愚蠢的地球人

深入理解sudo与su之间的区别

在Linux下对很多文件进行修改都需要有root(管理员)权限,但是很多人都不清楚sudo和su命令的区别,网上查了很多资料,归纳了一下,大致如下:


两个命令的最大区别是 sudo 命令需要输入当前用户的密码,su 命令需要输入 root 用户的密码。
另外一个区别是其默认行为,sudo 命令只允许使用提升的权限运行单个命令,而 su 命令会启动一个新的 shell,同时允许使用 root 权限运行尽可能多的命令,直到明确退出登录。

su 命令
su 命令的主要作用是让你可以在已登录的会话中切换到另外一个用户,这个工具可以让你在不登出当前用户的情况下登录为另外一个用户。
su 命令经常被用于切换到超级用户或 root 用户,也可以用于切换到任意非 root 用户。 su 的默认用户是 root,所以只需在终端直接输入 su 即可切换到 root 用户,su 命令要求输入的密码是 root 用户的密码,在输入正确的密码之后,su 命令会在终端的当前会话中打开一个子会话。
还有一种方法可以切换到 root 用户:运行 su - root
那么,su 命令与 su - 命令之间有什么区别呢?前者在切换到 root 用户之后仍然保持之前用户的环境,而后者则是创建一个新的环境(由 root 用户 ~/.bashrc 文件所设置的环境),相当于使用 root 用户正常登录。

sudo 命令
sudo 命令是用来获取临时的 root 权限,不过有时间限制,Ubuntu默认为一次时长15分钟。提示输入密码是当前用户的密码,而不是超级账户的密码。要求执行该命令的用户必须在 sudoers 中才可以。
sudo 的配置文件是 sudoers 文件,它允许系统管理员集中的管理用户的使用权限和使用的主机。它所存放的位置默认是在 /etc/sudoers,属性必须为0440。

sudo -i 和 sudo su 命令没有时间限制。执行该命令后提示符变为“#”而不是“$”。想退回普通账户时可以执行“exit”或“logout” 。
sudo -i 与 sudo - root、sudo -i root、sudo -、sudo root效果相同。
-i 是指更改 shell 环境参量为目标用户的,如果不指定用户则默认为 root。
sudo -i 运行后 PWD=/root
sudo su 运行后 PWD=/home/用户名(当前用户主目录)

sudo vs. su
两个命令的最大区别是:sudo 命令需要输入当前用户的密码,su 命令需要输入 root 用户的密码。
很明显,就安全而言,sudo 命令更好。例如,考虑到需要 root 访问权限的多用户使用的计算机。在这种情况下,使用 su 意味着需要与其他用户共享 root 用户密码,这显然不是一种好习惯。
而使用 sudo 命令就不一样了,你可以很好的处理以上的两种情况。鉴于 sudo 命令要求输入的是其他用户自己的密码,所以,不需要共享 root 密码。同时,想要阻止特定用户访问 root 权限,只需要调整 sudoers 文件中的相应配置即可。
其次,两个命令之间的另外一个区别是其默认行为。sudo 命令只允许使用提升的权限运行单个命令,而 su命令会启动一个新的 shell,同时允许使用 root 权限运行尽可能多的命令,直到明确退出登录。 因此,su 命令的默认行为是有风险的,因为用户很有可能会忘记他们正在以 root 用户身份进行工作,于是,无意中做出了一些不可恢复的更改(例如:对错误的目录运行 rm -rf 命令!)。

尽管 sudo 命令是以目标用户(默认情况下是 root 用户)的身份执行命令,但是它们会使用 sudoer 所配置的用户名来记录是谁执行命令。而 su 命令是无法直接跟踪记录用户切换到 root 用户之后执行了什么操作。

sudo 命令比 su 命令灵活很多,因为你甚至可以限制 sudo 用户可以访问哪些命令。换句话说,用户通过 sudo 命令只能访问他们工作需要的命令。而 su 命令让用户有权限做任何事情。 大概是因为使用 su 命令或直接以 root 用户身份登录有风险,所以,一些 Linux 发行版(如 Ubuntu)默认禁用 root 用户帐户。鼓励用户在需要 root 权限时使用 sudo 命令。如果你想在系统中启用 root 用户帐户(强烈反对,因为你可以使用 sudo 命令或 sudo su 命令),你必须手动设置 root 用户密码,可以使用以下命令:
sudo passwd root


OpenWRT路由器科学上网自动分流的工作原理

最近研究了一台刷了OpenWRT的路由器,里面有一个科学上网的工具引发了我的兴趣。
研究了好几天,终于把国内国外流量自动分流的原理弄清了。
很多东西都是个人的猜测,如有不对的地方,欢迎大家留言讨论。

OpenWRT科学上网自动分流主要是利用了如下几个工具:iptables、ipset、dnsmasq、pdnsd。我先来一个一个的解释一下这几个东东:

iptables是Linux系统自带的基于包过滤的防火墙工具,可以对流入、流出及流经服务器的数据包进行精细的控制。

ipset是iptables的扩展,它允许你创建某一类IP地址的集合,然后将这个集合交给iptables来处理。

dnsmasq是一个DNS缓存服务器,它可以将特定的域名发送给不同的dns服务器进行解析,不仅如此,它还可以把解析出来的IP地址存储在指定的ipset中。

pdnsd也是一个DNS缓存服务器,相对于dnsmasq,pdnsd的优点是可以使用TCP方式来查询DNS,但是pdnsd无法设置ipset,所以需要将dnsmasq和pdnsd两个结合起来使用。

弄清楚了这些工具的作用,OpenWRT路由器科学上网自动分流的工作原理就不难理解了:

首先,科学上网的进程启动之后会自动将需要走代理的域名地址添加到dnsmasq的conf-dir目录下的一些名为*.conf的文件中,内容如下:
server=/google.com/127.0.0.1#1053
ipset=/google.com/gfwlist
第一行意思是解析google.com这个域名时不使用默认的DNS服务器,而是将查询请求转发到127.0.0.1#1053(pdnsd侦听的端口),由pdnsd来负责解析。
第二行意思是将google.com解析出来的IP地址添加到一个名为gfwlist的ipset集合里面。
这样,需要走代理的域名使用pdnsd来解析,不需要走代理的域名使用宽带运营商默认的DNS来解析,实现了域名解析的分流。

然后,它会修改iptables的转发规则,将gfwlist这个ipset添加到iptables的NAT规则列表中,利用iptables来转发这个ipset中的数据。
我们来查看一下路由器的iptables如何处理名为gfwlist的这个ipset:

More...


用Python读取图片的Exif时间给相册图片批量重命名

现代的智能手机拍出来的照片文件默认的命名方式是类似:“IMG_20191201_150800.jpg”这样的结构,但是我发现我手机里好多老照片没有遵循这一命名规则。

不仅前缀五花八门,而且很多老的手机默认不是以日期时间而是以一个递增的序号来命名。强迫症的我无法接受这些乱七八糟的命名,于是我写了一个Python程序来批量对这些图片来重命名。

读取一个图片文件的修改时间有两种方式,一是直接读取文件本身的修改时间,二是读取图像Exif信息中的时间。

第一种方式读取方法最简单,但是有一个很严重的问题:文件的修改时间并没有储存在文件本身,而是储存在磁盘文件系统的文件表里面,当你将一个文件从一个文件系统复制到另一个文件系统的时候,原来的时间戳会丢失:比如说当你把一个图片文件从手机拷贝到电脑或者当你把照片从电脑拷贝到手机的时候,文件的修改时间就会变成文件复制的时间。

More...


用Python批量压缩图片来给你的手机相册瘦身

我每次换手机都会把旧手机里的照片备份出来拷贝进新手机里,于是现在我的手机里面就有了几十个GB的照片。但是以手机摄像头的成像质量,一张照片动不动就5到10MB的尺寸实在是太浪费手机的存储空间了。

于是我开始在网上寻找能给相册瘦身的APP,终于我找到了一款叫“相册管家”的应用。这是一个腾讯出品的软件,功能非常多,照片压缩只是它附带的一个小功能。

More...


家用NAS利用公网IPV6外网访问

通过IPV6从外网访问家里的NAS需要做两件事:一是解决IPV6的DDNS,二是配置路由器的防火墙。


先说DDNS,我用的是群晖的NAS,动态域名用的是Dnspod,但是群晖NAS自带的DDNS不支持Dnspod的IPV6更新。

只能自己写脚本来解决这个问题,直接上代码: 【以下代码在群晖DSM6系统下测试正常,其他设备可能需要做修改】

#!/bin/bash
#Dnspod DDNS6 with BashShell
#改编自Github:https://github.com/kkkgo/dnspod-ddns-with-bashshell
#CONF START
#API_ID和API_Token在dnspod的控制台 -> 用户中心 -> 安全设置 -> API Token 中获取
API_ID="12345"
API_Token="abcdef123456abcdef123456abcdef123456"
domain="yourdomain.com"
host="yourhost"
DEV="eth0"
#CONF END
date

IPREX="((([0-9A-Fa-f]{1,4}:){7}([0-9A-Fa-f]{1,4}|:))|(([0-9A-Fa-f]{1,4}:){6}(:[0-9A-Fa-f]{1,4}|((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3})|:))|(([0-9A-Fa-f]{1,4}:){5}(((:[0-9A-Fa-f]{1,4}){1,2})|:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3})|:))|(([0-9A-Fa-f]{1,4}:){4}(((:[0-9A-Fa-f]{1,4}){1,3})|((:[0-9A-Fa-f]{1,4})?:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){3}(((:[0-9A-Fa-f]{1,4}){1,4})|((:[0-9A-Fa-f]{1,4}){0,2}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){2}(((:[0-9A-Fa-f]{1,4}){1,5})|((:[0-9A-Fa-f]{1,4}){0,3}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:))|(([0-9A-Fa-f]{1,4}:){1}(((:[0-9A-Fa-f]{1,4}){1,6})|((:[0-9A-Fa-f]{1,4}){0,4}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:))|(:(((:[0-9A-Fa-f]{1,4}){1,7})|((:[0-9A-Fa-f]{1,4}){0,5}:((25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)(\.(25[0-5]|2[0-4]\d|1\d\d|[1-9]?\d)){3}))|:)))"

DEVIP=$(ip -6 addr list scope global $DEV | grep -v " fd" | grep inet6 | awk '{print $2}' | head -n 1)
if (echo $DEVIP | grep -qEvo "$IPREX");then
  echo "Get $DEV inet6 IP Failed."
  exit
else DEVIP=$(echo $DEVIP | grep -Eo "$IPREX" | head -n 1)
fi
echo "[DEV IP]:$DEVIP"

DNSTEST=$(nslookup -q=AAAA $host.$domain)
if (echo $DNSTEST | grep -qEvo "$IPREX");then
  echo "Get $host.$domain DNS Failed."
  exit
else DNSIP=$(echo $DNSTEST | grep -Eo "$IPREX" | tail -n 1)
fi
echo "[DNS IP]:$DNSIP"

if [ "$DNSIP" == "$DEVIP" ];then
  echo "IP SAME IN DNS,SKIP UPDATE."
  exit
fi

token="login_token=${API_ID},${API_Token}&format=json&domain=${domain}&sub_domain=${host}"
Record=$(curl -s -k -X POST https://dnsapi.cn/Record.List -d "${token}")
iferr=$(echo ${Record#*code} | cut -d'"' -f3)
if [ "$iferr" == "1" ];then
  record_ip=$(echo ${Record#*value} | cut -d'"' -f3)
  echo "[API IP]:$record_ip"
  if [ "$record_ip" == "$DEVIP" ];then
    echo "IP SAME IN API,SKIP UPDATE."
    exit
  fi
  record_id=$(echo ${Record#*\"records\"\:\[\{\"id\"} | cut -d'"' -f2)
  record_line_id=$(echo ${Record#*line_id} | cut -d'"' -f3)
  echo Start DDNS update...
  ddns=$(curl -s -k -X POST https://dnsapi.cn/Record.Modify -d "${token}&record_id=${record_id}&record_line_id=${record_line_id}&value=${DEVIP}&record_type=AAAA")
  ddns_result="$(echo ${ddns#*message\"} | cut -d'"' -f2)"
  echo -n "DDNS upadte result:$ddns_result "
  echo $ddns | grep -Eo "$IPREX" | tail -n 1
else echo -n Get $host.$domain error :
  echo $(echo ${Record#*message\"}) | cut -d'"' -f2
fi

将以上代码保存为.sh文件,然后在NAS系统里添加一个计划任务:

More...


电脑BIOS系统引导过程详解

目前个人电脑主要的系统引导方式有两种:传统的Legacy BIOS和新型的UEFI BIOS。

要了解引导方式首先要了解一下磁盘分区表格式,一般来说,磁盘分区表有两种格式:MBR和GPT。MBR分区表在Windows操作系统下最多支持4个主分区(只允许有一个分区是活动的)或3个主分区+1个扩展分区(包含多个逻辑分区),扩展分区必须划分为逻辑分区才能使用,1个扩展分区可以划分多个逻辑分区。GPT分区表对分区数量没有限制,但在Windows系统上最多可以支持128个主分区。


传统的Legacy BIOS无法识别GPT分区表格式,所以也就没有LegacyBIOS+GPT的组合方式,也就是说传统Legacy BIOS引导系统的时候只能通过MBR来引导。MBR位于硬盘的0柱面、0磁头、1扇区,占用512个字节。MBR不属于任何一个操作系统,是所有系统公用的,它先于所有的操作系统被调入内存并发挥作用,然后才将控制权交给活动主分区内的操作系统。安装操作系统的时候安装程序会在MBR中写入引导程序,电脑开机以后MBR中的引导程序会自动在活动分区中搜寻相应的启动程序并执行:

More...


使用AmazeUI做了个ZblogPHP主题

ZblogASP有一个AmazeUI的主题,非常喜欢,可惜PHP版的Zblog没有这个主题,于是自己就做了一个。

两栏布局,灰色简洁风格,适合个人博客使用。响应式布局,自动适应手机、平板、桌面等各种尺寸的显示。

index_phone.png

More...


Mac开机启动项详解

一、Login Items
Mac OSX的当前用户成功登录后启动的程序,该类别的启动项配置文件存放在~/Library/Preferences/com.apple.loginitems.plist,所以只针当前用户,你可以通过以下方式进行设置:
1.在系统偏好设置的“用户与群组”下面进行设置,可以删除、添加、开启和关闭;
2.你可以直接修改~/Library/Preferences/com.apple.loginitems.plist配置文件,其中每一个启动项对应一个字典,有Alias、Icon、Name三个值,其中Name是NSString类型,其它是Data类型,尚不知如此序列化生成,所以目前可以删除;
3.通过LSSharedFileListInsertItemURL和LSSharedFileListItemRemove方法进行添加删除,相关的介绍(注册程序开机启动).
 
二、Launchd Daemon
此类型的启动项都由launchd来负责启动,launchd是Mac OS下用于初始化系统环境的关键进程,它是内核装载成功之后在OS环境下启动的第一个进程。采用这种方式来配置自启动项很简单,只需要一个plist文件,该plist文件存在的目录有
~/Library/LaunchAgents
/Library/LaunchAgents
/System/Library/LaunchAgents
以上三个目录为系统推荐放置的路径,是当登录之后启动的进程
 
~/Library/LaunchDaemons
/Library/LaunchDaemons
/System/Library/LaunchDaemons
放置在以上三个目录,则启动为守护进程,为系统启动后立即启动的进程
 
不同的目录进程启动的权限和优先级是不一样的,你可以通过以下的方式进行设置:
1.通过launchctl load xxx.plist或launchctl unload xxx.plist命令添加和删除指定启动项;
2.直接创建、修改、删除相关目录下面的plist文件。
 
plist中主要的字段和它的含义
Label 用来在launchd中的一个唯一标识,类似于每一个程序都有一个identifies一样。
UserName 指定运行启动项的用户,只有当Launchd 作为 root 用户运行时,此项才适用。
GroupName 指定运行启动项的组,只有当Launchd 作为 root 用户运行时,此项才适用。
KeepAlive 这个key值是用来控制可执行文件是持续运行呢,还是满足具体条件之后再启动。默认值为false,也就是说满足具体条件之后才启动。当设置值为ture时,表明无条件的开启可执行文件,并使之保持在整个系统运行周期内。
RunAtLoad 标识launchd在加载完该项服务之后立即启动路径指定的可执行文件。默认值为false。
Program 这个值用来指定进程的可执行文件的路径。
ProgramArguments 如果未指定Program时就必须指定该项,包括可执行文件文件和运行的参数。
 
三、StartupItems
StartupItems,顾名思义,就是在系统启动过程中运行的程序,它们可以是运行完就立即终止的程序(比如,开机清空废纸篓),也可以是一直持续在系统运行周期的后台进程。
StartupItems一般存放在以下两个路径下:
/System/Library/StartupItems
/Library/StartupItems
 
大部分与系统相关的StartupItems都放在/System/Library/StartupItems这个路径下,它们会先于/Library/StartupItems路径下的执行,因为前者路径下的StartupItems提供了系统级的基础服务,比如crash reporting,core graphics services,system accounting等,而后者路径在默认情况下是不存在的,需要自己手动创建。
这里我们以/Library/StartupItems目录下的IcebergControlTower为例。
简单来说,在Mac OS X上,一个StartupItems包含以下两个方面的内容:
1.可执行程序;
2.包含依赖进程关系的plist文件(StartupParameters.plist)。
StartupParameters.plist 是一个属性列表,包含了运行可执行程序的必要条件,plist中主要的字段和它的含义。该plist需要获得root权限,包含了几个方面的内容:
1)Description;
对该服务的一个简单的描述,仅仅是描述,并不是说明实际的进程名称。
2)Provides;
指定StartupItems提供的服务。如图plist文件Provides中说明,StartupItems开启的后台进程名为:Iceberg Control Tower。
Provides可以指定多个服务,反映在图中就是Item0,Item1…等。这里只有Item0。
3)Uses;
指定了在StartupItems加载之前需要开启的服务。Mac OS X系统先尝试着加载Uses中指定的服务,然后再加载StartupItems。也就是说,即使Uses中指定的服务没有加载成功,系统仍然会加载StartupItems。
4)OrderPreference;
指定执行StartupItems的时间顺序。这个顺序的重要程度排在Uses之后,是指定执行完Uses之后的顺序。可能的取值包括:First, Early, None(default), Late, Last。
5)Messages。
The Executable File
 
注意:
1)可执行文件的名称和它所在的文件夹的文件名是一样的,这是系统默认的规则。
2)操作可执行文件需要获得root权限。
3)可执行文件是一个shell脚本。
 
打开IcebergControlTower文件目录下同名的可执行文件,可以看到脚本的具体内容。
 
一般的可执行文件包含这样几个方面的内容:
1)./etc/rc.common
Apple提供的一个脚本库,该脚本库里包含了为可执行文件引进参数的接口。在这里load这个库主要是调用RunService。
2)StartService(), StopService(), RestartService()
当可执行文件接收到的参数为start,stop或者restart时,执行相对应的函数。
参数含义:
start:开机过程中开启服务;
stop:关机过程中停止服务;
restart:在特定条件下重启服务。
3)RunService “$1”
执行传递给该脚本的第一个参数指定的服务。
“$1” 表示传给该脚本的第一个参数。例如,传入的参数为start,则执行StartService()。

Ubuntu系统Aria2安装配置以及管理

Aria2是linux的下载神器,我们可以把它部署到远程VPS或者本地路由器上,本文简单介绍一下Aria2在Ubuntu系统下的安装和配置。

安装:

apt-get install aria2


建立配置文件:

mkdir /etc/aria2 #新建文件夹
touch /etc/aria2/aria2.session #新建session文件
chmod 777 /etc/aria2/aria2.session #设置aria2.session可写
vim /etc/aria2/aria2.conf #创建并编辑配置文件,稍后会详细介绍配置文件


More...


Unix及Linux编辑器vi/vim基本使用方法

本文介绍了vi (vim)的基本使用方法,但对于普通用户来说基本上够了。vi/vim的区别简单点来说,它们都是多模式编辑器,不同的是vim 是vi的升级版本,它不仅兼容vi的所有指令,而且还有一些新的特性在里面。例如语法加亮,可视化操作不仅可以在终端运行,也可以运行于x window、 mac os、 windows。

vi编辑器是所有Unix及Linux系统下标准的编辑器,它的强大不逊色于任何最新的文本编辑器,这里只是简单地介绍一下它的用法和一小部分指令。由于对Unix及 Linux系统的任何版本,vi编辑器是完全相同的,因此您可以在其他任何介绍vi的地方进一步了解它。Vi也是Linux中最基本的文本编辑器,学会它后,您将在Linux的世界里畅行无阻。

More...