.3 节 “通过从快照引导来执行系统回滚”

您可以使用 Snapper 执行以下任务:

7.1 默认设置

SUSE Linux Enterprise Server 中设置 Snapper 的目的是提供系统更改的撤销和恢复工具。默认情况下,SUSE Linux Enterprise Server 的根分区 (/) 使用 Btrfs 格式。如果根分区 (/) 足够大(约为 16GB 以上),则创建快照功能会自动启用。默认不允许创建除 / 以外的分区的快照。

提示
提示:在已安装系统中启用 Snapper

如果您在安装期间禁用了 Snapper,以后随时都可启用它。要执行此操作,请运行以下命令创建根文件系统的默认 Snapper 配置:

tux > sudo snapper -c root create-config /

之后,按第 7.1.3.1 节 “禁用/启用快照”中所述启用不同的快照类型。

请记住,要使用快照,需按照安装程序的建议设置一个包含子卷的 Btrfs 根文件系统,并且需有一个大小至少为 16 GB 的分区。

创建快照时,快照与原始点都会指向文件系统中的同一个块。因此一开始时快照并不占用额外的磁盘空间。但如果修改了原始文件系统中的数据,则会复制已更改的数据块,同时将旧的数据块作为快照保留。因此,快照就将占用与已修改数据相同的空间。所以久而久之,分配给快照的空间便会不断增长。其结果是,即便从包含快照的 Btrfs 文件系统删除文件可能也不会释放磁盘空间!

注意
注意:快照存储位置

快照始终存放在创建快照的那个分区或子卷中,而无法将快照存储到其他分区或子卷。

因此,包含快照的分区需要比常规分区大才行。确切的空间大小主要取决于要保留的快照数量以及数据更改量。一般来说,您应考虑使用两倍于常规使用磁盘空间的空间大小。为了防止磁盘上的空间耗尽,系统会自动清理旧快照。有关详细信息,请参见第 7.1.3.4 节 “控制快照存档”

7.1.1 快照类型

尽管快照本身在技术方面并无区别,但我们根据触发它们的事件将其分成三类:

时间线快照

每小时创建一个快照,且旧的快照会自动删除。默认情况下,会保留最近十天、最近十个月以及最近十年的首张快照。时间线快照默认为禁用状态。

安装快照

每次使用 YaST 或 Zypper 安装一个或多个包时,会创建一对快照:一个是在安装开始前(),另一个是在安装完成后()。如果安装了内核等重要的系统组件,快照对会标记为重要 (important=yes)。旧的快照会自动删除。默认情况下,会保留最近十个重要快照和最近十个普通快照(包括管理快照)。安装快照默认为启用状态。

管理快照

每次使用 YaST 管理系统时都会创建一对快照:一个是在 YaST 模块启动之前(),另一个是在该模块关闭之后()。旧的快照会自动删除。默认情况下,会保留最近十个重要快照和最近十个普通快照(包括安装快照)。管理快照默认为启用状态。

7.1.2 快照中排除的目录

出于多种不同的理由,有些目录需要排除在快照之外。以下列表显示了排除的所有目录:

/boot/grub2/i386-pc/boot/grub2/x86_64-efi/boot/grub2/powerpc-ieee1275/boot/grub2/s390x-emu

不能回滚引导加载程序配置。上面列出的目录是架构专属目录。前两个目录位于 AMD64/Intel 64 计算机上,后两个目录分别位于 IBM POWER 和 IBM z Systems 上。

/home

如果独立的分区中没有 /home,便会将该目录排除以免在回滚时发生数据丢失。

/opt/var/opt

第三方产品通常安装到 /opt 下。排除此目录是为了防止在回滚时卸装这些应用程序。

/srv

包含 Web 和 FTP 服务器的数据。排除此目录是为了防止在回滚时发生数据丢失。

/tmp/var/tmp/var/cache/var/crash

包含临时文件和超速缓存的所有目录都会排除在快照范围之外。

/usr/local

在手动安装软件时会用到此目录。系统会将该目录排除以免在回滚时卸载这些安装的软件。

/var/lib/libvirt/images

使用 libvirt 管理的虚拟机映像的默认位置。为确保回滚期间虚拟机映像不会替换为旧版本而被排除。默认情况下,此子卷是使用写入时不复制选项创建的。

/var/lib/mailman/var/spool

包含邮件或邮件队列的目录会排除,以免在回滚后造成邮件丢失。

/var/lib/bind

包含 DNS 服务器的区域数据。排除该目录是为了确保回滚后名称服务器仍能运作。

/var/lib/mariadb/var/lib/mysql/var/lib/pgqsl

这些目录包含数据库数据。默认情况下,这些子卷是使用写入时不复制选项创建的。

/var/log

日志文件所在的位置。排除该目录是为了在对受损的系统进行回滚后能够对日志文件进行分析。

7.1.3 自定义设置

SUSE Linux Enterprise Server 自带的默认设置经过多方面的考虑,适合多数使用情况。不过,您可以根据自己的需要对创建自动快照以及保留快照的各个方面进行配置。

7.1.3.1 禁用/启用快照

这三种快照类型(时间线、安装、管理)都可以单独启用或禁用。

禁用/启用时间线快照

启用:  snapper-c root set-config "TIMELINE_CREATE=yes"

禁用:  snapper -c root set-config "TIMELINE_CREATE=no"

时间线快照默认会启用,但根分区除外。

禁用/启用安装快照

启用::  安装 snapper-zypp-plugin

禁用::  卸装 snapper-zypp-plugin

安装快照默认为启用状态。

禁用/启用管理快照

启用:: /etc/sysconfig/yast2 中将 USE_SNAPPER 设置为 yes

禁用:: /etc/sysconfig/yast2 中将 USE_SNAPPER 设置为 no

管理快照默认为启用状态。

7.1.3.2 控制安装快照

使用 YaST 或 Zypper 安装包时所创建的快照会由 snapper-zypp-plugin 进行处理。何时创建快照由 XML 配置文件 /etc/snapper/zypp-plugin.conf 定义。默认情况下,该文件如下所示:

 1 <?xml version="1.0" encoding="utf-8"?>
 2 <snapper-zypp-plugin-conf>
 3  <solvables>
 4   <solvable match="w"1 important="true"2>kernel-*3</solvable>
 5   <solvable match="w" important="true">dracut</solvable>
 6   <solvable match="w" important="true">glibc</solvable>
 7   <solvable match="w" important="true">systemd*</solvable>
 8   <solvable match="w" important="true">udev</solvable>
 9   <solvable match="w">*</solvable>4
10  </solvables>
11 </snapper-zypp-plugin-conf>

1

match 属性定义模式是 Unix 外壳风格的通配符 (w) 还是 Python 正则表达式 (re)。

2

如果匹配指定模式而且对应的包标记为 important(例如内核包),则快照也会标记为 important。

3

用于匹配包名称的模式。根据 match 属性的设置,特殊字符可能会被解析为外壳通配符或是正则表达式。此模式匹配名称以 kernel- 开头的所有包。

4

此行无条件匹配所有包。

在这样的快照配置下,只要安装了包,就会创建快照对(第 9 行)。如果标记为 important 的内核、dracut、glibc、systemd 或 udev 包已安装,快照对也会标记为 important(第 4 行到第 8 行)。所有规则都会进行评估。

要禁用某规则,可以删除该规则或通过 XML 注释的方式将其停用。举例来说,如果不希望系统在每次安装包时创建快照对,可以将第 9 行注释掉:

 1 <?xml version="1.0" encoding="utf-8"?>
 2 <snapper-zypp-plugin-conf>
 3  <solvables>
 4   <solvable match="w" important="true">kernel-*</solvable>
 5   <solvable match="w" important="true">dracut</solvable>
 6   <solvable match="w" important="true">glibc</solvable>
 7   <solvable match="w" important="true">systemd*</solvable>
 8   <solvable match="w" important="true">udev</solvable>
 9   <!-- <solvable match="w">*</solvable> -->
10  </solvables>
11 </snapper-zypp-plugin-conf>

7.1.3.3 创建和装入新子卷

系统支持在 / 层次下创建新的子卷,并永久性装入该卷。此类子卷将从快照中排除。切勿在现有快照中创建此类子卷,因为在回滚之后,您将无法再删除快照。

SUSE Linux Enterprise Server 上配置了 /@/ 子卷,该子卷充当永久性子卷(例如 /opt/srv/home 等)的独立根目录。您创建和永久装入的任何新子卷都需要在这个初始根文件系统中创建。

为此,请运行以下命令。在此示例中,从 /dev/sda2 创建了一个新子卷 /usr/important

tux > sudo mount /dev/sda2 -o subvol=@ /mnt
tux > sudo btrfs subvolume create /mnt/usr/important
tux > sudo umount /mnt

/etc/fstab 中的相应项需类似于:

/dev/sda2 /usr/important btrfs subvol=@/usr/important 0 0
提示
提示:禁用写入时复制 (cow)

子卷可能包含经常更改的文件,例如虚拟化的磁盘映像、数据库文件或日志文件。如果是这样,可考虑对此卷禁用写入时复制功能,以免复制磁盘块。可在 /etc/fstab 中使用 nodatacow 装入选项来实现此目的:

/dev/sda2 /usr/important btrfs nodatacow,subvol=@/usr/important 0 0

或者,要为单个文件或目录禁用写入时复制功能,请使用命令 chattr +C 路径

7.1.3.4 控制快照存档

快照会占用磁盘空间。为了防止磁盘空间耗尽而导致系统中断,旧的快照会自动删除。默认情况下,将保留最多 10 个重要的安装快照与管理快照,以及最多 10 个普通的安装快照与管理快照。如果这些快照占用的空间超过根文件系统大小的 50%,将会删除其他快照。系统始终会至少保留 4 个重要快照和 2 个普通快照。

有关如何更改这些值的指导,请参考第 7.4.1 节 “管理现有配置”

7.1.3.5 在精简的 LVM 卷上使用 Snapper

除了在 Btrfs 文件系统上生成快照之外,Snapper 还支持在 XFS、Ext4 或 Ext3 格式的精简 LVM 卷(支持在常规 LVM 卷上生成快照)上生成快照。有关 LVM 卷的详细信息和设置指导,请参考Book “部署指南”, Chapter 12 “高级磁盘设置”, Section 12.2 “LVM 配置”

若要在瘦配置的 LVM 卷上使用 Snapper,您需要为其创建 Snapper 配置。在 LVM 上 要使用 --fstype=lvm (文件系统) 指定文件系统。文件系统的有效值为 ext3etx4xfs。示例:

tux > sudo snapper -c lvm create-config --fstype="lvm(xfs)" /thin_lvm

您可以按照第 7.4.1 节 “管理现有配置”中的说明根据需要调整此配置。

7.2 使用 Snapper 撤销更改

SUSE Linux Enterprise Server 上的 Snapper 经过预配置,可以用来撤销 zypper 和 YaST 所做的更改。要实现此功能,请对 Snapper 进行配置,让其在每次运行 zypper 和 YaST 前后创建一个快照对。您也可以使用 Snapper 来恢复被意外删除或修改的系统文件。要实现此目的,需要对根分区启用时间线快照 — 有关细节,请参见第 7.1.3.1 节 “禁用/启用快照”

默认情况下,上述的自动快照针对根分区及其子卷所配置。若希望针对 /home 等其他分区生成快照,您可以创建自定义配置。

重要
重要:撤消更改与回滚的比较

通过快照来恢复数据时,必须知道,Snapper 可以处理两种完全不同的情形:

撤销更改

在如下文中所述撤销更改时,系统会对两个快照进行比较,并撤销两个快照之间的更改。借助这种方式可以明确地选择要恢复的文件。

回滚

在如第 7.3 节 “通过从快照引导来执行系统回滚”中所述进行回滚时,系统会重设置为创建快照时的状态。

撤销更改时,可以将快照与现有系统进行比较。如果比较后恢复所有发生变化的文件,那么结果会和回滚完全相同。但是,还是建议使用第 7.3 节 “通过从快照引导来执行系统回滚”中介绍的方法进行回滚,因为回滚操作的速度更快,而且您可以在进行回滚前查看系统。

警告
警告:数据一致性

在创建快照时并没有能确保数据一致性的机制。如果在创建快照的同时写入某个文件(例如数据库),将导致文件损坏或写入不完整。恢复此类文件会产生问题。而且,有些系统文件(例如 /etc/mtab)甚至永远都无法恢复。因此强烈建议您要始终仔细查看已更改文件及其差异的列表。只恢复您要还原的操作真正包含的文件。

7.2.1 撤销 YaST 和 Zypper 更改

如果在安装时使用 Btrfs 设置根分区,则将自动安装 Snapper(经过预配置,可以回滚 YaST 或 Zypper 所做的更改)。每次启动 YaST 模块或 Zypper 事务时,会创建两个快照:即截获模块启动之前文件系统状态的前快照以及截获模块完成之后状态的后快照

您可以使用 YaST Snapper 模块或 snapper 命令行工具,通过从前快照恢复文件来撤销 YaST 或 Zypper 所做的更改。您也可以使用该工具比较这两张快照,以查看更改了哪些文件。您还可以显示文件的两个版本之间的差异 (diff)。

过程 7.1︰ 使用 YaST Snapper 模块撤销更改
  1. 从 YaST 中的其他部分或通过输入 yast2 snapper 来启动 Snapper 模块。

  2. 务必将当前配置设置为。除非手动添加自己的 Snapper 配置,否则请始终做此设置。

  3. 从列表中选择前后快照对。YaST 和 Zypper 快照对都属于前后类型。在说明栏中,YaST 快照以 zypp(y2base) 标记;Zypper 快照以 zypp(zypper)标记。

  4. 单击显示更改,会打开一个文件列表显示两张快照之间的差异。

  5. 查看文件列表。要显示文件的前后版本之间的差异,请从列表中选中该文件。

  6. 要恢复一个或多个文件,请通过勾选相应的复选框选择相关的文件或目录。单击恢复选定,然后单击以确认该操作。

    要恢复单一文件,请单击其名称以激活该文件的差异视图。单击从第一个快照恢复,然后单击予以确认。

过程 7.2︰ 使用 snapper 命令撤销更改
  1. 运行 snapper list -t pre-post 以获取 YaST 与 Zypper 快照的列表。在说明列中,YaST 快照标为 yast MODULE_NAME;Zypper 快照标为 zypp(zypper)

    tux > sudo snapper list -t pre-post
    Pre # | Post # | Pre Date                      | Post Date                     | Description
    ------+--------+-------------------------------+-------------------------------+--------------
    311   | 312    | Tue 06 May 2014 14:05:46 CEST | Tue 06 May 2014 14:05:52 CEST | zypp(y2base)
    340   | 341    | Wed 07 May 2014 16:15:10 CEST | Wed 07 May 2014 16:15:16 CEST | zypp(zypper)
    342   | 343    | Wed 07 May 2014 16:20:38 CEST | Wed 07 May 2014 16:20:42 CEST | zypp(y2base)
    344   | 345    | Wed 07 May 2014 16:21:23 CEST | Wed 07 May 2014 16:21:24 CEST | zypp(zypper)
    346   | 347    | Wed 07 May 2014 16:41:06 CEST | Wed 07 May 2014 16:41:10 CEST | zypp(y2base)
    348   | 349    | Wed 07 May 2014 16:44:50 CEST | Wed 07 May 2014 16:44:53 CEST | zypp(y2base)
    350   | 351    | Wed 07 May 2014 16:46:27 CEST | Wed 07 May 2014 16:46:38 CEST | zypp(y2base)
  2. 使用 snapper status PRE..POST 命令以获取快照对的已更改文件列表。文件内容发生了更改会以 c 标记、添加了文件会以 + 标记、删除了文件会以 - 标记。

    tux > sudo snapper status 350..351
    +..... /usr/share/doc/packages/mikachan-fonts
    +..... /usr/share/doc/packages/mikachan-fonts/COPYING
    +..... /usr/share/doc/packages/mikachan-fonts/dl.html
    c..... /usr/share/fonts/truetype/fonts.dir
    c..... /usr/share/fonts/truetype/fonts.scale
    +..... /usr/share/fonts/truetype/みかちゃん-p.ttf
    +..... /usr/share/fonts/truetype/みかちゃん-pb.ttf
    +..... /usr/share/fonts/truetype/みかちゃん-ps.ttf
    +..... /usr/share/fonts/truetype/みかちゃん.ttf
    c..... /var/cache/fontconfig/7ef2298fde41cc6eeb7af42e48b7d293-x86_64.cache-4
    c..... /var/lib/rpm/Basenames
    c..... /var/lib/rpm/Dirnames
    c..... /var/lib/rpm/Group
    c..... /var/lib/rpm/Installtid
    c..... /var/lib/rpm/Name
    c..... /var/lib/rpm/Packages
    c..... /var/lib/rpm/Providename
    c..... /var/lib/rpm/Requirename
    c..... /var/lib/rpm/Sha1header
    c..... /var/lib/rpm/Sigmd5
  3. 要显示某份文件的差异,请运行 snapper diff PRE..POST 文件名。如果没有指定文件名,则会显示所有文件的差异。

    tux > sudo snapper diff 350..351 /usr/share/fonts/truetype/fonts.scale
    --- /.snapshots/350/snapshot/usr/share/fonts/truetype/fonts.scale       2014-04-23 15:58:57.000000000 +0200
    +++ /.snapshots/351/snapshot/usr/share/fonts/truetype/fonts.scale       2014-05-07 16:46:31.000000000 +0200
    @@ -1,4 +1,4 @@
    -1174
    +1486
     ds=y:ai=0.2:luximr.ttf -b&h-luxi mono-bold-i-normal--0-0-0-0-c-0-iso10646-1
     ds=y:ai=0.2:luximr.ttf -b&h-luxi mono-bold-i-normal--0-0-0-0-c-0-iso8859-1
    [...]
  4. 要恢复一或多份文件,请运行 snapper -v undochange PRE..POST 文件名。如果没有指定文件名,则会恢复所有已更改的文件。

    tux > sudo snapper -v undochange 350..351
         create:0 modify:13 delete:7
         undoing change...
         deleting /usr/share/doc/packages/mikachan-fonts
         deleting /usr/share/doc/packages/mikachan-fonts/COPYING
         deleting /usr/share/doc/packages/mikachan-fonts/dl.html
         deleting /usr/share/fonts/truetype/みかちゃん-p.ttf
         deleting /usr/share/fonts/truetype/みかちゃん-pb.ttf
         deleting /usr/share/fonts/truetype/みかちゃん-ps.ttf
         deleting /usr/share/fonts/truetype/みかちゃん.ttf
         modifying /usr/share/fonts/truetype/fonts.dir
         modifying /usr/share/fonts/truetype/fonts.scale
         modifying /var/cache/fontconfig/7ef2298fde41cc6eeb7af42e48b7d293-x86_64.cache-4
         modifying /var/lib/rpm/Basenames
         modifying /var/lib/rpm/Dirnames
         modifying /var/lib/rpm/Group
         modifying /var/lib/rpm/Installtid
         modifying /var/lib/rpm/Name
         modifying /var/lib/rpm/Packages
         modifying /var/lib/rpm/Providename
         modifying /var/lib/rpm/Requirename
         modifying /var/lib/rpm/Sha1header
         modifying /var/lib/rpm/Sigmd5
         undoing change done
警告
警告:还原用户添加

建议不要使用 Snapper 通过撤销更改的方式来还原用户添加。因为快照中排除了一些目录,文件系统中将保留属于用户的文件。如果使用已删除用户的 ID 创建新用户,该用户将继承原用户的文件。因此,强烈建议您使用 YaST 的用户和组管理工具来删除用户。

7.2.2 使用 Snapper 恢复文件

除了安装和管理快照之外,Snapper 还会创建时间线快照。您可以使用这些备份快照还原意外删除的文件或文件的前一个版本。您也可以使用 Snapper 的差异功能来确定在某个时间点所做的修改。

还原文件功能对于默认情况下不会生成快照的那些子卷或分区上的数据特别有用。例如,要从主目录还原文件,可以为自动生成时间线快照的 /home 创建单独的 Snapper 配置。有关指导,请参见第 7.4 节 “创建并修改 Snapper 配置”

警告
警告:恢复文件与回滚的比较

从根文件系统(由 Snapper 的根配置定义)生成的快照可用于执行系统回滚。进行此类回滚时,建议先从快照引导,然后再执行回滚。有关详细信息,请参见第 7.3 节 “通过从快照引导来执行系统回滚”

从根文件系统快照还原所有文件(如下文中所述)也可以达到回滚的目的,但不建议这样做。您可以还原个别文件,例如还原 /etc 目录中的某个配置文件,但不能从快照中还原一系列文件。

此限制仅针对根文件系统的快照!

过程 7.3︰ 使用 YaST Snapper 模块恢复文件
  1. 从 YaST 中的其他部分或通过输入 yast2 snapper 来启动 Snapper 模块。

  2. 选择要从中选择快照的当前配置

  3. 选择要用于恢复文件的时间线快照,并选择显示更改。时间线快照的类型为单一,描述为时间线

  4. 单击文件名从文本框中选择文件。系统会显示快照版本和当前系统之间的差异。勾选复选框来选中要恢复的文件。请对要恢复的所有文件执行此操作。

  5. 单击恢复选定,然后单击以确认该操作。

过程 7.4︰ 使用 snapper 命令恢复文件
  1. 运行以下命令来显示特定配置的一系列时间线快照:

    tux > sudo snapper -c CONFIG list -t single | grep timeline

    CONFIG 需要替换为现有的 Snapper 配置。使用 snapper list-configs 显示列表。

  2. 运行以下命令来显示指定快照中发生更改的一系列文件:

    tux > sudo snapper -c CONFIG status SNAPSHOT_ID..0

    SNAPSHOT_ID 替换为您要用于恢复文件的快照的 ID。

  3. (可选)运行以下命令列出当前文件版本与快照中文件版本的差异:

    tux > sudo snapper -c CONFIG diff SNAPSHOT_ID..0 FILE NAME

    如果不指定 <FILE NAME>,则会显示所有文件的差异。

  4. 要恢复一个或多个文件,请运行

    tux > sudo snapper -c CONFIG -v undochange SNAPSHOT_ID..0 FILENAME1 FILENAME2

    如果没有指定文件名,则会恢复所有已更改的文件。

7.3 通过从快照引导来执行系统回滚

SUSE Linux Enterprise Server 上包含的 GRUB 2 版本可以从 Btrfs 快照进行引导。与 Snapper 的回滚功能相结合,就能恢复配置错误的系统。只有针对默认 Snapper 配置()创建的快照才可引导。

重要
重要:受支持的配置

SUSE Linux Enterprise Server 12 SP4 开始,只有在根分区的默认子卷配置未更改过的情况下,才支持系统回滚。

引导快照时,快照中包含的文件系统部分会装载为只读状态;从快照中排除的所有其他文件系统和部分会加载为读写状态,并且可以修改。

重要
重要:撤消更改与回滚的比较

通过快照来恢复数据时,必须知道,Snapper 可以处理两种完全不同的情形:

撤销更改

在如第 7.2 节 “使用 Snapper 撤销更改”中所述撤销更改时,系统会对两个快照进行比较,并还原两个快照之间的更改。通过这种方式可以明确指定不还原所选的文件。

回滚

在如下文所述进行回滚时,系统会重设置为生成快照时的状态。

要从可引导快照进行回滚,必须满足以下要求。执行默认安装时,系统会进行相应的设置。

从可引导快照进行回滚的要求
  • 根文件系统必须是 Btrfs。不支持从 LVM 卷快照引导。

  • 根文件系统必须在单个设备、单个分区和单个子卷上。/srv 等快照中排除的目录(参见第 7.1.2 节 “快照中排除的目录”了解完整列表)可以位于单独的分区。

  • 系统应能够借助安装的引导加载程序进行引导。

要从可引导快照进行回滚,请执行以下操作:

  1. 引导系统。在引导菜单中选择可引导快照,然后选择要引导的快照。快照会按日期顺序从近到远一一列出。

  2. 登录系统。仔细检查是否一切运行正常。请注意,您无法对快照包含的任何目录进行写操作。写入其他目录的数据无论您下一步选择什么操作都不会丢失。

  3. 根据您是否要执行回滚,选择下一步操作:

    1. 如果您不想对当前状态的系统执行回滚,请重引导进入当前的系统状态。然后,您便可选择另一个快照,或是启动救援系统。

    2. 要执行回滚,请运行

      tux > sudo snapper rollback

      然后重引导。在引导屏幕上,选择默认的引导项以重引导至恢复后的系统。系统即会创建回滚前文件系统状态的快照。根的默认子卷将替换为全新的读写快照。有关细节,请参见第 7.3.1 节 “回滚后的快照”

      通过 -d 选项添加快照的说明非常实用。例如:

      New file system root since rollback on DATE TIME
提示
提示:回滚到特定的安装状态

如果安装期间未禁用快照,将在初始系统安装结束时创建初始可引导快照。您随时可以通过引导此快照返回到该状态。该快照可通过 after installation 说明识别。

开始对服务包或新的主要版本进行系统升级时,也会创建可引导快照(前提是未禁用快照)。

7.3.1 回滚后的快照

在执行回滚之前,将会创建正在运行的文件系统的快照。快照说明会引用在回滚中恢复的快照的 ID。

对于通过回滚创建的快照,其 Cleanup 属性的值会设为 number。因此,回滚快照会在达到设置的快照数后自动删除。有关细节,请参见第 7.6 节 “自动清理快照”。如果快照包含重要数据,请在系统去除快照之前从快照中提取数据。

7.3.1.1 回滚快照示例

例如,在全新安装之后,系统上存在以下可用的快照:

root # snapper --iso list
Type   | # |     | Cleanup | Description           | Userdata
-------+---+ ... +---------+-----------------------+--------------
single | 0 |     |         | current               |
single | 1 |     |         | first root filesystem |
single | 2 |     | number  | after installation    | important=yes

运行 sudo snapper rollback 之后,将会创建快照 3,它包含执行回滚前系统的状态。快照 4 是新的默认 Btrfs 子卷,因此是重引导之后的系统。

root # snapper --iso list
Type   | # |     | Cleanup | Description           | Userdata
-------+---+ ... +---------+-----------------------+--------------
single | 0 |     |         | current               |
single | 1 |     | number  | first root filesystem |
single | 2 |     | number  | after installation    | important=yes
single | 3 |     | number  | rollback backup of #1 | important=yes
single | 4 |     |         |                       |

7.3.2 访问和识别快照引导项

要从快照引导,请重引导计算机并选择从只读的快照启动引导加载程序。一个屏幕即会打开,列出所有可引导的快照。最近的快照列在最前面,最旧的快照列在最后面。使用 导航,然后按 Enter 激活选定的快照。从引导菜单激活快照不会立即重引导计算机,而是打开选定快照的引导加载程序。

引导加载程序:快照
图 7.1︰ 引导加载程序:快照

引导加载程序中的每个快照项遵循一种可方便您识别快照的命名模式:

[*]1OS2 (KERNEL3,DATE4TTIME5,DESCRIPTION6)

1

如果快照标记为重要,该项将标有 * 号。

2

操作系统标签。

4

采用 YYYY-MM-DD 格式的日期。

5

采用 HH:MM 格式的时间。

6

此字段包含快照的说明。对于手动创建的快照,这是使用选项 --description 创建的字符串,或自定义字符串(请参见提示:为引导加载程序快照项设置自定义说明)。对于自动创建的快照,这是调用的工具,例如 zypp(zypper)yast_sw_single。较长的说明可能会被截断,具体视引导屏幕的大小而定。

提示
提示:为引导加载程序快照项设置自定义说明

可以将快照说明字段中的默认字符串替换为自定义字符串。例如,如果自动创建的说明不能提供充分的描述,或者用户提供的说明太长,这种做法将十分有用。要为快照 NUMBER 设置自定义字符串 STRING,请使用以下命令:

tux > sudo snapper modify --userdata "bootloader=STRING" NUMBER

说明的长度不应超过 25 个字符,超过此大小的任何内容都无法在引导屏幕上正常显示。

7.3.3 限制

不可能实现完整的系统回滚,即将整个系统恢复到生成快照时完全相同的状态。

7.3.3.1 快照中排除的目录

根文件系统快照并不包含所有目录。请参见第 7.1.2 节 “快照中排除的目录”了解详情和背后的原因。正因为此,这些目录中的数据并不会恢复,也就造成了以下限制。

回滚后,附加产品和第三方软件可能会无法使用

在快照中排除的子卷(如 /opt)上安装了数据的应用程序和附加产品,如果在快照中包含的子卷上也安装了部分应用程序数据,则回滚后,这些应用程序和附加产品将无法工作。要解决此问题,需要重新安装该应用程序或附加产品。

文件访问问题

如果某个应用程序在快照和当前系统之间更改了文件权限和/或所有权,回滚后,该应用程序可能无法访问这些文件。请在回滚后重设置受影响的文件的权限和/或所有权。

数据格式不兼容

如果服务或应用程序在快照和当前系统之间建立了新的数据格式,回滚后,该应用程序可能无法读取受影响的数据文件。

混合了代码和数据的子卷

诸如 /srv 之类的子卷可能同时包含代码和数据。回滚可能会导致代码失效。例如,降级 PHP 的版本可能会导致 Web 服务器的 PHP 脚本被破坏。

用户数据

如果回滚操作从系统中删除了用户,这些用户在快照中未包含的目录上所拥有的数据并不会删除。如果使用相同的用户 ID 创建新用户,该用户便会继承原用户的文件。请使用 find 之类的工具找到并删除孤立的文件。

7.3.3.2 不回滚引导装载程序数据

无法回滚引导装载程序,因为引导装载程序的所有阶段必须相互匹配。这在 /boot 回滚时并不能保证。

7.4 创建并修改 Snapper 配置

每一个分区或 Btrfs 子卷都有一个专用的配置文件用于定义 Snapper 的行为方式。这些配置文件位于 /etc/snapper/configs/ 下。

如果根文件系统足够大(大约有 12 GB),安装时将自动对根文件系统 / 启用快照。相应的默认配置命名为 root。该配置可创建和管理 YaST 及 Zypper 快照。有关默认值列表,请参见第 7.4.1.1 节 “配置数据”

注意
注意:启用快照所需的最小根文件系统大小

第 7.1 节 “默认设置”中所述,要启用快照,根文件系统中需要有额外的可用空间。所需空间取决于所安装的包数量以及快照中包括的卷更改量,另外还取决于快照频率和存档的快照数。

要在安装期间自动启用快照,需要满足最小根文件系统大小。此大小约为 12 GB。将来,这个值可能会发生变化,具体视基础系统的体系结构和大小而定。它取决于安装媒体内 /control.xml 文件中以下标记的值:

<root_base_size>
<btrfs_increase_percentage>

该值通过下面的公式计算得出:ROOT_BASE_SIZE * (1 + BTRFS_INCREASE_PERCENTAGE/100)

请记住,此值是最小大小。请考虑分给根文件系统更多空间。一般而言,两倍于未启用快照时将使用的大小即可。

您可以为使用 Btrfs 格式化的其他分区或 Btrfs 分区上的现有子卷创建自己的配置。在以下示例中,我们将设置 Snapper 配置,以便对驻留在单独的、以 Btrfs 格式化且安装点为 /srv/www 的分区的 Web 服务器数据进行备份。

创建配置后,您可以直接使用 snapper,也可以使用 YaST Snapper 模块,从这些快照恢复文件。在 YaST 中,您需要选择您的当前配置,同时还需要使用全局开关 -c 指定 snapper 的配置(例如 snapper -c myconfig list)。

要创建新的 Snapper 配置,请运行 snapper create-config

tux > sudo snapper -c www-data1 create-config /srv/www2

1

配置文件的名称。

2

要生成快照的分区或 Btrfs 子卷的装入点。

此命令将使用合理的默认值(取自 /etc/snapper/config-templates/default)创建新的配置文件 /etc/snapper/configs/www-data。有关如何调整这些值的指导,请参考第 7.4.1 节 “管理现有配置”

提示
提示:配置的默认值

新配置的默认值取自 /etc/snapper/config-templates/default。要使用自己的一组默认值,请在相同的目录中创建此文件的副本然后按照需要进行调整。要使用此功能,请在 create-config 命令中指定 -t 选项:

tux > sudo snapper -c www-data create-config -t MY_DEFAULTS /srv/www

7.4.1 管理现有配置

snapper 有多个子命令可用于管理现有的配置。您可以列出、显示这些配置,也可以对它们进行删除和修改:

列出配置

使用 snapper list-configs 命令可以显示所有现有的配置:

tux > sudo snapper list-configs
Config | Subvolume
-------+----------
root   | /
usr    | /usr
local  | /local
显示配置

使用 snapper -c CONFIG get-config 子命令可以显示指定的配置。CONFIG 应替换为执行 snapper list-configs 命令后所显示的某个配置名称。请参见第 7.4.1.1 节 “配置数据”以了解有关配置选项的更多信息。

要显示默认配置,请运行

tux > sudo snapper -c root get-config
修改配置

使用 snapper -c CONFIG set-config OPTION=VALUE 子命令可以修改指定配置中的选项。CONFIG 应替换为执行 snapper list-configs 命令后所显示的某个配置名称。OPTIONVALUE 的可能值可参见第 7.4.1.1 节 “配置数据”

删除配置

使用 snapper -c CONFIG delete-config 子命令可以删除配置。CONFIG 应替换为执行 snapper list-configs 命令后所显示的某个配置名称。

7.4.1.1 配置数据

每个配置都包含一系列选项,这些选项可以通过命令行进行修改。下面的列表提供了每个选项的细节。要更改某个值,请运行 snapper -c CONFIG set-config "KEY=VALUE"

ALLOW_GROUPSALLOW_USERS

授予普通用户使用快照的权限。有关详细信息,请参见第 7.4.1.2 节 “以普通用户身份使用 Snapper”

默认值是 ""

BACKGROUND_COMPARISON

定义在创建前后快照后是否应在后台对它们进行比较。

默认值为 "yes"

EMPTY_*

为前后快照相同的快照对定义清理算法。有关详细信息,请参见第 7.6.3 节 “清理没有差异的快照对”

FSTYPE

分区的文件系统类型。不更改。

默认值为 "btrfs"

NUMBER_*

为安装快照与管理快照定义清理算法。有关详细信息,请参见第 7.6.1 节 “清理编号快照”

QGROUP / SPACE_LIMIT

将定额支持添加到清理算法。有关详细信息,请参见第 7.6.5 节 “添加磁盘定额支持”

SUBVOLUME

分区或子卷生成快照的安装点。不更改。

默认值是 "/".

SYNC_ACL

如果普通用户要使用 Snapper(请参见第 7.4.1.2 节 “以普通用户身份使用 Snapper”),他们必须能访问 .snapshot 目录,并且能读取其中的文件。如果 SYNC_ACL 设置为 yes,Snapper 会通过 ACL 自动允许 ALLOW_USERS 和 ALLOW_GROUPS 项指定的用户和组访问这些目录及其中的文件。

默认值为 "no"

TIMELINE_CREATE

如果设置为 yes,便会每小时创建一个快照。有效值:yesno.

默认值为 "no"

TIMELINE_CLEANUP / TIMELINE_LIMIT_*

为时间线快照定义清理算法。有关详细信息,请参见第 7.6.2 节 “清理时间线快照”

7.4.1.2 以普通用户身份使用 Snapper

默认情况下,Snapper 只能由 root 用户使用。但在特定情况下,某些组或用户也需要创建快照或通过还原至快照来撤销更改:

  • 想要为 /srv/www 生成快照的网站管理员

  • 想要为自己的主目录生成快照的用户

此类情况下,可以创建为用户和(或)组授予权限的 Snapper 配置。指定的用户必须能连接并访问相应的 .snapshots 目录。要实现这一点,最简单的方法是将 SYNC_ACL 选项设置为 yes

过程 7.5︰ 让普通用户可以使用 Snapper

请注意,此过程中的所有步骤都需要由 root 用户运行。

  1. 如果不存在,则请为用户可以使用 Snapper 的分区或子卷创建 Snapper 配置。有关指导,请参见第 7.4 节 “创建并修改 Snapper 配置”。示例:

    tux > sudo snapper --config web_data create /srv/www
  2. /etc/snapper/configs/CONFIG 下创建配置文件,其中“CONFIG”是您在上一步中使用 -c/--config 指定的值(例如 /etc/snapper/configs/web_data)。按照需要进行调整;有关详细信息,请参见第 7.4.1 节 “管理现有配置”

  3. ALLOW_USERS 和(或)ALLOW_GROUPS 设置值,以分别为用户和(或)组授予权限。多个条目需要使用 Space 分隔。例如,要为用户 www_admin 授予权限,可运行:

    tux > sudo snapper -c web_data set-config "ALLOW_USERS=www_admin" SYNC_ACL="yes"
  4. 此时,指定的用户和(或)组便可以使用指定的 Snapper 配置。您可以使用 list 命令对其进行测试,例如:

    www_admin:~ > snapper -c web_data list

7.5 手动创建和管理快照

Snapper 的功能并不仅限于根据配置自动创建和管理快照;您还可以使用命令行工具或 YaST 模块手动创建快照对(前快照和后快照)或单一快照。

所有 Snapper 操作皆针对现有配置执行(有关详细信息,请参见第 7.4 节 “创建并修改 Snapper 配置”)。您可以只为存在配置的分区或卷生成快照。默认情况下使用系统配置 (root)。如果想要为自己的配置创建或管理快照,则需要进行明确选择。使用 YaST 中的当前配置下拉框,或在命令行上指定 -c(即 snapper -c 我的配置 命令)。

7.5.1 快照元数据

每一张快照均由快照本身以及一些元数据组成。创建快照时,您还需要指定元数据。修改快照就意味着更改其元数据——您无法修改其内容。使用 snapper list 可显示现有快照及其元数据:

snapper --config home list

列出配置 home 的快照。要列出默认配置 (root) 的快照,请使用 snapper -c root listsnapper list

snapper list -a

列出所有现有配置的快照。

snapper list -t pre-post

列出默认 (root) 配置的所有前快照和后快照对。

snapper list -t single

列出默认 (root) 配置的所有单一类型的快照。

每一张快照可以使用以下元数据:

  • 类型:快照类型,有关详细信息,请参见第 7.5.1.1 节 “快照类型”。不能更改此数据。

  • 编号:快照的唯一编号。不能更改此数据。

  • 前编号:指定相应前快照的编号。仅适用于后类型。不能更改此数据。

  • 说明:快照的说明。

  • 用户数据:扩展的说明。您可使用逗号分隔的“键=值”列表格式指定自定义数据:reason=testing, project=foo。此字段也可用于将快照标记为重要 (important=yes) 以及列出创建快照的用户 (user=tux)。

  • 清理算法:快照的清理算法。有关详细信息,请参见第 7.6 节 “自动清理快照”

7.5.1.1 快照类型

Snapper 能够分清三种不同类型的快照:前快照、后快照以及单一快照。从物理上讲,这三种快照没有什么不同,但 Snapper 会针对不同类型采用不同的处理方式。

修改的文件系统快照。每一张快照都有一个对应的快照。目的之一就是为了自动创建 YaST/Zypper 快照。

修改的文件系统快照。每一张快照都有一个对应的快照。目的之一就是为了自动创建 YaST/Zypper 快照。

单一

独立的快照。目的之一就是为了自动创建每小时快照。此为创建快照时的默认类型。

7.5.1.2 清理算法

Snapper 提供有三种清理旧快照的算法。这些算法在日常的 cron 作业中执行。您可以定义要在 Snapper 配置中保留的不同类型的快照数(有关细节,请参见第 7.4.1 节 “管理现有配置”)。

数量

当达到某一快照计数时将删除旧快照。

时间线

将删除超过一定时限的旧快照,但保留若干个每小时、每天、每月和每年快照。

无差异前后快照对

将删除无差异的前后快照对。

7.5.2 创建快照

通过运行 snapper create 或单击 YaST 的 Snapper 模块中的创建来创建快照。以下示例解释了如何从命令行创建快照。使用 YaST 界面会比较简单。

提示
提示:快照说明

为了便于日后确定快照的用途,您应始终指定有意义的说明。甚至可以通过用户数据选项指定更多信息。

snapper create --description "2014 年第二周快照"

创建默认 (root) 配置的独立快照(单一类型)并附加说明。因为没有指定清理算法,将不会自动删除快照。

snapper --config home create --description "~tux 中清理"

为名为 home 的自定义配置创建独立快照(单一类型)并附加说明。因为没有指定清理算法,将不会自动删除快照。

snapper --config home create --description "每日数据备份" --cleanup-algorithm timeline>

为名为 home 的自定义配置创建独立快照(单一类型)并附加说明。一旦符合为配置中的时间线清理算法指定的条件,便会自动删除文件。

snapper create --type pre--print-number--description "Apache 配置清理之前"--userdata "important=yes"

创建类型的快照并打印快照编号。创建用于保存之前之后状态的快照对所需的首个命令。该快照标记为重要。

snapper create --type post--pre-number 30--description "Apache 配置清理之后"--userdata "important=yes"

创建类型的快照且其对应的快照编号为 30。创建用于保存之前之后状态的快照对所需的第二个命令。该快照标记为重要。

snapper create --command COMMAND--description "命令前后"

运行命令前后自动创建快照对。此选项仅在于命令行上使用 snapper 时可用。

7.5.3 修改快照元数据

Snapper 允许您修改说明、清理算法及快照的用户数据。其他元数据均无法更改。以下示例解释了如何从命令行修改快照。使用 YaST 界面会比较简单。

要在命令行上修改快照,您需要知道其编号。使用 snapper list 可显示所有快照及其编号。

YaST 的 Snapper 模块已列出所有快照。从列表中选择一个快照,然后单击修改

snapper modify --cleanup-algorithm "timeline" 10

修改默认 (root) 配置的第 10 张快照的元数据。清理算法设置为 timeline

snapper --config home modify --description "每日备份" -cleanup-algorithm "timeline"120

修改名为 home 的自定义配置的第 120 张快照的元数据。将设置新的说明并取消设置清理算法。

7.5.4 删除快照

要使用 YaST 的 Snapper 模块删除快照,请从列表中选择快照,然后单击删除

要使用命令行工具删除快照,需要知道其编号。运行 snapper list 命令获取快照编号。要删除快照,请运行 snapper delete 编号

不允许删除当前的默认子卷快照。

使用 Snapper 删除快照时,在后台运行的 Btrfs 进程将会回收释放的空间。因此,可用空间的可见性与可用性会延迟。如果您希望在删除快照后立即可以使用释放的空间,请结合选项 --sync 使用 delete 命令。

提示
提示:删除快照对

删除快照时,您应始终删除与其对应的快照(反之亦然)。

snapper delete 65

删除默认 (root) 配置的第 65 张快照。

snapper -c home delete 89 90

删除名为 home 的自定义配置的第 89 张和第 90 张快照。

snapper delete --sync 23

删除默认 (root) 配置的快照 23,并使释放的空间立即可用。

提示
提示:删除未参照的快照

有时,虽然 Btrfs 快照存在,但却缺少包含 Snapper 元数据的 XML 文件。这种情况表示快照对 Snapper 不可见,需要手动将其删除:

btrfs subvolume delete /.snapshots/SNAPSHOTNUMBER/snapshot
rm -rf /.snapshots/SNAPSHOTNUMBER
提示
提示:旧快照占用的磁盘空间更多

如果您要删除快照以释放硬盘上的空间,请务必先删除旧快照。快照生成的时间越长,其占用的空间就越大。

也可以通过日常的 cron 作业自动删除快照。有关详细信息,请参见第 7.5.1.2 节 “清理算法”

7.6 自动清理快照

快照会占用磁盘空间,随着时间的推移,快照占用的磁盘空间可能会变得非常多。为了防止磁盘上的空间耗尽,Snapper 提供了用于自动删除旧快照的算法。这些算法根据时间线快照和编号快照(管理快照与安装快照对)而有所不同。您可以指定要为每种类型保留的快照数。

除此之外,您可以选择指定一个磁盘空间定额,用于定义快照可占用的最大磁盘空间大小。系统还可以自动删除前快照与后快照没有任何不同的快照对。

清理算法始终绑定到单个 Snapper 配置,因此您需要为每个配置指定算法。要防止自动删除特定的快照,请参见 如何永久保留快照?

默认设置 (root) 配置为清理编号快照以及空的前快照与后快照对。已启用定额支持 - 快照占用的空间不可超过根分区可用磁盘空间的 50%。时间线快照默认处于禁用状态,因此,时间线清理算法也处于禁用状态。

7.6.1 清理编号快照

编号快照(管理快照与安装快照对)的清理由 Snapper 配置的以下参数控制。

NUMBER_CLEANUP

启用或禁用安装快照与管理快照对的清理。如果启用该参数,则当快照总数超过 NUMBER_LIMIT 和/或 NUMBER_LIMIT_IMPORTANT 指定的数字以及 NUMBER_MIN_AGE 指定的时限时,将删除快照对。有效值:yes(启用)、no(禁用)。

默认值为 "yes"

用于更改或设置值的示例命令:

tux > sudo snapper -c CONFIG set-config "NUMBER_CLEANUP=no"
NUMBER_LIMIT / NUMBER_LIMIT_IMPORTANT

定义要保留多少个普通和/或重要安装快照与管理快照对。所保留的会是最新的那些快照。如果 NUMBER_CLEANUP 设置为 "no",则会忽略此参数。

NUMBER_LIMIT 的默认值为 "2-10"NUMBER_LIMIT_IMPORTANT 的默认值为 "4-10"

用于更改或设置值的示例命令:

tux > sudo snapper -c CONFIG set-config "NUMBER_LIMIT=10"
重要
重要:范围值与常量值的比较

如果启用定额支持(请参见第 7.6.5 节 “添加磁盘定额支持”),则需要将限制指定为最小值-最大值范围,例如 2-10。如果禁用定额支持,则需要提供常量值,例如 10,否则清理将会失败并返回错误。

NUMBER_MIN_AGE

定义快照在自动删除前必须保留的最小时限(以秒为单位)。保留时间小于此处指定值的快照不会删除,不管这样的快照有多少。

默认值为 "1800"

用于更改或设置值的示例命令:

tux > sudo snapper -c CONFIG set-config "NUMBER_MIN_AGE=864000"
注意
注意:限制和时限

NUMBER_LIMITNUMBER_LIMIT_IMPORTANTNUMBER_MIN_AGE 始终都会评估。只有同时符合全部条件才会删除快照。

如果您希望不考虑时限而始终保留 NUMBER_LIMIT* 所定义数量的快照,可将 NUMBER_MIN_AGE 设置为 0

下面的示例显示了保留最近 10 个重要和 10 个普通快照(不论保留期限)的配置:

NUMBER_CLEANUP=yes
NUMBER_LIMIT_IMPORTANT=10
NUMBER_LIMIT=10
NUMBER_MIN_AGE=0

另外,如果不想保留超过一定时限的快照,可将 NUMBER_LIMIT* 设置为 0,并用 NUMBER_MIN_AGE 指定时限。

下面的示例显示了只保留十天以内的快照的配置:

NUMBER_CLEANUP=yes
NUMBER_LIMIT_IMPORTANT=0
NUMBER_LIMIT=0
NUMBER_MIN_AGE=864000

7.6.2 清理时间线快照

时间线快照的清理由 Snapper 配置的以下参数控制。

TIMELINE_CLEANUP

启用或禁用时间线快照的清理。如果启用该参数,则当快照总数超过 TIMELINE_LIMIT_* 指定的数字以及 TIMELINE_MIN_AGE 指定的时限时,将删除快照。有效值:yesno.

默认值为 "yes"

用于更改或设置值的示例命令:

tux > sudo snapper -c CONFIG set-config "TIMELINE_CLEANUP=yes"
TIMELINE_LIMIT_DAILYTIMELINE_LIMIT_HOURLYTIMELINE_LIMIT_MONTHLYTIMELINE_LIMIT_WEEKLYTIMELINE_LIMIT_YEARLY

按小时、天、月、周和年保留的快照数量。

每项的默认值为 "10",但 TIMELINE_LIMIT_WEEKLY 除外,该参数默认设置为 "0"

TIMELINE_MIN_AGE

定义快照在自动删除前必须保留的最小时限(以秒为单位)。

默认值为 "1800"

例 7.1︰ 时间线配置示例
TIMELINE_CLEANUP="yes"
TIMELINE_CREATE="yes"
TIMELINE_LIMIT_DAILY="7"
TIMELINE_LIMIT_HOURLY="24"
TIMELINE_LIMIT_MONTHLY="12"
TIMELINE_LIMIT_WEEKLY="4"
TIMELINE_LIMIT_YEARLY="2"
TIMELINE_MIN_AGE="1800"

此示例配置能够实现按小时生成将自动清理的快照。TIMELINE_MIN_AGETIMELINE_LIMIT_* 始终会一起评估。在本示例中,快照删除前的最小保留时限设置为 30 分钟(1800 秒)。因为我们会每小时创建一次快照,所以确保了只会保留最近的快照。如果 TIMELINE_LIMIT_DAILY 设置为非零值,则表示还会保留当天的首张快照。

快照保留
  • 每小时:最近创建的 24 个快照。

  • 每天:保留最近 7 天内每天创建的首个快照。

  • 每月:保留最近 12 个月内每月的最后一天创建的首个快照。

  • 每周:保留最近 4 周内每周最后一天创建的首个快照。

  • 每年:保留最近 2 年内每年最后一天创建的首个快照。

7.6.3 清理没有差异的快照对

第 7.1.1 节 “快照类型”中所述,每当您运行 YaST 模块或执行 Zypper 时,将在启动时创建一个前快照,在退出时创建一个后快照。如果您未进行过任何更改,则前快照与后快照没有差异。在 Snapper 配置中设置以下参数可自动删除此类快照对:

EMPTY_PRE_POST_CLEANUP

如果设置为 yes,系统会删除前后快照相同的快照对。

默认值为 "yes"

EMPTY_PRE_POST_MIN_AGE

定义前后快照相同的快照对在自动删除之前必须保留的最短时限(以秒为单位)。

默认值为 "1800"

7.6.4 清理手动创建的快照

Snapper 未针对手动创建的快照提供自定义清理算法。但是,您可以向手动创建的快照指派 number 或 timeline 清理算法。如此,该快照将加入您所指定的算法的清理队列。可以在创建快照时或通过修改现有快照来指定清理算法:

snapper create --description "Test" --cleanup-algorithm number

为默认 (root) 配置创建独立快照(单一类型)并指派 number 清理算法。

snapper modify --cleanup-algorithm "timeline" 25

使用数字 25 修改快照,并指派 timeline 清理算法。

7.6.5 添加磁盘定额支持

除了上述 number 和/或 timeline 清理算法外,Snapper 还支持定额。您可以定义允许快照占用的可用空间百分比。此百分比值始终适用于相应 Snapper 配置中定义的 Btrfs 子卷。

如果在安装期间启用了 Snapper,则会自动启用定额支持。如果您是在安装后的某个时间手动启用 Snapper 的,则可以通过运行 snapper setup-quota 来启用定额支持。这需要您具有有效的配置(有关详细信息,请参见第 7.4 节 “创建并修改 Snapper 配置”)。

定额支持由 Snapper 配置的以下参数控制。

QGROUP

Snapper 使用的 Btrfs 定额组。如果未设置,请运行 snapper setup-quota。如果已设置,则仅在您熟悉 man 8 btrfs-qgroup 的情况下才可对其进行更改。此值是使用 snapper setup-quota 设置的,不应更改。

SPACE_LIMIT

允许快照使用的空间限制,以 1 (100%) 的分数表示。有效值范围为 0 到 1(0.1 = 10%,0.2 = 20%...)。

需遵守以下限制和指导原则:

  • 只能在已激活现有 number 和/或 timeline 清理算法的前提下才能激活定额。如果未激活任何清理算法,则无法应用定额限制。

  • 启用定额支持后,Snapper 将根据需要执行两轮清理。第一轮清理将应用针对编号快照和时间线快照指定的规则。仅当完成这一轮清理后超出定额时,在第二轮清理中才会应用定额特定的规则。

  • 即使启用了定额支持,Snapper 也始终会保留 NUMBER_LIMIT*TIMELINE_LIMIT* 值指定的快照数,而不管是否超出了定额。因此,建议为 NUMBER_LIMIT*TIMELINE_LIMIT* 指定范围值 (MIN-MAX),以确保可以应用定额。

    例如,如果设置了 NUMBER_LIMIT=5-20,Snapper 将执行第一轮清理,并将普通的编号快照数量减至 20 个。如果这 20 个快照超出定额,Snapper 将在第二轮清理中删除最旧的快照,直到符合定额限制。系统始终会至少保留 5 个快照,不管这些快照占用了多少空间。

7.7 常见问题

为什么 Snapper 从不显示 /var/log/tmp 以及其他目录中的更改?

因为我们将部分目录排除在了快照之外。详细的列表和具体原因请参见第 7.1.2 节 “快照中排除的目录”。为了将路径从快照中排除,我们为该路径创建了子卷。

快照要占用多少磁盘空间?如何释放磁盘空间?

目前,Btrfs 工具还不支持显示分配给快照的磁盘空间大小。不过,如果启用了定额,便可确定在删除所有快照后将会释放多少空间:

  1. 获取定额组 ID(在下面的示例中为 1/0):

    tux > sudo snapper -c root get-config | grep QGROUP
    QGROUP                 | 1/0
  2. 重新扫描子卷定额:

    tux > sudo btrfs quota rescan -w /
  3. 显示定额组(在下面的示例中为 1/0)的数据:

    tux > sudo btrfs qgroup show / | grep "1/0"
    1/0           4.80GiB    108.82MiB

    第三列显示删除所有快照后将释放的空间 (108.82MiB)。

为了释放包含快照的 Btrfs 分区的空间,您需要删除不需要的快照,而不是文件。旧快照比新快照占用的磁盘空间更多。有关详细信息,请参见第 7.1.3.4 节 “控制快照存档”

升级服务包时,由于会更改大量数据(包更新),将导致快照占用大量系统子卷的磁盘空间。因此对于不再需要的快照,建议手动删除。有关详细信息,请参见第 7.5.4 节 “删除快照”

我可以从引导加载程序引导快照吗?

可以。有关细节,请参考第 7.3 节 “通过从快照引导来执行系统回滚”

如何永久保留快照?

目前,Snapper 尚无防止手动删除快照的功能。不过,您可以防止清理算法自动删除快照。除非您使用 --cleanup-algorithm 指定了清理算法,否则不会为手动创建的快照(请参见第 7.5.2 节 “创建快照”)指派清理算法。自动创建的快照始终会被指派 numbertimeline 算法。要从一个或多个快照去除此类指派,请执行以下操作:

  1. 列出所有可用快照:

    tux > sudo snapper list -a
  2. 记住您要防止删除的快照数。

  3. 运行以下命令并将数字占位符替换为您记住的数字:

    tux > sudo snapper modify --cleanup-algorithm "" #1 #2 #n
  4. 再次运行 snapper list -a 检查结果。在 Cleanup 列中,您修改的快照所对应的项现在应该为空。

何处能获得有关 Snapper 的详细信息?

请访问 Snapper 的主页,网址为:http://snapper.io/

8 使用 VNC 远程访问

摘要

利用虚拟网络计算(Virtual Network Computing,VNC)可以通过图形桌面控制远程计算机(与远程外壳访问相对)。VNC 是独立于平台的并允许您从任何操作系统访问远程计算机。

SUSE Linux Enterprise Server 支持两种不同种类的 VNC 会话:自客户端启动起在 VNC 连接期间在线的一次性会话和始终在线直到被明确终止的永久会话。

注意
注意:会话类型

一台计算机可在不同端口上同时提供两种会话,但当会话打开后不能从一种类型转换为另一种类型。

8.1 vncviewer 客户端

要连接到服务器提供的 VNC 服务,需要使用客户端。SUSE Linux Enterprise Server 中的默认客户端是 tigervnc 包提供的 vncviewer

8.1.1 使用 vncviewer CLI 进行连接

要启动 VNC 查看器并发起与服务器的会话,请使用以下命令:

tux > vncviewer jupiter.example.com:1

若不使用 VNC 显示器编号,您也可以指定带两个冒号的端口号:

tux > vncviewer jupiter.example.com::5901
注意
注意:显示号和端口号

您在 VNC 客户端中指定的实际显示号或端口号必须与在目标计算机上通过 vncserver 命令提取的显示号或端口号相同。有关更多信息,请参见第 8.4 节 “持续 VNC 会话”

8.1.2 使用 vncviewer GUI 进行连接

在不指定 --listen 或要连接的主机的情况下运行 vncviewer 会显示一个窗口,要求您输入连接细节。按第 8.1.1 节 “使用 vncviewer CLI 进行连接”中所述在 VNC 服务器字段中输入主机,然后单击连接

vncviewer 要求输入连接细节
图 8.1︰ vncviewer

8.1.3 未加密连接通知

VNC 协议支持不同类型的加密连接,请不要将这些连接与口令身份验证相混淆。如果某个连接未使用 TLS,VNC 查看器的窗口标题中可能会出现(连接未加密!)文本。

8.2 Remmina:远程桌面客户端

Remmina 是功能丰富的新式远程桌面客户端。它支持多种访问方法,例如 VNC、SSH、RDP 或 Spice。

8.2.1 安装

要使用 Remmina,请检查系统上是否安装了 remmina 包,如未安装,请加以安装。记得还要安装适用于 Remmina 的 VNC 插件:

root # zypper in remmina remmina-plugin-vnc

8.2.2 主窗口

通过输入 remmina 命令运行 Remmina。

Remmina 的主窗口
图 8.2︰ Remmina 的主窗口

该应用程序主窗口显示储存的远程会话列表。在这里,您可以添加和保存新远程会话、快速启动新会话而不保存、启动以前保存的会话,或设置 Remmina 的全局首选项。

8.2.3 添加远程会话

要添加和保存新远程会话,请单击主窗口左上方的 添加新会话远程桌面首选项窗口即会打开。

远程桌面首选项
图 8.3︰ 远程桌面首选项

在用于指定新添加的远程会话配置文件的字段中填写信息。最重要的技术包括:

名称

配置文件的名称,将列于主窗口中。

协议

连接到远程会话时要使用的协议,例如 VNC。

服务器

远程服务器的 IP 或 DNS 地址和显示号。

用户名、口令

要用于进行远程身份验证的身份凭证。保留为空表示不进行身份验证。

色深、质量

根据连接速度和质量选择最佳选项。

选择高级选项卡可输入更具体的设置。

提示
提示:禁用加密

如果客户端与远程服务器之间的通讯不加密,请激活禁用加密,否则连接会失败。

选择 SSH 选项卡可显示高级 SSH 隧道通讯进程和身份验证选项。

单击保存进行确认。新设置的配置文件将列在主窗口中。

8.2.4 启动远程会话

您可以启动以前保存的会话,也可以快速启动一个远程会话而不保存连接细节。

8.2.4.1 快速启动远程会话

要快速启动远程会话而不真正添加并保存连接细节,请使用主窗口顶部的下拉框和文本字段。

快速启动
图 8.4︰ 快速启动

从下拉框中选择通讯协议(例如 VNC),然后输入 VNC 服务器 DNS 或 IP 地址,后跟一个冒号和显示号,然后按 Enter 确认。

8.2.4.2 打开保存的远程会话

要打开特定的远程会话,请从会话列表中双击该会话。

8.2.4.3 远程会话窗口

远程会话会在新窗口的标签中打开。每个标签托管一个会话。窗口左侧的工具栏可用来管理窗口/会话,例如切换全屏模式、调整窗口大小以适应会话的显示大小、将特定按键发送到会话、对会话进行屏幕截图,或设置图像质量。

正查看 SLES 15 远程会话的 Remmina
图 8.5︰ 正查看 SLES 15 远程会话的 Remmina

8.2.5 编辑、复制和删除保存的会话

编辑保存的某个远程会话,请在 Remmina 的主窗口中右键单击其名称,然后选择编辑。有关相关字段的说明,请参见第 8.2.3 节 “添加远程会话”

复制保存的某个远程会话,请在 Remmina 的主窗口中右键单击其名称,然后选择复制。在远程桌面首选项窗口中,更改配置文件的名称,(可选)调整相关选项,然后单击保存确认。

删除保存的某个远程会话,请在 Remmina 的主窗口中右键单击其名称,然后选择删除。在下一个对话框中,单击确认。

8.2.6 从命令行运行远程会话

如果您需要从命令行或使用批处理文件打开远程会话,而不先打开应用程序主窗口,请使用以下语法:

 tux > remmina -c profile_name.remmina

Remmina 的配置文件储存在您主目录下的 .local/share/remmina/ 目录中。要确定哪个配置文件属于您要打开的会话,请运行 Remmina,在主窗口中单击会话名称,然后在窗口底部的状态行中查看配置文件的路径。

查看配置文件的路径
图 8.6︰ 查看配置文件的路径

如果 Remmina 未在运行,您可以将配置文件重命名为更合理的文件名,例如 sle15.remmina。您甚至可以将配置文件复制到自定义目录,并从该目录中使用 remmina -c 命令来运行它。

8.3 一次性 VNC 会话

一次性会话由远程客户端启动。它在服务器上启动图形登录屏幕。这样您可以选择启动会话的用户,并且如果登录管理器支持,还可以选择桌面环境。终止与此类 VNC 会话的客户端连接时,此会话中启动的所有应用程序也将终止。一次性 VNC 会话不能共享,但可以在一台主机上同时存在多个会话。

过程 8.1︰ 启用一次性 VNC 会话
  1. 启动 YaST ›  网络服务 ›  远程管理 (VNC)

  2. 选中允许远程管理(不含会话管理)

  3. 如果您打算在 Web 浏览器窗口中访问 VNC 会话,请激活允许使用 Web 浏览器访问

  4. 如果需要,还可以选中打开防火墙中的端口(例如,当网络接口配置为在外部区域中时)。如果有多个网络接口,请通过防火墙细节将打开防火墙端口限制为特定的接口。

  5. 单击下一步确认您的设置。

  6. 如果不是所有需要的包都可使用,则需要批准安装缺少的包。

    提示
    提示:重启动显示管理器

    YaST 对显示管理器设置进行了更改。您需要注销当前图形会话并重启动显示管理器,以使更改生效。

远程管理
图 8.7︰ 远程管理

8.3.1 可用配置

SUSE Linux Enterprise Server 上的默认配置对会话使用 1024x768 像素(颜色深度 16 位)。会话在端口 5901(对于普通VNC 查看器,等同于 VNC 显示器 1)和端口 5801 上可用(对于 Web 浏览器)。

其他配置可在不同端口上使用,请参见第 8.3.3 节 “配置一次性 VNC 会话”

VNC 显示器编号和 X 显示器编号是独立于一次性会话的。VNC 显示器编号手动指派给服务器支持的每个配置(如上例中的 :1)。只要 VNC 会话启动时带任一配置,就会自动获取可用 X 显示器编号。

默认情况下,VNC 客户端与服务器将尝试通过安装后生成的自我签名 SSL 证书安全通讯。您可以使用默认的证书,也可以将它替换为您自己的证书。使用自我签名证书时,需在首次连接之前确认其签名。

8.3.2 启动一次性 VNC 会话

要连接一次性 VNC 会话,必须安装 VNC 查看器,另请参见第 8.1 节 “vncviewer 客户端”

8.3.3 配置一次性 VNC 会话

如果不需要或想修改默认配置,则可以跳过此部分。

一次性 VNC 会话通过 systemd 套接字 xvnc.socket 启动。默认情况下提供六个配置块:三个用于 VNC 查看器(vnc1vnc3),另外三个用于 Java 小程序(vnchttpd1vnchttpd3)。默认情况下,只有 vnc1vnchttpd1 是活动的。

要在引导时激活 VNC 服务器套接字,请运行以下命令:

sudo systemctl enable xvnc.socket

要立即启动套接字,请运行:

sudo systemctl start xvnc.socket

Xvnc 服务器可通过 server_args 选项配置。有关选项列表,请参见 Xvnc --help

当添加自定义配置时,请确保它们未使用已由其他配置、其他服务或同一主机上的现有永久 VNC 会话使用的端口。

通过输入以下命令激活配置更改:

tux > sudo systemctl reload xvnc.socket
重要
重要:防火墙和 VNC 端口

按照过程 8.1 “启用一次性 VNC 会话” 中的描述激活远程管理时,端口 58015901 将在防火墙中打开。如果用于 VNC 会话的网络接口受防火墙保护,则为 VNC 会话激活更多端口时,需要手动打开各个端口。有关指导,请参见Book “Security Guide”, Chapter 15 “Masquerading and Firewalls”

8.4 持续 VNC 会话

可以从多个客户端同时访问持续会话。为了便于演示,我们选择一个较为理想的配置,一个客户端具有完全访问权限,所有其他客户端只具有查看访问权限。另一个用例是教员可能需要访问学员桌面的培训。

提示
提示:连接持续 VNC 会话

要连接持续 VNC 会话,必须安装 VNC 查看器。有关更多详细信息,请参见第 8.1 节 “vncviewer 客户端”

持续 VNC 会话分为以下两类:

8.4.1 使用 vncserver 启动的 VNC 会话

此类型的持续 VNC 会话在服务器上启动。该会话和其上启动的所有应用程序运行时不考虑客户端连接,直到会话被终止。永久会话访问受到两种可用口令类型的保护:

  • 授予完全访问权限的普通口令或

  • 可选仅查看口令,授予非交互(仅查看)访问权限。

一个会话可一次具有两种类型的多个客户端连接。

过程 8.2︰ 使用 vncserver 启动持续 VNC 会话
  1. 打开外壳,确保以拥有 VNC 会话的用户身份登录。

  2. 如果用于 VNC 会话的网络接口受防火墙保护,则需要手动打开防火墙中您的会话所使用的端口。如果启动多个会话,还可以选择打开一个端口范围。有关如何配置防火墙的细节,请参见Book “Security Guide”, Chapter 15 “Masquerading and Firewalls”

    vncserver 对显示器 :1 使用端口 5901,对显示器 :2 使用端口 5902,依次类推。对于永久会话,VNC 显示器和 X 显示器通常具有相同编号。

  3. 要其他具有 1024x769 像素和颜色深度为 16 的会话,请输入以下命令:

    vncserver -alwaysshared -geometry 1024x768 -depth 16

    vncserver 命令会在您未指定时选取一个未使用的显示编号,并打印输出它的选择。有关更多选项,请参见 man 1 vncserver

当您首次运行 vncserver 时,它会要求您输入一个口令,以获取会话的完全访问权限。如果需要,还可以提供口令用于会话的仅查看访问。

这里提供的口令还用作同一用户将来启动会话的口令。这些口令可以用 vncpasswd 命令更改。

重要
重要:安全考虑因素

确保使用长度够长的高强度口令(八个或更多字符)。不要共享这些口令。

要终止会话,请从 VNC 查看器中关闭运行于 VNC 会话内的桌面环境,像您关闭普通本地 X 会话那样关闭它。

如果希望手动终止会话,请在 VNC 服务器上打开外壳并确保您已作为拥有要终止的 VNC 会话的用户登录。运行以下命令来终止在显示器 :1 上运行的会话:vncserver -kill :1

8.4.1.1 配置持续 VNC 会话

通过编辑 $HOME/.vnc/xstartup 可以配置持续 VNC 会话。默认情况下,此外壳脚本会启动它启动时所处的同一个 GUI/窗口管理器。在 SUSE Linux Enterprise Server 中,此 GUI/窗口管理器为 GNOME 或 IceWM。如果要使用您选择的窗口管理器启动会话,请设置变量 WINDOWMANAGER

WINDOWMANAGER=gnome vncserver -geometry 1024x768
WINDOWMANAGER=icewm vncserver -geometry 1024x768
注意
注意:每个用户一种配置

持续 VNC 会话在单个按用户配置中进行配置。由同一个用户启动的多个会话都使用相同的启动文件和口令文件。

8.4.2 使用 vncmanager 启动的 VNC 会话

过程 8.3︰ 启用持续 VNC 会话
  1. 启动 YaST ›  网络服务 ›  远程管理 (VNC)

  2. 激活允许远程管理(含会话管理)

  3. 如果您打算在 Web 浏览器窗口中访问 VNC 会话,请激活允许使用 Web 浏览器访问

  4. 如果需要,还可以选中打开防火墙中的端口(例如,当网络接口配置为在外部区域中时)。如果有多个网络接口,请通过防火墙细节将打开防火墙端口限制为特定的接口。

  5. 单击下一步确认您的设置。

  6. 如果不是所有需要的包都可使用,则需要批准安装缺少的包。

    提示
    提示:重启动显示管理器

    YaST 对显示管理器设置进行了更改。您需要注销当前图形会话并重启动显示管理器,以使更改生效。

8.4.2.1 配置持续 VNC 会话

过程 8.3 “启用持续 VNC 会话”中所述启用 VNC 会话管理后,便可以使用您喜欢的 VNC 查看器(例如 vncviewer 或 Remmina)正常连接到远程会话。此时将显示登录屏幕。登录后,您桌面环境的系统托盘中将出现“VNC”图标。单击该图标可打开 VNC 会话窗口。如果该图标未出现,或者您的桌面环境不支持图标放在系统托盘中,请手动运行 vncmanager-controller

VNC 会话设置
图 8.8︰ VNC 会话设置

有几个设置会影响 VNC 会话的行为:

非持续,私用

这相当于一次性会话。其他用户将看不见此类会话,它在您断开连接后即会终止。有关更多信息,请参考第 8.3 节 “一次性 VNC 会话”

持续,可见

其他用户可以看见此类会话,它在您断开连接后仍保持运行。

会话名称

您可以在此处指定持续会话的名称,以便在重新连接时可以轻松识别它。

不需要口令

任何人不必使用用户身份凭证登录即可访问会话。

需要用户登录

需要使用有效的用户名和口令登录后才能访问会话。该选项会在允许的用户文本框中列出有效的用户名。

一次允许一个客户端

禁止多个用户同时加入会话。

一次允许多个客户端

允许多个用户同时加入持续会话。适合在远程演示或培训这类场合中使用。

单击确定进行确认。

8.4.2.2 加入持续 VNC 会话

第 8.4.2.1 节 “配置持续 VNC 会话”中所述设置持续 VNC 会话后,可通过 VNC 查看器加入它。当 VNC 客户端连接到服务器后,系统将提示您选择是要创建新会话还是加入现有会话:

加入持续 VNC 会话
图 8.9︰ 加入持续 VNC 会话

当您单击现有会话的名称后,系统可能要求您输入登录身份凭证,具体取决于持续会话设置。

8.5 加密 VNC 通讯

如果 VNC 服务器设置正确,则 VNC 服务器与客户端之间的所有通讯都会被加密。身份验证在会话开始时进行,实际的数据传输在身份验证后开始。

无论是一次性还是持续 VNC 会话,安全性选项都通过 server_args 行中 /usr/bin/Xvnc 命令的 -securitytypes 参数配置。-securitytypes 参数会选择身份验证方法和加密。它的选项如下:

身份验证
None、TLSNone、X509None

无身份验证。

VncAuth、TLSVnc、X509Vnc

身份验证使用自定义口令。

Plain、TLSPlain、X509Plain

身份验证使用 PAM 来验证用户的口令。

加密
None、VncAuth、Plain

不加密。

TLSNone、TLSVnc、TLSPlain

匿名 TLS 加密。对所有内容加密,但不校验远程主机。因此,您可以防护被动攻击者,但不能防御中间人攻击者。

X509None、X509Vnc、X509Plain

使用证书进行 TLS 加密。如果使用自我签名证书,则在第一次连接时,系统将要求您校验证书。在以后的连接中,仅当证书有变动时,系统才会向您发出警告。因此,在第一次连接时,您可以防御中间人攻击之外的所有其他攻击(类似于使用典型的 SSH)。如果使用由证书颁发机构签名且与计算机名称匹配的证书,您的安全将得到全面保障(类似于使用典型的 HTTPS)。

提示
提示:证书和密钥的路径

如果使用基于 X509 的加密,需要通过 -X509Cert-X509Key 选项指定 X509 证书和密钥的路径。

如果您选择多种安全性类型(用逗号分隔),将会使用客户端和服务器都支持且允许的第一种安全性。如此,您便可在服务器上配置随机加密。如果您需要支持不支持加密的 VNC 客户端,此功能将十分有用。

在客户端上,您也可以指定允许的安全性类型,以防在您连接到已知启用了加密的服务器时遭到降级攻击(虽然在该情况下,我们的 vncviewer 会发出“连接未加密!”讯息来警告您)。

9 使用 RSync 复制文件

摘要

当今时代,用户通常都会有数台计算机:家用计算机和办公计算机、笔记本电脑、智能手机或平板电脑。因而,在多个设备之间保持文件和文档同步的任务就变得越发重要。

警告
警告:数据丢失风险

您在开始使用同步工具之前,应该先熟悉其特性和功能。请务必备份您的重要文件。

9.1 概念概述

对于要通过慢速网络连接同步大量数据的情况,Rsync 提供了可靠的方法来只传输文件中的更改。此方法不仅适用于文本文件,还适用于二进制文件。为了检测文件之间的差异,Rsync 将文件分为多个块,并计算它们的校验和。

检测更改对计算能力有一定的要求。因此,请确保两端的计算机均具有足够的资源,包括 RAM。

当需要定期传输大量只包含微小更改的数据时,Rsync 特别有用。进行备份时就常常用到该工具。Rsync 也非常适合用来镜像试验服务器,此类服务器将 Web 服务器的完整目录树储存到 DMZ 内的某台 Web 服务器中。

Rsync 并不是同步工具,虽然它的名字看上去有些像。Rsync 工具一次只能在一个方向复制数据。它不会也不能反向复制数据。如果您需要既能同步源又能同步目标的双向工具,请使用 Csync。

9.2 基本语法

Rsync 是一个命令行工具,基本语法如下:

rsync [OPTION] SOURCE [SOURCE]... DEST

您可以在任何本地或远程计算机上使用 Rsync,前提是您拥有相应的访问权限和写入权限。可以有多个 SOURCE 项。SOURCEDEST 占位符可以是路径和/或 URL。

下面介绍一些最常用的 Rsync 选项:

-v

输出较详细的文本

-a

存档模式;以递归方式复制文件并保留时间戳、用户/组所有权、文件权限和符号链接

-z

压缩传输的数据

注意
注意:尾部斜杠计数

使用 Rsync 时,要特别注意尾部斜杠。目录后面的尾部斜杠表示目录的内容。没有尾部斜杠表示目录本身

9.3 在本地复制文件和目录

下面的说明假设当前用户拥有 /var/backup 目录的写入许可权限。要将单个文件从计算机上的一个目录复制到另一个路径,请使用以下命令:

tux > rsync -avz backup.tar.xz /var/backup/

文件 backup.tar.xz 会复制到 /var/backup/,绝对路径是 /var/backup/backup.tar.xz

请勿忘记在 /var/backup/ 目录后面加上尾部斜杠!如果不插入斜杠,文件 backup.tar.xz 会复制到 /var/backup(文件)中,而不是 /var/backup/ 目录中!

复制目录与复制单个文件相似。下面的示例将目录 tux/ 及其内容复制到 /var/backup/ 目录中:

tux > rsync -avz tux /var/backup/

在绝对路径 /var/backup/tux/ 中可找到副本。

9.4 远程复制文件和目录

两台计算机上都需要有 Rsync 工具。要从远程目录复制文件或将文件复制到远程目录,需要提供 IP 地址或域名。如果本地计算机和远程计算机上当前的用户名相同,则可以不指定用户名。

要使用相同的用户(在本地和远程主机上)将文件 file.tar.xz 从本地主机复制到远程主机 192.168.1.1,请使用以下命令:

tux > rsync -avz file.tar.xz  tux@192.168.1.1:

根据您的个人偏好,也可以使用下面的命令,它们的作用相同:

tux > rsync -avz file.tar.xz 192.168.1.1:~
tux > rsync -avz file.tar.xz 192.168.1.1:/home/tux

在使用标准配置的所有情况下,系统会提示您输入远程用户的通行口令。此命令会将 file.tar.xz 复制到用户 tux 的主目录(通常为 /home/tux)。

远程复制目录与在本地复制目录相似。下面的示例将目录 tux/ 及其内容复制到 192.168.1.1 主机上的远程目录 /var/backup/

tux > rsync -avz tux 192.168.1.1:/var/backup/

假设您在主机 192.168.1.1 上拥有写入许可权限,便可在绝对路径 /var/backup/tux 中找到副本。

9.5 配置和使用 Rsync 服务器

Rsync 可作为在用于传入连接的默认端口 873 上列出的守护程序 (rsyncd) 运行。此守护程序可以接收复制目标

下面的说明介绍如何在 jupiter 上创建具有备份目标的 Rsync 服务器。此目标可用于储存您的备份。要创建 Rsync 服务器,请执行以下操作:

过程 9.1︰ 设置 Rsync 服务器
  1. 在 jupiter 上,创建用于储存您所有备份文件的目录。在此示例中,我们使用 /var/backup

    root # mkdir /var/backup
  2. 指定所有权。在此示例中,该目录为用户组中的用户 tux 所拥有:

    root # chown tux.users /var/backup
  3. 配置 rsyncd 守护程序。

    我们将配置文件分割成一个主文件,和一些用于存放您的备份目标的模块。如此,以后便可更轻松地添加其他目标。全局值可以储存在 /etc/rsyncd.d/*.inc 文件中,而模块放置在 etc/rsyncd.d/*.conf 文件中:

    1. 创建目录 /etc/rsyncd.d/

      root # mkdir /etc/rsyncd.d/
    2. 在主配置文件 /etc/rsyncd.conf 中,添加以下几行:

      # rsyncd.conf main configuration file
      log file = /var/log/rsync.log
      pid file = /var/lock/rsync.lock
      
      &merge /etc/rsyncd.d 1
      &include /etc/rsyncd.d 2

      1

      /etc/rsyncd.d/*.inc 文件中的全局值合并到主配置文件中。

      2

      /etc/rsyncd.d/*.conf 文件中装载任何模块(或目标)。这些文件不应该包含对全局值的任何参照。

    3. 在文件 /etc/rsyncd.d/backup.conf 中通过以下几行创建您的模块(您的备份目标):

      # backup.conf: backup module
      [backup] 1
         uid = tux 2
         gid = users 2
         path = /var/backup 3
         auth users = tux  4
         secrets file = /etc/rsyncd.secrets 5
         comment = Our backup target

      1

      备份目标。可以使用您喜欢的任何名称。但最好根据目标的用途来命名,并使用在 *.conf 文件中所用的相同名称。

      2

      指定在进行文件传输时所用的用户名或组名。

      3

      定义用于储存备份的路径(从步骤 1 中)。

      4

      指定允许的用户的逗号分隔列表。列表以最简单的方式包含允许连接到此模块的用户名。在我们的示例中,只允许用户 tux

      5

      指定包含用户名和明文口令的行所在文件的路径。

    4. 创建包含以下内容的 /etc/rsyncd.secrets 文件,并替换 PASSPHRASE

      # user:passwd
      tux:PASSPHRASE
    5. 确保该文件只有 root 用户可读:

      root # chmod 0600 /etc/rsyncd.secrets
  4. 通过以下命令启动并启用 rsyncd 守护程序:

    root # systemctl enable rsyncd
    root # systemctl start rsyncd
  5. 测试是否可访问 Rsync 服务器:

    tux > rsync jupiter::

    您应该会看到类似如下的响应:

    backup          Our backup target

    若非如此,请检查您的配置文件、防火墙和网络设置。

上述步骤创建了 Rsync 服务器,现在可以使用它来储存备份。下例还创建了一个列出所有连接的日志文件。此文件储存在 /var/log/rsyncd.log 中。如果您要对传输进行调试,那么它非常有用。

要列出备份目标的内容,请使用以下命令:

rsync -avz jupiter::backup

此命令会列出服务器上 /var/backup 目录中存在的所有文件。此请求还记录在日志文件 /var/log/rsyncd.log 中。要开始实际传输,请提供源目录。使用 . 表示当前目录。例如,下面的命令会将当前目录复制到 Rsync 备份服务器:

rsync -avz . jupiter::backup

默 认情况 下, Rsync 不 会 在运行 时删除文 件和目 录。 要允许 删除, 必须另 外指 定 选项 --delete。为保证不删除任何较新的文件,可转而使用选项 --update。必须手动解决所有冲突。

9.6 更多信息

CSync

双向文件同步程序,请参见 https://www.csync.org/

RSnapshot

创建增量备份,请参见 http://rsnapshot.org

Unison

与 CSync 类似的文件同步程序,但具有图形界面,请参见 http://www.seas.upenn.edu/~bcpierce/unison/

Rear

一个灾难恢复框架,请参见 https://www.suse.com/documentation/sle-ha-12/ 上 SUSE Linux Enterprise High Availability Extension 的《管理指南》。

第 II 部分 引导 Linux 系统

10 引导过程简介

引导 Linux 系统涉及不同组件和任务。固件和硬件初始化过程(取决于计算机的体系结构)完成后,系统将通过引导加载程序 GRUB 2 启动内核。在此之后,引导进程完全由操作系统控制,并由 systemd 处理。systemd 会提供一组目标,用于引导与日常使用、维护或紧急情况相关的配置。

11 UEFI(统一可扩展固件接口)

UEFI(统一可扩展固件接口)是用于系统硬件自带的固件、系统所有的硬件组件以及操作系统之间的接口。

12 引导加载程序 GRUB 2

本章介绍如何配置 SUSE® Linux Enterprise Server 中使用的引导加载程序 GRUB 2。GRUB 是传统 GRUB 引导加载程序(现在称作GRUB Legacy)的后继产品。SUSE® Linux Enterprise Server 版本 12 开始,就已使用 GRUB 2 作为默认的引导加载程序。产品中提供了一个 YaST 模块来配置最重要的设置。第 10 章 “引导过程简介 中将引导过程作为一个整体进行了介绍。有关 UEFI 计算机的安全引导支持的细节,请参见第 11 章 “UEFI(统一可扩展固件接口)

13 systemd 守护程序

systemd 程序是进程 ID 为 1 的进程。它负责以所需的方式初始化系统。systemd 由内核直接启动,信号 9(该信号通常会终止进程)对它不起作用。所有其他程序都由 systemd 直接启动,或由它的其中一个子进程启动。

10 引导过程简介

摘要

引导 Linux 系统涉及不同组件和任务。固件和硬件初始化过程(取决于计算机的体系结构)完成后,系统将通过引导加载程序 GRUB 2 启动内核。在此之后,引导进程完全由操作系统控制,并由 systemd 处理。systemd 会提供一组目标,用于引导与日常使用、维护或紧急情况相关的配置。

10.1 术语

本章使用的术语可能存在歧义。为了理解本章中术语的用法,请阅读以下定义:

init

有两个不同的进程通常命名为 init

  • 用于装入根文件系统的 initramfs 进程

  • 从实际根文件系统执行且用于启动其他所有进程的操作系统进程

在这两种情况下,systemd 程序都会处理此任务。首先会从 initramfs 执行此进程,以装入根文件系统。装入成功后,将从根文件系统以初始进程的形式重新执行此进程。为了避免混淆这两个 systemd 进程,我们将第一个进程称为 init on initramfs,将第二个进程称为 systemd

initrd / initramfs

initrd(初始 RAM 磁盘)是一个映像文件,内含内核所装载的并且作为临时根文件系统从 /dev/ram 装入的根文件系统映像。装入此文件系统需要使用文件系统驱动程序。

从内核 2.6.13 开始,initrd 已由 initramfs(初始 RAM 文件系统)取代,后者无需文件系统驱动程序即可装入。SUSE Linux Enterprise Server 只使用 initramfs。但是,由于 initramfs 作为 /boot/initrd 储存,因此通常将其称为initrd。本章只使用名称 initramfs

10.2 Linux 引导进程

Linux 引导进程包括多个阶段,每个阶段由一个不同组件来代表:

10.2.1 初始化和引导加载程序阶段

在初始化阶段,将设置计算机的硬件并准备好设备。此过程根据硬件体系结构的不同有很大的差别。

SUSE Linux Enterprise Server 在所有体系结构中都使用引导加载程序 GRUB 2。根据体系结构和固件,启动 GRUB 2 引导加载程序的过程可能包括多个步骤。引导加载程序的用途是装载内核以及基于 RAM 的初始文件系统 (initramfs)。有关 GRUB 2 的详细信息,请参见第 12 章 “引导加载程序 GRUB 2

10.2.1.1 AArch64 和 AMD64/Intel 64 上的初始化和引导加载程序阶段

在打开计算机之后,BIOS 或 UEFI 将初始化屏幕和键盘并测试主内存。直到这一阶段,计算机不访问任何大容量储存媒体。随后,将从 CMOS 值装载有关当前日期、时间和最重要的外设的信息。识别引导媒体及其几何尺寸之后,系统控制权将从 BIOS/UEFI 转到引导加载程序。

在装配传统 BIOS 的计算机上,只能装载引导磁盘的第一个 512 字节物理数据扇区(主引导记录,MBR)中的代码。只有极少量的 GRUB 2 代码能够装入 MBR。引导加载程序的唯一作用就是从 MBR 与第一个分区(MBR 分区表)之间的间隙处,或是从 BIOS 引导分区(GPT 分区表)装载包含文件系统驱动程序的 GRUB 2 核心映像。此映像包含文件系统驱动程序,因此能够访问根文件系统中的 /boot/boot 包含 GRUB 2 核心的附加模块以及内核和 initramfs 映像。获取此分区的访问权限后,GRUB 2 会将内核和 initramfs 映像装载到内存中,并将控制权交接到内核。

从包含已加密分区 /boot 的加密文件系统引导 BIOS 系统时,需要输入解密口令两次。GRUB 2 使用第一次输入的口令来解密 /bootsystemd 使用第二次输入的口令来装载加密的卷。

在装配 UEFI 的计算机上,引导过程比装配传统 BIOS 的计算机要简单得多。固件能够读取包含 GPT 分区表的磁盘的 FAT 格式化系统分区。此 EFI 系统分区(在运行的系统中装载为 /boot/efi)可提供足够的空间用于托管由固件直接装载和执行的完备 GRUB 2。

如果 BIOS/UEFI 支持网络引导,则也可以配置提供引导加载程序的引导服务器。然后,可以通过 PXE 引导系统。BIOS/UEFI 充当引导加载程序。它会从引导服务器获取引导映像,然后启动系统。这完全不依赖本地硬盘。

10.2.1.2 IBM z Systems 上的初始化和引导加载程序阶段

在 IBM z Systems 上,必须通过名为 zipl(z initial program load,z 初始程序装载)的引导加载程序初始化引导进程。尽管 zipl 支持读取不同的文件系统,但它不支持 SLE 默认文件系统 (Btrfs) 或者从快照引导。因此,SUSE Linux Enterprise Server 使用两阶段的引导过程来确保引导时完全支持 Btrfs:

  1. zipl 从 ext2 格式化分区 /boot/zipl 引导。此分区包含一个极简的内核,以及一个装载到内存中的 initramfs。initramfs 包含 Btrfs 驱动程序(及其他组件)和引导加载程序 GRUB 2。内核是使用参数 initgrub(告知要启动 GRUB 2)启动的。

  2. 内核会装入根文件系统,使 /boot 可访问。现在,将从 initramfs 启动 GRUB 2。GRUB 2 从 /boot/grub2/grub.cfg 读取其配置,并从 /boot 装载最终的内核和 initramfs。现在,将通过 Kexec 装载新内核。

10.2.2 内核阶段

引导加载程序转交系统控制权后,所有体系结构中的引导过程都是相同的。引导加载程序会将内核和基于 RAM 的初始文件系统 (initramfs) 都装载到内存中,而内核将接管控制权。

内核设立内存管理并检测 CPU 类型及其功能后,将初始化硬件,并从内存中装入使用 initramfs 装载的临时根文件系统。

10.2.2.1 initramfs 文件

initramfs(初始 RAM 文件系统)是一个小型 cpio 存档,可由内核装载到 RAM 磁盘中。该文件位于 /boot/initrd 中。可以使用名为 dracut 的工具创建该文件,有关细节,请参见 man 8 dracut

initramfs 提供了一个极简的 Linux 环境,可用于在装入实际根文件系统之前执行程序。这个最小的 Linux 环境由 BIOS 或 UEFI 例程载入内存,而且除了需要足够的内存外没有特定的硬件要求。initramfs 存档必须始终提供一个名为 init 的可执行文件,该文件执行根文件系统上的 systemd 守护程序,使引导进程得以继续。

在能够装入 root 文件系统并启动操作系统之前,内核需要相应的驱动程序来访问 root 文件系统所在的设备。 这些驱动程序可能包括用于特定类型硬盘的特殊驱动程序,甚至还可能包括访问网络文件系统所需的网络驱动程序。根文件系统所需的模块由 init on initramfs 装载。装载模块后,udev 将为 initramfs 提供所需的设备。在引导过程的后面,更改 root 文件系统之后需要重新生成设备。可以使用 systemd 单元 systemd-udev-trigger.service 来实现此目的。

10.2.2.1.1 重新生成 initramfs

由于 initramfs 包含多个驱动程序,因此,每当其中某个驱动程序有新版本发布时,都需要更新 initramfs。在安装包含驱动程序更新的包时可以自动完成这种更新。YaST 或 zypper 通过显示用于生成 initramfs 的命令的输出来告知此状况。但在某些情况下,您需要手动重新生成 initramfs

由于更换硬件而需添加驱动程序

如果需要更换硬件(例如硬盘),并且引导时此硬件需要内核中的不同驱动程序,则您必须更新 initramfs 文件。

编辑 /etc/dracut.conf.d/01-dist.conf(如果该文件不存在,则加以创建)并添加下面一行。

force_drivers+="DRIVER1"

用驱动程序的模块名称替换 DRIVER1。如果您需要添加多个驱动程序,请将其全部列出并以空格分隔:

force_drivers+="DRIVER1 DRIVER2"

继续过程 10.1 “生成 initramfs”

将系统目录移到 RAID 或 LVM

每当您要将正在运行的系统中的交换文件或系统目录(例如 /usr)移到 RAID 或逻辑卷时,都需要创建一个包含软件 RAID 或 LVM 驱动程序支持的 initramfs

为此,请在 /etc/fstab 中创建相关的项,并装入新项(例如,使用 mount -a 和/或 swapon -a)。

继续过程 10.1 “生成 initramfs”

将磁盘添加到包含根文件系统的 LVM 组/Btrfs RAID

每当您要在包含根文件系统的逻辑卷组或者 Btrfs RAID 中添加(或去除)磁盘时,都需要创建一个支持扩容的卷的 initramfs。请按照过程 10.1 “生成 initramfs”中的指导操作。

继续过程 10.1 “生成 initramfs”

更改内核变量

如果您在 sysctl 界面中通过编辑相关文件(/etc/sysctl.conf/etc/sysctl.d/*.conf)更改了内核变量的值,系统下次重引导时,这项更改将会丢失。即使您在运行时使用 sysctl --system 装载这些值,更改也不会保存到 initramfs 文件中。您需要根据过程 10.1 “生成 initramfs”中所述更新该文件。

过程 10.1︰ 生成 initramfs

请注意,以下过程中的所有命令都需要以 root 用户身份执行。

  1. 运行以下命令生成新的 initramfs 文件

    dracut MY_INITRAMFS

    请将 MY_INITRAMFS 替换为所选的文件名。新的 initramfs 将创建为 /boot/MY_INITRAMFS

    或者运行 dracut -f。这会重写当前使用的现有文件。

  2. (如果在上一步中运行了 dracut -f,请跳过此步骤)。为上一步中创建的 initramfs 文件创建链接:

    (cd /boot && ln -sf MY_INITRAMFS initrd)
  3. 在 IBM z Systems 体系结构中,另外还需运行 grub2-install

10.2.3 init on initramfs 阶段

由内核从 initramfs 装入的临时根文件系统包含可执行文件 systemd(下面称作 init on initramfs,另请参见第 10.1 节 “术语”)。此程序执行装入正确根文件系统所需的全部操作。它为所需的文件系统提供内核功能,并为使用 udev 的大量储存控制器提供设备驱动程序。

initramfs 上的 init 的主要用途是准备真实 root 文件系统的装入和访问。根据您的系统配置的不同,initramfs 上的 init 负责以下任务。

装载内核模块

根据硬件配置的不同,可能需要一些特殊的驱动程序来访问计算机的硬件组件(最重要的组件是硬盘)。要访问最终的 root 文件系统,内核需要装载适当的文件系统驱动程序。

提供块特殊文件

内核根据装载的模块生成设备事件。udev 会处理这些事件并在 RAM 文件系统的 /dev 中生成所需的特殊块文件。没有这些特殊文件,文件系统和其他设备将不可访问。

管理 RAID 和 LVM 设置

如果将系统配置为在 RAID 或 LVM 下保存根文件文件系统,则 initramfs 上的 init 将设置 LVM 或 RAID 以支持以后对根文件系统的访问。

管理网络配置

如果将系统配置为使用通过网络装入的 root 文件系统(通过 NFS 装入),则 init 必须确保装载了正确的网络驱动程序,并确保将其设置为支持访问 root 文件系统。

如果文件系统驻留在一个联网的块设备(如 iSCSI 或 SAN)上,则与储存服务器的连接也由 initramfs 上的 init 设置。SUSE Linux Enterprise Server 支持在主要目标不可用的情况下从次要 iSCSI 目标引导。有关 iSCSI 引导目标配置的更多细节,请参见Book “储存管理指南”, Chapter 14 “经由 IP 网络的大容量储存:iSCSI”, Section 14.3.1 “使用 YaST 执行 iSCSI 发起端配置”

注意
注意:处理装入错误

如果根文件系统无法从引导环境中装入,则必须先对其进行检查和修复,才能继续引导。如果文件系统为 Ext3 和 Ext4,文件系统检查程序将会自动启动。如果是 XFS 和 Btrfs 文件系统,则不会自动开始修复过程,而是向用户显示有关可用于修复文件系统的选项的信息。成功修复文件系统后,退出引导环境将会使系统重试装入根文件系统。如果装入成功,将正常继续引导。

10.2.3.1 安装过程中的 init on initramfs 阶段

如果在安装过程的初始引导阶段调用 init on initramfs,它要执行的任务将与上述任务不同。请注意,安装系统也不会从 initramfs 启动 systemd — 这些任务由 linuxrc 执行。

查找安装媒体

当您启动安装进程时,计算机会装载一个安装内核以及一个包含 YaST 安装程序的特殊 init。YaST 安装程序正在 RAM 文件系统中运行,它需要知道安装媒体的位置,才能访问安装媒体以安装操作系统。

启动硬件识别并装载适当的内核模块

第 10.2.2.1 节 “initramfs 文件”中所述,引导过程从最少的一组驱动程序(可在大多数硬件配置中使用)开始。在 AArch64、POWER 和 AMD64/Intel 64 计算机上,linuxrc 会启动初始硬件扫描进程,以确定适合您的硬件配置的驱动程序集。在 IBM z Systems 上,需要提供驱动程序及其参数的列表(例如,通过 linuxrc 或 parmfile 提供)。

这些驱动程序用于生成引导系统所需的自定义 initramfs。如果引导时不需要这些模块,但冷插拔时需要,您可以使用 systemd 装载这些模块。有关详细信息,请参见第 13.6.4 节 “装载内核模块”

装载安装系统

系统在正确识别硬件后会装载相应的驱动程序。udev 程序会创建特殊的设备文件,linuxrc 使用 YaST 安装程序启动安装系统。

启动 YaST

最后,linuxrc 启动 YaST,后者则启动包安装和系统配置。

10.2.4 systemd 阶段

找到实际的根文件系统后,对其进行错误检查并装入。如果装入成功,系统会清理 initramfs 并执行根文件系统上的 systemd 守护程序。systemd 是 Linux 的系统和服务管理器。它是作为 PID 1 启动的父进程,充当用于启动和维护用户空间服务的 init 系统。有关详细信息,请参见第 13 章 “systemd 守护程序

11 UEFI(统一可扩展固件接口)

UEFI(统一可扩展固件接口)是用于系统硬件自带的固件、系统所有的硬件组件以及操作系统之间的接口。

UEFI 在 PC 系统上的应用范围越来越广,因此正在逐渐替代传统的 PC-BIOS。例如,UEFI 能够很好地支持 64 位系统,提供安全的引导(安全引导,要求固件为 2.3.1c 或以上版本)。安全引导是其最为重要的特性之一。最后,借助 UEFI,标准固件将能够用于所有 x86 平台。

除此之外,UEFI 还具有以下优点:

  • 从带有 GUID 分区表 (GPT) 的大磁盘(超过 2 TiB)引导。

  • 独立于 CPU 的架构和驱动程序。

  • 带有网络功能的灵活的预操作系统环境。

  • 通过 PC-BIOS 式仿真支持引导老式操作系统的 CSM(兼容支持模块)。

有关详细信息,请参见 http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface。以下小节仅针对部分功能如何在 SUSE Linux Enterprise Server 中实现而列举一些提示,并不代表 UEFI 的整体概述。

11.1 安全引导

在 UEFI 领域中,要想保障引导程序的安全,需要建立一个信任链。平台是此信任链的根;在 SUSE Linux Enterprise Server 环境中,可将主板和板载固件视为平台。换句话说,它就是硬件供应商,信任链从硬件供应商流向组件制造商、OS 供应商等。

系统通过公共密钥加密法表示信任。硬件供应商将所谓的“平台密钥 (PK)”放入固件中,代表可信根。操作系统供应商与其他方将其密钥与“平台密钥”签署在一起,以此记录他们之间的信任关系。

最后,除非这些可信的密钥之一(即 OS 引导加载程序、位于一些 PCI Express 卡的闪存上或磁盘上的一些驱动程序,或者更新的固件本身)签署了代码,否则要求固件不得执行该代码,从而建立安全保障。

要使用安全引导,您需要用固件信任的密钥对您的 OS 加载程序签名,并且需要 OS 加载程序校验其加载的内核是否可信。

可以将密钥交换密钥 (KEK) 添加到 UEFI 密钥数据库中。这样,其他证书只要签署了 PK 的私用部分,即可由您使用。

11.1.1 SUSE Linux Enterprise Server 上实施

默认情况下安装微软的密钥交换密钥 (KEK)。

注意
注意:需要 GUID 分区表 (GPT)

UEFI/x86_64 安装中默认会启用安全引导功能。您可在引导加载程序设置对话框的引导代码选项选项卡中找到启用安全引导支持选项。该选项支持在固件中的安全引导已激活时引导,同时也支持在安全引导已停用时引导。

安全引导支持
图 11.1︰ 安全引导支持

“安全引导”特性要求 GUID 分区表 (GPT) 使用主引导记录 (MBR) 替代旧的分区。如果安装期间 YaST 检测到 EFI 模式,则会设法创建 GPT 分区。UEFI 预期会在 FAT 格式的 EFI 系统分区(ESP) 上查找到 EFI 程序。

支持 UEFI 安全引导基本上要求具有固件认可作为可信密钥的数字签名的引导加载程序。该密钥需要先天为固件所信任(无需任何手动干预)。

有两种办法可以实现。一种是与硬件供应商合作,让其签署 SUSE 密钥,然后 SUSE 会使用该 SUSE 密钥签署引导加载程序;另一种是通过微软的 Windows 徽标认证计划使引导加载程序获得认证,并使微软认可 SUSE 签名密钥(也就是让加载程序使用他们的 KEK 签名)。至此,SUSE 使引导加载程序获得了 UEFI 签名服务(在此情况下为 Microsoft)的签名。

UEFI:安全引导流程
图 11.2︰ UEFI:安全引导流程

SUSE 在实施层使用默认将会安装的 shim 加载程序。这是一种可以避免法律纠纷的智能解决方案,能够大幅简化认证和签名步骤。shim 加载程序的任务是装载 GRUB 2 等引导加载程序并对其进行校验,之后,此引导加载程序将装载仅由一个 SUSE 密钥签名的内核。SUSE 从全新安装的 SLE11 SP3 开始提供此功能,并要求启用 UEFI 安全引导。

可信用户分为以下两类:

  • 首先是持有密钥的用户。平台密钥 (PK) 几乎允许所有操作。密钥交换密钥 (KEK) 的许可范围与 PK 一致,但不能更改 PK。

  • 其次是能够以物理方式访问机器的任何用户。具有物理访问权限的用户可以重引导机器并对 UEFI 进行配置。

UEFI 提供下列两类变量以满足这些用户的需求:

  • 第一类变量即所谓的已验证的变量,它们可从引导过程(所谓的“引导服务环境”)和正在运行的操作系统中更新。仅当对变量新值签名的密钥是用于对变量旧值签名的相同密钥时,才能进行更新。而且,您只能向这类变量追加或将其更改为序列号更高的数值。

  • 第二类变量即所谓的仅供引导服务使用的变量。引导进程中运行的任何代码都可以获取这些变量。在结束引导进程并准备启动 OS 的时间间隔内,引导加载程序必须调用 ExitBootServices 呼叫。此后将无法获取这些变量,OS 也无法接触到这些变量。

各类 UEFI 密钥列表属于第一类,因为该类变量除了允许联机更新外,还允许添加密钥、驱动程序、固件指纹以及将其列入黑名单。第二类变量即仅供引导服务使用的变量。该类变量有助于以安全且支持开源的方式实施安全引导,因此符合 GPLv3 要求。

SUSE 首先启动 shim,它是一个小而简单的 EFI 引导加载程序,由 SUSE 和 Microsoft 签名。

这样一来,shim 即可加载并执行。

shim 随后继续验证其想要加载的引导加载程序是否可信。默认情况下,shim 会使用其主体中所嵌入的独立的 SUSE 证书。此外,shim 还允许登记其他密钥,用于覆盖默认的 SUSE 密钥。下文将这些密钥称为机器拥有者密钥或缩写为 MOK。

接下来,引导加载程序会验证内核,然后加以引导。该内核将在模块上执行同样的操作。

11.1.2 MOK(机器拥有者密钥)

如果用户(机器拥有者)想要更换引导进程的任何组件,则会用到“机器拥有者密钥 (MOK)”。他们可以借助 mokutils 工具对组件签名及管理 MOK。

当加载 shim 时,登记进程便会开始重引导计算机并中断引导进程(例如按下某个键)。shim 随后转入登记模式,允许用户使用引导分区上的文件的密钥替换默认的 SUSE 密钥。如果用户选择这样做,则 shim 将计算该文件的哈希,并将计算结果置入仅供引导服务的变量中。这样,shim 可以检测到文件除引导服务之外出现的任何更改,从而避免篡改用户核准的 MOK 列表。

上述各步都在引导时发生,此时仅执行已经校验的代码。因此,只有控制台上所示的一位用户可以使用机器拥有者的一组密钥。它不可能是远程访问 OS 的恶意程序或骇客,因为骇客或恶意程序只能更改文件,但无法更改存储在仅供引导服务使用的变量中的哈希。

引导加载程序经 shim 装载并校验后,如果需要校验内核以免校验代码重复,则会回调 shim。为此,Shim 将使用同一份 MOK 列表并通知引导加载程序能否加载内核。

这样,您就可以安装自己的内核或引导加载程序。您只需要安装一组新的密钥,并在首次重引导期间以物理方式呈现,从而予以授权。由于 MOK 列表并非单独一个 MOK,因此您可以让 shim 信任来自多个供应商的密钥,从而允许从引导加载程序进行双重或多重引导。

11.1.3 引导自定义内核

以下内容基于 http://en.opensuse.org/openSUSE:UEFI#Booting_a_custom_kernel

安全引导不会阻止您使用自行编译的内核。您必须使用自己的证书在该内核上签名,并让固件或 MOK 得以识别该证书。

  1. 创建一个自定义的 X.509 密钥以及用于签名的证书:

    openssl req -new -x509 -newkey rsa:2048 -keyout key.asc \
      -out cert.pem -nodes -days 666 -subj "/CN=$USER/"

    有关创建证书的详细信息,请参见 http://en.opensuse.org/openSUSE:UEFI_Image_File_Sign_Tools#Create_Your_Own_Certificate

  2. 将密钥和证书打包成 PKCS#12 结构:

    openssl pkcs12 -export -inkey key.asc -in cert.pem \
      -name kernel_cert -out cert.p12
  3. 生成用于 pesign 的 NSS 数据库:

    certutil -d . -N
  4. 将 PKCS#12 中包含的密钥和证书导入 NSS 数据库:

    pk12util -d . -i cert.p12
  5. 使用 pesign 将新签名赋予内核:

    pesign -n . -c kernel_cert -i arch/x86/boot/bzImage \
      -o vmlinuz.signed -s
  6. 列出内核映像上的签名:

    pesign -n . -S -i vmlinuz.signed

    此时,您可以照常在 /boot 中安装内核。由于内核现有一个自定义的签名,因此需要将用于签名的证书导入 UEFI 固件或 MOK 中。

  7. 将证书转为 DER 格式,以供导入固件或 MOK:

    openssl x509 -in cert.pem -outform der -out cert.der
  8. 将证书复制到 ESP 以简化访问:

    sudo cp cert.der /boot/efi/
  9. 使用 mokutil 自动启动 MOK 列表。

      1. 将证书导入到 MOK 中:

        mokutil --root-pw --import cert.der

        --root-pw 选项可让 root 用户直接使用。

      2. 检查准备注册的证书列表:

        mokutil --list-new
      3. 重引导系统;shim 应该会起动 MokManager。您需要输入 root 口令以确认将证书导入到 MOK 列表中。

      4. 检查新导入的密钥以前是否注册过:

        mokutil --list-enrolled
      1. 此外,若要手动启动 MOK,也可以采用这一过程:

        重引导

      2. 在 GRUB 2 菜单中,按 c 键。

      3. 类型:

        chainloader $efibootdir/MokManager.efi
        boot
      4. 选择从磁盘登记密钥

      5. 导航至 cert.der 文件并按 Enter

      6. 按照指导登记密钥。正常情况下应按“0”,然后按“y”予以确认。

        除此之外,固件菜单也可能提供了多种向“签名数据库”中添加新密钥的方式。

11.1.4 使用非内置驱动程序

在启用安全引导的情况下,不支持在安装过程中添加非内置驱动程序(即,不是 SUSE Linux Enterprise Server 自带的驱动程序)。用于 SolidDriver/PLDP 的签名密钥默认不受信任。

您可以通过两种不同的方式,在启用安全引导的情况下于安装期间安装第三方驱动程序。在这两种情况下,都要:

  • 在安装前,通过固件或系统管理工具将所需密钥添加到固件数据库中。此选项取决于您当前使用的具体硬件。请咨询您的硬件供应商了解详细信息。

  • 使用 https://drivers.suse.com/ 上或硬件供应商提供的可引导驱动程序 ISO,在首次引导时将所需密钥登记到 MOK 列表中。

要使用可引导驱动程序 ISO 将驱动程序密钥登记到 MOK 列表中,请执行以下步骤:

  1. 将上文所述 ISO 映像刻录到空 CD/DVD 媒体中。

  2. 使用新的 CD/DVD 媒体开始安装,并准备好标准的安装媒体或网络安装服务器的 URL。

    如果您要进行网络安装,请在引导命令行上使用 install= 选项输入网络安装源的 URL。

    如果您是从光学媒体安装,安装程序会先从驱动程序包引导,然后要求插入产品的第一张安装光盘。

  3. 安装时将会使用包含经过更新的驱动程序的 initrd。

有关详细信息,请参见 https://drivers.suse.com/doc/Usage/Secure_Boot_Certificate.html

11.1.5 功能和限制

以安全引导模式引导时,可以使用以下功能:

  • 安装到 UEFI 默认的引导加载程序位置,这是为了保留或恢复 EFI 引导项而采用的机制。

  • 通过 UEFI 重引导。

  • 如果没有其他可回退到的旧版 BIOS,Xen 超级管理程序将使用 UEFI 引导。

  • 支持 UEFI IPv6 PXE 引导。

  • UEFI 视频模式支持,内核可以从 UEFI 检索视频模式,以使用相同的参数配置 KMS 模式。

  • UEFI 支持从 USB 设备引导。

以安全引导模式引导时,存在以下限制:

  • 为确保他人无法轻易绕过安全引导,系统在安全引导下运行时会禁用部分内核特性。

  • 引导加载程序、内核以及内核模块必须经过签名。

  • Kexec 和 Kdump 处于禁用状态。

  • 休眠(挂起到磁盘)处于禁用状态。

  • 无法访问 /dev/kmem/dev/mem,连 root 用户也不例外。

  • 无法访问 I/O 端口,连 root 用户也不例外。所有 X11 图形驱动程序必须使用内核驱动程序。

  • 无法通过 sysfs 访问 PCI BAR。

  • 无法使用 ACPI 中的 custom_method

  • 无法使用 asus-wmi 模块的 debugfs。

  • acpi_rsdp 参数对内核没有任何影响。

11.2 更多信息

12 引导加载程序 GRUB 2

摘要

本章介绍如何配置 SUSE® Linux Enterprise Server 中使用的引导加载程序 GRUB 2。GRUB 是传统 GRUB 引导加载程序(现在称作GRUB Legacy)的后继产品。SUSE® Linux Enterprise Server 版本 12 开始,就已使用 GRUB 2 作为默认的引导加载程序。产品中提供了一个 YaST 模块来配置最重要的设置。第 10 章 “引导过程简介 中将引导过程作为一个整体进行了介绍。有关 UEFI 计算机的安全引导支持的细节,请参见第 11 章 “UEFI(统一可扩展固件接口)

12.1 GRUB Legacy 与 GRUB 2 之间的主要差异

  • 配置储存在不同的文件中。

  • 支持更多的文件系统(例如 Btrfs)。

  • 可以直接读取 LVM 或 RAID 设备上储存的文件。

  • 用户界面可翻译,并可以改变主题。

  • 包含一个用于装载模块的机制,以支持更多功能,例如文件系统等。

  • 自动搜索和生成其他内核与操作系统(例如 Windows)的引导项。

  • 包含一个类似于 Bash 的精简控制台。

12.2 配置文件结构

GRUB 2 的配置基于以下文件:

/boot/grub2/grub.cfg

此文件包含 GRUB 2 菜单项的配置。它替代了 GRUB Legacy 中的 menu.lstgrub.cfggrub2-mkconfig 命令自动生成,不应对其进行编辑。

/boot/grub2/custom.cfg

此可选文件在引导时由 grub.cfg 直接检索,可用于向引导菜单添加自定义项。从 SUSE Linux Enterprise Server 开始,使用 grub-once 时也将分析这些项目。

/etc/default/grub

此文件控制 GRUB 2 的用户设置,通常包含背景和主题等其他环境设置。

/etc/grub.d/ 下的脚本

在执行 grub2-mkconfig 命令期间将读取此目录中的脚本。主配置文件 /boot/grub/grub.cfg 中集成了这些脚本的说明。

/etc/sysconfig/bootloader

在使用 YaST 配置引导加载程序时以及每次安装新内核时会用到此配置文件。它将经过 perl 引导加载程序的评估,该程序会相应地修改引导加载程序配置文件(例如,GRUB 2 对应的配置文件 /boot/grub 2/grub.cfg)。/etc/sysconfig/bootloader 并不是特定于 GRUB 2 的配置文件,其值会应用于 SUSE Linux Enterprise Server 上安装的任何引导加载程序。

/boot/grub2/x86_64-efi/boot/grub2/power-ieee1275/boot/grub2/s390x

这些配置文件包含特定于体系结构的选项。

可以通过多种方式控制 GRUB 2。可以在图形菜单(启动屏幕)中选择现有配置的引导项。配置从文件 /boot/grub2/grub.cfg 装载,而该文件是基于其他配置文件编译的(参见下文)。所有 GRUB 2 配置文件都被视为系统文件,编辑这些配置文件需要拥有 root 特权。

注意
注意:激活配置更改

手动编辑 GRUB 2 配置文件后,需要运行grub2-mkconfig 以激活更改。但使用 YaST 更改配置时就不需要如此,因为 YaST 会自动运行 grub2-mkconfig

12.2.1 文件 /boot/grub2/grub.cfg

带有引导菜单的图形启动屏幕内容由 GRUB 2 配置文件 /boot/grub2/grub.cfg 控制,该文件包含有关可以通过菜单引导的所有分区或操作系统的信息。

系统每次引导时,GRUB 2 会直接从文件系统装载菜单文件。因此,在更改配置文件后不需要重新安装 GRUB 2。安装或去除内核后,系统会自动重构建 grub.cfg

grub.cfggrub2-mkconfig 基于 /etc/default/grub 文件以及 /etc/grub.d/ 目录中的脚本编译。因此,切勿手动编辑该文件,而应该编辑相关的源文件,或者根据第 12.3 节 “使用 YaST 配置引导加载程序”中所述,使用 YaST 引导加载程序模块来修改配置。

12.2.2 文件 /etc/default/grub

此文件包含 GRUB 2 的其他常规选项,例如,显示菜单的时间,或者要引导的默认操作系统。要列出所有可用选项,请查看以下命令的输出:

grep "export GRUB_DEFAULT" -A50 /usr/sbin/grub2-mkconfig | grep GRUB_

除了已定义的变量外,用户还可以引入自己的变量,以后在 /etc/grub.d 目录中的脚本内使用。

编辑 /etc/default/grub 后,请运行 grub2-mkconfig 以更新主配置文件。

注意
注意:范围

此文件中设置的所有选项是会影响所有引导项的常规选项。通过 GRUB_*_XEN_* 配置选项可以设置 Xen 内核或 Xen 超级管理程序的特定选项。有关细节,请参见下文。

GRUB_DEFAULT

设置默认会引导的引导菜单项。它的值可以是数字值、菜单项的完整名称或saved

GRUB_DEFAULT=2 引导第三个(从零开始计数)引导菜单项。

GRUB_DEFAULT="2>0" 引导第三个顶级菜单项的第一个子菜单项。

GRUB_DEFAULT="Example boot menu entry" 引导标题为Example boot menu entry的菜单项。

GRUB_DEFAULT=saved 引导 grub2-oncegrub2-set-default 命令指定的项。grub2-reboot 只设置下一次重引导的默认引导项,而 grub2-set-default 设置发生更改之前的默认引导项。grub2-editenv list 列出下一个引导项。

GRUB_HIDDEN_TIMEOUT

等待用户按某个键的指定秒数。在此期间,除非用户按下某个键,否则不显示菜单。如果用户在指定的时间内未按任何键,控制权将转交给 GRUB_TIMEOUTGRUB_HIDDEN_TIMEOUT=0 首先会检查是否已按下 Shift,如果是,则显示引导菜单,否则会立即引导默认的菜单项。如果 GRUB 2 只识别了一个可引导操作系统,则默认行为就是如此。

GRUB_HIDDEN_TIMEOUT_QUIET

如果指定 false,则在激活了 GRUB_HIDDEN_TIMEOUT 功能时,会在一个空白屏幕上显示倒数计时器。

GRUB_TIMEOUT

在自动引导默认引导项之前,显示引导菜单的期限(以秒为单位)。如果按下某个键,则会取消超时,GRUB 2 将等待您手动做出选择。如果指定 GRUB_TIMEOUT=-1,则在您手动选择引导项之前,会一直显示菜单。

GRUB_CMDLINE_LINUX

此行中的项将添加到正常和恢复模式的引导项的末尾。使用它可以向引导项添加内核参数。

GRUB_CMDLINE_LINUX_DEFAULT

GRUB_CMDLINE_LINUX 一样,但只能在正常模式下追加项。

GRUB_CMDLINE_LINUX_RECOVERY

GRUB_CMDLINE_LINUX 一样,但只能在恢复模式下追加项。

GRUB_CMDLINE_LINUX_XEN_REPLACE

此项将完全替代所有 Xen 引导项的 GRUB_CMDLINE_LINUX 参数。

GRUB_CMDLINE_LINUX_XEN_REPLACE_DEFAULT

GRUB_CMDLINE_LINUX_XEN_REPLACE 一样,但只会替代 GRUB_CMDLINE_LINUX_DEFAULT 的参数。

GRUB_CMDLINE_XEN

此项只为 Xen guest 内核指定内核参数 — 工作原理与 GRUB_CMDLINE_LINUX 相同。

GRUB_CMDLINE_XEN_DEFAULT

GRUB_CMDLINE_XEN 一样 — 工作原理与 GRUB_CMDLINE_LINUX_DEFAULT 相同。

GRUB_TERMINAL

启用和指定输入/输出终端设备。可以是 console(PC BIOS 和 EFI 控制台)、serial(串行终端)、ofconsole(开放式固件控制台)或默认值 gfxterm(图形模式输出)。用引号括住所需的选项可以启用多个设备,例如 GRUB_TERMINAL="console serial"

GRUB_GFXMODE

gfxterm 图形终端使用的分辨率。请注意,您只能使用您的图形卡 (VBE) 支持的模式。默认值为“auto”,即尝试选择首选的分辨率。在 GRUB 2 命令行中键入 videoinfo 可以显示 GRUB 2 适用的屏幕分辨率。GRUB 2 引导菜单屏幕显示后,键入 C 即可访问命令行。

您还可以指定颜色深度,方法是将其值追加到分辨率设置的后面,例如 GRUB_GFXMODE=1280x1024x24

GRUB_BACKGROUND

设置 gfxterm 图形终端的背景图像。该图像必须是 GRUB 2 在引导时可读的文件,并且必须以 .png.tga.jpg.jpeg 后缀结尾。必要时,系统会缩放该图像以适合屏幕。

GRUB_DISABLE_OS_PROBER

如果将此选项设置为 true,将禁用自动搜索其他操作系统的功能。系统只会检测 /boot/ 中的内核映像,以及 /etc/grub.d/ 中您自己的脚本内的选项。

SUSE_BTRFS_SNAPSHOT_BOOTING

如果将此选项设置为 true,GRUB 2 可直接引导至 Snapper 快照。有关详细信息,请参见第 7.3 节 “通过从快照引导来执行系统回滚”

有关选项的完整列表,请参见 GNU GRUB 手册。有关可用参数的完整列表,请参见 http://en.opensuse.org/Linuxrc

12.2.3 /etc/grub.d 中的脚本

在执行 grub2-mkconfig 命令期间,将读取此目录中的脚本,并且这些脚本的说明已整合到 /boot/grub2/grub.cfg 中。grub.cfg 中菜单项的顺序由此目录中文件的运行顺序来决定。具有前导编号的文件先执行,从最小的编号开始。00_header10_linux 之前运行,而后者又在 40_custom 之前运行。如果存在采用字母名称的文件,这些文件将在采用编号命名的文件后面执行。在执行 grub2-mkconfig 期间,只有可执行文件才能在 grub.cfg 中生成输出。默认情况下,/etc/grub.d 目录中的所有文件都是可执行文件。

提示
提示:将自定义内容永久保存在 grub.cfg

由于每次运行 grub2-mkconfig 时都会重新编译 /boot/grub2/grub.cfg,因此所有自定义内容都会丢失。如果要将您的行直接插入到 /boot/grub2/grub.cfg 中,并且希望在运行 grub2-mkconfig 之后它们不会丢失,请将其插入到下面两行之间:

### BEGIN /etc/grub.d/90_persistent ###

### END /etc/grub.d/90_persistent ###

90_persistent 脚本可确保此类内容会保留下来。

下面列出了最重要的脚本:

00_header

设置环境变量,例如系统文件位置、显示设置、主题和以前保存的项。它还可以导入 /etc/default/grub 中储存的首选项。通常,不需要对此文件进行更改。

10_linux

识别根设备上的 Linux 内核,并创建相关的菜单项。这包括关联的恢复模式选项(如果已启用)。主菜单页中只显示最新内核,其他内核包含在子菜单中。

30_os-prober

此脚本使用 OS-prober 来搜索 Linux 和其他操作系统,并将结果放入 GRUB 2 菜单。其中的某些部分可以识别其他特定操作系统,例如 Windows 或 macOS。

40_custom

使用此文件可以方便地在 grub.cfg 中包含自定义引导项。切勿更改开头的 exec tail -n +3 $0 部分。

处理顺序根据前导编号确定,编号最小的脚本最先执行。如果多个脚本的前导编号相同,则根据整个名称的字母顺序来决定执行顺序。

提示
提示:/boot/grub2/custom.cfg

如果您创建了 /boot/grub2/custom.cfg 并在其中填充了内容,则引导时系统会自动将它包含到 /boot/grub40/grub.cfg 中紧接在 40_custom 后面的位置。

12.2.4 BIOS 驱动器与 Linux 设备之间的映射

在 GRUB Legacy 中,device.map 配置文件用于基于 BIOS 驱动器号派生 Linux 设备名称。不一定总能正确猜测出 BIOS 驱动器与 Linux 设备之间的映射。例如,如果 IDE 和 SCSI 驱动器的引导顺序在 BIOS 配置中被交换,则 GRUB Legacy 就会发生顺序错误。

GRUB 2 在生成 grub.cfg 时使用设备 ID 字符串 (UUID) 或文件系统标签,因此避免了此问题。GRUB 2 实用程序会即时创建一个临时设备映射,这通常足以满足需要,在单磁盘系统中尤其如此。

但是,如果您需要覆盖 GRUB 2 的自动设备映射机制,请创建自定义映射文件 /boot/grub2/device.map。以下示例将更改映射,使 DISK 3 成为引导磁盘。请注意,GRUB 2 分区编号以 1 开始,而不是像 GRUB Legacy 中那样以 0 开始。

(hd1)  /dev/disk-by-id/DISK3 ID
(hd2)  /dev/disk-by-id/DISK1 ID
(hd3)  /dev/disk-by-id/DISK2 ID

12.2.5 在引导过程中编辑菜单项

当系统由于配置错误而不再能够引导时,如果能够直接编辑菜单项,就会很有帮助。使用菜单编辑器还可以在不更改系统配置的情况下测试新设置。

  1. 在图形引导菜单中,使用方向键选择要编辑的项。

  2. E 打开基于文本的编辑器。

  3. 使用方向键移到您要编辑的行。

    GRUB 2 引导编辑器
    图 12.1︰ GRUB 2 引导编辑器

    现在,您可以采取以下两种做法:

    1. 将用空格分隔的参数添加到以 linuxlinuxefi 开头的行的末尾,以编辑内核参数。http://en.opensuse.org/Linuxrc 上提供了完整的参数列表。

    2. 或者编辑常规选项,以更改内核版本等。按 →| 键会显示所有可能的补全建议。

  4. F10 使用您所做的更改引导系统,或者按 Esc 放弃您的编辑,并返回到 GRUB 2 菜单。

通过这种方式进行的更改仅会应用到当前引导过程,而不会永久保存。

重要
重要:引导过程中的键盘布局

US 键盘布局是引导时唯一可用的键盘布局。请参见图 40.2 “美式键盘布局”

注意
注意:安装媒体中的引导加载程序

在使用传统 BIOS 的系统上,安装媒体中的引导加载程序仍是 GRUB Legacy。要添加引导选项,请选择一个项,然后开始键入。在安装引导项中添加的选项将永久保存在安装的系统中。

注意
注意:在 z Systems 上编辑 GRUB 2 菜单项

IBM z Systems 上的光标移动操作和编辑命令有所不同,有关细节,请参见第 12.4 节 “z Systems 上终端使用方式的差异”

12.2.6 设置引导口令

即使在操作系统引导之前,GRUB 2 也支持对文件系统的访问。没有 root 权限的用户可以访问 Linux 系统中的文件,而在引导系统后,他们将无权访问这些文件。要阻止此类访问或防止用户引导某些菜单项,请设置引导口令。

重要
重要:引导需要口令

如果设置了引导口令,则每次引导时都需要输入该口令,这意味着系统不会自动引导。

按如下步骤设置引导口令。或者使用 YaST(使用口令保护引导加载程序 )。

  1. 使用 grub2-mkpasswd-pbkdf2 来加密口令:

    tux >  sudo grub2-mkpasswd-pbkdf2
    Password: ****
    Reenter password: ****
    PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.9CA4611006FE96BC77A...
  2. 将生成的字符串连同 set superusers 命令一起粘贴到文件 /etc/grub.d/40_custom 中。

    set superusers="root"
    password_pbkdf2 root grub.pbkdf2.sha512.10000.9CA4611006FE96BC77A...
  3. 运行 grub2-mkconfig 将更改导入到主配置文件中。

在重引导后,当您尝试引导某个菜单项时,系统会提示您输入用户名和口令。输入 root 以及您在执行 grub2-mkpasswd-pbkdf2 命令期间键入的口令。如果身份凭证正确,系统将引导选定的引导项。

有关详细信息,请参见https://www.gnu.org/software/grub/manual/grub.html#Security

12.3 使用 YaST 配置引导加载程序

SUSE Linux Enterprise Server 系统中,配置引导加载程序一般选项最简单的方式就是使用 YaST 模块。在 YaST 控制中心,选择系统 ›  引导加载程序。该模块会显示您系统的当前引导加载程序配置,并允许您进行更改。

使用引导代码选项选项卡可查看和更改类型、位置和高级加载程序设置的相关设置。您可以选择要在标准模式还是 EFI 模式下使用 GRUB 2。

引导代码选项
图 12.2︰ 引导代码选项
重要
重要:EFI 系统要求使用 GRUB2-EFI

如果您使用的是 EFI 系统,则只能安装 GRUB2-EFI,否则您的系统不再能够引导。

重要
重要:重新安装引导加载程序

要重新安装引导加载程序,请务必在 YaST 中更改设置,然后再将其改回来。例如,要重新安装 GRUB2-EFI,请先选择 GRUB2,然后立即将其切换回 GRUB2-EFI

否则,可能只会重新安装引导加载程序的一部分。

注意
注意:自定义引导加载程序

要使用此处未列出的引导加载程序,请选择不要安装任何引导加载程序。在选择该选项之前,请仔细阅读您的引导加载程序文档。

12.3.1 引导加载程序位置和引导代码选项

引导加载程序的默认位置为主引导记录 (MBR) 或 / 分区的引导扇区,具体视分区设置而定。要修改引导加载程序的位置,请遵循以下步骤:

过程 12.1︰ 更改引导加载程序位置
  1. 选择引导代码选项选项卡,然后为引导加载程序位置选择以下某个选项:

    从主引导记录引导

    选择此选项将在包含 /boot 目录的磁盘 MBR 中安装引导加载程序。通常,这将是装入到 / 的磁盘,但如果 /boot 装入到其他磁盘上的独立分区中,则将会使用该磁盘的 MBR。

    从根分区引导

    这将在 / 分区的引导扇区安装引导加载程序。

    自定义引导分区

    手动使用此选项来指定引导加载程序的位置。

  2. 单击确定以应用您的更改。

代码选项
图 12.3︰ 代码选项

引导代码选项选项卡包含以下额外的选项:

在分区表中设置活动标志,以引导分区

激活包含 /boot 目录的分区(PReP 分区)。此选项用于具有旧 BIOS 的系统和/或旧式操作系统,因为它们可能无法从非活动的分区引导。您可以放心地启用此选项。

将通用引导代码写入 MBR 中

如果 MBR 包含自定义的“非 GRUB”代码,此选项会用不受操作系统限制的通用代码替换该代码。如果您停用此选项,系统可能变得无法引导。

启用可信引导支持

启动支持可信计算功能(可信平台模块 (TPM))的 TrustedGRUB2。有关详细信息,请参见 https://github.com/Sirrix-AG/TrustedGRUB2

12.3.2 调整磁盘顺序

如果您的计算机有多个硬盘,您可以指定磁盘的引导顺序。如果从 MBR 引导,将在列表中的第一个磁盘中安装 GRUB 2。默认在该磁盘中安装 SUSE Linux Enterprise Server。列表的其余部分是有关 GRUB 2 的设备映射程序的提示(请参见第 12.2.4 节 “BIOS 驱动器与 Linux 设备之间的映射”)。

警告
警告:无法引导的系统

通常情况下,默认值几乎对所有部署都有效。如果您错误地更改了磁盘的引导顺序,系统下次重引导时可能无法引导。例如,如果列表中的第一个磁盘不在 BIOS 引导序列中,并且列表中的其他磁盘有空 MBR,系统将无法引导。

过程 12.2︰ 设置磁盘顺序
  1. 打开引导代码选项选项卡。

  2. 单击编辑磁盘引导顺序

  3. 如果列出了多个磁盘,请选择一个,然后单击向上向下来对显示的磁盘重新排序。

  4. 单击确定两次以保存更改。

12.3.3 配置高级选项

高级引导选项可以通过引导加载程序选项选项卡来配置。

12.3.3.1 引导加载程序选项选项卡

引导加载程序选项
图 12.4︰ 引导加载程序选项
引导加载程序超时

通过键入新值或者用鼠标单击相应的方向键来更改超时(以秒为单位)的值。

探测外来操作系统

如果选择该选项,引导加载程序将会搜索其他系统(例如 Windows)或其他 Linux 安装。

引导时隐藏菜单

隐藏引导菜单并引导默认项。

调整默认引导项

默认引导部分列表中选择所需的项。请注意,引导项名称中的>符号用于分隔引导部分及其子部分。

使用口令保护引导加载程序

使用一个附加的口令保护引导加载程序和系统。有关详细信息,请参见 第 12.2.6 节 “设置引导口令”

12.3.3.2 内核参数选项卡

内核参数
图 12.5︰ 内核参数
控制台分辨率

控制台分辨率选项指定引导过程中的默认屏幕分辨率。

内核命令行参数

可选内核参数添加在默认参数的末尾。有关所有可用参数的列表,请参见 http://en.opensuse.org/Linuxrc

使用图形控制台

如果选中该选项,引导菜单会显示在图形启动屏幕中,而不是以文本模式显示。此时,您可以通过控制台分辨率列表设置引导屏幕的分辨率,并使用控制台主题文件选择器指定图形主题定义文件。

使用串行控制台

如果您的计算机是通过串行控制台控制的,则可激活此选项并指定要使用的 COM 端口及其运行速度。请参见 info grubhttp://www.gnu.org/software/grub/manual/grub.html#Serial-terminal

12.4 z Systems 上终端使用方式的差异

在 3215 和 3270 终端上,光标的移动方式以及在 GRUB 2 中发出编辑命令的方式存在一些差异和限制。

12.4.1 限制

交互能力

交互性存在严重的限制。键入时通常不能获得直观的反馈。要查看光标所在的位置,请键入下划线 (_)。

注意
注意:3270 与 3215 的对比

与 3215 终端相比,3270 终端在显示和刷新屏幕方面要好得多。

光标的移动

无法进行传统的光标移动操作。AltMetaCtrl 和光标键不起作用。要移动光标,请使用第 12.4.2 节 “组合键”中列出的组合键。

加字符

插入符 (^) 用作控制字符。要键入文本 ^ 后再键入一个字母,请键入 ^^字母

输入

Enter 键不起作用,请改用 ^J

12.4.2 组合键

常用的替代键

^J

确认(Enter

^L

中止,返回前一状态

^I

Tab 键补全(在编辑模式与外壳模式下)

菜单模式下可用的键:

^A

移到第一项

^E

移到最后一项

^P

移到上一项

^N

移到下一项

^G

上移一页

^C

下移一页

^F

引导选定的项或进入子菜单(与 ^J 的作用相同)

E

编辑选定的项

C

进入 GRUB-Shell

编辑模式下可用的键:

^P

上移一行

^N

下移一行

^B

向左移一个字符

^F

向右移一个字符

^A

移到行首

^E

移到行尾

^H

退格

^D

删除

^K

删除光标起当前行

^Y

复制

^O

插入空行

^L

刷新屏幕

^X

引导项

^C

进入 GRUB-Shell

命令行模式下可用的键:

^P

上一个命令

^N

历史中的下一个命令

^A

移到行首

^E

移到行尾

^B

向左移一个字符

^F

向右移一个字符

^

退格

^D

删除

^K

删除光标起当前行

^U

删除行

^Y

复制

12.5 有用的 GRUB 2 命令

grub2-mkconfig

基于 /etc/default/grub 以及 /etc/grub.d/ 中的脚本生成新的 /boot/grub2/grub.cfg

例 12.1︰ grub2-mkconfig 用法
grub2-mkconfig -o /boot/grub2/grub.cfg
提示
提示:语法检查

运行不带任何参数的 grub2-mkconfig 会将配置打印到 STDOUT 中供用户查看。在写入 /boot/grub2/grub.cfg 后使用 grub2-script-check 可以检查其语法。

重要
重要:grub2-mkconfig 无法修复 UEFI 安全引导表

如果要使用 UEFI 安全引导且系统无法再正确连接 GRUB 2,您可能需要另外重新安装 Shim 并重新生成 UEFI 引导表。要执行此操作,请使用:

root # shim-install --config-file=/boot/grub2/grub.cfg
grub2-mkrescue

为安装的 GRUB 2 配置创建一个可引导的救援映像。

例 12.2︰ grub2-mkrescue 用法
grub2-mkrescue -o save_path/name.iso iso
grub2-script-check

检查给定文件中有无语法错误。

例 12.3︰ grub2-script-check 用法
grub2-script-check /boot/grub2/grub.cfg
grub2-once

仅设置下次引导的默认引导项。要获取可用引导项的列表,请使用 --list 选项。

例 12.4︰ grub2-once 用法
grub2-once number_of_the_boot_entry
提示
提示:grub2-once 帮助

不使用任何选项调用该程序可以获取所有可用选项的完整列表。

12.6 更多信息

http://www.gnu.org/software/grub/ 上提供了有关 GRUB 2 的大量信息。还请参见 grub 信息页面。您也可以在技术信息搜索 () 中搜索关键字GRUB 2http://www.suse.com/support,以获取有关特殊问题的信息。

13 systemd 守护程序

systemd 程序是进程 ID 为 1 的进程。它负责以所需的方式初始化系统。systemd 由内核直接启动,信号 9(该信号通常会终止进程)对它不起作用。所有其他程序都由 systemd 直接启动,或由它的其中一个子进程启动。

SUSE Linux Enterprise Server 12 起,systemd 取代了常用的 System V init 守护程序。systemd 与 System V init 完全兼容(通过支持 init 脚本实现)。systemd 的其中一个主要优点是可通过激进方式并行启动多项服务来大幅加快引导速度。另外,systemd 只在确实有需要时才会启动服务。守护程序并不是在系统引导时无条件地启动,而是在第一次需要时启动。systemd 还支持内核控制组 (cgroups),以拍摄系统状态快照以及恢复系统状态等等。有关详细信息,请参见http://www.freedesktop.org/wiki/Software/systemd/

13.1 systemd 概念

本节将详细介绍有关 systemd 的概念。

13.1.1 systemd 是什么

systemd 是适用于 Linux 的系统和会话管理器,它与 System V 及 LSB init 脚本兼容。主要功能包括:

  • 提供激进式并行化功能

  • 使用套接字及 D-Bus 激活来启动服务

  • 提供按需启动守护程序功能

  • 使用 Linux cgroups 跟踪进程

  • 支持拍摄系统状态快照及恢复系统状态

  • 维护安装点和自动安装点

  • 实施精细的、基于事务依赖项的服务控制逻辑

13.1.2 单元文件

单元配置文件包含有关以下项目的信息:服务、套接字、设备、安装点、自动安装点、交换文件或分区、启动目标、监控的文件系统路径、受 systemd 控制和监管的计时器、临时系统状态快照、资源管理部分或一组外部创建的进程。单元文件是 systemd 用于描述下列各项的通用术语:

  • 服务:  进程相关信息(例如运行守护程序);文件以 .service 结尾

  • 目标:  用于将单元分组以及在启动期间用作同步点;文件以 .target 结尾

  • 套接字:  IPC 或网络套接字或文件系统 FIFO 相关信息,适用于基于套接字的激活(如 inetd);文件以 .socket 结尾

  • 路径:  用于触发其他单元(例如,在文件更改时运行服务);文件以 .path 结尾

  • 计时器:  受控制计时器相关信息,适用于基于计时器的激活;文件以 .timer 结尾

  • 装入点:  通常由 fstab 生成器自动生成;文件以 .mount 结尾

  • 自动安装点:  文件系统自动安装点相关信息;文件以 .automount 结尾

  • 交换:  内存分页的交换设备或文件相关信息;文件以 .swap 结尾

  • 设备:  sysfs/udev(7) 设备树中公开的设备相关信息;文件以 .device 结尾

  • 范围/部分:  有关分层管理一组进程的资源的概念;文件以 .scope/.slice 结尾

有关 systemd.unit 的更多信息,请参见http://www.freedesktop.org/software/systemd/man/systemd.unit.html

13.2 基本用途

System V init 系统使用若干命令来处理服务:init 脚本、insservtelinit 及其他。systemd 使服务管理变得简单,要运行大部分服务处理任务,只需要记住一条命令:systemctl。它使用命令加子命令表示法,与 gitzypper 相似:

systemctl GENERAL OPTIONS SUBCOMMAND SUBCOMMAND OPTIONS

有关完整的手册,请参见 man 1 systemctl

提示
提示:终端输出和 Bash 补全

如果输出传递到某个终端(而不是某个管道或文件),systemd 命令默认会将长输出发送到分页器。使用 --no-pager 选项可关闭分页模式。

systemd 还支持 bash 补全,允许您输入子命令的头几个字母,然后按 →| 自动补全子命令。此功能只能在 bash 外壳中使用,并且需要安装 bash-completion 包。

13.2.1 管理正在运行的系统中的服务

用于管理服务的子命令与使用 System V init 管理服务的子命令相同(startstop 等)。服务管理命令的一般语法如下所示:

systemd
systemctl reload|restart|start|status|stop|... MY_SERVICE(S)
System V init
rcMY_SERVICE(S) reload|restart|start|status|stop|...

systemd 允许您一次管理多个服务。不用像 System V init 要逐个执行 init 脚本,而是执行如下命令:

systemctl start MY_1ST_SERVICE MY_2ND_SERVICE

要列出系统上所有可用的服务,请运行:

systemctl list-unit-files --type=service

下表列出了 systemd 和 System V init 最重要的服务管理命令:

表 13.1︰ 服务管理命令

任务

systemd 命令

System V init 命令

启动: 

start
start

停止: 

stop
stop

重启动:  关闭服务,然后再启动这些服务。如果某项服务尚未运行,它将会启动。

restart
restart

有条件地重启动:  如果服务当前正在运行,则重启动它们。对未在运行的服务不执行任何操作。

try-restart
try-restart

重新装载:  让服务在不中断操作的情况下重新装载它们的配置文件。使用案例:让 Apache 重新装载修改过的 httpd.conf 配置文件。请注意,并非所有服务都支持重新装载。

reload
reload

重新装载或重启动:  如果支持重新装载则重新装载服务,否则重启动服务。如果某项服务尚未运行,它将会启动。

reload-or-restart
n/a

有条件地重新装载或重启动:  如果支持重新装载则重新装载服务,否则,如果服务当前正在运行,则重启动服务。对未在运行的服务不执行任何操作。

reload-or-try-restart
n/a

获得详细的状态信息:  列出服务状态的相关信息。systemd 命令会显示说明、可执行文件、状态、cgroup 及服务发出的最新讯息等细节(请参见第 13.6.8 节 “调试服务”)。使用 System V init 显示的详细程度因服务而异。

status
status

获得简要的状态信息:  显示服务是否处于活动状态。

is-active
status

13.2.2 永久启用/禁用服务

上一节中提到的服务管理命令可让您操控当前会话的服务。systemd 还允许您永久启用或禁用服务,让它们在用户要求时自动启动或永远不可用。您可以使用 YaST 或在命令行上运行命令来实现此目的。

13.2.2.1 在命令行上启用/禁用服务

下表列出了 systemd 和 System V init 用于启用和禁用服务的命令:

重要
重要:启动服务

在命令行上启用服务时,服务不会自动启动。它会安排在下一次系统启动或运行级别/目标发生更改时启动。要在启用服务之后立即启动它,请显式运行 systemctl start MY_SERVICErc MY_SERVICE start

表 13.2︰ 用于启用和禁用服务的命令

任务

systemd 命令

System V init 命令

启用: 

systemctl enable MY_SERVICE(S)

insserv MY_SERVICE(S), chkconfig -a MY_SERVICE(S)

禁用: 

systemctl disable MY_SERVICE(S).service

insserv -r MY_SERVICE(S)chkconfig -d MY_SERVICE(S)

检查:  显示某项服务是否启用。

systemctl is-enabled MY_SERVICE

chkconfig MY_SERVICE

重新启用:  与重启动服务相似,此命令先禁用服务,然后再启用该服务。可用来使用默认值重新启用服务。

systemctl reenable MY_SERVICE

屏蔽:  禁用某项服务之后,仍然可以手动启动它。要彻底禁用服务,您需要屏蔽它。须谨慎使用该功能。

systemctl mask MY_SERVICE

取消屏蔽:  屏蔽某项服务之后,只有在将其取消屏蔽之后才能再次使用它。

systemctl unmask MY_SERVICE

13.3 系统启动和目标管理

启动和关闭系统的整个过程由 systemd 负责维护。从这一点来看,可以将内核视为一个后台进程,其任务是维护所有其他进程,以及根据其他程序的请求来调整 CPU 时间和硬件访问。

13.3.1 目标与运行级别的比较

使用 System V init 时,系统引导到所谓的运行级别。运行级别定义系统如何启动以及正在运行的系统中有哪些服务可用。运行级别是有编号的;最知名的运行级别是 0(关闭系统)、3(联网的多用户模式)和 5(联网并使用显示管理器的多用户模式)。

systemd 使用所谓的目标单元引入新的概念。不过,它仍然与运行级别概念完全兼容。目标单元用名称而不是编号来标识,并具有特定的作用。例如,目标 local-fs.targetswap.target 用于装入本地文件系统和交换空间。

目标 graphical.target 提供联网并使用显示管理器的多用户系统,作用与运行级别 5 相当。复杂目标(如 graphical.target)通过将一部分其他目标组合起来充当目标。systemd 通过组合现有目标简化了创建自定义目标的工作,从而提供了极大的灵活性。

下面的列表显示了最重要的 systemd 目标单元。有关完整列表,请参见 man 7 systemd.special

选定的 systemd 目标单元
default.target

默认引导的目标。这并不是实际目标,而是指向另一个目标(如 graphic.target)的符号链接,可通过 YaST 永久更改(请参见第 13.4 节 “使用 YaST 管理 服务”)。要为某个会话更改它,请在引导提示处使用内核参数 systemd.unit=MY_TARGET.target

emergency.target

在控制台上启动紧急外壳。请仅在引导提示处按以下格式使用它:systemd.unit=emergency.target

graphical.target

启动联网的具有多用户支持和显示管理器的系统。

halt.target

关闭系统。

mail-transfer-agent.target

启动发送和接收邮件所需的所有服务。

multi-user.target

启动联网的多用户系统。

reboot.target

重新引导系统。

rescue.target

启动不联网的单用户系统。

为了与 System V init 运行级别系统保持兼容,systemd 提供了名为 runlevelX.target 的特殊目标,与编号为 X 的相应运行级别相对应。

如果您想知道当前的目标,请使用命令:systemctl get-default

表 13.3︰ System V 运行级别和 systemd 目标单元

System V 运行级别

systemd 目标

目的

0

runlevel0.targethalt.targetpoweroff.target

系统关闭

1、S

runlevel1.targetrescue.target

单用户模式

2

runlevel2.targetmulti-user.target

无远程联网的本地多用户模式

3

runlevel3.targetmulti-user.target

完整的联网多用户模式

4

runlevel4.target

未使用/用户定义

5

runlevel5.targetgraphical.target

联网并使用显示管理器的完整多用户模式

6

runlevel6.targetreboot.target

系统重引导

重要
重要:systemd 会忽略 /etc/inittab

System V init 系统中的运行级别在 /etc/inittab 中配置。systemd 使用此配置。有关如何创建您自己的可引导目标的指导,请参考第 13.5.3 节 “创建自定义目标”

13.3.1.1 用于更改目标的命令

可使用下列命令来操作目标单元:

任务

systemd 命令

System V init 命令

更改当前目标/运行级别

systemctl isolate MY_TARGET.target

telinit X

更改为默认目标/运行级别

systemctl default

获得当前目标/运行级别

systemctl list-units --type=target

使用 systemd 时,一般会有多个活动目标。该命令可列出当前处于活动状态的所有目标。

who -r

或者

运行级别

永久更改默认运行级别

使用服务管理器或运行以下命令:

ln -sf /usr/lib/systemd/system/ MY_TARGET.target /etc/systemd/system/default.target

使用服务管理器或更改以下行

id: X:initdefault:

/etc/inittab 中)

更改当前引导进程的默认运行级别

在引导提示处输入以下选项

systemd.unit= MY_TARGET.target

在引导提示处输入所需的运行级别编号。

显示目标/运行级别的依赖项

systemctl show -p "Requires" MY_TARGET.target

systemctl show -p "Wants" MY_TARGET.target

Requires 会列出硬性依赖项(必须解决的依赖项),而 Wants 会列出软性依赖项(情况允许时解决的依赖项)。

13.3.2 调试系统的启动

systemd 提供了分析系统启动过程的方法。您可以查看所有服务及其状态的列表(而不必分析 /varlog/)。systemd 还允许您扫描启动过程,以了解每项服务启动用了多长时间。

13.3.2.1 查看服务的启动情况

要查看系统引导后所启动服务的完整列表,请输入命令 systemctl。该命令会列出所有活动服务,如下所示(已精简)。要获得特定服务的详细信息,请使用 systemctl status MY_SERVICE

例 13.1︰ 列出活动服务
root # systemctl
UNIT                        LOAD   ACTIVE SUB       JOB DESCRIPTION
[...]
iscsi.service               loaded active exited    Login and scanning of iSC+
kmod-static-nodes.service   loaded active exited    Create list of required s+
libvirtd.service            loaded active running   Virtualization daemon
nscd.service                loaded active running   Name Service Cache Daemon
ntpd.service                loaded active running   NTP Server Daemon
polkit.service              loaded active running   Authorization Manager
postfix.service             loaded active running   Postfix Mail Transport Ag+
rc-local.service            loaded active exited    /etc/init.d/boot.local Co+
rsyslog.service             loaded active running   System Logging Service
[...]
LOAD   = Reflects whether the unit definition was properly loaded.
ACTIVE = The high-level unit activation state, i.e. generalization of SUB.
SUB    = The low-level unit activation state, values depend on unit type.

161 loaded units listed. Pass --all to see loaded but inactive units, too.
To show all installed unit files use 'systemctl list-unit-files'.

要想只列出无法启动的服务,请使用 --failed 选项。

例 13.2︰ 列出失败的服务
root # systemctl --failed
UNIT                   LOAD   ACTIVE SUB    JOB DESCRIPTION
apache2.service        loaded failed failed     apache
NetworkManager.service loaded failed failed     Network Manager
plymouth-start.service loaded failed failed     Show Plymouth Boot Screen

[...]

13.3.2.2 调试启动时间

为了调试系统启动时间,systemd 提供了 systemd-analyze 命令。该命令会显示总启动时间及按启动时间排序的服务列表,还可以生成 SVG 图,以显示各服务相对于其他服务的启动时间。

列出系统启动时间
root # systemd-analyze
Startup finished in 2666ms (kernel) + 21961ms (userspace) = 24628ms
列出服务启动时间
root # systemd-analyze blame
  6472ms systemd-modules-load.service
  5833ms remount-rootfs.service
  4597ms network.service
  4254ms systemd-vconsole-setup.service
  4096ms postfix.service
  2998ms xdm.service
  2483ms localnet.service
  2470ms SuSEfirewall2_init.service
  2189ms avahi-daemon.service
  2120ms systemd-logind.service
  1210ms xinetd.service
  1080ms ntp.service
[...]
    75ms fbset.service
    72ms purge-kernels.service
    47ms dev-vda1.swap
    38ms bluez-coldplug.service
    35ms splash_early.service
服务启动时间图
root # systemd-analyze plot > jupiter.example.com-startup.svg

13.3.2.3 查看完整的启动过程

上面提到的命令可让您查看已启动的服务以及启动各服务所需的时间。如果您需要知道更多细节,可以在引导提示处输入下列参数,让 systemd 详细记录整个启动过程:

systemd.log_level=debug systemd.log_target=kmsg

现在,systemd 会将日志讯息写入内核环缓冲区。使用 dmesg 查看该缓冲区:

dmesg -T | less

13.3.3 System V 兼容性

systemd 与 System V 兼容,因此,您仍可以使用现有的 System V init 脚本。但是,至少有一个已知问题会导致 System V init 脚本默认不能与 systemd 配合使用:在 init 脚本中通过 susudo 以其他用户身份启动服务会导致脚本失败,生成访问被拒绝错误。

使用 susudo 更改用户时,会启动 PAM 会话。完成 init 脚本后会终止此会话。因此,init 脚本启动的服务也会终止。要解决此问题,请执行以下步骤:

  1. 创建与 init 脚本同名、扩展名为 .service 的服务文件封装程序:

    [Unit]
    Description=DESCRIPTION
    After=network.target
    
    [Service]
    User=USER
    Type=forking1
    PIDFile=PATH TO PID FILE1
    ExecStart=PATH TO INIT SCRIPT start
    ExecStop=PATH TO INIT SCRIPT stop
    ExecStopPost=/usr/bin/rm -f PATH TO PID FILE1
    
    [Install]
    WantedBy=multi-user.target2

    UPPERCASE LETTERS 中写入的所有值替换为适当的值。

    1

    可选 — 仅当 init 脚本启动守护程序时才使用。

    2

    multi-user.target 在引导进入 graphical.target 时也会启动 init 脚本。如果只应在引导进入显示管理器时才将它启动,请在此处使用 graphical.target

  2. 使用 systemctl start 应用程序启动守护程序。

13.4 使用 YaST 管理 服务

基本服务管理也可以通过 YaST 服务管理器模块实现。该模块支持启动、停止、启用和禁用服务。它还可让您显示服务的状态以及更改默认目标。要启动 YaST 模块,请选择 YaST ›  系统 ›  服务管理器

服务管理器
图 13.1︰ 服务管理器
更改默认系统目标

要更改系统引导到的目标,请从默认系统目标下拉框中选择某个目标。最常用的目标是图形界面(启动图形登录屏幕)和多用户(以命令行模式启动系统)。

启动或停止服务

从表中选择一个服务。活动列显示它当前是(活动)否(非活动)正在运行。通过选择启动/停止可切换其状态。

为当前正在运行的会话启动或停止服务会更改其状态。要更改服务在整个重引导过程中的状态,您需要启用或禁用服务。

启用或禁用服务

从表中选择一个服务。已启用列显示它当前已启用还是已禁用。通过选择启用/禁用可更改其状态。

通过启用或禁用服务,可配置服务在引导期间是否启动(已启用已禁用)。此设置不会影响当前的会话。要更改服务在当前会话中的状态,您需要将其启动或停止。

查看状态讯息

要查看某个服务的状态讯息,请从列表中选择该服务,然后选择显示细节。您看到的输出与 systemctl -l status MY_SERVICE 命令生成的输出完全相同。

警告
警告:有问题的运行级别设置可能会对您的系统造成损害

有问题的运行级别设置可能会导致系统无法使用。在应用您的更改之前,请确保您清楚这些设置可能产生的结果。

13.5 systemd 自定义

以下几节介绍了 systemd 自定义的一些示例。

警告
警告:避免自定义被覆盖

一律在 /etc/systemd/ 中进行 systemd 自定义设置,切勿/usr/lib/systemd/ 中进行。否则,您的更改将在 systemd 下次更新时被覆盖。

13.5.1 自定义服务文件

systemd 服务文件位于 /usr/lib/systemd/system 中。如果您要自定义服务文件,请执行下列步骤:

  1. 将要修改的文件从 /usr/lib/systemd/system 复制到 /etc/systemd/system。将文件名保持不变。

  2. 根据需要修改 /etc/systemd/system 中的副本。

  3. 如需配置更改的概述,请使用 systemd-delta 命令。它会比较并识别覆盖了其他配置文件的配置文件。有关细节,请参考 systemd-delta 手册页。

/etc/systemd 中修改过的文件优先于 /usr/lib/systemd/system 中的原始文件,前提是它们的文件名相同。

13.5.2 创建插入式文件

如果您只想在配置文件中添加几行或修改文件的一小部分,可以使用所谓的插入式文件。使用插入式文件,您无需编辑或覆盖单元文件本身,即可扩展单元文件的配置。

例如,要更改位于 /usr/lib/systemd/system/FOOBAR.SERVICEFOOBAR 服务的一个值,请按以下步骤操作:

  1. 创建名为 /etc/systemd/system/MY_SERVICE.service.d/ 的目录。

    注意 .d 后缀。该目录必须命名为与要用插入式文件修补的服务相似的名称。

  2. 在该目录中,创建 WHATEVERMODIFICATION.conf 文件。

    确保文件中仅包含要修改的值所在的那一行。

  3. 将更改保存到 文件中。它将作为原始文件的扩展。

13.5.3 创建自定义目标

System V init SUSE 系统上未使用运行级别 4,以便允许管理员创建自己的运行级别配置。systemd 允许您创建任意数目的自定义目标。建议您从采用 graphical.target 等现有目标开始。

  1. 将配置文件 /usr/lib/systemd/system/graphical.target 复制到 /etc/systemd/system/MY_TARGET.target,并根据需要调整该文件。

  2. 上一步中复制的配置文件已涵盖目标的必要(硬性)依赖项。如果还要涵盖需要的(软性)依赖项,请创建目录 /etc/systemd/system/MY_TARGET.target.wants

  3. 对每个需要的服务,创建从 /usr/lib/systemd/system 链到 /etc/systemd/system/我的目标.target.wants 的符号链接。

  4. 设置好目标后,重新装载 systemd 配置以让新目标可用。

    systemctl daemon-reload

13.6 高级用途

以下几节介绍了适合系统管理员的高级主题。有关更高级的 systemd 文档,请参考 Lennart Pöttering 撰写的适合管理员的 systemd 相关系列,网址为 http://0pointer.de/blog/projects

13.6.1 清理临时目录

systemd 支持定期清理临时目录。将会自动迁移并激活前一系统版本中的配置。tmpfiles.d(负责管理临时文件)将从 /etc/tmpfiles.d/*.conf/run/tmpfiles.d/*.conf/usr/lib/tmpfiles.d/*.conf 文件中读取其配置。/etc/tmpfiles.d/*.conf 中的配置将覆盖其他两个目录中的相关配置(/usr/lib/tmpfiles.d/*.conf 是包用于储存其配置文件的位置)。

配置格式为每个路径一行,该行包含操作与路径、(可选)模式、所有权、期限和自变量字段,具体取决于操作。以下示例将取消链接 X11 锁定文件:

Type Path               Mode UID  GID  Age Argument
r    /tmp/.X[0-9]*-lock

要获取 tmpfile 计时器的状态:

systemctl status systemd-tmpfiles-clean.timer
systemd-tmpfiles-clean.timer - Daily Cleanup of Temporary Directories
 Loaded: loaded (/usr/lib/systemd/system/systemd-tmpfiles-clean.timer; static)
 Active: active (waiting) since Tue 2014-09-09 15:30:36 CEST; 1 weeks 6 days ago
   Docs: man:tmpfiles.d(5)
         man:systemd-tmpfiles(8)

Sep 09 15:30:36 jupiter systemd[1]: Starting Daily Cleanup of Temporary Directories.
Sep 09 15:30:36 jupiter systemd[1]: Started Daily Cleanup of Temporary Directories.

有关处理临时文件的详细信息,请参见 man 5 tmpfiles.d

13.6.2 系统日志

第 13.6.8 节 “调试服务” 介绍如何查看给定服务的日志讯息。但可显示的日志讯息并不仅限于服务日志。您还可以访问和查询 systemd 写入的完整日志,即所谓的日记。使用 journalctl 命令可显示完整的日志讯息,从最早的项开始。有关诸如应用过滤器或更改输出格式的选项,请参考 man 1 journalctl

13.6.3 快照

您可以使用 isolate 子命令将 systemd 的当前状态保存到指定快照中,并在日后还原到该状态。此功能在测试服务或自定义目标时非常有用,因为它可让您随时回到定义的状态。快照仅在当前会话中可用,重引导时将自动删除。快照名称必须以 .snapshot 结尾。

创建快照
systemctl snapshot MY_SNAPSHOT.snapshot
删除快照
systemctl delete MY_SNAPSHOT.snapshot
查看快照
systemctl show MY_SNAPSHOT.snapshot
激活快照
systemctl isolate MY_SNAPSHOT.snapshot

13.6.4 装载内核模块

通过使用 systemd 以及 /etc/modules-load.d 中的配置文件,可以在引导时自动装载内核模块。该文件应该命名为 MODULE.conf 并包含以下内容:

# load module MODULE at boot time
MODULE

如果某个包安装了用于装载内核模块的配置文件,该文件将安装到 /usr/lib/modules-load.d。如果存在两个同名的配置文件,将优先使用 /etc/modules-load.d 中的那个配置文件。

有关详细信息,请参见 modules-load.d(5) 手册页。

13.6.5 装载服务之前执行必要操作

使用 System V init 时,需要在装载服务之前执行的操作必须在 /etc/init.d/before.local 中指定。systemd 不再支持此过程。如果您需要在启动服务之前执行操作,请执行以下步骤:

装载内核模块

/etc/modules-load.d 目录中创建一个 drop-in 文件(有关语法,请参见 man modules-load.d

创建文件或目录、清理目录、更改所有权

/etc/tmpfiles.d 中创建一个 drop-in 文件(有关语法,请参见 man tmpfiles.d

其它任务

基于下面的模板创建一个系统服务文件,例如 /etc/systemd/system/before.service

[Unit]
Before=NAME OF THE SERVICE YOU WANT THIS SERVICE TO BE STARTED BEFORE
[Service]
Type=oneshot
RemainAfterExit=true
ExecStart=YOUR_COMMAND
# beware, executable is run directly, not through a shell, check the man pages
# systemd.service and systemd.unit for full syntax
[Install]
# target in which to start the service
WantedBy=multi-user.target
#WantedBy=graphical.target

创建服务文件后,应运行以下命令(以 root 身份):

systemctl daemon-reload
systemctl enable before

每次修改服务文件时,都需要运行:

systemctl daemon-reload

13.6.6 内核控制组 (cgroups)

在传统 System V init 系统上,并不总是能够明确地将某个进程指派给生成它的服务。一些服务(例如 Apache)会生成大量第三方进程(例如 CGI 或 Java 进程),这些进程本身又会生成更多进程。这使得明确指派变得非常困难,甚至无法做到。另外,服务可能不会正常终止,导致部分子服务仍保持运行状态。

systemd 通过将每个服务放入它自己的 cgroup 中,解决了这个问题。cgroups 是一项内核功能,允许将进程及其所有子进程聚合到分层组织的组中。systemd 根据每个 cgroup 的服务名称命名各 cgroup。因为非特权进程不允许离开它的 cgroup,这提供了一种行之有效的方式,可通过服务名称来标记该服务生成的所有进程。

要列出属于某个服务的所有进程,请使用命令 systemd-cgls。结果将如下所示(已精简):

例 13.3︰ 列出属于某个服务的所有进程
root # systemd-cgls --no-pager
├─1 /usr/lib/systemd/systemd --switched-root --system --deserialize 20
├─user.slice
│ └─user-1000.slice
│   ├─session-102.scope
│   │ ├─12426 gdm-session-worker [pam/gdm-password]
│   │ ├─15831 gdm-session-worker [pam/gdm-password]
│   │ ├─15839 gdm-session-worker [pam/gdm-password]
│   │ ├─15858 /usr/lib/gnome-terminal-server

[...]

└─system.slice
  ├─systemd-hostnamed.service
  │ └─17616 /usr/lib/systemd/systemd-hostnamed
  ├─cron.service
  │ └─1689 /usr/sbin/cron -n
  ├─ntpd.service
  │ └─1328 /usr/sbin/ntpd -p /var/run/ntp/ntpd.pid -g -u ntp:ntp -c /etc/ntp.conf
  ├─postfix.service
  │ ├─ 1676 /usr/lib/postfix/master -w
  │ ├─ 1679 qmgr -l -t fifo -u
  │ └─15590 pickup -l -t fifo -u
  ├─sshd.service
  │ └─1436 /usr/sbin/sshd -D

[...]

有关 cgroups 的更多信息,请参见Book “System Analysis and Tuning Guide”, Chapter 9 “Kernel Control Groups”

13.6.7 终止服务(发送信号)

第 13.6.6 节 “内核控制组 (cgroups) ”中所述,在 System V init 系统中,并不总是能够将某个进程指派给其父服务。这导致终止服务及其所有子进程变得很困难。尚未终止的子进程将一直保持为僵停状态。

systemd 将每个服务限定在某个 cgroup 中的概念使您可以明确识别一个服务的所有子进程,从而向这些进程中的每一个发送信号。您可使用 systemctl kill 向服务发送信号。有关可用信号的列表,请参考 man 7 signals

向服务发送 SIGTERM

SIGTERM 是发送的默认信号。

systemctl kill MY_SERVICE
向服务发送 SIGNAL

可使用 -s 选项指定应该发送的信号。

systemctl kill -s SIGNAL MY_SERVICE
选择进程

默认情况下,kill 命令会向指定 cgroup 的所有进程发送信号。您可以将发送范围限制为 controlmain 进程。后一个选项可用于通过发送 SIGHUP 强制服务重新装载其配置的情况:

systemctl kill -s SIGHUP --kill-who=main MY_SERVICE
警告
警告:不支持终止或重启动 D-Bus 服务

D-Bus 服务是 systemd 客户端与作为 pid 1 运行的 systemd 管理器之间进行通讯的讯息总线。虽然 dbus 是个独立的守护程序,但它也是 init 基础架构的组成部分。

在正在运行的系统中终止或重启动 dbus 的效果类似于尝试终止或重启动 pid 1。此操作将中断 systemd 客户端与服务器间的通讯,并使大部分 systemd 功能不可用。

因此,不建议也不支持终止或重启动 dbus

13.6.8 调试服务

默认情况下,systemd 的输出不会太详细。如果服务启动成功,则不会产生任何输出。如果服务启动失败,则会显示简短的错误讯息。不过,systemctl status 提供了调试服务的启动和操作的途径。

systemd 附带了自己的日志记录机制(日志)来记录系统讯息。这可让您一并显示服务讯息与状态讯息。status 命令的工作方式与 tail 相似,也可以采用不同的格式显示日志讯息,是一个功能强大的调试工具。

显示服务启动失败讯息

每当服务启动失败时,使用 systemctl status MY_SERVICE 可获得详细的错误讯息:

root # systemctl start apache2
Job failed. See system journal and 'systemctl status' for details.
root # systemctl status apache2
   Loaded: loaded (/usr/lib/systemd/system/apache2.service; disabled)
   Active: failed (Result: exit-code) since Mon, 04 Jun 2012 16:52:26 +0200; 29s ago
   Process: 3088 ExecStart=/usr/sbin/start_apache2 -D SYSTEMD -k start (code=exited, status=1/FAILURE)
   CGroup: name=systemd:/system/apache2.service

Jun 04 16:52:26 g144 start_apache2[3088]: httpd2-prefork: Syntax error on line
205 of /etc/apache2/httpd.conf: Syntax error on li...alHost>
显示最后 N 条服务讯息

status 子命令的默认行为是显示服务发出的最后 10 条讯息。若要更改要显示的讯息数目,请使用 --lines=N 参数:

systemctl status ntp
systemctl --lines=20 status ntp
以附加模式显示服务讯息

要显示服务讯息的实时流,请使用 --follow 选项,效果与 tail -f 相似:

systemctl --follow status ntp
讯息输出格式

--output=模式参数可让您更改服务讯息的输出格式。最重要的可用模式包括:

short

默认格式。显示日志讯息,以及用户能看懂的时戳。

verbose

所有字段的完整输出。

cat

精简输出,不含时戳。

13.7 更多信息

有关 systemd 的更多信息,请参考下列联机资源:

主页

http://www.freedesktop.org/wiki/Software/systemd

systemd for Administrators(面向管理员的 systemd)

作者:Lennart Pöttering,一位 systemd 作家,他撰写了一系列博客(写本章时为 2013 年)。它们可在 http://0pointer.de/blog/projects 找到。

第 III 部分 系统

14 64 位系统环境中的 32 位和 64 位应用程序

SUSE® Linux Enterprise Server 可用于多种 64 位平台。但是这并不表示内含的所有应用程序都已移植到 64 位平台上。SUSE Linux Enterprise Server 支持在 64 位系统环境中使用 32 位应用程序。本章简单介绍了如何在 64 位 SUSE Linux Enterprise Server 平台上实现这种支持。

15 journalctl:查询 systemd 日记

systemd 在取代 SUSE Linux Enterprise 12 中的传统 init 脚本时(参见第 13 章 “systemd 守护程序),引入了自身的称为日记的日志记录系统。由于所有系统事件都将写入到日记中,因此,用户不再需要运行基于 syslog 的服务。

16 基本联网知识

Linux 提供集成进各类网络结构中所需的联网工具和功能。可以通过 YaST 配置使用网络卡进行的网络访问。也可以手动进行配置。在本章中,仅描述基础机制和相关网络配置文件。

17 打印机操作

SUSE® Linux Enterprise Server 支持使用多种类型的打印机进行打印,其中包括远程网络打印机。可以手动或使用 YaST 配置打印机。有关配置描述,请参见Book “部署指南”, Chapter 11 “使用 YaST 设置硬件组件”, Section 11.3 “设置打印机”。启动和管理打印任务时既可以使用图形实用程序,也可以使用命令行实用程序。如果打印机未能按预期正常工作,请参见第 17.8 节 “查错”

18 X Window 系统

X Window 系统 (X11) 是 Unix 中图形用户界面的实际标准。X 是基于网络的,可以使在一个主机上启动的应用程序显示在通过任何类型的网络(LAN 或 Internet)连接的另一个主机上。本章提供 X 配置的基本信息,以及在 SUSE® Linux Enterprise Server 中使用字体的背景信息。

19 使用 FUSE 访问文件系统

FUSE 是用户空间中的文件系统 (file system in user space) 的缩写。这表示您可以将文件系统作为非特权用户配置和装入。通常,只有 root 用户才能执行此任务。FUSE 自身是一个内核模块。它与插件组合,允许您扩展 FUSE 以访问几乎所有文件系统,如远程 SSH 连接、ISO 映像等。

20 管理内核模块

虽然 Linux 属于单内核,但可通过内核模块加以扩展。这些特殊对象可以插入到内核中,并可按需去除。就实际角度而言,内核模块使添加和去除内核本身未包含的驱动程序和接口成为现实。Linux 提供了若干用于管理内核模块的命令。

21 使用 udev 进行动态内核设备管理

内核几乎可以添加或删除运行系统中的任何设备。设备状态的更改(无论插入还是移除设备)需要传播给用户空间。插入及识别设备后需要对其进行配置。某个设备已识别状态的任何更改都需要通知给此设备的用户。udev 可提供所需的基础结构来动态维护 /dev 目录中的设备节点文件和符号链接。udev 规则提供了将外部工具插入内核设备事件处理的方式。因而,您可以通过添加在内核设备处理过程中执行的特定脚本,来自定义 udev 设备处理方式,或者可以在设备处理期间请求并导入其他数据进行评估。

22 使用 kGraft 在线增补 Linux 内核

本文档介绍 kGraft 在线增补技术的基本原理,并提供 SLE Live Patching 服务的使用准则。

kGraft 是一项在线增补技术,使用它可在运行时增补 Linux 内核,而无需停止内核。如此可以最大程度地确保系统运行时间,从而提高系统可用性,这对于任务关键型系统而言非常重要。该技术还允许动态增补内核,支持用户安装关键的安全性更新,不必将它们推迟到安排的停机时间。

kGraft 增补程序是一个内核模块,用于替换内核中的全部函数。kGraft 主要提供内核中基础结构,可在运行时将增补的代码与基本内核代码集成。

SLE Live Patching 是在常规 SUSE Linux Enterprise Server 维护基础之上提供的服务。通过 SLE Live Patching 分发的 kGraft 是对常规 SLES 维护更新的有益补充。可以使用常用的更新堆栈和过程来部署 SLE Live Patching。

本文档中提供的信息与 AMD64/Intel 64 和 POWER 体系结构相关。如果您使用的不是这些体系结构,则相关的过程可能有所不同。

23 特别的系统功能组件

本章首先提供有关各种软件包、虚拟控制台和键盘布局的信息。讨论诸如 bashcronlogrotate 等软件组件,因为在最后的发行周期中已对这些组件进行了更改或增强。即使这些组件很小或者被认为不太重要,用户也应该更改它们的默认行为,因为这些组件往往与系统密切相关。本章的最后是有关语言和国家/地区特定设置(I18N 和 L10N)的内容。

14 64 位系统环境中的 32 位和 64 位应用程序

SUSE® Linux Enterprise Server 可用于多种 64 位平台。但是这并不表示内含的所有应用程序都已移植到 64 位平台上。SUSE Linux Enterprise Server 支持在 64 位系统环境中使用 32 位应用程序。本章简单介绍了如何在 64 位 SUSE Linux Enterprise Server 平台上实现这种支持。

用于 64 位平台 POWER、z Systems 和 AMD64/Intel 64 的 SUSE Linux Enterprise Server 可让现有的 32 位应用程序无需额外配置 即可在 64 位环境中运行。相应的 32 位平台为:用于 POWER 的 ppc 和用于 AMD64/Intel 64 的 x86。。这种支持意味着您可以继续使用所需的 32 位应用程序,而无需等待对应的 64 位端口可用。当前的 POWER 系统以 32 位模式运行大多数应用程序,但您可以运行 64 位应用程序。

注意
注意:不支持构建 32 位应用程序

SUSE Linux Enterprise Server 不支持编译 32 位应用程序,只提供 32 位二进制文件的运行时支持。

14.1 运行时支持

重要
重要:应用程序版本之间的冲突

如果某个应用程序在 32 位和 64 位环境中都可用,则两个版本的并行安装必定会导致出现问题。在这种情况下,在两个版本中选一个,然后安装并使用这一版本。

此规则的一个例外是 PAM(可插入身份验证模块)。SUSE Linux Enterprise Server 在身份验证过程中使用 PAM 作为在用户和应用程序之间充当媒介的层。在另外还运行 32 位应用程序的 64 位操作系统上,始终需要安装两个版本的 PAM 模块。

若要正确执行,每个应用程序都需要一系列库。不巧的是,这些库的 32 位和 64 位版本的名称是相同的。必须通过另一种方法对它们加以区分。

为了保持与 32 位版本的兼容性,这些库在系统中的储存位置与在 32 位环境中相同。在 32 位和 64 位环境中,libc.so.6 的 32 位版本都位于 /lib/libc.so.6 下。

所有 64 位库和对象文件都位于名为 lib64 的目录中。通常预计会在 /lib/usr/lib 下找到的 64 位对象文件,现在可以在 /lib64/usr/lib64 下找到。这意味着 /lib/usr/lib 下有储存 32 位库的空间,因此两个版本的文件名都可以保持不变。

如果 32 位 /lib 目录的子目录包含的数据内容不依赖于字大小,则不移动这些目录。此方案符合 LSB(Linux 标准库)和 FHS(文件系统层次标准)。

14.2 内核规范

AMD 64/Intel 64、POWER 和 z Systems 适用的 64 位内核提供 64 位和 32 位两种内核 ABI(应用程序二进制接口)。后者与对应的 32 位内核的 ABI 相同。这意味着 32 位应用程序可以以与 32 位内核交流的相同方式与 64 位内核进行交流。

64 位内核系统调用的 32 位仿真不支持系统程序使用的某些 API。这取决于平台。出于此原因,少数应用程序(例如 lspci)必须在非 POWER 平台上编译为 64 位程序才能正常运行。在 IBM z Systems 上,并非所有 ioctl 都在 32 位内核 ABI 中可用

64 位内核只能装载专门为此内核编译的 64 位内核模块。不能使用 32 位内核模块。

提示
提示:内核可装载模块

某些应用程序需要单独的内核可装载模块。如果要在 64 位系统环境中使用此类 32 位应用程序,请与此应用程序的提供商和 SUSE 联系以确保内核可装载模块的 64 位版本和内核 API 的 32 位编译版本可用于此模块。

15 journalctl:查询 systemd 日记

systemd 在取代 SUSE Linux Enterprise 12 中的传统 init 脚本时(参见第 13 章 “systemd 守护程序),引入了自身的称为日记的日志记录系统。由于所有系统事件都将写入到日记中,因此,用户不再需要运行基于 syslog 的服务。

日记本身是 systemd 管理的系统服务,全名为 systemd-journald.service。它会根据从内核、用户进程、标准输入和系统服务错误收到的日志记录信息,维护结构化的索引日记,并以此方式来收集和储存日志记录数据。systemd-journald 服务默认处于启用状态。

# systemctl status systemd-journald
systemd-journald.service - Journal Service
   Loaded: loaded (/usr/lib/systemd/system/systemd-journald.service; static)
   Active: active (running) since Mon 2014-05-26 08:36:59 EDT; 3 days ago
     Docs: man:systemd-journald.service(8)
           man:journald.conf(5)
 Main PID: 413 (systemd-journal)
   Status: "Processing requests..."
   CGroup: /system.slice/systemd-journald.service
           └─413 /usr/lib/systemd/systemd-journald
[...]

15.1 将日记设为永久

默认情况下,日记在 /run/log/journal/ 中储存日志数据。由于 /run/ 目录具有易失本性,因此,在重引导时会丢失日志数据。要永久保存日志数据,/var/log/journal/ 目录必须存在且具有正确的所有权和权限,如此,systemd-journald 服务便可在其中储存其数据。systemd 将为您创建该目录,如果您执行以下操作,它将会切换到永久日志记录:

  1. root 身份打开 /etc/systemd/journald.conf 进行编辑。

    # vi /etc/systemd/journald.conf
  2. 将包含 Storage= 的行取消注释,并将它更改为

    [...]
    [Journal]
    Storage=persistent
    #Compress=yes
    [...]
  3. 保存该文件,然后重启动 systemd-journald:

    systemctl restart systemd-journald

15.2 journalctl 的有用开关

本节介绍了一些可用来增强 journalctl 默认行为的常见有用选项。journalctl 手册页 man 1 journalctl 中介绍了所有开关。

提示
提示:与特定可执行文件相关的讯息

要显示与特定可执行文件相关的所有日记讯息,请指定该可执行文件的完整路径:

journalctl /usr/lib/systemd/systemd
-f

仅显示最近的日记讯息,另外,在将新的日志项添加到日记时会列显这些新项。

-e

列显讯息并跳转到日记末尾,以便在页导航中显示最新的项。

-r

以倒序列显日记讯息,让最新的项列在最前面。

-k

仅显示内核讯息。这等效于字段匹配 _TRANSPORT=kernel(参见第 15.3.3 节 “根据字段过滤”)。

-u

仅显示指定 systemd 单元的讯息。这等效于字段匹配 _SYSTEMD_UNIT=UNIT(参见 第 15.3.3 节 “根据字段过滤”)。

# journalctl -u apache2
[...]
Jun 03 10:07:11 pinkiepie systemd[1]: Starting The Apache Webserver...
Jun 03 10:07:12 pinkiepie systemd[1]: Started The Apache Webserver.

15.3 过滤日记输出

如果不结合任何开关调用 journalctl,它将显示日记的整个内容,最旧的项列在最前面。您可按特定的开关和字段过滤输出。

15.3.1 根据引导编号过滤

journalctl 可以根据特定的系统引导过滤讯息。要列出所有可用引导,请运行

# journalctl --list-boots
-1 097ed2cd99124a2391d2cffab1b566f0 Mon 2014-05-26 08:36:56 EDT—Fri 2014-05-30 05:33:44 EDT
 0 156019a44a774a0bb0148a92df4af81b Fri 2014-05-30 05:34:09 EDT—Fri 2014-05-30 06:15:01 EDT

第一列列出引导偏移:0 表示当前引导,-1 表示上一次引导,-2 表示再上一次引导,以此类推。第二列包含引导 ID,其后是特定引导的限制时间戳。

显示当前引导中的所有讯息:

# journalctl -b

如果需要查看来自前一引导的日记讯息,请加一个偏移参数。下面的示例将输出前一引导的讯息:

# journalctl -b -1

另一种方法是根据引导 ID 列出引导讯息。要实现此目的,请使用 _BOOT_ID 字段:

# journalctl _BOOT_ID=156019a44a774a0bb0148a92df4af81b

15.3.2 根据时间间隔过滤

您可通过指定开始日期和/或结束日期来过滤 journalctl 的输出。日期规范应采用类似于“2014-06-30 9:17:16”的格式。如果省略时间部分,则会假设为午夜。如果省略秒,则会假设为“:00”。如果省略日期部分,则会假设为当日。您也可以不采用数字表示,而是指定关键字“yesterday”、“today”或“tomorrow”。它们表示当日前一天、当日或者当日后一天的午夜。如果指定“now”,则表示当前时间。您还可以指定以 -+ 为前缀的相对时间,分别表示当前时间之前或之后的特定时间。

仅显示从现在开始生成的新讯息,并持续更新输出:

# journalctl --since "now" -f

显示从昨天午夜到 3:20AM 的所有讯息:

# journalctl --since "today" --until "3:20"

15.3.3 根据字段过滤

您可以按特定的字段过滤日记输出。要匹配的字段语法为 FIELD_NAME=MATCHED_VALUE,例如 _SYSTEMD_UNIT=httpd.service。您可以在单个查询中指定多个匹配条件,以进一步过滤输出讯息。有关默认字段的列表,请参见 man 7 systemd.journal-fields

显示特定进程 ID 生成的讯息:

# journalctl _PID=1039

显示属于特定用户 ID 的讯息:

# journalctl _UID=1000

显示来自内核环缓冲区的讯息(与 dmesg 的生成结果相同):

# journalctl _TRANSPORT=kernel

显示来自服务的标准输出或错误输出的讯息:

# journalctl _TRANSPORT=stdout

仅显示指定服务生成的讯息:

# journalctl _SYSTEMD_UNIT=avahi-daemon.service

如果指定了两个不同的字段,则仅显示同时与两个表达式匹配的项:

# journalctl _SYSTEMD_UNIT=avahi-daemon.service _PID=1488

如果两个匹配条件引用了相同的字段,则显示与两个表达式中任意一个匹配的所有项:

# journalctl _SYSTEMD_UNIT=avahi-daemon.service _SYSTEMD_UNIT=dbus.service

您可以使用“+”分隔符将两个表达式组合成一个逻辑“OR”。以下示例将显示来自进程 ID 为 1480 的 Avahi 服务进程的所有讯息,以及来自 D-Bus 服务的所有讯息:

# journalctl _SYSTEMD_UNIT=avahi-daemon.service _PID=1480 + _SYSTEMD_UNIT=dbus.service

15.4 调查 systemd 错误

本节将介绍一个简单的示例,演示如何找出并修复在 apache2 启动期间 systemd 报告的错误。

  1. 尝试启动 apache2 服务:

    # systemctl start apache2
    Job for apache2.service failed. See 'systemctl status apache2' and 'journalctl -xn' for details.
  2. 我们来看看该服务的状态如何:

    # systemctl status apache2
    apache2.service - The Apache Webserver
       Loaded: loaded (/usr/lib/systemd/system/apache2.service; disabled)
       Active: failed (Result: exit-code) since Tue 2014-06-03 11:08:13 CEST; 7min ago
      Process: 11026 ExecStop=/usr/sbin/start_apache2 -D SYSTEMD -DFOREGROUND \
               -k graceful-stop (code=exited, status=1/FAILURE)

    导致错误的进程 ID 为 11026。

  3. 显示与进程 ID 11026 相关的详细讯息:

    # journalctl -o verbose _PID=11026
    [...]
    MESSAGE=AH00526: Syntax error on line 6 of /etc/apache2/default-server.conf:
    [...]
    MESSAGE=Invalid command 'DocumenttRoot', perhaps misspelled or defined by a module
    [...]
  4. 修复 /etc/apache2/default-server.conf 中的拼写错误,启动 apache2 服务,然后列显其状态:

    # systemctl start apache2 && systemctl status apache2
    apache2.service - The Apache Webserver
       Loaded: loaded (/usr/lib/systemd/system/apache2.service; disabled)
       Active: active (running) since Tue 2014-06-03 11:26:24 CEST; 4ms ago
      Process: 11026 ExecStop=/usr/sbin/start_apache2 -D SYSTEMD -DFOREGROUND
               -k graceful-stop (code=exited, status=1/FAILURE)
     Main PID: 11263 (httpd2-prefork)
       Status: "Processing requests..."
       CGroup: /system.slice/apache2.service
               ├─11263 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...]
               ├─11280 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...]
               ├─11281 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...]
               ├─11282 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...]
               ├─11283 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...]
               └─11285 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -D [...]

15.5 Journald 配置

通过修改 /etc/systemd/journald.conf 可调整 systemd-journald 服务的行为。本节只介绍了基本的选项设置。有关完整的文件描述,请参见 man 5 journald.conf。请注意,要使更改生效,需要使用以下命令重启动日记

# systemctl restart systemd-journald

15.5.1 更改日记大小限制

如果将日记日志数据保存到永久位置(参见第 15.1 节 “将日记设为永久”),这些数据最多会占用 /var/log/journal 所在文件系统空间的 10%。例如,如果 /var/log/journal 位于一个 30 GB /var 的分区中,则日记最多会占用 3 GB 磁盘空间。要更改此限制,请更改(并取消注释)SystemMaxUse 选项:

SystemMaxUse=50M

15.5.2 将日记转发到 /dev/ttyX

您可以将日记转发到终端设备,以便在首选的终端屏幕(例如 /dev/tty12)上了解相关的系统讯息。将以下 journald 选项更改为

ForwardToConsole=yes
TTYPath=/dev/tty12

15.5.3 将日记转发到 Syslog 工具

Journald 与传统的 syslog 实施(例如 rsyslog)向后兼容。请确保满足以下条件:

  • 已安装 rsyslog。

    # rpm -q rsyslog
    rsyslog-7.4.8-2.16.x86_64
  • 已启用 rsyslog 服务。

    # systemctl is-enabled rsyslog
    enabled
  • 已在 /etc/systemd/journald.conf 中启用转发到 syslog 设置。

    ForwardToSyslog=yes

15.6 使用 YaST 过滤 systemd 日记

过滤 systemd 日记的简单方法(无需处理 journalctl 语法)是使用 YaST 日记模块。使用 sudo zypper in yast2-journal 安装该模块后,请在 YaST 中选择 系统 ›  Systemd 日记 启动该模块。也可以在命令行中输入 sudo yast2 journal 来启动该模块。

YaST systemd 日记
图 15.1︰ YaST systemd 日记

模块将在表中显示日志项。使用顶部的搜索框可以搜索包含特定字符的项,这类似于使用 grep。要按日期和时间、单位、文件或优先级过滤项,请单击更改过滤器,然后设置相应的选项。

16 基本联网知识

摘要

Linux 提供集成进各类网络结构中所需的联网工具和功能。可以通过 YaST 配置使用网络卡进行的网络访问。也可以手动进行配置。在本章中,仅描述基础机制和相关网络配置文件。

Linux 和其他 Unix 操作系统均使用 TCP/IP 协议。该协议不是单个网络协议,而是提供多种服务的一系列网络协议。TCP/IP 系列协议中的若干协议中所列的协议专用于在两台计算机之间通过 TCP/IP 交换数据。由 TCP/IP 连接而成的网络构成了全球网络,也称作因特网

RFC 指注释请求 (Request for Comments)。RFC 由一些文档组成,用来描述各种因特网协议和操作系统及其应用程序的实施过程。RFC 文档用来描述如何设置因特网协议。有关 RFC 的更多信息,请参见 http://www.ietf.org/rfc.html

TCP/IP 系列协议中的若干协议
TCP

传送控制协议:面向连接的安全协议。要传输的数据首先由应用程序作为数据流发送,然后由操作系统转换为相应的格式。数据到达目标主机上的相应应用程序时采用最初发送时的原始数据流格式。TCP 确定在传输过程中是否有任何数据丢失或发生混乱。只要涉及到数据序列就会实施 TCP。

UDP

用户数据报协议:无连接、不安全的协议。要传送的数据以应用程序生成的数据包的形式发送。不能保证数据以正确的顺序到达接收方,也可能丢失数据。UDP 适用于面向记录的应用程序。它的等待时间比 TCP 稍短。

ICMP

因特网控制消息协议:这不是面向最终用户的协议,而是用来发出错误报告的特殊控制协议,能够控制参与 TCP/IP 数据传送的计算机的行为。此外,它还提供一种特殊的回应方式,可以通过 ping 程序查看该方式。

IGMP

因特网组管理协议:此协议控制实施 IP 多路广播时的计算机行为。

图 16.1 “TCP/IP 的简化层次模型” 中所示,数据交换在不同的层中进行。实际的网络层是通过 IP(因特网协议)的不安全数据传送。IP 的上面是 TCP(传送控制协议),它能够确保一定程度的数据传送安全性。IP 层由底层硬件相关协议(例如以太网)提供支持。

TCP/IP 的简化层次模型
图 16.1︰ TCP/IP 的简化层次模型

该图为每一层都提供了一到两个示例。层次按照抽象程度排序。最底层非常接近硬件。最上层则几乎就是硬件的完全抽象化。每一层都有自己的特殊功能。每一层的特殊功能多隐含在其描述中。数据链路层和物理层表示所用的物理网络(如以太网)。

几乎所有硬件协议都在面向数据包的基础上发挥作用。要传送的数据收集在中(一次无法发送所有数据)。TCP/IP 包最大约为 64 KB。包通常要小得多,因为可能受到网络硬件的限制。以太网上的数据包最大约为 1500 个字节。通过以太网发送数据时,TCP/IP 包的大小不能超过这个限额。如果传送更多数据,操作系统需要发送更多的数据包。

为使层实现其指定功能,必须在数据包中保存与每层相关的附加信息。这些信息保存在数据包的报头中。每一层都在每个新包的开头附加一小块称为协议报头的数据。图 16.2 “TCP/IP 以太网包”中演示了一个通过以太网电缆传送的 TCP/IP 数据包示例。校验和位于包的末尾而不是开头,这样更便于网络硬件处理。

TCP/IP 以太网包
图 16.2︰ TCP/IP 以太网包

当应用程序通过网络发送数据时,数据会穿越每个层次,所有传递都在 Linux 内核中实施(只有物理层除外)。每一层都负责准备好数据,以便传递到下一层。最底层最后负责发送数据。接收数据时则逆向执行整个过程。正像剥洋葱皮那样,在每一层中都要从传输数据中删除协议报头。最后,传输层负责使数据可供目标上的应用程序使用。通过这种方式,每一层只与其上一层或下一层通讯。对于应用程序来说,无论数据是通过 100 Mbit/s(兆位/秒)的 FDDI 网络传送还是通过 56 Kbit/s(千位/秒)的调制解调器线路传送,都毫不相关。同样,只要数据包的格式正确,传送哪种数据对数据线也无关紧要。

16.1 IP 地址和路由

各节的论述仅限于 IPv4 网络。有关 IPv6 协议(IPv4 的后续协议)的信息,请参见第 16.2 节 “IPv6 — 下一代的因特网”

16.1.1 IP 地址

因特网上的每台计算机都有一个唯一的 32 位地址。这些 32 位(或 4 字节)地址通常按例 16.1 “编写 IP 地址”的第二行所示的格式书写。

例 16.1︰ 编写 IP 地址
IP Address (binary):  11000000 10101000 00000000 00010100
IP Address (decimal):      192.     168.       0.      20

在十进制格式中,四字节以十进制数书写,其间以句点分隔。IP 地址被指派给主机或网络接口。它在全球只能使用一次。这条规则也有例外,但这些例外与下文无关。

IP 地址中的点表示分级系统。直到 20 世纪 90 年代,IP 地址仍然有严格的分类。但是,此系统经证实太过死板,已经废止。现已改为使用无类别路由 - (CIDR,无类别域间路由)。

16.1.2 网络掩码和路由

网络掩码用于定义子网的地址范围。如果两台主机位于同一子网中,它们可直接相互访问。如果它们位于不同子网中,则需要用于处理此子网的所有通讯的网关地址才能相互访问。要检查两个 IP 地址是否位于同一个子网中,只需分别将两个地址与网络掩码进行AND操作。如果结果相同,则两个 IP 地址在同一个本地网络中。如果结果不同,则仅能通过网关连接远程 IP 地址和远程接口。

要了解网络掩码如何工作,可查看例 16.2 “将 IP 地址链接到网络掩码”。网络掩码有 32 位,它确定 IP 地址有多少属于网络。对于所有为 1 的位,将它们在 IP 地址中的相应位标记为属于网络。对于所有值为 0 的位,标记其属于子网内。这意味着值为 1 的位越多,子网就越小。因为网络掩码总是由多个连续的 1 位组成,所以也可通过计算网络掩码中的位数来确定。在例 16.2 “将 IP 地址链接到网络掩码”中,第一个 24 位的网络也可写作 192.168.0.0/24

例 16.2︰ 将 IP 地址链接到网络掩码
IP address (192.168.0.20):  11000000 10101000 00000000 00010100
Netmask   (255.255.255.0):  11111111 11111111 11111111 00000000
---------------------------------------------------------------
Result of the link:         11000000 10101000 00000000 00000000
In the decimal system:           192.     168.       0.       0

IP address (213.95.15.200): 11010101 10111111 00001111 11001000
Netmask    (255.255.255.0): 11111111 11111111 11111111 00000000
---------------------------------------------------------------
Result of the link:         11010101 10111111 00001111 00000000
In the decimal system:           213.      95.      15.       0

再举个例子:通过同一以太网电缆相连的所有计算机通常都位于同一子网中,可直接访问。即使用交换机或网桥物理分隔该子网,这些主机仍然可以直接访问。

仅在网关是为目标网络配的时,才能访问本地子网外部的 IP 地址。通常情况下,只有一个网关处理所有外部流量。然而,也可能为不同的子网配置多个网关。

如果配置了网关,所有的外部 IP 包将发送到相应的网关。此网关随后会尝试以相同的方式转发该包(从主机到主机)直到到达目标主机或超过该包的 TTL(存活时间)。

特定地址
基础网络地址

这是网络掩码和该网络中的任意地址,如例 16.2 “将 IP 地址链接到网络掩码” 中的 Result(结果)所示。不能将此地址指派给任何主机。

广播地址

这可以解释为:访问此子网中的所有主机。要生成此地址,需要将网络掩码反转为二进制格式,并使用逻辑 OR 链接到基本网络地址。因此,以上示例会生成 192.168.0.255。该地址无法指派给任何主机。

本地主机

地址 127.0.0.1 指派给每台主机的回路设备。可以使用此地址以及通过 IPv4 定义的完整 127.0.0.0/8 回写网络中的所有地址为您自己的计算机设置一个连接。对于 IPv6,仅存在一个回写地址 (::1)。

由于 IP 地址必须在全球范围内唯一,您不能随机选择地址。共有三个地址域可用于建立基于 IP 的专用网络。这些地址无法与因特网上的其他地址建立任何连接,因为它们不能通过因特网传送。这些地址域在 RFC 1597 中指定,并且列在表 16.1 “专用 IP 地址域” 中。

表 16.1︰ 专用 IP 地址域

网络/网络掩码

10.0.0.0/255.0.0.0

10.x.x.x

172.16.0.0/255.240.0.0

172.16.x.x172.31.x.x

192.168.0.0/255.255.0.0

192.168.x.x

16.2 IPv6 — 下一代的因特网

重要
重要:IBM z Systems:IPv6 支持

IBM z Systems 硬件的 CTC 和 IUCV 网络连接不支持 IPv6。

由于万维网 (WWW) 的出现,过去十五年中,越来越多的计算机开始通过 TCP/IP 通讯,这使因特网有了突飞猛进的发展。自从 1990 年在 CERN (http://public.web.cern.ch) 任职的 Tim Berners-Lee 开创了 WWW,因特网主机的数量已从几千台猛增至上亿台。

如上所述,IPv4 地址只有 32 位。而且还有不少 IP 地址丢失,它们因网络组织结构的原因而无法使用。子网中可用的地址数量是位数的平方减 2。举例来说,某个子网可以有 2 个、6 个或 14 个可用地址。如果要将 128 台主机连接到因特网,您的子网要提供 256 个 IP 地址,其中只有 254 个可用,因为有两个 IP 地址需要供该子网本身的结构使用:广播和基础网络地址。

在当前的 IPv4 协议下,DHCP 或 NAT(网络地址转换)是用来避免出现地址短缺的典型机制。这些方法与用来分隔专用地址空间和公用地址空间的规定相结合,肯定能够缓解短缺状况; 它们的问题在于不仅配置烦琐,而且也加重了维护的负担。要在 IPv4 网络中设置主机,您需要若干地址项,如主机本身的 IP 地址、子网掩码、网关地址,可能还要提供名称服务器地址。所有这些项都是必需的,而且无法从其他任何地方得到这些项。

利用 IPv6,地址的短缺和复杂的配置都将成为过去。以下各节进一步描述了 IPv6 带来的改进和优点,以及如何从旧协议过渡到新协议。

16.2.1 优点

新协议中最为重要同时也最为显著的改进在于对可用地址空间的极大扩容。IPv6 地址由 128 位值而不是传统的 32 位值组成,它提供的 IP 地址数目多达 10 的 15 次方的若干倍。

不过,IPv6 与以前的不同不仅限于长度,其内部结构也发生了变化,这种结构可以包含更多的有关系统和系统所属网络的具体信息。有关详细信息,请参见第 16.2.2 节 “地址类型和结构”

下面列出了新协议的其他优点:

自动配置

IPv6 使网络可以支持即插即用,这意味着无需任何手动配置即可将新安装的系统集成到(本地)网络中。新主机可以使用其自动配置机制,依赖名为邻居发现 (ND) 的协议从邻近的路由器提供的信息中得到自己的地址。这种方法不要求管理员参与,并且无需维护用于分配地址的中央服务器,这是 IPv4 无法媲美的(IPv4 中需要使用 DHCP 服务器来自动分配地址)。

不过,如果路由器已连接到交换机,则路由器应发送带标志的定期通告,告知网络中的主机彼此应如何交互。有关更多信息,请参见 RFC 2462 和 radvd.conf(5) 手册页以及 RFC 3315。

移动能力

利用 IPv6,为一个网络接口同时指派多个地址成为可能。这使得用户能方便地访问多个网络,可媲美手机公司提供的国际漫游服务。当您出国时,进入相应区域后手机会自动登录国外服务,因此无论您身在何处,别人都可以用同一个号码联系到您,您也可以像在国内一样拨打电话。

安全通讯

在 IPv4 中,网络安全是一项附加功能。IPv6 则将 IPsec 作为其核心功能之一,允许系统通过安全隧道通讯,避免被因特网上的外来者窃听。

向后兼容性

实际上,要想将整个因特网一下子从 IPv4 转换为 IPv6 是不可能的。因此,这两个协议不仅要能在因特网上共存,还应能够共存于一个系统中,这一点至关重要。要实现这一点,一方面两种地址应兼容(IPv4 地址可以轻松转换为 IPv6 地址),另一方面还要使用多个隧道。请参见第 16.2.3 节 “IPv4 与 IPv6 并存”。此外,系统可以依赖双栈 IP 技术同时支持两种协议,这意味着系统中有两种完全分开的网络堆栈,从而避免这两种版本的协议相互影响。

通过多路广播的自定义服务

在 IPv4 中,有些服务(如 SMB)需要向本地网络中的所有主机广播其数据包。IPv6 使服务器能够通过多路广播对主机寻址(即将多个主机作为组的一部分寻址),因而提供了更精细的方法。这种方法与通过广播对所有主机寻址,或通过单路广播单独对每个主机寻址均不同。将哪些主机作为一组来寻址可能要取决于具体的应用程序。可使用一些预定义的组来寻址,例如对所有名称服务器寻址(所有名称服务器多路广播组),或对所有路由器寻址(所有路由器多路广播组)。

16.2.2 地址类型和结构

如上所述,当前的 IP 协议存在两个重要限制:IP 地址日益短缺,并且配置网络、维护路由选择表的任务变得越来越复杂繁重。IPv6 通过将地址空间扩展到 128 位解决了第一个问题。通过引入分级地址结构,结合先进的网络地址分配技术和多宿主功能(将多个地址指派给同一个设备,从而支持对多个网络的访问),第二个问题也得到缓解。

使用 IPv6 时,了解三种类型的地址十分有用:

单路广播

这类地址只与一个网络接口关联。采用这类地址的包只传递到一个目标。因此,使用单路广播地址可以将包传送到本地网络或因特网上的单个主机。

多路广播

这类地址与一组网络接口相关。采用这类地址的包将传递到属于该组的所有目标。多路广播地址主要供特定网络服务使用,用于以有序的方式与特定的主机组通讯。

任意广播

这类地址与一组接口相关。采用这类地址的包将根据基础路由协议的原则,传递给该组中与发送方最为接近的成员。任意广播地址便于主机在特定网络区域内找到提供特定服务的服务器。同一类型的所有服务器都具有相同的任意广播地址。在请求服务时,主机会收到路由协议决定的最接近它的服务器的回复。如果出于某种原因此服务器无法回复,协议会自动选择距离稍远一些的服务器,依此类推。

IPv6 地址分为八组,每组四位数字,代表十六位,采用十六进制表示法。它们之间用冒号 (:) 分隔。可以删除某组中的前置零字节,但不能删除组中或组末的零。另一个约定是:连续的零字节若超过四个,则可以省略为双冒号形式。不过,每个地址只允许有一个这样的 ::。中演示了这种简写表示法,其中的三行全部表示同一地址。例 16.3 “示例 IPv6 地址”

例 16.3︰ 示例 IPv6 地址
fe80 : 0000 : 0000 : 0000 : 0000 : 10 : 1000 : 1a4
fe80 :    0 :    0 :    0 :    0 : 10 : 1000 : 1a4
fe80 :                           : 10 : 1000 : 1a4

IPv6 地址的每个部分都有明确的功能。前面的字节构成前缀,用于指定地址类型。中间部分是地址的网络部分,但可以不用。地址的结尾构成主机部分。在 IPv6 中,网络掩码是通过在地址末尾的斜杠后指明前缀的长度来定义的。例 16.4 “指定前缀长度的 IPv6 地址” 中的地址包含上述信息,即:前 64 位构成地址的网络部分,后 64 位构成地址的主机部分。换言之,64 表示网络掩码由左起的 64 个 1 位值构成。与 IPv4 一样,IP 地址使用 AND 结合网络掩码值,以确定主机位于同一子网中还是其他网络中。

例 16.4︰ 指定前缀长度的 IPv6 地址
fe80::10:1000:1a4/64

IPv6 可以识别几种预定义的前缀类型。各种 IPv6 前缀中列出了其中的一部分。

各种 IPv6 前缀
00

IPv4 地址和 IPv6 上的 IPv4 兼容地址。这些用于与 IPv4 保持兼容。要使用这些地址,仍然需要依赖路由器将 IPv6 包转换为 IPv4 包。有若干特殊地址(如用于回路设备的地址)也采用此前缀。

23 作为第一个数字

可聚合全局单路广播地址。类似 IPv4 的情况,可以指定某个接口作为特定子网的一部分。目前,有以下地址空间:2001::/16(生产质量地址空间)和 2002::/16(6to4 地址空间)。

fe80::/10

链路本地地址。不应路由带有这种前缀的地址,而只能从同一子网中访问。

fec0::/10

站点本地地址。可以路由这种地址,但只局限在它们所属的组织的网络之内。实际上,这些是相当于当前的专用网络地址空间(如 10.x.x.x)的 IPv6 地址。

ff

这些是多路广播地址。

单路广播地址由三个基本部分组成:

公共拓扑结构

第一部分(也包含上述前缀之一)用于通过公共因特网路由数据包。其中包含提供因特网访问的公司或机构的相关信息。

站点拓朴结构

第二部分包含要将包传递到的子网的路由信息。

接口 ID

第三部分标识要将包传递到的接口。其中允许使用 MAC。由于 MAC 是硬件厂商编程到设备中的全球唯一的固定标识符,配置过程得到了极大简化。事实上,前 64 个地址位共同构成 EUI-64 令牌,后 48 位从 MAC 中提取,其余的 24 位包含有关令牌类型的特殊信息。这样还可以将 EUI-64 令牌指派给没有 MAC 的接口,如基于 PPP 的接口。

在这个基础结构之上,IPv6 还区分五种不同的单路广播地址:

:: (未指定)

在首次初始化接口时(此时尚无法通过其他方法确定地址),这类地址可被主机用作其源地址。

::1(回路)

回路设备的地址。

IPv4 兼容地址

IPv6 地址由 IPv4 地址和 96 个零位组成的前缀构成。这类兼容地址用于隧道通讯进程(请参见第 16.2.3 节 “IPv4 与 IPv6 并存”),以便 IPv4 和 IPv6 主机与在纯 IPv4 环境中操作的其他主机通讯。

映射到 IPv6 的 IPv4 地址

这类地址以 IPv6 表示法指定纯 IPv4 地址。

本地地址

有两类地址可供本地使用:

链路本地

这类地址只能在本地子网中使用。不能具有此类源地址或目标地址的包路由到因特网或其他子网。这些地址包含特殊的前缀 (fe80::/10) 和网卡的接口 ID,中间部分为零字节。这类地址在自动配置过程中使用,用于与同一子网中的其他主机通讯。

站点本地

可以将采用这类地址的包路由到其他子网,但不能路由到更广阔的因特网 — 不能跨越组织自身的网络。这类地址用于内部网,相当于 IPv4 定义的专用地址空间。其中包含特殊的前缀 (fec0::/10)、接口 ID,及指定子网 ID 的 16 位字段。其余部分也会填入零字节。

作为 IPv6 引进的全新功能,每个网络接口通常可以获得多个 IP 地址,这个功能的优点即在于:可以通过同一接口访问多个网络。其中一个网络可以用 MAC 和已知前缀进行全自动配置,这样当启用 IPv6 (使用链路本地地址)后,即可访问本地网络中的所有主机。由于其中使用了 MAC,所用的任何 IP 地址都是全球唯一的。地址中只有指定站点拓朴结构公共拓朴结构的部分才是可变部分,这取决于主机当前运行所在的实际网络。

要使主机在不同网络间切换,主机至少需要两个地址。其中之一 - 本地地址,不仅包含接口 ID 而且包含该主机通常所属的本地网络的标识符(以及相应的前缀)。本地地址是静态地址,因此一般不变。所有要发送到移动主机的包仍可以传递到该主机,不管它是在本地网络还是其他任何网络中操作。这一点得益于 IPv6 引进的全新功能,如无状态自动配置邻居发现。除本地地址之外,移动主机还获得一个或多个额外的地址,这些地址属于该主机漫游到的外地网络。这些地址称为转交地址。本地网络有一种功能,可以在主机漫游到外地时转发要发送给该主机的所有包。在 IPv6 环境中,这项任务由本地代理来完成,该代理可以接收要发送到本地地址的所有包,并通过隧道进行转发。另一方面,发送到转交地址的那些包可直接转发到移动主机,而不必进行任何特殊的迂回处理。

16.2.3 IPv4 与 IPv6 并存

将与因特网相连的所有主机从 IPv4 迁移到 IPv6 是一个逐步的过程。这两种协议将在未来一定时间内并存。通过双栈技术来实施这两种协议,可以在同一系统上同时支持这两种协议。但这仍然没有解决启用了 IPv6 的主机如何与 IPv4 主机通讯,以及应如何通过当前的网络(绝大部分都基于 IPv4)传输 IPv6 数据包的问题。最好的解决方案就是提供隧道处理功能和兼容地址(请参见 第 16.2.2 节 “地址类型和结构”)。

IPv6 主机多少孤立于(全球)IPv4 网络,它可通过隧道通讯:IPv6 包封装为 IPv4 包,以便在 IPv4 网络中移动。这种在两个 IPv4 主机间的连接被称为隧道。要实现这种功能,包必须包含 IPv6 目标地址(或相应的前缀),以及隧道接收端远程主机的 IPv4 地址。根据主机管理员间的协议,可以手动配置基本的隧道。这也称作静态隧道

但是,静态隧道的配置和维护往往过于烦琐,不能适应日常通讯需要。因此,IPv6 提供了三种不同的动态隧道方法:

6over4

IPv6 包被自动封装为 IPv4 包,并通过支持多路广播的 IPv4 网络发送。这种方法诱导 IPv6 将整个网络(因特网)视为一个巨大的局域网 (LAN)。这样即可自动确定 IPv4 隧道的接收端。不过,这种方法的可扩展性不够好,而且不易推行,因为 IP 多路广播在因特网上尚未普及。因此,它提供的解决方案仅适用于支持多路广播的小型公司网络或机构网络。RFC 2529 中对这种方法作出了规定。

6to4

利用这种方法,可以从 IPv6 地址自动生成 IPv4 地址,从而支持孤立的 IPv6 主机通过 IPv4 网络进行通讯。不过,用这种方法在孤立的 IPv6 主机和因特网之间通讯时存在一些问题。RFC 3056 中对这种方法进行了描述。

IPv6 隧道中介程序

这种方法依赖特殊的服务器为 IPv6 主机提供专用隧道。RFC 3053 中对此进行了描述。

16.2.4 配置 IPv6

要配置 IPv6,通常无需在各个工作站上执行任何更改。默认情况下启用 IPv6。要在已安装系统上禁用或启用 IPv6,请使用 YaST 网络设置模块。在全局设置选项卡上,根据需要选中或取消选中启用 IPv6 选项。要暂时启用直至下次重引导,请以 root 身份输入 modprobe -i ipv6。装载 IPv6 模块后无法将其卸载。

由于 IPv6 使用自动配置,将给网卡指派链路-本地网络中的地址。一般不在工作站上管理路由选择表。工作站可以使用路由器广告协议查询网络路由器,了解应实施的前缀和网关。使用 radvd 程序可以设置 IPv6 路由器。此程序会通知工作站对 IPv6 地址使用哪个前缀和哪个路由器。或者,可以使用 zebra/quagga 自动配置两个地址和路由选择。

有关如何使用 /etc/sysconfig/network 文件设置各种隧道的信息,请参见 ifcfg-tunnel 的手册页 (man ifcfg-tunnel)。

16.2.5 更多信息

上文的概述中并未全面论述 IPv6 这一主题。有关这种新协议的深入讨论,请参见以下联机文档和书目:

http://www.ipv6.org/

学习 IPv6 知识的起点。

http://www.ipv6day.org

启动您自己的 IPv6 网络所需的所有信息。

http://www.ipv6-to-standard.org/

已启用 IPv6 的产品列表。

http://www.bieringer.de/linux/IPv6/

在此可找到 Linux IPv6-HOWTO 以及许多与该主题有关的链接。

RFC 2460

有关 IPv6 的基础 RFC。

IPv6 Essentials

Silvia Hagen 所著的 IPv6 Essentials(ISBN 0-596-00125-8) 中描述了该主题的所有重要方面。

16.3 名称解析

DNS 有助于将 IP 地址指派给一个或多个名称,并将名称指派给 IP 地址。在 Linux 中,这种转换通常由一种特殊的称为 bind 的软件来完成。负责这种转换的计算机称为名称服务器。这些名称构成了具有层次结构的系统,各个名称组成部分之间用句点分隔。不过,这个名称层次与上述 IP 地址层次无关。

考虑以 hostname.domain 格式书写的完整名称,如 jupiter.example.com。完整名称,即完全限定的域名 (FQDN),由主机名和域名 (example.com) 组成。后者还包含顶级域或 TLD (com)。

TLD 的指派由于历史原因已经变得十分混乱。传统的指派方法是美国所用的三字母域名,而世界其他地方采用的标准是双字母 ISO 国家/地区代码。此外,2000 年还引进了较长的 TLD,表示特定的活动领域(例如 .info.name.museum)。

在因特网发展的早期阶段( 1990 年之前),文件 /etc/hosts 被用来储存因特网上表示的所有计算机的名称。后来事实证明随着接入因特网的计算机与日俱增,这种方法很快就行不通了。为此人们开发了一个分散式数据库,以十分分散的方式储存主机名。这个数据库类似名称服务器,它并不储存与因特网上的所有主机相关的数据,但可以向其他名称服务器发送请求。

位于层次顶级的是 root 名称服务器。这些 root 名称服务器管理顶级域,并由网络信息中心 (NIC) 运行。每个 root 名称服务器都了解负责特定顶级域的名称服务器。有关顶级域 NIC 的信息,请参见 http://www.internic.net

DNS 不仅可以解析主机名,还能够为整个域识别出负责接收电子邮件的主机,即邮件交换器 (MX)

为解析 IP 地址,您的计算机必须了解至少一个名称服务器及其 IP 地址。使用 YaST 可轻松指定此类名称服务器。有关如何在 SUSE® Linux Enterprise Server 中配置针对名称服务器的访问,请参见第 16.4.1.4 节 “配置主机名和 DNS”。有关如何设置您自己的名称服务器,请参见第 25 章 “域名系统

whois 协议与 DNS 密切相关。使用此程序可以快速找出负责给定域的服务器。

注意
注意:MDNS 和 .local 域名

.local 顶级域由解析程序视为 link-local 域。DNS 请求作为多路广播 DNS 请求(而不是常规 DNS 请求)发送。如果已在名称服务器配置中使用 .local 域,必须在 /etc/host.conf 中关闭此选项。有关更多信息,请参见 host.conf 手册页。

如果要在安装期间关闭 MDNS,请使用 nomdns=1 作为引导参数。

有关多路广播 DNS 的详细信息,请参见 http://www.multicastdns.org

16.4 使用 YaST 配置网络连接

Linux 上有多个支持的联网类型。其中多数使用不同的设备名,配置文件分布在文件系统上的多个位置。关于手动网络配置方面的详细概述,请参见第 16.5 节 “手动配置网络连接”

已建立链接的所有网络接口(已连接网络电缆)将自动进行配置。可随时在已安装系统中配置额外的硬件。以下章节将介绍 SUSE Linux Enterprise Server 支持的所有网络连接类型的网络配置。

提示
提示:IBM z Systems:可热拔插网卡

IBM z Systems 平台支持可热插拔网卡,但不支持这些网卡通过 DHCP 自动进行网络集成(与在 PC 上的情况相同)。检测到网卡后需要手动配置接口。

16.4.1 使用 YaST 配置网卡

要在 YaST 中配置以太网卡或 Wi-Fi/蓝牙卡,请选择系统 ›  网络设置。启动模块后,YaST 将显示网络设置对话框,其中包括四个选项卡:全局选项概述主机名/DNS路由选择

通过全局选项选项卡可设置常规联网选项,例如网路设置方法、IPv6 和常规 DHCP 选项。有关详细信息,请参见第 16.4.1.1 节 “配置全局联网选项”

概述选项卡包含关于已安装网络接口和配置的信息。会列出已正确检测到的所有网卡及其名称。您可在此对话框中手动配置新卡、删除或更改其配置。要手动配置未自动检测到的网卡,请参见第 16.4.1.3 节 “配置未检测到的网卡”。如果要更改已配置卡的配置,请参见第 16.4.1.2 节 “更改网卡的配置”

通过主机名/DNS 选项卡可设置计算机的主机名和要使用的服务器名称。有关详细信息,请参见第 16.4.1.4 节 “配置主机名和 DNS”

路由选择选项卡用于配置路由选择。有关更多信息,请参见第 16.4.1.5 节 “配置路由选择”

配置网络设置
图 16.3︰ 配置网络设置

16.4.1.1 配置全局联网选项

通过 YaST 网络设置模块的全局选项选项卡,可设置重要的全局联网选项,如使用 NetworkManager、IPv6 和 DHCP 客户端选项。这些设置适用于所有网络接口。

注意
注意:NetworkManager 由 Workstation Extension 提供

现在,NetworkManager 由 Workstation Extension 提供。要安装 NetworkManager,请激活 Workstation Extension 储存库,然后选择 NetworkManager 包。

网络设置方法中,选择管理网络连接的方法。如果希望 NetworkManager 桌面小程序管理所有接口的连接,请选择 NetworkManager 服务。NetworkManager 非常适用于在多个有线和无线网络之间切换。如果您运行的不是桌面环境,或者您的计算机是 Xen 服务器、虚拟系统或者会在网络中提供 DHCP 或 DNS 等网络服务,请使用 Wicked 服务方法。如果使用 NetworkManager,则应使用 nm-applet 配置网络选项,并且网络设置模块的概述主机名/DNS路由选择选项卡会被禁用。有关 NetworkManager 的详细信息,请参见 SUSE Linux Enterprise Desktop 文档。

IPv6 协议设置中,选择是否使用 IPv6 协议。可将 IPv6 与 IPv4 一起使用。默认情况下,会启用 IPv6。但是在不使用 IPv6 协议的网络中,如果禁用 IPv6 协议,响应时间会更快。要禁用 IPv6,请停用启用 IPv6。如果禁用了 IPv6,内核将不再自动装载 IPv6 模块。重启动后会应用此设置。

DHCP 客户端选项中,配置 DHCP 客户端的选项。在单个网络上,每个 DHCP 客户端的 DHCP 客户端标识符必须不同。如果保留为空,会默认为网络接口的硬件地址。但是,如果正在运行若干使用相同网络接口(即相同硬件地址)的虚拟机,则在此处指定唯一的自由格式标识符。

要发送的主机名指定当 DHCP 客户端将消息发送到 DHCP 服务器时,主机名选项字段使用的字符串。某些 DHCP 服务器会根据此主机名(动态 DNS)来更新名称服务器区域(正向和反向记录)。此外,有些 DHCP 服务器要求要发送的主机名选项字段包含来自客户端的 DHCP 消息中的特定字符串。如果保留 AUTO,将发送当前的主机名(即 /etc/HOSTNAME 中定义的主机名)。将选项字段保留空白则不会发送任何主机名。

如果您不希望根据 DHCP 中的信息更改默认路由,请停用通过 DHCP 更改默认路由

16.4.1.2 更改网卡的配置

要更改网卡的配置,请在 YaST 网络设置 ›  概述中已检测到的网卡列表中选择一个网卡,然后单击编辑。将显示网卡设置对话框,可在其中使用常规地址硬件选项卡调整网卡配置。

16.4.1.2.1 配置 IP 地址

您可在网卡设置对话框的地址选项卡中设置网卡的 IP 地址或 IP 地址的确定方法。同时支持 IPv4 和 IPv6 地址。网卡可设置为无 IP 地址(对于绑定设备很有用)、静态指派的 IP 地址(IPv4 或 IPv6)或通过 DHCP和/或 Zeroconf 指派的动态地址

如果使用动态地址,则选择是使用仅 DHCP 版本 4(用于 DHCPv4)、DHCP 版本 6(用于 DHCPv6)还是 DHCP 版本 4 和 6

如果可能,安装期间的首个带链接的可用网卡将会通过 DHCP 自动配置为使用自动 IP 地址。

注意
注意:IBM z Systems 和 DHCP

在 IBM z Systems 平台上,只有具备 MAC 地址的网卡才支持基于 DHCP 的地址配置。属于这种情况的只有 OSA 和 OSA Express 网卡。

如果使用的是 DSL 线路,但 ISP(因特网服务提供商)没有指派静态 IP,此时还应使用 DHCP。如果决定使用 DHCP,请打开 YaST 网卡配置模块的网络设置对话框,在全局选项选项卡的 DHCP 客户端选项中配置细节。如果您使用虚拟主机设置,其中不同的主机都通过同一接口通信,则需要用 DHCP 客户端标识符来区分。

DHCP 比较适合客户端配置,但不太适合服务器配置。要设置静态 IP 地址,请如下继续操作:

  1. 在 YaST 网卡配置模块的概述选项卡中,于已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 地址选项卡中,选择静态指派的 IP 地址

  3. 输入 IP 地址。IPv4 和 IPv6 地址均可使用。在子网掩码中输入子网掩码。如果使用 IPv6 地址,则对于前缀长度使用 /64 格式的子网掩码

    或者,您可以为此地址输入一个完全限定的主机名,该主机名将写入到 /etc/hosts 配置文件。

  4. 单击下一步

  5. 要激活配置,请单击确定

注意
注意:接口激活和链路检测

在激活网络接口期间,wicked 会检查载波,并且只有在检测到链路之后,才会应用 IP 配置。如果不管链路状态为何,您都需要应用配置(例如,您要测试侦听某个地址的服务),则可以在 /etc/sysconfig/network/ifcfg 内的接口配置文件中添加变量 LINK_REQUIRED=no 来跳过链路检测。

另外,您可以使用变量 LINK_READY_WAIT=5 来指定等待链路的超时值(以秒为单位)。

有关 ifcfg-* 配置文件的详细信息,请参见第 16.5.2.5 节 “/etc/sysconfig/network/ifcfg-*man 5 ifcfg

如果使用静态地址,则不会自动配置名称服务器和默认网关。要配置名称服务器,请按照第 16.4.1.4 节 “配置主机名和 DNS” 中所述进行。要配置网关,请按照第 16.4.1.5 节 “配置路由选择” 中所述进行。

16.4.1.2.2 配置多个地址

一个网络设备可以有多个 IP 地址。

注意
注意:别名是兼容功能

这些所谓的别名或标签只能分别用于 IPv4。对于 IPv6 则忽略它们。使用 iproute2 网络接口可以有一个或多个地址。

要使用 YaST 设置网卡的其他地址,请执行以下步骤:

  1. 在 YaST 网络设置对话框的概述选项卡中,于已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 地址 ›  附加地址 选项卡中,单击添加

  3. 输入 IPv4 地址标签IP 地址网络掩码。不要在别名中包含接口名称。

  4. 要激活该配置,请确认设置。

16.4.1.2.3 更改设备名称和 Udev 规则

可更改网卡在使用时的设备名称。还可确定 udev 是通过网卡的硬件 (MAC) 地址还是通过总线 ID 来标识网卡。后者更适合大型服务器,因为便于热插拔网卡。要使用 YaST 设置这些选项,请执行以下步骤:

  1. 在 YaST 网络设置对话框的概述选项卡中,于已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 转到硬件选项卡。当前设备名称显示在 Udev 规则中。单击更改

  3. 选择 udev 应通过网卡的 MAC 地址还是总线 ID 来识别网卡。网卡的当前 MAC 地址和总线 ID 显示在对话框中。

  4. 要更改设备名称,请选中更改设备名称选项并编辑名称。

  5. 要激活该配置,请确认设置。

16.4.1.2.4 更改网卡内核驱动程序

对于某些网卡,可能会提供某些内核驱动程序。如果网卡已配置,YaST 允许您从可用的合适驱动程序列表中选择一个要使用的内核驱动程序。还可为内核驱动程序指定选项。要使用 YaST 设置这些选项,请执行以下步骤:

  1. 在 YaST 网络设置模块的概述选项卡中,于已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 转到硬件选项卡。

  3. 模块名称中选择要使用的内核驱动程序。在选项中以 = =VALUE 格式为所选驱动程序输入任何选项。如果使用多个选项,应用空格分隔这些选项。

  4. 要激活该配置,请确认设置。

16.4.1.2.5 激活网络设备

如果使用结合 wicked 的方法,便可以将设备配置为在引导期间、连接电缆时或检测到网卡时启动、以手动方式启动或永不启动设备。要更改设备启动,请如下继续操作:

  1. 在 YaST 的系统 ›  网络设置中,于已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 常规选项卡中,从设备激活选择所希望的项。

    选择在引导时可在系统引导时启动设备。使用在电缆连接时将对任何现有物理连接监视接口。使用在热插拔时,可在接口可用时对其进行设置。这与在引导时选项很相似,唯一区别是如果引导时接口不存在,将不会发生错误。选择手动可通过 ifup 手动控制接口。选择从不将不启动设备。通过 NFSroot在引导时相似,区别是使用 systemctl stop wicked.service 命令不会关闭接口;如果 wicked 处于活动状态,则 network 服务还会处理 wicked 服务。如果您使用 NFS 或 iSCSI 根文件系统,则选择此选项。

  3. 要激活该配置,请确认设置。

提示
提示:NFS 用作根文件系统

在通过网络以 NFS 共享形式装入根分区的(无磁盘)系统中,配置可供访问 NFS 共享的网络设备时需保持谨慎。

关闭或重引导系统时,默认的处理顺序是关闭网络连接,然后卸载根分区。对于 NFS 根分区,这种顺序会产生问题,因为在尚未激活与 NFS 共享的网络连接的情况下,根分区无法完全卸载。为防止系统停用相关的网络设备,请按第 16.4.1.2.5 节 “激活网络设备”中所述打开网络设备配置选项卡,然后在设备激活窗格中选择通过 NFSroot

16.4.1.2.6 设置最大传输单位大小

您可为接口设置最大传输单位 (MTU)。MTU 是指允许的最大包大小(以字节为单位)。更高的 MTU 可带来更高的带宽效率。但是较大的包有时可能会堵塞较慢的接口,从而增加后续包的延迟。

  1. 在 YaST 的系统 ›  网络设置中,于已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 常规选项卡中,从设置 MTU 列表中选择所需项。

  3. 要激活该配置,请确认设置。

16.4.1.2.7 PCIe 多功能设备

系统支持对以下技术提供支持的多功能设备:LAN、iSCSI 和 FCoE。YaST FCoE 客户端 (yast2 fcoe-client) 会在额外的列中显示私用标志,以允许用户选择用于 FCoE 的设备。YaST 网络模块 (yast2 lan) 会针对网络配置排除仅储存设备

关于 FCoE 的详细信息,请参见Book “储存管理指南”, Chapter 15 “以太网光纤通道储存:FCoE”, Section 15.3 “使用 YaST 管理 FCoE 服务”

16.4.1.2.8 IP-over-InfiniBand (IPoIB) 的 Infiniband 配置
  1. 在 YaST 的系统 ›  网络设置中选择 InfiniBand 设备,然后单击编辑

  2. 常规选项卡中,选择一种 IP-over-InfiniBand (IPoIB) 模式:已连接(默认)或数据报

  3. 要激活该配置,请确认设置。

有关 InfiniBand 的更多信息,请参见 /usr/src/linux/Documentation/infiniband/ipoib.txt

16.4.1.2.9 配置防火墙

您不必按Book “Security Guide”, Chapter 15 “Masquerading and Firewalls”, Section 15.4.1 “Configuring the Firewall with YaST”中所述输入详细的防火墙设置,只需在设置设备的过程中决定设备的基本防火墙配置。按如下所示继续:

  1. 打开 YaST 的系统 ›  网络设置模块。在概述选项卡中,从已检测到的网卡列表中选择一个网卡,然后单击编辑

  2. 进入网络设置对话框的常规选项卡。

  3. 确定要将接口指派到的防火墙区域。下列选项可用:

    防火墙已禁用

    此选项只有在禁用防火墙和防火墙未在运行时才可用。仅当计算机属于受外部防火墙保护的大型网络时才使用此选项。

    自动指派区域

    此选项只有在启用防火墙后才可用。防火墙正在运行且接口自动指派给防火墙区域。包含关键字 any 的区域或外部区域将用于此类接口。

    内部区域(未保护)

    防火墙正在运行,但不会强制执行任何规则来保护此接口。当计算机属于受外部防火墙保护的大型网络时才使用此选项。当计算机具有多个网络接口时,此选项还可用于连接到内部网络的接口。

    隔离区域

    隔离区域是位于内部网络和(恶意)因特网之前的附加防线。可从内部网络和因特网访问指派到此区域的主机,但指派到此区域的主机无法访问内部网络。

    外部区域

    防火墙在此接口上运行,并且全面保护其抵御其他假定有害的网络流量。这是默认选项。

  4. 要激活该配置,请确认设置。

16.4.1.3 配置未检测到的网卡

如果未正确检测到某个网卡,该卡将不会包含在已检测到的网卡列表中。如果确定系统包含网卡的驱动程序,则可以手动对其进行配置。还可以配置特殊网络设备类型,例如网桥、绑定、TUN 或 TAP。要配置未检测到的网卡(或特殊设备),请如下操作:

  1. 在 YaST 的系统 ›  网络设置 ›  概述对话框中,单击添加

  2. 硬件对话框中,从可用选项中设置接口的设备类型配置名称。如果网卡为 PCMCIA 或 USB 设备,则激活相应的复选框,并选择下一步退出此对话框。或者,如果需要,您可定义要用于网卡的内核模块名称及其选项

    Ethtool 选项中,您可以为接口设置 ifup 使用的 ethtool 选项。有关可用选项的信息,请参见 ethtool 手册页。

    如果选项字符串以 - 开头(例如,-K INTERFACE_NAME rx on),则会用当前接口名称替换字符串中的第二个词。否则(例如,autoneg off speed 10ifup 会在开头添加 -s INTERFACE_NAME

  3. 单击下一步

  4. 常规地址硬件选项卡中,配置所有所需的选项,如接口的 IP 地址、设备激活或防火墙区域。有关配置选项的更多信息,请参见第 16.4.1.2 节 “更改网卡的配置”

  5. 如果选择无线作为接口的设备类型,则在下一个对话框中配置无线连接。

  6. 要激活新的网络配置,请确认设置。

16.4.1.4 配置主机名和 DNS

如果您在安装期间未更改网络配置,并且已有以太网卡可用,则系统会自动为您的计算机生成主机名并激活 DHCP。这同样适用于主机连接到网络环境所需的名称服务信息。如果网络地址设置使用了 DHCP,则会向域名服务器列表自动填充相应数据。如果希望使用静态设置,则手动设置这些值。

要更改计算机名称并调整名称服务器搜索列表,则如下继续操作:

  1. 转到 YaST 的系统 › 模块中的网络设置主机名/DNS 选项卡。

  2. 输入主机名,如果需要,也输入域名。如果此计算机是邮件服务器,则该域特别重要。请注意,主机名是全局性的,将应用到所有已设置的网络接口。

    如果使用 DHCP 获取 IP 地址,则计算机的主机名将由 DHCP 自动设置。如果连接到不同网络,您应禁用此行为,因为其他网络可能会指派不同的主机名,而在运行时更改主机名可能会导致混淆图形桌面。要禁止使用 DHCP 获取 IP 地址,请停用通过 DHCP 更改主机名

    指派主机名给回写 IP 会将您的主机名与 /etc/hosts 中的 127.0.0.2(回写)IP 地址关联。如果您想让主机名即使在没有活动的网络情况下也可随时解析,则可使用该选项。

  3. 修改 DNS 配置中,请选择修改 DNS 配置(名称服务器、搜索列表以及 /etc/resolv.conf 文件的内容)的方式。

    如果选择了使用默认策略选项,则配置由 netconfig 脚本处理,该脚本合并了静态定义的数据(通过 YaST 或在配置文件中)与动态获取的数据(来自 DHCP 客户端或 NetworkManager)。此默认策略可满足通常情况。

    如果选择了仅手动选项,则不允许 netconfig 修改 /etc/resolv.conf 文件。但是,此文件可手动编辑。

    如果已选择自定义策略选项,则应指定用于定义合并策略的自定义策略规则字符串。该字符串包含了接口名称的逗号分隔列表,可考虑作为设置的有效源。除完整接口名外,也可使用基本通配符来匹配多个接口。例如,eth* ppp? 首先以所有 eth 为目标,然后是 ppp0 到 ppp9 的所有接口。有两个特殊策略值表示如何应用 /etc/sysconfig/network/config 文件中定义的静态设置:

    STATIC

    静态设置需要与动态设置合并到一起。

    STATIC_FALLBACK

    仅当动态配置不可用时,才使用静态设置。

    有关更多信息,请参见 netconfig(8) 的手册页 (man 8 netconfig)。

  4. 输入名称服务器并填写域搜索列表。名称服务器必须由 IP 地址指定(如 192.168.1.116),而非由主机名指定。域搜索选项卡中指定的名称是用于解析主机名(未指定域)的域名。如果使用多个域搜索,则使用逗号或空格分隔域。

  5. 要激活该配置,请确认设置。

也可以使用 YaST 从命令行编辑主机名。YaST 所做更改会立即生效(手动编辑 /etc/HOSTNAME 文件时则不是这样)。要更改主机名,请使用以下命令:

yast dns edit hostname=HOSTNAME

要更改名称服务器,请使用以下命令:

yast dns edit nameserver1=192.168.1.116
yast dns edit nameserver2=192.168.1.117
yast dns edit nameserver3=192.168.1.118

16.4.1.5 配置路由选择

要使计算机能够与其他计算机和其他网络进行通信,必须提供路由选择信息以使网络流量使用正确的路径。如果使用 DHCP,则将自动提供此信息。如果使用静态设置,则必须手动添加此数据。

  1. 在 YaST 中,转到网络设置 ›  路由选择

  2. 输入默认网关(如果需要是 IPv4 和 IPv6)的 IP 地址。默认网关与每个可能的目标匹配,但是如果存在与所需地址匹配的路由表项,则会使用此项,而不是通过默认网关使用默认路由。

  3. 可在路由选择表中输入多个项。输入目标网络 IP 地址、网关 IP 地址和网络掩码。选择将流量路由到定义的网络要经过的设备(减号代表任何设备)。要忽略这些值中的任何值,请使用减号 -。要在表中输入默认网关,请在目标字段中使用默认

    注意
    注意:路由优先级

    如果使用更多的默认路由,则可以指定用于确定具有更高优先级的路由的度量选项。要指定度量选项,请在选项中输入 - metric NUMBER。默认情况下使用具有最高度量的路由。如果网络设备已断开连接,则删除其路由并使用下一个路由。但是,当前内核不在静态路由中使用度量,只有 multipathd 等路由守护程序使用度量。

  4. 如果系统是路由器,请根据需要在网络设置中启用 IPv4 转发IPv6 转发

  5. 要激活该配置,请确认设置。

16.4.2 IBM z Systems:配置网络设备

SUSE Linux Enterprise Server for IBM z Systems 支持多种类型的网络接口。可使用 YaST 来对所有这些接口进行配置。

16.4.2.1 qeth-hsi 设备

要将 qeth-hsi (Hipersockets) 接口添加到安装的系统中,请启动 YaST 中的系统 ›  网络设置模块。选择标记为 Hipersocket 的设备之一以用作 READ 设备地址,然后单击编辑。输入设备编号供读、写和控制通道(例如设备编号格式:0.0.0800)。然后单击“下一步”。在网络地址设置对话框中,为新接口指定 IP 地址和网络掩码,然后单击下一步确定退出网络配置。

16.4.2.2 qeth-ethernet 设备

要将 qeth-ethernet(IBM OSA Express 以太网卡)接口添加到安装的系统中,请启动 YaST 中的系统 ›  网络设置模块。选择标有 IBM OSA 快速以太网卡的任一设备以用作“读”设备地址并单击编辑。输入设备编号供读、写和控制通道(例如设备编号格式:0.0.0700)。输入所需端口名称、端口号(如果适用)和一些其他选项(请参见 http://www.ibm.com/developerworks/linux/linux390/documentation_suse.html 上的《Linux for IBM z Systems: Device Drivers, Features, and Commands》(Linux for IBM z Systems:设备驱动程序、功能和命令)参考手册)、您的 IP 地址及相应的网络掩码。单击下一步确定退出网络配置。

16.4.2.3 ctc 设备

要将 ctc(IBM 并行 CTC 适配器)接口添加到安装的系统中,请启动 YaST 中的系统 ›  网络设置模块。选择标记为 IBM 并行 CTC 适配器的设备之一,用作读取通道,然后单击配置。选择适合您设备的 设备设置(通常为兼容性方式)。指定您的 IP 地址和远程合作伙伴的 IP 地址。如果需要,可使用高级 › 详细设置调整 MTU 的大小。单击下一步确定退出网络配置。

警告
警告:不再支持 CTC

不建议使用此接口。未来版本的 SUSE Linux Enterprise Server 将不支持此接口。

16.4.2.4 lcs 设备

要将 lcs(IBM OSA-2 适配器)接口添加到安装的系统中,请启动 YaST 中的系统 ›  网络设置模块。选择标记为 IBM OSA-2 适配器的设备之一,然后单击配置。输入所需端口号、一些其他选项(请参见 http://www.ibm.com/developerworks/linux/linux390/documentation_suse.html 上的《Linux for IBM z Systems: Device Drivers, Features, and Commands》(Linux for IBM z Systems:设备驱动程序、功能和命令)参考手册)、您的 IP 地址及相应的网络掩码。单击下一步确定退出网络配置。

16.4.2.5 IUCV 设备

要将 iucv (IUCV) 接口添加到安装的系统中,请启动 YaST 中的系统 ›  网络设置模块。选择标记为 IUCV 的设备并单击编辑。YaST 会提示您输入 IUCV 合作伙伴(同级)的名称。输入该名称(此项区分大小写),然后选择下一步。指定您的合作伙伴的 IP 地址远程 IP 地址。如果需要,在常规选项卡上设置 MTU 大小。单击下一步确定退出网络配置。

警告
警告:不再支持 IUCV

不建议使用此接口。未来版本的 SUSE Linux Enterprise Server 将不支持此接口。

16.5 手动配置网络连接

应该将手动配置网络软件作为最后的选择。建议使用 YaST。但是,对网络配置背景信息的了解将对您使用 YaST 有所帮助。

16.5.1 wicked 网络配置

名为 wicked 的工具和库提供了一个用于配置网络的新框架。

传统网络接口管理面临的其中一项挑战是,各种不同的网络管理层混杂在一个脚本中,最多在两个不同的脚本中。这些脚本彼此之间如何交互没有明确的定义。这会导致出现无法预测的问题、模糊的约束和约定等情况。针对各种不同的情况部署多个特殊入侵层增大了维护负担。所用的地址配置协议是通过 dhcpcd 等守护程序实现的,而这些守护程序与基础架构中其他组件的交互很不通畅。为了持续识别接口,引入了新潮的接口命名模式,而这需要繁重的 udev 支持。

wicked 的理念是通过多种方式剖析问题。它没有采用任何全新的技术,而是尝试将不同项目中的观点集中起来,以建立一个更好的整体解决方案。

实现此目的的方法之一是使用客户端/服务器模型。wicked 可借此为地址配置等任务定义能够很好地集成到整个框架中的标准化工具。例如,使用特定的地址配置时,管理员可能要求应该通过 DHCP 或 IPv4 zeroconf 配置接口。在这种情况下,地址配置服务只会从它的服务器获得租用,并传递到安装了所请求地址和路由的 wicked 服务器进程。

剖析问题的另一种方法是强制实施分层机制。对于任何类型的网络接口,都可以定义一个 dbus 服务,用于配置网络接口的设备层 — VLAN、桥接、绑定或超虚拟化设备。地址配置等常用功能通过在这些设备特定的服务基础上分层的联合服务实现,您不必专门实施这些功能。

wicked 框架使用各种 dbus 服务来实现这两个方面的功能,这些服务将会根据其类型挂接到网络接口。本文提供了 wicked 中的当前对象层次的简要概述。

每个网络接口以 /org/opensuse/Network/Interfaces 的子对象表示。该子对象的名称由其 ifindex 指定。例如,ifindex 通常为 1 的回写接口是 /org/opensuse/Network/Interfaces/1,注册的第一个以太网接口是 /org/opensuse/Network/Interfaces/2

每个网络接口都有一个关联的,该类用于选择该接口支持的 dbus 接口。默认情况下,每个网络接口的类为 netif,wickedd 将自动挂接与此类兼容的所有接口。在当前实施中,这些兼容的接口包括:

org.opensuse.Network.Interface

一般网络接口功能,例如,打开或关闭链路、指派 MTU 等

org.opensuse.Network.Addrconf.ipv4.dhcp, org.opensuse.Network.Addrconf.ipv6.dhcp, org.opensuse.Network.Addrconf.ipv4.auto

适用于 DHCP、IPv4 zeroconf 等的地址配置服务

除此之外,网络接口可能还需要或者提供特殊的配置机制。例如,对于某个以太网设备,您应该能够控制链路速度、校验和卸载等。为了实现此目的,以太网设备都有一个名为 netif-ethernet 的自己的类,该类属于 netif 的子类。因此,指派给以太网接口的 dbus 接口具有上面列出的所有服务以及 org.opensuse.Network.Ethernet 服务,后者只适用于属于 netif-ethernet 类的对象。

同样,桥接、VLAN、绑定或 infiniband 等接口类型也存在适用类。

您要如何与某个首先需要创建的接口(例如 VLAN,它实际上是位于以太网设备上的虚拟网络接口)交互呢?为此,wicked 定义了出厂接口,例如 org.opensuse.Network.VLAN.Factory。这种出厂接口只提供单一功能,就是让您创建所请求类型的接口。这些出厂接口将挂接到 /org/opensuse/Network/Interfaces 列表节点。

16.5.1.1 wicked 体系结构和功能

图 16.4 “wicked 体系结构”中所述,wicked 服务由几个部分组成。

wicked 体系结构
图 16.4︰ wicked 体系结构

wicked 目前支持以下功能:

  • 使用配置文件后端来分析 SUSE 样式的 /etc/sysconfig/network 文件。

  • 使用内部配置后端以 XML 格式表示网络接口配置。

  • 打开和关闭常规网络接口,例如以太网或 InfiniBand,VLAN、网桥、绑定、tun、tap、虚设设备、macvlan、macvtap、hsi、qeth、iucv 和无线(当前限制为一个 wpa-psk/eap 网络)设备。

  • 内置 DHCPv4 客户端和内置 DHCPv6 客户端。

  • 默认启动的 nanny 守护程序有助于在设备可用(接口热插入)时自动激活配置的接口,以及在检测到链路(载波)时设置 IP 配置。有关详细信息,请参见 第 16.5.1.3 节 “Nanny”

  • wicked 过去是以与 systemd 集成的 DBus 服务组形式来实现的。因此,一般的 systemctl 命令将会适用于 wicked

16.5.1.2 使用 wicked

SUSE Linux Enterprise 上默认会运行 wicked。如果您要检查当前启用了哪个组件以及该组件是否正在运行,请调用:

在 openSUSE Leap 上,wicked 默认在台式机或服务器硬件上运行。在移动硬件上,NetworkManager 默认会运行。如果您要检查当前启用了哪个组件以及该组件是否正在运行,请调用:

systemctl status network

如果已启用 wicked,您将看到类似于下面的行:

wicked.service - wicked managed network interfaces
    Loaded: loaded (/usr/lib/systemd/system/wicked.service; enabled)
    ...

如果运行的是其他组件(例如 NetworkManager)并且您想切换到 wicked,请先停止正在运行的组件,然后启用 wicked

systemctl is-active network && \
systemctl stop      network
systemctl enable --force wicked

如此会启用 wicked 服务、创建从 network.servicewicked.service 的别名链路,并在下次引导时启动网络。

启动服务器进程:

systemctl start wickedd

这将会启动 wickedd(主服务器)和关联的请求方:

/usr/lib/wicked/bin/wickedd-auto4 --systemd --foreground
/usr/lib/wicked/bin/wickedd-dhcp4 --systemd --foreground
/usr/lib/wicked/bin/wickedd-dhcp6 --systemd --foreground
/usr/sbin/wickedd --systemd --foreground
/usr/sbin/wickedd-nanny --systemd --foreground

然后激活网络:

systemctl start wicked

或者使用 network.service 别名:

systemctl start network

这些命令使用 /etc/wicked/client.xml 中定义的默认配置源或系统配置源。

要启用调试,请在 /etc/sysconfig/network/config 中设置 WICKED_DEBUG,例如:

WICKED_DEBUG="all"

或者,要省略一些信息:

WICKED_DEBUG="all,-dbus,-objectmodel,-xpath,-xml"

使用客户端实用程序显示所有接口的接口信息,或者显示以 IFNAME 指定的接口的接口信息:

wicked show all
wicked show IFNAME

XML 格式的输出:

wicked show-xml all
wicked show-xml IFNAME

打开一个接口:

wicked ifup eth0
wicked ifup wlan0
...

由于未指定配置源,wicked 客户端将检查 /etc/wicked/client.xml 中为它定义的默认配置源:

  1. firmware:iSCSI 引导固件表 (iBFT)

  2. compat: ifcfg 文件 — 为兼容性而实施

将会应用 wicked 从指定接口的这些源中获取的任何设置。预期的重要性顺序为 firmwarecompat - 将来此顺序可能会发生变化。

有关更多信息,请参见 wicked 手册页。

16.5.1.3 Nanny

Nanny 是一个事件与策略驱动的守护程序,负责热插拔设备等异步或被动性方案。因此,Nanny 守护程序可帮助启动或者重启动延迟的设备或临时消失的设备。Nanny 将监视设备和链路变化,并集成当前策略集定义的新设备。即使 ifup 已经因指定的超时约束而退出,Nanny 也会继续设置。

默认情况下,Nanny 守护程序在系统上处于活动状态。您可在 /etc/wicked/common.xml 配置文件中启用它:

<config>
  ...
  <use-nanny>true</use-nanny>
</config>

如果使用此设置,ifup 和 ifreload 会将包含有效配置的策略应用到 Nanny 守护程序;然后,Nanny 将配置 wickedd,从而确保支持热插拔。它将在后台等待事件或更改(例如,打开新的设备或载体)。

16.5.1.4 打开多个接口

对于绑定和网桥,有效的做法是在一个文件 (ifcfg-bondX) 中定义整个设备拓扑,并一次性将它激活。然后,当您指定(网桥或绑定的)顶级接口名称时,wicked 可以激活整个配置:

wicked ifup br0

此命令会按适当的顺序自动设置网桥及其依赖项,而无需分别列出依赖项(端口等)。

要在一个命令中激活多个接口:

wicked ifup bond0 br0 br1 br2

要激活所有接口:

wicked ifup all

16.5.1.5 通过 Wicked 使用隧道

如果您需要将隧道与 Wicked 结合使用,可以使用专门针对此用途的 TUNNEL_DEVICE。它可让您指定一个可选的设备名称,以将隧道绑定至该设备。隧道式包将只能通过此设备路由。

有关详细信息,请参见 man 5 ifcfg-tunnel

16.5.1.6 处理增量变化

有了 wicked,当您要重新配置某个接口时,并不需要真正将它关闭(除非内核有此要求)。例如,要将另一个 IP 地址或路由添加到静态配置的网络接口,请将该 IP 地址添加到接口定义,然后再次执行ifup操作。服务器会尽量做到只更新那些已更改的设置。这适用于链路级选项,例如设备 MTU 或 MAC 地址;也适用于网络级设置,例如地址、路由,甚至地址配置模式(例如,从静态配置转为 DHCP 时)。

当然,对于合并了多个实体设备(例如桥接或绑定设备)的虚拟接口,事情会变得有些棘手。对于绑定设备,当设备运行时,您无法更改某些参数,否则会导致出错。

但是,您仍可以添加或去除绑定设备或桥接的子设备,或者选择绑定设备的主接口。

16.5.1.7 Wicked 扩展:地址配置

wicked 设计为使用外壳脚本扩展。这些扩展可在 config.xml 文件中定义。

目前支持多个种类的扩展:

  • 链路配置:这些脚本负责根据客户端提供的配置来设置设备的链路层,以及负责将链路层再次拆解。

  • 地址配置:这些脚本负责管理设备的地址配置。通常,地址配置和 DHCP 由 wicked 自身管理,但是,可借助扩展来实现。

  • 防火墙扩展:这些脚本可以应用防火墙规则。

通常,扩展中包含一个启动命令和一个停止命令、一个可选的pid 文件,以及传递给脚本的一组环境变量。

为了演示此扩展的工作原理,请查看 etc/server.xml 中定义的防火墙扩展:

<dbus-service interface="org.opensuse.Network.Firewall">
 <action name="firewallUp"   command="/etc/wicked/extensions/firewall up"/>
 <action name="firewallDown" command="/etc/wicked/extensions/firewall down"/>

 <!-- default environment for all calls to this extension script -->
 <putenv name="WICKED_OBJECT_PATH" value="$object-path"/>
 <putenv name="WICKED_INTERFACE_NAME" value="$property:name"/>
 <putenv name="WICKED_INTERFACE_INDEX" value="$property:index"/>
</dbus-service>

该扩展附加到 <dbus-service> 标记,并定义针对此接口的操作应执行的命令。此外,声明可以定义并初始化传递给操作的环境变量。

16.5.1.8 Wicked 扩展:配置文件

您也可以使用脚本来扩展配置文件的处理。例如,extensions/resolver 脚本根据 server.xml 中配置的行为来最终处理租用中的 DNS 更新:

<system-updater name="resolver">
 <action name="backup" command="/etc/wicked/extensions/resolver backup"/>
 <action name="restore" command="/etc/wicked/extensions/resolver restore"/>
 <action name="install" command="/etc/wicked/extensions/resolver install"/>
 <action name="remove" command="/etc/wicked/extensions/resolver remove"/>
</system-updater>

wickedd 中收到更新时,系统更新程序例程将分析租用,并调用解析程序脚本中的适当命令(backupinstall等)。此后便可以使用 /sbin/netconfig 或者通过手动写入 /etc/resolv.conf(作为回退)来配置 DNS 设置。

16.5.2 配置文件

本节对网络配置文件进行了概述并解释了它们的作用和所使用的格式。

16.5.2.1 /etc/wicked/common.xml

/etc/wicked/common.xml 文件包含所有应用程序应使用的通用定义。该文件源自/包含在此目录中的其他配置文件中。尽管您可以使用此文件允许在所有 wicked 组件间进行调试,但建议使用 /etc/wicked/local.xml 文件来实现此目的。应用维护更新后,您所做的更改可能会丢失,因为 /etc/wicked/common.xml 可能会被覆盖。/etc/wicked/common.xml 文件包含默认安装中的 /etc/wicked/local.xml,因此您通常不需要修改 /etc/wicked/common.xml

如果要通过将 <use-nanny> 设置为 false 来禁用 nanny,请重启动 wickedd.service,然后运行以下命令以应用所有配置和策略:

wicked ifup all
注意
注意:配置文件

如果 wickeddwickednanny 程序自身的配置文件不存在,则会尝试读取 /etc/wicked/common.xml

16.5.2.2 /etc/wicked/server.xml

wickedd 服务器进程会在启动时读取文件 /etc/wicked/server.xml。该文件将扩展储存到 /etc/wicked/common.xml 中。除此之外,此文件可配置解析程序的处理方式,以及从 addrconf 请求方(例如 DHCP)接收信息的方式。

建议您将需要对此文件进行的所有更改都添加到单独的文件 /etc/wicked/server-local.xml/etc/wicked/server.xml )。使用单独的文件可避免在维护更新期间覆盖您的更改。

16.5.2.3 /etc/wicked/client.xml

/etc/wicked/client.xmlwicked 命令使用。该文件指定发现 ibft 管理的设备时所用脚本的位置,并可配置网络接口配置的位置。

建议您将需要对此文件进行的所有更改都添加到单独的文件 /etc/wicked/client-local.xml/etc/wicked/server.xml 会包含该文件的内容)。使用单独的文件可避免在维护更新期间覆盖您的更改。

16.5.2.4 /etc/wicked/nanny.xml

/etc/wicked/nanny.xml 配置链接层的类型。建议您将特定配置添加到单独的文件 /etc/wicked/nanny-local.xml 中,以免在维护更新期间丢失更改。

16.5.2.5 /etc/sysconfig/network/ifcfg-*

这些文件包含网络接口的传统配置。在 SUSE Linux Enterprise 11 中,这是除 iBFT 固件以外唯一支持的格式。

注意
注意:wickedifcfg-* 文件

如果您指定 compat: 前缀,wicked 将读取这些文件。根据 /etc/wicked/client.xmlSUSE Linux Enterprise Server 的默认配置,wicked 将尝试先读取这些文件,然后再读取 /etc/wicked/ifconfig 中的 XML 配置文件。

通常,提供 --ifconfig 开关仅用于测试。如果指定该开关,则不会应用 /etc/wicked/ifconfig 中定义的默认配置源。

ifcfg-* 文件包含启动模式和 IP 地址等信息。可能的参数在 ifup 的手册页中有所介绍。此外,如果一个常规设置只能用于一个接口,则文件 dhcpwireless 中的大多数变量可用于 ifcfg-* 文件。但是,/etc/sysconfig/network/config 中的大多数变量是全局变量,不能在 ifcfg-files 中被覆盖。例如,NETCONFIG_* 变量是全局变量。

要配置 macvlanmacvtab 接口,请参见 ifcfg-macvlanifcfg-macvtap 手册页。例如,对于 macvlan 接口,请提供使用以下设置的 ifcfg-macvlan0

STARTMODE='auto'
MACVLAN_DEVICE='eth0'
#MACVLAN_MODE='vepa'
#LLADDR=02:03:04:05:06:aa

有关 ifcfg.template 的信息,请参见第 16.5.2.6 节 “/etc/sysconfig/network/config/etc/sysconfig/network/dhcp/etc/sysconfig/network/wireless

System z IBM z Systems 不支持 USB。接口文件的名称和网络别名包含特定于 z Systems 的元素,例如 qeth

16.5.2.6 /etc/sysconfig/network/config/etc/sysconfig/network/dhcp/etc/sysconfig/network/wireless

文件 config 包含 ifupifdownifstatus 行为的常规设置。dhcp 包含用于无线 LAN 卡的 DHCP 和 wireless 设置。所有三个配置文件中的变量均已注释掉。/etc/sysconfig/network/config 中的一些变量也可用于 ifcfg-* 文件,在这些文件中它们具有更高优先级。/etc/sysconfig/network/ifcfg.template 文件列出可以按接口指定的变量。但是,/etc/sysconfig/network/config 中的大多数变量是全局变量,不能在 ifcfg-files 中被覆盖。例如,NETWORKMANAGERNETCONFIG_* 变量是全局变量。

注意
注意:使用 DHCPv6

SUSE Linux Enterprise 11 中,即使是在未正确配置 IPv6 路由器广播 (RA) 的网络中,DHCPv6 一向也能正常工作。从 SUSE Linux Enterprise 12 开始,DHCPv6 将适当地要求网络中至少有一个路由器发出 RA,用于指示此网络由 DHCPv6 管理。

对于无法在其中正确配置路由器的网络,用户可以通过在 ifcfg 文件中指定 DHCLIENT6_MODE='managed',使用 ifcfg 选项来覆盖此行为。您也可以在安装系统中使用引导参数来启用这种解决方法:

ifcfg=eth0=dhcp6,DHCLIENT6_MODE=managed

16.5.2.7 /etc/sysconfig/network/routes/etc/sysconfig/network/ifroute-*

TCP/IP 包的静态路由是 /etc/sysconfig/network/routes/etc/sysconfig/network/ifroute-* 文件确定的。可以在 /etc/sysconfig/network/routes 中指定各种系统任务所需的所有静态路由:主机的路由、主机通过网关的路由以及网络的路由。对于需要个别路由的每个接口,定义另一个配置文件:/etc/sysconfig/network/ifroute-*。将通配符 (*) 替换为接口名称。路由选择配置文件中的项如下所示:

# Destination     Gateway           Netmask            Interface  Options

路由目标位于首列。此列可以包含网络或主机的 IP 地址,或者在有可访问名称服务器时,包含完全限定的网络或主机名。应该以 CIDR 表示法(地址加上关联的路由前缀长度)输入网络名称,例如 10.10.0.0/16(对于 IPv4 路由)或 fc00::/7(对于 IPv6 路由)。关键字 default 表示该路由是与网关位于相同地址系列中的默认网关。对于没有网关的设备,请使用显式 0.0.0.0/0 或 ::/0 目标。

第二列包含默认网关或通过其可访问主机或网络的网关。

第三列已弃用;它用于包含目标的 IPv4 网络掩码。对于 IPv6 路由、默认路由,或者如果在第一列中使用了前缀长度(CIDR 表示法),请在此处输入破折号 (-)。

第四列包含接口名称。如果使用破折号 (-) 将它保留空白,可能会导致 /etc/sysconfig/network/routes 出现意外的行为。有关更多信息,请参见 routes 手册页。

第五列(可选)可用于指定特殊选项。有关详细信息,请参见 routes 手册页。

例 16.5︰ 通用网络接口和部分静态路由
# --- IPv4 routes in CIDR prefix notation:
# Destination     [Gateway]         -                  Interface
127.0.0.0/8       -                 -                  lo
204.127.235.0/24  -                 -                  eth0
default           204.127.235.41    -                  eth0
207.68.156.51/32  207.68.145.45     -                  eth1
192.168.0.0/16    207.68.156.51     -                  eth1

# --- IPv4 routes in deprecated netmask notation"
# Destination     [Dummy/Gateway]   Netmask            Interface
#
127.0.0.0         0.0.0.0           255.255.255.0      lo
204.127.235.0     0.0.0.0           255.255.255.0      eth0
default           204.127.235.41    0.0.0.0            eth0
207.68.156.51     207.68.145.45     255.255.255.255    eth1
192.168.0.0       207.68.156.51     255.255.0.0        eth1

# --- IPv6 routes are always using CIDR notation:
# Destination     [Gateway]                -           Interface
2001:DB8:100::/64 -                        -           eth0
2001:DB8:100::/32 fe80::216:3eff:fe6d:c042 -           eth0

16.5.2.8 /etc/resolv.conf

主机所属的域在 /etc/resolv.conf 中指定(关键字 search)。使用 search 选项最多可以指定六个域,总共 256 个字符。当解析不是完全限定的名称时,将尝试通过附加单独的 search 项生成一个完全限定的名称。使用 nameserver 选项最多可以指定 3 个名称服务器,每行指定一个。注释以井号或分号(#;)开头。有关示例,请参见例 16.6 “/etc/resolv.conf

但是,/etc/resolv.conf 不应手动编辑。而是由 netconfig 脚本生成。要定义静态 DNS 配置而不使用 YaST,请手动编辑 /etc/sysconfig/network/config 文件中的相应变量:

NETCONFIG_DNS_STATIC_SEARCHLIST

用于主机名查找的 DNS 域名列表

NETCONFIG_DNS_STATIC_SERVERS

用于主机名查找的名称服务器 IP 地址列表

NETCONFIG_DNS_FORWARDER

需要配置的 DNS 转发器名称,例如 bindresolver

NETCONFIG_DNS_RESOLVER_OPTIONS

将写入到 /etc/resolv.conf 的任意选项,例如:

debug attempts:1 timeout:10

有关更多信息,请参见 resolv.conf 手册页。

NETCONFIG_DNS_RESOLVER_SORTLIST

最多包含 10 项的列表,例如:

130.155.160.0/255.255.240.0 130.155.0.0

有关更多信息,请参见 resolv.conf 手册页。

要使用 netconfig 禁用 DNS 配置,请设置 NETCONFIG_DNS_POLICY=''。有关 netconfig 的更多信息,请参见 netconfig(8) 手册页 (man 8 netconfig)。

例 16.6︰ /etc/resolv.conf
# Our domain
search example.com
#
# We use dns.example.com (192.168.1.116) as nameserver
nameserver 192.168.1.116

16.5.2.9 /sbin/netconfig

netconfig 是一个用于管理附加网络配置设置的模块化工具。它合并了静态定义的设置和自动配置机制根据预定义策略以 DHCP 或 PPP 形式提供的设置。通过调用负责修改配置文件和重启动服务或相似操作的 netconfig 模块将所需更改应用于系统。

netconfig 识别三种主要操作。netconfig modifynetconfig remove 命令由诸如 DHCP 或 PPP 的守护程序用于在 netconfig 中提供设置或从中删除设置。仅 netconfig update 命令可用于用户:

modify

netconfig modify 命令修改特定于当前接口和服务的动态设置并更新网络配置。Netconfig 会从标准输入或从使用 --lease-file FILENAME 选项指定的文件中读取设置,并将其储存在内部,直到系统重引导(或者执行下一个修改或删除操作)为止。已存在的相同接口和服务组合设置将会重写。该接口由 -i INTERFACE_NAME 参数指定。该服务由 -s SERVICE_NAME 参数指定。

remove

netconfig remove 命令为指定接口和服务组合删除由修改操作提供的动态设置并更新网络配置。该接口由 -i INTERFACE_NAME 参数指定。该服务由 -s SERVICE_NAME 参数指定。

update

netconfig update 命令使用当前设置更新网络配置。当策略或静态配置更改时,这非常有用。如果想要只更新指定服务(dnsnisntp),请使用 -m MODULE_TYPE 参数。

netconfig 策略和静态配置设置可手动定义或者使用 YaST 在 /etc/sysconfig/network/config 文件中定义。自动配置工具(例如 DHCP 或 PPP)提供的动态配置设置由这些工具通过 netconfig modifynetconfig remove 操作直接递送。启用 NetworkManager 时,netconfig(在策略模式 auto 中)仅使用 NetworkManager 设置,忽略使用传统 ifup 方法配置的任何其他接口的设置。如果 NetworkManager 未提供任何设置,将使用静态设置作为后备设置。不支持混合使用 NetworkManager 和 wicked 方法。

有关 netconfig 的更多信息,请参见 man 8 netconfig

16.5.2.10 /etc/hosts

在此文件中,如例 16.7 “/etc/hosts中所示,将为主机名指派 IP 地址。如果未实施名称服务器,则将与其建立 IP 连接的所有主机必须列在此处。在此文件中为每个主机输入一行数据,包含 IP 地址、完全限定的主机名和主机名。IP 地址必须在每行的开头,各项用空格和制表符隔开。注释总是以 # 符号开头。

例 16.7︰ /etc/hosts
127.0.0.1 localhost
192.168.2.100 jupiter.example.com jupiter
192.168.2.101 venus.example.com venus

16.5.2.11 /etc/networks

在这里,网络名称被转换为网络地址。格式类似于 hosts 文件的格式,只是网络名称在地址的前面。请参见例 16.8 “/etc/networks

例 16.8︰ /etc/networks
loopback     127.0.0.0
localnet     192.168.0.0

16.5.2.12 /etc/host.conf

此文件控制名称解析,即通过解析程序库转换主机名和网络名称。此文件只用于链接到 libc4 或 libc5 的程序。对于当前的 glibc 程序,请参见 /etc/nsswitch.conf 中的设置。每个参数都必须始终在单独的一行中输入。注释以 # 符号开头。表 16.2 “/etc/host.conf 的参数” 显示了可用的参数。例 16.9 “/etc/host.conf 中显示了 /etc/host.conf 的示例。

表 16.2︰ /etc/host.conf 的参数

order hostsbind

指定访问服务以进行名称解析的顺序。可用参数有(使用空格或逗号隔开):

hosts:搜索 /etc/hosts 文件

bind:访问名称服务器

nis:使用 NIS

multi on/off

定义 /etc/hosts 中输入的主机是否可以具有多个 IP 地址。

nospoof on spoofalert on/off

这些参数影响名称服务器 spoofing,但对网络配置没有任何影响。

trim domainname

在主机名解析后,指定的域名将与主机名分开(前提是主机名包含域名)。此选项仅当本地域名在 /etc/hosts 文件中时才有用,但仍应通过附带的域名进行识别。

例 16.9︰ /etc/host.conf
# We have named running
order hosts bind
# Allow multiple address
multi on

16.5.2.13 /etc/nsswitch.conf

GNU C Library 2.0 的引入与 名称服务转换 (NNS) 的引入是同时进行的。有关详细信息,请参见 nsswitch.conf(5) 手册页和《GNU C 库参考手册》。

查询的顺序是在文件 /etc/nsswitch.conf 中定义的。例 16.10 “/etc/nsswitch.conf 中显示了 nsswitch.conf 的示例。注释以 # 符号开头。在本例中,hosts 数据库下的项意味着通过 DNS(请参见第 25 章 “域名系统将请求发送到 /etc/hosts (files)。

例 16.10︰ /etc/nsswitch.conf
passwd:     compat
group:      compat

hosts:      files dns
networks:   files dns

services:   db files
protocols:  db files
rpc:        files
ethers:     files
netmasks:   files
netgroup:   files nis
publickey:  files

bootparams: files
automount:  files nis
aliases:    files nis
shadow:     compat

表 16.3 “通过 /etc/nsswitch.conf 可用的数据库” 中列出了 NSS 上可用的数据库表 16.4 “NSS数据库的配置选项” 中列出了 NSS 数据库的配置选项。

表 16.3︰ 通过 /etc/nsswitch.conf 可用的数据库

aliases

sendmail 实施的邮件别名;请参见 man5 aliases

ethers

以太网地址。

netmasks

网络及其子网掩码的列表。只有在使用子网划分时才需要。

group

getgrent 使用的用户组。另请参见 group 的手册页。

hosts

gethostbyname 和类似函数使用的主机名和 IP 地址。

netgroup

网络中用于控制访问权限的有效主机和用户列表,请参见 netgroup(5) 手册页。

networks

getnetent 使用的网络名称和地址。

publickey

NFS 和 NIS+ 使用的 Secure_RPC 的公钥和密钥。

password

getpwent 使用的用户口令;请参见 passwd(5) 手册页。

protocols

网络协议,由 getprotoent 使用;请参见 protocols(5) 手册页。

rpc

getrpcbyname 和类似函数使用的远程过程调用名称和地址。

services

getservent 使用的网络服务。

shadow

用户阴影口令,由 getspnam 使用;请参见 shadow(5) 手册页。

表 16.4︰ NSS数据库的配置选项

files

直接访问文件,例如 /etc/aliases

db

通过数据库访问

nisnisplus

NIS,另请参见Book “Security Guide”, Chapter 3 “Using NIS”

dns

仅可用作 hostsnetworks 的扩展名

compat

仅可用作 passwdshadowgroup 的扩展名

16.5.2.14 /etc/nscd.conf

此文件用于配置 nscd(名称服务缓存守护程序)。请参见 nscd(8)nscd.conf(5) 手册页。默认情况下,passwdgroupshosts 的系统项由 nscd 进行缓存。这对 NIS 和 LDAP 等目录服务的性能而言非常重要,否则,每次访问名称、组或主机都需要网络连接。

如果激活 passwd 的缓存,则通常需要 15 秒才能识别新添加的本地用户。使用以下命令重启动 nscd,缩短这段等待时间:

systemctl restart nscd

16.5.2.15 /etc/HOSTNAME

/etc/HOSTNAME 包含完全限定的主机名 (FQHN)。完全限定的主机名是附有域名的主机名。此文件只能包含一行(在此行中设置主机名)。计算机引导时会读取此文件。

16.5.3 测试配置

向配置文件写配置之前,可对其进行测试。要设置测试配置,请使用 ip 命令。要测试连接,请使用 ping 命令。

命令 ip 会直接更改网络配置,而不会将其保存到配置文件中。如果未在正确的配置文件中输入配置,重引导时将丢失已更改的网络配置。

注意
注意:ifconfigroute 已过时

ifconfigroute 工具已过时。请改为使用 ip。例如,ifconfig 会将接口名限制为 9 个字符。

16.5.3.1 使用 ip 配置网络接口

ip 是用来显示和配置网络设备、路由选择、策略路由选择以及隧道的工具。

ip 是非常复杂的工具。它的常用语法为 ip OPTIONS OBJECT COMMAND。可使用以下对象:

link

此对象表示网络设备。

address

此对象表示设备的 IP 地址。

neighbor

此对象表示 ARP 或 NDISC 超速缓存项。

route

此对象表示路由选择表项。

rule

此对象表示路由选择策略数据库中的规则。

maddress

此对象表示多路广播地址。

mroute

此对象表示多路广播路由缓存项。

tunnel

此对象表示 IP 上的隧道。

如果未提供命令,则将使用默认命令(通常为 list)。

使用 ip link set DEVICE_NAME  命令更改设备的状态。例如,要停用设备 eth0,请输入 ip link set eth0 down。要重激活它,可使用 ip link set eth0 up

激活设备后,可对设备进行配置。要设置 IP 地址,可使用 ip addr add IP_ADDRESS + dev DEVICE_NAME。例如,要将接口 eth0 的地址设置为带标准广播(选项 brd)的 192.168.12.154/30,则输入 ip addradd 192.168.12.154/30 brd + dev eth0

要拥有活动连接,还必须配置默认网关。要设置系统的网关,请输入 ip route addgateway_ip_address。要将一个 IP 地址转换为另一个 IP 地址,请使用 nat: ip route add nat ip_address via other_ip_address

要显示所有设备,可使用 ip link ls。要只显示正在运行的接口,可使用 ip link ls up。要打印设备的接口统计信息,可输入 ip -s link lsdevice_name。要查看设备的地址,请输入 ip addr。在 ip addr 的输出中,还可找到有关设备 MAC 地址的信息。要显示所有路由,可使用 ip route show

有关使用 ip 的更多信息,请输入 ip help 或参见 ip(8) 手册页。help 选项还可用于所有 ip 子命令。例如,如果需要有关 ip addr 的帮助,请输入 ip addr help。可在 /usr/share/doc/packages/iproute2/ip-cref.pdf 中找到 ip 手册。

16.5.3.2 使用 ping 测试连接

ping 命令是用于测试 TCP/IP 连接是否有效的标准工具。它使用 ICMP 协议来将小数据包和 ECHO_REQUEST 数据报文发送到目标主机,并请求即时答复。如果成功,ping 将显示表示这一结果的消息。这表示网络链路正在运作。

ping 不仅能测试两台计算机之间的连接功能:它还能提供关于连接质量的一些基本信息。在例 16.11 “命令 ping 的输出” 中,可查看 ping 输出示例。倒数第二行包含有关已传输的包数、丢失的包和 ping 的总运行时间的信息。

因此,您可以使用主机名或 IP 地址(例如 ping example.comping 192.168.3.100)。程序会一直发送包,直到您按 CtrlC

如果只需要检查连接功能,则可使用 -c 选项来限制包数。例如,要将 ping 限制为三个包,请输入 ping -c 3 example.com

例 16.11︰ 命令 ping 的输出
ping -c 3 example.com
PING example.com (192.168.3.100) 56(84) bytes of data.
64 bytes from example.com (192.168.3.100): icmp_seq=1 ttl=49 time=188 ms
64 bytes from example.com (192.168.3.100): icmp_seq=2 ttl=49 time=184 ms
64 bytes from example.com (192.168.3.100): icmp_seq=3 ttl=49 time=183 ms
--- example.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2007ms
rtt min/avg/max/mdev = 183.417/185.447/188.259/2.052 ms

两个包之间的默认时间间隔为一秒。ping 提供了选项 -i 来更改间隔。例如,要将 ping 间隔增加到十秒,请输入 ping -i 10 example.com

在带有多个网络设备的系统中,有时通过特定接口地址发送 ping 将会非常有用。要执行此操作,可将 -I 选项结合选定设备名称一起使用,例如 ping -I wlan1 example.com

有关使用 ping 的更多选项和信息,请输入 ping-h 或查看 ping (8) 手册页。

提示
提示:Ping IPv6 地址

对于 IPv6 地址,请使用 ping6 命令。请注意,要 ping 本地链路地址,必须用 -I 指定接口。如果通过 eth1 可获取地址,则以下命令有效:

ping6 -I eth1 fe80::117:21ff:feda:a425

16.5.4 单元文件和启动脚本

除了上面介绍的配置文件之外,还存在一些负责在引导计算机时装载网络服务的 systemd 单元文件和多个脚本。系统切换到 multi-user.target 目标后,即会启动这些文件和脚本。网络程序的一些单元文件和启动脚本中介绍了其中的部分单元文件和脚本。有关 systemd 的更多信息,请参见第 13 章 “systemd 守护程序;有关 systemd 目标的更多信息,请参见 systemd.special 的手册页 (man systemd.special)。

网络程序的一些单元文件和启动脚本
network.target

network.target 是网络的 systemd 目标,但其具体含义取决于系统管理员提供的设置。

有关详细信息,请参见http://www.freedesktop.org/wiki/Software/systemd/NetworkTarget/

multi-user.target

multi-user.target 是包含所有必需网络服务的多用户系统的 systemd 目标。

xinetd

启动 xinetd。xinetd 可用于使服务器服务在系统上可用。例如,它可以在初始化 FTP 连接时启动 vsftpd。

rpcbind

启动用于将 RPC 程序号转换为通用地址的 rpcbind 实用程序。它是 RPC 服务所必需的,如 NFS 服务器。

ypserv

启动 NIS 服务器。

ypbind

启动 NIS 客户端。

/etc/init.d/nfsserver

启动 NFS 服务器。

/etc/init.d/postfix

控制 postfix 进程。

16.6 路由器基本设置

路由器是一种联网设备,可收发往来于多个网络的数据(网络包)。路由器常用于将本地网络连接到远程网络(因特网)或连接多个本地网段。通过 SUSE Linux Enterprise Server,您可以构建一个具备 NAT(网络地址转换)或高级防火墙等功能的路由器。

下面是将 SUSE Linux Enterprise Server 转变为路由器的基本步骤。

  1. 例如,在 /etc/sysctl.d/50-router.conf 中启用转发

    net.ipv4.conf.all.forwarding = 1
    net.ipv6.conf.all.forwarding = 1

    然后提供接口的静态 IPv4 和 IPv6 IP 设置。启用转发会禁用多种机制,例如,IPv6 不再接受 IPv6 RA(路由器广告),这也会阻止创建默认路由。

  2. 在许多情况下,例如,当您可以通过多个接口连接同一个网络,或者通常使用的是 VPN(已位于常规多宿主主机上)时,必须禁用 IPv4 反向路径过滤(此功能当前不适用于 IPv6):

    net.ipv4.conf.all.rp_filter = 0

    您也可以改为通过防火墙设置进行过滤。

  3. 要从外部、上行或 ISP 接口上的路由器接受 IPv6 RA 并重新创建默认(或者更具特定性)的 IPv6 路由,请设置:

    net.ipv6.conf.${ifname}.accept_ra = 2
    net.ipv6.conf.${ifname}.autoconf = 0

    (注意:在以点分隔的 sysfs 路径中,eth0.42需写成 eth0/42。)

有关更多路由器行为和转发依赖项的信息,请参见 https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

要在内部 (DMZ) 接口上提供 IPv6 并将您自己通告为 IPv6 路由器,同时为客户端自动配置网络,请安装 radvd 并在 /etc/radvd.conf 中进行配置,例如:

interface eth0
{
    IgnoreIfMissing on;         # do not fail if interface missed

    AdvSendAdvert on;           # enable sending RAs
    AdvManagedFlag on;          # IPv6 addresses managed via DHCPv6
    AdvOtherConfigFlag on;      # DNS, NTP... only via DHCPv6

    AdvDefaultLifetime 3600;    # client default route lifetime of 1 hour

    prefix 2001:db8:0:1::/64    # (/64 is default and required for autoconf)
    {
        AdvAutonomous off;         # Disable address autoconf (DHCPv6 only)

        AdvValidLifetime 3600;     # prefix (autoconf addr) is valid 1 h
        AdvPreferredLifetime 1800; # prefix (autoconf addr) is prefered 1/2 h
    }
}

最后配置防火墙。在 SuSEfirewall2 中,您需要设置 FW_ROUTE="yes"(否则它将再次重设置转发 sysctl),并根据需要定义 FW_DEV_INTFW_DEV_EXT(和 FW_DEV_DMZ)区域变量中的接口,另外可能还需要定义 FW_MASQUERADE="yes"FW_MASQ_DEV

16.7 设置绑定设备

对于某些系统,需要实施高于典型以太网设备的标准数据安全性或可用性要求的网络连接。在这些情况下,可以将多个以太网设备聚合到单个绑定设备。

绑定设备的配置通过绑定模块选项来完成。其行为主要受绑定设备模式的影响。默认情况下是 active-backup,即如果活动从属设备发生故障,则另一个从属设备将变成活动从属设备。可用绑定模式如下:

0 (balance-rr)

数据包依次通过第一个到最后一个可用接口传输。提供容错和负载平衡。

1 (active-backup)

只有一个网络接口处于活动状态。如果它发生故障,另一个接口将变成活动状态。此设置是 SUSE Linux Enterprise Server 的默认设置。提供容错。

2 (balance-xor)

根据以下策略在所有可用接口间拆分通讯:[(source MAC address XOR'd with destination MAC address XOR packet type ID) modulo slave count] 需要交换机的支持。提供容错和负载平衡。

3 (broadcast)

在所有接口上广播所有通讯。需要交换机的支持。提供容错。

4 (802.3ad)

将接口聚合成共享相同速度和双工设置的组。需要接口驱动程序中的 ethtool 支持,以及支持 IEEE 802.3ad 动态链路聚合并进行了相应配置的交换机。提供容错和负载平衡。

5 (balance-tlb)

自适应传输负载平衡。需要接口驱动程序中的 ethtool 支持,但不需要交换机支持。提供容错和负载平衡。

6 (balance-alb)

自适应负载平衡。需要接口驱动程序中的 ethtool 支持,但不需要交换机支持。提供容错和负载平衡。

有关各种模式的详细说明,请参见https://www.kernel.org/doc/Documentation/networking/bonding.txt

提示
提示:绑定和 Xen

绑定设备只对于有多个真实网卡可用的计算机有效。这意味着在大多数配置中,您仅应在 Dom0 中使用绑定配置。换言之,只有当您将多个网卡指派给一个 VM Guest 系统时,在 VM Guest 中设置绑定才有效。

要配置绑定设备,请使用以下过程:

  1. 运行 YaST ›  系统 ›  网络设置

  2. 使用添加并将设备类型更改为绑定。单击下一步继续。

  3. 选择如何为绑定设备指派 IP 地址。有三种方法可供选择:

    • 无 IP 地址

    • 动态地址(使用 DHCP 或 Zeroconf)

    • 静态指派的 IP 地址

    请使用最适合您环境的方法。

  4. 绑定从属选项卡中,通过激活相关复选框选择应加入到绑定中的以太网设备。

  5. 编辑绑定驱动程序选项并选择绑定模式。

  6. 确保将参数 miimon=100 添加到绑定驱动程序选项。如果没有此参数,则不会定期检查数据完整性。

  7. 单击下一步,然后单击确定退出 YaST 以创建设备。

16.7.1 绑定从属的热插拔

在特定网络环境(如高可用性)下,有几种情况需要替换绑定从属接口。原因可能在于网络设备持续故障。解决方案是设置绑定从属的热插拔。

按常规配置绑定(按照 man 5 ifcfg-bonding),例如:

ifcfg-bond0
          STARTMODE='auto' # or 'onboot'
          BOOTPROTO='static'
          IPADDR='192.168.0.1/24'
          BONDING_MASTER='yes'
          BONDING_SLAVE_0='eth0'
          BONDING_SLAVE_1='eth1'
          BONDING_MODULE_OPTS='mode=active-backup miimon=100'

使用 STARTMODE=hotplugBOOTPROTO=none 指定从属:

ifcfg-eth0
          STARTMODE='hotplug'
          BOOTPROTO='none'

ifcfg-eth1
          STARTMODE='hotplug'
          BOOTPROTO='none'

BOOTPROTO=none 使用 ethtool 选项(如果提供),但不会在 ifup eth0 上设置链路,因为从属接口由绑定主接口控制。

STARTMODE=hotplug 会使从属接口在可用时自动加入绑定。

需要更改 /etc/udev/rules.d/70-persistent-net.rules 中的 udev 规则,以便按总线 ID(udev KERNELS 关键字等同于 hwinfo --netcard 中的“SysFS BusID”)而不是 MAC 地址匹配设备。这样允许更换有缺陷的硬件(位于同一插槽但 MAC 不同的网卡),并避免在绑定更改其所有从属设备的 MAC 地址时出现混淆。

例如:

SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*",
KERNELS=="0000:00:19.0", ATTR{dev_id}=="0x0", ATTR{type}=="1",
KERNEL=="eth*", NAME="eth0"

在引导时,systemd network.service 不会等待热插拔从属,但会等待绑定准备就绪,而这需要至少有一个从属可用。当从系统中去除一个从属接口时(从 NIC 驱动程序拆开联结、执行 NIC 驱动程序的 rmmod 命令或 PCI 热插拔去除为 true),内核会自动从绑定中将其去除。当向系统添加新网卡时(替换插槽中的硬件),udev 会使用基于总线的网卡设备名称规则将其重命名为从属接口的名称,并为其调用 ifup 命令。ifup 命令会自动调用以将新网卡加入绑定。

16.8 设置小组设备以进行网络协作

链路聚合属于通用术语,指组合(或聚合)网络连接以提供逻辑层。有时,您还会看到通道聚合以太网绑定端口汇聚等术语,这些同义词都是指同一个概念。

这个概念通常被称为绑定,最初是集成到 Linux 内核中的(请参见第 16.7 节 “设置绑定设备”了解最初的实现方式)。网络协作一词用来指代这个概念的新实现方式。

绑定和网络协作之间的主要差别在于,协作提供一组小型内核模块,由它们负责提供用于 teamd 实例的接口。其他一切都在用户空间中处理。这一点与最初的绑定实现方式不同,后者是将自己的所有功能都专门包含在内核中。如需两者的比较,请参见表 16.5 “绑定与组合的功能比较”

表 16.5︰ 绑定与组合的功能比较
特性绑定组合
广播、循环 TX 策略
活动备份 TX 策略
LACP (802.3ad) 支持
基于哈希的 TX 策略
用户可以设置哈希函数
TX 负载平衡支持 (TLB)
针对 LACP 的 TX 负载平衡支持
Ethtool 链接监视
ARP 链接监视
NS/NA (IPV6) 链接监视
针对 TX/RX 路径的 RCU 锁定
端口优先级和粘性
单独的按端口链接监视设置
多链接监视设置有限制
VLAN 支持
多设备堆叠

源: http://libteam.org/files/teamdev.pp.pdf

绑定和网络协作这两种实现方式可以并行使用。可将网络协作作为现有绑定实现方式的备选。它不会取代绑定。

网络协作可用于不同使用情况。稍后将会介绍其中两种最重要的使用情况,它们涉及:

  • 不同网络设备之间的负载平衡。

  • 从一个网络设备到另一个网络设备的故障转移(当其中一个设备出现故障时)。

目前没有用于支持创建协作设备的 YaST 模块。您需要手动配置网络协作。以下是适用于所有网络协作配置的一般过程:

过程 16.1︰ 一般过程
  1. 确保已安装所有必需的包。安装包 libteam-toolslibteamdctl0python-libteam

  2. /etc/sysconfig/network/ 下创建一个配置文件,通常为 ifcfg-team0。如果您需要多个网络协作设备,请为它们指定依次递增的编号。

    该配置文件包含若干变量,手册页中对这些变量做了说明(请参见 man ifcfgman ifcfg-team)。系统内的 /etc/sysconfig/network/ifcfg.template 文件中提供了示例配置。

  3. 去除将用于协作设备的接口的配置文件(通常为 ifcfg-eth0ifcfg-eth1)。

    建议您先备份这两个文件,然后再将其去除。Wicked 将会使用协作的必要参数重新创建配置文件。

  4. (可选)检查 Wicked 的配置文件中是否已包含所有内容:

    wicked show-config
  5. 启动网络协作设备 team0

    wicked ifup all team0

    如果您需要其他调试信息,请在 all 子命令后面使用 --debug all 选项。

  6. 检查网络协作设备的状态。通过执行以下命令可以完成该操作:

    • 从 Wicked 获取 teamd 实例的状态:

      wicked ifstatus --verbose team0
    • 获取整个实例的状态:

      teamdctl team0 state
    • 获取 teamd 实例的 systemd 状态:

      systemctl status teamd@team0

    以上各命令将根据您的需要分别显示稍有不同的视图。

  7. 如果您之后需要对 ifcfg-team0 文件中的内容进行更改,请使用以下命令重新装载其配置:

    wicked ifreload team0

使用 systemctl 来启动或停止协作设备!而是使用如上所示的 wicked 命令。

要彻底去除组合设备,请执行以下过程:

过程 16.2︰ 去除组合设备
  1. 停止网络组合设备 team0

    wicked ifdown team0
  2. 将文件 /etc/sysconfig/network/ifcfg-team0 重命名为 /etc/sysconfig/network/.ifcfg-team0。在文件名前面插入一个点,以使 wicked看不到它。如果您确实不再需要该配置,也可以去除该文件。

  3. 重新装载配置:

    wicked ifreload all

16.8.1 使用案例:使用网络协作实现负载平衡

负载平衡用于提高带宽。使用下面的配置文件可创建具有负载平衡功能的网络协作设备。继续过程 16.1 “一般过程”以设置设备。使用 teamdctl 检查输出。

例 16.12︰ 通过网络协作进行负载平衡的配置
STARTMODE=auto 1
BOOTPROTO=static 2
IPADDRESS="192.168.1.1/24" 2
IPADDR6="fd00:deca:fbad:50::1/64" 2

TEAM_RUNNER="loadbalance" 3
TEAM_LB_TX_HASH="ipv4,ipv6,eth,vlan"
TEAM_LB_TX_BALANCER_NAME="basic"
TEAM_LB_TX_BALANCER_INTERVAL="100"

TEAM_PORT_DEVICE_0="eth0" 4
TEAM_PORT_DEVICE_1="eth1" 4

TEAM_LW_NAME="ethtool" 5
TEAM_LW_ETHTOOL_DELAY_UP="10" 6
TEAM_LW_ETHTOOL_DELAY_DOWN="10" 6

1

控制协作设备的启动。auto 这个值表示接口将在网络服务可用时设置,并且会在每次重引导时自动启动。

如果您需要自己来控制设备(并阻止其自动启动),请将 STARTMODE 设置为 manual

2

设置静态 IP 地址(此处对于 IPv4 指定 192.168.1.1,对于 IPv6 指定 fd00:deca:fbad:50::1)。

如果网络协作设备应该使用动态 IP 地址,请设置 BOOTPROTO="dhcp" 并去除(或注释掉)带有以下内容的行: IPADDRESSIPADDR6

3

TEAM_RUNNER 设置为 loadbalance,以激活负载平衡模式。

4

指定应聚合以创建网络协作设备的一个或多个设备。

5

定义链路监视器,以监视从属设备的状态。只有当设备已启动并可访问时,默认值 ethtool 才会执行检查。因此,检查速度将会足够快。但是,它不会检查设备实际上是否可以发送或接收包。

如果您需要确保连接的可信度更高,请使用 arp_ping 选项。这样会将 ping 发送给一个任意主机(在 TEAM_LW_ARP_PING_TARGET_HOST 变量中进行配置)。仅当收到答复时,网络协作设备才会被视为已启动。

6

定义链路启动(或关闭)与运行程序收到通知之间的延迟(以毫秒为单位)。

16.8.2 使用案例:使用网络协作实现故障转移

故障转移用于确保关键网络协作设备的高可用性,方法是纳入并行的备用网络设备。备用网络设备时刻都在运行,并在主设备出现故障时接替主设备。

使用以下配置文件可创建具有故障转移功能的网络协作设备。继续过程 16.1 “一般过程”以设置设备。使用 teamdctl 检查输出。

例 16.13︰ DHCP 网络协作设备的配置
STARTMODE=auto 1
BOOTPROTO=static 2
IPADDR="192.168.1.2/24" 2
IPADDR6="fd00:deca:fbad:50::2/64" 2

TEAM_RUNNER=activebackup 3
TEAM_PORT_DEVICE_0="eth0" 4
TEAM_PORT_DEVICE_1="eth1" 4

TEAM_LW_NAME=ethtool 5
TEAM_LW_ETHTOOL_DELAY_UP="10" 6
TEAM_LW_ETHTOOL_DELAY_DOWN="10" 6

1

控制协作设备的启动。auto 这个值表示接口将在网络服务可用时设置,并且会在每次重引导时自动启动。

如果您需要自己来控制设备(并阻止其自动启动),请将 STARTMODE 设置为 manual

2

设置静态 IP 地址(此处对于 IPv4 指定 192.168.1.2,对于 IPv6 指定 fd00:deca:fbad::50::2)。

如果网络协作设备应该使用动态 IP 地址,请设置 BOOTPROTO="dhcp" 并去除(或注释掉)带有以下内容的行: IPADDRESSIPADDR6

3

TEAM_RUNNER 设置为 activebackup 以激活故障转移模式。

4

指定应聚合以创建网络协作设备的一个或多个设备。

5

定义链路监视器,以监视从属设备的状态。只有当设备已启动并可访问时,默认值 ethtool 才会执行检查。因此,检查速度将会足够快。但是,它不会检查设备实际上是否可以发送或接收包。

如果您需要确保连接的可信度更高,请使用 arp_ping 选项。这样会将 ping 发送给一个任意主机(在 TEAM_LW_ARP_PING_TARGET_HOST 变量中进行配置)。仅当收到答复时,网络协作设备才会被视为已启动。

6

定义链路启动(或关闭)与运行程序收到通知之间的延迟(以毫秒为单位)。

16.8.3 用例:组合设备上的 VLAN

VLAN 是虚拟局域网 (Virtual Local Area Network) 的缩写。它允许通过单个物理 Ethernet 运行多个逻辑(虚拟) Ethernet。它以逻辑方式将网络分为不同的广播域,以便数据包仅在为同一 VLAN 指定的端口之间交换。

下面的用例会在组合设备的基础上创建两个静态 VLAN:

  • vlan0,绑定到 IP 地址 192.168.10.1

  • vlan1,绑定到 IP 地址 192.168.20.1

按如下所示继续:

  1. 在交换机上启用 VLAN 标记。如果您要针对组合设备使用负载平衡,则交换机需要支持链接聚合控制协议 (LACP) (802.3ad)。有关细节,请查阅硬件手册。

  2. 确定是否要针对组合设备使用负载平衡或故障转移。按第 16.8.1 节 “使用案例:使用网络协作实现负载平衡”第 16.8.2 节 “使用案例:使用网络协作实现故障转移”中所述设置组合设备。

  3. /etc/sysconfig/network 中,创建包含以下内容的 ifcfg-vlan0 文件:

    STARTMODE="auto"
    BOOTPROTO="static" 1
    IPADDR='192.168.10.1/24' 2
    ETHERDEVICE="team0" 3
    VLAN_ID="0" 4
    VLAN='yes'

    1

    定义固定的 IP 地址(在 IPADDR中指定)。

    2

    定义 IP 地址,这里包含其网络掩码。

    3

    包含要用于 VLAN 接口的实际接口,这里是我们的组合设备 (team0)。

    4

    为 VLAN 指定唯一的 ID。文件名和 VLAN_ID 最好与名称 ifcfg-vlanVLAN_ID 对应。在我们的示例中, VLAN_ID0,因而文件名为 ifcfg-vlan0

  4. /etc/sysconfig/network/ifcfg-vlan0 文件复制到 /etc/sysconfig/network/ifcfg-vlan1,并更改以下值:

    • IPADDR ,从 192.168.10.1/24 更改为 192.168.20.1/24

    • VLAN_ID ,从 0 更改为 1

  5. 启动两个 VLAN:

    root # wicked ifup vlan0 vlan1
  6. 检查 ifconfig 的输出:

    root # ifconfig -a
    [...]
    vlan0     Link encap:Ethernet  HWaddr 08:00:27:DC:43:98
              inet addr:192.168.10.1 Bcast:192.168.10.255 Mask:255.255.255.0
              inet6 addr: fe80::a00:27ff:fedc:4398/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:0 errors:0 dropped:0 overruns:0 frame:0
              TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:0 (0.0 b)  TX bytes:816 (816.0 b)
    
    vlan1     Link encap:Ethernet  HWaddr 08:00:27:DC:43:98
              inet addr:192.168.20.1 Bcast:192.168.20.255 Mask:255.255.255.0
              inet6 addr: fe80::a00:27ff:fedc:4398/64 Scope:Link
              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
              RX packets:0 errors:0 dropped:0 overruns:0 frame:0
              TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:1000
              RX bytes:0 (0.0 b)  TX bytes:816 (816.0 b)

16.9 采用 Open vSwitch 的软件定义网络

软件定义网络 (SDN) 指的是将控制流量发送来源的系统(控制面)与将流量转发到选定目标的底层系统(数据面,也称为转发面)分离开来。这表示先前由单个通常不灵活的交换机执行的功能,现在可分给交换机(数据面)与它的控制器(控制面)共同执行。在此模式下,控制器可以编程且具有极高的灵活性,并且能够快速适应多变的网络条件。

Open vSwitch 是一款可实施与 OpenFlow 协议兼容的分布式虚拟多层交换机的软件。OpenFlow 允许控制器应用程序修改交换机的配置。OpenFlow 构建于 TCP 协议之上,并且广泛实施于各种硬件和软件中。如此,单个控制器便可驱动多个大不相同的交换机。

16.9.1 Open vSwitch 的优点

采用 Open vSwitch 的软件定义网络具备多项优点,尤其在与虚拟机配合使用时:

  • 可轻松识别联网状态。

  • 网络及其实时状态可从一个主机移到另一个主机。

  • 网络动态可跟踪,并且可允许使用外部软件对其进行响应。

  • 您可以在网络包中应用标记并操作这些标记,以识别网络包往来的计算机并维护其他联网环境。标记规则可以配置和迁移。

  • Open vSwitch 实施的是 GRE 协议(通用路由封装)。例如,这可让您将专用 VM 网络相互连接起来。

  • Open vSwitch 可单独使用,但设计它是为了与联网硬件相集成并且能够控制硬件交换机。

16.9.2 安装 Open vSwitch

  1. 安装 Open vSwitch 和补充包:

    root # zypper install openvswitch openvswitch-switch

    如果您计划将 Open vSwitch 与 KVM 超级管理程序配合使用,请另外安装 tunctl 。如果您计划将 Open vSwitch 与 Xen 超级管理程序配合使用,请另外安装 openvswitch-kmp-xen

  2. 启用 Open vSwitch 服务:

    root # systemctl enable openvswitch
  3. 重启动计算机或使用 systemctl 立即启动 Open vSwitch 服务:

    root # systemctl start openvswitch
  4. 要检查 Open vSwitch 是否已正确激活,请使用:

    root # systemctl status openvswitch

16.9.3 Open vSwitch 守护程序和实用程序概述

Open vSwitch 包含多个组件,其中有内核模块和各种用户空间组件。内核模块用于加速数据路径,但最精简的 Open vSwitch 安装并不需要该模块。

16.9.3.1 守护程序

Open vSwitch 的中心可执行文件是它的两个守护程序。当您启动 openvswitch 服务时,便会间接启动它们。

Open vSwitch 的主守护程序 (ovs-vswitchd) 提供交换机的实施。Open vSwitch 的数据库守护程序 (ovsdb-server) 为储存 Open vSwitch 配置和状态的数据库提供服务。

16.9.3.2 实用程序

Open vSwitch 还自带多个协助您使用该服务的实用程序。下面的列表并不全面,只是介绍了一些重要的命令。

ovsdb-tool

创建、升级、压缩和查询 Open vSwitch 的数据库。处理 Open vSwitch 数据库相关的事务。

ovs-appctl

配置运行中的 ovs-vswitchdovsdb-server 守护程序。

ovs-dpctlovs-dpctl-top

创建、修改、可视化及删除数据路径。使用此工具可能会干扰也负责执行数据路径管理的 ovs-vswitchd。因此,它通常仅作诊断之用。

ovs-dpctl-top 可创建类似于 top 的数据路径可视化。

ovs-ofctl

管理任何遵循 OpenFlow 协议的交换机。ovs-ofctl 并非仅可用于与 Open vSwitch 交互。

ovs-vsctl

提供配置数据库的高级别接口。它可用于查询和修改该数据库。实际上,它会显示 ovs-vswitchd 的状态并可对其进行配置。

16.9.4 使用 Open vSwitch 创建网桥

下面的配置示例使用 SUSE Linux Enterprise Server 上默认使用的 Wicked 网络服务。要了解 Wicked 的更多信息,请参见第 16.5 节 “手动配置网络连接”

如果您已安装并启动 Open vSwitch,请执行如下操作:

  1. 要配置供虚拟机使用的网桥,请创建包含以下内容的文件:

    STARTMODE='auto'1
    BOOTPROTO='dhcp'2
    OVS_BRIDGE='yes'3
    OVS_BRIDGE_PORT_DEVICE_1='eth0'4

    1

    网络服务启动后自动设置网桥。

    2

    用于配置 IP 地址的协议。

    3

    将配置标记为 Open vSwitch 网桥。

    4

    选择应加入网桥的一个或多个设备。要添加更多设备,请在文件中另外为每个设备追加相应的行:

    OVS_BRIDGE_PORT_DEVICE_SUFFIX='DEVICE'

    SUFFIX 可以是任何字母数字字符串。不过,为了避免覆盖先前的定义,请确保每个设备的 SUFFIX 都是唯一的。

    将文件保存到 /etc/sysconfig/network 目录中并命名为 ifcfg-br0。您也可以不使用 br0,而是使用任何您喜欢的名称。但是,文件名必须以 ifcfg- 开头。

    要了解更多选项,请参见 ifcfg 的手册页 (man 5 ifcfg) 以及 ifcfg-ovs-bridge 的手册页 (man 5 ifcfg-ovs-bridge)。

  2. 现在,启动网桥:

    root # wicked ifup br0

    Wicked 完成后,应该会输出网桥的名称,旁边会显示状态 up

16.9.5 Open vSwitch 直接与 KVM 配合使用

第 16.9.4 节 “使用 Open vSwitch 创建网桥”中所述创建网桥后,您便可使用 Open vSwitch 管理通过 KVM/QEMU 创建的虚拟机的网络访问。

  1. 为了能够最充分地利用 Wicked 的功能,请对之前配置的网桥进行进一步的更改。打开先前创建的 /etc/sysconfig/network/ifcfg-br0,为其他端口设备追加一行:

    OVS_BRIDGE_PORT_DEVICE_2='tap0'

    此外,请将 BOOTPROTO 设置为 none。文件现在应如下所示:

    STARTMODE='auto'
    BOOTPROTO='none'
    OVS_BRIDGE='yes'
    OVS_BRIDGE_PORT_DEVICE_1='eth0'
    OVS_BRIDGE_PORT_DEVICE_2='tap0'

    新的端口设备 tap0 将在下一步中配置。

  2. 现在,为 tap0 设备添加配置文件:

    STARTMODE='auto'
    BOOTPROTO='none'
    TUNNEL='tap'

    将文件保存到 /etc/sysconfig/network 目录中并命名为 ifcfg-tap0

    提示
    提示:允许其他用户访问 Tap 设备

    若要能够从以非 root 身份的用户启动的虚拟机使用此 Tap 设备,请追加:

    TUNNEL_SET_OWNER=USER_NAME

    要为整个组授予访问权,请追加:

    TUNNEL_SET_GROUP=GROUP_NAME
  3. 最后,打开定义为第一个 OVS_BRIDGE_PORT_DEVICE 的设备的配置。如果其名称未更改过,则应为 eth0。因此,打开 /etc/sysconfig/network/ifcfg-eth0 并确保已设置以下选项:

    STARTMODE='auto'
    BOOTPROTO='none'

    如果文件尚不存在,请创建该文件。

  4. 使用 Wicked 重启动网桥接口:

    root # wicked ifreload br0

    这也会触发重新装载新定义的网桥端口设备。

  5. 例如,要启动虚拟机,请使用:

    root # qemu-kvm \
    -drive file=/PATH/TO/DISK-IMAGE1 \
    -m 512 -net nic,vlan=0,macaddr=00:11:22:EE:EE:EE \
    -net tap,ifname=tap0,script=no,downscript=no2

    1

    要启动的 QEMU 磁盘映像路径。

    2

    使用之前创建的 Tap 设备 (tap0)。

    有关 KVM/QEMU 用法的更多信息,请参见Book “Virtualization Guide

16.9.6 Open vSwitchlibvirt 搭配使用

如前文第 16.9.4 节 “使用 Open vSwitch 创建网桥”中所述创建网桥后,您可以将该网桥添加到通过 libvirt 管理的现有虚拟机。由于 libvirt 已对 Open vSwitch 网桥提供一定程度的支持,因此您可以使用第 16.9.4 节 “使用 Open vSwitch 创建网桥”中创建的网桥,而无需进一步更改网络配置。

  1. 为所需的虚拟机打开域 XML 文件:

    root # virsh edit VM_NAME

    以所需虚拟机的名称替换 VM_NAME。这样将会打开默认的文本编辑器。

  2. 查找以 <interface type="..."> 开头并以 </interface> 结尾的部分,找到文档的网络部分。

    以如下所示的网络部分替换现有部分:

    <interface type='bridge'>
      <source bridge='br0'/>
      <virtualport type='openvswitch'/>
    </interface>
    重要
    重要:virsh iface-* 和虚拟机管理器与 Open vSwitch 的兼容性

    目前,在使用 virsh iface-* 工具和虚拟机管理器的情况下,Open vSwitchlibvirt 还不兼容。如果使用以上任一工具,您的配置可能会损坏。

  3. 您现在便可照常启动或重启动虚拟机。

有关 libvirt 用法的更多信息,请参见Book “Virtualization Guide

16.9.7 更多信息

http://openvswitch.org/support/

Open vSwitch 项目网站的文档部分

https://www.opennetworking.org/images/stories/downloads/sdn-resources/white-papers/wp-sdn-newnorm.pdf

开放网络基金会发布的关于软件定义网络和 OpenFlow 协议的白皮书

17 打印机操作

SUSE® Linux Enterprise Server 支持使用多种类型的打印机进行打印,其中包括远程网络打印机。可以手动或使用 YaST 配置打印机。有关配置描述,请参见Book “部署指南”, Chapter 11 “使用 YaST 设置硬件组件”, Section 11.3 “设置打印机”。启动和管理打印任务时既可以使用图形实用程序,也可以使用命令行实用程序。如果打印机未能按预期正常工作,请参见第 17.8 节 “查错”

CUPS(通用 Unix 打印系统)是 SUSE Linux Enterprise Server 中的标准打印系统。

可以根据接口(例如 USB 或网络)以及打印机语言对打印机进行区分。购买打印机时,确保打印机配有支持的接口(USB、以太网或 Wi-Fi)和合适的打印机语言。可以按照以下三类打印机语言对打印机进行分类:

PostScript 打印机

Linux 和 Unix 中的内部打印系统使用 PostScript 这种打印机语言生成并处理大部分打印任务。如果打印机可以直接处理 PostScript 文档而不需要在打印系统中通过附加步骤转换这些文档,则可以降低可能出现的错误的数目。

PDF 正在逐渐取代 PostScript,成为标准打印作业格式。可直接打印 PDF(而不仅仅是 PostScript)的 PostScript+PDF 打印机已经面世。传统的 PostScript 打印机需要在打印工作流程中将 PDF 转换为 PostScript。

标准打印机(PCL 和 ESC/P 等语言)

对于已知的打印机语言,打印系统可以借助 Ghostscript 将 PostScript 作业转换为相应的打印机语言。此处理阶段称为解释。最有名的语言有 PCL(主要是 HP 打印机及其克隆产品使用)和 ESC/P(Epson 打印机使用)。这些打印机语言通常受 Linux 支持,可以生成令人满意的打印效果。Linux 可能无法使用某些特殊打印机功能。除了 HP 和 Epson 之外,当前尚没有其他打印机制造商开发 Linux 驱动程序,并通过开放源代码许可证将这些驱动程序提供给 Linux 发行套件供应商。

专有打印机(也称作 GDI 打印机)

这些打印机不支持任何常见的打印机语言。这些打印机使用自己的无文档记录打印机语言,该语言在发布新版本时可能发生变化。通常只有 Windows 驱动程序供这些打印机使用。有关更多信息,请参见第 17.8.1 节 “打印机没有标准打印机语言支持”

在您购买新打印机之前,请参考以下资源以了解您要购买的打印机的支持情况:

http://www.linuxfoundation.org/OpenPrinting/

包含打印机数据库的 OpenPrinting 主页。数据库显示最新的 Linux 支持状态。但是,Linux 分发只能集成生产时可用的驱动程序。因此,当前标为完全支持的打印机在最新的 SUSE Linux Enterprise Server 版本发布后,不一定还具有此状态。这样,数据库不一定可以指出正确的状态,只是提供大致估计而已。

http://pages.cs.wisc.edu/~ghost/

Ghostscript 网页

/usr/share/doc/packages/ghostscript/catalog.devices

内置 Ghostscript 驱动程序列表。

17.1 CUPS 工作流程

用户创建一个打印任务。打印作业由要打印的数据和有关假脱机程序的信息组成。其中包括打印机的名称或打印队列的名称,还有可能包括有关过滤器(例如特定于打印机的选项)的信息。

每台打印机至少有一个专用打印队列。假脱机程序储存着队列中的打印任务,直到所需打印机已做好接收数据的准备。打印机准备就绪后,假脱机程序通过过滤器和后端将数据发送到打印机。

过滤器将转换正在打印的应用程序生成的数据(通常为 PostScript 或 PDF,也可能为 ASCII、JPEG 等)特定于打印机的数据(PostScript、PCL、ESC/P 等)。PPD 文件中描述了打印机的功能。PPD 文件包含打印机特定的选项以及在打印机上启用这些选项所需的参数。过滤器系统用于确保用户选择的选项被启用。

如果使用的是 PostScript 打印机,则过滤器系统将数据转换为打印机特定的 PostScript。这样做不需要打印机驱动程序。如果使用的是非 PostScript 打印机,则过滤器系统将数据转换为打印机专用的数据。这样做需要一个适合您的打印机的 打印机驱动程序。后端从过滤器接收打印机特定的数据,然后将其传递到打印机。

17.2 连接打印机的方法和协议

可以通过多种方法将打印机连接到系统。CUPS 的配置不能区分本地打印机和通过网络连接到系统的打印机。有关打印机连接的更多信息,请阅读 http://en.opensuse.org/SDB:CUPS_in_a_Nutshell 上的文章 CUPS in a Nutshell(CUPS 概述)。

System z CUPS 不支持 z/VM 提供的本地连接到 IBM z Systems 大型机的打印机及类似设备。在这些平台上,只能通过网络进行打印。必须根据打印机制造商的描述安装网络打印机的电缆。

警告
警告:更改处于运行状态系统中的电缆连接

当将打印机连接到计算机时,一定不要忘记操作期间只能插入或拔下 USB 设备。为防止损坏系统或打印机,请在更改任何非 USB 连接前先关闭系统。

17.3 安装软件

PPD(PostScript 打印机描述)是描述属性(例如,分辨率)和选项(例如,双面打印单位的可用性)的计算机语言。这些描述对于使用 CUPS 中的各个打印机选项是必需的。如果没有 PPD 文件,打印数据将被以原始状态转发到打印机,通常这不是希望出现的情况。

要配置 PostScript 打印机,最佳的方法是获得一个合适的 PPD 文件。manufacturer-PPDsOpenPrintingPPDs-postscript 包中提供了许多 PPD 文件。请参见第 17.7.3 节 “多种包中的 PPD 文件”第 17.8.2 节 “没有合适的 PPD 文件可用于 PostScript 打印机”

新的 PPD 文件可以储存在目录 /usr/share/cups/model/ 中,或如Book “部署指南”, Chapter 11 “使用 YaST 设置硬件组件”, Section 11.3.1.1 “使用 YaST 添加驱动程序”中所述使用 YaST 添加到打印系统中。随后,可以在打印机设置过程中选择 PPD 文件。

如果打印机制造商希望您安装整个软件包,请务必小心。这种安装类型可能导致 SUSE Linux Enterprise Server 提供的支持失效。另外,打印命令可能会以不同的方式工作,并且系统可能不再能够对其他制造商的设备寻址。出于此原因,不建议安装制造商软件。

17.4 网络打印机

网络打印机可以支持多种协议,有些甚至支持并发打印不同协议。尽管大部分支持的协议都已标准化,但某些制造商可能修改了标准。他们仅提供适用于少数操作系统的驱动程序。不过很少提供 Linux 驱动程序。当前的情况是您在执行操作时不能假定每个协议都可以在 Linux 中正常工作。因此,您可能需要试验不同的选项以找出起作用的配置。

CUPS 支持 socketLPDIPPsmb 协议。

套接字

套接字是指将纯文本打印数据直接发送到 TCP 套接字的连接。一些常用的套接字端口号包括 910035。设备 URI(统一资源标识符)的语法为 socket://IP.OF.THE.PRINTER:PORT,例如 socket://192.168.2.202:9100/

LPD(行式打印机守护程序)

LPD 协议如 RFC 1179 中所述。使用此协议,打印队列 ID 等作业相关数据将先于实际打印数据发送。因此,配置 LPD 协议时必须指定打印队列。各打印机制造商的实施非常灵活,可以接受为打印队列指定任何名称。如果需要,打印机手册应该指出要使用的名称。通常使用 LPT、LPT1、LP1 或类似的名称。LPD 服务的端口号是 515。设备 URI 示例:lpd://192.168.2.202/LPT1

IPP(因特网打印协议)

IPP 是一个基于 HTTP 协议的相对较新的协议 (1999)。使用 IPP,所传送的与任务有关的数据比其他协议要多一些。CUPS 使用 IPP 进行内部数据传送。要正确配置 IPP,必须提供打印队列的名称。IPP 的端口号是 631。设备 URI 示例:ipp://192.168.2.202/psipp://192.168.2.202/printers/ps

SMB(Windows 共享)

CUPS 还支持在连接到 Windows 共享的打印机上进行打印。用于此目的的协议是 SMB。SMB 使用端口号 137138139。设备 URI 示例:smb://user:password@workgroup/smb.example.com/printersmb://user:password@smb.example.com/printersmb://smb.example.com/printer

必须在配置之前确定打印机支持的协议。如果制造商未提供所需的信息,则可以使用命令 nmap(随 nmap 包提供)来确定协议。nmap 检查主机端口是否打开。例如:

nmap -p 35,137-139,515,631,9100-10000 IP.OF.THE.PRINTER

17.5 使用命令行工具配置 CUPS

CUPS 可使用 lpinfolpadminlpoptions 之类的命令行工具配置。您需要一个包含一个后端(例如 USB)和多个参数的设备 URI。要确定系统上的有效设备 URI,请使用命令 lpinfo -v | grep ":/"

# lpinfo -v | grep ":/"
direct usb://ACME/FunPrinter%20XL
network socket://192.168.2.253

使用 lpadmin,CUPS 服务器管理员可以添加、删除或管理打印队列。要添加打印队列,请使用以下语法:

lpadmin -p QUEUE -v DEVICE-URI -P PPD-FILE -E

设备 (-v) 便会用作 QUEUE (-p),并使用指定的 PPD 文件 (-P)。这意味着如果要手动配置打印机,则必须了解 PPD 文件和设备 URI。

不要使用 -E 作为第一个选项。对于所有 CUPS 命令,将 -E 用作第一个参数设置使用加密连接。要启用打印机,必须使用 -E,如下面的示例所示:

lpadmin -p ps -v usb://ACME/FunPrinter%20XL -P \
/usr/share/cups/model/Postscript.ppd.gz -E

以下示例配置了网络打印机:

lpadmin -p ps -v socket://192.168.2.202:9100/ -P \
/usr/share/cups/model/Postscript-level1.ppd.gz -E

有关 lpadmin 的更多选项,请参考 lpadmin(8) 的手册页。

在系统安装期间,某些选项被设置为默认值。可以为每个打印任务修改这些选项(根据所使用的打印工具)。也可以使用 YaST 来更改这些默认选项。使用命令行工具设置默认选项,如下所示:

  1. 首先,列出所有选项:

    lpoptions -p QUEUE -l

    示例:

    Resolution/Output Resolution: 150dpi *300dpi 600dpi

    激活的默认选项通过加星号前缀 (*) 进行标识。

  2. 使用 lpadmin 更改选项:

    lpadmin -p QUEUE -o Resolution=600dpi
  3. 检查新设置:

    lpoptions -p QUEUE -l
    
    Resolution/Output Resolution: 150dpi 300dpi *600dpi

普通用户运行 lpoptions 时,设置将写到 ~/.cups/lpoptions。但是,设置将写到 /etc/cups/lpoptions

17.6 从命令行打印

要从命令行打印,请输入 lp -d QUEUENAME FILENAME,并用相应的名称替换 QUEUENAMEFILENAME

有些应用程序依赖于 lp 命令来进行打印。在这种情况下,请在应用程序的打印对话框中输入正确的命令(通常无需指定 FILENAME),例如 lp -d QUEUENAME

17.7 SUSE Linux Enterprise Server 中的特殊功能

某些 CUPS 功能已针对 SUSE Linux Enterprise Server 做出调整。这里将介绍一些最重要的更改。

17.7.1 CUPS 和防火墙

执行默认 SUSE Linux Enterprise Server 安装后,SuSEFirewall2 将处于活动状态,且网络接口配置为位于外部区域中,这会阻止传入通讯。Book “Security Guide”, Chapter 15 “Masquerading and Firewalls”, Section 15.4 “SuSEFirewall2”中和 http://en.opensuse.org/SDB:CUPS_and_SANE_Firewall_settings 上提供了有关 SuSEFirewall2 配置的更多信息。

17.7.1.1 CUPS 客户端

通常 CUPS 客户端在使用防火墙的可信网络环境中的常规工作站上运行。在这种情况下,建议将网络接口配置为在内部区域中,这样可以从网络内部访问工作站。

17.7.1.2 CUPS 服务器

如果 CUPS 服务器在受防火墙保护的可信网络环境中,则应将网络接口配置为在防火墙的内部区域中。建议不要在不可信网络环境中安装 CUPS 服务器,除非您确定该服务器受到特殊防火墙规则和 CUPS 配置中的安全设置的保护。

17.7.2 浏览网络打印机

CUPS 服务器会定期在网络上公告共享打印机的可用性及状态信息。客户端可以访问此信息,以便在打印对话框中显示可用打印机列表。此过程称为浏览

CUPS 服务器通过传统的 CUPS 浏览协议或 Bonjour/DND-SD 在网络上公告它们的打印队列。为了能够浏览网络打印队列,通过 CUPS 服务器打印的所有客户端上都需要运行 cups-browsed 服务。默认情况下,cups-browsed 不会启动。要为活动会话启动它,请使用 sudo systemctl start cups-browsed。要确保它在系统引导后自动启动,请在所有客户端上使用 sudo systemctl enable cups-browsed 启用它。

如果在启动 cups-browsed 之后浏览不起作用,则表明 CUPS 服务器可能是通过 Bonjour/DND-SD 公告网络打印队列的。在此情况下,您需要另外安装 avahi 包,并在所有客户端上使用 sudo systemctl start avahi-daemon 启动关联的服务。

17.7.3 多种包中的 PPD 文件

YaST 打印机配置使用 /usr/share/cups/model 中安装的 PPD 文件为 CUPS 设置队列。为查找适用于打印机型号的 PPD 文件,YaST 将对照硬件检测过程中确定的供应商和型号比较所有 PPD 文件中的供应商和型号。为此,YaST 打印机配置根据从 PPD 文件抽取的供应商和型号信息生成一个数据库。

仅使用 PPD 文件而不使用其他信息源的配置的优点在于可以随意修改 /usr/share/cups/model/ 中的 PPD 文件。例如,如果您有 PostScript 打印机,可直接将 PPD 文件复制到 /usr/share/cups/model(如果这些文件尚不存在于 manufacturer-PPDsOpenPrintingPPDs-postscript 包中),以实现打印机最佳配置。

其他 PPD 文件由下列包提供:

  • gutenprint:Gutenprint 驱动程序及其匹配的 PPD

  • splix:SpliX 驱动程序及其匹配的 PPD

  • OpenPrintingPPDs-ghostscript:Ghostscript 内置驱动程序的 PPD

  • OpenPrintingPPDs-hpijs:适用于非 HP 打印机的 HPIJS 驱动程序的 PPD

17.8 查错

下面几节介绍一些最常遇到的打印机硬件和软件问题以及解决或避免这些问题的方法。讨论的主题有 GDI 打印机、PPD 文件和端口配置。另外还讨论常见网络打印机问题、打印件问题以及队列处理。

17.8.1 打印机没有标准打印机语言支持

这些打印机不支持任何常见的打印机语言,只能使用专门的专有控制系列来进行寻址。因此这些打印机只能用于制造商提供了驱动程序的操作系统版本。GDI 是 Microsoft* 为图形设备开发的编程接口。通常制造商只提供 Windows 的驱动程序,而因为 Windows 驱动程序使用 GDI 界面,所以这些打印机也称作 GDI 打印机。问题实际并不是出在编程接口上,而是因这些打印机只能通过相应打印机型号的专用打印机语言来寻址所造成。

某些 GDI 打印机可切换成以 GDI 方式或一种标准打印机语言进行操作。请参见打印机手册以了解这是否可行。有些型号需要有专门的 Windows 软件来进行切换(注:Windows 打印机驱动程序在通过 Windows 进行打印时可能总是将打印机切换回 GDI 模式)。对于其他 GDI 打印机,还有针对标准打印机语言的扩展模块。

某些制造商为他们的打印机提供专有驱动程序。专有打印机驱动程序的缺点在于不能保证这些驱动程序可用于已安装的打印系统,也不能保证它们适合各种硬件平台。相反,支持标准打印机语言的打印机不依赖于特殊的打印系统版本或特殊的硬件平台。

与其花时间尝试使专有 Linux 驱动程序运行,购买支持标准打印机语言(最好是 PostScript)的打印机可能更经济高效。这可以一次性彻底解决驱动程序问题,您不再需要安装并配置特殊驱动程序软件,以及获取由于打印系统中开发的新功能而必须安装的驱动程序更新。

17.8.2 没有合适的 PPD 文件可用于 PostScript 打印机

如果 manufacturer-PPDsOpenPrintingPPDs-postscript 包不包含适用于 PostScript 打印机的 PPD 文件,则可以使用打印机制造商提供的驱动程序 CD 上的 PPD 文件,或从打印机制造商网页下载合适的 PPD 文件。

如果以 zip 存档 (.zip) 或自解压缩 zip 存档 (.exe) 的形式提供 PPD 文件,则用 unzip 命令将其解包。首先,查看 PPD 文件的许可证协议条款。然后使用 cupstestppd 实用程序来确认 PPD 文件是否与 Adobe PostScript 打印机描述文件格式规范 V4.3 相符合,如果实用程序返回 FAIL,则描述 PPD 文件中的错误很严重,可能导致重大问题。应该解决 cupstestppd 报告的问题点。如果需要,询问打印机制造商是否提供合适的 PPD 文件。

17.8.3 网络打印机连接

确定网络问题

将打印机直接连接到计算机。出于测试目的,将该打印机配置为本地打印机。如果打印机可以工作,则问题与网络有关。

检查 TCP/IP 网络

TCP/IP 网络和名称解析必须可以正常工作。

检查远程 lpd

使用以下命令测试是否可以与 Host 上的 lpd(端口 515)建立 TCP 连接:

netcat -z HOST 515 && echo ok || echo failed

如果不能建立与 lpd 的连接,则 lpd 可能不处于活动状态或可能存在基本网络问题。

如果相应的 lpd 处于活动状态并且主机接受查询,请以 root 身份运行以下命令,以查询远程 HOSTQUEUE 的状态报告:

echo -e "\004queue" \
| netcat -w 2 -p 722 HOST 515

如果 lpd 不响应,则它可能不处于活动状态或可能存在基本网络问题。如果 lpd 响应,响应应该描述为什么在主机队列 上不能进行打印。如果您接收到类似例 17.1 “来自 lpd 的错误消息” 中的响应,则问题是由远程 lpd 引起的。

例 17.1︰ 来自 lpd 的错误消息
lpd: your host does not have line printer access
lpd: queue does not exist
printer: spooling disabled
printer: printing disabled
检查远程 cupsd

CUPS 网络服务器可以在 UDP 端口 631 上广播其队列,默认每 30 秒广播一次。因此,以下命令可用于测试网络中是否存在广播 CUPS 网络服务器。执行此命令之前,务必停止本地 CUPS 守护程序。

netcat -u -l -p 631 & PID=$! ; sleep 40 ; kill $PID

如果广播 CUPS 网络服务器存在,则输出如例 17.2 “来自 CUPS 网络服务器的广播” 所示。

例 17.2︰ 来自 CUPS 网络服务器的广播
ipp://192.168.2.202:631/printers/queue

System z 请注意,在默认情况下,IBM z Systems 以太网设备不接收广播。

以下命令可用于测试是否可以与 HOST 上的 cupsd(端口 631)建立 TCP 连接:

netcat -z HOST 631 && echo ok || echo failed

如果不能与 cupsd 建立连接,则可能是 cupsd 未处于活动状态,或者存在基本网络问题。如果相应的 cupsd 处于活动状态并且主机接受查询,lpstat -h HOST -l -t 会返回 HOST 上所有队列的状态报告(可能非常长)。

下面的命令可用于测试 HOST 上的 QUEUE 是否接受由单个回车字符组成的打印作业。不应打印任何内容。可能会弹出一页空白纸。

echo -en "\r" \
| lp -d queue -h HOST
对网络打印机或打印服务器计算机进行查错

有时,当在打印服务器计算机中运行的假脱机程序需要处理多个打印作业时会产生问题。这是打印服务器计算机中的假脱机程序导致的,目前尚无解决此问题的方法。变通方法是,直接通过 TCP 套接字对连接到打印服务器计算机的打印机进行寻址,来绕过打印服务器计算机中的假脱机程序。请参见第 17.4 节 “网络打印机”

这样,打印服务器计算机仅充当各种不同数据传送方式之间(TCP/IP 网络和本地打印机连接)的转换器。要使用此方法,您需要知道打印服务器计算机上的 TCP 端口。如果打印机连接到打印服务器计算机并且已启动,则通常可以在打开打印服务器计算机电源一段时间后使用 nmap 包中的 nmap 实用程序确定此 TCP 端口。例如,nmap  IP-address 可能会返回打印服务器计算机的以下输出:

Port       State       Service
23/tcp     open        telnet
80/tcp     open        http
515/tcp    open        printer
631/tcp    open        cups
9100/tcp   open        jetdirect

此输出指出可以在端口 9100 上通过 TCP 套接字对连接到打印服务器计算机的打印机寻址。默认情况下,nmap 只检查在 /usr/share/nmap/nmap-services 中列出的一些常见的端口。要检查所有可能的端口,请使用命令 nmap -p  FROM_PORT-TO_PORT IP_ADDRESS。这可能要花一些时间。有关详细信息,请参见 nmap 的手册页。

输入如下命令

echo -en "\rHello\r\f" | netcat -w 1 IP-address port
cat file | netcat -w 1 IP-address port

将字符串或文件直接发送到相应的端口以测试是否可以在该端口上对打印机进行寻址。

17.8.4 打印件有问题但没有错误消息

对于打印系统,打印任务完成的标志是 CUPS 后端完成到接收方(打印机)的数据传送。如果在接收方的进一步处理失败(例如,如果打印机无法打印特定于打印机的数据),则打印系统不会对此进行通知。如果打印机无法打印特定于打印机的数据,请选择一个更适合该打印机的 PPD 文件。

17.8.5 禁用的队列

如果向接收方传送数据在多次尝试后都失败,则 CUPS 后端(例如 USBsocket)向打印系统(向 cupsd)报告一个错误。后端用于确定在将数据传送报告为不可行前应执行的失败尝试次数。由于继续尝试可能也是徒劳,cupsd 将禁用相应队列的打印。在消除了问题的起因后,系统管理员必须使用 cupsenable 命令重新启用打印。

17.8.6 CUPS 浏览:删除打印任务

如果 CUPS 网络服务器通过浏览向客户端主机广播其队列并且客户端主机上合适的本地 cupsd 处于活动状态,则客户端 cupsd 接受来自应用程序的打印任务并将它们转发到服务器上的 cupsd。当服务器上的 cupsd 接受打印任务后,会为该任务指派一个新的任务号。因此,客户端主机上的任务号与服务器上的任务号不同。因为打印作业通常都会立即转发出去,所以不能用客户端主机上的作业号将其删除,原因是当打印作业已转发到服务器 cupsd 后,客户端 cupsd 会将打印作业视为已完成。

要删除服务器上的打印作业,请使用 lpstat -h cups.example.com -o 之类的命令来确定服务器上的作业编号。此情况假设服务器尚未完成该打印作业(即尚未完全将它发送到打印机)。按如下方式使用获得的作业编号来删除服务器上的打印作业:

cancel -h cups.example.com QUEUE-JOBNUMBER

17.8.7 有问题的打印任务和数据传送错误

如果在打印过程中关闭打印机或计算机,则打印任务将保留在队列中。再次打开计算机(或打印机)后,打印将继续。必须使用 cancel 从队列中删除有问题的打印任务。

如果打印作业损坏,或主机与打印机之间的通讯出现错误,打印机将无法正确处理数据,并会打印出很多张有乱码的纸。要修复该问题,请执行以下步骤:

  1. 要停止打印,请将所有纸张从喷墨打印机中取出或打开激光打印机的纸盒。高质量的打印机具有一个用于取消当前打印件的按钮。

  2. 打印任务可能仍在队列中,因为只有在将任务完全发送到打印机后才会将它们删除。使用 lpstat -olpstat -h cups.example.com -o 检查哪个队列当前正在打印。使用 cancel QUEUE-JOBNUMBERcancel -h cups.example.com QUEUE-JOBNUMBER 删除打印作业。

  3. 即使已将打印任务从队列中删除,某些数据仍会被传送到打印机。检查 CUPS 后端进程是否仍在为相应的队列运行并将其终止。

  4. 通过关闭打印机一段时间完全重设置打印机。然后插入纸张并打开打印机。

17.8.8 调试 CUPS

使用以下通用过程确定 CUPS 中的问题:

  1. /etc/cups/cupsd.conf 中设置 LogLevel debug

  2. 停止 cupsd

  3. 删除 /var/log/cups/error_log* 从而无需搜索非常长的日志文件。

  4. 启动 cupsd

  5. 重复导致问题的操作。

  6. 检查 /var/log/cups/error_log* 中的消息以确定问题的原因。

17.8.9 更多信息

有关在 SUSE Linux 上打印的详细信息,请参见 openSUSE 支持数据库,网址为 http://en.opensuse.org/Portal:PrintingSUSE 知识库 (http://www.suse.com/support/) 中提供了对许多特定问题的解决方案。通过对 CUPS 的文本搜索找到相关文章。

18 X Window 系统

X Window 系统 (X11) 是 Unix 中图形用户界面的实际标准。X 是基于网络的,可以使在一个主机上启动的应用程序显示在通过任何类型的网络(LAN 或 Internet)连接的另一个主机上。本章提供 X 配置的基本信息,以及在 SUSE® Linux Enterprise Server 中使用字体的背景信息。

X Window 系统一般不需要进行任何配置。X 启动期间会动态检测硬件。因此,xorg.conf 已被弃用。如果您仍然需要指定自定义选项来更改 X 的行为方式,还是可以通过修改 /etc/X11/xorg.conf.d/ 下的配置文件来实现。

提示
提示:IBM z Systems:配置图形用户界面

IBM z Systems 没有 X.Org 支持的任何输入或输出设备。因此,本节中所述的所有配置过程都不适用。有关 IBM z Systems 的详细信息,请参见Book “部署指南”, Chapter 4 “在 IBM z Systems 上安装”

18.1 安装和配置字体

Linux 中的字体可分为两大类:

轮廓或矢量字体

包含作为字形组成相关绘图指导的数学描述。因此,每个字形都可以缩放为任意大小而无损质量。在可以使用此类字体(或字形)之前,需要将数学描述转换为光栅(网格)。此过程称为字体光栅化字体微调(嵌入在字体中)可改进和优化特定大小的渲染效果。光栅化和微调通过 FreeType 库实现。

Linux 下的常用格式为 PostScript Type 1 和 Type 2、TrueType 及 OpenType。

位图或光栅字体

包含一个为特定字号设计的像素阵列。位图字体渲染速度极快,而且非常简单。然而,与矢量字体相比,位图字体无法在不损质量的情况下进行缩放。因此,这些字体通常以不同的大小发布。现在,Linux 控制台中仍然使用位图字体,有时终端中也会使用这些字体。

在 Linux 下,便携式编译格式 (PCF) 或字形位图分布格式 (BDF) 是最常用的格式。

这些字体的外观主要会受两个方面的影响:

  • 选择合适的字体系列,

  • 采用某种算法渲染字体,达到接收者眼睛最舒服的效果。

最后一点只与矢量字体相关。虽然上面两点都需要根据个人情况而定,但仍有一些默认值需要创建。

Linux 字体渲染系统由具有不同关系的几个库组成。基本字体渲染库是 FreeType,它会将支持的格式的字体字形转换为优化的位图字形。渲染过程由算法及其参数(可能受专利问题影响)控制。

使用 FreeType 的每个程序或库都应该参考 Fontconfig 库。此库会从用户及系统那里收集字体配置。用户修改其 Fontconfig 设置后,此更改将导致发生 Fontconfig 感知的应用。

Arabic、Han 或 Phags-Pa 等脚本所需的更复杂的 OpenType 成型以及其他更高级别的文本处理使用 HarfbuzzPango 进行。

18.1.1 显示安装的字体

要获得系统上安装了哪些字体的概观,请运行 rpmfc-list 命令。这两个命令都可为您提供不错的答案,但有可能会因系统和用户配置不同而返回不同的列表。

rpm

调用 rpm 可查看系统上安装了哪些包含字体的软件包:

rpm -qa '*fonts*'

每个字体包都应该满足此表达式。不过,命令可能会返回误报,例如 fonts-config(它即不是字体,也不包含字体)。

fc-list

调用 fc-list 可获得哪些字体系列可以访问、系统上或主目录中是否已安装这些字体的概观:

fc-list ':' family
注意
注意:命令 fc-list

命令 fc-list 是 Fontconfig 库的封装程序。从 Fontconfig(更确切地说,从它的超速缓存)可以查询许多有趣的信息。有关更多细节,请参见 man 1 fc-list

18.1.2 查看字体

如果想了解已安装字体系列的外观,请使用命令 ftviewft2demos 包)或访问 http://fontinfo.opensuse.org/。例如,要以 14 号字显示 FreeMono 字体,请按如下所示使用 ftview

ftview 14 /usr/share/fonts/truetype/FreeMono.ttf

如果需要更多信息,请访问 http://fontinfo.opensuse.org/ 了解支持哪些样式(标准、粗体、斜体等)和语言。

18.1.3 查询字体

要查询指定了某种模式时使用哪种字体,请使用 fc-match 命令。

例如,如果您的模式包含已安装字体,fc-match 会返回文件名、字体系列和样式:

tux > fc-match 'Liberation Serif'
LiberationSerif-Regular.ttf: "Liberation Serif" "Regular"

如果所需字体在您的系统上不存在,Fontconfig 的匹配规则将会生效,并尝试找到最接近的可用字体。这意味着用另一种字体来替代了您要求的字体。

tux > fc-match 'Foo Family'
DejaVuSans.ttf: "DejaVu Sans" "Book"

Fontconfig 支持别名:用另一个系列名称替代某个名称。通用名称就是一个典型的例子,例如 sans-serifserifmonospace。这些别名可由实际的系列名称,甚至是系列名称的首选设置列表替代:

tux > for font in serif sans mono; do fc-match "$font" ; done
DejaVuSerif.ttf: "DejaVu Serif" "Book"
DejaVuSans.ttf: "DejaVu Sans" "Book"
DejaVuSansMono.ttf: "DejaVu Sans Mono" "Book"

结果可能因系统而异,具体视当前安装的字体而定。

注意
注意:根据 Fontconfig 而定的相似度规则

Fontconfig 总是根据具体请求返回最相似的实际系列(如果至少安装了一个系列)。相似度根据 Fontconfig 的内部度量以及用户或管理员的 Fontconfig 设置而定。

18.1.4 安装字体

安装新字体的方法主要有以下几种:

  1. *.ttf*.otf 等字体文件手动安装到知道的一个字体目录。如果字体要用于整个系统,请使用标准目录 /usr/share/fonts。如果要安装在主目录中,请使用 ~/.config/fonts

    如果不想使用标准目录,Fontconfig 允许您选择其他目录。使用 <dir> 元素告知 Fontconfig 所用目录,有关细节,请参见第 18.1.5.2 节 “深入了解 Fontconfig XML”

  2. 使用 zypper 安装字体。大量字体已通过包提供,随附在 SUSE 分发包中或包含在 M17N:fonts 储存库中。请使用以下命令将储存库添加到您的列表中。例如,要为 SLE 12 添加储存库:

    sudo zypper ar
         http://download.opensuse.org/repositories/M17N:/fonts/SLE_12_SP4/

    要搜索您的 FONT_FAMILY_NAME,请使用以下命令:

    sudo zypper se 'FONT_FAMILY_NAME*fonts'

18.1.5 配置字体的外观

根据渲染媒体和字号的不同,结果可能并不令人满意。例如,现在的显示器分辨率一般为 100dpi,这导致像素太大,字形显得粗陋难看。

有几种算法可用来处理低分辨率,例如消除锯齿(灰度平滑)、微调(适合网格)或子像素渲染(在一个方向将分辨率增至三倍)。这些算法还可能因字体格式而异。

重要
重要:子像素渲染的专利问题

SUSE 分发包中不使用子像素渲染。虽然 FreeType2 支持此算法,但有几项将于 2019 年底到期的专利涉及到了此算法。因此,除非系统中有 FreeType2 库并且该库中已编译子像素渲染,否则在 Fontconfig 中设置子像素渲染选项没有任何效果。

通过 Fontconfig,可单独为每种字体选择渲染算法,也可为一组字体选择渲染算法。

18.1.5.1 通过 sysconfig 配置字体

SUSE Linux Enterprise Server 在 Fontconfig 上提供一个 sysconfig 层。要尝试进行字体配置,这是一个不错的着手点。要更改默认设置,请编辑配置文件 /etc/sysconfig/fonts-config。(或使用 YaST sysconfig 模块)。编辑该文件之后,请运行 fonts-config

sudo /usr/sbin/fonts-config

重启动该应用程序以显示成效。请牢记以下要点:

  • 一些应用程序不需要重启动。例如,Firefox 会不时重新读取 Fontconfig 配置。新创建或重新装载的标签可在稍后获得新的字体配置。

  • 每次发生包安装或去除操作之后,系统会自动调用 fonts-config 脚本(如未调用,则表示字体软件包有错误)。

  • 使用 fonts-config 命令行选项可以暂时覆盖每个 sysconfig 变量。有关细节,请参见 fonts-config --help

有几个 sysconfig 变量可以更改。请参见 man 1 fonts-config 或 YaST sysconfig 模块的帮助页。以下是一些变量示例:

渲染算法的使用

考虑使用 FORCE_HINTSTYLEFORCE_AUTOHINTFORCE_BWFORCE_BW_MONOSPACEUSE_EMBEDDED_BITMAPSEMBEDDED_BITMAP_LANGAGES

通用别名的首选项列表

使用 PREFER_SANS_FAMILIESPREFER_SERIF_FAMILIESPREFER_MONO_FAMILIESSEARCH_METRIC_COMPATIBLE

下面的列表提供了一些配置示例,按从最清晰字体(对比度较高)到最漂亮(较平滑)的顺序显示。

位图字体

通过 PREFER_*_FAMILIES 变量可指定首选位图字体。请按照帮助部分的示例使用这些变量。请注意,这些字体渲染为黑白色,不进行平滑处理,并且位图字体只有几种字号。考虑使用

SEARCH_METRIC_COMPATIBLE="no"

来禁用基于度量兼容性的系列名称替代。

渲染为黑白色的可缩放字体

渲染时未消除锯齿的可缩放字体与位图字体的显示效果相似,同时又可保持字体可缩放性。请使用经过精细微调的字体,如 Liberation 系列。遗憾的是,系统中经过精细微调的字体并不充足。设置下面的变量可强制采用此方法:

FORCE_BW="yes"
渲染为黑白色的等宽字体

仅采用不消除锯齿的方式渲染等宽字体,否则,请使用默认设置:

FORCE_BW_MONOSPACE="yes"
默认设置

渲染所有字体时都消除锯齿。经过精细微调的字体将通过字节码解释器 (BCI) 渲染,其余字体将使用自动微调器 (hintstyle=hintslight) 渲染。让所有相关的 sysconfig 变量保持默认设置。

CFF 字体

以 CFF 格式使用字体。FreeType2 中有了当前的改进后,该字体应该也会比默认的 TrueType 字体更清晰。请按照 PREFER_*_FAMILIES 的示例尝试一下。可以使用以下选项将字体调得更黑更粗:

SEARCH_METRIC_COMPATIBLE="no"

因为它们默认是通过 hintstyle=hintslight 来渲染的。还可以考虑使用:

SEARCH_METRIC_COMPATIBLE="no"
专用自动微调器

即使对于精细微调的字体,也可以使用 FreeType2 的自动微调器。这可能会导致字形变得更粗,有时还会变得更模糊、对比度更低。设置下面的变量可激活此功能:

FORCE_AUTOHINTER="yes"

使用 FORCE_HINTSTYLE 可控制微调级别。

18.1.5.2 深入了解 Fontconfig XML

Fontconfig 的配置格式是可扩展标记语言 (XML)。下面的几个示例不是完整参考,只是简要概述。细节及其他启示可在 man 5 fonts-conf/etc/fonts/conf.d/ 中找到。

中心 Fontconfig 配置文件是 /etc/fonts/fonts.conf,它及其他作品包括整个 /etc/fonts/conf.d/ 目录。要自定义 Fontconfig,可在两个位置插入您的更改:

Fontconfig 配置文件
  1. 系统范围的更改:  编辑文件 /etc/fonts/local.conf(默认情况下,它包含空的 fontconfig 元素)。

  2. 用户特定的更改:  编辑文件 ~/.config/fontconfig/fonts.conf。将 Fontconfig 配置文件放在 ~/.config/fontconfig/conf.d/ 目录中。

用户特定的更改会覆盖任何系统范围的设置。

注意
注意:弃用的用户配置文件

文件 ~/.fonts.conf 标记为已弃用,不应该再使用。请改为使用 ~/.config/fontconfig/fonts.conf

每个配置文件都需要有一个 fontconfig 元素。因此,最精简的文件应如下所示:

<?xml version="1.0"?>
   <!DOCTYPE fontconfig SYSTEM "fonts.dtd">
   <fontconfig>
   <!-- Insert your changes here -->
   </fontconfig>

如果默认目录不够用,请插入 dir 元素及相应的目录:

<dir>/usr/share/fonts2</dir>

Fontconfig 会以递归方式搜索字体。

使用下面的 Fontconfig 片段可以选择字体渲染算法(请参见例 18.1 “指定渲染算法”):

例 18.1︰ 指定渲染算法
<match target="font">
 <test name="family">
  <string>FAMILY_NAME</string>
 </test>
 <edit name="antialias" mode="assign">
  <bool>true</bool>
 </edit>
 <edit name="hinting" mode="assign">
  <bool>true</bool>
 </edit>
 <edit name="autohint" mode="assign">
  <bool>false</bool>
 </edit>
 <edit name="hintstyle" mode="assign">
  <const>hintfull</const>
 </edit>
</match>

字体的各种属性都可以测试。例如,<test> 元素可测试字体系列(如该例中所示)、字体间隔、间距、字体格式以及其他。如果完全不使用 <test>,所有 <edit> 元素都会应用于每个字体(全局更改)。

例 18.2︰ 别名和系列名称替代
规则 1
<alias>
 <family>Alegreya SC</family>
 <default>
  <family>serif</family>
 </default>
</alias>
规则 2
<alias>
 <family>serif</family>
 <prefer>
  <family>Droid Serif</family>
 </prefer>
</alias>
规则 3
<alias>
 <family>serif</family>
 <accept>
  <family>STIXGeneral</family>
 </accept>
</alias>

例 18.2 “别名和系列名称替代”中的规则会创建一份排定了优先级的系列列表 (PFL)。根据元素的不同,执行的操作也不同:

规则 1 中的 <default>

此规则会在 PFL 末尾添加一个 serif 系列名称。

规则 2 中的 <prefer>

只要 PFL 中存在 Alegreya SC,此规则就会在 PFL 中的第一个 serif 之前添加Droid Serif

规则 3 中的 <accept>

此规则会在 PFL 中第一个 serif 系列名称之后添加 STIXGeneral 系列名称。

如果将这些片段按规则 1 - 规则 2 - 规则 3 的顺序组合起来,当用户请求 Alegreya SC 时,系统便会如创建如表 18.1 “基于 Fontconfig 规则生成 PFL”中所述的 PFL。

表 18.1︰ 基于 Fontconfig 规则生成 PFL

顺序

当前的 PFL

请求

Alegreya SC

规则 1

Alegreya SC, serif

规则 2

Alegreya SCDroid Serifserif

规则 3

Alegreya SCDroid SerifserifSTIXGeneral

在 Fontconfig 的度量中,系列名称具有最高优先级,高于样式、大小等其他模式。Fontconfig 会检查系统上当前安装了哪个系列。如果安装了 Alegreya SC,Fontconfig 将会返回它。如果未安装,则会查找 Droid Serif,依次类推。

请小心。如果 Fontconfig 片段的顺序发生变化,Fontconfig 可能会返回不同的结果,如表 18.2 “基于更改了顺序的 Fontconfig 规则生成 PFL 的结果”中所述。

表 18.2︰ 基于更改了顺序的 Fontconfig 规则生成 PFL 的结果

顺序

当前的 PFL

记事

请求

Alegreya SC

执行相同的请求。

规则 2

Alegreya SC

serif 未在 FPL 中,未替代任何内容

规则 3

Alegreya SC

serif 未在 FPL 中,未替代任何内容

规则 1

Alegreya SC, serif

Alegreya SC 存在于 FPL 中,执行替代

注意
注意:隐含意义。

<default> 别名视为此组的分类或内含项(如果未安装)。如该例所示,<default> 应该一律优先于该组的 <prefer><accept> 别名。

<default> 分类不限于通用别名 serif、sans-serif 和 monospace。有关复杂示例,请参见 /usr/share/fontconfig/conf.avail/30-metric-aliases.conf

例 18.3 “别名和系列名称替代”中的以下 Fontconfig 片段会创建一个 serif 组。如果前一种字体未安装,此组中的每个系列可替代其他系列。

例 18.3︰ 别名和系列名称替代
<alias>
 <family>Alegreya SC</family>
 <default>
  <family>serif</family>
 </default>
</alias>
<alias>
 <family>Droid Serif</family>
 <default>
  <family>serif</family>
 </default>
</alias>
<alias>
 <family>STIXGeneral</family>
 <default>
  <family>serif</family>
 </default>
</alias>
<alias>
 <family>serif</family>
 <accept>
  <family>Droid Serif</family>
  <family>STIXGeneral</family>
  <family>Alegreya SC</family>
 </accept>
</alias>

优先级由 <accept> 别名中的顺序指定。类似地,可以使用更强的 <prefer> 别名。

例 18.4 “别名和系列名称替代”扩展了例 18.2 “别名和系列名称替代”

例 18.4︰ 别名和系列名称替代
规则 4
<alias>
 <family>serif</family>
 <accept>
  <family>Liberation Serif</family>
 </accept>
</alias>
规则 5
<alias>
 <family>serif</family>
 <prefer>
  <family>DejaVu Serif</family>
 </prefer>
</alias>

例 18.4 “别名和系列名称替代”中的扩展配置将导致下列 PFL 变化:

表 18.3︰ 基于 Fontconfig 规则生成 PFL 的结果

顺序

当前的 PFL

请求

Alegreya SC

规则 1

Alegreya SC, serif

规则 2

Alegreya SCDroid Serifserif

规则 3

Alegreya SCDroid SerifserifSTIXGeneral

规则 4

Alegreya SCDroid SerifserifLiberation SerifSTIXGeneral

规则 5

Alegreya SCDroid SerifDejaVu SerifserifLiberation SerifSTIXGeneral

注意
注意:含义.
  • 如果同一个通用名称存在多个 <accept> 声明,则最后分析的声明胜出。如有可能,创建系统范围的配置时,不要在用户 (/etc/fonts/conf.d/*-user.conf ) 之后使用 <accept>

  • 如果同一个通用名称存在多个 <prefer> 声明,则最后分析的声明胜出。如有可能,在系统范围的配置中,不要在用户之前使用 <prefer>

  • 同一个通用名称的每个 <prefer> 声明都会覆盖 <accept> 声明。如果管理员不仅希望用户可使用 <prefer>,甚至还想允许其使用 <accept>,就不应该在系统范围的配置中使用 <prefer>。另一方面,因为用户通常都是使用 <prefer>,这种做法应该不会产生任何不利影响。我们还看到过在系统范围的配置中使用 <prefer> 的情况。

18.2 更多信息

您可安装 xorg-docs 包以更深入地了解 X11。man 5 xorg.conf 提供了有关手动配置(如果需要)的格式的详细信息。有关 X11 开发的更多信息,请参见该项目的主页:http://www.x.org

驱动程序位于 xf86-video-* 包中,例如 xf86-video-nv。相关手册页中详细说明了这些包附带的很多驱动程序。例如,如果使用 nv 驱动程序,在 man 4 nv 中可以找到有关此驱动程序的更多信息。

有关第三方驱动程序的信息位于 /usr/share/doc/packages/<package_name> 中。例如,x11-video-nvidiaG03 的文档在安装包之后位于 /usr/share/doc/packages/x11-video-nvidiaG03 中。

19 使用 FUSE 访问文件系统

摘要

FUSE 是用户空间中的文件系统 (file system in user space) 的缩写。这表示您可以将文件系统作为非特权用户配置和装入。通常,只有 root 用户才能执行此任务。FUSE 自身是一个内核模块。它与插件组合,允许您扩展 FUSE 以访问几乎所有文件系统,如远程 SSH 连接、ISO 映像等。

19.1 配置 FUSE

需要安装 fuse 包才能使用 FUSE。根据要使用的文件系统,您需要作为独立包提供的附加插件。

一般而言,您无需配置 FUSE。但是建议创建一个合并所有安装点的目录。例如,可以创建目录 ~/mounts 并在该处插入不同文件系统的子目录。

19.2 装入 NTFS 分区

NTFS(新技术文件系统)是 Windows 的默认文件系统。在一般情况下,由于非特权用户无法使用外部 FUSE 库装入 NTFS 块设备,因此下文所述的 Windows 分区装入过程需要 root 特权。

  1. 切换为 root 用户并安装包 ntfs-3gSUSE Linux Enterprise Workstation Extension 中提供了该包。

  2. 创建一个要充当安装点的目录,如 ~/mounts/windows

  3. 确定所需的 Windows 分区。使用 YaST 并启动分区程序模块查看哪些分区属于 Windows,但不要修改任何内容。或者转换为 root 用户并执行 /sbin/fdisk -l。查找分区类型为 HPFS/NTFS 的分区。

  4. 以读写模式装入分区。使用相应的 Windows 分区替换占位符 DEVICE

    ntfs-3g /dev/DEVICE MOUNT POINT

    要在只读模式下使用 Windows 分区,请追加 -o ro

    ntfs-3g /dev/DEVICE MOUNT POINT -o ro

    ntfs-3g 命令使用当前用户 (UID) 和组 (GID) 装入给定设备。如果要为其他用户设置写权限,请使用命令 id USER 获取 UID 和 GID 值的输出。设置方式:

    id tux
    uid=1000(tux) gid=100(users) groups=100(users),16(dialout),33(video)
    ntfs-3g /dev/DEVICE MOUNT POINT -o uid=1000,gid=100

    在手册页中查找其他选项。

要卸载资源,请运行 fusermount -u 安装点

19.3 更多信息

有关更多信息,请参见 FUSE 主页 http://fuse.sourceforge.net

20 管理内核模块

虽然 Linux 属于单内核,但可通过内核模块加以扩展。这些特殊对象可以插入到内核中,并可按需去除。就实际角度而言,内核模块使添加和去除内核本身未包含的驱动程序和接口成为现实。Linux 提供了若干用于管理内核模块的命令。

20.1 使用 lsmod 和 modinfo 列出装载的模块

使用 lsmod 命令可查看目前装载了哪些内核模块。该命令的输出可能如下所示:

tux >  lsmod
Module                  Size  Used by
snd_usb_audio         188416  2
snd_usbmidi_lib        36864  1 snd_usb_audio
hid_plantronics        16384  0
snd_rawmidi            36864  1 snd_usbmidi_lib
snd_seq_device         16384  1 snd_rawmidi
fuse                  106496  3
nfsv3                  45056  1
nfs_acl                16384  1 nfsv3

输出内容分为三列:Module 列列出所装载模块的名称,Size 列显示各模块的大小。Used by 列显示引用模块的进程数及其名称。请注意,此列表可能不完整。

要查看有关特定内核模块的详细信息,请使用 modinfo MODULE_NAME 命令。其中 MODULE_NAME 为所需内核模块的名称。请注意,modinfo 二进制文件位于用户的 PATH 环境变量中未包含的 /sbin 目录下。这意味着,当您以普通用户身份运行 modinfo 命令时,必须指定该二进制文件的完整路径:

$ /sbin/modinfo kvm
filename:       /lib/modules/4.4.57-18.3-default/kernel/arch/x86/kvm/kvm.ko
license:        GPL
author:         Qumranet
srcversion:     BDFD8098BEEA517CB75959B
depends:        irqbypass
intree:         Y
vermagic:       4.4.57-18.3-default SMP mod_unload modversions
signer:         openSUSE Secure Boot Signkey
sig_key:        03:32:FA:9C:BF:0D:88:BF:21:92:4B:0D:E8:2A:09:A5:4D:5D:EF:C8
sig_hashalgo:   sha256
parm:           ignore_msrs:bool
parm:           min_timer_period_us:uint
parm:           kvmclock_periodic_sync:bool
parm:           tsc_tolerance_ppm:uint
parm:           lapic_timer_advance_ns:uint
parm:           halt_poll_ns:uint
parm:           halt_poll_ns_grow:int
parm:           halt_poll_ns_shrink:int

20.2 添加和去除内核模块

虽然可以使用 insmodrmmod 分别添加和去除内核模块,但建议使用 modprobe 工具来执行这些操作。modprobe 具有多项重要优势,包括自动解析依赖项和将内核模块列入黑名单。

如果不指定任何参数,使用 modprobe 命令会安装指定的内核模块。必须使用 root 特权来运行 modprobe

tux > sudo modprobe acpi

要去除内核模块,请使用 -r 参数:

sudo modprobe -r acpi

20.2.1 引导时自动装载内核模块

您可以选择不手动装载内核模块,而是使用 system-modules-load.service 服务在引导过程中自动装载这些模块。要启用内核模块,请将 .conf 文件添加到 /etc/modules-load.d/ 目录下。建议为配置文件指定与模块相同的名称,例如:

/etc/modules-load.d/rt2800usb.conf

配置文件中必须包含所需内核模块的名称(例如 rt2800usb)。

通过上述的这个技巧,无需指定任何参数即可装载内核模块。如果您需要使用特定选项装载内核模块,请将配置文件添加到 /etc/modprobe.d/ 目录下。该文件的扩展名必须为 .conf。文件名必须符合以下命名约定:priority-modulename.conf,例如:50-thinkfan.conf。配置文件中必须包含内核模块名称及所需参数。您可以使用以下示例命令来创建包含内核模块名称及其参数的配置文件:

echo "options thinkpad_acpi fan_control=1" | sudo tee /etc/modprobe.d/thinkfan.conf
注意
注意:装载内核模块

当检测到设备或用户空间请求特定功能时,系统会自动装载大多数内核模块。因此,很少需要手动将模块添加到 /etc/modules-load.d/

20.2.2 使用 modprobe 将内核模块列入黑名单

将某个内核模块列入黑名单后,引导期间便不再会装载该模块。当要禁用您怀疑可能导致系统出现问题的某个模块时,此功能十分有用。请注意,您仍可通过使用 insmodmodprobe 工具来手动装载列入黑名单的内核模块。

要将模块列入黑名单,请在 /etc/modprobe.d/50-blacklist.conf 文件中添加 blacklist MODULE_NAME 行。例如:

blacklist nouveau

以 root 身份运行 mkinitrd 命令生成新的 initrd 映像,然后重引导计算机。可使用以下命令执行上述步骤:

su
echo "blacklist nouveau" >> /etc/modprobe.d/50-blacklist.conf && mkinitrd && reboot

如果只想临时禁用内核模块,可在引导期间即时将其列入黑名单。要实现此目的,请在引导屏幕显示时按 E 键。这样,您会进入一个可供您修改引导参数的小编辑器。找到如下所示的行:

linux /boot/vmlinuz...splash= silent quiet showopts

在该行末尾添加 modprobe.blacklist=MODULE_NAME 命令。例如:

linux /boot/vmlinuz...splash= silent quiet showopts modprobe.blacklist=nouveau

F10CtrlX 以按照指定配置引导。

要通过 GRUB 将某个内核模块永久列入黑名单,请打开要编辑的 /etc/default/grub 文件,在 GRUB_CMD_LINUX 命令中添加 modprobe.blacklist=MODULE_NAME 选项。然后运行 sudo grub2-mkconfig -o /boot/grub2/grub.cfg 命令使更改生效。

21 使用 udev 进行动态内核设备管理

内核几乎可以添加或删除运行系统中的任何设备。设备状态的更改(无论插入还是移除设备)需要传播给用户空间。插