对话 UNIX,第 3 部分: 在命令行中完成所有的工作

这是一个紧密联系的世界

研究提供 Internet 访问的三种基本的 UNIX® 命令行实用工具。

Martin Streicher (martin.streicher@linux-mag.com), 主编, Linux Magazine

Martin Streicher 目前担任 Linux Magazine 的主编。他毕业于普渡大学并获得计算机科学硕士学位,从 1982 年起他一直从事类 UNIX 系统的编程工作,使用的编程语言包括 Pascal、C、Perl、Java 以及近期的 Ruby 语言。您可以通过 martin.streicher@linux-mag.com 与 Martin 联系。



2006 年 10 月 23 日

UNIX® 命令行是一种WYTIWYG(即所输即所得)的接口。UNIX 提供了大量的命令,使用这些命令,您可以对内核和用户空间中各种可用的资源进行操作。您需要对 CPU 的使用情况进行监视吗?可以尝试使用 topps。您需要删除所有以 .bak 结尾的文件吗?可以尝试使用 rm *.bak。您需要获得关于一个新的命令的帮助吗?可以运行 man

但是,当您所需要的资源位于广域网 (WAN) 和全球 Internet 中的远程系统时,那又应该如何处理呢?这里引用 The Hitchhiker's Guide to the Galaxy 中的一句话,“您不必惊慌失措”。通过 UNIX 命令行可以很容易地下载和上传文件、连接到远程计算机并询问遥远的服务器和网络的状态。请做好准备:让我们开始一次“太阳系外”的奇妙旅行。

在本地进行工作,将信息传输到全球

在本系列的第 1 部分第 2 部分中,您了解了使用 UNIX 命令行可以完成各种各样的工作。只需要输入相应的内容,包括管道 (|) 或重定向,您就可以创建即兴的数据处理器,从而实现比将其中的这些部分简单地加在一起更强大的功能。

尽管日常使用的某些资源很可能位于本地,即位于您的工作站中,但是相当数量的、并且越来越多的资产(如文件、电子邮件消息和工具)可能存储在远程系统中,即位于连接到您的 WAN 或者 Internet 的计算机中。Web 浏览器提供了对这些资源的通用访问方式,但是有一点需要注意:指向-点击很快会变得令人厌倦,甚至很麻烦,特别是当您必须对大量的条目进行检索时。而且,如果您希望使用脚本 来完成重复性的或容易出错的任务时(从本质上说,是进行捕获和重放),窗口浏览器并不是一种好的工具。

lscpmailuptimedu managequery local resources 一样,UNIX 还提供了一套用于访问远程资源的命令行工具。本文将向您介绍其中的一些工具,包括一个有用的技巧,它可以简化对远程系统的访问并保护您的身份验证凭据。具体来说,您将了解 wgetcurl 和安全 Shell (ssh)。wgetcurl 工具可以用来传输文件,而使用 ssh,您可以安全地登录到远程系统中,快速地和轻松地传输文件。

Telnet(和其他工具)存在的问题

如果您的系统中运行了 rsh(或者其变种——rcprexecrloginIrdist)或 telnet,那么请立即禁用并删除这些命令以及相关的守护进程。另外,如果您不允许使用匿名文件传输协议 (FTP),请同时禁用 FTP 软件。

rsh 和 FTP 的漏洞

有关 rsh 和 FTP 中可能存在的漏洞的更详细的信息和说明,请参阅“Security Vulnerability between FTP and Berkeley Rsh/Rlogin Protocols”和“Stupid, Stupid Protocols:Telnet, FTP, rsh/rcp/rlogin”。

尽管 rshtelnet 在 UNIX 中使用了很长的时间,但是攻击者可以轻松地利用这两种实用工具的其中之一来危害您的系统。当发现该软件正在运行时,您或您的系统管理员应该停止并删除它,并使用 ssh 来代替这些包。

对于特权 FTP 访问,可以使用 sftp。将 rdist 替换为更高级的 rsync。或者,如果您必须提供匿名 FTP(或通过 HTTP 进行下载),请确保使用防火墙硬件和软件将所有可以公开访问的计算机与敏感的内部服务器隔离。

但是首先,让我们来讨论一下密码所带来的讨厌的问题。

“您不需要讨厌的密码!”

通常,对大多数计算机和服务的访问都受到保护。在有些情况下,进行身份验证(从而获得访问该系统的权限)可能需要复杂的质询-响应交换、安全套接字层 (SSL) 证书、甚至生物测定扫描。然而在一般情况下,通过密码就可以获得访问权限。与您的个人识别号码 (PIN) 相同,您的密码也是保密的,如果您选择了合适的密码,那么其他的人将很难猜到它。将您的用户名和强密码组合在一起,这样可以提供足够的安全性加强。

当然,强密码可能难以记住,并且当您需要收集和记住另一个 8 字符的密钥(数字、标点符号及其组合)时,情况变得更复杂。反复地输入同一个密码会让人感到讨厌,更糟糕的是,它极大地阻碍了自动化的实现。

正因为认识到这些阻碍的存在,所以许多命令行实用工具都允许您将用户名和密码作为命令行参数。例如,您可以使用下面的命令登录到一个 FTP 站点,而无需进行人工干预:

ftp ftp://joe:passwd@www.example.com

然而,使用这种方法可能会将您的凭据泄漏给共享该计算机的其他用户。(可以尝试使用 ps -Aeww,例如,查看完整的命令行和系统中每个进程的环境。)

为了提供与命令行相同的简洁性,而又不会带来危险,许多程序可以从一个名为 .netrc(读做 net-r-c)的文件中读取您的凭据,该文件通常位于 ~/.netrc 目录中。您的 .netrc 文件必须仅具有所有者读写模式(即模式 0600 或者 -rw-------),并且该文件中的每个条目都必须遵守下面这种简单的语法格式:

machine ftp.example.com login zaphod password I()Trillian!

machine www.magazine.com login abner password MmG8y*tr

default login anonymous password zaphod@heartofgold.com

前面两行提供了 machine 关键字和该计算机的域名、login 关键字和您在该计算机上的登录名、password 关键字以及紧跟其后的登录密码。最后一行中的凭据为任何没有专门指定的系统提供了缺省值。default 行必须是您的 .netrc 文件中的最后一行。(有关 .netrc 文件完整的配置选项,可以输入 man 5 netrc 以查看 .netrc 的 man 页面。)

显然,如果文件中包含任何标识数据,那么请确保它仅具有用户读写模式(模式 600)或用户只读模式(模式 400),以防止意外地覆盖或删除该文件。您可能还希望使用模式 700 来保护您的 home 目录。

现在,每当您启动一个支持 .netrc 的应用程序(包括接下来将要讨论的那些应用程序)时,会自动地将登录名和密码传递给所需的服务,而无需通过键盘进行输入。通常,您可以使用 -n 选项禁用这种自动登录 特性。

传递的过程

除了用于浏览 Web 页面的 HTTP 和基于 SSL 的 HTTP (HTTPS) 外,FTP 是最常用的 Internet 应用程序协议之一。通过 FTP,客户端可以连接到服务器、获取目录和文件的列表、下载文件(即,从服务器请求一个文件)或上传文件(即,向服务器发送一个文件,以进行持久保存)。ftp://ftp.example.com/path/to/anotherfile.zipftp://user:password@ftp.example.com/path/to/file.zip URL 格式表示,使用 FTP 协议连接到 ftp.example.com 并下载 /path/to/anotherfile.zip 文件。后面的这个 URL 简单地为登录添加了相应的凭据。

在大多数桌面计算机中,这两种 URL 将启动浏览器或缺省的 FTP 应用程序来下载指定的文件。然而,在 wget 命令行实用工具中也可以使用相同的 URL,它是一种用于通过 HTTP、HTTPS 和 FTP 进行文件下载的健壮的实用工具。它支持 .netrc 文件,并且无需进行交互,对于实现自动化来说,使用它非常合适。如果您的系统中没有 wget,您可以从 GNU Software Foundation 下载其源代码。它包含几个简单的命令,适用于所有的 UNIX 变种,您可以将这个实用工具放到您个人的 bin 目录或者某个中央目录。

假设已经有了 .netrc 文件,让我们来研究一些示例,看看 wget 究竟可以完成哪些工作。(在下面的示例中,提供了相应的行号以供参考,您不需要输入这些数值。)清单 1 显示了如何在命令行中轻松地使用 wget 来下载文件。

清单 1. 在命令行中使用 wget 下载文件
1 $ wget http://ftp.gnu.org/pub/gnu/wget/wget-1.10.2.tar.gz
--16:02:29--  http://ftp.gnu.org/pub/gnu/wget/wget-1.10.2.tar.gz
           => `wget-1.10.2.tar.gz'
Resolving ftp.gnu.org... 199.232.41.7
Connecting to ftp.gnu.org[199.232.41.7]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1,213,056 [application/x-tar]

100%[=====================>] 1,213,056    531.22K/s             

16:02:37 (529.57 KB/s) - `wget-1.10.2.tar.gz' saved [1213056/1213056]

2 $ wget -q ftp://mirror.linux.duke.edu/pub/centos/4.3/os\
  /i386/RELEASE-NOTES-en.html

3 $ cat url_list.txt
http://www.wikipedia.com
http://valdez.barebones.com/pub/freeware/TextWrangler_2.1.3.dmg

4 $ wget -i -nv url_list.txt
16:06:00 URL:http://www.wikipedia.org/ [33606] -> "index.html" [1]
16:06:41 URL:http://valdez.barebones.com/pub/freeware/
  TextWrangler_2.1.3.dmg [9488296/9488296] -> 
  "TextWrangler_2.1.3.dmg" [1]
FINISHED --16:06:41--
Downloaded: 9,521,902 bytes in 2 files

5 $ ls
RELEASE-NOTES-en.html   index.html              wget-1.10.2.tar.gz
TextWrangler_2.1.3.dmg  url_list.txt

命令 1 通过 HTTP 从该项目的主页下载最新的 wget 源代码。在缺省情况下,wget 将向您报告下载的过程。您可以使用 -q(表示 quiet 模式)选项来禁止所有的消息。命令 2 通过 FTP 获取 CentOS 的发布说明,同样也使用了 quiet 模式。

保持 URL 不变

提示:许多 HTTP URL 中包含一些在 Shell 中有特殊含义的字符。例如,许多 URL 中包含问号 (?),它用来将主机名和路径从参数列表中分隔出来。然而,Shell 却把问号解释为通配符。

要阻止 Shell 对其进行解释,只需要将 URL 放在单引号中即可。要避免奇怪的和长文件名,可以使用 wget -o 对输出文件进行命名。这里有一个示例:

$ wget -o sharkey \'http://www.example.com/\ download.cgi?proj=science&file=sharkey'

如果有很长的 URL 列表需要进行下载,您不需要分别将每个 URL 放到命令行中。相反,您可以创建(或生成)需要进行下载的 URL 列表。命令 3 显示了 url_list.txt 文件,简单的文本目录中包含了两个 URL;命令 4 则对这两个 URL 进行下载。在提供下载列表时,可以使用 -i 选项。-nv 选项(not verbose 的首字母缩写)则提供更简洁的消息。

除非您为下载的文件提供了相应的文件名(使用 -o 选项),否则 wget 将创建一个与远程文件名称相同的新的本地文件,而省略前面的 URL 部分。命令 5 显示了在命令 1 到 3 中下载的 4 个文件。

wget 实用工具有许多选项和特性。它可以访问 FTP 或 Web 站点,并下载具有层次结构的所有文件。您还可以为自动下载设置相应的配额、提供 cookies、并继续进行以前被中断的下载任务。要了解关于使用该工具的技巧,请阅读 wget 的 man 页面。

进行上传

对于自动的下载任务,wget 实用工具非常有价值,但是它却不能用来上传文件。它也不能够与安全 FTP、telnet 和大量其他的(更早的和更少使用的)Internet 协议进行互操作。对于这些类型的传输工作,您必须使用“瑞士军刀”般锐利的网络工具: curl

curl 命令行实用工具可以获取和上传数据,所以它非常适合于将本地文件传输到远程服务器。然而更有价值的是,curl 的基础是 libcurl 库,该库提供了丰富的应用程序编程接口 (API),允许您将各种 curl 特性集成到您自己的应用程序中。CC++、PHP 和 Perl,这是许多语言中能够利用 libcurl 的 4 种编程语言。如果您的系统中没有 curl 和 libcurl,您可以从 libcurl 主页下载其源代码。

因为 curl 可以将本地文件复制到远程服务器,所以它非常适合用于完成少量信息的备份工作。例如,清单 2 介绍了一个 Shell 脚本,出于安全考虑,它可以用来将一个装满了数据库转储信息的目录复制到远程 FTP 服务器。

清单 2. 使用 curl 以远程的方式保存数据库转储
foreach db (mydns mysql cms tv radio)
  /usr/bin/mysqldump --ppassword --add-drop-table -Q --complete-insert $db > $db.sql 
end

find dbs -mtime -1 -type f -name '*.sql' -print | foreach file (`xargs`)
  curl -n -T $file ftp://ftp1.archive.example.com
end

curl -n 命令强制 curl 读取您的 .netrc 文件。-T 选项告诉 curl 将指定的文件上传到给定的 URL。如果您省略了目标文件名,那么 curl 将简单地重用上传文件的名称。

正如您可能猜测到的,curl 具有比 wget 更多的选项。您需要阅读 curl 的 man 页面,并将其记在心中。curl 项目还维护了一份使用列表,其中包括关于如何使用 HTTP POSTPUT 命令、如何提供登录凭据、如何使用 SSL 证书、以及如何调试 curl 请求的说明。一个简单的技巧:尝试使用 curl -v --trace-ascii ... 来生成跟踪信息。

六处需要说明的地方

现代计算任务的完成在很大程度上依赖于各种型号、规模和服务的计算机之间无数的互连。实际上,即使在一个小型的计算环境中,也可能有一台计算机专门负责电子邮件,另一台计算机负责提供 Web 页面,而其他的计算机则用来执行更专门的任务。在这种环境中(通常使用局域网 (LAN)、WAN 或虚拟专用网 (VPN) 进行连接),每天都需要登录到不同的计算机。系统管理员需要不停地从一台计算机转到另一台计算机,但是对于开发人员和其他的用户来说,通常则需要登录到不同的计算机以实现对关键的应用程序的远程访问。

X Window System 和现有的桌面软件使得远程访问变得相当透明:窗口仅仅只是窗口,而基础应用程序可以运行于任何计算机。这里再次说明,即使在这个以鼠标为中心的环境中,命令行也还是有其一席之地的。例如,如何轻松地在多台计算机上运行相同的命令呢?或者,更简单地说,如何在远程系统中启动一个 xterm 窗口呢?

提供远程系统访问正是 ssh 及其派生工具(scpsftp)的任务。sshrsh 的安全版本,而 scpsftp 则分别是 rcp 和 FTP 的安全替代。它为什么是安全的呢?ssh 及其变种提供了更强的身份验证机制,并使用您所选择的几个密码对所有的通信内容进行加密。即使有人探查 您的网络,ssh 通信数据对他们来说也毫无意义

ssh 最简单的用法是 ssh hostname。该命令将连接到 hostname,并提示您输入登录名和密码。在提供了正确的凭据之后,您就可以登录到系统中:

(www.joe.com) $ ssh web.example.com
Login: arthur
Password: ******
( web.example.com) $

如果您只需要在远程系统中运行一个命令,那么就不需要进行登录。只需将该命令作为 ssh 的参数即可。例如,清单 3 中所示的命令用于在远程计算机上运行 hostname -a -v

清单 3. 使用 ssh 在远程系统中运行命令
(www.joe.com) $ ssh db.linux-mag.com hostname -a -v
Login: vogon
Password: ******
db
gethostname()=`db.linux-mag.com'
Resolving `db.linux-mag.com' ...
Result: h_name=`db.linux-mag.com'
Result: h_aliases=`db'
Result: h_addr_list=`64.34.170.230'

ssh 建立到 db.linux-mag.com 的连接,然后将 hostname -a -v 参数传递到远程计算机,该参数将运行这个命令并将输出返回到本地计算机。

ssh 还为将文件和整个目录从一台计算机复制到另一台计算机提供了一种便捷的方法。scpcp 一样很容易使用。这里有一个示例:

(www.joe.com) $ scp -p -r ~/myproject web.example.com:

这个命令将 ~/myproject 目录复制到 web.example.com。如果您省略了目标路径名,那么将把这些文件复制到 home 目录。-p 选项保持所有文件的日期和时间戳,而 -r 则启动递归 模式,这样一来,scp 将进入并复制所有的子目录。

顺便提一下,前面的 scp 命令等价于:

(www.joe.com) $ tar czf - ~/myproject | ssh www.example.com tar xvzf - 
Login: deepthought
Password: ******

是的,您可以通过管道将本地命令的输出传递给远程命令(反之亦然)。

您可能已经厌倦了这些密码输入提示。同样,这些反复出现的提示将降低工作效率并影响自动化的实现。您也可能厌倦了一次又一次地输入冗长的用户名。幸运的是,ssh 支持公钥或私钥身份验证和系统别名。

下面,让我们使用 DSA 加密方案来设置公钥或私钥对。要完成这项工作,您必须生成密钥对,将公钥复制到远程系统,并将它添加到已知密钥列表中,然后对其进行验证,如清单 4 所示。

清单 4. 创建并安装公钥或私钥
1 $ cd ~
2 $ mkdir .ssh
3 $ chmod 700 .ssh
4 $ cd .ssh
5 $ ssh-keygen -t dsa 
Generating public/private dsa key pair.
Enter file in which to save the key (/home/mstreicher/.ssh/id_dsa): ./id_dsa
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in ./id_dsa.
Your public key has been saved in ./id_dsa.pub.
The key fingerprint is:
40:6c:26:e7:53:df:d1:7b:c4:79:c5:a8:cd:6b:fe:8e mstreicher@db.linux-mag.com
6 $ ls
id_dsa  id_dsa.pub
7 $ chmod 600 *

8 $ scp id_dsa.pub www.example.com:
Login: marvin
Password: ******
id_dsa  100%  668     0.7KB/s   00:00  

9 $ ssh www.example.com
Login: marvin
Password: ******
A $ mkdir .ssh
B $ chmod 700 .ssh
C $ cd .ssh
D $ cat ../id_dsa.pub >> authorized_keys
E $ rm ../id_dsa.pub
F $ chmod 600 *
G $ logout

10 $ ssh www.example.com

a $ hostname
www.example.com
b $ logout

命令 1 到 3 在您的 home 目录中创建了一个名为 .ssh 的私有本地目录。这个目录的模式必须为 700,否则 ssh 无法使用公钥或私钥身份验证。(您可以看到,步骤 A 到 C 对远程计算机运行了相同的命令序列。)命令 5 使用 DSA 创建了密钥对。接下来,保持其中的两个 Passphrase 为空。(它们提供了额外的安全级别,但却添加了一项身份验证步骤。)ssh-keygen 生成两个文件:id_dsa(私钥)和 id_dsa.pub(公钥)。步骤 6 显示了这些文件,而步骤 7 则对这两个密钥进行保护。您的密钥的模式必须为 06000400

向远程 Shell 传递通配符

假设您需要列出远程 home 目录中所有的 C 源文件。在本地的情况下,您可能会输入像 ls -l *.c 这样的命令,所以您可以在 ssh 中尝试该方法:

$ ssh www.example.com ls -l *.c

可能会出现两种情况:如果在本地计算机的当前工作目录中不存在任何 C 文件,那么 Shell 将返回 zsh: no matches found: *.c;或者,如果当前工作目录中存在一些 C 文件,而它们在远程计算机的 home 目录中却不存在,那么远程计算机的 Shell 可能会返回 ls: whosit.c: No such file or directory。您是不是被弄糊涂了?

问题在于,在发送 ssh 命令之前,本地 Shell 将首先展开 通配符 *。而您所希望的是,在远程系统中展开这个 *

要实现这一点,您必须阻止本地 Shell 对通配符进行解释(前面曾出现过一次这样的情况)。您可以将 * 放到单引号中,或使用反斜杠 (\) 对星号进行转义。这样一来,会将星号作为常规字符传递到远程 Shell,并在远程计算机的上下文中对其进行解释。

这里有两种不同的方法,可以根据实际情况选择使用合适的方法:

$ ssh www.example.com ls -l \*.c $ ssh www.example.com ls -l '*'.c

步骤 8 将公钥复制到远程计算机。接下来,您必须输入您的密码,但这是最后一次输入了。命令 A 到 C 创建了私有的 .ssh 目录,而步骤 D 则将公钥添加到授权密钥列表中。该文件的名称为 authorized_keys,这是有意这样做的。不要将该文件命名为其他的名称。步骤 E 删除了密钥的副本,步骤 F 和步骤 7 一样,对文件进行保护。

当您注销,然后重新登录时,不再需要使用密码。ssh(以及 scpsftp)可以使用您的私钥对远程公钥进行测试。如果匹配,则表示您的凭据是有效的,您可以成功登录而无需进一步的识别。

有些系统始终需要使用密码,而其他的系统可能使用 RSA 而不是 DSA。与系统管理员联系,以便弄清楚如何登录到特定的计算机。系统管理员可以进行一些全局设置,这样可以使得系统更容易访问。

任何时间、任何地点都处于联机状态

如今,Internet 以一种人类历史上前所未有的方式将身在各处的人们联系到一起。无论是在博客中分享生活的细节信息,还是为您的下一个项目下载相关的源代码,都可以通过网络来完成,而不再需要驱车奔走。

Web 冲浪仍然是一项流行的活动,但是为了能够留出时间进行真正的冲浪,开发人员创建了各种方式用来对各类文件的传输进行自动化。使用脚本和一些 UNIX 实用工具,可以保持您的外部 Web 和下载站点是最新的。您只需输入简单的命令就可以下载和上传文件,这使得整个过程变得快速而简单。如果您创建一个 .netrc 文件,可以得到更大程度的加速。不再需要任何密码。

既然已经清楚了这一点,那么您就可以放下汽车顶棚,驾车驶入信息超高速公路了。让我们在网络尽头的餐馆见。后到的人付帐哟!

参考资料

学习

  • 您可以参阅本文在 developerWorks 全球站点上的 英文原文
  • 对话 UNIX:查看本系列中其他的部分。
  • curl:学习灵活地使用 Curl 下载各种资源,并使用最常用的 Internet 协议。
  • AIX and UNIX:访问 developerWorks “AIX and UNIX” 专区,以扩展您的 AIX 和 UNIX 技能。
  • New to AIX and UNIX:访问“New to AIX and UNIX”页面,以了解更多关于 AIX 和 UNIX 的内容。
  • developerWorks 技术事件与网络广播:了解最新的 developerWorks 技术事件和网络广播。
  • AIX 5L Wiki:AIX 相关技术信息的协作环境。
  • 播客:收听播客并与 IBM 技术专家保持同步。

获得产品和技术

讨论

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=AIX and UNIX
ArticleID=170069
ArticleTitle=对话 UNIX,第 3 部分: 在命令行中完成所有的工作
publish-date=10232006