对话 UNIX,第 3 部分: 在命令行中完成所有的工作
研究提供 Internet 访问的三种基本的 Unix® 命令行实用工具。
UNIX® 命令行是一种WYTIWYG(即所输即所得)的接口。UNIX 提供了大量的命令,使用这些命令,您可以对内核和用户空间中各种可用的资源进行操作。您需要对 CPU 的使用情况进行监视吗?可以尝试使用 top 或 ps。您需要删除所有以 .bak 结尾的文件吗?可以尝试使用 rm *.bak。您需要获得关于一个新的命令的帮助吗?可以运行 man。
但是,当您所需要的资源位于广域网 (WAN) 和全球 Internet 中的远程系统时,那又应该如何处理呢?这里引用 The Hitchhiker's Guide to the Galaxy 中的一句话,“您不必惊慌失措。通过 UNIX 命令行可以很容易地下载和上传文件、连接到远程计算机并询问遥远的服务器和网络的状态。请做好准备:让我们开始一次“太阳系外的奇妙旅行。
在本地进行工作,将信息传输到全球
在本系列的第 1 部分和第 2 部分中,您了解了使用 UNIX 命令行可以完成各种各样的工作。只需要输入相应的内容,包括管道 (|) 或重定向,您就可以创建即兴的数据处理器,从而实现比将其中的这些部分简单地加在一起更强大的功能。
尽管日常使用的某些资源很可能位于本地,即位于您的工作站中,但是相当数量的、并且越来越多的资产(如文件、电子邮件消息和工具)可能存储在远程系统中,即位于连接到您的 WAN 或者 Internet 的计算机中。Web 浏览器提供了对这些资源的通用访问方式,但是有一点需要注意:指向-点击很快会变得令人厌倦,甚至很麻烦,特别是当您必须对大量的条目进行检索时。而且,如果您希望使用脚本 来完成重复性的或容易出错的任务时(从本质上说,是进行捕获和重放),窗口浏览器并不是一种好的工具。
与 ls、cp、mail、uptime、du manage 和 query local resources 一样,Unix 还提供了一套用于访问远程资源的命令行工具。本文将向您介绍其中的一些工具,包括一个有用的技巧,它可以简化对远程系统的访问并保护您的身份验证凭据。具体来说,您将了解 wget、curl 和安全 Shell (ssh)。wget 和 curl 工具可以用来传输文件,而使用 ssh,您可以安全地登录到远程系统中,快速地和轻松地传输文件。
Telnet(和其他工具)存在的问题
如果您的系统中运行了 rsh(或者其变种——rcp、rexec、rlogin 或 Irdist)或 telnet,那么请立即禁用并删除这些命令以及相关的守护进程。另外,如果您不允许使用匿名文件传输协议 (FTP),请同时禁用 FTP 软件。
尽管 rsh 和 telnet 在 UNIX 中使用了很长的时间,但是攻击者可以轻松地利用这两种实用工具的其中之一来危害您的系统。当发现该软件正在运行时,您或您的系统管理员应该停止并删除它,并使用 ssh 来代替这些包。
对于特权 FTP 访问,可以使用 sftp。将 rdist 替换为更高级的 rsync。或者,如果您必须提供匿名 FTP(或通过 HTTP 进行下载),请确保使用防火墙硬件和软件将所有可以公开访问的计算机与敏感的内部服务器隔离。
但是首先,让我们来讨论一下密码所带来的讨厌的问题。
“您不需要讨厌的密码!
通常,对大多数计算机和服务的访问都受到保护。在有些情况下,进行身份验证(从而获得访问该系统的权限)可能需要复杂的质询-响应交换、安全套接字层 (SSL) 证书、甚至生物测定扫描。然而在一般情况下,通过密码就可以获得访问权限。与您的个人识别号码 (PIN) 相同,您的密码也是保密的,如果您选择了合适的密码,那么其他的人将很难猜到它。将您的用户名和强密码组合在一起,这样可以提供足够的安全性加强。
当然,强密码可能难以记住,并且当您需要收集和记住另一个 8 字符的密钥(数字、标点符号及其组合)时,情况变得更复杂。反复地输入同一个密码会让人感到讨厌,更糟糕的是,它极大地阻碍了自动化的实现。
正因为认识到这些阻碍的存在,所以许多命令行实用工具都允许您将用户名和密码作为命令行参数。例如,您可以使用下面的命令登录到一个 FTP 站点,而无需进行人工干预:
ftp ftp://joe:passwd@www.example.com
然而,使用这种方法可能会将您的凭据泄漏给共享该计算机的其他用户。(可以尝试使用 ps -Aeww,例如,查看完整的命令行和系统中每个进程的环境。)
为了提供与命令行相同的简洁性,而又不会带来危险,许多程序可以从一个名为 .netrc(读做 net-r-c)的文件中读取您的凭据,该文件通常位于 ~/.netrc 目录中。您的 .netrc 文件必须仅具有所有者读写模式(即模式 0600 或者 -rw-------),并且该文件中的每个条目都必须遵守下面这种简单的语法格式:
Machine ftp.example.com login zaphod passWord I()Trillian!machine www.magazine.com login abner password MmG8y*trdefault login anonymous password zaphod@heartofgold.com
前面两行提供了 machine 关键字和该计算机的域名、login 关键字和您在该计算机上的登录名、password 关键字以及紧跟其后的登录密码。最后一行中的凭据为任何没有专门指定的系统提供了缺省值。default 行必须是您的 .netrc 文件中的最后一行。(有关 .netrc 文件完整的配置选项,可以输入 man 5 netrc 以查看 .netrc 的 man 页面。)
显然,如果文件中包含任何标识数据,那么请确保它仅具有用户读写模式(模式 600)或用户只读模式(模式 400),以防止意外地覆盖或删除该文件。您可能还希望使用模式 700 来保护您的 home 目录。
现在,每当您启动一个支持 .netrc 的应用程序(包括接下来将要讨论的那些应用程序)时,会自动地将登录名和密码传递给所需的服务,而无需通过键盘进行输入。通常,您可以使用 -n 选项禁用这种自动登录 特性。
传递的过程
除了用于浏览 Web 页面的 HTTP 和基于 SSL 的 HTTP (HTTPS) 外,FTP 是最常用的 Internet 应用程序协议之一。通过 FTP,客户端可以连接到服务器、获取目录和文件的列表、下载文件(即,从服务器请求一个文件)或上传文件(即,向服务器发送一个文件,以进行持久保存)。ftp://ftp.example.com/path/to/anotherfile.zip 和 ftp://user:passWord@ftp.example.com/path/to/file.zip URL 格式表示,使用 FTP 协议连接到 ftp.example.com 并下载 /path/to/anotherfile.zip 文件。后面的这个 URL 简单地为登录添加了相应的凭据。
在大多数桌面计算机中,这两种 URL 将启动浏览器或缺省的 FTP 应用程序来下载指定的文件。然而,在 wget 命令行实用工具中也可以使用相同的 URL,它是一种用于通过 HTTP、HTTPS 和 FTP 进行文件下载的健壮的实用工具。它支持 .netrc 文件,并且无需进行交互,对于实现自动化来说,使用它非常合适。如果您的系统中没有 wget,您可以从 GNU Software Foundation 下载其源代码。它包含几个简单的命令,适用于所有的 Unix 变种,您可以将这个实用工具放到您个人的 bin 目录或者某个中央目录。
假设已经有了 .netrc 文件,让我们来研究一些示例,看看 wget 究竟可以完成哪些工作。(在下面的示例中,提供了相应的行号以供参考,您不需要输入这些数值。)清单 1 显示了如何在命令行中轻松地使用 wget 来下载文件。
清单 1. 在命令行中使用 wget 下载文件
1 $ wget http://ftp.gnu.org/pub/gnu/wget/wget-1.10.2.tar.gz--16:02:29-- http://ftp.gnu.org/pub/gnu/wget/wget-1.10.2.tar.gz => `wget-1.10.2.tar.gz'Resolving ftp.gnu.org... 199.232.41.7Connecting to ftp.gnu.org[199.232.41.7]:80... connected.HTTP request sent, awaiting response... 200 OKLength: 1,213,056 [application/x-tar]100%[=====================>] 1,213,056531.22K/s16:02:37 (529.57 KB/s) - `wget-1.10.2.tar.gz' saved [1213056/1213056]2 $ wget -q ftp://mirror.Linux.duke.edu/pub/centos/4.3/os /i386/RELEASE-NOTES-en.HTML3 $ cat url_list.txthttp://www.wikipedia.comhttp://valdez.barebones.com/pub/freeware/TextWrangler_2.1.3.dmg4 $ wget -i -nv url_list.txt16:06:00 URL:http://www.wikipedia.org/ [33606] -> "index.html" [1]16:06:41 URL:http://valdez.barebones.com/pub/freeware/ TextWrangler_2.1.3.dmg [9488296/9488296] -> "TextWrangler_2.1.3.dmg" [1]FINISHED --16:06:41--Downloaded: 9,521,902 bytes in 2 files5 $ lsRELEASE-NOTES-en.html index.html wget-1.10.2.tar.gzTextWrangler_2.1.3.dmg url_list.txt
命令 1 通过 HTTP 从该项目的主页下载最新的 wget 源代码。在缺省情况下,wget 将向您报告下载的过程。您可以使用 -q(表示 quIEt 模式)选项来禁止所有的消息。命令 2 通过 FTP 获取 CentOS 的发布说明,同样也使用了 quiet 模式。
保持 URL 不变
提示:许多 HTTP URL 中包含一些在 Shell 中有特殊含义的字符。例如,许多 URL 中包含问号 (?),它用来将主机名和路径从参数列表中分隔出来。然而,Shell 却把问号解释为通配符。
要阻止 Shell 对其进行解释,只需要将 URL 放在单引号中即可。要避免奇怪的和长文件名,可以使用 wget -o 对输出文件进行命名。这里有一个示例:
$ wget -o sharkey'http://www.example.com/download.cgi?proj=scIEnce&file=sharkey'
如果有很长的 URL 列表需要进行下载,您不需要分别将每个 URL 放到命令行中。相反,您可以创建(或生成)需要进行下载的 URL 列表。命令 3 显示了 url_list.txt 文件,简单的文本目录中包含了两个 URL;命令 4 则对这两个 URL 进行下载。在提供下载列表时,可以使用 -i 选项。-nv 选项(not verbose 的首字母缩写)则提供更简洁的消息。
除非您为下载的文件提供了相应的文件名(使用 -o 选项),否则 wget 将创建一个与远程文件名称相同的新的本地文件,而省略前面的 URL 部分。命令 5 显示了在命令 1 到 3 中下载的 4 个文件。
wget 实用工具有许多选项和特性。它可以访问 FTP 或 Web 站点,并下载具有层次结构的所有文件。您还可以为自动下载设置相应的配额、提供 cookies、并继续进行以前被中断的下载任务。要了解关于使用该工具的技巧,请阅读 wget 的 man 页面。
进行上传
对于自动的下载任务,wget 实用工具非常有价值,但是它却不能用来上传文件。它也不能够与安全 FTP、telnet 和大量其他的(更早的和更少使用的)Internet 协议进行互操作。对于这些类型的传输工作,您必须使用“瑞士军刀般锐利的网络工具: curl。
curl 命令行实用工具可以获取和上传数据,所以它非常适合于将本地文件传输到远程服务器。然而更有价值的是,curl 的基础是 libcurl 库,该库提供了丰富的应用程序编程接口 (API),允许您将各种 curl 特性集成到您自己的应用程序中。C、C++、PHP 和 Perl,这是许多语言中能够利用 libcurl 的 4 种编程语言。如果您的系统中没有 curl 和 libcurl,您可以从 libcurl 主页下载其源代码。
因为 curl 可以将本地文件复制到远程服务器,所以它非常适合用于完成少量信息的备份工作。例如,清单 2 介绍了一个 Shell 脚本,出于安全考虑,它可以用来将一个装满了数据库转储信息的目录复制到远程 FTP 服务器。
清单 2. 使用 curl 以远程的方式保存数据库转储
foreach db (mydns mysql cms tv radio) /usr/bin/mysqldump --ppassWord --add-drop-table -Q --complete-insert $db > $db.sqlendfind dbs -mtime -1 -type f -name '*.sql' -print | foreach file (`xargs`) curl -n -T $file ftp://ftp1.archive.example.comend
curl -n 命令强制 curl 读取您的 .netrc 文件。-T 选项告诉 curl 将指定的文件上传到给定的 URL。如果您省略了目标文件名,那么 curl 将简单地重用上传文件的名称。
正如您可能猜测到的,curl 具有比 wget 更多的选项。您需要阅读 curl 的 man 页面,并将其记在心中。curl 项目还维护了一份使用列表,其中包括关于如何使用 HTTP POST 和 PUT 命令、如何提供登录凭据、如何使用 SSL 证书、以及如何调试 curl 请求的说明。一个简单的技巧:尝试使用 curl -v --trace-ascii ... 来生成跟踪信息。
六处需要说明的地方
现代计算任务的完成在很大程度上依赖于各种型号、规模和服务的计算机之间无数的互连。实际上,即使在一个小型的计算环境中,也可能有一台计算机专门负责电子邮件,另一台计算机负责提供 Web 页面,而其他的计算机则用来执行更专门的任务。在这种环境中(通常使用局域网 (LAN)、WAN 或虚拟专用网 (VPN) 进行连接),每天都需要登录到不同的计算机。系统管理员需要不停地从一台计算机转到另一台计算机,但是对于开发人员和其他的用户来说,通常则需要登录到不同的计算机以实现对关键的应用程序的远程访问。
X Window System 和现有的桌面软件使得远程访问变得相当透明:窗口仅仅只是窗口,而基础应用程序可以运行于任何计算机。这里再次说明,即使在这个以鼠标为中心的环境中,命令行也还是有其一席之地的。例如,如何轻松地在多台计算机上运行相同的命令呢?或者,更简单地说,如何在远程系统中启动一个 xterm 窗口呢?
提供远程系统访问正是 ssh 及其派生工具(scp 和 sftp)的任务。ssh 是 rsh 的安全版本,而 scp 和 sftp 则分别是 rcp 和 FTP 的安全替代。它为什么是安全的呢?ssh 及其变种提供了更强的身份验证机制,并使用您所选择的几个密码对所有的通信内容进行加密。即使有人探查 您的网络,ssh 通信数据对他们来说也毫无意义。
ssh 最简单的用法是 ssh hostname。该命令将连接到 hostname,并提示您输入登录名和密码。在提供了正确的凭据之后,您就可以登录到系统中:
(www.joe.com) $ ssh web.example.comLogin: arthurPassWord: ******( web.example.com) $
如果您只需要在远程系统中运行一个命令,那么就不需要进行登录。只需将该命令作为 ssh 的参数即可。例如,清单 3 中所示的命令用于在远程计算机上运行 hostname -a -v。
清单 3. 使用 ssh 在远程系统中运行命令
(www.joe.com) $ ssh db.Linux-mag.com hostname -a -vLogin: vogonPassWord: ******dbgethostname()=`db.linux-mag.com'Resolving `db.linux-mag.com' ...Result: h_name=`db.linux-mag.com'Result: h_aliases=`db'Result: h_addr_list=`64.34.170.230'
ssh 建立到 db.linux-mag.com 的连接,然后将 hostname -a -v 参数传递到远程计算机,该参数将运行这个命令并将输出返回到本地计算机。
ssh 还为将文件和整个目录从一台计算机复制到另一台计算机提供了一种便捷的方法。scp 与 cp 一样很容易使用。这里有一个示例:
(www.joe.com) $ scp -p -r ~/myproject web.example.com:
这个命令将 ~/myproject 目录复制到 web.example.com。如果您省略了目标路径名,那么将把这些文件复制到 home 目录。-p 选项保持所有文件的日期和时间戳,而 -r 则启动递归 模式,这样一来,scp 将进入并复制所有的子目录。
顺便提一下,前面的 scp 命令等价于:
(www.joe.com) $ tar czf - ~/myproject | ssh www.example.com tar xvzf -Login: deepthoughtPassword: ******
是的,您可以通过管道将本地命令的输出传递给远程命令(反之亦然)。
您可能已经厌倦了这些密码输入提示。同样,这些反复出现的提示将降低工作效率并影响自动化的实现。您也可能厌倦了一次又一次地输入冗长的用户名。幸运的是,ssh 支持公钥或私钥身份验证和系统别名。
下面,让我们使用 DSA 加密方案来设置公钥或私钥对。要完成这项工作,您必须生成密钥对,将公钥复制到远程系统,并将它添加到已知密钥列表中,然后对其进行验证,如清单 4 所示。
清单 4. 创建并安装公钥或私钥
1 $ cd ~2 $ mkdir .ssh3 $ chmod 700 .ssh4 $ cd .ssh5 $ ssh-keygen -t dsaGenerating public/private dsa key pair.Enter file in which to save the key (/home/mstreicher/.ssh/id_dsa): ./id_dsaEnter passphrase (empty for no passphrase):Enter same passphrase again:Your identification has been saved in ./id_dsa.Your public key has been saved in ./id_dsa.pub.The key fingerprint is:40:6c:26:e7:53:df:d1:7b:c4:79:c5:a8:cd:6b:fe:8e mstreicher@db.Linux-mag.com6 $ lsid_dsa id_dsa.pub7 $ chmod 600 *8 $ scp id_dsa.pub www.example.com:Login: marvinPassWord: ******id_dsa 100% 668 0.7KB/s 00:00 9 $ ssh www.example.comLogin: marvinPassword: ******A $ mkdir .sshB $ chmod 700 .sshC $ cd .sshD $ cat ../id_dsa.pub >> authorized_keysE $ rm ../id_dsa.pubF $ chmod 600 *G $ logout10 $ ssh www.example.coma $ hostnamewww.example.comb $ logout
命令 1 到 3 在您的 home 目录中创建了一个名为 .ssh 的私有本地目录。这个目录的模式必须为 700,否则 ssh 无法使用公钥或私钥身份验证。(您可以看到,步骤 A 到 C 对远程计算机运行了相同的命令序列。)命令 5 使用 DSA 创建了密钥对。接下来,保持其中的两个 Passphrase 为空。(它们提供了额外的安全级别,但却添加了一项身份验证步骤。)ssh-keygen 生成两个文件:id_dsa(私钥)和 id_dsa.pub(公钥)。步骤 6 显示了这些文件,而步骤 7 则对这两个密钥进行保护。您的密钥的模式必须为 0600 或 0400。
相关文章: