Merge remote-tracking branch 'LCTT/master'

2025-01-16 22:42:21 +08:00 · 2018-08-09 14:53:52 +08:00 · 2018-08-09 14:53:52 +08:00 · 88b2e92dde
commit 88b2e92dde
parent 321455a5dd 93deeb3e65
8 changed files with 398 additions and 803 deletions
--- a/published/20180615
+++ b/published/20180615
@ -0,0 +1,156 @@
+用以检查 Linux 内存使用的 5 个命令
+======
+
+> 对于 Linux 管理员来说，检查系统内存用量是一个重要的技能。Jack 给出了解决这个问题的五种不同方式。
+
+![](https://www.linux.com/sites/lcom/files/styles/rendered_file/public/top-main.jpg?itok=WYAw6yJ1)
+
+Linux 操作系统包含大量工具，所有这些工具都可以帮助你管理系统。从简单的文件和目录工具到非常复杂的安全命令，在 Linux 中没有多少是你做不了的。而且，尽管普通桌面用户可能不需要在命令行熟悉这些工具，但对于 Linux 管理员来说，它们是必需的。为什么？首先，你在某些时候不得不使用没有 GUI 的 Linux 服务器。其次，命令行工具通常比 GUI 替代工具提供更多的功能和灵活性。
+
+确定内存使用情况是你可能需要的技能，尤其是某个应用程序变得异常和占用系统内存时。当发生这种情况时，知道有多种工具可以帮助你进行故障排除十分方便的。或者，你可能需要收集有关 Linux 交换分区的信息，或者有关安装的内存的详细信息？对于这些也有相应的命令。让我们深入了解各种 Linux 命令行工具，以帮助你检查系统内存使用情况。这些工具并不是非常难以使用，在本文中，我将向你展示五种不同的方法来解决这个问题。
+
+我将在 [Ubuntu 18.04 服务器平台][1]上进行演示，但是你应该在你选择的发行版中找到对应的所有命令。更妙的是，你不需要安装任何东西（因为大多数这些工具都包含 Linux 系统中）。
+
+话虽如此，让我们开始工作吧。
+
+### top
+
+我想从最常用的工具开始。`top` 命令提供正在运行的系统的实时动态视图，它检查每个进程的内存使用情况。这非常重要，因为你可以轻松地看到同一命令的多个示例消耗不同的内存量。虽然你无法在没有显示器的服务器上看到这种情况，但是你已经注意到打开 Chrome 使你的系统速度变慢了。运行 `top` 命令以查看 Chrome 有多个进程在运行（每个选项卡一个 - 图 1）。
+
+![top][3]
+
+*图1：top 命令中出现多个 Chrome 进程。*
+
+Chrome 并不是唯一显示多个进程的应用。你看到图 1 中的 Firefox 了吗？那是 Firefox 的主进程，而 Web Content 进程是其打开的选项卡。在输出的顶部，你将看到系统统计信息。在我的机器上（[System76 Leopard Extreme][5]），我总共有 16GB 可用 RAM，其中只有超过 10GB 的 RAM 正在使用中。然后，你可以整理该列表，查看每个进程使用的内存百分比。
+
+`top` 最好的地方之一就是发现可能已经失控的服务的进程 ID 号（PID）。有了这些 PID，你可以对有问题的任务进行故障排除（或 `kill`）。
+
+如果你想让 `top` 显示更友好的内存信息，使用命令 `top -o ％MEM`，这会使 `top` 按进程所用内存对所有进程进行排序（图 2）。
+
+![top][7]
+
+*图 2：在 top 命令中按使用内存对进程排序*
+
+`top` 命令还为你提供有关使用了多少交换空间的实时更新。
+
+### free
+
+然而有时候，`top` 命令可能不能满足你的需求。你可能只需要查看系统的可用和已用内存。对此，Linux 还有 `free` 命令。`free` 命令显示：
+
+* 可用和已使用的物理内存总量
+* 系统中交换内存的总量
+* 内核使用的缓冲区和缓存
+
+在终端窗口中，输入 `free` 命令。它的输出不是实时的，相反，你将获得的是当前空闲和已用内存的即时快照（图 3）。
+
+![free][9]
+
+*图 3 ：free 命令的输出简单明了。*
+
+当然，你可以通过添加 `-m` 选项来让 `free` 显示得更友好一点，就像这样：`free -m`。这将显示内存的使用情况，以 MB 为单位（图 4）。
+
+![free][11]
+
+*图 4：free 命令以一种更易于阅读的形式输出。*
+
+当然，如果你的系统是很新的，你将希望使用 `-g` 选项（以 GB 为单位），比如 `free -g`。
+
+如果你需要知道内存总量，你可以添加 `-t` 选项，比如：`free -mt`。这将简单地计算每列中的内存总量（图 5）。
+
+![total][13]
+
+*图 5：为你提供空闲的内存列。*
+
+### vmstat
+
+另一个非常方便的工具是 `vmstat`。这个特殊的命令是一个报告虚拟内存统计信息的小技巧。`vmstat` 命令将报告关于：
+
+* 进程
+* 内存
+* 分页
+* 阻塞 IO
+* 中断
+* 磁盘
+* CPU
+
+使用 `vmstat` 的最佳方法是使用 `-s` 选项，如 `vmstat -s`。这将在单列中报告统计信息（这比默认报告更容易阅读）。`vmstat` 命令将提供比你需要的更多的信息（图 6），但更多的总是更好的（在这种情况下）。
+
+![vmstat][15]
+
+*图 6：使用 vmstat 命令来检查内存使用情况。*
+
+### dmidecode
+
+如果你想找到关于已安装的系统内存的详细信息，该怎么办？为此，你可以使用 `dmidecode` 命令。这个特殊的工具是 DMI 表解码器，它将系统的 DMI 表内容转储成人类可读的格式。如果你不清楚 DMI 表是什么，那么可以这样说，它可以用来描述系统的构成（以及系统的演变）。
+
+要运行 `dmidecode` 命令，你需要 `sudo` 权限。因此输入命令 `sudo dmidecode -t 17`。该命令的输出（图 7）可能很长，因为它显示所有内存类型设备的信息。因此，如果你无法上下滚动，则可能需要将该命令的输出发送到一个文件中，比如：`sudo dmidecode -t 17> dmi_infoI`，或将其传递给 `less` 命令，如 `sudo dmidecode | less`。
+
+![dmidecode][17]
+
+*图 7：dmidecode 命令的输出。*
+
+### /proc/meminfo
+
+你可能会问自己：“这些命令从哪里获取这些信息？”在某些情况下，它们从 `/proc/meminfo` 文件中获取。猜到了吗？你可以使用命令 `less /proc/meminfo` 直接读取该文件。通过使用 `less` 命令，你可以在长长的输出中向上和向下滚动，以准确找到你需要的内容（图 8）。
+
+![/proc/meminfo][19]
+
+*图 8：less /proc/meminfo 命令的输出。*
+
+关于 `/proc/meminfo` 你应该知道：这不是一个真实的文件。相反 `/proc/meminfo` 是一个虚拟文件，包含有关系统的实时动态信息。特别是，你需要检查以下值：
+
+  * 全部内存（`MemTotal`）
+  * 空闲内存（`MemFree`）
+  * 可用内存（`MemAvailable`）
+  * 缓冲区（`Buffers`）
+  * 文件缓存（`Cached`）
+  * 交换缓存（`SwapCached`）
+  * 全部交换区（`SwapTotal`）
+  * 空闲交换区（`SwapFree`）
+
+如果你想使用 `/proc/meminfo`，你可以连接 egrep 命令使用它：`egrep --color'Mem | Cache | Swap'/proc/meminfo`。这将生成一个易于阅读的列表，其中包含 `Mem`、 `Cache` 和 `Swap` 等内容的条目将是彩色的（图 9）。
+
+![/proc/meminfo][21]
+
+*图 9：让 /proc/meminfo 更容易阅读。*
+
+### 继续学习
+
+你要做的第一件事就是阅读每个命令的手册页（例如 `man top`、`man free`、`man vmstat`、`man dmidecode`）。从命令的手册页开始，对于如何在 Linux 上使用一个工具，它总是一个很好的学习方法。
+
+通过 Linux 基金会和 edX 的免费 [“Linux 简介”][22]课程了解有关 Linux 的更多知识。
+
+--------------------------------------------------------------------------------
+
+via: https://www.linux.com/learn/5-commands-checking-memory-usage-linux
+
+作者：[Jack Wallen][a]
+选题：[lujun9972](https://github.com/lujun9972)
+译者：[MjSeven](https://github.com/MjSeven)
+校对：[wxy](https://github.com/wxy)
+
+本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译，[Linux中国](https://linux.cn/) 荣誉推出
+
+[a]:https://www.linux.com/users/jlwallen
+[1]:https://www.ubuntu.com/download/server
+[2]:/files/images/memory1jpg
+[3]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_1.jpg?itok=fhhhUL_l (top)
+[4]:/licenses/category/used-permission
+[5]:https://system76.com/desktops/leopard
+[6]:/files/images/memory2jpg
+[7]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_2.jpg?itok=zuVkQfvv (top)
+[8]:/files/images/memory3jpg
+[9]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_3.jpg?itok=rvuQp3t0 (free)
+[10]:/files/images/memory4jpg
+[11]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_4.jpg?itok=K_luLLPt (free)
+[12]:/files/images/memory5jpg
+[13]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_5.jpg?itok=q50atcsX (total)
+[14]:/files/images/memory6jpg
+[15]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_6.jpg?itok=bwFnUVmy (vmstat)
+[16]:/files/images/memory7jpg
+[17]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_7.jpg?itok=UNHIT_P6 (dmidecode)
+[18]:/files/images/memory8jpg
+[19]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_8.jpg?itok=t87jvmJJ (/proc/meminfo)
+[20]:/files/images/memory9jpg
+[21]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_9.jpg?itok=t-iSMEKq (/proc/meminfo)
+[22]:https://training.linuxfoundation.org/linux-courses/system-administration-training/introduction-to-linux
--- a/published/20180712
+++ b/published/20180712
@ -0,0 +1,171 @@
+系统管理员的 SELinux 指南：这个大问题的 42 个答案
+======
+
+> 获取有关生活、宇宙和除了有关 SELinux 的重要问题的答案
+
+![](https://opensource.com/sites/default/files/styles/image-full-size/public/lead-images/security-lock-password.jpg?itok=KJMdkKum)
+
+> “一个重要而普遍的事实是，事情并不总是你看上去的那样 …”
+>  ―Douglas Adams，《银河系漫游指南》
+
+安全、坚固、遵从性、策略是末世中系统管理员的四骑士。除了我们的日常任务之外 —— 监控、备份、实施、调优、更新等等 —— 我们还需要负责我们的系统安全。即使这些系统是第三方提供商告诉我们该禁用增强安全性的系统。这看起来像《碟中碟》中 [Ethan Hunt][1] 的工作一样。
+
+面对这种窘境，一些系统管理员决定去[服用蓝色小药丸][2]，因为他们认为他们永远也不会知道如生命、宇宙、以及其它一些大问题的答案。而我们都知道，它的答案就是这个 **[42][3]**。
+
+按《银河系漫游指南》的精神，这里是关于在你的系统上管理和使用 [SELinux][4] 这个大问题的 42 个答案。
+
+1. SELinux 是一个标签系统，这意味着每个进程都有一个标签。每个文件、目录、以及系统对象都有一个标签。策略规则负责控制标签化的进程和标签化的对象之间的访问。由内核强制执行这些规则。
+2. 两个最重要的概念是：标签化（文件、进程、端口等等）和类型强制（基于不同的类型隔离不同的的进程）。
+3. 正确的标签格式是 `user:role:type:level`（可选）。
+4. <ruby>多级别安全<rt>Multi-Level Security</rt></ruby>（MLS）强制的目的是基于它们所使用数据的安全级别，对进程（域）强制实施控制。比如，一个秘密级别的进程是不能读取极机密级别的数据。
+5. <ruby>多类别安全<rt>Multi-Category Security</rt></ruby>（MCS）强制相互保护相似的进程（如虚拟机、OpenShift gears、SELinux 沙盒、容器等等）。
+6. 在启动时改变 SELinux 模式的内核参数有：
+    * `autorelabel=1` → 强制给系统重新标签化
+    * `selinux=0` → 内核不加载 SELinux 基础设施的任何部分
+    * `enforcing=0` → 以<ruby>许可<rt>permissive</rt></ruby>模式启动
+7. 如果给整个系统重新标签化：
+
+	```
+	# touch /.autorelabel 
+	# reboot
+	```
+如果系统标签中有大量的错误，为了能够让 autorelabel 成功，你可以用许可模式引导系统。
+8. 检查 SELinux 是否启用：`# getenforce`
+9. 临时启用/禁用 SELinux：`# setenforce [1|0]`
+10. SELinux 状态工具：`# sestatus`
+11. 配置文件：`/etc/selinux/config`
+12. SELinux 是如何工作的？这是一个为 Apache Web Server 标签化的示例：
+    * 二进制文件：`/usr/sbin/httpd`→`httpd_exec_t`
+    * 配置文件目录：`/etc/httpd`→`httpd_config_t`
+    * 日志文件目录：`/var/log/httpd` → `httpd_log_t`
+    * 内容目录：`/var/www/html` → `httpd_sys_content_t`
+    * 启动脚本：`/usr/lib/systemd/system/httpd.service` → `httpd_unit_file_d`
+    * 进程：`/usr/sbin/httpd -DFOREGROUND` → `httpd_t`
+    * 端口：`80/tcp, 443/tcp` → `httpd_t, http_port_t`
+	
+	在 `httpd_t` 安全上下文中运行的一个进程可以与具有 `httpd_something_t` 标签的对象交互。
+13. 许多命令都可以接收一个 `-Z` 参数去查看、创建、和修改安全上下文：
+    * `ls -Z`
+    * `id -Z`
+    * `ps -Z`
+    * `netstat -Z`
+    * `cp -Z`
+    * `mkdir -Z`
+    
+	当文件被创建时，它们的安全上下文会根据它们父目录的安全上下文来创建（可能有某些例外）。RPM 可以在安装过程中设定安全上下文。
+14. 这里有导致 SELinux 出错的四个关键原因，它们将在下面的 15 - 21 条中展开描述：
+    * 标签化问题
+    * SELinux 需要知道一些东西
+    * SELinux 策略或者应用有 bug
+    * 你的信息可能被损坏
+15. 标签化问题：如果在 `/srv/myweb` 中你的文件没有被正确的标签化，访问可能会被拒绝。这里有一些修复这类问题的方法：
+    * 如果你知道标签：`# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'`
+    * 如果你知道和它有相同标签的文件：`# semanage fcontext -a -e /srv/myweb /var/www`
+    * 恢复安全上下文（对于以上两种情况）：`# restorecon -vR /srv/myweb`
+16. 标签化问题：如果你是移动了一个文件，而不是去复制它，那么这个文件将保持原始的环境。修复这类问题：
+    * 使用标签来改变安全上下文：`# chcon -t httpd_system_content_t /var/www/html/index.html`
+    *  使用参考文件的标签来改变安全上下文：`# chcon --reference /var/www/html/ /var/www/html/index.html`
+    * 恢复安全上下文（对于以上两种情况）：`# restorecon -vR /var/www/html/`
+17. 如果 SELinux 需要知道 HTTPD 在 8585 端口上监听，使用下列命令告诉 SELinux：`# semanage port -a -t http_port_t -p tcp 8585`
+18. SELinux 需要知道是否允许在运行时改变 SELinux 策略部分，而无需重写 SELinux 策略。例如，如果希望 httpd 去发送邮件，输入：`# setsebool -P httpd_can_sendmail 1`
+19. SELinux 需要知道 SELinux 设置的关闭或打开的一系列布尔值：
+    * 查看所有的布尔值：`# getsebool -a`
+    * 查看每个布尔值的描述：`# semanage boolean -l`
+    * 设置某个布尔值：`# setsebool [_boolean_] [1|0]`
+    * 将它配置为永久值，添加 `-P` 标志。例如：`# setsebool httpd_enable_ftp_server 1 -P`
+20. SELinux 策略/应用可能有 bug，包括：
+    * 不寻常的代码路径
+    * 配置
+    * 重定向 `stdout`
+    * 泄露的文件描述符
+    * 可执行内存
+    * 错误构建的库
+
+	开一个工单（但不要提交 Bugzilla 报告；使用 Bugzilla 没有对应的服务）
+21. 你的信息可能被损坏了，假如你被限制在某个区域，尝试这样做：
+    * 加载内核模块
+    * 关闭 SELinux 的强制模式
+    * 写入 `etc_t/shadow_t`
+    * 修改 iptables 规则
+22. 用于开发策略模块的 SELinux 工具：`# yum -y install setroubleshoot setroubleshoot-server`。安装完成之后重引导机器或重启 `auditd` 服务。
+23. 使用 `journalctl` 去列出所有与 `setroubleshoot` 相关的日志：`# journalctl -t setroubleshoot --since=14:20`
+24. 使用 `journalctl` 去列出所有与特定 SELinux 标签相关的日志。例如：`# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0`
+25. 当 SELinux 错误发生时，使用`setroubleshoot` 的日志，并尝试找到某些可能的解决方法。例如：从  `journalctl` 中：
+	```
+	Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
+
+	# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
+SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.
+
+	***** Plugin restorecon (99.5 confidence) suggests ************************
+
+	If you want to fix the label,
+	/var/www/html/index.html default label should be httpd_syscontent_t.
+	Then you can restorecon.
+	Do
+	# /sbin/restorecon -v /var/www/html/index.html
+```
+26. 日志：SELinux 记录的信息全在这些地方：
+    * `/var/log/messages`
+    * `/var/log/audit/audit.log`
+    * `/var/lib/setroubleshoot/setroubleshoot_database.xml`
+27. 日志：在审计日志中查找 SELinux 错误：`# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today`
+28. 针对特定的服务，搜索 SELinux 的<ruby>访问向量缓存<rt>Access Vector Cache</rt></ruby>（AVC）信息：`# ausearch -m avc -c httpd`
+29. `audit2allow` 实用工具可以通过从日志中搜集有关被拒绝的操作，然后生成 SELinux 策略允许的规则，例如：
+    * 产生一个人类可读的关于为什么拒绝访问的描述：`# audit2allow -w -a`
+    * 查看允许被拒绝的类型强制规则：`# audit2allow -a`
+    * 创建一个自定义模块：`# audit2allow -a -M mypolicy`，其中 `-M` 选项将创建一个特定名称的强制类型文件（.te），并编译这个规则到一个策略包（.pp）中：`mypolicy.pp mypolicy.te`
+    * 安装自定义模块：`# semodule -i mypolicy.pp`
+30. 配置单个进程（域）运行在许可模式：`# semanage permissive -a httpd_t`
+31. 如果不再希望一个域在许可模式中：`# semanage permissive -d httpd_t`
+32. 禁用所有的许可域：`# semodule -d permissivedomains`
+33. 启用  SELinux MLS 策略：`# yum install selinux-policy-mls`。
+	在 `/etc/selinux/config` 中：
+	```
+	SELINUX=permissive
+	SELINUXTYPE=mls
+	```
+	确保 SELinux 运行在许可模式：`# setenforce 0`
+	
+	使用 `fixfiles` 脚本来确保在下一次重启时文件将被重新标签化：`# fixfiles -F onboot # reboot`
+34. 创建一个带有特定 MLS 范围的用户：`# useradd -Z staff_u john`
+
+	使用 `useradd` 命令，映射新用户到一个已存在的 SELinux 用户（上面例子中是 `staff_u`）。
+35. 查看 SELinux 和 Linux 用户之间的映射：`# semanage login -l`
+36. 为用户定义一个指定的范围：`# semanage login --modify --range s2:c100 john`
+37. 调整用户家目录上的标签（如果需要的话）：`# chcon -R -l s2:c100 /home/john`
+38. 列出当前类别：`# chcat -L`
+39. 修改类别或者创建你自己的分类，修改如下文件：`/etc/selinux/_<selinuxtype>_/setrans.conf`
+40. 以某个特定的文件、角色和用户安全上下文来运行一个命令或者脚本：`# runcon -t initrc_t -r system_r -u user_u yourcommandhere`
+    * `-t` 是文件安全上下文
+    * `-r` 是角色安全上下文
+    * `-u` 是用户安全上下文
+41. 在容器中禁用 SELinux：
+    * 使用 Podman：`# podman run --security-opt label=disable ...`
+    * 使用 Docker：`# docker run --security-opt label=disable ...`
+42. 如果需要给容器提供完全访问系统的权限：
+    * 使用 Podman：`# podman run --privileged ...`
+    * 使用 Docker：`# docker run --privileged ...`
+
+就这些了，你已经知道了答案。因此请相信我：**不用恐慌，去打开 SELinux 吧**。
+
+### 作者简介
+
+Alex Callejas 是位于墨西哥城的红帽公司拉丁美洲区的一名技术客服经理。作为一名系统管理员，他已有超过 10 年的经验。在基础设施强化方面具有很强的专业知识。对开源抱有热情，通过在不同的公共事件和大学中分享他的知识来支持社区。天生的极客，当然他一般选择使用 Fedora Linux 发行版。[这里][11]有更多关于他的信息。
+
+--------------------------------------------------------------------------------
+
+via: https://opensource.com/article/18/7/sysadmin-guide-selinux
+
+作者：[Alex Callejas][a]
+选题：[lujun9972](https://github.com/lujun9972)
+译者：[qhwdw](https://github.com/qhwdw), [FSSlc](https://github.com/FSSlc)
+校对：[wxy](https://github.com/wxy)
+
+本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译，[Linux中国](https://linux.cn/) 荣誉推出
+
+[a]:https://opensource.com/users/darkaxl
+[1]:https://en.wikipedia.org/wiki/Ethan_Hunt
+[2]:https://en.wikipedia.org/wiki/Red_pill_and_blue_pill
+[3]:https://en.wikipedia.org/wiki/Phrases_from_The_Hitchhiker%27s_Guide_to_the_Galaxy#Answer_to_the_Ultimate_Question_of_Life,_the_Universe,_and_Everything_%2842%29
+[4]:https://en.wikipedia.org/wiki/Security-Enhanced_Linux
--- a/sources/tech/20171101
+++ b/sources/tech/20171101
@ -1,71 +0,0 @@
-translating---geekpi
-
-Linux command line tools for working with non-Linux users
-======
-![](https://images.techhive.com/images/article/2016/06/linux-shell-100666628-large.jpg)
-I spend most of my computing life in the Shell (command line, terminal or whatever you want to call it on your platform of choice). This can be a bit challenging, though, when I need to work with large groups of other people, especially in big enterprise companies that -- well -- use anything but the Shell.
-
-The problems that crop up are made worse when other people within your company use a different platform than you. I tend to use Linux. If I'm doing a lot of my daily work from a Linux terminal and the bulk of my co-workers use Windows 10 (entirely from the GUI side), things can get … problematic.
-
- **Also on Network World:**[ **11 pointless but awesome Linux terminal tricks**][1]
-
-Luckily, over the past few years, I've figured out how to deal with these problems. I've found ways to make using a Linux (or other Unix-like systems) Shell much more doable within a non-Unix, corporate environment. These tools/tips apply equally well for SysAdmins working on a company's servers as they do for developers or marketing people.
-
-## Command line tools for working with non-Linux users
-
-Let's start by focusing on the two areas that seem to be the hardest to solve for many people in big companies: document compatibility and enterprise instant messaging.
-
-### Document compatibility between Linux and non-Linux systems
-
-One of the biggest issues that crops up is that of simple word processing document compatibility.
-
-Let's say your company has standardized on Microsoft Office. This makes you sad. But do not lose hope! There are ways to make this (mostly) work -- even from the Shell.
-
-Two tools are critical in my arsenal: [Pandoc][2] and [Wordgrinder][3].
-
-Wordgrinder is a simple, straight-to-the-point word processor. It may not be as full-featured as LibreOffice (or, really, any major GUI word-processing application), but it's fast. It's stable. And it supports just enough features (and file formats) to get the job done. In fact, I write the majority of my articles and books entirely in Wordgrinder.
-
-But there's a problem (you knew there had to be).
-
-Wordgrinder doesn't support .doc (or .docx) files. That means it can't read most files that your Windows- and MS Office-using co-workers send you.
-
-That's where Pandoc comes in. It's a simple document converter that takes a wide range of files as input (MS Word, LibreOffice, HTML, markdown, etc.) and converts them to something else. The number of formats supported here is absolutely phenomenal -- PDF, ePub, various slideshow formats. It really makes converting documents between formats a breeze.
-
-That's not to say I don't occasionally encounter formatting or feature issues. Converting a Word document that has a lot of custom formatting, some scripting, and an embedded chart? Yeah, a lot of that will be lost in the process.
-
-But in practical terms, the combination of Pandoc (for converting files) and Wordgrinder (for document editing) has proven quite capable and powerful.
-
-### Corporate instant messaging between Linux and non-Linux systems
-
-Every company likes to standardize on an instant messaging system -- something for all employees to use to keep in real-time contact.
-
-From the command line, this can get tricky. What if your company uses Google Hangouts? Or how about Novell GroupWise Messenger? Neither have officially supported, terminal-based clients.
-
-Thank goodness, then, for [Finch & Hangups][4].
-
-Finch is sort of the terminal version of Pidgin (the open-source, multi-protocol messenger client). It supports a wide variety of protocols, including Novell GroupWise, (the soon to be dead) AOL Instant Messenger, and a bunch of others.
-
-And Hangups is an open implementation of a Google Hangouts client -- complete with message history and a nice tabbed interface.
-
-Neither of these solutions will provide you with voice or video chat capabilities, but for text-based messaging, they work delightfully well. They aren't perfect (the user interface of Finch takes some getting used to), but they're definitely good enough to keep in touch with your co-workers.
-
-Will these solutions allow you to spend your entire work day within the comforts of a text-only Shell? Probably not. Personally, I find that (with these tools, and others) I can comfortably spend roughly 80 percent of my day in a text-only interface.
-
-Which feels pretty darn great.
-
-
--------------------------------------------------------------------------------
-
-via: https://www.networkworld.com/article/3235688/linux/linux-command-line-tools-for-working-with-non-linux-users.html
-
-作者：[Bryan Lunduke][a]
-译者：[译者ID](https://github.com/译者ID)
-校对：[校对者ID](https://github.com/校对者ID)
-
-本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译，[Linux中国](https://linux.cn/) 荣誉推出
-
-[a]:https://www.networkworld.com/author/Bryan-Lunduke/
-[1]:http://www.networkworld.com/article/2926630/linux/11-pointless-but-awesome-linux-terminal-tricks.html#tk.nww-fsb
-[2]:https://www.youtube.com/watch?v=BkTYHChkDoE
-[3]:https://www.youtube.com/watch?v=WnMyamBgKFE
-[4]:https://www.youtube.com/watch?v=19lbWnYOsTc
--- a/sources/tech/20180806
+++ b/sources/tech/20180806
@ -1,3 +1,5 @@
+translating---geekpi
+
 Learn Python programming the easy way with EduBlocks
 ======

--- a/translated/tech/20171101
+++ b/translated/tech/20171101
@ -0,0 +1,69 @@
+用于与非 Linux 用户合作的 Linux 命令行工具
+======
+![](https://images.techhive.com/images/article/2016/06/linux-shell-100666628-large.jpg)
+我大部分时间都在使用 Shell（命令行，终端或其他不管在你使用的平台上的名称）上。但是，当我需要与大量其他人合作时，这可能会有点挑战，特别是在大型企业公司中 - 除了 shell 外其他都使用。
+
+当公司内的其他人使用与你不同的平台时，问题就会变得更加严重。我倾向于使用 Linux。如果我在 Linux 终端上做了很多日常工作，而我的大多数同事都使用 Windows 10（完全使用 GUI 端），那么事情就会变得有问题。
+
+**Network World 上另外一篇文章：**[**11 个没用但很酷的 Linux 终端技巧**][1]
+
+幸运的是，在过去的几年里，我已经想出如何处理这些问题。我已经找到了在非 Unix 的企业环境中使用 Linux（或其他类 Unix 系统）Shell 的方法。这些工具/技巧同样适用于在公司服务器上工作的系统管理员s，就像对开发人员或营销人员一样。。
+
+## 用于与非 Linux 用户合作的 Linux 命令行工具
+
+让我们首先关注对于大公司中的许多人来说似乎最难解决的两个方面：文档兼容性和企业即时消息。
+
+### Linux 和非 Linux 系统之间的文档兼容性
+
+出现的最大问题之一是简单的文字处理文档兼容性。
+
+假设你的公司已在 Microsoft Office 上进行了标准化。这让你难过。但不要失去希望！有很多方法可以使它（基本）可用 - 甚至在 shell 中。
+
+两个工具在我的武器库中至关重要：[Pandoc][2] 和 [Wordgrinder][3]。
+
+Wordgrinder 是一个简单，直观的文字处理器。它可能不像 LibreOffice 那样功能齐全（或者，实际上，任何主要的 GUI 文字处理应用程序），但速度很快。它很稳定。它有足够的功能（和文件格式）来完成工作。事实上，我完全在 Wordgrinder 中写了我的大部分文章和书籍。
+
+但是有一个问题（你知道肯定会有）。
+
+Wordgrinder 不支持 .doc（或 .docx）文件。这意味着它无法读取使用 Windows 和 MS Office 的同事发送给你的大多数文件。
+
+这就是P andoc 的用武之地。它是一个简单的文档转换器，可以将各种文件作为输入（MS Word、LibreOffice、HTML、markdown 等）并将它们转换为其他内容。它支持的格式数量绝对是惊人的 - PDF、ePub、各种幻灯片格式。它确实使格式之间的文档转换变得轻而易举。
+
+这并不是说我不会偶尔遇到格式或功能问题。转换有大量自定义格式，某些脚本和嵌入式图表的 Word 文档？是的，在这个过程中会丢失很多。
+
+但实际上，Pandoc（用于转换文件）和 Wordgrinder（用于文档编辑）的组合已经证明非常有用和强大。
+
+###  Linux 和非 Linux 系统之间的企业即时消息传递
+
+每家公司都喜欢在即时通讯系统上实现标准化 - 所有员工都可以使用它来保持实时联系。
+
+在命令行中，这可能会变得棘手。如果贵公司使用 Google 环聊怎么办？或者 Novell GroupWise Messenger 怎么样？既没有官方支持，也没有基于终端的客户端。
+
+谢天谢地，还有[ Finch 和 Hangups][4]。
+
+Finch 是 Pidgin（开源，多协议消息客户端）的终端版本。它支持各种协议，包括 Novell GroupWise、（很快会死）AOL Instant Messenger 以及其他一些协议。
+
+而 Hangups 是 Google Hangouts 客户端的开源实现 - 包含消息历史记录和精美的标签界面。
+
+这些方案都不会为你提供语音或视频聊天功能，但对于基于文本的消息，它们的工作得非常好。它们并不完美（Finch 的用户界面需要时间习惯），但它们肯定足以与你的同事保持联系。
+
+这些方案能否让你在纯文本 shell 中舒适地过完一个工作日？可能不会。就个人而言，我发现（使用这些工具和其他工具）我可以轻松地将 80％ 的时间花在纯文本界面上。
+
+这感觉很棒。
+
+
+--------------------------------------------------------------------------------
+
+via: https://www.networkworld.com/article/3235688/linux/linux-command-line-tools-for-working-with-non-linux-users.html
+
+作者：[Bryan Lunduke][a]
+译者：[geekpi](https://github.com/geekpi)
+校对：[校对者ID](https://github.com/校对者ID)
+
+本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译，[Linux中国](https://linux.cn/) 荣誉推出
+
+[a]:https://www.networkworld.com/author/Bryan-Lunduke/
+[1]:http://www.networkworld.com/article/2926630/linux/11-pointless-but-awesome-linux-terminal-tricks.html#tk.nww-fsb
+[2]:https://www.youtube.com/watch?v=BkTYHChkDoE
+[3]:https://www.youtube.com/watch?v=WnMyamBgKFE
+[4]:https://www.youtube.com/watch?v=19lbWnYOsTc
--- a/translated/tech/20180615
+++ b/translated/tech/20180615
@ -1,190 +0,0 @@
-用以检查 Linux 内存使用的 5 个命令
-======
-
-![](https://www.linux.com/sites/lcom/files/styles/rendered_file/public/top-main.jpg?itok=WYAw6yJ1)
-Linux 操作系统包含大量工具，所有这些工具都可以帮助你管理系统。从简单的文件和目录工具到非常复杂的安全命令，在 Linux 中没有多少是你做不了的。而且，尽管普通桌面用户可能不需要在命令行熟悉这些工具，但对于 Linux 管理员来说，它们是必需的。为什么？首先，你在某些时候不得不使用没有 GUI 的 Linux 服务器。其次，命令行工具通常比 GUI 替代工具提供更多的功能和灵活性。
-
-确定内存使用情况是你可能需要的技能，尤其是特定应用程序变为流氓和占用系统内存时。当发生这种情况时，知道有多种工具可以帮助你进行故障排除十分方便的。或者，你可能需要收集有关 Linux 交换分区的信息，或者有关安装的 RAM 的详细信息？对于这些也有相应的命令。让我们深入了解各种 Linux 命令行工具，以帮助你检查系统内存使用情况。这些工具并不是非常难以使用，在本文中，我将向你展示五种不同的方法来解决这个问题。
-
-我将在 [Ubuntu 18.04 服务器平台][1]上进行演示，但是你应该在你选择的发行版中找到对应的所有命令。更妙的是，你不需要安装任何东西（因为大多数这些工具都包含 Linux 系统中）。
-
-话虽如此，让我们开始工作吧。
-
-### top
-
-我想从最明显的工具开始。top 命令提供正在运行的系统的动态实时视图，它检查每个进程的内存使用情况。这非常重要，因为你可以轻松地对同一命令的多次迭代消耗不同的内存量。虽然你无法在没有外设的服务器上找到它，但是你已经注意到打开 Chrome 使你的系统速度变慢了。发出 top 命令以查看 Chrome 有多个进程在运行（每个选项卡一个 - 图 1）。
-
-![top][3]
-
-图1：top 命令中出现多个 Chrome 进程。
-
-（to 校正者：不知道这句话什么意思，难道是是否允许转载的？）
-[Used with permission][4]
-
-Chrome 并不是唯一显示多个进程的应用。你看到图 1 中的 Firefox 了吗？那是 Firefox 的主进程，而 Web Content 进程是其打开的选项卡。在输出的顶部，你将看到系统统计信息。在我的机器上（[System76 Leopard Extreme][5]），我总共有 16GB 可用 RAM，其中只有超过 10GB 的 RAM 正在使用中。然后，你可以整理列表，查看每个进程使用的内存百分比。
-
-top 最好的事情之一就是发现可能已经失控的进程 ID（PID）服务数量。有了这些 PID，你可以对有问题的任务进行故障排除（或 kill）。
-
-如果你想让 top 显示更友好的内存信息，使用命令 top -o％MEM，这会使 top 按进程所用内存对所有进程进行排序（图 2）。
-
-
-![top][7]
-
-图 2：在 top 命令中按使用内存对进程排序
-
-[Used with permission][4]
-
-top 命令还为你提供有关使用了多少交换空间的实时更新。
-
-### free
-
-然而有时候，top 命令可能不会满足你的需求。你可能只需要查看系统的可用和已用内存。对此，Linux 还有 free 命令。free 命令显示：
-(to 校正者：以下这种可能翻译得不太准确，望纠正)
-* 可用和已使用的物理内存总量
-
-* 系统中交换内存的总量
-
-* 内核使用的缓冲区和缓存
-
-在终端窗口中，输入 free 命令。它的输出不是实时的，相反，你将获得的是当前空闲和已用内存的即时快照（图 3）。
-
-![free][9]
-
-图 3 ：free 命令的输出简单明了。
-
-[Used with permission][4]
-
-当然，你可以通过添加 -m 选项来让 free 显示得更友好一点，就像这样：free -m。这将显示内存的使用情况，以 MB 为单位（图 4）。
-
-![free][11]
-
-图 4：free 命令以一种更易于阅读的形式输出。
-
-[Used with permission][4]
-
-当然，如果你的系统是远程的，你将希望使用 -g 选项（以 GB 为单位），比如 free -g。
-
-如果你需要内存总量，你可以添加 t 选项，比如：free -mt。这将简单地计算每列中的内存总量（图 5）。
-
-![total][13]
-
-图 5：为你提供空闲的内存列。
-
-[Used with permission][4]
-
-### vmstat
-
-另一个非常方便的工具是 vmstat。这个特殊的命令是一个报告虚拟内存统计信息的小技巧。vmstat 命令将报告关于：
-
-* 进程
-
-* 内存
-
-* 页
-
-* 阻塞 IO
-
-* traps
-
-* 磁盘
-
-* CPU
-
-使用 vmstat 的最佳方法是使用 -s 选项，如 vmstat -s。这将在单列中报告统计信息（这比默认报告更容易阅读）。vmstat 命令将提供比你需要的更多的信息（图 6），但更多的总是更好的（在这种情况下）。
-
-![vmstat][15]
-
-图 6：使用 vmstat 命令来检查内存使用情况。
-
-[Used with permission][4]
-
-### dmidecode
-
-如果你想找到关于已安装的系统 RAM 的详细信息，该怎么办？为此，你可以使用 dmidecode 命令。这个特殊的工具是 DMI 表解码器，它将系统的 DMI 表内容转储成人类可读的格式。如果你不清楚 DMI 表是什么，那么可以这样说，（to 校正者：这句话可以不加）它是可以用来描述系统的构成（以及系统的演变）。
-
-要运行 dmidecode 命令，你需要 sudo 权限。因此输入命令 sudo dmidecode -t 17。该命令的输出（图 7）可能很长，因为它显示所有内存类型设备的信息。因此，如果你无法上下滚动，则可能需要将该命令的输出发送到一个文件中，比如：sudo dmidecode -t 17> dmi_infoI，或将其传递给 less 命令，如 sudo dmidecode | less。
-
-![dmidecode][17]
-
-图 7：dmidecode 命令的输出。
-
-[Used with permission][4]
-
-### /proc/meminfo
-
-你可能会问自己：“这些命令从哪里获取这些信息？”在某些情况下，它们从 /proc/meminfo 文件中获取。你猜猜？你可以使用命令 less /proc/meminfo 直接读取该文件。通过使用 less 命令，你可以在长长的输出中向上和向下滚动，以准确找到你需要的内容（图 8）。
-
-![/proc/meminfo][19]
-
-图 8：less /proc/meminfo 命令的输出。
-
-[Used with permission][4]
-
-关于 /proc/meminfo 你应该知道：这不是一个真实的文件。相反 /pro/meminfo 是一个虚拟文件，包含有关系统的实时动态信息。特别是，你需要检查以下值：
-
-  * 全部内存
-
-  * 空闲内存
-
-  * 可用内存
-
-  * 缓冲区
-
-  * 文件缓存
-
-  * 交换缓存
-
-  * 全部交换区
-
-  * 空闲交换区
-
-如果你想使用 /proc/meminfo，你可以用连词像 egrep 命令一样使用它：egrep --color'Mem | Cache | Swap'/proc/meminfo。这将生成一个易于阅读的列表，其中包含 Mem, Cache 和 Swap 等所有包含颜色的条目（图 9）。
-
-![/proc/meminfo][21]
-
-图 9：让 /proc/meminfo 更容易阅读。
-
-[Used with permission][4]
-
-### 继续学习
-
-你要做的第一件事就是阅读每个命令的手册页（例如 man top, man free, man vmstat, man dmidecode）。从命令的手册页开始，对于如何在 Linux 上使用一个工具，它总是一个很好的学习方法。
-
-通过 Linux 基金会和 edX 的免费 [“Linux 简介”][22]课程了解有关 Linux 的更多知识。
-
-
-
--------------------------------------------------------------------------------
-
-via: https://www.linux.com/learn/5-commands-checking-memory-usage-linux
-
-作者：[Jack Wallen][a]
-选题：[lujun9972](https://github.com/lujun9972)
-译者：[MjSeven](https://github.com/MjSeven)
-校对：[校对者ID](https://github.com/校对者ID)
-
-本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译，[Linux中国](https://linux.cn/) 荣誉推出
-
-[a]:https://www.linux.com/users/jlwallen
-[1]:https://www.ubuntu.com/download/server
-[2]:/files/images/memory1jpg
-[3]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_1.jpg?itok=fhhhUL_l (top)
-[4]:/licenses/category/used-permission
-[5]:https://system76.com/desktops/leopard
-[6]:/files/images/memory2jpg
-[7]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_2.jpg?itok=zuVkQfvv (top)
-[8]:/files/images/memory3jpg
-[9]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_3.jpg?itok=rvuQp3t0 (free)
-[10]:/files/images/memory4jpg
-[11]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_4.jpg?itok=K_luLLPt (free)
-[12]:/files/images/memory5jpg
-[13]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_5.jpg?itok=q50atcsX (total)
-[14]:/files/images/memory6jpg
-[15]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_6.jpg?itok=bwFnUVmy (vmstat)
-[16]:/files/images/memory7jpg
-[17]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_7.jpg?itok=UNHIT_P6 (dmidecode)
-[18]:/files/images/memory8jpg
-[19]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_8.jpg?itok=t87jvmJJ (/proc/meminfo)
-[20]:/files/images/memory9jpg
-[21]:https://www.linux.com/sites/lcom/files/styles/rendered_file/public/memory_9.jpg?itok=t-iSMEKq (/proc/meminfo)
-[22]:https://training.linuxfoundation.org/linux-courses/system-administration-training/introduction-to-linux
--- a/translated/tech/20180712
+++ b/translated/tech/20180712
@ -1,273 +0,0 @@
-系统管理员的 SELinux 指南：这个大问题的 42 个答案
-======
-
-![](https://opensource.com/sites/default/files/styles/image-full-size/public/lead-images/security-lock-password.jpg?itok=KJMdkKum)
-
-> "一个重要而普遍的事实是，事情并不总是你看上去的那样 …"
->  ―Douglas Adams，银河系漫游指南
-
-安全、坚固、遵从性、策略 —— 系统管理员启示录的四骑士。除了我们的日常任务之外 —— 监视、备份、实施、调优、更新等等 —— 我们还负责我们的系统安全。甚至是那些第三方提供给我们的禁用了安全增强的系统。这看起来像《碟中碟》中 [Ethan Hunt][1] 的工作一样。
-
-面对这种窘境，一些系统管理员决定去[服用蓝色小药丸][2]，因为他们认为他们永远也不会知道如生命、宇宙、以及其它一些大问题的答案。而我们都知道，它的答案就是这 **[42][3]** 个。
-
-按《银河系漫游指南》的精神，这里是关于在你的系统上管理和使用 [SELinux][4] 这个大问题的 42 个答案。
-
-  1. SELinux 是一个标签系统，这意味着每个进程都有一个标签。每个文件、目录、以及系统对象都有一个标签。策略规则负责控制标签化进程和标签化对象之间的访问。由内核强制执行这些规则。
-
-
-  2. 两个最重要的概念是：标签化（文件、进程、端口等等）和强制类型（它将基于类型对每个进程进行隔离）。
-
-
-  3. 正确的标签格式是 `user:role:type:level`（可选）。
-
-
-  4. 多级别安全（MLS）的目的是基于它们所使用数据的安全级别，对进程（域）强制实施控制。比如，一个秘密级别的进程是不能读取极机密级别的数据。
-
-
-  5. 多类别安全（MCS）从每个其它类（如虚拟机、OpenShift gears、SELinux 沙盒、容器等等）中强制保护类似的进程。
-
-
-  6. 在引导时内核参数可以改变 SELinux 模式：
-    * `autorelabel=1` → 强制给系统标签化
-    * `selinux=0` → 内核不加载 SELinux 基础设施的任何部分
-    * `enforcing=0` → 引导为 permissive 模式
-
-
-  7. 如果给整个系统标签化：
-`# touch /.autorelabel #reboot`
-如果系统标签中有大量的错误，为了能够让 autorelabel 成功，你可以用 permissive 模式引导系统。
-
-
-  8. 检查 SELinux 是否启用：`# getenforce`
-
-
-  9. 临时启用/禁用 SELinux：`# setenforce [1|0]`
-
-
-  10. SELinux 状态工具：`# sestatus`
-
-
-  11. 配置文件：`/etc/selinux/config`
-
-
-  12. SELinux 是如何工作的？这是一个为 Apache Web Server 标签化的示例：
-    * 二进制文件：`/usr/sbin/httpd`→`httpd_exec_t`
-    * 配置文件目录：`/etc/httpd`→`httpd_config_t`
-    * 日志文件目录：`/var/log/httpd` → `httpd_log_t`
-    * 内容目录：`/var/www/html` → `httpd_sys_content_t`
-    * 启动脚本：`/usr/lib/systemd/system/httpd.service` → `httpd_unit_file_d`
-    * 进程：`/usr/sbin/httpd -DFOREGROUND` → `httpd_t`
-    * 端口：`80/tcp, 443/tcp` → `httpd_t, http_port_t`
-
-
-
-在 `httpd_t` 环境中运行的一个进程可以与具有 `httpd_something_t` 标签的对象交互。
-
-  13. 许多命令都可以接收一个 `-Z` 参数去查看、创建、和修改环境：
-    * `ls -Z`
-    * `id -Z`
-    * `ps -Z`
-    * `netstat -Z`
-    * `cp -Z`
-    * `mkdir -Z`
-
-
-
-当文件基于它们的父级目录的环境（有一些例外）创建后，它的环境就已经被设置。RPM 包可以在安装时设置环境。
-
-    14. 这里有导致 SELinux 出错的四个关键原因，它们将在下面的 15 - 21 号问题中展开描述：
-    * 标签化问题
-    * SELinux 需要知道一些东西
-    * 在一个 SELinux 策略/app 中有 bug
-    * 你的信息可能被损坏
-
-
-  15. 标签化问题：如果在 `/srv/myweb` 中你的文件没有正确的标签，访问可能会被拒绝。这里有一些修复这类问题的方法：
-    * 如果你知道标签：
-`# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'`
-    * 如果你知道使用等价标签的文件：
-`# semanage fcontext -a -e /srv/myweb /var/www`
-    * 恢复环境（对于以上两种情况）：
-`# restorecon -vR /srv/myweb`
-
-
-  16. 标签化问题：如果你是移动了一个文件，而不是去复制它，那么这个文件将保持原始的环境。修复这类问题：
-    * 用标签改变环境的命令：
-      `# chcon -t httpd_system_content_t /var/www/html/index.html`
-
-    * 用引用标签改变环境的命令：
-      `# chcon --reference /var/www/html/ /var/www/html/index.html`
-
-    * 恢复环境（对于以上两种情况）：
-
-      `# restorecon -vR /var/www/html/`
-
-
-  17. 如果 SELinux 需要知道 HTTPD 是在 8585 端口上监听，告诉 SELinux：
-`# semanage port -a -t http_port_t -p tcp 8585`
-
-
-  18. SELinux 需要知道是否允许在运行时无需重写 SELinux 策略而改变 SELinux 策略部分的布尔值。例如，如果希望 httpd 去发送邮件，输入：`# setsebool -P httpd_can_sendmail 1`
-
-
-  19. SELinux 需要知道 SELinux 设置的 off/on 的布尔值：
-    * 查看所有的布尔值：`# getsebool -a`
-    * 查看每个布尔值的描述：`# semanage boolean -l`
-    * 设置布尔值：`# setsebool [_boolean_] [1|0]`
-    * 将它配置为永久值，添加 `-P` 标志。例如：
-`# setsebool httpd_enable_ftp_server 1 -P`
-
-
-  20. SELinux 策略/apps 可能有 bug，包括：
-    * 与众不同的代码路径
-    * 配置
-    * 重定向 `stdout`
-    * 文件描述符漏洞
-    * 可运行内存
-    * 错误构建的库打开了一个 ticket（不要提交 Bugzilla 报告；这里没有使用 Bugzilla 的 SLAs）
-
-
-  21. 如果你定义了域，你的信息可能被损坏：
-    * 加载内核模块
-    * 关闭 SELinux 的强制模式
-    * 写入 `etc_t/shadow_t`
-    * 修改 iptables 规则
-
-
-  22. 开发策略模块的 SELinux 工具：
-`# yum -y install setroubleshoot setroubleshoot-server`
-安装完成之后重引导机器或重启 `auditd` 服务。
-
-
-  23. 使用 `journalctl` 去列出所有与 `setroubleshoot` 相关的日志：
-`# journalctl -t setroubleshoot --since=14:20`
-
-
-  24. 使用 `journalctl` 去列出所有与特定 SELinux 标签相关的日志。例如：
-`# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0`
-
-
-  25. 当 SELinux 发生错误以及建议一些可能的解决方案时，使用 `setroubleshoot` 日志。例如：从  `journalctl` 中：
-[code]     Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
-
-
-
-    # sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
-    
-    SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.
-
-
-
-    ***** Plugin restorecon (99.5 confidence) suggests ************************
-
-
-
-    If you want to fix the label,
-    
-    /var/www/html/index.html default label should be httpd_syscontent_t.
-    
-    Then you can restorecon.
-    
-    Do
-    
-    # /sbin/restorecon -v /var/www/html/index.html
-
-
-
-
-  26. 日志：SELinux 记录的信息全部在这些地方：
-    * `/var/log/messages`
-    * `/var/log/audit/audit.log`
-    * `/var/lib/setroubleshoot/setroubleshoot_database.xml`
-
-
-  27. 日志：在审计日志中查找 SELinux 错误：
-`# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today`
-
-
-  28. 为特定的服务去搜索 SELinux 的访问向量缓存（AVC）信息：
-`# ausearch -m avc -c httpd`
-
-
-  29. `audit2allow` 实用工具从拒绝的操作的日志中采集信息，然后生成 SELinux policy-allow 规则。例如：
-    * 产生一个人类可读的关于为什么拒绝访问的描述：`# audit2allow -w -a`
-    * 查看已允许的拒绝访问的强制类型规则：`# audit2allow -a`
-    * 创建一个自定义模块：`# audit2allow -a -M mypolicy`
-`-M` 选项使用一个指定的名字去创建一个类型强制文件（.te）并编译这个规则到一个策略包（.pp）中：`mypolicy.pp mypolicy.te`
-    * 安装自定义模块：`# semodule -i mypolicy.pp`
-
-
-  30. 配置单个进程（域）运行在 permissive 模式：`# semanage permissive -a httpd_t`
-
-
-  31. 如果不再希望一个域在 permissive 模式中：`# semanage permissive -d httpd_t`
-
-
-  32. 禁用所有的 permissive 域：`# semodule -d permissivedomains`
-
-
-  33. 启用  SELinux MLS 策略：`# yum install selinux-policy-mls`
-在 `/etc/selinux/config` 中：
-`SELINUX=permissive`
-`SELINUXTYPE=mls`
-确保 SELinux 运行在 permissive 模式：`# setenforce 0`
-使用 `fixfiles` 脚本去确保那个文件在下次重引导后重打标签：
-`# fixfiles -F onboot # reboot`
-
-
-  34. 使用一个特定的 MLS 范围创建用户：`# useradd -Z staff_u john`
-使用 `useradd` 命令，映射新用户到一个已存在的 SELinux 用户（上面例子中是 `staff_u`）。
-
-
-  35. 查看 SELinux 和 Linux 用户之间的映射：`# semanage login -l`
-
-
-  36. 为用户定义一个指定的范围：`# semanage login --modify --range s2:c100 john`
-
-
-  37. 调整用户 home 目录上的标签（如果需要的话）：`# chcon -R -l s2:c100 /home/john`
-
-
-  38. 列出当前分类：`# chcat -L`
-
-
-  39. 修改分类或者开始去创建你自己的分类、修改文件：
-`/etc/selinux/_<selinuxtype>_/setrans.conf`
-
-
-  40. 在指定的文件、角色、和用户环境中运行一个命令或脚本：
-`# runcon -t initrc_t -r system_r -u user_u yourcommandhere`
-    * `-t` 是文件环境
-    * `-r` 是角色环境
-    * `-u` 是用户环境
-
-
-  41. 在容器中禁用 SELinux：
-    * 使用 Podman：`# podman run --security-opt label=disable` …
-    * 使用 Docker：`# docker run --security-opt label=disable` …
-
-
-  42. 如果需要给容器提供完全访问系统的权限：
-    * 使用 Podman：`# podman run --privileged` …
-    * 使用 Docker：`# docker run --privileged` …
-
-
-
-就这些了，你已经知道了答案。因此请相信我：**不用恐慌，去打开 SELinux 吧**。
-
--------------------------------------------------------------------------------
-
-via: https://opensource.com/article/18/7/sysadmin-guide-selinux
-
-作者：[Alex Callejas][a]
-选题：[lujun9972](https://github.com/lujun9972)
-译者：[qhwdw](https://github.com/qhwdw)
-校对：[校对者ID](https://github.com/校对者ID)
-
-本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译，[Linux中国](https://linux.cn/) 荣誉推出
-
-[a]:https://opensource.com/users/darkaxl
-[1]:https://en.wikipedia.org/wiki/Ethan_Hunt
-[2]:https://en.wikipedia.org/wiki/Red_pill_and_blue_pill
-[3]:https://en.wikipedia.org/wiki/Phrases_from_The_Hitchhiker%27s_Guide_to_the_Galaxy#Answer_to_the_Ultimate_Question_of_Life,_the_Universe,_and_Everything_%2842%29
-[4]:https://en.wikipedia.org/wiki/Security-Enhanced_Linux
--- a/translated/tech/20180712
+++ b/translated/tech/20180712
@ -1,269 +0,0 @@
-系统管理员的 SELinux 指南： 42 个重大相关问题的答案
-============================================================
-
-> 获取有关生活、宇宙和除了有关 SELinux 的重要问题的答案
-
-![Lock](https://opensource.com/sites/default/files/styles/image-full-size/public/lead-images/security-lock-password.jpg?itok=KJMdkKum "Lock")
-Image credits : [JanBaby][13], via Pixabay [CC0][14].
-
-> ”一个重要并且受欢迎的事实是：事情并不总是它们该有的样子“
-> ―Douglas Adams，_银河系漫游指南_
-
-安全、加固、规范化、策略是末世中系统管理员的四骑士。除了我们的日常任务--监控、备份、实现、调优、升级以及类似任务--我们还需要对我们系统的安全负责。即使这些系统是第三方提供商告诉我们该禁用增强安全性的系统。这就像 [Ethan Hunt][15] 面临的 _不可能的任务_。
-
-面对这些困境，有些系统管理员决定 [拿绿色药丸][16]，因为他们认为他们将不会知道诸如生活、宇宙和其他事情等重大问题的答案，并且众所周知的是，那个答案是 42.
-
-受到_银河系漫游指南_启发，下面有 42 个有关在你系统中管理和使用 [SELinux][17] 这个重大问题的答案。
-
-1. SELinux 是一个标签系统，这意味着每个进程都有一个标签。每个文件、目录和系统事物都有一个标签。策略规则控制着被标记的进程和被标记的事物之间的获取。内核强制执行这些规则。
-
-1. 最重要的两个概念是： _标签_（文件、进程、端口等）和 _类型强制_（基于不同的类型隔离不同的进程）。
-
-1. 正确的标签格式是 `user:role:type:level`（_可选_）。
-
-1. _多层安全（MLS）强制_ 的目的是基于它们索要使用数据的安全级别来控制进程（_区域_）。例如一个秘密级别的进程不能读取绝密级别的数据。
-
-1. _多目录安全（MCS）强制_ 相互保护相似的进程（例如虚拟机、OpenShift gears、SELinux 沙盒、容器等等）。
-
-1. 在启动时改变 SELinux 模式的内核参数有：
-    *   `autorelabel=1` → 强制系统重新标签
-
-    *   `selinux=0` → 内核并不加载 SELinux 设施的任何部分
-
-    *   `enforcing=0` → 以许可模式启动
-
-1. 假如你需要重新标签整个系统：
-    `# touch /.autorelabel
-    #reboot`
-    假如你的标签中包含大量错误，为了让 autorelabel 能够成功，你需要以许可模式启动
-
-1. 检查 SELinux 是否启用：`# getenforce`
-
-1. 临时启用或禁用 SELinux：`# setenforce [1|0]`
-
-1. SELinux 状态工具：`# sestatus`
-
-1. 配置文件：`/etc/selinux/config`
-
-1. SELinux 是如何工作的呢？下面是一个标签一个 Apache Web 服务器的例子：
-    *  二进制：`/usr/sbin/httpd`→`httpd_exec_t`
-
-    *  配置目录：`/etc/httpd`→`httpd_config_t`
-
-    *  日志文件目录：`/var/log/httpd` → `httpd_log_t`
-
-    *  内容目录：`/var/www/html` → `httpd_sys_content_t`
-
-    *  启动脚本：`/usr/lib/systemd/system/httpd.service` → `httpd_unit_file_d`
-
-    *  进程：`/usr/sbin/httpd -DFOREGROUND` → `httpd_t`
-
-    *  端口：`80/tcp, 443/tcp` → `httpd_t, http_port_t`
-
-一个运行在 `httpd_t` 安全上下文的端口可以和被标记为 `httpd_something_t` 标签的事物交互。
-
-1. 许多命令接收 `-Z` 参数来查看、创建和修改安全上下文：
-    *   `ls -Z`
-
-    *   `id -Z`
-
-    *   `ps -Z`
-
-    *   `netstat -Z`
-
-    *   `cp -Z`
-
-    *   `mkdir -Z`
-
-当文件被创建时，它们的安全上下文会根据它们父目录的安全上下文来创建（可能有某些例外）。RPM 可以在安装过程中设定安全上下文。
-
-1. 导致 SELinux 错误的四个关键的因素如下，它们将在 15-21 条深入解释：
-    *  标签问题
-
-    *  SELinux 需要知晓更多信息
-
-    *  SELinux 策略或者应用有 bug
-
-    *  你的信息可能被损坏了
-
-1.  _标签问题：_ 假如你的位于  `/srv/myweb` 的文件没有被正确地标志，获取这些资源时可能会被拒绝。下面是一些解决方法：
-    * 假如你知道标签：
-        `# semanage fcontext -a -t httpd_sys_content_t '/srv/myweb(/.*)?'`
-
-    *  假如你知道和它有相同标签的文件：
-        `# semanage fcontext -a -e /srv/myweb /var/www`
-
-    *  恢复安全上下文（针对上述两种情形）：
-        `# restorecon -vR /srv/myweb`
-
-1.  _标识问题：_ 假如你移动了一个文件而不是复制它，这个文件仍然保留原来的安全上下文。为了修复这些问题，你需要：
-    *  使用标签来改变安全上下文：
-        `# chcon -t httpd_system_content_t /var/www/html/index.html`
-
-    *  使用参考文件的标签来改变安全上下文：
-        `# chcon --reference /var/www/html/ /var/www/html/index.html`
-
-    *  恢复安全上下文（针对上述两种情形）： `# restorecon -vR /var/www/html/`
-
-1. 假如_SELinux 需要知道_ HTTPD 在端口 8585 上监听，使用下面的命令告诉它：
-    `# semanage port -a -t http_port_t -p tcp 8585`
-
-1.  _SELinux 需要知道_ 布尔值来允许在运行时改变 SELinux 的策略，而不需要知道任何关于 SELinux 策略读写的信息。例如，假如你想让 httpd 去发送邮件，键入：`# setsebool -P httpd_can_sendmail 1`
-
-1. _SELinux 需要知道_ 布尔值来做 SELinux 的开关设定：
-    *  查看所有的布尔值：`# getsebool -a`
-
-    *  查看每一个的描述：`# semanage boolean -l`
-
-    *  设定某个布尔值，执行：`# setsebool [_boolean_] [1|0]`
-
-    *  添加 `-P` 参数来作为永久设置，例如：
-        `# setsebool httpd_enable_ftp_server 1 -P`
-
-1. SELinux 策略或者应用有 bug，包括：
-    *  不寻常的代码路径
-
-    *  配置
-
-    *  `stdout` 的重定向
-
-    *  泄露的文件描述符
-
-    *  可执行内存
-
-    *  损坏的已构建的库
-    打开一个工单（但别书写一个 Bugzilla 报告，使用 Bugzilla 没有对应的服务）。
-
-1.  _你的信息可能被损坏了_ 假如你被限制在某个区域，尝试这样做：
-    *  加载内核模块
-
-    *  关闭 SELinux 的强制模式
-
-    *  向 `etc_t/shadow_t` 写入东西
-
-    *  修改 iptables 规则
-
-1. 下面是安装针对策略模块的发展的 SELinux 工具：
-    `# yum -y install setroubleshoot setroubleshoot-server`
-    在你安装后重启或重启动 `auditd` 服务
-
-1. 使用 `journalctl` 来监听所有跟 `setroubleshoot` 有关的日志：
-    `# journalctl -t setroubleshoot --since=14:20`
-
-1. 使用 `journalctl` 来监听所有跟某个特定 SELinux 标签相关的日志，例如：
-    `# journalctl _SELINUX_CONTEXT=system_u:system_r:policykit_t:s0`
-
-1. 当 SELinux 错误发生时，使用`setroubleshoot` 的日志，并尝试找到某些可能的解决方法。例如，从 `journalctl`：
-    ```
-    Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
-
-    # sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
-    SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.
-
-    ***** Plugin restorecon (99.5 confidence) suggests ************************
-
-    If you want to fix the label,
-    /var/www/html/index.html default label should be httpd_syscontent_t.
-    Then you can restorecon.
-    Do
-    # /sbin/restorecon -v /var/www/html/index.html
-    ```
-
-1. 带有 SELinux 记录的日志：
-    *   `/var/log/messages`
-
-    *   `/var/log/audit/audit.log`
-
-    *   `/var/lib/setroubleshoot/setroubleshoot_database.xml`
-
-1. 在 audit 日志文件中查找有关 SELinux 的错误：
-    `# ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today`
-
-1. 针对某个特定的服务，搜寻 SELinux 的访问向量缓存（Access Vector Cache,，AVC）信息：
-    `# ausearch -m avc -c httpd`
-
-1. `audit2allow` 程序可以通过从日志中搜集有关被拒绝的操作，然后生成 SELinux 策略允许的规则，例如：
-    *  生成一个为什么会被拒绝访问的对人友好的描述： `# audit2allow -w -a`
-
-    *  查看允许被拒绝的访问的类型强制规则： `# audit2allow -a`
-
-    *  创建一个自定义模块：`# audit2allow -a -M mypolicy`
-       其中的 `-M` 选项将创建一个特定名称的类型强制文件（.te），(.te) 并且将规则编译进一个策略包（.pp）中：`mypolicy.pp mypolicy.te`
-
-    *  安装自定义模块：`# semodule -i mypolicy.pp`
-
-1. 为了配置一个单独的进程（区域）来更宽松地运行： `# semanage permissive -a httpd_t`
-
-1. 假如你不在想某个区域是宽松的：`# semanage permissive -d httpd_t`
-
-1. 禁用所有的宽松区域： `# semodule -d permissivedomains`
-
-1. 启用 SELinux MLS 策略：`# yum install selinux-policy-mls`
-    在 `/etc/selinux/config` 文件中配置：
-    `SELINUX=permissive`
-    `SELINUXTYPE=mls`
-    确保 SELinux 正运行在宽松模式下：`# setenforce 0`
-    使用 `fixfiles` 脚本来确保在下一次重启时文件将被重新标识：
-    `# fixfiles -F onboot # reboot`
-
-1. 创建一个带有特定 MLS 范围的用户：`# useradd -Z staff_u john`
-    使用 `useradd` 命令来将新的用户映射到一个现存的 SELinux 用户（在这个例子中，用户为 `staff_u`）。
-
-1. 查看 SELinux 和 Linux 用户之间的映射：`# semanage login -l`
-
-1. 为某个用户定义一个特别的范围：`# semanage login --modify --range s2:c100 john`
-
-1. 更正用户家目录的标志（假如需要的话）：`# chcon -R -l s2:c100 /home/john`
-
-1. 列出当前的类别：`# chcat -L`
-
-1. 更改类别或者创建你自己类别，修改如下的文件：
-    `/etc/selinux/_<selinuxtype>_/setrans.conf`
-
-1. 以某个特定的文件、角色和用户安全上下文来运行一个命令或者脚本：
-    `# runcon -t initrc_t -r system_r -u user_u yourcommandhere`
-    *   `-t` 是 _文件安全上下文_ 
-
-    *   `-r` 是 _角色安全上下文_ 
-
-    *   `-u` 是 _用户安全上下文_ 
-
-1. 禁用 SELinux 来运行容器：
-    *  使用 Podman：`# podman run --security-opt label=disable` …
-
-    *  使用 Docker：`# docker run --security-opt label=disable` …
-
-1. 假如你需要给一个容器对系统的完整访问权限：
-    *  使用 Podman：`# podman run --privileged` …
-
-    *  使用 Docker：`# docker run --privileged` …
-
-知道了上面的这些，你就已经知道答案了。所以请 **不要惊慌，打开 SELinux**。
-
-### 作者简介
-
-Alex Callejas - Alex Callejas 是位于墨西哥城的红帽公司拉丁美洲区的一名技术客服经理。作为一名系统管理员，他已有超过 10 年的经验。在基础设施强化方面具有很强的专业知识。对开源抱有热情，通过在不同的公共事件和大学中分享他的知识来支持社区。天生的极客，当然他一般选择使用 Fedora Linux 发行版。[这里][11]有更多关于我的信息。
-
--------------------------------------------------------------------------------
-
-via: https://opensource.com/article/18/7/sysadmin-guide-selinux
-
-作者：[Alex Callejas][a]
-译者：[FSSlc](https://github.com/FSSlc)
-校对：[校对者ID](https://github.com/校对者ID)
-
-本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译，[Linux中国](https://linux.cn/) 荣誉推出
-
-[a]:https://opensource.com/users/darkaxl
-[11]:https://opensource.com/users/darkaxl
-[13]:https://pixabay.com/en/security-secure-technology-safety-2168234/
-[14]:https://creativecommons.org/publicdomain/zero/1.0/deed.en
-[15]:https://en.wikipedia.org/wiki/Ethan_Hunt
-[16]:https://en.wikipedia.org/wiki/Red_pill_and_blue_pill
-[17]:https://en.wikipedia.org/wiki/Security-Enhanced_Linux
-[18]:https://opensource.com/users/darkaxl
-[19]:https://opensource.com/users/darkaxl
-[20]:https://opensource.com/article/18/7/sysadmin-guide-selinux#comments
-[21]:https://opensource.com/tags/security
-[22]:https://opensource.com/tags/linux
-[23]:https://opensource.com/tags/sysadmin