يعد الترميز الشبكي أحد مفاهيم التوجيه الرئيسية في الشبكات التي يجب أن يكون بديهيًا للمستخدم المحترف لنظام التشغيل لينكس، إذ سنوضح في هذه المقالة ما هو CIDR، وما هي آلية عمله. يرمز اختصار CIDR إلى التوجيه بين النطاقات عديم التصنيف، وهو نظام ترميز عنونة الشبكة الذي يستخدم لتحديد الجزء الخاص بعنوان الشبكة في عنوان IP.

فئات عناوين الشبكة

قبل أن نبدأ بشرح آلية عمل CIDR دعونا نطلع على ترميز الشبكة الفئوي classful الذي حل CIDR محله. طُرِح النظام الفئوي في عام 1981، وكان يعرِّف 5 فئات لعناوين الشبكة تستخدم في تحديد الأجهزة الموصولة على الإنترنت وعنونتها. تحدَّد الفئة المخصصة للشبكة بأول 4 بتات من العنوان.

يعرض الجدول فئات عناوين الشبكة الخمسة التي تحددها عنونة الشبكة الفئوية، متضمنًا كلًا من قناع الشبكة وترميز CIDR لكل فئة. الفئات A و B و C هي مجالات عناوين البث الأحادي unicast التي يشيع إسنادها إلى المؤسَّسات. يشير البث الأحادي إلى أن رزم البيانات ترسَل إلى مضيف واحد. أما الفئة D مخصصة لما يسمى بمجال عناوين البث المتعدد multicast، إذ ترسل في هذا المجال رزم البيانات إلى جميع المضيفين الموجودين ضمن شبكة محددة. لم يكن هذا المجال من العناوين IP مستخدمًا تقريبًا. وأما مجال عناوين الفئة E كان محجوزًا لإمكانية التوسع في المستقبل لكنه لم يستخدَم أيضًا قط.

لاحظ أنه لا يوجد إلا 3 احتمالات لأقنعة الشبكة التي تتوافق مع كل فئة من الشبكات الفئوية، وهي: 255.0.0.0 (8 بت)، و 255.255.0.0 (16 بت)، و 255.255.255.0 (24 بت)، مقسَّمةً إلى ثمانيات منفصلة. هذا إحدى العوامل التي جعلت تخصيص العناوين العامة Public IP addresses محدودًا، ويرجع ذلك إلى عدد الشبكات المحدود نسبيًا الذي تحدده هذه الفئات.

للأسف أدى تخصيص الشبكات الفئوية إلى هدر ضخم في العناوين. فمثلًا عندما تطلب المؤسَّسات الحصول على عدد من العناوين الذي يكون أكبر من عدد العناوين المتاحة في شبكة من الفئة C، سيخصص لهم شبكةً كاملةً من الفئة B سواءً احتاجوا إلى جميع العناوين في تلك الشبكة أم لا. وينطبق المثال ذاته على الشبكات من الفئة B، فبعض المؤسَّسات الكبرى احتاجت إلى شبكة أكبر من الشبكات من الفئة B فخصِّصت لهم شبكات من الفئة A. وبالتالي خُصص عدد هائل من العناوين IP لبعض المؤسَّسات الكبرى فقط.

من المهم أن نفهم أن أول 4 بتات (التي تكون أقصى اليسار) من العنوان هي من تحدد فئة الشبكة، وليس قناع الشبكة أو CIDR المكافئ له. هذا يعني من الناحية العملية أنه لا يمكن تقسيم الشبكات الضخمة إلى شبكات فرعية على مستوى الإنترنت، لأن الموجهات على الإنترنت تستطيع تحديد مسارًا واحدًا فقط إلى كل شبكة فئوية مخصصة. إضافةً إلى ذلك، رغم أن المؤسسَّسات التي تملك الشبكات الفئوية الضخمة تستطيع تقسيمها إلى شبكات فرعية، لكن توجيه الرزم إلى مواقع جغرافية أخرى تنتمي إلى نفس الشبكة سيتطلب عندها أن تستخدم المؤسَّسة شبكات داخلية خاصة أو شبكات خاصة افتراضية VPN عامة ذات تكلفة باهظة.

مثلًا ليكن لدينا شركة تتضمن 6 أقسام وتحتاج إلى تخصيص 400 عنوان IP لكل منها، التي يعادل مجموعها 2400 عنوان. لن تفي شبكة واحدة من الفئة C التي تحتوي على 256 عنوان IP فقط بالغرض، لذا ستُخصَّص للشركة شبكة من الفئة B التي تعنون حتى 65,536 جهاز، لذا ستهدَر العناوين 63,136 المتبقية لأنه لا يمكن تخصيصها لمؤسَّسة أخرى.

اقتباس

ملاحظة: من الضروري في هذا المثال استخدام جزء من مجموعة عناوين 10.0.0.0/8 CIDR الخاصة الحالية بدلًا من العنوان العام من الفئة B، وهذا تجنبًا لذكر عناوين عامة قد تكون مخصصةً لإحدى المؤسَّسات.

استخدمت برنامج sipcalc على موجه الأوامر لتوفير المعلومات الشبكية لهذه الشبكة من الفئة B التي اخترتها عشوائيًا من مجال العناوين العام المزيف. يوفر الأمر sipcalc عددًا كبيرًا من المعلومات عن عنوان أو مجال من العناوين IP. وكما سترى لاحقًا، يستطيع هذا الأمر توليد قائمةً بالشبكات الفرعية ضمن مجال عناوين محدد عند تزويده بقناع الشبكة. قد تضطر إلى تثبيت برنامج sipcalc، حيث أنه لم يكن مثبتًا افتراضيًا على نظام التشغيل فيدورا Fedora لدي.

$ sipcalc 10.125.0.0/16   
-[ipv4 : 10.125.0.0/16] - 0

[CIDR]
Host address            - 10.125.0.0
Host address (decimal)  - 175964160
Host address (hex)      - A7D0000
Network address         - 10.125.0.0
Network mask            - 255.255.0.0
Network mask (bits)     - 16
Network mask (hex)      - FFFF0000
Broadcast address       - 10.125.255.255
Cisco wildcard          - 0.0.255.255
Addresses in network    - 65536
Network range           - 10.125.0.0 - 10.125.255.255
Usable range            - 10.125.0.1 - 10.125.255.254

يظهر خرج الأمر sipcalc عنوان الشبكة network address وقناع الشبكة netmask ومجال عناوين الشبكة network address range إضافةً إلى العناوين المتاحة في هذا المجال وغير ذلك. إن العنوان 10.125.0.0 هو عنوان الشبكة والعنوان 10.125.255.255 هو عنوان البث العام broadcast لهذه الشبكة. لا يمكن إسناد هذين العنوانين إلى المضيفين.

كان الخيار الآخر المتاح تخصيص عدة شبكات من الفئة C للشركة. سيخفض هذا الخيار عناوين IP المهدورة بدرجة كبيرة لكن سيصبح ضبط التوجيه بين شبكات هذه الشركة معقدًا أكثر من ضبط التوجيه لشبكة واحدة. كما سيخفض هذا الخيار عدد الشبكات المتاحة من الفئة C التي تستطيع مؤسسات أخرى حجزها.

مفهوم CIDR

طُرح مفهوم ترميز CIDR في عام 1993 كوسيلة لإطالة عمر عناوين IPV4 التي كانت تنفد منها العناوين المتاحة. حقق ترميز CIDR هذا بأن أتاح للمؤسَّسات أن تستفيد استفادةً كاملةً من مجالات عناوين IPV4 المسنَدة إليها، وبإتاحة بعض مجالات العناوين التي كانت محجوزة.

حسّن نهج RFC1918 من CIDR بتخصيص شبكات محجوزة من مجالات الفئات A و B و C لا يمكن توجيهها خارج الشبكة الداخلية. تستطيع أية مؤسَّسة استخدام هذه الشبكات الخاصة private networks بحرية ضمن شبكاتها الداخلية. لذا لم يعد ضروريًا أن يسنَد عنوان IP عام لكل حاسوب. كانت لهذه الخاصية الحصة الأكبر في حل عدة مشاكل.

أتاحت هذه الشبكات الخاصة الداخلية تخصيص عنوان IP عام أو أكثر قليلًا للمؤسَّسة الواحدة لتتمكن من الوصول إلى الإنترنت الخارجي، وتوفير مجالات عناوين خاصة واسعة ضمن الشبكات الداخلية. ويمكن لأكثر من مؤسَّسة مختلفة استخدام أي مجال من مجالات العناوين هذه، لأن عناوين الشبكة الخاصة هذه لا يمكن توجيهها عبر الإنترنت، لكن بالطبع تستطيع المؤسَّسات التوجيه بين الشبكات الخاصة داخليًا.

لنعد إلى الشركة في مثالنا، ولنفترض أنها تحتاج إلى عنوان IP عام واحد فقط للاتصال بالعالم الخارجي. لا يخصص مزود الخدمة الذي تتعامل معه الشركة مجموعات تحتوي أقل من 4 عناوين، اثنان منهم محجوزان لعنوان الشبكة وعنوان البث العام، ويبقى عنوانين فقط يمكن إسنادهما إلى الأجهزة. يحقق هذا توازنًا بين العناوين التي لا يمكن إسنادها بسبب المغالاة في تقسيم الشبكة إلى شبكات فرعية subnetting، والعناوين المهدورة، والكلفة المترتبة على العميل.

يخصص مزود خدمة الإنترنت عنوان شبكة عام للشركة، وهو 10.125.16.32/30. تذكر مثلًا أننا سنستخدم جزءًا من الشبكة الخاصة 10.0.0.0/8 على أنه شبكة عامة. سيوفر هذا التخصيص للشركة الشبكة العامة التالية:

$ sipcalc 10.125.16.32/30
-[ipv4 : 10.125.16.32/30] - 0

[CIDR]
Host address            - 10.125.16.32
Host address (decimal)  - 175968288
Host address (hex)      - A7D1020
Network address         - 10.125.16.32
Network mask            - 255.255.255.252
Network mask (bits)     - 30
Network mask (hex)      - FFFFFFFC
Broadcast address       - 10.125.16.35
Cisco wildcard          - 0.0.0.3
Addresses in network    - 4
Network range           - 10.125.16.32 - 10.125.16.35
Usable range            - 10.125.16.33 - 10.125.16.34

تستطيع الشركة في مثالنا أن تختار استخدام أي مجال من مجالات الشبكة الخاصة ضمن شبكتها الداخلية، ثم تستعين بخدمة ترجمة عنوان الشبكة NAT للوصول إلى العالم الخارجي من شبكتها الداخلية الخاصة.

$ sipcalc 172.16.0.0/12
-[ipv4 : 172.16.0.0/12] - 0

[CIDR]
Host address            - 172.16.0.0
Host address (decimal)  - 2886729728
Host address (hex)      - AC100000
Network address         - 172.16.0.0
Network mask            - 255.240.0.0
Network mask (bits)     - 12
Network mask (hex)      - FFF00000
Broadcast address       - 172.31.255.255
Cisco wildcard          - 0.15.255.255
Addresses in network    - 1048576
Network range           - 172.16.0.0 - 172.31.255.255
Usable range            - 172.16.0.1 - 172.31.255.254

في الوهلة الأولى، قد يكون أول أمر واضح تفعله هو اختيار شبكة من المجال الخاص 172.16.0.0/12 لتوفير مجال واسع بما يكفي لشبكة داخلية واحدة. يمكنهم مثلًا اختيار الشبكة 172.16.0.0/12 التي ستوفر حيز الشبكة الداخلية التالية لهم.

لاحظ أن هذه الشبكة لا تتوافق مع الشبكة من الفئة B المتعارف عليها لأنها تتضمن عددًا أقل من بتات الشبكة في قناع الشبكة، وبالتالي هي توفر حيزًا أوسع لبتات عنوان المضيف، إذ تتيح بتات الشبكة الاثنا عشرة حيز عشرين بتًا للمضيفين، أو 1,048,576 مضيف بالمجمَل. هذا العدد من المضيفين أكبر بكثير من العدد الذي توفره الشبكة من الفئة B المتعارف عليها للشبكة الواحدة. كما أنه حيز أوسع بكثير مما يحتاجون إليه فعلًا لشبكتهم.

أقنعة الشبكة متغيرة الطول VLSM

رافق CIDR ظهور نهج جديد مختلف عن نهج تحديد قناع الشبكة المتعارف عليه، يسمى أقنعة الشبكة متغيرة الطول VLSM. أشرنا إلى هذا النهج عند استخدام قناع شبكة من 12 بت لمجال العناوين الخاص المحدد بمجموعة CIDR Block في المثال السابق.

تتيح أقنعة الشبكة متغيرة الطول للشركة في مثالنا أن تنشئ بسهولة شبكات فرعية يمكنها إدارتها أكثر من إدارة حيز العناوين الخاصة الواسع المتاح لهم بإضافة بتات إلى قناع الشبكة. يشمل استخدام قناع شبكة بطول 12 بت كامل مجال العناوين الخاصة المتاح، لذا ليكونوا أكثر اعتدالًا في حيز العناوين الذي تحتاجه الشركة فعلًا، قرروا زيادة عدد البتات في قناع الشبكة الذي سيستخدمونه.

تستطيع استخدام الأمر sipcalc - s xx لحساب عدد الشبكات الفرعية في مجال العناوين الخاصة، حيث تستبدل xx بعدد البتات في قناع الشبكة. مثلًا يستعرض الأمر في المثال التالي الشبكات الفرعية الستة عشرة للشبكة 172.16.0.0/12 التي قناع الشبكة الخاص بها هو 16 بت.

$ sipcalc 172.16.0.0/12 -s 16
-[ipv4 : 172.16.0.0/12] - 0

[Split network]
Network                 - 172.16.0.0      - 172.16.255.255
Network                 - 172.17.0.0      - 172.17.255.255
Network                 - 172.18.0.0      - 172.18.255.255
Network                 - 172.19.0.0      - 172.19.255.255
Network                 - 172.20.0.0      - 172.20.255.255
Network                 - 172.21.0.0      - 172.21.255.255
Network                 - 172.22.0.0      - 172.22.255.255
Network                 - 172.23.0.0      - 172.23.255.255
Network                 - 172.24.0.0      - 172.24.255.255
Network                 - 172.25.0.0      - 172.25.255.255
Network                 - 172.26.0.0      - 172.26.255.255
Network                 - 172.27.0.0      - 172.27.255.255
Network                 - 172.28.0.0      - 172.28.255.255
Network                 - 172.29.0.0      - 172.29.255.255
Network                 - 172.30.0.0      - 172.30.255.255
Network                 - 172.31.0.0      - 172.31.255.255

باستخدامهم الأمر sipcalc لحساب عدد العناوين التي يوفرها عدد مختلف من البتات في قناع الشبكة 172.16.0.0/12، يحددون ما يلي:

سبق وذكرنا أن الشركة تحتاج إلى 2400 عنوان IP. تختار الشركة أن تستخدم قناع شبكة ذو 19 بت الذي يوفر 8,192 عنوانًا، وذلك لتتيح مجالًا فسيحًا للتوسع وتخفض العدد الإجمالي من العناوين إلى عدد تستطيع إدارته في ذات الوقت. واستخدموا في حساب الشبكات الفرعية المتاحة الأمر sipcalc وفق ما يلي:

$ sipcalc 172.16.0.0/12 -s 19

-[ipv4 : 172.16.0.0/12] - 0

[Split network]
Network                 - 172.16.0.0      - 172.16.31.255
Network                 - 172.16.32.0     - 172.16.63.255
Network                 - 172.16.64.0     - 172.16.95.255
Network                 - 172.16.96.0     - 172.16.127.255
Network                 - 172.16.128.0    - 172.16.159.255
Network                 - 172.16.160.0    - 172.16.191.255
Network                 - 172.16.192.0    - 172.16.223.255
Network                 - 172.16.224.0    - 172.16.255.255
<snip>
Network                 - 172.31.0.0      - 172.31.31.255
Network                 - 172.31.32.0     - 172.31.63.255
Network                 - 172.31.64.0     - 172.31.95.255
Network                 - 172.31.96.0     - 172.31.127.255
Network                 - 172.31.128.0    - 172.31.159.255
Network                 - 172.31.160.0    - 172.31.191.255
Network                 - 172.31.192.0    - 172.31.223.255
Network                 - 172.31.224.0    - 172.31.255.255

اختارت الشركة عشوائيًا استخدام الشبكة الفرعية 172.30.64.0/19، لتبدو مواصفات شبكتها كما يلي:

$ sipcalc 172.30.64.0/19
-[ipv4 : 172.30.64.0/19] - 0

[CIDR]
Host address            - 172.30.64.0
Host address (decimal)  - 2887663616
Host address (hex)      - AC1E4000
Network address         - 172.30.64.0
Network mask            - 255.255.224.0
Network mask (bits)     - 19
Network mask (hex)      - FFFFE000
Broadcast address       - 172.30.95.255
Cisco wildcard          - 0.0.31.255
Addresses in network    - 8192
Network range           - 172.30.64.0 - 172.30.95.255
Usable range            - 172.30.64.1 - 172.30.95.254

طبعًا هذه إحدى الشبكات الفرعية المحتمَلة ذات 19 بت من بين 128 شبكة فرعية في مجال العناوين الخاصة، ولا فرق في أية شبكة فرعية كانت ستختارها.

كما يوجد لديها خيار آخر وهو استخدام مجال العناوين الخاصة 192.168.0.0/16 واختيار إحدى الشبكات الفرعية المتاحة ذات 19 بت من ذلك المجال. يمكنك التدرب بتحديد ما هي الشبكات الفرعية المتاحة في ذلك المجال، وما هو عددها.

الخاتمة

إن استخدام ترميز CIDR إلى جانب إعادة تنظيم مجموعة CIDR للعناوين الموزعة مسبقًا، إضافةً إلى استخدام أقنعة الشبكة متغيرة الطول، يوفر مزيدًا من عناوين IP العامة المتاحة، ومزيدًا من المرونة في تخصيص العناوين العامة. يراعي تصميم ترميز CIDR مع أقنعة الشبكة متغيرة الطول المخطط الشبكي الفئوي المتعارف عليه إلى جانب تأمين مرونة أكبر وتوافر عناوين IP للاستخدام الداخلي الخاص لمختلف فئات المؤسَّسات. يمكن تقسيم مجالات العناوين الخاصة إضافةً إلى مجالات العناوين العامة المخصصة بسهولة إلى شبكات فرعية، بإضافة بتات إلى قناع الشبكة دون مراعاة فئات الشبكة.

يمكن استخدام ترميز CIDR عند الإشارة إلى الشبكات الفئوية لكن فقط كاختصار رمزي.

ترجمة -وبتصرف- للمقال A Linux networking guide to CIDR notation and configuration لصاحبه David Both.

اقرأ أيضًا

• طريقة ضبط الشبكة في نظام التشغيل لينكس
• معمارية الشبكة الحاسوبية وشبكة الإنترنت (Network Architecture)
• مدخل إلى طرفيّة لينكس Linux Terminal

سنتناول في هذه المقالة شرحًا موجزًا عن التوجيه routing على أنظمة التشغيل لينكس، مخصصًا للبيئات البسيطة.

لا بد أن نضبط على أي حاسوب متصل بشبكة بعض تعليمات التوجيه لرزم packets الشبكة من نموذج TCP/IP التي يرسلها المضيف المحلي. تكون هذه العملية سهلةً عادةً لأن معظم البيئات الشبكية بسيطة جدًا، ولا يوجد إلا خيارين للرزم المغادِرة، فهي إما ترسَل إلى جهاز موصول على الشبكة المحلية أو على جهاز موجود في شبكة بعيدة.

نسمي الشبكة "المحلية" بالشبكة المنطقية logical، وأحيانًا نسميها أيضًا بالشبكة الفيزيائية physical التي يوجد المضيف المحلي local host فيها. تعود تسميتها بالشبكة المنطقية لأنها الشبكة الفرعية subnet المحلية التي يسنَد فيها IP من مجال عناوينها إلى المضيف، أما تسميتها بالفيزيائية لأن المضيف موصول إلى مبدل واحد switch أو أكثر، الذي يكون بدوره موصولًا مع بقية أجزاء الشبكة المحلية.

نموذج TCP/IP الشبكي

يفضَّل قبل البدء بالحديث عن التوجيه، فهم آلية إيجاد الرزم للمسار المؤدي إلى المضيف الصحيح على الشبكة. يعرّف نموذج TCP/IP الشبكي مجموعةً مؤلفةً من 5 طبقات تشرح آلية إرسال رزم البيانات من مضيف إلى آخر، سواءً كان المضيف الذي سيستقبل الرزم موصولًا على الشبكة المحلية أو في الطرف الآخر من العالم. سنذكر في الشرح التالي عن هذا النموذج رقم كل طبقة، وأسماء وحدات البيانات data units التي تعالجها هذه الطبقة.

الطبقة الخامسة: طبقة التطبيقات Application layer: الرسالة. تضم هذه الطبقة بروتوكولات الاتصال اللازمة لتواصُل تطبيقات الشبكة المختلفة، مثل بروتوكولات HTTP و DHCP و SSH و FTP و SMTP و IMAP وغيرها. عندما تطلب صفحة موقع من موقع إلكتروني بعيد، يرسَل طلب اتصال إلى خادم الويب web، ويعاد إرسال الرد إلى مضيفك ضمن هذه الطبقة، ثم يعرض المتصفح صفحة الموقع في نافذته.

الطبقة الرابعة: طبقة النقل Transport layer: مقطع TCP segment. توفر هذه الطبقة نقل البيانات من طرفٍ إلى طرف ودفق الخدمات الإدارية المنفصلة عن البيانات وأنواع البروتوكولات التي تنقََل. تستخدم المنافذ مثل المنفذ 80 لبروتوكول HTTP ومنفذ 25 لبروتوكول SMTP في إنشاء الاتصالات بين المضيف المرسل والمضيف البعيد.

الطبقة الثالثة: طبقة الإنترنت Internet layer: الرزمة. ينفَّذ توجيه الرزم في هذه الطبقة، فهي الطبقة المسؤولة عن توجيه الرزم عبر شبكتين أو أكثر حتى تصل إلى وجهتها النهائية. تستخدم هذه الطبقة عناوين IP وجدول التوجيه routing table في تحديد الجهاز التالي الذي سترسَل إليه الرزم، فإذا كان الجهاز التالي موجِّهًا، فإن كل موجه مسؤول عن إرسال رزم البيانات حصرًا إلى الموجه الذي يليه في المسار، وهو ليس مسؤولًا عن رسم كامل المسار بدءًا من المضيف المحلي وانتهاءً بالمضيف الوجهة. تتمحور معظم طبقة الإنترنت حول موجّهات تتواصل مع موجّهات أخرى لتحدد الموجه التالي في السلسلة.

الطبقة الثانية: طبقة ربط البيانات Data Link layer: الإطار Frame. تدير هذه الطبقة الاتصالات المباشرة بين العتاد الصلب للمضيفين في الشبكة المحلية أو المنطقية أو الفيزيائية الواحدة. تستخدم هذه الطبقة عناوين التحكم بالوصول إلى الوسط MAC المدمجة في بطاقات الشبكة NICs لتحديد الأجهزة الفيزيائية المتصلة بالشبكة المحلية. لا تستطيع هذه الطبقة الوصول إلى المضيفين غير المتصلين بالشبكة المحلية.

الطبقة الأولى: الطبقة الفيزيائية Physical layer: البتات Bits. هذه طبقة العتاد الصلب التي تتألف من بطاقات الشبكة وكبل الإيثرنت Ethernet الفيزيائي إضافةً إلى البروتوكولات التي تعمل على مستوى العتاد الصلب والتي تستخدَم في نقل البتات المنفردة التي تشكل أطر البيانات بين أي مضيفين أو بين عقد الشبكة الأخرى المتصلة محليًا.

مثال بسيط

إذًا كيف تبدو آلية إرسال البيانات من المضيف الموصول على الشبكة باستخدام نموذج TCP/IP الشبكي في التطبيق العملي؟ اختلقت مثالًا عن كيفية انتقال البيانات من شبكة إلى أخرى، سيرسل فيه حاسوبي طلبًا لتحميل صفحة موقع من مخدم بعيد.

1. في طبقة التطبيقات سينشئ المتصفح رسالة طلب اتصال بالمضيف البعيد عن طريق بروتوكول HTTP، ولتكن www.example.com، ليعيد إرسال البيانات التي تكوِّن محتويات صفحة الموقع. هذه هي الرسالة التي لا تحتوي إلا على عنوان IP خادم الويب البعيد.
2. تغلّف طبقة النقل الرسالة المتضمنة طلب صفحة الموقع في مخطط بيانات datagram من نمط بروتوكول TCP مع عنوان IP خادم الويب البعيد باعتباره الوجهة. أصبحت هذه الرزمة الآن تتضمن المنفذ port المصدر الذي سيولّد الطلب، الذي يكون عادةً منفذًا عشوائيًا برقم مرتفع، حتى تعلم البيانات التي يعاد إرسالها أي منفذ يستمع المتصفح إليه، والمنفذ الوجهة على المضيف البعيد (الذي يكون 80 في هذه الحالة)، وذلك إضافةً إلى رزمة الطلب الأصلية.
3. تغلف طبقة الإنترنت مخطط بيانات TCP في رزمة تتضمن أيضًا كلًا من عنواني IP المصدر والوجهة.
4. تستخدم طبقة ربط البيانات بروتوكول استبيان العناوين ARP لتحديد عنوان MAC الفيزيائي للموجه الافتراضي، وتغلف رزمة الإنترنت في إطار يتضمن كلًا من عنواني MAC المصدر والوجهة.
5. يرسَل الإطار عبر سلك يكون عادةً CAT5 أو CAT6 من بطاقة شبكة المضيف المحلي إلى بطاقة شبكة الموجه الافتراضي.
6. يفتح الموجه الافتراضي مخطط البيانات ليطلع على العنوان IP الوجهة، ثم يحدد الموجه عنوان IP الموجه التالي الذي سينقل الإطار إلى الخطوة التالية في رحلته عن طريق جدول التوجيه الخاص به. ثم يعيد الموجه تغليف الإطار بمخطط بيانات جديد يتضمن عنوان MAC الخاص به بصفته العنوان المصدر وعنوان MAC الخاص بالموجه التالي، ثم يرسله عبر الواجهة interface الصحيحة. يؤدي الموجه مهمته في التوجيه في الطبقة الثالثة وهي طبقة الإنترنت.

لاحظ أن المبدلات switches تعد مخفية بالنسبة لبروتوكلات جميع الطبقات عدا الأولى، لذا فإنها لا تؤثر على نقل البيانات بأي طريقة منطقية. تقتصر وظيفة المبدل على توفير وسائل بسيطة لربط عدة مضيفين في شبكة فيزيائية واحدة من خلال كبل إيثرنت.

استخدم الأمر arp [-n]‎ لعرض جميع عناوين MAC المخزنة في جدول arp الخاص بمضيفك، ستكون دائمًا عناوين لمضيفين موصولين على شبكتك المحلية.

جدول التوجيه

تحتاج جميع أجهزة الشبكة، سواءً كانت مضيفًا أو موجهًا أو غيرها من عقد الشبكة مثل الطابعات التي تتصل بالشبكة، إلى تحديد مسار توجيه رزم بيانات TCP/IP، ويوفر جدول التوجيه معلومات الإعدادات اللازمة لتحديد هذا المسار.

يستخدم جدول التوجيه المشابه للجدول البسيط في النموذج الأول في تحديد المسار الوحيد المتاح للمضيف المحلي ولتحديد هل يجب إرسال الرزم إلى الموجه الذي يعد البوابة الافتراضية default gateway router. يعرض الأمر route -n جدول التوجيه، ومهمة الخيار n- أن لا تعرَض في النتيجة إلا العناوين IP دون أن يحاول إجراء بحث DNS عن أسماء المضيفين hostnames المرتبطة بتلك العناوين واستبدالها بها إن وجدت. يعرض الأمر netstat -rn نتائج مشابهة إلى حد كبير لنتائج الأمر route -n.

[root@host1 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.254   0.0.0.0         UG    100    0        0 eno1
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 eno1

تكون القيمة في عمود الوجهة destination هي 0.0.0.0 دومًا للبواية الافتراضية عندما يستخدم خيار n-. أما في حال لم يستخدم هذا الخيار تظهر كلمة "Default" في عمود الوجهة في خرج الأمر. إن تحديد قناع الشبكة للبوابة الافتراضية بالقيمة 0.0.0.0 يعني أن أية شبكة غير مرسلة إلى الشبكة المحلية أو إلى موجه خارجي آخر حددناه بسطر توجيه إضافي خاص به في جدول التوجيه، سترسَل إلى البوابة الافتراضية بغض النظر عن فئة class هذه الشبكة.

يشير عمود Iface (اختصارًا لكلمة Interface واجهة) إلى بطاقة الشبكة للبيانات الصادرة، وهو في هذه الحالة eno1. أما بالنسبة للمضيفين الذي يؤدون وظيفة الموجه يحتمَل أن يكون لها بطاقتي شبكة على الأقل وأحيانًا أكثر. ستكون كل بطاقة شبكة مستخدمة كموجه موصولة بشبكة فيزيائية ومنطقية مختلفة. تشير الرايات في عمود Flag إلى أن سطر التوجيه فعّالًا UP بالراية (U)، وتحدد أي سطر مخصص للبوابة الافتراضية ويرمز بالراية (G). كما توجد عدة رايات أخرى.

إن تحديد مسارات التوجيه أمر شديد البساطة في معظم المضيفين:

• إذا كان المضيف الوجهة موصولًا على الشبكة المحلية، أرسل البيانات مباشرةً إليه.
• إذا كان المضيف الوجهة على شبكة بعيدة يمكن الوصول إليها من خلال بوابة محلية مذكورة ضمن جدول التوجيه، أرسل البيانات إلى تلك البوابة المحددة ضمن الجدول.
• إذا كان المضيف الوجهة على شبكة بعيدة، ولا يوجد أي سطر توجيه يحدد مسارًا إلى ذلك المضيف، أرسل البيانات إلى البوابة الافتراضية.

تعني هذه القواعد ببساطة أنه في حال فشل جميع الاحتمالات لعدم وجود تطابق مع المسارات المحددة في أسطر التوجيه أرسل الرزمة إلى البوابة الافتراضية.

إن النموذج الثاني التالي هو لجدول توجيه أعقد بعض الشيء، لأنه ينتمي إلى مضيف يعمل بنظام تشغيل لينكس ويؤدي وظيفة موجه موصول بثلاث شبكات، تفضي إحداها إلى شبكة الإنترنت. إن الشبكتين المحليتين من الفئة C وهما: 192.168.0.0/24 على الواجهة eth1، والشبكة 192.168.25.0/24 على الواجهة eth2، لكل منهما أسطر توجيه في جدول التوجيه، إضافةً إلى المسار الافتراضي default route الذي يفضي إلى بقية العالم على الواجهة eth0.

[root@host2 ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use  Iface
192.168.1.24        0.0.0.0         255.255.255.252    U       0          0       0    eth0
192.168.0.0         0.0.0.0          255.255.255.0       U       0          0       0    eth1
192.168.25.0        0.0.0.0         255.255.255.0       U       0          0       0    eth2
0.0.0.0            192.168.1.25       0.0.0.0                UG     0           0      0    eth0

لاحظ أنه لا يزال لدينا بوابة افتراضية واحدة فقط وهي على الواجهة eth0. لكن إضافةً إلى سطر المسار الافتراضي الذي يشير مباشرةً إلى عنوان IP الموجه من طرف الشبكة المحلية LAN، يوجد أيضًا سطر لكامل الشبكة التي عنوانها 192.168.1.24/30. لا تتضمن هذه الشبكة إلا عنوانين يمكن استخدامهما، أحدهما 192.168.1.25/30 المخصص لطرف الشبكة المحلية على الموجه، والآخر 192.168.1.26/30 مخصص للمضيف نفسه.

ضبط التوجيه

إذًا كيف نضبط جدول التوجيه؟ بالنسبة للمضيفين المتصلين بالشبكة الذين يتلقون معلوماتهم من خدمة DHCP، يزودهم خادم DHCP بمعلومات ضبط المسار الافتراضي default route إلى جانب أسماء خوادم DNS وعناوين IP المضيفين وأحيانًا معلومات أخرى مثل عنوان IP لخادم NTP. أما بالنسبة للذين يضبطون إعدادات ثابتة يدويًا لن يكون ضبط جدول التوجيه معقدًا إلا في بعض الحالات.

في معظم الحالات يكون ضبط المسار الافتراضي في جدول التوجيه من خلال إضافة المسار الافتراضي إلى ملف ‎/etc/sysconfig/network مثل النموذج التالي:

GATEWAY=192.168.0.1

لا نضبط في ملف network إلا البوابة الافتراضية.

أما النهج الآخر المتَّبع في ضبط البوابة الافتراضية يدويًا هو إضافتها إلى ملف إعدادات الواجهة interface المناسب في مجلد ‎/etc/sysconfig/network-scripts. فمثلًا لضبط بوابة لملف إعدادات الواجهة eth0 نضيف السطر ذاته الذي أضفناه في النموذج السابق إلى ملف ifcfg-eth0. إذا أضفنا السطر هنا علينا أن نحذفه من ملف network.

أما في البيئات الأكثر تعقيدًا، مثل البيئة التي يكون فيها الحاسوب المضيف موصولاً لأكثر من شبكة باستخدام أكثر من بطاقة شبكة، وعندما يكون علينا إدخال سطري توجيه على الأقل إلى جدول التوجيه، وغالبًا تكون أكثر سطرين، يجب أن تستخدم ملف توجيه route في مجلد ‎/etc/sysconfig/network-scripts. إذا كانت بطاقة الشبكة enp7s1 سيكون ملف التوجيه route-enp7s1 وسنضيف إليه المُدخَل الموضَّح في النموذج التالي:

default via 192.168.0.1 dev enp7s1

ستنفَّذ عندها إعدادات البوابة الافتراضية في ملفات route-interface وسيتم تجاهل أية إعدادات للبوابة الافتراضية مذكورة في ملف network.

بالطبع تستطيع إضافة أسطر التوجيه بتنفيذ الأمر route في موجه الأوامر، لكن قد تستهلك هذه الطريقة وقتًا لأنك ستضطر إلى إعادة تنفيذ هذا الأمر في كل مرة يقلع فيها النظام، لذا يفضَّل أن تتبع النهج الأخرى التي ذكرناها، أو إنشاء نص برمجي script ينفذ هذا الأمر عند الإقلاع. لقد أنشأت نصًا برمجيًا يحتوي على السطرين التاليين الموضحين في النموذج التالي على أحد الأنظمة التي أديرها.

route del default
route add default gw 192.168.0.1

لاحظ أن ذكر اسم الجهاز اختياري في جميع الأوامر التي ذكرناها، ولم أستخدمه ضمن النص البرمجي.

الخاتمة

إن موضوع التوجيه أوسع بكثير من الامثلة البسيطة الشائعة التي ذكرناها، فالمعلومات التي تناولناها هي لتساعدك في خطواتك الأولى.

ترجمة -وبتصرف- للمقال ‎An introduction to Linux network routing لصاحبه.

اقرأ أيضًا

• المدخل الشامل لتعلم علوم الحاسوب
• توصيل الشّبكات (Networking) لمُدراء الخواديم
• استكشاف وظائف الموجهات في الشبكات
• النسخة الكاملة من كتاب أنظمة التشغيل للمبرمجين

إن وصل حاسوبك المثبت عليه نظام التشغيل لينكس على الشبكة ليس بهذه البساطة. سنتناول في هذه المقالة ملفات إعدادات الشبكة الرئيسية في توزيعات نظام لينكس المبنية على ريدهات Red Hat، وسنطلع على خدمتي بدء تشغيل وإدارة الشبكة، وهما: خدمة بدء تشغيل الشبكة الموقَّرة، ومدير الشبكة NetworkManager المثير للجدل.

تستطيع إدارة عدة بطاقات شبكة بسهولة في نظام لينكس، فعادةً تحتوي الحواسيب المحمولة على بطاقات شبكة سلكية ولاسلكية wireless، ويمكن أن تدعم بطاقات واي ماكس WiMax للشبكات الخليوية. كما تدعم الحواسيب المكتبية تعدد بطاقات الشبكة، فتستطيع أن تستخدم حاسوبك المثبَّت عليه نظام لينكس كعميل متعدد الشبكات multi-network أو موجه router للشبكات الداخلية، وهي حالة طبقتها في بعض الأنظمة التي عملت عليها.

ملفات إعدادات بطاقة الشبكة

يخصَّص ملف إعدادات لكل بطاقة شبكة في المجلد ‎/etc/sysconfig/network-scripts، وتكون صيغة تسمية هذه الملفات كالتالي ifcfg-<interface-name>X حيث أن interface name هو اسم بطاقة الشبكة، و X هو رقمها الذي يبدأ من الصفر أو الواحد حسب اصطلاح التسمية المعتمَد. فمثلًا يكون اسم أول بطاقة شبكة من نوع إيثرنت Ethernet interface كما يلي:

‎/etc/sysconfig/network-scripts/ifcfg-eth0

أما بقية الملفات في مجلد ‎/etc/sysconfig/network-scripts يكون معظمها نصوص برمجية أو سكربتات scripts تستخدَم لتشغيل الخدمات أو بطاقات الشبكة وإيقافها وتأدية عدة مهام متعلقة بضبط الشبكة.

يرتبط كل ملف من ملفات إعدادات بطاقة الشبكة ببطاقة شبكة فيزيائية محددة من خلال العنوان الفيزيائي MAC address للبطاقة.

اصطلاحات تسمية بطاقة الشبكة

كانت اصطلاحات تسمية بطاقات الشبكة بسيطة وغير معقدة وسهلة حسب اعتقادي، فاستخدام اصطلاح التسمية ethX بدا منطقيًا لي وكانت تسهل كتابته، ولم يتطلب أية خطوات إضافية لمعرفة إلى أية بطاقة شبكة ينتمي الاسم الطويل والمبهم. لكن للأسف كانت ترغمني إضافة بطاقة جديدة غالبًا على إعادة تسمية بطاقات الشبكة، وكان يؤدي هذا إلى تعطيل النصوص البرمجية والإعدادات. وقد تغيرت هذه الآلية أكثر من مرة.

بعد مضي فترة اتسمت فيها التسميات بأنها طويلةً ومبهمةً، أصبح لدينا الآن مجموعة ثالثة من اصطلاحات التسمية الأفضل نوعًا ما. لا تزال الأسماء مثل ethX مستخدمة في توزيعة سينتوس CentOS من الإصدار 6.x. أما اصطلاحات التسمية الأحدث التي تكون الأسماء فيها مثل eno1 أو enp0s3 مستخدَمة في RHEL 7 و CentOS 7 والإصدارات الأحدث من توزيعة فيدورا Fedora. يمكنك الاطلاع على اصطلاح التسمية في توزيعتَي RHEL 6 و CentOS 6 في دليل استخدام ريدهات في الملحق A. تسمية أجهزة الشبكة المعتمَد، والاطلاع على اصطلاح التسمية في التوزيعات RHEL 7 و CentOS 7 والإصدارات الحالية من فيدورا في دليل الشبكة في ريدهات في الفصل الثامن: تسمية أجهزة الشبكة المعتمَد.

نماذج عن ملفات الإعدادات

يحدد هذا النموذج من ملف إعدادات بطاقة الشبكة المسمَّى باسم ifcfg-eth0 ضبط عنوان IP ثابت لخادم مثبَّت عليه توزيعة CentOS 6.

# Intel Corporation 82566DC-2 Gigabit Network Connection
DEVICE=eth0
HWADDR=00:16:76:02:BA:DB
ONBOOT=yes
IPADDR=192.168.0.10
BROADCAST=192.168.0.255
NETMASK=255.255.255.0
NETWORK=192.168.0.0
SEARCH="example.com"
BOOTPROTO=static
GATEWAY=192.168.0.254
DNS1=192.168.0.254
DNS2=8.8.8.8
TYPE=Ethernet
USERCTL=no
IPV6INIT=no

تبين الإعدادات الواردة في هذا الملف أنه ينفذ المهمات التالية: يشغل بطاقة الشبكة عند إقلاع الجهاز، ويسند لها عنوان IP ثابت، ويحدد نطاق domain وبوابة الشبكة gateway، ويحدد خادمَي DNS، ولا يسمح لأي مستخدم غير المستخدم الجذر root بتشغيل وإيقاف بطاقة الشبكة.

يتضمن ملف إعدادات بطاقة الشبكة التالي المسمَّى باسم ifcfg-eno1 إعدادات خدمة DHCP لمحطة عمل مكتبية desktop workstation.

TYPE=Ethernet
BOOTPROTO=dhcp
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=no
IPV6_DEFROUTE=no
IPV6_FAILURE_FATAL=no
NAME=eno1
UUID=a67804ff-177a-4efb-959d-c3f98ba0947e
ONBOOT=yes
HWADDR=E8:40:F2:3D:0E:A8
IPV6_PEERDNS=no
IPV6_PEERROUTES=no

في نموذج ملف الإعدادات الثاني لم تحدَّد مدخلات DHCP والعنوان IP ونطاق البحث وجميع معلومات الشبكة الأخرى لأن خادم DHCP هو من يوفّرها. يمكن تجاوز بنود الإعدادات مثل البنود المتعلقة بخوادم DNS في ملف إعدادات بطاقة الشبكة بإضافة سطري DNS1 و DNS2، تمامًا مثل نموذج الإعدادات الثابتة السابق.

لاحظ أن النموذج الثاني يتضمن سطرًا للمعرّف العالمي الفريد UUID. بحسب معرفتي لا يؤثر هذا السطر على وظائف ملف الإعدادات، إذ أنني عادةً أحوله إلى تعليق أو أحذفه نهائيًا ولم يؤدي ذلك إلى حدوث أي خلل في شبكتي.

يحدد سطر HWADDR في كلا ملفي إعدادات بطاقة الشبكة العنوان MAC address لبطاقة الشبكة الفيزيائية، وهذا يربط بين بطاقة الشبكة الفيزيائية بملف إعدادات بطاقة الشبكة الموافق لها. يجب أن تعدّل عنوان MAC في الملف إذا بدّلت بطاقة الشبكة.

يمكنك معرفة MAC address لبطاقة الشبكة NIC بعدة وسائل، أختار منها عادةً الأمر ifconfig الذي يعرض جميع بطاقات الشبكة المثبتة على الجهاز، وعنوان MAC لكل منها وإحصائيات متنوعة مرتبطة بها. يُطبع عنوان MAC للعديد من بطاقات الشبكة الحديثة على علبتها أو على ملصَق موجود على بطاقة الشبكة نفسها. لكن تولَّد معظم ملفات إعدادات بطاقة الشبكة تلقائيًا أثناء عملية تثبيت بطاقة الشبكة أو فور رصد بطاقة الشبكة المركَّبة حديثًا، ليتضمن ملف إعدادات بطاقة الشبكة الجديد عنوان MAC address.

يشير سطر ONBOOT أن تفعيل بطاقة الشبكة يكون عند إقلاع الجهاز. إذا عدلنا هذا السطر إلى no يصبح تفعيل بطاقة الشبكة إما يدويًا أو من خلال واجهة مدير الشبكة بعد تسجيل الدخول.

يشير السطر USERCTL أنه لا يسمح للمستخدمين غير المخوّلين بإدارة بطاقة الشبكة، أي تشغيلها وإيقافها. تعديل هذا المعامل parameter إلى yes يسمح للمستخدمين العاديين أن يفعِّلوا بطاقة الشبكة ويوقفوا تفعيلها.

لا يهم ترتيب الأسطر في ملف إعدادات بطاقة الشبكة، إذ أنه سيؤدي مهامه كيفما رتبت الأسطر. وكما هو متعارف عليه، تكتَب أسماء الخيارات بأحرف كبيرة وتكتَب القيم بأحرف صغيرة. ويمكن أن تضع قيم الخيارات بين علامتي اقتباس ""، لكن لا يكون ذلك ضروريًا إلا في الحالة التي تكون فيها القيم رقمًا أو أكثر من كلمة واحدة.

خيارات الإعدادات

اخترت لك بعض أكثر الخيارات المستخدَمة في ملف إعدادات بطاقة الشبكة لتطلع عليها من بين العديد من خيارات الإعدادات:

• DEVICE: الاسم المنطقي للجهاز، مثل eth0 أو enp0s2.
• HWADDR: عنوان MAC address لبطاقة الشبكة المرتبطة بهذا الملف، مثل 00:16:76:02:BA:DB.
• ONBOOT: تشغيل خدمات الشبكة على هذا الجهاز عندما يقلع المضيف. خياراته هي "yes/no". يكون هذا الخيار مضبوطًا على "no" عادةً، ولا تعمل الشبكة إلا عندما يسجل مستخدم الدخول إلى سطح المكتب. إذا أردت أن تعمل خدمات الشبكة حتى لو لم يسجل أي مستخدم دخوله عدّل هذا الخيار إلى "yes".
• IPADDR: عنوان IP المسنَد إلى بطاقة الشبكة، مثل 192.168.0.10.
• BROADCAST: عنوان البث المخصص لهذه الشبكة، مثل 192.168.0.255.
• NETMASK: قناع الشبكة لهذه الشبكة الفرعية مثل القناع من الفئة C التالي: 255.255.255.0.
• NETWORK: معرف الشبكة ID لهذه الشبكة الفرعية مثل معرف الشبكة من الفئة C التالي: 192.168.0.0.
• SEARCH: اسم نطاق DNS الذي يبحث عنه عند إجراء عمليات البحث عن أسماء المضيفين غير المؤهلة unqualified hostnames.
• BOOTPROTO: بروتوكول الإقلاع لبطاقة الشبكة هذه. تكون الخيارات كالتالي: static و DHCP و bootp و none. يشير خيار "none" افتراضيًا إلى ثابت static.
• GATEWAY: موجه الشبكة أو البوابة الافتراضية default gateway لهذه الشبكة الفرعية، مثل 192.168.0.254.
• ETHTOOL_OPTS: يستخدم هذا الخيار لضبط بنود إعدادات معينة لبطاقة الشبكة مثل السرعة وحالة الازدواج duplex وحالة التفاوض التلقائي autonegotiation. يجب أن تجمَع قيم هذا الخيار بين علامتي اقتباس واحدة لوجود عدة قيم منفصلة له، مثل: "autoneg off speed 100 duplex full".
• DNS1: خادم DNS الرئيسي مثل 192.168.0.254، وهو خادم موجود ضمن الشبكة المحلية. تضاف خوادم DNS المحددة هنا إلى ملف ‎/etc/resolv.conf عند استخدام NetworkManager، أو عندما يكون خيار موجّه peerdns محددًا بالخيار yes. وإلا يجب أن تضاف خوادم DNS إلى الملف ‎/etc/resolv.conf يدويًا ويتم تجاهلها هنا ضمن هذا الملف.
• DNS2: خادم DNS الثانوي، مثلًا 8.8.8.8، وهو أحد خوادم DNS المجانية الخاصة بجوجل Google. يجدر الإشارة أن إضافة خادم DNS ثانوي آخر tertiary DNS server غير مدعومة في ملف إعدادات بطاقة الشبكة، لكن يمكنك ضبطه في الملف الثابت resolv.conf .
• TYPE: نوع الشبكة الذي يكون عادةً Ethernet، إذ أن القيمة الوحيدة الأخرى التي رأيتها في هذا الخيار كانت Token Ring، لكن ذلك عرَضي في معظم الأحيان.
• PEERDNS: يشير خيار yes أن ملف ‎/etc/resolv.conf سيعدَّل بإدراج مدخلات خادم DNS ضمنه، التي نحددها في خياري DNS1 و DNS2 ضمن هذا الملف. يشير الخيار "No" إلى عدم تعديل ملف resolv.conf. يكون خيار "Yes" الخيار الافتراضي عندما نحدد خيار DHCP في سطر BOOTPROTO.
• USERCTL: يحدد سماحية تشغيل وإيقاف بطاقة الشبكة للمستخدمين غير المخوّلين، وتكون خياراته "yes/no".
• IPV6INIT: يبين هل تطبَّق بروتوكولات IPV6 على بطاقة الشبكة هذه أم لا، وتكون خياراته "yes/no".

تحديد الخيار DHCP يؤدي إلى تجاهل معظم الخيارات الأخرى، لتكون الخيارات الوحيدة المطلوبة في هذه الحالة هي BOOTPROTO و ONBOOT و HWADDR. من الخيارات الأخرى التي لا يتم تجاهلها وقد تجدها مفيدةً خياري DNS1 و PEERDNS وذلك في حالة أردت تجاوز مدخلات DNS التي يزودك بها خادم DHCP.

ملف الشبكة القديم

ستتعامل مع ملف واحد قديم وأصبح مهملًا الآن وهو ملف الشبكة network. الذي يتضمن في إصدارات فيدورا وريد هات وسينتوس عادةً سطرًا واحدًا يحتوي تعليقًا، وتجده في المسار ‎/etc/sysconfig. كان يستخدم سابقًا لتفعيل أو تعطيل الربط الشبكي، إضافةً إلى تحديد اسم مضيف الشبكة كما هو مبين في النموذج التالي:

NETWORKING=yes
HOSTNAME=host.example.com

إن هذا الملف موجود في فيدورا منذ إصدارها 19 لكنه غير مستخدَم. لا يزال مستخدمًا في إصدارات RHEL/CentOS 6.x، لكنه لم يعد مستخدمًا في RHEL/CentOS 7.x، إذ يحدَّد اسم مضيف الشبكة حاليًا في الملف ‎/etc/hostname.

ملفات الشبكة الأخرى

يحتوي مجلد ‎/etc/sysconfig/network-files العديد من الملفات الأخرى التي تكون جميعها عادةً نصوص باش BASH تنفيذية وليست ملفات إعدادات. إن هذا بالنسبة لي على الأقل إحدى أكثر الاستثناءات المزعجة للتسلسل الهرمي القياسي لنظام الملفات في لينكس FHS الذي ينص صراحةً أن ملفات الإعدادات، وليست الملفات التنفيذية، هي الملفات الوحيدة التي نجدها ضمن المسارetc/.

ملف route-<interface>‎ هو أحد ملفات الشبكة الأخرى الموجودة في المسار ‎/etc/sysconfig/network-files. إذا أردت أن تضبط أسطر توجيه ثابتة static routes في نظام متصل بأكثر من شبكة multi-homed system، أنشئ ملف توجيه route لكل بطاقة شبكة. فمثلًا يسمى الملف التالي route-eth0، وهو يحدد أسطر التوجيه لبطاقة شبكة محددة لكل من الشبكات والمضيفين الفرديين.

default 192.168.2.1 dev eth0
10.10.10.0/24 via 192.168.0.1 dev eth0
192.168.1.0/24 via 192.168.0.1 dev eth0

192.168.96.11 via 192.168.97.1
192.168.15.100 via 192.168.15.32
192.168.96.12 via 192.168.97.1
192.168.97.100 via 192.168.97.1

نادرًا ما يستخدم هذا الملف، إلا في حالة كنت تستخدم المضيف كموجه في بعض احتياجات التوجيه المعقدة. اطلع على دليل الربط الشبكي الخاص بإصدار ريد هات إنتربرايس لينكس أو سينتوس لديك للحصول على المزيد من تفاصيل ضبط أسطر التوجيه.

بدء تشغيل الشبكة

إن دخول الشبكات اللاسلكية والهواتف المحمولة جعل إعادة ضبط بطاقات الشبكة عند إضافة كل شبكة لاسلكية جديدة معقدًا ويستهلك وقتًا طويلًا. كما أن ذلك قد يؤدي إلى تضارب التسميات عند إضافة بطاقة شبكة جديدة.

الشبكة

كانت خدمات الشبكة القديمة هي المستخدَمة افتراضيًا في إدارة مهام بدء تشغيل الشبكة وإيقافها في التوزيعات المبنية على ريد هات حتى عام 2004. كان نص التشغيل البرمجي SystemV يستخدم ملفات إعدادات ثابتة لتشغيل الشبكة السلكية أو اللاسلكية عند إقلاع الجهاز، أو عند تنفيذ أمر بسيط مثل service network start في واجهة الأوامر. لا تزال هذه الخدمة متوفرة لكن يعاد توجيه الأوامر من خلال systemd.

لا تستطيع خدمة الشبكة مراقبة الأجهزة القابلة للتوصيل أو الشبكات اللاسلكية المتغيرة، لذا يصعب استخدامها على الحواسيب المحمولة أو الحواسيب من نوع نت بوك netbook.

كما ظهرت مشاكل عند ضبط شبكة سلكية على الحواسيب المحمولة، والخوادم أو الحواسيب المكتبية المثبَّت عليها عدة بطاقات شبكة. لقد واجهت مشكلةً عندما كنت أبدل بطاقة شبكة تالفة في مضيف مثبَّت عليه عدة بطاقات شبكة، لأن اسم بطاقة الشبكة كان غالبًا يتغير خلال عملية إقلاع النظام.

مدير الشبكة

طرحت ريدهات مدير الشبكة NetworkManager في عام 2004 لتسهيل عملية ضبط الشبكة والاتصالات وأتمتتها، وخاصةً للشبكات اللاسلكية. كانت الغاية منه تفادي اضطرار المستخدم إلى ضبط كل شبكة لاسلكية يدويًا. مع أن الغاية منه كانت تسهيل إدارة الشبكة على المستخدمين غير التقنيين، إلا أنها تتطلب أن يجري مدير النظام بعض التعديلات، لأن العديد من الوظائف المعتادة أصبحت تعالجها شريحة جديدة من ملفات الإعدادات والنصوص البرمجية. هذا يعني أن ملفات الإعدادات القياسية معرضة لأن يكتب مدير الشبكة فيها في كل مرة يعاد تشغيل خدمات الشبكة، وهذا يشمل كل عملية إعادة إقلاع.

إن العفريت udev هو مدير نواة الجهاز المسؤول عن تسمية جميع الأجهزة تسميةً منهجيةً ومتواصلةً، وهذا يشمل أجهزة الشبكة وأجهزة التخزين القابلة للإزالة. كما تستخدم لمطابقة أسماء أجهزة الشبكة مثل eth0 أو eno1 مع عنوان MAC لبطاقة الشبكة.

آلية عمله التقريبية

يرصد مدير الأجهزة udev إضافة جهاز جديد إلى النظام مثل بطاقة شبكة جديدة، وينشئ قاعدةً للتعرف عليه وتسميته إذا لم يكن موجودًا مسبقًا. تغيرت تفاصيل آلية تنفيذ ذلك في الإصدارات الأحدث من فيدورا وسينتوس وريد هات. يمكنك الاطلاع على الشرح المفصَّل للنهج المتَّبع في تسمية الأجهزة في دليل الربط الشبكي في ريد هات 7، إضافةً إلى شرح من أين تشتَق هذه الأسماء.

إن العرف الحالي هو استخدام محتويات ملفات إعدادات بطاقة الشبكة لتوليد القواعد. لكن إذا لم يكن هذا الملف موجودًا، يرسل udev إشعارًا إلى مدير الشبكة عند وصل جهاز جديد أو الاتصال بشبكة لاسلكية جديدة، لينشئ مدير الشبكة عندها ملف جديد لإعدادات بطاقة الشبكة.

ينشئ العفريت udev قيدًا لكل بطاقة شبكة في ملف قواعد الشبكة. يستخدم مدير الشبكة هذه القيود إضافةً إلى المعلومات الواردة في ملفات إعدادات بطاقة الشبكة الموجودة في مجلد ‎/etc/sysconfig/network-scripts في تهيئة كل بطاقة شبكة.

قرار مدراء النظام

يمكن استخدام خدمات الشبكة الأقدم وتعطيل مدير الشبكة. ستجد العديد من المقالات التوجيهية التي تشرح كيفية تعطيل مدير الشبكة والرجوع إلى استخدام خدمة الشبكة، مثل هذا الدليل التوجيهي، لذا لن نخوض في هذه التفاصيل ضمن هذه المقالة.

لا أنصح شخصيًا بالرجوع إلى خدمات الشبكة الأقدم، لأنني لحظة فهمت آلية عمل مدير الشبكة و udev معًا لتوفير نظام تسمية ثابت وضبط تلقائي لكل من الأجهزة الحالية والجديدة، بدا كل شيء منطقيًا بالنسبة لي وجعل ذلك إدارة بطاقات الشبكة أسهل. برأيي إن مدير الشبكة يجمع ميزات الخدمتين.

لكن كما جرت العادة في نظام التشغيل لينكس، إن اتخاذ قرار أية خدمة ستستخدم يعود إليك.

ترجمة -وبتصرف- للمقال ‎How to configure networking in Linux لصاحبه David Both.

اقرأ أيضًا

• أساسيات شبكات الحواسيب
• معمارية الشبكة الحاسوبية وشبكة الإنترنت (Network Architecture)
• أدوات أساسية للاستعلام عن أسماء النطاقات على لينكس
• بناء مخطط لعناوين IP عبر الشبكات الفرعية عند بناء الشبكات
• استعمال موجه سيسكو Cisco router كخادوم DHCP عند بناء الشبكات
• الشبكات الحاسوبية متعددة الوصول (Multi-Access Networks)

مهما كنت منظمًا في ترتيب ملفاتك ومجلداتك، ستجد نفسك في بعض الأحيان تحاول البحث عن ملف ما ولا تستطيع إيجاده. ربما تكون قد نسيت اسم الملف أو أحيانا تتذكر اسم الملف، ولكن تنسى أين قمت بحفظه. أحيانًا تحاول الوصول لملف لم تنشئه أنت أصلًا. مهما كان المأزق الذي تمرّ به، على نظام POSIX ستجد دومًا الأمر find لمساعدتك.

تثبيت الأمر find

الأمر find معرَّف ضمن معايير POSIX، والتي تحدد المقاييس المفتوحة التي تتبعها أنظمة POSIX. وببساطة عند استخدامك لأحد أنظمة التشغيل التي تتبع تلك المعايير ومنها لينكس، و BSD، وماك فالأمر find مثبت لديك مسبقًا.

مع ذلك ليست كل أوامر find متماثلة. مثلا الأمر نفسه في جنو يحوي مزايا غير موجودة في ذات الأمر find على أنظمة BSD أو بيزي بوكس Busybox أو سولاريس Solaris أو قد يحتوي على مزايا متماثلة لكن طريقة تضمينها مختلفة. في هذا المقال سنستخدم الأمر find الخاص بجنو الموجود في حزمة findutils بسبب سهولة توافرها وشعبيتها الكبيرة. معظم الأوامر التي سنشرحها في هذا المقال تعمل مع تضمينات أخرى للأمر find. ولتفادي الحصول على نتائج مختلفة نزِّل نسخة جنو من الأمر وثبتها لديك.

بحث عن ملف بالاسم

يمكنك العثور على ملف بالاسم عبر اسم الملف بالكامل أو أجزاء منه مع استخدام التعابير النمطية. الأمر find يحتاج أن تمرر له مسار المجلد الذي تريد البحث داخله، خيارات لتحديد الخاصية التي سيتم البحث من خلالها (مثلًا الخيار name- للبحث بإسم الملف حسّاس للحالة)، ثم نص البحث. افتراضيا سيتم معاملة نص البحث حرفيًا: الأمر find سيبحث عن الملفات التي تطابق تماما النص المُدخل بين علامتي اقتباس إلّا إذا كنت تستخدم صيغة التعبير النمطي.

بفرض أن مجلد مستنداتك يحوي أربع ملفات: Foo و foo و foobar.txt و foo.xml. يبحث الأمر التالي عن ملف باسم "foo" حرفيًا:

$ find ~ -name "foo"
/home/tux/Documents/examples/foo

يمكن جعل البحث غير حساس لحالة الأحرف عبر تمرير الخيار iname-:

$ find ~ -iname "foo"
/home/tux/Documents/examples/foo
/home/tux/Documents/examples/Foo

محارف البدل Wildcards

يمكنك استخدام محارف البدل الأساسية للصدفة لتتمكن من العثور على باقي الملفات، محرف النجمة (*) يمثل أي عدد من الحروف والأرقام:

$ find ~ -iname "foo*"
/home/tux/Documents/examples/foo
/home/tux/Documents/examples/Foo
/home/tux/Documents/examples/foo.xml
/home/tux/Documents/examples/foobar.txt

محرف إشارة الاستفهام (?) يمثل محرفًا واحدًا:

$ find ~ -iname "foo*.???"
/home/tux/Documents/examples/foo.xml
/home/tux/Documents/examples/foobar.txt

هذه ليست صيغة التعابير النمطية، لذا في المثال السابق محرف النقطة (.) يمثل النقطة حرفيًا.

التعابير النمطية Regular expressions

يمكنك أيضا استخدام التعابير النمطية. على عكس الخيارين iname- و name- الذين يعبران عن الحالة الحساسة لحالة الأحرف والحالة الغير حساسة لحالة الأحرف على اسم الملف، الخيارين regex- و iregex- يطبقان على كامل مسار الملف، وليس فقط اسم الملف. هذا يعني أنك إذا قمت بالبحث عن foo، لن تحصل على نتيجة لأن foo لا تطابق المسار home/tux/Documents/foo/. بدل من ذلك يمكنك إما البحث عن المسار بشكل كامل، أو استخدام سلسلة محارف البدل في بداية نص البحث:

$ find ~ -iregex ".*foo"
/home/tux/Documents/examples/foo
/home/tux/Documents/examples/Foo

إيجاد ملف تم تعديله الأسبوع الماضي

لإيجاد ملف تم تعديله الأسبوع الماضي، استخدم الخيار mtime- مع عدد سالب يعبر عن عدد الأيام السابقة:

$ find ~ -mtime -7
/home/tux/Documents/examples/foo
/home/tux/Documents/examples/Foo
/home/tux/Documents/examples/foo.xml
/home/tux/Documents/examples/foobar.txt

إيجاد ملف تم تعديله خلال مدة محددة من الأيام

يمكنك دمج استخدام الخيار mtime- عدة مرات لإيجاد ملف تم تعديله خلال مدة محددة من الأيام. للمعامل للخيار mtime- الأول مرر قيمة أقرب يوم تم تعديل الملف فيه، للمعامل للخيار الثانِ مرر قيمة أكبر عدد من الأيام في الماضي. في المثال التالي سيتم البحث عن الملفات التي تم تعديلها قبل يوم واحد مضى، ولكن ليس قبل سبعة أيام:

$ find ~ -mtime +1 -mtime -7

تحديد البحث بنوع الملف

من الشائع تحديد نتيجة البحث بواسطة find حسب نوع الملف الذي ت قوم بالبحث عنه. لا يجب استخدام هذا الخيار في حال كنت لست متأكد من نوع الملف الذي تبحث عنه، لكن إذا كنت تبحث تحديدا عن ملف وليس مجلد أو العكس مجلد وليس عن ملف، فهذا الخيار سيصفي النتائج كما تحتاج تمامًا. الخيار هو type-، ومعاملاته هي أحرف رموز تمثل عدة أنواع من البيانات. الأشيع منها هو:

• d - مجلد
• f - ملف
• l - وصلة رمزية
• s - مقبس
• p - أنبوب مسمّى (تستخدم ل FIFO)
• b - كتلة خاصة (عادة كون قرص صلب باسم)

التالي بعض الأمثلة:

$ find ~ -type d -name "Doc*"
/home/tux/Documents
$ find ~ -type f -name "Doc*"
/home/tux/Downloads/10th-Doctor.gif
$ find /dev -type b -name "sda*"
/dev/sda
/dev/sda1

ضبط نطاق البحث

الأمر find افتراضيا يعمل بشكل تكراري، أي أنه يقوم بالبحث في المجلدات داخل المجلدات داخل المجلدات (وهكذا دواليك). يمكن للأمر أن يكون مزعجًا بعض الشيء في أنظمة الملفات الكبيرة، يمكنك عندها استخدام الخيار maxdepth- للتحكم بعدد الطبقات التي تريد الأمر find أن يقوم بالبحث داخلها في هيكلية الملفات لديك:

$ find /usr -iname "*xml" | wc -l
15588
$ find /usr -maxdepth 2 -iname "*xml" | wc -l
15

الاستنتاج

في هذا المقال غطينا الاستخدامات الأساسية فقط للأمر find. وهي أداة رائعة للبحث عن الملفات والمجلدات، وهناك الكثير من الأسباب لتعلم الأمر find فهو متواجد على أغلب الأنظمة وستواجه العديد من الحالات التي ستحتاج فيها للبحث عن ملف أو قائمة من الملفات.

ترجمة -وبتصرف- للمقال Find files and directories on Linux with the find command لصاحبه Seth Kenlon.

اقرأ أيضًا

• تعلم فك ضغط ملفات tar.gz باستعمال الأمر tar في لينكس
• تعديل الصور والتلاعب بها عبر سطر الأوامر في لينكس
• 4 أدوات مفتوحة المصدر من أجل مراقبة نظام لينكس
• النسخة الكاملة من كتاب أنظمة التشغيل للمبرمجين

سنتعلم في هذا المقال كيف نقوم بضغط الملفات وإنشاءها واستخراجها من ملفات tar المضغوطة. إذا كنت أحد مستخدمي البرامج مفتوحة المصدر، فغالبًا ما صادفت ملفات من نوع tar. يعود تاريخ انشاء أداة الأرشفة مفتوحة المصدر tar إلى العام 1979، لذا فهي واسعة الانتشار في عالم POSIX. هدفها بسيط: أخذ ملف أو مجموعة من الملفات وتغليفها في ملف واحد، يدعى أرشيف أشرطة التسجيل tar archive. وقد سمي بذلك لأنه عندما تم اختراع tar كان يستخدم لتخزين البيانات على أشرطة التسجيل.

من يتعرف على صيغة tar حديثا فسوف يقوم بتشبيهها بملفات zip.، لكن على عكسها فعليا ملفات tar ليست مضغوطة. صيغة tar تقوم فقط بإنشاء حاوية للملفات، لكن يمكننا ضغط الملفات باستخدام أدوات أخرى. طرق الضغط الشائعة التي تطبق على ملف tar. هي Gzip وbzip2، وxz. هذا هو سبب ندرة مصادفتك لملف بصيغة tar. فقط وعادة ما تصادف الملفات بالصيغ الشائعة tar.gz. أو tgz.

تثبيت الأمر tar

سيكون الأمر tar على لينكس و BSD و إيلوموس و وحتى ماك مثبتًا لديك مسبقًا.

على ويندوز أسهل طريقة للتعامل مع الملفات من النوع tar. هي عبر تنصيب الأداة ‎7-Zip المفتوحة المصدر برخصة LGPL. اسم الأداة يوحي أنها أداة للتعامل مع الصيغة zip، لكن يمكنها التعامل أيضا مع ملفات الأرشيف من النوع tar، وتوفر أيضا واجهة أوامر لموجه الأوامر cmd.

إذا كنت تريد أداة للتعامل مع tar فقط على ويندوز، فيمكنك تثبيت جنو tar عبر WSL على ويندوز 10 وما فوق عبر Cygwin.

إنشاء ملف أرشيف tarball

ملفات الأرشيف من النوع tar عادة ما يشار إليها بالاسم tarball، وذلك فقط اختصارًا لاسمها باللغة الإنجليزية، حيث كلمة tarball أقصر من كتابة tar archive، والتي تعني أرشيف tar.

إنشاء ملف tar باستخدام واجهة المستخدم المرئية GUI، يحتاج لثلاث خطوات على الأكثر. سنستخدم في مثالنا هذا KDE، العملية ستكون مشابهة على كل من جنوم و XFCE:

1. أنشئ مجلدًا.
2. ضع ملفاتك في ذلك المجلد.
3. اضغط بالزر الأيمن للفأرة على المجلد واختر "ضغط".

العملية مشابهة أيضًا في الصَدفَة، لجمع عدة ملفات في ملف أرشيف واحد، ضع ملفاتك في مجلد ثم نفذ الأمر tar، ومرر له اسم ملف الأرشيف الذي تريد إنشاءه ثم المجلد الذي تريد أرشفته:

$ tar --create --verbose --file archive.tar myfiles

تتميز الأداة tar عن باقي الأوامر عادةً أنها لا تحتاج لوجود إشارة السالب (-) قبل اختصارات الخيارات الممررة لها، مما يتيح للمستخدم اختصار عدة أوامر مقعدة كالتالي:

$ tar cvf archive.tar myfiles

يمكنك أيضا عدم وضع الملفات في مجلد قبل أرشفتها، لكنها تُعَد عادةً سيئة، لأنه لا أحد تقريبًا يرغب أن يجد خمسين ملفًا فجأة مبعثرين على سطح المكتب لديه بعد فك ضغط ذلك الأرشيف. هذا النوع من ملفات الأرشيف يدعى عادة قنبلة tar أو tarbomb -شبهوا الأمر بعملية رمي قنبلة- وليس ذلك دائما بمعنى سلبي. قنابل tar مفيدة لعمليات الترقيع patching وأدوات تنصيب البرامج؛ فالأمر يعتمد على معرفتك متى تستطيع استخدام تلك الطريقة من عدمه.

ضغط ملف الأرشيف

عند إنشاء ملف tar فلن تكون الملفات داخله مضغوطة، فهو فقط سيجعل تلك الملفات كتلة واحدة يكون من السهل نقلها معًا. يمكننا لضغط ذلك الملف استدعاء Gzip أو bzip:

$ tar --create --bzip2 --file foo.tar.bz2 myfiles  
$ tar --create --gzip --file foo.tar.gz myfiles

من أشيع اللواحق لملفات الأرشيف tar المضغوطة عبر Gzip هي tar.gz. و tgz.، و للملفات المضغوطة عبر bzip هي tar.bz2. و tbz..

استخراج الملفات من الأرشيف

إذا كان قد وصل إليك ملف tar من صديقك أو من مشروع برمجي ما، يمكنك استخراج محتوياته إما عبر الواجهة المرئية أو من خلال الصدفة. في الواجهة المرئية قم بالضغط بالزر الأيمن للفأرة على ملف الأرشيف واختر "استخراج".

مدير ملفات دولفين Dolphin يوفر ميزة التعرف التلقائي على الملفات المستخرجة من الأرشيف اذا كانت محتواة في مجلد أو يجب إنشاء مجلد حاوي لها. تفيد هذه الميزة في تفادي مشكلة قنابل tar، حيث سينشئ مجلدًا جديدًا سيحوي بداخله كل الملفات المستخرجة.

عبر الصدفة، أمر استخراج الملفات من ملف الأرشيف بديهي للغاية:

$ tar --extract --file archive.tar.gz

يمكنك اختصار الخيارات للأمر السابق كالتالي:

$ tar xf archive.tar.gz

يمكنك أيضا استخدام أداة tar لفك ضغط ملفات zip.:

$ tar --extract --file archive.zip

أوامر tar متقدمة

أدوات tar قوية وعملية جدًا فحالما تعتاد على المبادئ الأساسية لها، ستبني عليها لاكتشاف مزايا أخرى.

إضافة ملف أو مجلد إلى ملف tar

في حال كنت تملك ملف tar وتريد إضافة ملف جديد داخله، يمكنك فعل ذلك دون الحاجة لاستخراج محتوياته ثم إعادة أرشفتها فقط لإضافة الملف الجديد.

معظم أنظمة سطح مكتب لينكس و BSD تأتي مع واجهة مرئية للتعامل مع ملفات الأرشيف، يمكنك استخدامها والتعامل مع ملف الأرشيف وكأنه مجلد عادي آخر، يمكنك رؤية محتوياته، استخراج ملفات معينة منه، إضافة ملفات جديدة إليه، وحتى استعراض الملفات النصية والصور داخله.

أداة الأرشفة آرك Ark

عبر الصدفة، يمكنك إضافة ملف أو مجلد إلى ملف أرشيف tar طالما أنه غير مضغوط بعد، إذا كان ملف الأرشيف مضغوطًا يجب عليك أولًا فك ضغطه فقط وليس استخراج ملفات الأرشيف داخله.

على سبيل المثال، إذا كان ملف الأرشيف مضغوطًا بواسطة Gzip:

$ gunzip archive.tar.gz
$ ls
archive.tar

الآن بعدما أصبح لديك ملف tar غير مضغوط، يمكنك إضافة الملف أو المجلد الجديد إليه:

$ tar --append --file archive.tar foo.txt
$ tar --append --file archive.tar bar/

اختصارًا يمكن تنفيذ الأمر السابق كالتالي:

$ tar rf archive.tar foo.txt
$ tar rf archive.tar bar/

مشاهدة قائمة بالملفات داخل ملف tar

لمشاهدة الملفات داخل ملف أرشيف، سواء كان مضغوطًا أم لا، يمكنك استخدام الخيار list--:

$ tar --list --file archive.tar.gz  
myfiles/
myfiles/one
myfiles/two
myfiles/three
bar/
bar/four
foo.txt

النسخة المختصرة تكون كالتالي

$ tar tf archive.tar.gz

استخراج ملف واحد أو عدة ملفات أو مجلدات من أرشيف tar

أحيانًا لا تريد استخراج كل الملفات من الأرشيف، وفقط تريد استخراج ملف واحد أو بضعة ملفات منه. بعد عرضك لمحتويات ملف أرشيف tar، استخدم الأمر tar لفك الضغط كالمعتاد ولكن مع إضافة مسار الملف الذي تريد استخراجه بمفرده:

$ tar xvf archive.tar.gz bar/four
bar/four

الآن تم استخراج الملف "four" إلى مجلد جديد يدعى "bar". إذا كان المجلد "bar" موجود مسبقًا، فسيتم وضع الملف "four" داخله. ولاستخراج عدة ملفات أو مجلدات سننفذ نفس الأمر السابق تقريبًا:

$ tar xvf archive.tar.gz myfiles/one bar/four
myfiles/one
bar/four

يمكنك أيضا استخدام المحارف البديلة wildcards:

$ tar xvf archive.tar.gz --wildcards '*.txt'
foo.txt

استخراج الملفات من ملف tar إلى مجلد

ذكرنا سابقًا أن بعض ملفات tar هي قنابل tar تترك خلفها بعد استخراج محتوياتها الكثير من الملفات المبعثرة. إذا نظرت لمحتويات ملف tar ولاحظت أن الملفات داخله غير محتواة داخل مجلد، يمكنك تحديد مجلد الوجهة ليتم استخراجها مباشرة إليه:

$ tar --list --file archive.tar.gz
foo
bar
baz
$ mkdir newfiles
$ tar xvf archive.tar.gz -C newfiles

الأمر السابق يستخرج محتويات الملف "archive.tar.gs" إلى المجلد الجديد newfiles بشكل مرتب.

خيار مجلد الوجهة له فوائد أخرى غير ترتيب الملفات المستخرجة في مجلد واحد، مثلًا لتوزيع الملفات لنسخها في بنية مجلدات موجودة مسبقًا. إذا كنت تعمل على تطوير موقع إلكتروني وتريد إرسال ملفات جديدة لصاحب الموقع، يمكنك القيام بذلك بعدة طرق. الطريقة البديهية هي إرفاق تلك الملفات داخل بريد إلكتروني وإرسالها له مع شرح عن مكان نسخ كل من تلك الملفات: "ملف index.php المرفق يجب وضعه داخل المجلد /var/www/example.com/store، والملف vouchers.php يجب وضعه داخل /var/www/example.com/deals... ".

الطريقة الأجدى لتنفيذ ذلك تكون بإنشاء أرشيف tar لهذه الملفات:

$ tar cvf updates-20170621.tar.bz2 var
var/www/example.com/store/index.php
var/www/example.com/deals/voucher.php
var/www/example.com/images/banner.jpg
var/www/example.com/images/badge.jpg
var/www/example.com/images/llama-eating-apple-pie.gif

متضمنة بنية المجلدات والملفات داخلها، الآن ليس على صاحب الموقع سوى استخراج الملفات من ملف الأرشيف مباشرة داخل مجلد الجذر على خادمه. أداة tar تتحقق من تواجد المجلد var/www/example.com/ وكذلك المجلدات داخله store و deals و images، وتقوم بتوزيع الملفات في مجلداتها المناسبة. يمكن اعتبار هذه الطريقة نسخ ولصق لكن بسرعة وبسهولة.

الفرق بين نسخة tar من جنو ومن BSD

تنسيق tar هو مجرد تنسيق، وهو مفتوح المصدر، لهذا السبب يمكن لعدة أدوات أن تقوم بإنشائه.

هناك أداتي tar شائعتين: أداة جنو tar، والتي تأتي مثبتة افتراضيًا على بعض أنظمة لينكس، وأداة tar التابعة لأنظمة BSD، والمثبتة بشكل افتراضي على BSD، ماك، وبعض أنظمة لينكس الأخرى. للاستخدام العام، كلا الإصدارين سيكون كافيًا. كل الأمثلة المذكورة في هذا المقال ستعمل على كلا الإصدارين. لكن هناك اختلافات بسيطة بينهما. حالما تعتاد على واحدة منهما يمكنك تجربة الأخرى,

غالبًا ستحتاج لتثبيت الإصدار "الآخر" من الأمر tar يدويًا. لتفادي الخلط بين الأداتين، أداة جنو tar تسمى gtar وأداة BSD tar تسمى bsdtar، على أن يكون الأمر tar هو وصلة رمزية أو اسم بديل لأحد تلك الأداتين المثبتة مسبقا على جهازك.

ترجمة -وبتصرف- للمقال How to unzip a tar.gz file لصاحبه Seth Kenlon.

اقرأ أيضًا

• احترف الأمر ls في لينكس
• ما الفروق بين الأوامر grep وegrep fgrep
• مدخل إلى الأمر ss في لينكس
• كيف تستخدِم أمرَي find و locate للبحث عن الملفّات على Linux
• النسخة الكاملة من كتاب أنظمة التشغيل للمبرمجين

يمتلك الأمر ls في لينكس العديد من الخيارات الرائعة التي ستعطيك معلومات مهمة عن ملفاتك. الأمر ls يقوم بعرض قائمة بالملفات على أنظمة POSIX وهو أمر سهل وبسيط، عادة ما يقلل من شأنه لأن مهمته بسيطة (فهو فعليًا يفعل مهمة واحدة فقط)، ولكن يمكنك تعديل استخدامك له لتحصل على الكثير منه.

من بين أهم أوامر لينكس التي يجب أن تعرفها، يحتل الأمر ls المرتبة الثالثة ربما بينها، لأن الأمر ls ليس فقط يعرض قائمة بالملفات، بل أيضا يعرض لك معلومات مهمة عنها. مثل من يملك الملف أو المجلد، متى تم تعديل الملف آخر مرة، وحتى نوع الملف، وهو أمر مهم يبيّن لك أين تقف الآن وما الملفات والأغراض المتاحة في المسار الحالي وماذا يمكنك أن تفعل بهم.

إذا كانت خبرتك مع الأمر ls مقتصرة على الاسم البديل لهذا الأمر التي يأتي جاهزًا مع توزيعتك في ملف bashrc.، فربما فاتك الكثير.

جنو أو BSD؟

قبل أن نلقي نظرةً على خفايا الأمر ls، يجب أن تحدد أي إصدار من ls لديك. أشهر إصدارين هما إصدار جنو، الذي يأتي ضمن حزمة coreutils ضمن جنو، وإصدار BSD. إذا كنت تعمل على لينكس، فعلى الأغلب الأمر ls مثبت لديك أما إذا كنت تعمل على BSD أو نظام ماك، فأنت تملك نسخة إصدار BSD فهناك فروقات، سنغطيها في هذا المقال.

يمكنك معرفة النسخة التي لديك باستخدام الخيار version--:

$ ls --version

إذا كان الخرج يحتوي على معلومات عن حزمة coreutils الخاصة بجنو، فلديك الإصدار الخاص بجنو، أما إذا ظهر لك خطأ فأنت تملك نسخة BSD (يمكنك تنفيذ الأمر man ls | head للتأكد).

يجب عليك التحقق أيضا من الإعدادات المسبقة التي قد تأتي مع توزيعتك. التخصيصات في الأوامر عادة تكون موجودة داخل الملف HOME/.bashrc$ أو HOME/.bash_aliases$ أو داخل HOME/.profile$، وعادة تكون موجودة لإعطاء اسم بديل للأمر ls يتضمن خصائص أكثر تعقيدًا، مثال:

alias ls='ls --color'

التخصيصات التي تأتي مع التوزيعة مفيدة، ولكن تجعل من الصعب التمييز بين عمل الأمر ls بمفرده وما تقدمه الخيارات الإضافية من مزايا. إذا كنت تريد تنفيذ الأمر ls بمفرده وتجاهل أي تسمية بديلة يمكنك استخدام محرف الهروب الخط المائل العكسي (\) قبل الأمر:

$ \ls

التصنيف

عند تنفيذ الأمر ls بمفرده سيعرض قائمة بالملفات موزعة على أعمدة بقدر العرض المتوفر على الطرفية لديك:

$ ls ~/example
bunko        jdk-10.0.2
chapterize   otf2ttf.ff
despacer     overtar.sh
estimate.sh  pandoc-2.7.1
fop-2.3      safe_yaml
games        tt

المعلومات التي ستظهر مفيدة، لكن بدون رموز تفيد التمييز بين أنواع الملفات (مجلد - ملف نصي - صورة - الخ…) فلن تفيدنا كثيرًا.

يمكنك استخدام الخيار F- (أو classify-- في نسخة جنو) لعرض رمز بعد كل اسم ملف لتمييز نوعه:

$ ls ~/example -F
bunko         jdk-10.0.2/
chapterize*   otf2ttf.ff*
despacer*     overtar.sh*
estimate.sh   pandoc@
fop-2.3/      pandoc-2.7.1/
games/        tt*

الرموز بعد أسماء الملفات تدل على نوع الملف، وتحمل الدلالات التالية:

• خط مائل عكسي (/) يدل على نوع المجلد.
• محرف النجمة (*) يدل أن الملف تنفيذي. يتضمن ذلك الملفات الثنائية (الشيفرة المصرّفة) وكذلك النصوص البرمجية (الملفات النصية التي تملك صلاحية التنفيذ).
• المحرف (@) يدل على وصلة رمزية (أو اسم بديل).
• محرف المساواة (=) يدل على مقبس.
• على BSD، محرف إشارة النسبة المئوية (%) يدل على أن الملف مشار إليه كمحذوف whiteout (وهي طريقة لحذف الملفات على بعض الأنظمة).
• على جنو، محرف إشارة الأصغر (<) يدل على باب (طريقة للتواصل بين الإجرائيات على ايلوموس و سولاريس)
• محرف الخط العمودي (|) يدل على FIFO.

نسخة أبسط من هذا الخيار هي p-، وهي تبيّن فقط الفرق بين الملفات والمجلدات.

عرض قائمة تفاصيل طويلة

نحتاج في كثير من الأحيان إلى عرض تفاصيل أكثر عن الملفات من خرج الأمر ls، لذا العديد من التوزيعات تُعِّين اسمًا بديلا على شكل ll تكون قيمته ls -l. تعرض القائمة الطويلة العديد من الخصائص المهمة لنا مثل الصلاحيات، المستخدم مالك الملف، المجموعة التي ينتمي إليها الملف، حجم الملف بالبايت، وتاريخ آخر تعديل على الملف:

$ ls -l
-rwxrwx---. 1 seth users         455 Mar  2  2017 estimate.sh
-rwxrwxr-x. 1 seth users         662 Apr 29 22:27 factorial
-rwxrwx---. 1 seth users    20697793 Jun 29  2018 fop-2.3-bin.tar.gz
-rwxrwxr-x. 1 seth users        6210 May 22 10:22 geteltorito
-rwxrwx---. 1 seth users         177 Nov 12  2018 html4mutt.sh
[...]

إذا كانت وحدة البايت مربكة لك، أضف الخيار h- (أو الخيار human-- على جنو) ليتم ترجمة الحجوم الى صيغة مقروءة بشكل أفضل:

$ ls --human
-rwxrwx---. 1 seth users    455 Mar  2  2017 estimate.sh
-rwxrwxr-x. 1 seth seth     662 Apr 29 22:27 factorial
-rwxrwx---. 1 seth users    20M Jun 29  2018 fop-2.3-bin.tar.gz
-rwxrwxr-x. 1 seth seth    6.1K May 22 10:22 geteltorito
-rwxrwx---. 1 seth users    177 Nov 12  2018 html4mutt.sh

يمكنك تخفيف المعلومات الظاهرة عبر إظهار فقط عمود مالك الملف باستخدام الخيار o- أو فقط عمود المجموعة المالكة للملف عبر الخيار g-:

$ ls -o
-rwxrwx---. 1 seth    455 Mar  2  2017 estimate.sh
-rwxrwxr-x. 1 seth    662 Apr 29 22:27 factorial
-rwxrwx---. 1 seth    20M Jun 29  2018 fop-2.3-bin.tar.gz
-rwxrwxr-x. 1 seth   6.1K May 22 10:22 geteltorito
-rwxrwx---. 1 seth    177 Nov 12  2018 html4mutt.sh

يمكنك دمج الخيارين لإخفاء كلا العمودين.

صيغة الوقت والتاريخ

صيغة قائمة التفاصيل الطويلة للأمر ls تكون عادةً على الشكل التالي:

-rwxrwx---. 1 seth users         455 Mar  2  2017 estimate.sh
-rwxrwxr-x. 1 seth users         662 Apr 29 22:27 factorial
-rwxrwx---. 1 seth users    20697793 Jun 29  2018 fop-2.3-bin.tar.gz
-rwxrwxr-x. 1 seth users        6210 May 22 10:22 geteltorito
-rwxrwx---. 1 seth users         177 Nov 12  2018 html4mutt.sh

لا يمكن ترتيب أسماء الشهور بهذه الصيغة بسهولة، لا حسابيا (حسب اذا كنت تفضل أسماء الشهور أو رقم يدل على ترتيبها) ولا إدراكيًا. يمكنك تغيير صيغة عرض العلامة الزمنية عبر الخيار time-style-- إضافة إلى اسم الصيغة. الصيغ المتاحة هي:

• (1970-01-01 21:12:00) full-iso.
• long-iso (1970-01-01 21:12).
• iso (01-01 21:12).
• locale (سيتم استخدام إعداداتك المحلية).
• posix-STYLE (بدل كلمة STYLE بالمعرّف المحلي).

يمكنك أيضا إنشاء صيغة مخصصة مماثلة للصيغ التي يدعمها الأمر date.

الترتيب بحسب الوقت

يرتب الأمر ls القائمة افتراضيًا حسب الترتيب الأبجدي. يمكنك تغيير الترتيب إلى الترتيب بحسب الوقت الذي تم فيه تعديل الملفات آخر مرة (الأحدث أولًا) باستخدام الخيار t-:

$ touch foo bar baz
$ ls
bar  baz  foo
$ touch foo
$ ls -t
foo bar baz

نوع القائمة

الخرج القياسي للأمر ls يوازن بين قابلية القراءة والتوفير في المساحة، لكن أحيانا تحتاج أن تكون قائمة الملفات بترتيب معين. ولتحديد تنسيق القائمة ليكون عناصر وبينها فاصلة، نستخدم الخيار m-:

ls -m ~/example
bar, baz, foo

لإجبار وضع العناصر بحيث يكون كل ملف بسطر، نستخدم الخيار 1- (رقم واحد وليس حرف L صغير):

 $ ls -1 ~/bin/
 bar
 baz
 foo

لترتيب العناصر حسب اللاحقة لكل ملف وليس حسب اسم الملف، نستخدم الخيار X-:

$ ls
bar.xfc  baz.txt  foo.asc
$ ls -X
foo.asc  baz.txt  bar.xfc

إخفاء الملفات من الخرج التي قد لا تحتاج لرؤيتها

هناك بعض العناصر في خرج الأمر ls التي قد لا تهتم لرؤيتها، مثل المحارف الوصفية . و .. التي تدل على "المسار الحالي" و "مستوى واحد للخلف" على التوالي. اذا كان لديك معرفة بكيفية التنقل بين المجلدات داخل الطرفية، فأنت تعلم أن كل مسار يشير إلى نفسه كـ . وللمسار الأب كـ ..، لذ قد لا تحتاج لرؤية تلك الدلالات في كل مرة تستخدم بها الخيار a- لعرض الملفات المخفية.

لعرض تقريبا كل الملفات المخفية (ما عدا . و ..) يمكنك استخدام A-:

$ ls -a
.
..
.android
.atom
.bash_aliases
[...]

$ ls -A
.android
.atom
.bash_aliases
[...]

هناك عُرف في العديد من أدوات يونكس أن يتم حفظ ملفات النسخ الاحتياطي باسم ملف متبوع بمحرف مميز ما. على سبيل المثال المحرّر Vim، يقوم بحفظ ملفات النسخ الاحتياطية باسم متبوع بالمحرف ~ .

هذه الملفات ستنقذك في الكثير من المرات، لكن قد لا تحتاج لرؤيتها دومًا داخل قائمة الملفات، لإخفائها يمكنك استعمال الخيار B- أو igonre-backups-- وسيقوم الأمر ls بإخفاء ملفات النسخ الاحتياطي ذات اللواحق المشهورة (هذا الخيار غير متوفر في إصدار BSD للأمر ls):

$ ls
bar.xfc  baz.txt  foo.asc~  foo.asc
$ ls -B
bar.xfc  baz.txt  foo.asc

ملفات النسخ الاحتياطي لازالت موجودة، فقط تم إخفائها من قائمة الملفات.

جنو إيماكس GNU Emacs يحفظ ملفات نسخ احتياطي (إلا إذا تم تغيير إعدادات ذلك) عبر وضع محرف المربع # قبل وبعد اسم الملف. تطبيقات أخرى أيضا ستستخدم صيغ أخرى لأسماء الملفات تلك. لذا يمكنك تحديد نمط مخصص لاسم الملفات التي تود إخفاءها من الخرج عبر الخيار hide--:

$ ls
bar.xfc  baz.txt  #foo.asc#  foo.asc
$ ls --hide="#*#"
bar.xfc  baz.txt  foo.asc

عرض محتويات المجلدات

لن يعرض الأمر ls محتويات المجلدات إلا إذا حددت له مجلدًا معينًا لعرض محتوياته، لذلك يمكنك استخدام الخيار R- لعرض شجرة محتويات كل المجلدات:

  $ ls -F
  example/  quux*  xyz.txt
  $ ls -R
  quux  xyz.txt

  ./example:
  bar.xfc  baz.txt  #foo.asc#  foo.asc

تبسيط استخدام الخيارات المكررة عبر الاسم البديل

ربما يكون الأمر ls من أكثر الأوامر استخداما خلال الجلسة الواحدة. فهو كعينيك وأذنيك، يوضح لك السياق الحالي ويؤكد لك نتيجة وجود الملفات من عدمها وبينما يحتوي على الكثير من المزايا فهو سهل الاستخدام للغاية، حرفان فقط وزر Enter، وستعلم تماما أين أنت وماذا يوجد حولك، قد تعتاد على هذه البساطة وتنسى الاستفادة من خياراته المفيدة.

الحل يكون بتحديد اسم بديل للأمر ls يتضمن الخيارات التي توفر لك المعلومات التي تحتاجها دومًا. لتعيين اسم بديل في جلسة باش Bash، أنشئ ملفًا في مجلد المنزل لحسابك بالاسم bash_aliases. (يجب وضع النقطة في بداية اسم الملف). في هذا الملف حدد قائمة الأوامر التي تريد تعيين اسمًا بديلا لها ثم قيمة هذا الاسم البديل. مثال:

alias ls='ls -A -F -B --human --color'

السطر السابق يجعل صدفة باش تترجم الأمر ls الى ls -A -F -B --human --color.

ولست مقيدًا بتعيين أسماء بديلة للأوامر المتوفرة فقط. بل يمكنك إنشاء أسماء بديلة خاصة بك:

alias ll='ls -l'
alias la='ls -A'
alias lh='ls -h'

لكي تُفعّل تلك الأسماء البديلة، يجب على الصدفة أن تعلم بوجود ملف الإعدادات bash_aliases.. قم بفتح الملف bashrc. في محرر النصوص (أو قم بإنشائه، إن لم يكن موجودًا)، وضع داخله الشيفرة التالية:

if [ -e $HOME/.bash_aliases ]; then
    source $HOME/.bash_aliases
fi

في كل مرة سيحمّل الملف bashrc. (أي في كل مرة سيتم فيها إنشاء جلسة صدفة جديدة)، سيقوم باش بتحميل الملف bash_aliases. إلى البيئة الحالية. يمكنك إغلاق وإعادة فتح الجلسة الحالية لتفعيل ذلك أو يمكنك إجبار تحميل الإعدادات عبر تنفيذ الأمر:

$ source ~/.bashrc

إذا نسيت بعد فترة ما إذا كنت قد قمت بتعيين اسم بديل لأمر ما أم لا، الأمر which سيخبرك بذلك:

$ which ls
alias ls='ls -A -F -B --human --color'
        /usr/bin/ls

إذا كنت قد حددت اسما بديلا للأمر ls قيمته هو الأمر نفسه مع بضعة خيارات أخرى. وتريد تنفيذ الأمر بمفرده وتجاهل الاسم البديل المعين له يمكنك إسباق الأمر بمحرف الخط المائل العكسي (\). مثلا في الاسم البديل السابق استخدمنا الخيار B- لإخفاء ملفات النسخ الاحتياطي من الخرج، أما في حال أردت مشاهدة تلك الملفات وتجاهل الاسم البديل ينفذ الأمر كالتالي:

$ ls
bar  baz  foo
$ \ls
bar  baz  baz~  foo

ختاما

يحوي الأمر ls العديد من الخيارات المفيدة، العديد منها متخصصة بحالة معينة أو تعتمد على نوع الطرفية التي تستخدمها. يمكنك القراءة ومعرفة المزيد من الخيارات بتنفيذ الأمر info ls على أنظمة جنو، أو man ls على أنظمة جنو و BSD.

قد تجد من الغريب على نظام شعاره الأساسي هو "قم بعمل واحد، وقم به جيدًا" أن يثقل أمرا واحدا بخمسين خيار. لكن حقيقةً أن الأمر ls يقوم بشيء واحد فقط: يظهر قائمة بالملفات. والخمسين خيار المتوفرين سيمكنوك من تحديد كيف تريد هذه القائمة، بالفعل ls يقوم بعمل واحد ويقوم به جيدًا.

ترجمة -وبتصرف- للمقال Master the Linux ls command لصاحبه Seth Kenlon.

اقرأ أيضًا

• ما الفروق بين الأوامر grep وegrep fgrep
• مدخل إلى الأمر ss في لينكس
• مقدمة إلى أمر tar في لينكس
• كيف تستخدِم أمرَي find و locate للبحث عن الملفّات على Linux
• النسخة الكاملة من كتاب أنظمة التشغيل للمبرمجين

يقدم التخزين السحابي العديد من المزايا، لكن لن يغنيك ذلك عن امتلاكك لبياناتك على قرص صلب فيزيائي خاص بك. عندما تخزن بياناتك على القرص الصلب ستعلم تماما أين بياناتك، ويمكنك الوصول اليها دائما عند الحاجة. الأمر الأفضل من ذلك حتى أن تخزن بياناتك على قرص محمول، مثل ذاكرة اليو اس بي USB Drive، لست فقط على علم أين تقع بياناتك بل يمكنك حملها معك لأي مكان. إذا كنت مستخدم جديد للينكس، أو كنت تحاول التعامل مع نظام ملفات لينكس على قرص خارجي، قد تجد الأقراص الخارجية أمرا مربكًا، ستكون عرضة لأخطاء في الصلاحيات أو التضارب فيها، أو حتى خسارة البيانات الوصفية للملفات metadata، هناك إجابتين "صحيحتين" لذلك: نظام ملفات ExFAT وقوائم التحكم بالوصول ACL.

نظام ملفات ExFAT

رسميا، كان نظام ملفات ExFAT معرضًا لمخاطر قانونية كثيرة من قبل مايكروسوفت لأنها كانت تمتلك الشيفرة الخاصة به. قاموا بمقاضاة شركات ومنظمات عديدة من قبل دفاعًا عن ملكيتهم لنظام الملفات FAT، لذا كان الخوف مسيطرًا أنهم قد يعيدوا الكرّة مع نظام ExFAT. لكن مؤخرًا قامت مايكروسوفت بجعل معايير نظام ExFAT مفتوح المصدر. لم يوفروا برنامج تشغيل له ولكنه يوجد برنامج تشغيل حالي له على لينكس، وبعد أن توفر للمطورين إمكانية الوصول للمعايير بشكل كامل أصبح التطوير والتحسين عليها أمرًا حتميًا.

محاسن نظام ExFAT أنه عابر للمنصات (ويندوز، ماك، والعديد من الأجهزة المحمولة تستخدمه)، وقد تم تصميمه دون اعتبار لنظام الصلاحيات على الملفات. حيث يمكنك توصيل محرك خارجي بتنسيق ملفات ExFAT لأي جهاز حاسوب، وكل الملفات ستكون متاحة للجميع. سيُعد هذا أمرا أيجابيًا أو سلبيًا بحسب طريقة استخدامك، لكن بالنسبة للاستعمال مع ملفات الوسائط المتعددة ذلك يعد أمرا إيجابيا جدًا.

قوائم التحكم بالوصول ACL

يمكنك -إن كنت تفضل- استخدام نظام ملفات لينكس على محرك الملفات المحمول، لكن لجعل مشاركة الملفات أمرا سلسًا يجب استخدام قوائم التحكم بالوصول ACL اختصارًا إلى Access control lists.

عند إنشاء ملف أو مجلد على محرك ملفات، يوجد إعدادات افتراضية على نظامك ستحدد ما الصلاحيات التي سيحصل عليها هذا الملف أو المجلد. في معظم الحالات، الإعدادات الافتراضية تكون كافية ومنطقية، مثلا عند إنشائك لملف في مسار مجلد المنزل لحسابك الشخصي فعادةً أنت لا تريد إعطاء صلاحية الوصول إليه للمستخدمين الآخرين. لكن عندما تنشئ ملفًا في محرك خارجي، فأغلب الأحيان ستحتاج مشاركته مع الآخرين (حتى لو كان الشخص الآخر هو أنت لكن من جهاز حاسوب آخر).

يمكنك إعادة تعريف الصلاحيات الافتراضية لمشاهدة الملفات عن طريق قائمة التحكم بالوصول، ويمكنك التحكم بوضع إنشاء الملفات عن طريق إضافة بت لاصق sticky bit. قائمة التحكم بالوصول هي طبقة من سياسات الحماية تقع في الخصائص الإضافية للمجلدات والملفات وتسمح لك بتحديد استثناءات على الصلاحيات المحددة من قبل نظام الملفات. وأكثر ما توفره هذه الطبقة، هي تجاوز نموذج المالك الوحيد والمجموعة المالكة الوحيدة لنظام صلاحيات يونكس التقليدي.

على سبيل المثال، بينما حسابي بإسم حسان (بالمعرّف 1000) على جهازي المكتبي يملك مجلدًا على سطح المكتب، حساب آخر لي بإسم حسان على جهازي المحمول (بالمعرّف 500) من وجهة نظر نظام الملفات هو لا يملك نفس المجلد ولا يصل إليه، فقط لأن المعرّف لكل من الحسابين مختلف.

نفس المشكلة مع نظام تملّك المجموعات، مجموعة بالمعرّف 1000 قد تملك مجلدًا على جهاز، مجموعة أخرى على جهاز آخر بمعرّف مغاير (500 أو 10922) لن تصل إلى نفس المجلد. قائمة التحكم بالوصول تستطيع حل المشكلة بإضافة مُلّاك أفراد أو مجموعات ثانويين للمجلدات والملفات.

مشاهدة قائمة الوصول الحالية

جميع المجلدات والملفات في أغلب أنظمة الملفات الشائعة على لينكس لديها قائمة تحكم بالوصول افتراضية وتكون مخزّنة في الخصائص الإضافية، وهي نوع من البيانات الوصفية لا تلاحظه عادةَ.

يمكنك مشاهدتها عبر الطرفية بتنفيذ الأمر التالي:

$ getfacl ./example
# file: /run/media/drive/example
# owner: hassan
# group: users
user::rwx
group::rwx
other::r--

أسطر التعليق الظاهرة هي مرجع فقط، تدل على أسم الملف وحساب المالك والمجموعة المالكة للملف الحالي الذي تستعرض معلومات عنه حاليًا. الأسطر اللاحقة لذلك تُظهر القواعد المطبقة على هذا الملف أو المجلد. في المثال السابق، صلاحيات المستخدم المالك مضبوطة للقيمة rwx، ومثلها للمجموعة المالكة rwx، وللباقي --r. هذه الصلاحيات تعكس الصلاحيات الافتراضية لقائمة التحكم بالوصول الافتراضية لنظام الملفات:

$ ls -lA /run/media/drive
drwxrwxr-- 26 hassan users 4096 Jan 16 21:04 example
$ id
uid=1000(hassan) gid=100(users) groups=100(users)...

طالما أن حساب المستخدم hassan (بالمعرف 1000) أو حساب عضو في المجموعة users (بالمعرف 100) يتعاملون مع المجلد example، فلهم صلاحية وصول كاملة. أي حساب آخر سيمتلك صلاحية القراءة r فقط.

تعيين قائمة التحكم بالوصول

لتعديل قائمة التحكم بالوصول، يمكنك استخدام الأمر setfacl أو عبر استخدام مدير ملفات يدعم قوائم التحكم بالوصول. يمكنك التعميم أو التخصيص عندما تعيّن قائمة التحكم بالوصول.

إذا كنت فقط تريد تعديل إعدادات صلاحيات نظام الملفات، يمكنك استخدام أحد الأمرين chmod أو setfacl وهي إعدادات تحكم بالوصول عامة لأنك لا تضيف صلاحيات جديدة عن تلك المتاحة ليونكس من معايير نظام الملفات.

$ setfacl --modify g::r example
$ getfacl ./example | grep "group::"
group::r--
$ ls -l . | grep example
drwxr--r-- 26 hassan users 4096 Jan 16 21:04 example

العملية نفسها ممكنة عبر استعمال الأمر chmod:

$ chmod g+x example
$ getfacl ./example | grep "group::"
group::r-x
$ ls -l . | grep example
drwxr-xr-- 26 seth users 4096 Jan 16 21:04 example

إضافة مستخدمين ومجموعات

للاستفادة من مزايا التي توفرها قوائم التحكم بالوصول يجب أن نستخدمها لإضافة صلاحيات إضافية مغايرة الصلاحيات الأصلية في يونكس. إذا سجلت الدخول على جهاز سطح المكتب من حسابي hassan ذو المعرّف 1000، وأعلم أنني أريد الوصول واستعمال مجلد مخزن على القرص المحمول من حساب hassan ذو المعرّف 500 من جهازي المحمول، لن يكون عندها كافيا أن أحدد مالك المجلد هو الحساب hassan فقط، لأن المعرّفين لكلا الحسابين ليسا متطابقين.

يمكنك إضافة مستخدم أو معرّف مستخدم لقائمة تحكم بالوصول كالتالي:

$ setfacl --modify u:500:rwx example
$ getfacl example
# file: /run/media/drive/example
# owner: hassan
# group: users
user::rwx
user:500:rwx
[...]

كما نلاحظ تم إضافة سطر قيد جديد خاص بالمستخدم ذو المعرّف 500 إلى قائمة التحكم بالوصول الخاصة بالمجلد. الآن أصبح من الممكن وصل مخزن الملفات المحمول الذي يحوي هذا المجلد على جهاز يونكس أو لينكس آخر وسيتم السماح للمستخدم بالمعرّف 500 بالوصول الى المجلد example.

يمكنك أيضا إضافة حسابات مستخدمين آخرين عبر اسم الحساب، أو مجموعات عبر اسم المجموعة أو معرّف المجموعة. المعرّفات هي المهمة مع الصلاحيات، لكن إذا كنت في بيئة مختلطة (مثلا بيئة خوادم RHEL و العملاء البدائيين)، فيجب التحقق من معرّفات الحسابات والمجموعات التي تضيفها، فالحسابات في هذه البيئات قد تبدو متشابهة بالإسم ولكنها تختلف بمعرّفاتها.

تعيين القواعد الافتراضية لقوائم التحكم بالوصول

إذا تعاملت مع قوائم التحكم بالوصول على أنها إعدادات لمرة واحدة، فسريعًا ما ستواجه مشاكل عندما يبدأ المستخدمون الآخرون بإنشاء الملفات والمجلدات. أي ملف أو مجلد سيتم إنشاءه من أي مستخدم سيورث تلقائيا إعدادات الصلاحيات الافتراضية للنظام (وقائمة التحكم بالوصول). هذا يعني عندما يقوم حساب hassan على الحاسب المحمول ذي المعرّف 500 بإنشاء ملف داخل مجلد تم مشاركته معه، لن يتمكن حساب hassan الآخر ذو المعرّف 1000 على جهاز سطح المكتب من الوصول إليه، لأن مالك الملف سيتم تعيينه للحساب ذي المعرّف 500 فقط.

يمكن تطبيق قائمة تحكم بالوصول افتراضية للمجلدات حيث أن أي ملف أو مجلد سيتم إنشاؤه داخل هذا المجلد سيورّث تلقائيا قائمة التحكم بالوصول للمجلد الأب. يمكنك تعيين قائمة تحكم بالوصول افتراضية لمجلد عبر تمرير الخيار default-- كالتالي:

 $ setfacl --default --modify u:500:rwx example
 $ setfacl --default --modify u:1000:rwx example
 $ getfacl --omit-header example
 user::rwx
 user:500:rwx
 group::rw-
 mask::rwx
 other::r-x
 default:user::rwx
 default:group::rw-
 default:group:500:rwx
 default:group:1000:rwx
 default:mask::rwx
 default:other::r-x

الآن عندما يقوم مستخدم بإنشاء مجلد جديد داخل المجلد example، سيتم توريث قائمة التحكم بالوصول له لتكون نفسها للمجلد الأب:

$ cd example
$ mkdir penguins
$ getfacl --omit-header penguins
user::rwx
group::rw-
group:500:rwx
group:1000:rwx
mask::rwx
other::r-x
default:user::rwx
default:group::rw-
default:group:500:rwx
default:group:1000:rwx
default:mask::rwx
default:other::r-x

هذا يعني أن أي مجلد أو ملف سيرث تلقائيا نفس قائمة التحكم بالوصول، ولن يتم استثناء أي من الحسابين بالمعرّفات 500 أو 100 من الوصول للملفات أو المجلدات.

قائمة تحكم بالوصول عملية لمحركات الأقراص الخارجية

عند استخدام نظام ملفات لينكس على محرك أقراص خارجي، لضمان الوصول للملفات والمجلدات لكل المستخدمين الذين يتوقع استخدامهم له أسهل طريقة هي تعيين قائمة تحكم بالوصول واحدة على المجلد في أعلى مستوى.

لنفرض مثلا لديك مخزن ملفات USB يدعى mydrive منسّق بنظام الملفات ext4. وتريد السماح بالوصول للملفات المخزنة فيه لكل من حساباتك على جهاز سطح المكتب والجهاز المحمول وأيضا زميلك أحمد.

أولا قم بإنشاء مجلد في أعلى مستوى من في مخزن الملفات:

$ mkdir /mnt/mydrive/umbrella

ثم قم بتطبيق قائمة تحكم بالوصول على ذلك المجلد لضمان الوصول لكل حسابات المستخدمين الذي تريد:

$ setfacl --modify \
  u:500:rwx,u:1000:rwx,u:ahmad:rwx \
  /mnt/mydrive/umbrella

أخيرًا تقوم بتطبيق قائمة تحكم بالوصول افتراضية ليتم توريثها لكل الملفات والمجلدات المنشأة داخل الملف umbrella (الأمر التالي يستخدم اختصار خيار modify--):

$ setfacl --default -m u:500:rwx,u:1000:rwx,u:ahmad:rwx \
  /mnt/mydrive/umbrella

تطبيق القواعد الافتراضية على نظام حالي

إذا كنت تريد تطبيق قائمة تحكم بالوصول واحدة لعدة ملفات موجودة مسبقًا، يمكنك الاستعانة بالأمر find.

أولا نقوم بالبحث عن المجلدات التي نريدها ثم نطبق عليها قائمة التحكم بالوصول:

 $ find /mnt/mydrive/umbrella -type d | \
   parallel --max-args=6 setfacl \
   --default -m u:500:rwx,u:1000:rwx,u:ahmad:rwx

إن تطبيق صلاحية التنفيذ للملفات بشكل عشوائي أمر غير محبذ، لذا نبحث عن كل الملفات ونغير الصلاحيات لها إلى rw. الملفات التي تتطلب التنفيذ يمكن تعيين صلاحية التنفيذ لها إما بشكل يدوي أو عبر إضافة لاحقة لها:

 $ find /mnt/mydrive/umbrella -type f | \
   parallel --max-args=6 setfacl \
   --default -m u:500:rw,u:1000:rw,u:ahmad:rw

يمكنك تغيير المعاملات الممررة للأوامر السابقة بحسب حاجتك (لا تقم بتنفيذ الأمر الذي يقوم بمسح صلاحية التنفيذ على المجلد user/، أو على مجلد يحتوي فقط على ملفات تنفيذية).

المحركات الخارجية

لا تدع الارتباك حول تحديد صلاحيات الملفات على المحركات الخارجية المشتركة يحدّك، ولا تحصر نفسك فقط في صلاحيات يونكس التقليدية. استفد من مزايا قوائم التحكم بالوصول لتتمكن من استخدام أنظمة ملفات لينكس أينما ذهبت.

ترجمة -وبتصرف- للمقال Access control lists and external drives on Linux: What you need to know لصاحبه Seth Kenlon.

اقرأ أيضًا

• التعرف على اختناقات الأداء في نظام لينكس باستخدام الأدوات مفتوحة المصدر
• نصائح وحيل لاستخدام نظام CUPS للطباعة في لينكس
• تعديل الصور والتلاعب بها عبر سطر الأوامر في لينكس
• التعرف على اختناقات الأداء في نظام لينكس باستخدام الأدوات مفتوحة المصدر
• [فيديو] الأذونات في نظام لينكس

واحدة من أهم مساهمات شركة أبل في جنو/لينكس كانت تبني CUPS داخل نظام MacOS X، هل سبق لك أن حاولت إعداد طابعة على توزيعة سطح المكتب جنو/لينكس في أواخر التسعينات أو قبل ذلك حتى؟

سابقًا كان الأمر ممكنا في حال كنت تعمل لدى منظمة لديها فريق دعم فني لإعدادها ويوجد العتاد المخصص لذلك أو حتى خادم خاص للطباعة، إذ كانت هناك العديد من المعايير والبروتوكولات المختلفة للتعامل مع الطابعات، وجزء صغير من الباعة الكبار (عادةً الذين يستخدمون يونكس) يقدمون دعمًا متخصصًا وبرامج تشغيل لجميع منتجاتها.

لكن إذا أراد أحد المهتمين بالمصادر مفتوحة اقتناء طابعة منزلية تعمل على توزيعة لينكس المفضلة لديه، كان لذلك قصة أخرى، فكان عليه أن يقضي الكثير من الوقت على المنتديات، أو مجموعات الأخبار، أو حتى على نظام دردشة IRC (هل تتذكر أسلاف شبكات التواصل والمحادثة تلك؟) وهو يسأل عن الطابعات التي يسهل تنصيب برامج التشغيل الخاصة بها على لينكس.

أُصدرت أول نسخة من نظام CUPS في عام 1999، من قبل شركة Easy Software Products، وهو اختصارًا لنظام الطباعة المشترك ليونكس Common Unix Printing System، تبنت النظام حينها معظم توزيعات لينكس الشهيرة وعينته كنظام الطباعة الافتراضي فيها. كان سبب النجاح الكبير لهذا النظام هو كونه معيارًا واحدًا قادر على التعامل مع عدة طابعات وبروتوكولات مختلفة .

لكن إذا لم تقم شركة الطابعة بتوفير محرك CUPS (برنامج تعريفي على نظام CUPS) لطابعتها، فسيكون من الصعب أو يستحيل جعلها تعمل، لكن بعض الأشخاص الأذكياء وظفوا الهندسة العكسية لحل تلك المشكلة. وكانت هناك بعض الطابعات تستطيع العمل مع هذا النظام مباشرةً، وهي تلك التي تدعم بوست سكربت PostScript وبروتوكول الطباعة عبر الانترنت Internet Printing Protocol (يختصر إلى IPP).

تبني آبل لنظام الطباعة CUPS

في بدايات الألفية الثانية كانت شركة أبل تعاني لبناء نظام طباعة جديد لنظامها الحديث Mac OS X فقررت آنذاك في شهر آذار عام 2002 توفير الوقت من خلال تبني CUPS داخل نظام تشغيلها الرئيسي.

لا أحد من شركات الطابعات تمكن من تجاهل الحصة السوقية لأجهزة شركة أبل، لذا أصبح الكثير من برامج تشغيل الطابعات الجديدة لأنظمة Mac OS X تدعم CUPS، مرورًا بمعظم الشركات ومنتجاتها، من تصميم بصري، وطباعة الصور.

أصبحت CUPS مهمة للغاية بالنسبة لآبل التي اشترت البرمجية من Easy Software Products عام 2007؛ ومنذ ذلك الحين وأبل مستمرة في دعم وتطوير ما أصبح ملكيتها الفكرية.

ما علاقة كل هذا بجنو/لينكس؟

في حين أن آبل ضمنت CUPS داخل نظام MacOS X، كان قد استخدم بشكل افتراضي في العديد من التوزيعات ومتاحًا لمعظم التوزيعات الأخرى. لكن القليل من برامج التشغيل المخصصة كانت متاحة، ما يعني أنهم لم يكونوا مصنفين ومحزّمين ك "مخصص لجنو/لينكس".

بمجرد أن أصبحت محركات CUPS متاحة داخل نظام MacOS X، انتشرت طريقة بين محبي جنو/لينكس وهي تنزيل ملفات المحركات واستخراج ملفات PPD منها، ثم تجربتها مع طابعتك.

هذا كان سحر CUPS: إن توفر محرك تشغيل، فهو غالبًا سيعمل على جميع أنظمة التشغيل التي تستخدم CUPS للطباعة، طالما أنه يستخدم بروتوكول مدعوم (مثل IPP). هكذا بدأت تتوفر برامج تشغيل الطابعات لجنو/لينكس.

انتشار دعم CUPS

أدرك بائعي الطابعات بعد ذلك كله أنه من السهل توفير برامج تشغيل لأنظمة جنو/لينكس بعد أن قاموا بتطويرها لدعم ماك. حاليًا من السهل إيجاد برنامج تشغيل لجنو/لينكس خاص بطابعة ما حتى الحديثة منها. بعض التوزيعات تتضمن حزم تحتوي على الكثير من برامج التشغيل، ومعظم العلامات التجارية تقدم برامج تشغيل مخصصة أحيانا عبر تقديمها داخل حزمة، وأحيانا أخرى مع ملف PPD في ملف مضغوط.

تطبيقات متقدمة للتحكم بالطابعة متوفرة أيضًا، بعضها رسمي، وبعضها غير رسمي، مما يجعل بالإمكان على سبيل المثال مراقبة مستويات الحبر أو تنظيف رؤوس الطباعة.

في بعض الحالات، يكون تثبيت طابعة على جنو/لينكس أسهل حتى من تثبيتها على أنظمة التشغيل الأخرى. خصوصًا مع التوزيعات التي تستخدم الشبكات بدون إعداد (مثل بونجور Bonjour، أفاهي Avahi) للاستكشاف التلقائي ومشاركة الطابعات عبر الشبكة.

حيل ونصائح

• تثبيت طابعة PDF: تثبيت طابعة PDF على جنو/لينكس سهل للغاية فقط ابحث عن حزمة cups-pdf على توزيعتك المفضلة وثبتها، إن لم تُنشئ الحزمة طابعة PDF تلقائيا، يمكنك إضافة واحدة من إعدادات النظام لتتمكن من طباعة ملفات PDF من خلال أي تطبيق.
• الوصول لواجهة الويب الخاصة بنظام CUPS: إذا كانت الواجهة الافتراضية لإدارة الطابعات لديك لا تعمل أو لا تعجبك، فاستخدم متصفح الويب واذهب إلى العنوان http://localhost:631/admin. بإمكانك إدارة كل الطابعات المنصبة على حاسوبك، ضبط الإعدادات الخاصة بهم، وحتى إضافة طابعة جديدة كل ذلك عبر واجهة الويب تلك. قد تكون الواجهة متاحة على الحواسيب الأخرى المتصلة بشبكتك المحلية في هذه الحالة فقط قم بتغيير اسم النطاق localhost باسم مضيف الآخر أو عنوان الآي بي IP الخاص به.
• التأكد من مستوى الحبر: إن كانت طابعتك من إحدى الأنواع التالية: Epson ،Canon ،HP، Sony. فبإمكانك رؤية مستوى الحبر عبر تطبيق بسيط. ابحث عن الحزمة ink في مستودعات حزمة نظام التشغيل لديك.
• المشاركة في تطوير CUPS: كحال العديد من المشاريع مفتوحة المصدر، CUPS يتم تطويره من خلال جيت هاب Github. قم بزيارة موقع CUPS وقسم المشاكل في GitHub لتتعرف على كيفية المساهمة في التطوير.

رخصة CUPS

في بادئ الأمر تم اصدار CUPS تحت رخصة GPLv2 فمن غير المؤكد لماذا لكن ربما لجعل توزيعها أسهل داخل جنو/لينكس أو ربما كان ذلك شائعا بين المشاريع مفتوحة المصدر في ذاك الوقت.

لاحقا في شهر نوفمبر عام 2017 قررت شركة أبل تغيير الرخصة إلى Apache 2.0. العديد من المراقبين علّق أن ذلك يتماشى مع استراتيجية الشركة لنقل الملكية الفكرية لمشاريعها مفتوحة المصدر إلى تراخيص تتماشى مع عمل الشركة في حين يمكن أن ينتج هذا التغيير في الرخصة مشاكل في تضمين CUPS داخل جنو/لينكس، لكنه ما زال متوفرًا في معظم التوزيعات.

في الختام

تم إصدار CUPS في عام 1999، علينا شكر جميع من ساهم في نجاح هذا المشروع مفتوح المصدر، من مبرمجيه الأوائل، لمطوري برامج التشغيل، وصولًا للعاملين على صيانته حاليًا.

في المرة القادمة التي تطبع فيها مستخدمًا نظام التشغيل جنو/لينكس المفضل لديك، تذكر أن تقول "شكرًا" لكل من عمل على لنظام CUPS.

شركة أبل غير مشهورة بمساهماتها في مجال البرامج مفتوحة المصدر، لكن إن أمعنت النظر (مثلا إلى إصدارات آبل المفتوحة المصدر والتطوير مفتوح المصدر)، فسوف تلاحظ كمّ المكونات مفتوحة المصدر في أنظمة تشغيل وبرامج آبل.

ترجمة -وبتصرف- للمقال Tips and tricks for using CUPS for printing with Linux لصاحبه Antoine Thomas.

 اقرأ أيضًا

• تعديل الصور والتلاعب بها عبر سطر الأوامر في لينكس
• التعرف على اختناقات الأداء في نظام لينكس باستخدام الأدوات مفتوحة المصدر
• [فيديو] الأذونات في نظام لينكس

سنشرح في هذا المقال كيفية استخدام الحزمة ImageMagick للتعديل على مقاس الصور وحجمها وحتى دمجها معًا والتعديل عليها كإضافة إطار، فالأداة ImageMagick هي أداة متعددة المهام تمكنك من التعديل على الصور عبر سطر الأوامر. في حين يمكنك استخدام برامج سطح المكتب العديدة للتعديل على الصور مثل GIMP أو GLIMPSE أو Photoshop، لكن أحيانًا يكون من الأسهل والأسرع الاستعانة بأحد أدوات حزمة ImageMagick، بالإضافة لكونها تدعم مجموعة متنوعة من صيغ الصور، من ضمنها صور JPG وPNG.

تثبيت ImageMagick على لينكس

يمكنك تثبيت ImageMagick في نظام التشغيل لينكس باستخدام مدير الحزم المتوفر لديك.

مثال، على التوزيعات المشابهة لفيدورا تنفذ الأمر:

$ sudo dnf install imagemagick

على التوزيعات المشابهة لديبيان يكون أمر التثبيت كالتالي:

$ sudo apt install imagemagick

أما على نظام ماك فاستخدم MacPorts أو Homebrew وعلى نظام ويندوز، استخدم Chocolatey.

تصميم شبكة من الصور

كثيرا ما أجد نفسي أعدل على الصور قبل نشرها، لنفرض أن لدي عدة صور للقطات شاشة وأريد نشرها على شكل شبكة من الصور، للقيام بذلك استخدم الأمر montage من حزمة ImageMagick.

الصيغة العامة للأمر montage هي كالتالي:

montage {input} {actions} {output}

في حالتي لدي صور لقطات الشاشة جميعها بنفس القياس: 320×240 بكسل، ولإنشاء شبكة مؤلفة من ستة صور صورتين عرضًا وثلاثة طولًا، يمكنني استخدام الأمر السابق كالتالي:

$ montage acronia.png \
ascii-table.png \
music.png \
programming-chess.png \
petra.png \
amb.png \
-tile 2x3 -geometry +1+1 \ 
screenshot-montage.png

سينتج صورةً واحدةً مؤلفةً من لقطات الشاشة الستة، مع إطار فاصل حول كل صورة بعرض واحد بكسل، بالحساب يتبيّن أن قياس الصورة الناتجة سيكون 644 بكسل عرضًا و726 بكسل طولًا.

لاحظ ترتيب الصور، إذ يقوم الأمر montage في ImageMagick بترتيب الصور من اليسار إلى اليمين ومن الأعلى إلى الأسفل.

في مثالي هذا، في الصف الأول من الصور ومن اليسار تظهر صورة اللعبة مفتوحة المصدر 2D shooter Acronia، وبجانبها صورة جدول محارف ASCII، وفي الصف الأوسط صورة مشغل موسيقى مفتوح المصدر وبجانبه صورة مثال برمجي للعبة شطرنج، وفي الصف الثالث والأخير تظهر صورة لعبة Post Apocalyptic Petra مفتوحة المصدر وبجانبها صورة FreeDOS AMB مساعد القراءة.

تعديل مقاس الصور

عادةً ما أقوم باستخدام ImageMagick على خادم الويب الخاص بي لتعديل قياس الصور، لنفرض مثلا أنّي أريد تضمين صورة لقططي على موقعي الالكتروني. الصورة التي التقطتها عبر كاميرا الهاتف حجمها كبير جدًا حوالي 4000×3000 بكسل بحجم 3.3 ميغابايت. هذا الحجم كبير جدًا بالنسبة لصفحة ويب. في هذه الحالة استخدم أداة التحويل convert من حزمة ImageMagick لتصغير قياس الصورة وبالتالي تقليل حجمها لأستطيع تضمينها ضمن صفحة الويب دون التأثير على سرعة تحميل الصفحة.

تحوي ImageMagick حزمة أدوات متكاملة أشهرها الأمر convert الصيغة العامة لاستخدامه هي كالتالي:

convert {input} {actions} {output}

لتعديل حجم صورة اسمها PXL_20210413_015045733.jpg إلى قياس أكثر ملائمة 500 بكسل عرضًا نستخدم الأمر كالتالي:

$ convert PXL_20210413_015045733.jpg -resize 500x sleeping-cats.jpg

الصورة الجديدة الناتجة أصبح حجمها 65 كيلو بايت فقط.

يمكنك تحديد كِلا البعدين لقياس الصورة الناتجة عبر تمرير قيمة العرض والطول إلى الخيار resize- لكن عند تحديد العرض فقط فإن ImageMagick ستقوم بحسابته وتحديد الطول تلقائيا للمحافظة على نسبة الطول إلى العرض وتضمن في هذه الحالة عدم تشوه الصورة.

أتمتة معالجة الصور في Bash

يمكن لنص برمجي (سكربت باش) يستخدم أدوات ImageMagick أن يجعل من تحضير الصور للنشر أمرًا سريعًا وسهلًا. لا يتعامل الكتّاب مع الكلمات فقط، إنما مع الصور أيضًا. من متطلبات الكتابة التقنية عرض الكثير من لقطات الشاشة لتوضيح العمليات والتقنيات المستخدمة. فقد تختلف متطلبات منصات النشر من حيث حجم وصيغة الصور المطلوبة.

باعتباري مستشار تقني ومهندس أنظمة، كتبت العديد من التوثيقات للعملاء، عادة بصيغة مايكروسوفت وورد (doc.) باعتبارها الصيغة المطلوبة. يمكن لأي مستند أن يزداد حجمه كلما تم إضافة المحتوى إليه خصوصًا إن كان بالمحتوى صور كثيرة. في الماضي أغلب لقطات الشاشة كانت بصيغة (bmp.)، والتي يمكن أن تكون بأحجام كبيرة جدًا، فمثلًا مستند لشرح طريقة تثبيت نظام تشغيل على الخادم سيكون حجمه كبيرًا جدًا.

تحسين الصور بتصغير حجمها مع الحفاظ على وضوح المحتوى وقابلية القراءة للنصوص في الصورة كان عملًا مرهقًا. كان يمكن تحويل ملفات Bitmap إلى jpeg ولاحقًا إلى png. استمرت الصعوبة في التعديل حتى عندما انتقلت لاحقًا من استخدام حزمة الأوفيس إلى LibreOffice. لحسن الحظ أغلب أدوات التقاط الشاشة تقوم بحفظ الصور بصيغ صغيرة الحجم مثل png.

موقع Openscource.com (وأغلب المواقع) يضع قيودًا معينة للصور في مقالاته حتى يجري تحسينها لمحركات البحث. قمت بتطوير طريقة سريعة بثلاث خطوات لتجهيز الصور لنشرها في مقالاتي. الخطوة الأولى هي التحضير لالتقاط الصور بذكاء، كأن أقوم بتغيير حجم النافذة أو تغيير نوع الخط أما الخطوتان الإضافيتان أصبحا مكررتين جدًا، وهما التأكد أن الصورة لن تزيد على 600 بكسل عرضًا وتطبيق إطار حول الصورة.

النص البرمجي prepimg.sh

قمت بكتابة نص البرمجي أو سكربت في Bash يدعى prepimg.sh لتولي تلك المهام، وهو يستخدم أداتين من حزمة ImageMagick.

الخطوة الأولى تعديل قياس الصورة

أداة التقاط الشاشة تحفظ الصور في المجلد Pictures باسم عام افتراضي مثال Screenshot-20210923222312.png. النص البرمجي prepimg.sh يتحقق من قياس عرض الملفات بالـبكسل في هذا المجلد ويقوم بتعديل قياس أي صورة تزيد عن الحد المسموح. هذه الخطوة تستخدم البرنامج identify من حزمة ImageMagick لتحديد عرض الصورة (w%).

$ identify -format %w Screenshot-20210903202655.png
1217

تم إسناد قيمة عرض الصورة إلى المتغير w لمقارنته بالحد الأعلى المسموح 600 بكسل. بالإمكان تعديل هذا الحد عبر المتغير MAXWIDTH$ فإذا تجاوز العرض قيمة MAXWIDTH، فعندها يتم استدعاء برنامج آخر من حزمة ImageMagick يدعى convert يقوم بتصغير عرض الصورة. التالي تابع من النص البرمجي الذي يقوم بمعالجة الصورة:

   if [ "$W" -gt "$MAXWIDTH" ]
     then
         [[ $VERBOSE -gt 0 ]] && echo "${1} is ${W} - reducing"
         convert -resize "${MAXWIDTH}" \
                 "${SCREENSHOTS}"/"${1}" \
                 "${READY}"/"${1}"

     ...

يتم تصغير حجم الصورة كما ينبغي و حفظها في مختلف محدد باستخدام المتغير READY$. في حالة استخدامي يتم تغيير مقاس الصورة لتصبح 598 بكسل أي أصغر قليلا من الحد المسموح به وذلك لترك مسافة لإضافة للإطار لاحقا.

الخطوة الثانية إضافة إطار للصورة

أحيانًا قد تبدو الصورة وكأنها مدمجة مع خلفية صفحة الويب. هذا بسبب أن الألوان الواقعة على أطراف الصورة تكون مماثلة لألوان خلفية الصفحة. التالي مثال على ذلك:

صورة بدون إطار

كما نلاحظ في الصورة العليا، من المستحيل تحديد أين تقع حدود الصورة. هذه المشكلة غير محصورة باللون الأبيض فحسب بل تعتمد على لون خلفية الصورة ولون خلفية صفحة الويب للموقع فإذا كانت خلفية الموقع باللون الأحمر وحدود الصورة أيضًا حمراء، ستظهر نفس المشكلة، لذلك كتبت أمرًا يعالج هذه المشكلة باستخدام الأداة convert وهو الأمر التالي:

convert -bordercolor black -border 1 Screenshot-20210903202655.png

الخيار border- يضيف إطار لكل صورة بمقدار 1 بكسل. يكفي تمرير هذا الخيار لإضافة الإطار، لكنني أريد تحديد لون الإطار أيضا لذا سأستخدم الخيار bordercolor-

الصورة التالية هي نفس الصورة لكن بعد إضافة الإطار، ألا تبدو أوضح الآن؟

الصورة بعد إضافة الإطار

الخطوة الثالثة تجهيز كل الصور

قمت باستخدام حلقة for للمرور على صور لقطات الشاشة في المجلد الخاص بها، وأقوم باستدعاء التابع process_img لكل ملف، إذ يتولى التابع تعديل عرض الصورة وإضافة الإطار وأيضا يقوم بالتحقق فيما إذا كان الملف الذي يتعامل معه حاليا هو ملف صورة.

process_img() {
     # verify that file is an image file, and then get dimensions
     if file "${SCREENSHOTS}"/"${1}" | grep -qE 'image|bitmap'; then
         [[ $VERBOSE -gt 0 ]] && echo "${1} is an image"
         W=$(identify -format %w "${SCREENSHOTS}"/"${1}")
     else
         echo "File ${SCREENSHOTS}/${1} is not an image."
         W=0
     fi

     # resize and border
     if [ "$W" -gt "$MAXWIDTH" ]
     then
         [[ $VERBOSE -gt 0 ]] && echo "${1} is ${W} - reducing"
         convert -resize "${MAXWIDTH}" \
                 -bordercolor $BORDER \
                 -border 1 \
                 "${SCREENSHOTS}"/"${1}" \
                 "${READY}"/"${1}"
     else
         convert -bordercolor $BORDER \
                 -border 1 \
                 "${SCREENSHOTS}"/"${1}" \
                 "${READY}"/"${1}"
     fi
 }

الخطوة الأخيرة للنص البرمجي هي حفظ ملف الصورة المُعالَج في مجلد فرعي اسمه Ready، والمحدد من قبل المتحول المسمى READY$ وهذه الخطوة تضمن الإبقاء على ملف الصورة الأصلي للاستخدام لاحقًا.

الخطوة الرابعة تجهيز البرنامج

الملف Prepimg.sh يتضمن أيضا شرحًا للخيارات التي يمكن استخدامها معه:

$ prepimg.sh -h
prepimg.sh Version 0.7 - written by Alan Formy-Duval
prepimg.sh [OPTIONS]
--verbose, -v Be verbose
--directory, -d Screenshot directory (default: /home/alan/Pictures/Screenshots)
--ready, -r Ready directory (default: /home/alan/Pictures/Screenshots/Ready)
--border, -b Border color (default: black)

الشفرة المبينة في هذا المقال غير كاملة ويجب اعتبارها شيفرة وهمية. تستطيع مراجعة النص البرمجي كاملًا في مستودع prepimg في GitHub.

إن كنت تفضل البرمجة النصية باستخدام Bash أو البرمجة بلغات أخرى مثل C أو Python، فالأتمتة ستساعدك بشكل كبير. مرّة تلو الأخرى، أدرك كيف لشيفرة صغيرة أن تخفف من المشاكل مما يسمح لنا الاستفادة من الوقت بشكل أفضل.

ننصحك بالرجوع إلى التوثيق العربي للغة Bash أو لغة على موسوعة حسوب لتعلمها وكتابة سكربتات احترافية فيها لأتمتة المهام.

ختاما

ImageMagick هي حزمة من الأدوات المفيدة جدًا للتعديل على الصور، بإمكانك الاستفادة من استخدامها في إجراء العديد من العمليات على الصور من تعديل وتصميم. أيضا ستوفر عليك الكثير من الوقت في حال استخدمت أدواتها في أتمتة المهام المتكررة الخاصة بتنسيق الصور وتعديل قياسها وحجمها.

ترجمة -وبتصرّف- للمقالات:

• Create a photo collage from the Linux command line
• Resize an image from the Linux terminal
• Automate image processing with this Bash script

لصاحبه Jim Hall.

اقرأ أيضًا

• 4 أدوات مفتوحة المصدر من أجل مراقبة نظام لينكس
• التعرف على اختناقات الأداء في نظام لينكس باستخدام الأدوات مفتوحة المصدر
• [فيديو] الأذونات في نظام لينكس

لقد اقتضى التعرّف على مشكلة اختناق العتاد hardware bottlenecks، ضرورة امتلاك خبرات عالية في العديد من المجالات التقنية، وقد أصبح من السهل مؤخرًا كشف هذه المشاكل باستخدام أدوات مراقبة الأداء مفتوحة المصدر ذات الواجهات الرسومية التي تسمح لأي مستخدم بتشخيص المشكلة التي يعاني منها، دون شراء أدوات مكلفة، ودون الحاجة إلى تعلّم الأوامر المعقدة.

تُعَد الحواسيب أنظمةً متكاملةً تقدم أداءً بسرعة تتناسب مع أبطأ المكونات العتادية الموجودة فيها، فعندما تكون إحدى المكونات أقلّ قدرةً من المكونات الأخرى، فإنه حتمًا سيسبب تأخير عمل كامل النظام. ويُعرف ما سبق باسم "اختناق الأداء"، حيث تتيح إزالة الاختناقات الحادة إمكانية تحسين أداء النظام، بحيث يشعر المستخدم بأنّ الحاسب يعمل بسرعة عالية.

ستشرح هذه المقالة كيفية التعرف على الاختناقات الخاصة بالعتاد في أنظمة لينكس، حيث تنطبق التقنيات المذكورة على كل من الحواسب الشخصية والمخدّمات، حيث ستركز المقالة على الحواسب الشخصية ولن تتضمن اختناقات خاصة بالخوادم مثل تلك الناتجة عن إدارة الشبكة المحلية LAN، أو أنظمة قواعد البيانات التي تحتاج عادةً أدوات خاصة لكشف الاختناق. ستتضمن المقالة أيضًا تعريفًا بمشكلة اختناق الأداء، كما ستتناول بعضًا من الأدوات التي يمكن استخدامها في كشف حدوث الاختناقات، إلى جانب تقديمها لبعض الإرشادات لكشف الاختناق أينما حدث ضمن الحاسوب، ومحاولة حل المشاكل المرتبطة به.

ستركز هذه المقالة تحديدًا على الأدوات مفتوحة المصدر ذات الواجهات الرسومية لكشف ومعالجة مشاكل الاختناقات المختلفة، حيث نجد أن معظم المقالات حول اختناقات الأداء في نظام لينكس تكون معقدة، نظرًا لاستخدام هذه المقالات لأوامر مخصصة، تحتاج إلى مختصين إلى استخدامها؛ إلا أنّ المشاكل الأكثر شيوعًا تُكشف ببساطة من قِبل المستخدم دون الحاجة إلى مثل هذا التعقيد.

تجعل الأدوات ذات الواجهات الرسومية التي تتيحها منصة Open Source لكشف اختناق الأداء أمرًا بسيطًا، فالهدف من هذه المقالة أن تقدّم للقارئ مقاربةً بسيطةً يمكن استخدامها في أية حالة تواجه المستخدم.

من أين نبدأ

يتألف الحاسوب من ستة موارد عتادية أساسية وهي:

• المعالجات
• الذاكرة
• التخزين
• منافذ اتصال USB
• الاتصال بالانترنت
• المعالج الرسومي

يمكن لأيٍ من الموارد السابقة في حال أصبح أداؤه سيئًا، أن يسبب اختناقًا في الأداء، ويجب عند تشخيص الاختناق أن نراقب الموارد الستة سابقة الذكر.

توجد العديد من الأدوات مفتوحة المصدر التي يمكن استخدامها لمراقبة الموارد المختلفة في الحاسوب، حيث سنستخدم أداة GNOME System Monitor لأن مخرجاتها سهلة الفهم. ويمكن الحصول على هذه الأداة بسهولة من مستودعات توزيعات لينكس، حيث سيكون علينا فقط تشغيل الأداة ومن ثم نضغط على تبويب الموارد Resources، ويمكن التعرف على العديد من مشاكل الأداء مباشرةً.

الشكل 1: تكتشف الأداة System Monitor العديد من المشاكل.

تُظهر لوحة Resources ثلاثة أقسام رئيسية هي تاريخ وحدة المعالجة المركزية CPU History، وتاريخ الذاكرة والذاكرة المبدلة Memory and Swap History، وتاريخ الشبكة Network History، حيث يمكن بمجرد إلقاء نظرة سريعة أن نلاحظ إذا كانت المعالجات غارقةً في العمل، أو إذا كان الحاسب قد نفّذ من الذاكرة، أو أنه يستهلك كامل عرض المجال الخاص بالانترنت

يجب تفقد هذه الأداة عند الشعور بأن أداء الحاسب قد أصبح سيئًا لأنها تبين بسهولة بعض الأدلة على مشاكل الأداء الأكثر شيوعًا.

التعرف على اختناقات المعالج

يجب أن نتعرف على العتاد المتاح لدينا عند تشخيص الاختناق، حيث تتوفر العديد من الأدوات للتعرف على مواصفات الحاسوب المستخدم وتفاصيل العتاد الكاملة، وتُعَد الأداة HardInfo من أفضل الأدوات، وذلك لأنها شائعة وتمتلك واجهات رسومية سهلة القراءة.

بعد تشغيل الأداة HardInfo يحصل اختيار التبويب Computer -‏> Summary، فتظهر لوحة تتضمن معلومات وحدة المعالجة المركزية مثل عدد الأنوية cores والنياسب أو الخيوط threads، والسرعات speeds، كما أنها تتضمن معلومات عن اللوحة الأم وبقية مكونات الحاسب.

الشكل 2: تُظهر واجهة أداة HardInfo التفاصيل عن العتاد المتوفر في الجهاز.

تبيّن الأداة HardInfo أن الحاسب المستخدم في المثال يمتلك وحدة معالجة مركزية فيزيائية واحدة، والتي تتضمن معالجين أو نواتين. حيث تدعم كل نواة استخدام خيطين أو ما يعرف بالمعالجات المنطقية، مما يجعل العدد الكلي المتاح أربع معالجات منطقية، وهذا بالضبط ما أظهره الجزء الخاص بتاريخ المعالج من أداة System Monitor في الشكل 1.

يحدث اختناق المعالج عندما يعجز المعالج عن تلبية الطلبات الواردة، إليه لأنه يكون بحالة انشغال كامل.

يمكن التعرف على هذه الحالة عندما تُظهِر أداة System Monitor أن استخدام المعالج المنطقي تجاوز 80% أو 90% لفترة زمنية مستمرة. حيث نجد في المثال التالي أن ثلاثة من المعالجات المنطقية الأربعة قد استُهلِكت استهلاكًا كاملًا، وهذا ما يُعَد اختناقًا لأنقدرة وحدة المعالجة المركزية المتاحة لم تعد كافيةً لتنفيذ أي من الأعمال الأخرى في حال ورودها.

الشكل 3: اختناق في عمل المعالج

معرفة أي تطبيق هو سبب المشكلة؟

يجب أن نعرف أي تطبيق أو مجموعة التطبيقات التي تستهلك وحدة المعالجة المركزية، حيث يمكن أن نشاهد العمليات مرتّبةً وفقًا إلى نسبة استهلاكها لوحدة المعالجة المركزية عند الضغط على تبويب Processes في أداة System Monitor ومن ثم بالضغط على ترويسة ‎% CPU، كما يمكن عندها معرفة أي من التطبيقات يخنق النظام.

الشكل 4: التعرف على العمليات المسيئة.

تستهلك كل من العمليات الثلاثة الأولى نسبة 24% من موارد وحدة المعالجة المركزية الإجمالي، حيث نلاحظ وجود أربعة معالجات منطقية في النظام، مما يعني أنّ كل عملية تستهلك معالجًا كاملًا كما يُظهر الشكل 3.

تبيّن لوحة العمليات Processes أنّ برنامجًا اسمه analytical_AI هو سبب المشكلة، حيث يمكن الضغط بالزر اليميني عليه ضمن اللوحة لنجد المزيد من التفاصيل حول استهلاكه لموارد الحاسوب، متضمنةً نسبة استهلاك الذاكرة وعدد الملفات المفتوحة وتفاصيل عمليات الإدخال والإخراج، والمزيد من التفاصيل الأخرى.

يمكن في حال كان المستخدم يتمتع بصلاحيات المدير Administrator إدارة هذه العملية، إذ يمكن تغيير أولويتها وإيقافها، أو إعادتها للعمل، أو إنهائها أو قتلها، مما يؤدي إلى حل مشكلة الاختناق مباشرةً.

الشكل 5: الضغط بالزر اليميني على العملية لإدارتها.

كيف يمكن أن نحل مشاكل اختناق المعالجة؟ يمكن في البدائة إدارة العملية التي تكون سبب المشكلة فور حدوثها، حيث يمكن منع الاختناق من الحدوث باستبدال هذا التطبيق بآخر، أو من خلال محاولة تجنب استخدامه أو تغيير سلوك المستخدم عند استخدام هذا التطبيق، إضافةً إلى إمكانية جدولة التطبيق في ساعات عدم استخدام الحاسب من قِبل المستخدم.

يمكن أن تُعالَج مشكلة مخفية في الذاكرة الرئيسية والتي يكون لها تأثير مباشر على عمل وحدة المعالجة المركزية، كما يمكن العمل على إجراء تحسينات في أداء التطبيق أو النظام البرمجي، أو قد تحتاج إلى ترقية العتاد آنذاك لأنه لم يَعُد كافيًا بالنسبة للتطبيقات التي تشغلّها.

اختناقات المعالج الشائعة

يمكن أن نصادف العديد من الاختناقات الشائعة عند مراقبة وحدات المعالجة المركزية باستخدام أداة System Monitor، حيث يمكن في بعض الأحيان حدوث حالة اختناق في أداء أحد المعالجات المنطقية، بينما تكون المعالجات المتبقية ذات مستوى استخدام منخفض، وذلك يعني أنّ أحد التطبيقات المستخدمة لم يُطوّر بذكاء بحيث يستفيد من ميزة وجود أكثر من معالج منطقي في الحاسوب، مما سبب الوصول إلى أقصى أداء ممكن على المعالج المستخدم. ولكن من وجهة نظر مختلفة، نجد أنّ المعالجات المتبقية حرة ومتاحة لتنفيذ أي من الأعمال الأخرى، أي أنّه لم تُشَغَّل كامل موارد الحاسب بما يعيق تنفيذ أعمال جديدة.

يمكن أن نجد معالجًا منطقيًا عالقًا دائمًا بنسبة استخدام 100، وقد يعني ذلك أنه إما مشغول جدًا أو أنه توجد عملية ما قد أصبحت بحالة جمود، كما يمكن أن نتأكد بأن العملية قد أصبحت جامدةً عندما لا تمارس العملية أي نشاط متعلق بـ قرص التخزين (مثلما ستُظهِر لوحة العمليات Processes في أداة System Monitor).

وفي الختام يمكن ملاحظة أنه عندما تصبح جميع المعالجات المنطقية في حالة اختناق، فإن الذاكرة تصبح مستخدمةً كليًا أيضًا. يمكن أن تسبب حالات نفاد الذاكرة Out-of-memory اختناقات في المعالج، وفي هذه الحالة يجب العمل على حل مشاكل الذاكرة المخفية والابتعاد عن التركيز الكثيف على حل مشكلة المعالج، والتي تُعَد عارضًا من أعراض المشكلة الحقيقية.

التعرف على اختناقات الذاكرة

تمتلك الحواسب الشخصية الحديثة اليوم كميةً وافرةً من الذاكرة، لذا نجد أن اختناقات الذاكرة قد أصبحت أقل شيوعًا موازنةً بالسنين الماضية، ومع ذلك يمكن أن نصادف هذه المشكلة عند تشغيل برامج ذات استهلاك ذاكرة كثيف، وخصوصًا إذا لم يكن الحاسب يمتلك حجمًا كافيًا من الذاكرة العشوائية RAM.

يستخدم نظام لينكس الذاكرة من أجل البرامج ومن أجل تخبئة المعطيات المخزّنة على القرص، حيث تفيد الثانية في تسريع الوصول إلى المعطيات الموجودة على القرص، ويمكن لنظام لينكس أن يقرأ المعطيات الذي خزنها على جزء القرص الصلب المستخدم كذاكرة في أي وقت، وتقديم هذه المعطيات للبرامج التي تحتاجها.

تُظهر لوحة الموارد Resources ضمن أداة System Monitor؛ إجمالي الذاكرة والكمية المستخدمة منها، ويمكن في لوحة العمليات Processes مشاهدة استخدام الذاكرة لكل عملية على حدى.

يظهر الشكل الجزء من لوحة الموارد Resources ضمن أداة System Monitor التي تتعقب تراكم استخدام الذاكرة.

الشكل 6: اختناق الذاكرة.

نلاحظ إلى يمين الذاكرة وجود جزء التبادل، وهو مساحة القرص التي يستخدمها نظام لينكس عندما تصبح نسبة الذاكرة المتاحة منخفضة، حيث تُكتَب محتويات الذاكرة إلى القرص من أجل متابعة العمليات، مما يحقق استخدام جزء التبادل مثل توسعة بطيئة بعض الشيء لذاكرة الوصول العشوائي.

يمكن أن نبحث بصورة رئيسية عن مشكلتين في أداء الذاكرة وهي:

1. تظهر الذاكرة وكأنها مستخدمة كثيرًا، ويمكن مشاهدة نشاط متكرر أو متزايد على جزء التبادل.
2. أصبح كل من جزئي الذاكرة والتبادل مستخدمين كليًا.

تشير الحالة الأولى إلى وجود بطء في الأداء لأن جزء التبادل أبطأ من الذاكرة، وذلك نظرًا لتواجده على القرص الصلب. ويمكن أن يتعايش بعض المستخدمين مع مستوى الأداء بحيث لا يَعُدونه بطيئًا.

تُعَد مسألة اختيار حجم التبادل أمرًا هامًا، حيث يرتبط تحديده بخيارات المستخدم، لذا فعليه أن يقرر على سبيل المثال معدل نشاط جزء التبادل وسرعته والتوقعات منه وغيرها من القضايا التي تؤثر إجمالًا على أداء الحاسب، إذ يرتبط تحديد حجم جزء التبادل المستخدم بحجم الذاكرة الإجمالي الموجود وعادةً لا يتجاوز نسبة 20% من إجمالي الذاكرة.

أما الحالة الثانية التي تحدث عندما تكون كلٍ من الذاكرة وجزء التبادل، فهما مُستخدمان كليًا فهي حالة اختناق الذاكرة، أين يبدو الحاسب وكأنه لا يستجيب، ومن الممكن أن يصل إلى حالة تجمد thrashing والتي لا يكون فيها الحاسب قادرًا على تنفيذ الكثير من العمليات إضافةً إلى عمليات إدارة الذاكرة.

يظهر الشكل 6 أعلاه حاسوبًا قديمًا يمتلك ذاكرة نفاذ عشوائي ذات حجم 2 غيغابايت، وبما أنّ استهلاك الذاكرة تجاوز 80%، فقد بدأ النظام بالكتابة في جزء التبادل، وهو ما سبب انحسارًا في مدى استجابة الحاسب. تُظهر هذه الصورة بأن استهلاك الذاكرة قد تجاوز 90% وأن الحاسب قد دخل في حالة الجمود.

يُعَد الحل النهائي لمشاكل الذاكرة، إما باستخدام ذاكرة أقل إن أمكن ذلك عبر إغلاق التطبيقات غير المستخدمة ومعرفة التطبيقات التي تعمل باستمرار في الخلفيّة مع إيقاف التطبيقات غير الضرورية منها، أو وبدراسة مواصفات الحاسوب ومعرفة حجم الذاكرة الأعظمي المسموح به، حيث يمكن استبدال الذواكر الموجودة ضمن الجهاز بأكبر منها أو توسعة الذاكرة الإجمالية عبر إضافة ذواكر إضافية بشرط دراسة التوافق بين الذواكر الجديدة والقديمة.

التعرف على اختناقات التخزين

توجد اليوم العديد من الأشكال لوسائط التخزين فبعض منها يكون أقراص HDD أو أقراص SSD. يمكن أن تكون واجهات الربط مع هذه الأقراص منافذ PCIe وSATA وThunderbolt وUSB.مهما كان نوع وسيط التخزين الذي تمتلكه فيمكن اتباع نفس الإجرائية للتعرف على اختناقات الأقراص.

نقوم بتشغيل أداة System Monitor ثم من لوحة العمليات Processes نراقب معدلات الإدخال والإخراج من أجل العمليات بشكل إفرادي مما يتيح التعرف على العمليات التي تقوم بمعظم عمليات الإدخال والإخراج من وإلى القرص.

لا تُظهر هذه الأداة معدل النقل التراكمي للقرص، لذا يجب مراقبة الاستهلاك الإجمالي على أحد الأقراص لكشف حدوث اختناق في التخزين، ويمكن تحقيق ذلك باستخدام الأمر atop، وهو متاح في معظم منصات تنزيل البرمجيات.

يمكن أن نكتب الأمر atop ضمن موجه الأوامر، حيث يُظهر الخرج أدناه بأن الجهاز sdb مشغول بنسبة 101%، ويعني ذلك بوضوح أنّه قد وصل الجهاز إلى حد استخدامه الأعظمي وأنه يُقيِّد سرعة النظام على تنفيذ الأعمال.

الشكل 7: يتعرف الأمر atop على اختناق القرص.

يمكن أن نلاحظ أن أحد المعالجات ينتظر القرص الصلب بنسبة 85% من وقته لكي يؤدي مهامه، ويحدث ذلك عندما يصبح جهاز التخزين بحالة اختناق. عمليًا، سيراقب العديد من المستخدمين حدوث انتظار المعالج لوحدات الإدخال والإخراج لكشف حدوث اختناقات التخزين، حيث يمكن استخدام الأمر atop لكشف حدوث اختناق القرص الصلب بسهولة، ومن ثم يمكن استخدام لوحة العمليات Processes من أداة System Monitor للتعرف على العمليات الإفرادية التي تسبب مشكلة الاختناق.

كيفية التعرف على اختناقات منفذ USB

يستخدِم العديد من الناس منافذ USB باستمرار طوال اليوم، ومع ذلك لا يتأكدون مما إذا كان استخدام هذه المنافذ مثاليًا، وذلك مهما كان نوع الجهاز الذي توصله عبر منفذ USB، لهذا يجب التأكد من الحصول على أفضل أداء ممكن من هذه الجهاز.

الشكل 8: تتفاوت سرعة منافذ USB كثيرًا (Howard Fosdick, بناءً على شكل قدمه Tripplite و Wikipedia, منشورة برخصة CC BY-SA 4.0).

يظهر التبويب USB Devices ضمن أداة HardInfo المعايير الخاصة بمنافذ USB التي يدعمها الحاسوب، حيث تتيح معظم الحواسيب إمكانية استخدام منافذ USB بسرعات مختلفة، كما يمكن أن نعرف السرعة لأحد منافذ الـ USB بالاعتماد على لون المنفذ. يمكن أيضًا معرفة سرعة المنفذ الموجود في الحاسب عن طريق موازنة لونه مع الألوان المستخدمة في الشكل السابق، كما يمكن العودة إلى الدليل الورقي أو الإلكتروني المُرفق بالحاسب الشخصي، والذي يتضمن عدد المنافذ الموجودة على الحاسب وسرعة كل منها.

إذا أردنا مشاهدة السرعات الحقيقية التي نحصل عليها، فيمكننا اختبارها باستخدام الأداة GNOME Disks مفتوحة المصدر، حيث سنشغّل الأداة ومن ثم اختيار Benchmark Disk، وعند تشغيل عملية الاختبار، ستظهر السرعة الحقيقية الأعظمية التي يمكن الحصول عليها من أحد المنافذ الذي أوصِل إليه جهاز ما.

يمكن أن نحصل على سرعات نقل متفاوتة من أجل أحد المنافذ، وذلك تبعًا لنوع الجهاز الموصول بالمنفذ، حيث يعتمد تحديد معدل المعطيات على تشكيلة مكونة من المنفذ والجهاز الموصول به. فعلى سبيل المثال، عند وصل جهاز ما يمكن أن يعمل بسرعة 3.1 وقد وُصل بمنفذ ذي سرعة 2.0، فإن الجهاز سيعمل بسرعة 2.0 دون مشاكل ولن يظهر أي إنذار بأن الجهاز يعمل بسرعة أقل من سرعته الأعظمية؛ بينما إذا وُصِل جهاز يعمل بسرعة 2.0 إلى منفذ 3.1، فسيعمل ولكن بسرعة 2.0. لذا فمن أجل الحصول على عمل USB سريع، يجب أن نضمن أن كلًا من المنفذ والجهاز يدعمان السرعة. وتوفر الأداة GNOME Disks الوسائل اللازمة للتحقق من ذلك.

إذا أردنا كشف حدوث اختناقات خاصة بمنافذ USB، فيمكن استخدام نفس الإجراء الذي نفذناه عند التعامل مع أقراص الحالة الصلبة والأقراص الصلبة، حيث نشغّل الأمر atop لكشف وجود اختناق خاص بوسيط التخزين الموصول عن طريق USB، ومن ثم نستخدم برنامج System Monitor من أجل الحصول على تفاصيل فيما يخص العملية التي سببت المشكلة.

كيفية التعرف على اختناقات اتصال الإنترنت

تُظهر لوحة الموارد Resources ضمن أداة System Monitor، سرعة الاتصال بالإنترنت في الزمن الحقيقي كما هو ظاهر في الشكل 1.

توجد العديد من الأدوات المبنية بلغة بايثون لاختبار سرعة الانترنت الأعظمية، ولكن يمكننا اختبار السرعة باستخدام المواقع على الانترنت مثل Speedtest وFast.com وSpeakeasy، حيث يجب علينا إغلاق كل شيء وتشغيل عملية اختبار السرعة فقط، وذلك للحصول على أفضل نتيجة ممكنة، إضافةً إلى إطفاء اتصال VPN وتشغيل الاختبارات في أوقات متفرقة من اليوم، وموازنة النتائج من عدة مواقع اختبار سرعة.

يمكن عندها موازنة النتائج لديك مع سرعة التنزيل والرفع، والتي يدعي مزود الخدمة تقديمها لك، وبهذا الشكل يمكن التأكد من أن مزود خدمة الإنترنت يقدم السرعة الحقيقية التي ادّعى توفيرها للمستخدم.

يمكن في حال وجود موجه Router مستقل أن يتم الاختبار بوجوده وبغيابه، وبهذا يمكن أن نحكم فيما إذا كان الموجه يمثل نقطة الاختناق أم لا. وفي حال وجود خدمات اللاسلكي WiFi، فيجب أن يَجري الاختبار بوجودها وبغيابها، أي بوصل الكابل مباشرةً بين الجهاز المحمول وجهاز المودم)، ففي الحقيقة توجد عدة حالات اشتكى فيها المستخدمون من مزود الخدمة الخاص بهم علمًا أنّ مشكلتهم الحقيقية كانت الاختناق في خدمات الاتصال اللاسلكي والذي كان بإمكانهم حلها بأنفسهم، ففي حال كان أحد البرامج يستهلك كامل اتصال الانترنت، فيجب معرفته باستخدام الأمر nethogs، وهو متاح لدى أغلب منصات تنزيل البرمجيات.

لقد أظهرت أداة System Monitor في أحد الأيام فجأةً وجود استهلاك إنترنت مفاجئ، وعند كتابة الأمر nethogs في موجه الأوامر، حدث التعرف فورًا على سبب استهلاك عرض المجال بأنه عملية تحديث لمضاد الفايروسات Clamav

الشكل 9: تتعرف الأداة Nethogs على البرامج التي تستهلك عرض المجال.

التعرف على اختناقات معالج الرسوم

يجب معرفة نوع معالج الرسوم الموجود في الحاسب، فإذا كان يحدث توصيل الشاشة إلى اللوحة الأم من الخلف في الحاسب الشخصي، فهذا يدل على وجود معالج رسومي مدمج؛ أما إذا كان توصيل الشاشة إلى اللوحة الأم عن طريق بطاقة إضافية تُركّب على اللوحة الأم، فهذا يعني وجود نظام فرعي مستقل لمعالجة الرسوم، والتي تُعرف بإسم بطاقة الفيديو Video Card، أو بطاقة الرسوميات Graphics Card. تكون البطاقات هذه أكثر قوةً وكلفةً من المعالجات الرسومية المدمجة باللوحة الأم، علمًا أن الحواسيب المحمولة تستخدم المعالجات الرسومية المدمجة دومًا ولا يمكن إضافة بطاقة رسومية إليها.

تُظهر لوحة PCI Devices ضمن أداة HardInfo، معلومات حول وحدة معالجة الرسوميات لديك، كما يمكن أن تُظهر كمية الذاكرة المخصصة للفيديو (عن طريق البحث عن الذاكرة المعنونة باسم قابلة للجلب المسبق Prefetchable).

الشكل 10: توفر الأداة HardInfo معلومات عن المعالجة الرسومية.

تعمل وِحدتَي المعالجة المركزية و معالجة الرسوميات بتكامل، حيث يمكن ببساطة أن نقول أن وحدة المعالجة المركزية تحضر الإطارات Frames لوحدة معالجة الرسوميات لتُظهِرها، ويحدث الاختناق في معالج الرسوم عندما تنتظر وحدة المعالجة المركزية العمل من وحدة معالجة الرسوميات، والتي تكون مشغولةً كليًا، حيث يمكن كشف ذلك عن طريق مراقبة معدلات استخدام كلا الوحدتين، إذ تتيح الأدوات مفتوحة المصدر Conky وGlances ذلك بسهولة.

فيما يلي مثال تم الحصول عليه باستخدام الأداة Conky، ويمكن ملاحظة أن النظام يمتلك كميةً وافرةً من قدرة المعالجة في وحدة المعالجة المركزية؛ أما وحدة معالجات الرسوميات، فهي مستهلكة بنسبة 25%، فلو تخيلنا أنّ هذا الرقم قارب الـ 100%، فعندها نعلم أنّ وحدة المعالجة المركزية تنتظر وحدة معالجة الرسوميات، وأنه توجد حالة اختناق في وحدة معالجة الرسوميات.

الشكل 11: تظهر أداة Conky استخدام وحدة المعالجة المركزية ووحدة معالجة الرسوميات (صورة مقتبسة من منتدى AskUbuntu).

يمكن في بعض الحواسيب أن نضطر إلى استخدام أدوات مصنّعة خصيصًا من قِبل الشركة المصنعة لبطاقة الفيديو، وتتوفر هذه الأدوات للتنزيل من موقع GitHub.

الخلاصة

تتألف الحواسيب من مجموعة من الموارد العتادية المتكاملة، حيث يمكن أن تسبب أي منها في حال تأخرها عن تنفيذ الأعمال المسندة إليها؛ اختناقًا في الأداء قد يُسبب بطء أداء النظام كاملًا، لهذا يجب أن نكون قادرين على التعرف على الاختناقات وتصحيحها للحصول على الأداء المثالي.

اقتضى التعرّف على مشكلة اختناق العتاد hardware bottlenecks امتلاك خبرات عالية في العديد من المجالات التقنية، وحديثًا أصبح من السهل كشف هذه المشاكل باستخدام أدوات مراقبة الأداء مفتوحة المصدر ذات الواجهات الرسومية التي تسمح لأي مستخدم بتشخيص المشكلة التي يعاني منها، دون شراء أدوات مكلفة، ودون الحاجة إلى تعلّم الأوامر المعقدة.

جميع الصورة منشورة برخصة CC BY-SA 4.0 لصاحبها Howard Fosdick إلا إن ذكر خلاف ذلك.

ترجمة -وبتصرف- للمقال Identify Linux performance bottlenecks using open source tools لصاحبه Howard Fosdick.

اقرأ أيضًا

• 4 أدوات مفتوحة المصدر من أجل مراقبة نظام لينكس
• ما هو نظام التشغيل لينكس؟
• دليل المستخدم للروابط في نظام ملفات لينكس
• عشرون أمرا في لينكس يفترض أن يعرفها كل مدير نظم
• 4 أدوات مفتوحة المصدر من أجل مراقبة نظام لينكس

يُعَد امتلاك المعلومات المناسبة هو الخطوة الأولى لحل أي مشكلة حاسوبية، سواءً كانت هذه المشكلة مرتبطةً بنظام التشغيل لينكس أو بالعتاد الذي يشغّله النظام. توجد العديد من الأدوات المتاحة منها ما يكون مضمّنًا في معظم توزيعات لينكس، ومنها لا يكون مثبّتًا افتراضيًا، ويجب على المستخدم أن يثبتها في حال رغبته باستخدام الأداة. تقدّم هذه الأدوات الكثير من المعلومات المفيدة في تشخيص المشاكل الخاصة بالحاسوب.

تناقش هذه المقالة بعض الأدوات التفاعلية التي تعمل بالأوامر CLI، والتي يمكن تثبيتها بسهولة على توزيعات لينكس ريد هات Red Hat وفيدورا Fedora وسينتوس CentOs وكل التوزيعات المشتقّة منها، حيث تتوفر العديد من الأدوات ذات الواجهات الرسومية التي يمكن استخدامها لنفس الغرض إلا أنها لا تكون قابلةً للاستخدام في جميع الأحيان، نظرًا لعدم امتلاك بعض الخوادم القدرة على العرض رسوميًا.

تقدّم المقالة أربع أدوات أساسية ضمن بيئة نظام لينكس لمراقبة النظام وتشخيص المشاكل فيه وهي top وatop وhtop وglances، حيث تراقب هذه الأدوات نسبة استخدام الذاكرة ووحدة المعالجة المركزية CPU، كما تتيح معظمها معلومات عن العمليات قيد التشغيل، إضافةً إلى العديد من الجوانب الأخرى، وتظهر هذه المعلومات تقريبًا بالزمن الحقيقي لنشاط النظام.

متوسط الحمل

يمثّل متوسط الحمل Load average متوسط عدد التعليمات التي تنتظر أن ينفذها المعالج، فهو مقياس حقيقي لأداء وحدة المعالجة المركزية خلافًا لنسبة استهلاك وحدة المعالجة المركزية، والتي تُعَد مقياسًا غير دقيق كونها تتضمّن زمن انتظار متعلّق بعملية الإدخال والإخراج حيث يكون عندها المعالج خاملًا.

نفترض أنّ النظام يمتلك معالجًا وحيدًا، وبالتالي عندما يكون متوسط الحمل مساويًا للواحد، فهذا يعني أنّ المعالج ينفذ الطلبات الواردة إليه دون تأخير وأن نسبة استخدامه ممتازة؛ أما عندما يصبح متوسط الحمل أقل من واحد، فيعني ذلك أنّ المعالج غير مستخدم حسب المطلوب، وأنّه قادر على تنفيذ المزيد من العمل، وعندما يصبح متوسط الحمل أكبر من واحد، فالمعالج هنا يكون قد أصبح مشغولًا مع وجود بعض التعليمات بحالة انتظار لفترة زمنية قبل أن ينفّذها المعالج.

في نظام أحادي المعالج وعندما يكون متوسط الحمل مساويًا 1.5 فإنّ ثلث التعليمات الواردة تنتظر لفترة زمنية قبل أن يبدأ تنفيذها، أما في حال النظم متعددة المعالجات، فلو فرضنا أنه يوجد نظام متعدد المعالجات يمتلك أربع معالجات، فإن متوسط الحمل المثالي يساوي أربعة. فإذا كان هذا المتوسط مساويًا 3.24 فسيعني ذلك أنّ ثلاثة معالجات منها مستخدمة كليًا وقد بلغت نسبة استخدام المعالج الرابع 76%.

تكون قيمة متوسط الحمل المثالية مساويةً لعدد المعالجات في النظام، ويعني ذلك أنّ جميع المعالجات مستخدَمة بطاقتها القصوى، ولا تضطر أية تعليمة للانتظار حتى تُنفّّذ. تعطي هذه القيمة على المدى الطويل نظرةً عامّةّ للاستخدام العام للموارد في الحاسوب.

الإشارات

تسمح جميع أدوات المراقبة المذكورة سابقًا بإرسال إشارات Signals للعمليات قيد التشغيل، وتكون لكل إشارة وظيفة محددة مرتبطة بها، كما يمكن أن يعرّف البرنامج الذي يستقبل هذه الإشارة، الوظيفة التي تحدث عند استلامه للإشارة.

يسمح الأمر Kill بإرسال الإشارات إلى العمليات أيضًا دون الحاجة لاستخدام برامج المراقبة، ويمكن تنفيذ الأمر kill -l لاستعراض جميع الإشارات التي يمكن استخدامها مع العمليات المختلفة، وتُستخدَم ثلاث من هذه الإشارات من أجل إيقاف العمليات والتي تسمى أحيانًا بقتل العملية kill a process.

• SIGTERM (15)‎: ترسَل هذه الإشارة افتراضيًا من قِبل الأداة top وبقية أدوات المراقبة عند الضغط على المحرف k، وتُعَد هذه الإشارة هي الأقل فعاليةً، لأنها تشترط امتلاك البرنامج المستقبل لها على جزء برمجي للتعامل مع هذه الإشارة Signal Handler. يجب أن يعترض الجزء البرمجي المذكور الإشارة الواردة إلى العملية والتصرف بطريقة صحيحة، وعند غياب هذا الجزء البرمجي، فستتجاهل العملية الإشارة الواردة إليها؛ أما الغاية من وجود إشارة SIGTERM، فهي إخبار البرنامج أنّ المستخدم يرغب بإنهاء البرنامج لوجوده، مما يجب أن يدفعه لتحرير الموارد التي استخدمها هذا البرنامج وإغلاق الملفات المفتوحة، وذلك دون اتخاذ أية إجراءات قسرية من قِبل المستخدم.
• SIGKILL (9)‎: تُستخدم هذه الإشارة لقتل أي من العمليات التي يرغب المستخدم بإيقافها، حيث لا تهتم هذه الإشارة لوجود جزء برمجي مخصص ينشط عند استلام الإشارة، إذ تُقتل العملية أولًا، ومن ثم تُقتل جلسة الصدفة shell التي يعمل ضمنها البرنامج. لا تُعد هذه الطريقة لطيفةً عند الحاجة للتخلص من عملية ما ويجب الأخذ بالحسبان أنً قتل العملية قسريًا باستخدام هذه الإشارة يمكن أن يؤثر على العمليات المرتبطة بها.
• SIGINT (2)‎: تُستخدم هذه الإشارة عند فشل الإشارة SIGTERM في التخلّص من العملية المطلوبة، مع عدم رغبة المستخدم بقتل العملية قسريًا، ولسبب ما لا يرغب المستخدم في إيقاف جلسة الصدفة shell الخاصة بالعملية، وإنما يريد قتل العملية فقط ومقاطعة الجلسة فقط دون إزالتها. تكافئ هذه الإشارة إرسال الأمر CTRL-C للبرنامج أو السكريبت وهو قيد العمل مما يسبب توقفه بصورة دائمة.

يمكن تجربة الأوامر السابقة بإنشاء جلسة موجه أوامر جديدة ومن ثم إنشاء ملف ضمن المجلد"‎"/tmp باسم cpuHog، ثم تحويله لبرنامج تنفيذي وإعطائه الأذونات "rwxrxrx" وكتابة المحتوى التالي ضمن الملف:

#!/bin/bash # This Little program is a cpu hog X=0; while[1]; do echo $X;X=$(X+1);done

نفتح موجه أوامر في نافذة مختلفة ونضع النافذتين متجاورتين لكي نشاهد النتائج، ومن ثم نشغل الأمر top، وبعدها نشغل برنامج cpuHog الذي كتبناه باستخدام الأمر التالي:

/tmp/cpuHog

يعمل البرنامج بطريقة عدّاد، مع طباعة القيمة التي وصل إليها إلى المخرج الذي نختاره، وهو افتراضيًا الشاشة. يستهلك هذا البرنامج دورات المعالجة الخاصة بالمعالج، لذا سنشاهد ارتفاعًا ملحوظًا في نسبة استخدام المعالج ضمن نتائج الأمر top. يزداد متوسط الحمل أيضًا مع مرور الزمن، ويمكن فتح نوافذ جديدة وتشغيل البرنامج فيها وملاحظة التغير الذي يحصل على استهلاك المعالج.

يمكن عند الحاجة لقتل العملية ضمن الأداة top بالضغط على الحرف K، وستظهر رسالة تطلب رقم التعريف الخاص بالعملية PID التي يريد المستخدم قتلها. وبعد إدخال هذا الرقم نضغط على "Enter"، وعندها ستسأل الأداة المستخدِم عن الإشارة التي يرغب بإرسالها، والتي تكون افتراضيًا "15". يمكن في هذه المرحلة تجربة الإشارات المختلفة وملاحظة الاختلافات فيما بينها.

أداة top

تُعَد هذه الأداة من أهم الأدوات المستخدمة عند تشخيص المشاكل، وتتميز بأنها متاحة دومًا وموجودة في جميع توزيعات لينكس افتراضيًا دون الحاجة الى تنصيبها. تقدّم هذه الأداة الكثير من المعلومات حول النظام قيد العمل، فنجد فيها معطيات حول استهلاك الذاكرة وأحمال المعالج، وقائمة بالعمليات قيد التشغيل، وإلى جانب كل عملية نجد نسبة استهلاكها لموارد الحاسوب. تُحدّث هذه المعلومات كل ثلاثة ثواني، أي أننا قد نَعُد الأداة وكأنها تعمل في الزمن الحقيقي. تسمح هذه الأداة باستخدام أجزاء الثواني إذا احتاج المستخدِم لاستعمالها، ولكن من النادر أن تؤثر القيم الضئيلة على الأداء الكلي للحاسوب، كما تتميز الأداة بأنها تفاعلية ويمكن للمستخدم أن يرتّب النتائج الظاهرة حسب اهتمامه.

يظهر الشكل (1) عينةً من نتائج عمل الأداة top، ويقسم هذا الخرج إلى جزأين أساسيين وهما جزء الملخص "Summary" وجزء العملية "Process" بالترتيب. حيث يمكن الاستفادة من الأوامر التفاعلية الخاصة بالأداة من قِبل المستخدِم لتغيير طريقة العرض الخاصة بالأداة لتناسب المستخدِم، إضافةً إلى التحكم بالعمليات كليًا، إذ تعرض الأداة كل الأوامر المتاحة بالضغط على h لاستعراض المساعدة الخاصة بالأداة والتي تكون موزّعةً على صفحتين، بحيث يحدث الانتقال إلى الصفحة الثانية بالضغط على h مرتين، ويمكن الخروج من الصفحة بالضغط على q.

جزء الملخص

يقدم هذا الجزء ملخّصًا عامًا عن النظام، حيث يُظهر السطر الأول منه زمن عمل النظام منذ آخر عملية إقلاع له، ومن ثم متوسط الحمل محسوبًا على مدة زمنية تعادل 1، 5، 15 دقيقة على الترتيب، بينما السطر الثاني يظهر عدد العمليات النّشطة في الحاسوب وحالة كل من هذه العمليات. تظهر في السطر الثالث إحصائيات خاصة بالمعالج، بحيث قد تكون هذه الإحصائيات مقتصِرةً على سطر واحد يتضمن الإحصائيات عن جميع المعالجات الموجودة في الحاسوب، ويمكن أن نجد سطرًا لكل معالج على حدة، كما يمكن تبديل طريقة الإظهار بين المعلومات المجمّعة عن المعالج، والمعلومات عن المعالجات إفراديًا بالضغط على الرقم 1، بحيث ستظهر القيم بشكل نسبة مئوية من وقت المعالج المتاح للتنفيذ.

نجد في النتائج القيم التالية:

• us:userspace: تشير إلى وقت المعالج المخصص للتطبيقات والبرامج الي تعمل ضمن مجال المستخدم وليس ضمن نواة نظام التشغيل.
• sy:system calls: تشير إلى وقت المعالج المخصص لاستدعاءات النظام، وهي الوظائف التي تنفَّذ ضمن نواة نظام التشغيل. تجدر الإشارة إلى أنّ هذه النسبة لا تتضمن الزمن الخاص بعمل النواة نفسها.
• ni:nice: تشير إلى وقت المعالج المخصص للعمليات التي تعمل بمستوى لطافة إيجابي (*)، ويمكن النظر إلى رقم اللطافة الخاص بالعمليات وكأنه أولوية، لكن توجد اختلافات دقيقة بين المصطلحين ليست من موضوع هذه المقالة.
• id:idle: تشير إلى وقت المعالج الذي يكون فيها خاملًا.
• wa:wait: تشير إلى الوقت الذي يكون فيه المعالج بحالة انتظار لإتمام عمليات الإدخال والإخراج، وبالطبع يمثل هذا الوقت هدرًا في عمل المعالج.
• hi:hardware interrupts: تشير إلى الوقت الذي يصرفه المعالج في معالجة المقاطعات العتادية الواردة إليه.
• si:software interrupts: تشير إلى الوقت الذي يصرفه المعالج في معالجة المقاطعات البرمجية الوارد إليه.
• st:steal time: تشير إلى الوقت الذي يقضيه المعالج المنطقي حتى ينهي المعالج الفيزيائي تخديم معالج منطقي آخر والانتقال إليه.

اقتباس

(*) مستوى اللطافة هو تعبير عن الأولوية للعمليات الخاصة بالمستخدِم، والتي تربطها علاقة بأولوية العملية الحقيقية، حيث أن قيمة الأولوية = قيمة اللطافة + 20، وتأخذ قيم اللطافة قيمًا موجبةً وقيمًا أخرى سالبة تتراوح بين المجال -20 (الأعلى) و+19 (الأدنى)، الدليل الموجز إلى القيم الأولوية اللطيفة في النظام البيئي لينكس

يعرض السطرين الأخيرين في هذا الجزء استهلاك الذاكرة حيث يظهر كل من استهلاك الذاكرة العشوائية وذاكرة التبادل.

الشكل (1): يُظهر الأمر top المعلومات الكاملة عن معالج رباعي النوى مستخدم كليًا.

يمكن الضغط على l لإيقاف عرض متوسط الحمل أو تشغيله، كما يمكن الضغط على t وm من أجل تغيير طرق العرض الخاصة بمعلومات العمليات والذاكرة.

جزء العمليات

يتضمن هذا الجزء المعلومات عن العمليات قيد التشغيل في النظام، حيث تظهر هذه المعلومات على شكل أعمدة، ويتضمن العرض الافتراضي مجموعةً من الأعمدة، كما يمكن إضافة المزيد منهم من قِبل المستخدِم حسب ما يجده مفيدًا له. فيما يلي المعلومات التي تظهر افتراضيًا:

• PID: يعبر عن رقم التعريف الخاص بالعملية، وهو رقم فريد خاص بالعملية يميزها عن كل العمليات الأخرى.
• USER: يعبر عن اسم المستخدم الذي يملك العملية.
• PR: يعبر عن أولوية العملية.
• NI: يعبر عن رقم اللطافة الخاص بالعملية.
• VIRT: يعبر عن إجمالي الذاكرة الافتراضية المخصصة للعملية.
• RES: يعبر عن الذاكرة الفيزيائية غير القابلة للتبادل المخصصة للعملية، وهي مقاسة بالكيلوبت ما لم يذكر خلاف ذلك.
• SHR: يعبر عن كمية الذاكرة المشتركة المخصصة للعملية.
• S: يعبر عن حالة العملية، وقد يكون R إذا كانت العملية قيد التشغيل، أو S إذا دخلت العملية في حالة النوم أو Z إذا تحولت العملية إلى عملية ميتة-حية (زومبي). كما توجد بعض الحالات الأقل شيوعًا مثل T للمتوقفة، أو D لحالة النوم غير القابل للمقاطعة.
• ‎% CPU: يعبر عن وقت المعالج الذي استهلكته العملية خلال فترة القياس.
• ‎% MEM: يعبر عن نسبة الذاكرة الفيزيائية المستهلكة من قبل العملية.
• Time +: يعبر عن وقت المعالج الكلي المخصص للعملية منذ بدء عملها لأول مرة.
• COMMAND: يعبر عن الأمر الذي استُخِدم لتشغيل العملية.

يمكن الضغط على Page Up وPage Down للتنقل بين قائمة العمليات قيد التنفيذ، ويمكن ضبط المدة الزمنية لأخذ القراءات باستخدام d وs، وتكون هذه المدة افتراضيًا ثلاث ثواني، بحيث يمكن تعديلها لتصبح جزءًا من الثانية، لكن ذلك يزيد من استهلاك الأداة لموارد الحاسوب ومن المفضل ضبط هذه القيمة بحيث تعادل ثانيةً واحدةً كي لا تؤثر سلبًا على أداء الحاسب وتعطي معلومات وافرة عن هذا الأداء.

يفيد الضغط على < و > في التنقل بين الأعمدة إلى اليمين أو اليسار، كما يمكن الضغط على k من أجل قتل العملية أو الضغط على r من أجل تعديل مستوى لطافتها، وفي كلتا الحالتين يجب تحديد رقم التعريف الخاص بالعملية، حيث يجب أن نحدد رقم الإشارة عند قتل العملية. عادةً ما تبدأ المحاولات بالإشارة 15 وفي حال عدم نجاحها يمكن استخدام الإشارة 9 لقتل العملية قتلًا مؤكدًا.

الضبط

يمكن للمستخدِم الذي يعدّل معلومات العرض الخاصة بالأداة، استخدام الأمر W (يجب استخدام الحرف الكبير Uppercase)، وذلك لكتابة التغييرات إلى ملف الضبط، والذي يوجد عادةً في المسار"‎"~/.toprc في المساحة المخصصة للمستخدِم.

أداة atop

تتيح هذه الأداة معلومات أكثر تفصيلًا موازنةً بالأداة top. ومن أهم المعلومات الإضافية التي يمكن الحصول عليها باستخدام هذه الأداة، هي نشاط الإدخال والإخراج، حيث تتحدث القيم الظاهرة على الشاشة بعد انقضاء عشرة ثواني، ويمكن تغيير هذه المدة بالضغط على i واستخدام قيمة تناسب حاجة المستخدم. لا تستطيع هذه الأداة استخدام أجزاء الثانية مثل سابقتها، لكن يمكن استخدام الأمر h للحصول على المساعدة، وتوجد عدة صفحات ضمن دليل المساعدة يمكن التنقل بينها بالضغط على المسطرة Space.

تتميز هذه الأداة بقدرتها على تخزين معلومات الأداء الخام ضمن ملف واستعراض محتوياته لاحقًا من أجل الدراسة المعمقة، مما يفيد في كشف بعض المشاكل الخفية وخصيصًا تلك التي تظهر في الوقت الذي لا يكون فيه النظام خاضعًا للمراقبة. يستخدم البرنامج atopsar لاستعراض محتويات الملفات المخزّنة حسب حاجة المستخدم.

الشكل (2): يقدم نظام المراقبة atop المعلومات حول نشاط الأقراص والشبكة إضافة إلى نشاط المعالج.

جزء الملخص

تقدّم الأداة atop نفس المعلومات التي تقدّمها الأداة top، إلا أنّها تعرض بعض المعلومات الإضافية مثل المعلومات المتعلقة بنشاط الشبكة والأقراص والحجوم المنطقية ضمن الأقراص. يبين الشكل (2) أعلاه بعضًا من هذه المعلومات، تجدر الإشارة إلى أنّ عدد الأعمدة الذي يظهر هو مرتبط بأبعاد الشاشة، بحيث إذا كانت كافيةً فستعرض الأداة كافة الأعمدة بما تتضمنه من معلومات، وإلا فإنها تهمل بعضًا منها. تتميز هذه الأداة موانةً بجميع أنظمة المراقبة الأخرى بنها تعرض تردد المعالج الحالي، إضافةً إلى تبيان معامل توسيع التردد scaling factor، وتظهر هاتين القيمتين في أقصى اليمين ضمن السطر الثاني.

جزء العملية

تعرض الأداة atop بعضًا من الأعمدة التي تعرضها الأداة top، ولكنها تضيف بعض المعلومات مثل معلومات الإدخال والإخراج الخاصة بالقرص وعدد النياسب (الخيوط threads)، إضافةً إلى إحصائيات عن تغير كل من الذاكرتين الافتراضية والحقيقية لكل عملية. كما هو الحال في جزء الملخص، يمكن إظهار كامل الأعمدة إذا سمحت أبعاد الشاشة بذلك، وإلا فلن تظهر بعض الأعمدة مثل العمود المخصص لعرض رقم التعريف الحقيقي للمستخدم RUID الذي يملك العملية، ورقم التعريف الفعلي للمستخدم EUID، وتكون هاتين المعلومتين هامتين عند تشغيل بعض البرامج مع التلاعب بهوية المستخدم الذي ينفذ أمر التشغيل للبرنامج.

تقدّم الأداة معلومات تفصيلية عن القرص والذاكرة والشبكة والجدولة الخاصة بكل عملية. يمكن الضغط على d وm وn وs بالترتيب لمشاهدة أي من التفاصيل السابقة، كما يمكن الضغط على g لإعادة الإظهار إلى وضعه الطبيعي.

يمكن للمستخدم ترتيب العرض وفقًا لمعيار محدد، حيث يمكن الضغط على C للترتيب اعتمادًا على استهلاك وحدة المعالجة المركزية، أو الضغط على M للترتيب اعتمادًا على استهلاك الذاكرة، أو الضغط على D للترتيب اعتمادًا على استهلاك القرص، أو الضغط على N للترتيب اعتمادًا على استهلاك الشبكة، أو الضغط على A للترتيب التلقائي، ويعني ذلك الترتيب وفقًا للمورد الأكثر إشغالًا من قبل العملية. لن تعمل عمليات الترتيب الخاصة بالشبكة إلا بوجود مكتبة netatop إلى جانب الأداة atop، ويمكن الضغط على k لقتل أي عملية ولا تمتلك هذه الأداة القدرة على تعديل مستوى اللطافة مثل سابقتها.

لا تعرِض هذه الأداة أجهزة الشبكة والتخزين التي لا تكون نشطةً ضمن فترة جلب المعلومات، مما قد يعطي انطباعًا خاطئًا عن ضبط الجهاز المستخدَم، فقد يوهم بعض المستخدمين بأن أحد الأجهزة لا يعمل بطريقة صحيحة، ولتجنب ذلك يمكن الضغط على f لعرض جميع الموارد وحتى الخاملة منها.

الضبط

يشير الدليل الخاص بالأداة atop الموجود ضمن نظام لينكس إلى ملفات الضبط الخاصة بالمستخدم وملفات الضبط العامة، وذلك باستثناء توزيعتي فيدورا وسينتوس. حيث لا توجد أية طريقة لحفظ تعديلات المستخدِم على ملفات الضبط وبالتالي لا تكون هذه التغييرات دائمة.

أداة htop

تشبه هذه الأداة إلى حد كبير الأداة top، ولكنها تعرض بعض المعلومات الإضافية التي لا تقدمها تلك الأداة، حيث لا تقدم هذه الأداة المعلومات عن القرص والشبكة والإدخال والإخراج كما في atop.

الشكل (3): تمتلك الأداة htop طريقة إظهار جذابة للمستخدمين، كما أنها تعرض شجرة العملية كاملةً.

جزء الملخص

يتضمن جزء الملخص للأداة htop عمودين أساسيين يتميزان بالمرونة الشديدة وقدرة المستخدم على ضبطهما بالشكل والترتيب الذي يناسبه، حيث يمكن للمستخدم مشاهدة استهلاك المعالج عن طريق الشريط الظاهر أمامه، كما يمكن استخدام شريط واحد لكامل وحدة المعالجة المركزية، إلى جانب إمكانية استعمال شريط لكل معالج موجود، أو تجميع العرض من عدة معالجات معًا ضمن شريط واحد.

يُعَد العرض بهذه الطريقة أكثر سهولةً للمستخدم، إلا أنّه يُغفِل العديد من المعلومات الأساسية التي قد تهمّه، ومنها النسبة المستهلكة من المعالج لكل مستخدم، إضافةً إلى وقت الخمول الخاص بالمعالج وغيرها من المعلومات التي تعرضها الأدوات السابقة.

يمكن تعديل ضبط هذا الجزء بالضغط على F2 حيث تُعرض الخيارات المتاحة ويضيف المستخدم ما يشاء من هذه الخيارات وترتيبها ضمن العرض كما يشاء.

جزء العملية

يشبه جزء العملية الخاص بهذه الأداة إلى حد كبير الأدوات السابقة، حيث يمكن ترتيب العمليات اعتمادًا على نسبة استهلاك المعالج، أو الذاكرة، أو المستخدم، أو رقم تعريف العملية، مع ملاحظة أنه لا يمكن استخدام وظيفة الترتيب عندما يختار المستخدم العرض بالشكل الشجري.

يختار المستخدم العمود الذي سيكون الترتيب وفقًا له، وذلك بالضغط على F6 لتُعرض مجموعة الأعمدة التي يمكن الترتيب وفقًا لها، وبعد إقدام المستخدم على الاختيار، فسيضغط على Enter لتنفيذ عملية الترتيب.

يمكن التنقّل بين العمليات باستخدام الأسهم وذلك لاختيار عمليةٍ ما، وبعد الاختيار يمكن قتل العملية بالضغط على k، ومن ثم تظهر قائمة بالإشارات ليختار المستخدِم واحدةً منها، بحيث تُرسل إلى العملية. يمكن أيضًا الضغط على المفتاحين F7 وF8 لتغيير مستوى اللطافة للعملية المختارة.

يمكن الضغط على F5 لأية عملية لتُعرض شجرة العملية كاملةً، وبالتالي يمكن تحديد العملية الأب الذي ولّد هذه العملية، وتُعَد هذه المسألة هامةً جدًا عند تشخيص مشاكل العمليات، وخصيصًا ظهور عمليات "ميتة-حية" في النظام.

الضبط

يمتلك كل مستخدم ملف ضبط خاص به مخزنًا في المسار"‎~/.config/htop/htoprc"، وتُحفَظ التغييرات التي يجريها المستخدم في هذا الملف تلقائيًا. لا تمتلك هذه الأداة ضبطًا عامًا وإنما يوجد الضبط فقط ضمن ملفات المستخدم.

أداة glances

تتميز هذه الأداة بقدرتها على عرض الكثير من المعلومات عن الجهاز موازنةً بجميع الأدوات السابقة، كما تعرض الأداة إلى جانب المعلومات التي تعرضها الأدوات السابقة على سبيل المثال: درجات الحرارة الخاصة بمكونات الحاسب، إضافةً إلى سرعة دوران المروحة المستخدمة مع كل مكون، والكثير من المعلومات المفيدة.

تُعَد السلبية الوحيدة لهذه الأداة أنها تستهلك نسبةً كبيرةً من الموارد موازنةً بسابقاتها، وتتراوح نسبة استهلاكها للمعالج بين 10% و18% من إجمالي استخدام المعالج، وهذه النسبة كبيرة جدًا خصوصًا في الأنظمة المحدودة بالموارد.

جزء الملخص

يحتوي جزء الملخص لأداة glances على معظم المعلومات التي تقدّمها أدوات المراقبة الأخرى، حيث تعرض الأداة معلومات استخدام المعالج بشكل شريط و بشكل عددي في حال كانت أبعاد الشاشة تسمح بذلك، وإلا فإنها ستعرض النتائج بالشكل العددي فقط.

الشكل (4): يُظهر الشكل واجهة الأداة glances متضمنةً معلومات الشبكة والقرص ونظام الملفات ومعلومات الحساسات.

كما في الأدوات السابقة، يمكن الضغط على 1 لتغيير طريقة عرض معلومات المعالج إما لتعرِض المعلومات عن إجمالي استخدام المعالج أو عرض المعلومات الخاصة بكل معالج على حدى.

جزء العملية

يعرض هذا الجزء المعلومات الاعتيادية عن كل من العمليات قيد التشغيل، حيث يمكن أن تُرتَّب العمليات تلقائيًا بالضغط على a، أو بالاعتماد على استهلاك المعالج c، أو بالاعتماد على استهلاك الذاكرة m، أو بالاعتماد على اسم العملية p، أو بالاعتماد على اسم المستخدم u، أو بالاعتماد على معدل الإدخال والإخراج i، أو بالاعتماد على الوقت t. يعني أن الترتيب التلقائي في الأداة هو اختيار عرض العمليات بالاعتماد على المورد الأكثر استخدامًا، فإذا كان استهلاك المعالج أكبر من 70%، فسيعتمد ترتيب العمليات على استهلاك كل عملية من وقت المعالج، وإذا كان استهلاك الذاكرة أكبر من 70%، فيعتمد الترتيب على استهلاك كل عملية من الذاكرة.

تُظهر الأداة الإنذارات والتحذيرات في أسفل الشاشة متضمّنةً تاريخ ومدة بقاء الإنذار. حيث يفيد وجود الإنذارات بإخبار المستخدِم عند وقوع المشكلة، وبالتالي لا يكون مضطرًا لمراقبة الشاشة ومتابعة تغير الأرقام بدقة دائمًا. ويمكن تشغيل وإيقاف الإنذارات بالضغط على l، كما يمكن إزالة الإنذارات الحالية بالضغط على w، ويمكن إزالة الإنذارات والتحذيرات معًا بالضغط على x.

لا تقتل هذه الأداة العمليات لأنها مجرد أداة للمراقبة، كما أنها لا تغير من مستوى اللطافة للعملية للسبب ذاته، وإذا رغب المستخدم بذلك فيجب عليه استخدام الأوامر kill أو renice خارج هذه الأداة.

الشريط الجانبي

تمتلك الأداة glances شريطًا جانبيًا جميلًا والذي يعرِض معلومات غير موجودة في كل من top وhtop. يمكن أن تعرِض atop بعضًا من المعلومات التي تعرضها هذه الأداة، ولكن فقط glances هي القادرة على عرض معلومات حساسات الحرارة من الأدوات السابقة، كما يمكن عرض المعلومات عن الأقراص ونظام الملفات والشبكة والحساسات، بالضغط على d أو f أو n أو s بالترتيب، ويمكن اظهار الشريط الجانبي بالضغط على 2، كما يمكن عرض الإحصائيات في أسفل الشاشة بالضغط على D.

الضبط

لا تتطلب الأداة glances ملفًا للضبط لكي تعمل بصورة صحيحة، ولكن في حال رغبة المستخدم بوجوده، فيوجد ملف الضبط العام ضمن المجلد الحامل لهذه التسمية "‎"/etc/glances/glances.conf،  فعندما ينشئ المستخدم ملف الضبط الخاص به ضمن المسار "‎"~/.config/glances/glances.conf، فإنه سيصبح ملف الضبط الفعال، ويتجاوز ملف الضبط العام. يمكن ضمن هذه الملفات تحديد عتبات الإنذارات والتحذيرات فقط، في حين فيجب إعادة ضبط أية تعديلات أخرى على الأداة مثل تعديل الشريط الجانبي أو غيره في كل مرة بعد تشغيل الأداة.

يتضمن توثيق الأداة معلومات كافية عن استخدام الأداة glances، وتكون موجودةً افتراضيًا ضمن المسار التالي:

"‎/usr/share/doc/glances/glances-doc.html"

 وعلى الرغم من أنه قد ذُكِر في الوثيقة أنه يمكن ضبط الأداة كاملةً عن طريق الملف، إلا أنّه لم تُذكر أية طريقة لتحقيق ذلك ضمن الملف.

الخلاصة

يجب على المستخدم قراءة الدليل الخاص بكل أداة من أدوات المراقبة للتعرف على الطريقة التي تناسب المستخدم في ضبطها والتفاعل معها، ويمكن دومًا الاستعانة بالأمر h ضمن الأدوات للاستفادة من المساعدة التفاعلية الموجودة ضمنها، والتي تقدّم الكثير من المعلومات حول تنفيذ عمليات الاختيار والترتيب في الأداة.

يمكن أن تقدّم هذه الأدوات الكثير من المعلومات عن سبب المشاكل التي تصادف المستخدم، كما يمكن أن تحدد أيًا من العمليات هو الأكثر استهلاكًا للمعالج، أو تحديد كمية الذاكرة الحرّة المتاحة، إضافةً إلى معرفة أي من العمليات قد أوقفت مؤقتًا لأنها تنتظر عمليات الإدخال والإخراج، أو لأنها تنتظر الشبكة. يمكن بالمراقبة المستمرة لهذه الأدوات أن يستطيع المستخدِم التمييز بين السلوك الطبيعي للنظام عن السلوك غير الطبيعي الذي يظهر بالنهاية على هيئة مشكلة في الأداء، كما يجب الأخذ بالحسبان أنّ هذه الأدوات تستهلك من موارد الحاسوب الذي تراقبه، حيث تستهلك الأداة glances نسبةً تتراوح بين 10% و20% من وقت المعالج، بينما لا تستهلك الأدوات المتبقية أكثر من 3% من نفس المورد، ويجب التفكير بذلك جيدًا عند اختيار الأداة المناسبة بتقدير نوع المعلومات التي يحتاج المستخدم مراقبته إضافةً إلى معرفة مواصفات الجهاز الذي يُراقَب.

ترجمة -وبتصرف- للمقال "‎4 open source tools for Linux system monitoring" لصاحبه David Both.

اقرأ أيضًا

• ما هو نظام التشغيل لينكس؟
• مدخل إلى مصطلحات ومفاهيم التخزين في لينكس
• عشرون أمرا في لينكس يفترض أن يعرفها كل مدير نظم
• دليل المستخدم للروابط في نظام ملفات لينكس

Jenkins هو خادم أتمتة مفتوح المصدر يعمل على أتمتة المهام الفنية المتكررة التي ينطوي عليها التكامل المستمر وتقديم البرامج، Jenkins مكتوبة بلغة Java ويمكن تثبيتها من حزم أوبنتو أو عن طريق تنزيل وتشغيل ملف WAR (وهو عبارة عن مجموعة من الملفات التي تشكل تطبيق ويب كاملًا لتشغيله على خادم).

في هذا المقال ستقوم بتثبيت Jenkins بإضافة مستودع حزمة ديبيان، واستخدام هذا المستودع لتثبيت الحزمة من خلال الأداة apt-get.

المتطلبات الأساسية

من أجل متابعة هذا المقال، ستحتاج إلى:

• خادم اوبنتو 18.04 فيه مستخدم يحمل صلاحيات sudo وغير جذري (non-root) ومثبت عليه جدار حماية وذلك باتباع دليل الاعداد الاولي لخادم اوبنتو18.04 نوصي بالبدء باستخدام 1 غيغابايت على الأقل من الذاكرة RAM، راجع هذه التوصيات للحصول على متطلبات التثبيت اللازمة.

• بتثبيت Java 8، باتباع هذا المقال.

الخطوة الأولى: تثبيت Jenkins

الإصدار المتوفر في متجر أوبنتو الحزم على الأغلب هو اصدار أقدم من الإصدار المتوفر في المشروع نفسه، للحصول على اخر التحديثات والميزات سوف نستخدم الحزم المصانة من قبل مشروع Jenkins نفسه.

علينا أولًا إضافة مفتاح المستودع repository للنظام من خلال الأمر التالي:

$ wget -q -O - https://pkg.jenkins.io/debian/jenkins.io.key | sudo apt-key add -

بعد إضافة المفتاح بنجاح سيظهر النظام لك كلمة OK؛ سنضيف بعد ذلك عنوان مستودع لحزمة  ديبيان إلى الملف sources.list الموجود في الخادم:

$ sudo sh -c 'echo deb http://pkg.jenkins.io/debian-stable binary/ > /etc/apt/sources.list.d/jenkins.list'

بعد تنفيذ الأمرين السابقين بنجاح سوف نقوم بتحديث الحزم في المستودع repository باستخدام الأمر التالي:

$ sudo apt update

اخيرا سنقوم بتثبيت Jenkins وكل ما تعتمد عليه:

$ sudo apt install jenkins

الآن Jenkins واعتماديته كلها جاهزة لذا سنقوم بتشغيل الخادم.

الخطوة الثانية: بدء تشغيل خادم Jenkins

سنستخدم systemctl لتشغيل خادم Jenkins:

$ sudo systemctl start jenkins

و لعدم إظهار الأمر لأي مخرجات سنستخدم الخيار Status لعرض حالة الخدمة للتأكد أنها قد بدأت دون مشاكل:

$ sudo systemctl status jenkins

إذا كان كل شيئ على ما يرام ستبدأ المخرجات بالظهور لإظهار أن الخدمة تعمل حاليا و ستبدأ تلقائيا عند الاقلاع:

● jenkins.service - LSB: Start Jenkins at boot time
   Loaded: loaded (/etc/init.d/jenkins; generated)
   Active: active (exited) since Mon 2018-07-09 17:22:08 UTC; 6min ago
     Docs: man:systemd-sysv-generator(8)
    Tasks: 0 (limit: 1153)
   CGroup: /system.slice/jenkins.service

الآن الخدمة شغالة سنبدأ بإعداد قواعد جدار الحماية حتى نصل لها من خلال متصفح الويب لإكمال ضبطه.

الخطوة الثالثة: اضبط إعدادات جدار الحماية

بشكل تلقائي Jenkins يعمل على منفذ رقم 8080 لذلك سنعمل على فتح هذا المنفذ داخل جدار الحماية ufw:

$ sudo ufw allow 8080

من خلال التحقق من حالة الجدار الناري يمكن رؤية القاعدة الجديدة ب ufw:

$ sudo ufw status

يمكنك الآن رؤية التراسل الشبكي عبر المنفذ 8080 المتاح من كل الشبكات:

Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
8080                       ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)
8080 (v6)                  ALLOW       Anywhere (v6)

ملاحظة: اذا كان جدار الحماية غير فعال يجب تنفيذ الأوامر التالية للسماح ب OpenSSH وتفعيل جدار الحماية:

$ sudo ufw allow OpenSSH
$ sudo ufw enable

بعد تثبيت Jenkin و ضبط إعدادات جدار الحماية الخاص بنا سنكمل الإعدادات المبدئية له.

الخطوة الرابعة: ضبط خدمة Jenkins

من أجل ضبط خدمة Jenkins علينا الدخول لصفحة الإعدادات من خلال المنفذ الافتراضي 8080 باستخدام اسم النطاق للخادم أو عنوان http://your_server_ip_or_domain:8080. ستظهر لك شاشة مقفلة من Jenkins تعرض موقع الذي تخزن فيه كلمة المرور المبدئية وتطلب إدخالها.

من خلال واجهة سطر الأوامر سوف نستخدم الأمر Cat من أجل اظهار كلمة المرور:

$ sudo cat /var/lib/jenkins/secrets/initialAdminPassword

تتألف كلمة المرور من 32 حرف سوف نقوم بنسخها من واجهة سطر الأوامر و لصقها داخل الحقل Administrator password ثم الضغط على زر الاستمرار Continue. بعد ذلك ستظهر لك صفحة تعرض لك خيارين تثبيت الإضافات المقترحة أو تحديد إضافات معينة.

اختر الخيار Install suggested plugins الذي سيبدأ عملية التنزيل مباشرة.

عند الانتهاء من التثبيت، سيُطلب منك أولا إعداد المستخدم الإداري (administrative) ومن الممكن تخطي هذه الخطوة والمتابعة كمسؤول باستخدام كلمة المرور الأولية التي استخدمناها في الأعلى لكننا سنقوم بإنشاء مستخدم جديد.

ملاحظة: خادم Jenkins الافتراضي غير مشفر، وبالتالي فإن البيانات المقدمة مع هذا النموذج ليست محمية. عندما تكون جاهزًا لاستخدام هذا التثبيت، اتبع هذا المقال التالي؛ سيؤدي ذلك إلى حماية بيانات المستخدم والمعلومات التي يتم إرسالها عبر واجهة الويب.

ادخل اسم و كلمة المرور للمستخدم الخاص بك:

ستظهر لك صفحة الضبط Instance Configuration وستطلب منك تأكيد عنوان URL المفضل لنسخة Jenkins. قم بتأكيد اسم النطاق لخادمك أو عنوان IP:

بعد تأكيد المعلومات المناسبة، انقر فوق حفظ وإنهاء. سترى صفحة Jenkins is Ready!‎:

انقر فوق Start using Jenkins للانتقال للوحة التحكم الرئيسية لـخادم Jenkins:

تهانينا ، لقد تم تثبيت Jenkins بنجاح.

الخلاصة

في هذا المقال قد شرحنا آلية تثبيت Jenkins باستخدام الحزم المقدمة من المشروع، وبدء تشغيل الخادم، وفتح جدار الحماية، وإنشاء مستخدم مسؤول. في هذه المرحلة، يمكنك البدء في استكشاف Jenkins.

عند الانتهاء من الاستكشاف، إذا قررت الاستمرار في استخدام Jenkins فاتبع الدليل التالي لحماية كلمات المرور الخاصة بك وأيضًا معلومات النظام أو المنتج الحساسة التي ستكون إرسالها بين جهازك والخادم بنص عادي.

ترجمة –وبتصرف– للمقال How To Install Jenkins on Ubuntu 18.04 لصاحبته Melissa Anderson and Kathleen Juell

حوسبة الشبكة الافتراضية أو ما يدعى VNC هو عبارة عن نظام اتصال يسمح لك بإستخدام لوحة المفاتيح والفأرة الخاصة بك للتفاعل مع بيئة سطح المكتب رسومية للخادم عن بعد مما يسمح بإدارة الملفات والبرمجيات والإعدادات على الخادم (الخادم المتحكم به عن بعد) بشكل أسهل على المستخدمين الذين لا يفضلون استخدام واجهة الأوامر.

في هذا المقال، ستقوم بإعداد خادم VNC على الخادم Debian 10 والاتصال به بأمان عبر SSH وتستخدم TightVNC، هي عبارة عن حزمة التحكم عن بعد سريعة وخفيفة يتضمن هذا الخيار أن يكون اتصال VNC سلسًا ومستقرًا حتى في اتصالات الإنترنت البطيئة.

المتطلبات الأساسية

لإكمال هذا المقال التعليمي، ستحتاج إلى:

• اتباع دليل الإعداد الاولي لخادم Debian 10 من اجل اعداد خادم Debian 10، وأن يكون لك مستخدم جذري (non-root) يملك صلاحيات sudo ومثبت عليه جدار حماية.

• حاسوب العميل يثبت عليه عميل VNC يدعم اتصالات VNC عبر قناة اتصال SSH.

  • على نظام تشغيل Windows يمكنك استخدام TightVNC أو RealVNC أو UltraVNC.
  • على نظام التشغيل Mac OS يمكنك استخدام برنامج "مشاركة الشاشة" ، أو يمكنك استخدام تطبيق عبر النظام الأساسي مثل RealVNC.
  • على نظام تشغيل Linux، يمكنك الاختيار من بين العديد من الخيارات، بما في ذلك vinagre أو krdc أو RealVNC أو TightVNC.

  الخطوة الأولى: تثبيت بيئة سطح المكتب وخادم VNC

  خادم Debian 10 لا يأتي مع بيئة سطح مكتب رسومية أو خادم VNC مثبت لذلك لابد من تثبيته أولا ثم سنقوم بتثبيت آخر نسخة من حزمةXfce لبيئة سطح مكتب وحزمة TightVN المتاحة في متجر Debian الرسمي.

قم بتنفيذ الأمر التالي على الخادم من أجل تحديث قائمة الحزم على الخادم:

$ sudo apt update

الآن قم بتنزيل بيئة سطح المكتب Xfce على الخادم الخاص بك من خلال الأمر التالي:

$ sudo apt install xfce4 xfce4-goodies

أثناء التثبيت سيُطلب منك تحديد لوحة المفاتيح من قائمة الخيارات المتوفرة واختيار اللغة المناسبة للغتك و من ثم اضغط على زر الإدخال (Enter) ليستمر التثبيت.

بمجرد اكتمال التثبيت قم بتثبيت خادم TightVNC عبر الأمر التالي:

$ sudo apt install tightvncserver

لإكمال الإعدادات الأولية لخادم VNC بعد التثبيت استخدم الأمرvncserver لإعداد كلمة مرور آمنة وإنشاء ملفات الإعدادات الأولية:

$ vncserver

سيُطلب منك إدخال كلمة مرور والتحقق منها للوصول إلى جهازك عن بُعد:

You will require a password to access your desktops.

Password:
Verify:

يجب أن يتراوح طول كلمة المرور بين ستة وثمانية أحرف، سيتم تقليص كلمات المرور التي تزيد عن 8 أحرف تلقائيًا؛ بمجرد التحقق من كلمة المرور سيكون لديك خيار إنشاء كلمة مرور للعرض فقط؛ إذ لن يتمكن المستخدمون الذين يقومون بتسجيل الدخول باستخدام كلمة مرور العرض فقط من التحكم في VNC باستخدام الفأرة أو لوحة المفاتيح الخاصة بهم، يعد هذا الخيارًا مفيدًا إذا كنت تريد إظهار شيء لأشخاص آخرين يستخدمون خادم VNC . هذه العملية ستعمل على إنشاء ملفات الإعدادات الافتراضية الضرورية ومعلومات الاتصال بالخادم:

Would you like to enter a view-only password (y/n)? n
xauth:  file /home/sammy/.Xauthority does not exist

New 'X' desktop is your_hostname:1

Creating default startup script /home/sammy/.vnc/xstartup
Starting applications specified in /home/sammy/.vnc/xstartup
Log file is /home/sammy/.vnc/your_hostname:1.log

الآن دعنا نقوم بإعداد خادم VNC.

الخطوة الثانية: إعداد خادم VNC

يحتاج خادم VNC إلى معرفة الأوامر التي سينفذها عند بدء التشغيل،على وجه التحديد يحتاج VNC إلى معرفة سطح المكتب الرسومي الذي يجب الاتصال به. توجد هذه الأوامر في ملف الإعدادات الذي يسمى xstartup في المجلد vnc.، الموجود بالمجلد الرئيسي (Home directory)، عندما قمت بتشغيل الأمر vncserver في الخطوة السابقة تم إنشاء البرنامج صغير لبدء التشغيل، ولكننا سنقوم بإنشاء برنامجنا الخاص لتشغيل سطح المكتب Xfce.

عند إعداد VNC لأول مرة سيقوم بإطلاق خادم الافتراضي على المنفذ 5901والذي يسمى بنفذ العرض، ويشار إليه بواسطة VNC كـ ‎:1 فيمكن لـ VNC تشغيل عدة خوادم افتراضية على منافذ العرض الأخرى ، مثل ‎:2 أو 3:.

لأننا بصدد تغيير كيفية إعداد خادم VNC أولاً أوقف نسخة الخادم VNC الذي يعمل على المنفذ 5901 باستخدام الأمر التالي:

$ vncserver -kill :1

ستظهر المخرجات على هذا الشكل ، ولكنك سترى PID (رقم المعرف للعملية) مختلف:

Killing Xtightvnc process ID 17648

قبل التعديل على الملف xstartup قم بعمل نسخة احتياطية له.

$ mv ~/.vnc/xstartup ~/.vnc/xstartup.bak

الآن قم بإنشاء الملف xstartup جديد وافتحه في محرر النصوص الخاص بك:

$ nano ~/.vnc/xstartup 

يتم تنفيذ الأوامر في هذا الملف تلقائيًا عند بدء تشغيل أو إعادة تشغيل خادم VNC،نحن بحاجة الى VNC على بيئة سطح المكتب لدينا أضف هذه الأوامر إلى الملف:

#!/bin/bash
xrdb $HOME/.Xresources
startxfce4 &

الأمر الأول في الملف xrdb $HOME/.Xresources يخبر واجهة المستخدم الرسومية الـ VNC بقراءة ملف المستخدم Xresources. وهو المكان الذي يمكن للمستخدم فيه إجراء التغييرات على إعدادات معينة لسطح المكتب الرسومي، مثل ألوان واجهة الأوامر، وسمات المؤشر، وعرض الخط، أما الأمر الثاني يطلب من الخادم تشغيل Xfce، حيث ستجد كل البرامج الرسومية التي تحتاجها لإدارة خادمك بشكل مريح.

لضمان أن خادم VNC سيكون قادرًا على استخدام ملف بدء التشغيل الجديد هذا بشكل صحيح؛ سنحتاج إلى جعله قابلاً للتنفيذ.

$ sudo chmod +x ~/.vnc/xstartup

الآن أعد تشغيل خادم VNC.

$ vncserver

سترى المخرجات على هذا النحو:

New 'X' desktop is your_hostname:1

Starting applications specified in /home/sammy/.vnc/xstartup
Log file is /home/sammy/.vnc/your_hostname:1.log

من خلال الإعدادات الموجود دعنا نتصل بالخادم من أجهزتنا المحلية.

الخطوة الثالثة: توصيل VNC Desktop بأمان

لا يستخدم VNC بروتوكولات آمنة عند الاتصال؛ لذلك سوف نستخدم اتصال عبر SSH لتحقيق اتصال آمن بخادمنا وسنطلب من عميل VNC استخدامه بدلاً من إجراء اتصال مباشر.

قم بإنشاء قناة اتصال SSH على الحاسوب المحلي الخاص بك والذي يقوم بإعادة توجيه اتصال الجهاز المحلي (localhost) لـ VNC بشكل آمن، يمكنك القيام بذلك من خلال واجهة الأوامر على Linux أو macOS باستخدام الأمر التالي:

$ ssh -L 5901:127.0.0.1:5901 -C -N -l sammy  your server_ip

يحدد المتغير L- رقم المنفذ في هذه الحالة تم بناء المنفذ 5901 للاتصال عن بُعد بالمنفذ 5901 على جهازك المحلي، تتيح الراية C- الضغط، بينما يخبر الراية N- الSSH أننا لا نريد تنفيذ أمر عن بعد، وتحدد الراية l- اسم المستخدم لتسجيل الدخول عن بُعد. استبدل اسم المستخدم sammy و your server ip باسم المستخدم العادي وعنوان IP الخاص بخادمك.

إذا كنت تستخدم عميل SSH بواجهة رسومية مثل PuTTY فاستخدم "your_server_ip" كعنوان IP للاتصال، وقم بتعيينه إلى localhost: 5901 كمنفذ جديد لإعادة التوجيه في إعدادات SSH بالبرنامج.

بمجرد تشغيل قناة الإتصال استخدم عميل VNC للاتصال بـ localhost: 5901؛ سيُطلب منك المصادقة باستخدام كلمة المرور التي قمت بتعيينها في الخطوة 1.

بمجرد الاتصال سترى سطح مكتب Xfce الافتراضي:

اختر استخدام الإعدادات الافتراضية (Use default config)لإعداد سطح المكتب بسرعة.

يمكنك الوصول إلى الملفات في مجلد المنزل (Home Directory) الخاص بك باستخدام مدير الملفات أو من سطر الأوامر، كما هو موضح هنا:

على جهازك المحلي اضغط CTRL + C في واجهة الأوامر من أجل إيقاف قناة الاتصال SSH والعودة لواجهة الأوامر؛ سيؤدي ذلك إلى قطع جلسة اتصال VNC أيضًا.

الآن دعنا نقوم بإعداد خادم VNC كنظام خدمة.

الخطوة الرابعة: تشغيل VNC كنظام خدمة

سنقوم بإعداد خادم VNC كنظام خدمة service حتى يمكننا تشغيله وإيقافه وإعادة تشغيله حسب الحاجة مثل أي خدمة أخرى، ذلك يضمن بدء تشغيل VNC عند إعادة تشغيل الخادم.

أولاً قم بإنشاء ملف وحدة جديد يسمى etc/systemd/system/vncserver@.service/ باستخدام محرر النصوص المفضل لديك:

$sudo nano /etc/systemd/system/vncserver@.service

يسمح لنا الرمز@ في نهاية الاسم بتمرير إعداد الخدمة، سنستخدم هذا لتحديد منفذ عرض VNC الذي نريد استخدامه عندما ندير الخدمة.

أضف الأسطر التالية إلى الملف وتأكد من تغيير قيمة User (المستخدم) وGroup (المجموعة) و Working Directory (مجلد العمل) وUsername (اسم المستخدم) في قيمة المتغير PIDFILE لمطابقة مع اسم المستخدم الخاص بك:

[Unit]
Description=Start TightVNC server at startup
After=syslog.target network.target
[Service]
Type=forking
User=sammy
Group=sammy
WorkingDirectory=/home/sammy

PIDFile=/home/sammy/.vnc/%H:%i.pid
ExecStartPre=-/usr/bin/vncserver -kill :%i > /dev/null 2>&1
ExecStart=/usr/bin/vncserver -depth 24 -geometry 1280x800 :%i
ExecStop=/usr/bin/vncserver -kill :%i

[Install]
WantedBy=multi-user.target

يوقف أمر ExecStartPre ال VNC إذا كان يعمل بالفعل بينما أمر ExecStart يعمل على تشغيل VNC وتعيين عمق الألوان على لون 24 بت ودقة الوضوح 1280 × 800، يمكنك تعديل خيارات بدء التشغيل هذه أيضًا لتلبية احتياجاتك.

احفظ وأغلق الملف. بعد ذلك، اجعل النظام على علم بملف الوحدة الجديد (unit file).

$ sudo systemctl daemon-reload

تفعيل ملف الوحدة.

$ sudo systemctl enable vncserver@1.service

يشير الرقم 1 الذي يلي العلامة @ إلى رقم العرض الذي يجب أن تظهر عليه الخدمة، وفي هذه الحالة يكون الرقم الافتراضي ‎:1 كما تمت مناقشته في الخطوة الثانية.

أوقف الممثل الحالي لخادم VNC إذا كان لا يزال قيد التشغيل.

$ vncserver -kill :1

ثم قم ببدء تشغيله كما تفعل أي خدمة أخرى.

$ sudo systemctl start vncserver@1

يمكنك التحقق من أن الأمر قد بدأ:

$ sudo systemctl status vncserver@1

إذا بدأ بشكل صحيح يجب أن يعرض المخرجات كما يلي:

● vncserver@1.service - Start TightVNC server at startup
   Loaded: loaded (/etc/systemd/system/vncserver@.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2019-10-10 17:56:17 UTC; 5s ago
  Process: 935 ExecStartPre=/usr/bin/vncserver -kill :1 > /dev/null 2>&1 (code=exited, status=2)
  Process: 940 ExecStart=/usr/bin/vncserver -depth 24 -geometry 1280x800 :1 (code=exited, status=0/SUCCESS)
 Main PID: 948 (Xtightvnc)
. . .

سيكون خادم VNC متاحًا الآن عند إعادة تشغيل الجهاز.

ابدأ تشغيل قناة اتصال SSH مرة أخرى:

$ ssh -L 5901:127.0.0.1:5901 -C -N -l sammy  your_server_ip

ثم قم بإجراء اتصال جديد باستخدام برنامج عميل VNC الخاص بك إلىlocalhost : 5901للاتصال بجهازك.

الخلاصة

لديك الآن خادم VNC آمن يعمل على خادم Debian 10 الخاص بك؛ستتمكن الآن من إدارة الملفات والبرامج والإعدادات باستخدام واجهة رسومية سهلة الاستخدام ومألوفة وستتمكن عليها من تشغيل برامج رسومية مثل متصفحات الويب عن بُعد.

ترجمة –وبتصرّف– للمقال How to Install and Configure VNC on Debian 10 لصاحبيه finid و Brian Hogan

Postfix هو وكيل نقل البريد مفتوح المصدر (MTA) الذي يمكن استخدامه لتوجيه وتسليم البريد الإلكتروني على نظام Linux، وتشير التقديرات إلى أن حوالي 25 ٪ من خوادم البريد العام على الإنترنت تعمل على تشغيل Postfix.

في هذا المقال، سنعلمك كيفية تثبيت Postfix وتشغيله بسرعة على خادم يعمل بنظام تشغيل أوبنتو 18.04.

المتطلبات الأساسية

من أجل تطبيق هذا المقال، يجب أن يكون لديك حق الوصول كمستخدم غير جذري (non-root) يملك صلاحيات sudo، للتعرف على كيفية إعداد ذلك يمكنك اتباع دليل الإعداد الأولي لخادم اوبنتو18.04 لإنشاء المستخدم.

لإعداد Postfix بشكل صحيح، ستحتاج إلى اسم نطاق (Domain Name) مؤهل بالكامل يتم توجيهه إلى خادم اوبنتو 18.04، يمكنك العثور على مساعدة في إعداد اسم النطاق (Domain Name) الخاص بك باستخدام DigitalOcean باتباع هذا المقال، إذا كنت تخطط لقبول البريد، فستحتاج إلى التأكد من أن لديك سجل MX يشير إلى خادم البريد الخاص بك.

لأغراض هذا المقال التعليمي، سنفترض أنك تقوم بإعداد الحاسوب المضيف له FQDN الخاص بـ mail.example.com.

الخطوة الأولى: تثبيت Postfix

يوجد Postfix في متجر أوبنتو الافتراضي، لذلك تثبيته بسيط. ابدأ أولًا تحديث ذاكرة التخزين المؤقت لحزمة apt الخاصة بك ثم قم بتثبيت البرنامج، سنقوم بتمرير DEBIAN_PRIORITY=low كمتغير في أمر التثبيت الخاص بنا للرد على بعض المتطلبات الإضافية:

$ sudo apt update
$ sudo DEBIAN_PRIORITY=low apt install postfix

استخدم المعلومات التالية لملء المطلوب بشكل صحيح للبيئة الخاصة بك:

• النوع العام من إعدادات البريد (General type of mail configuration): سنختار موقع إنترنت لأن هذا يتناسب مع احتياجات البنية الأساسية لدينا.

• اسم نظام البريد (System mail name): هذا هو المجال الأساسي للمستخدم من أجل إنشاء عنوان بريد إلكتروني صحيح عند تقديم جزء من عنوان الحساب العنوان الحساب فقط على سبيل المثال، اسم hostname هو mail.example.com لكن ربما نرغب في تعيين اسم بريد النظام إلى example.com يتم إعطاؤه اسم المستخدم user1، سيستخدم Postfix العنوان user1@example.com.

• مستلما البريد root و postmaster‏ (Root and postmaster mail recipient): هما عبارة عن حسابات Linux يقومان بإعادة ارسال عنوان البريد إلى root@ و postmaster@، استخدم حسابك الأساسي لهذا الغرض في مثالنا هو sammy.

• مستقبلات أخرى لقبول البريد (Other destinations to accept mail for): وهذا يعرف بمستقبلات البريد التي تقبل Postfix instance، إذا كنت بحاجة لإضافة أي نطاقات أخرى سيكون هذا الخادم مسؤولاً عن تلقيها، فأضف تلك النطاقات هنا وإلا سيطبق الإعداد الافتراضي.

• فرض تحديثات متزامنة على قائمة انتظار البريد؟ (Force synchronous updates on mail queue?‎): نظرًا لأنك تستخدم على الأرجح ملفات النظام ، فقم برد ب "لا" هنا.

• الشبكات المحلية (Local networks): هذه قائمة من الشبكات التي تم إعدادها بخادم البريد الخاص بك من أجل ترحيل الرسائل، بمعظم الحالات سيعمل الإعداد الافتراضي، ولكن إذا اخترت تعديله ، فتأكد من أن يكون مقيدًا للغاية فيما يتعلق بنطاق الشبكة.

• تحديد الحد الأعلى لحجم صندوق البريد الوارد (Mailbox size limit): يستخدم هذا الحد للحد من حجم الرسائل الواردة و يتم تعطيل أي قيود على حجم البريد بضبطه على 0.

• الحرف المضاف للعنوان المحلي (Local address extension character): هذا الحرف يستخدم للفصل بين الجزء العادي من العنوان و الجزء المضاف (يستخدم لإنشاء أسماء مستعارة ديناميكية).

• برتوكولات الانترنت الواجب استخدامها (Internet protocols to use): اختر اذا ما كنت تريد تقييد اصدار IP الذي سيدعمه Postfix، سنختار كل IP لاغراضنا هنا.

هذه هي الإعدادات التي سنستخدمها في هذا الدليل:

General type of mail configuration?: Internet Site
System mail name: example.com (not mail.example.com)
Root and postmaster mail recipient: sammy
Other destinations to accept mail for: $myhostname, example.com, mail.example.com, localhost.example.com, localhost
Force synchronous updates on mail queue?: No
Local networks: 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
Mailbox size limit: 0
Local address extension character: +
Internet protocols to use: all

من أجل اعادة ضبط الاعدادات السابقة بأي وقت يمكنك ذلك بتنفيذ الأمر التالي:

$ sudo dpkg-reconfigure postfix 

سيتم ملء الطلبات السابقة بالردود السابقة بشكل تلقائي. عند الانتهاء ، يمكننا الآن إجراء المزيد من التهيئة لإعداد نظامنا بالطريقة التي نرغب بها.

الخطوة الثانية: تحسين إعدادات Postfix

بعد ذلك، يمكننا ضبط بعض الإعدادات التي لم تطلبها منا الحزمة.

بدايةً، يمكننا ضبط صندوق البريد؛سوف نستخدم تنسيق Maildi الذي يفصل الرسائل إلى ملفات فردية يتم نقلها بين المجلدات بناءً على إجراء المستخدم أما الخيار الآخر فهو تنسيق mbox (الذي لن نغطيه هنا) الذي يخزن جميع الرسائل في ملف واحد.

سنقوم بتعيين المتغير home_mailbox إلى القيمة Maildir/‎ أي ننشئ مجلدًا داخل المجلد الرئيسي للمستخدم إن استخدام الامر Postconf سيقوم بضبط الإعدادات اكتب الامر التالي لإعداد home/mailbox:

$ sudo postconf -e 'home_mailbox= Maildir/'

بعد ذلك، يمكنك تعيين موقع الجدول virtual_alias_maps الذي يحتوي حسابات البريد الإلكتروني المرتبطة بحسابات نظام Linux، سننشئ هذا الجدول في etc/postfix/virtual/ سنستخدم الأمر postconf مرة اخرى:

$ sudo postconf -e 'virtual_alias_maps= hash:/etc/postfix/virtual'

الخطوة الثالثة: خريطة عناوين البريد لحسابات Linux

الآن سنقوم باعادة إعداد ملف جدول الخرائط الإفتراضي، افتح الملف في محرر النصوص الخاص بك:

$sudo nano /etc/postfix/virtual

يستخدم الاسم المستعار في جدول خريطة الافتراضي تنسيقًا بسيطًا على اليسار إذ يمكنك عرض أي عناوين ترغب في قبول بريدها الإلكتروني افصل بينها وبين اسم مستخدم Linux الذي ترغب في تسليم البريد إليه بمسافة بيضاء ثم أدخل مستخدم Linux.

على سبيل المثال إذا كنت ترغب بقبول البريد الإلكتروني contact@example.com والبريد admin@example.com وترغب في تسليم رسائل البريد الإلكتروني هذه إلى المستخدم sammy، فيمكنك إعداد الملف ‎/etc/postfix/virtual كما يلي:

contact@example.com sammy 
admin@example.com sammy 

بعد تعيين جميع العناوين على حسابات الخادم المناسبة، احفظ وأغلق الملف. يمكننا تطبيق وتفعيل السابق بتنفيذ الأمر:

$ sudo postmap /etc/postfix/virtual 

أعد تشغيل عملية Postfix للتأكد من تطبيق جميع التغييرات:

$sudo systemctl restart postfix 

أصبح خادم Postfix الآن مثبت وجاهز؛ سنقوم بإعداد عميل يمكنه التعامل مع البريد الذي يعالجه Postfix.

الخطوة الرابعة: ضبط جدار الحماية

إذا كنت تقوم بتشغيل جدار حماية UFW باعدادت الأولية التي تم تهيئة الخادم عليها سوف يتعين علينا السماح باستثناء Postfix. يمكنك السماح بالاتصالات بالخدمة بتنفيذ الأمر التالي:

$ sudo ufw allow Postfix 

الآن خادم Postfix مثبت وجاهز سنقوم بإعداد عميل يمكنه التعامل مع البريد الذي يعالجه Postfix.

الخطوة الخامسة: إعداد البيئة لربطها مع موقع البريد

قبل أن نثبت العميل يجب أن نتأكد من صحة متغير بيئة MAIL الخاص بنا معدة بشكل صحيح، سيقوم العميل بفحص هذا المتغير لمعرفة مكان الذي أبحث فيه عن بريد المستخدم. من أجل تعيين المتغير بغض النظر عن كيفية وصولك إلى حسابك (من خلال ssh ، su ، su - ، sudo ، إلخ) ، نحتاج إلى تعيين المتغير في عدة مواقع مختلفة؛ سنقوم بإضافته إلى داخل ملفetc/bash.bashrc/و ملفetc/profile.d/للتأكد من أن كل مستخدم لديه هذا الإعداد. من أجل إضافة المتغير إلى هذه الملفات نفذ الأمر التالي:

$echo 'export MAIL=~/Maildir' | sudo tee -a /etc/bash.bashrc | sudo tee -a /etc/profile.d/mail.sh

لقراءة المتغير في جلستك الحالية يمكنك تنفيذ على الملف etc/profile.d/mail.sh/:

 $ source /etc/profile.d/mail.sh 

الخطوة السادسة: تثبيت وإعداد بريد العميل

للتفاعل مع البريد الذي يتم تسليمه؛ سنقوم بتثبيت حزمةs-nailوهو البديل عن عميل BSD xmailالغني بالميزات ويمكنه التعامل مع تنسيق Maildir بشكل صحيح، وغالبًا ما يكون متوافقًا مع الإصدارات السابقة، يحتوي إصدار GNU للبريد على بعض القيود مثل حفظ بريد القراءة دائمًا بتنسيق mbox بغض النظر عن التنسيق المصدر. لتنزيل حزمة s-nail نستخدم الأمر:

$ sudo apt install s-nail

من أجل ضبط بعض الإعدادات افتح الملف etc/s-nail.rc/ باستخدام محرر النصوص الخاص بك:

$ sudo nano /etc/s-nail.rc 

أضف الخيارات التالية في أسفل الملف ‎/etc/s-nail.rc:

. . .
set emptystart
set folder=Maildir
set record=+sent

سيتيح هذا للعميل فتحه حتى مع البريد الوارد الفارغ؛ سيقوم أيضًا بتعيين المجلد Maildir داخل المجلد الداخلي ثم سيستخدم لإنشاء ملف mbox الذي تم ارساله ويخزن البريد المرسل.

احفظ وأغلق الملف عند الانتهاء.

الخطوة السابعة: تهيئة Maildir واختبار العميل

الآن، يمكننا اختبار العميل من الخارج:

تهيئة بنية المجلد

أسهل طريقة لإنشاء Maildir في مجلدنا الرئيسي هي إرسال بريد إلكتروني إلى أنفسنا يمكننا القيام بذلك باستخدام الأمر s-nail نظرًا لأن الملف المرسل لن يكون متاحًا إلا بعد إنشاء Maildir، سنقوم بتعطيل الكتابة لهذا البريد الإلكتروني الأولي باستخدام الخيار Snorecord-.

أرسل رسالة بريد إلكتروني عن طريق تمرير الجملة String إلى الأمر s-nail وحدد مستخدم Linux المستلم للرسالة:

$ echo 'init' | s-nail -s 'init' -Snorecord sammy

سيكون الرد ربما كتالي:

Can't canonicalize "/home/sammy/Maildir"

سيظهره هذا الأمر بشكل طبيعي عند ارسال الرسالة أول مرة و يمكننا التحقق من إنشاء المجلد من خلال البحث عن مجلد Maildir/~:

$ ls -R ~/Maildir

ستشاهد ما يحتوي عليه المجلد وقد تم إنشاء ملف جديد فيه رسالة جديدة في المجلد Maildir/new/~:

/home/sammy/Maildir/:
cur  new  tmp

/home/sammy/Maildir/cur:

/home/sammy/Maildir/new:
1463177269.Vfd01I40e4dM691221.mail.example.com

/home/sammy/Maildir/tmp:

يبدو أن البريد تم تسليمه.

إدارة البريد مع العميل

استخدم العميل من أجل التحقق من بريدك:

$ s-nail 

ستجد الرسالة التالية تنتظرك:

s-nail version v14.8.6.  Type ? for help.
"/home/sammy/Maildir": 1 message 1 new
>N  1 sammy@example.com     Wed Dec 31 19:00   14/369   init

اضغط على زر Enter لعرض رسالتك التالية:

[-- Message 1 -- 14 lines, 369 bytes --]:
From sammy@example.com Wed Dec 31 19:00:00 1969
Date: Fri, 13 May 2016 18:07:49 -0400
To: sammy@example.com
Subject: init
Message-Id: \<20160513220749.A278F228D9@mail.example.com\>
From: sammy@example.com

init

يمكنك العودة إلى قائمة الرسائل الخاصة بك بكتابة الرمز h ثم Enter:

? h

نظرًا لأن هذه الرسالة ليست مفيدة للغاية يمكننا حذفها باستخدام الرمز d ثم Enter :

 ? d

للعودة إلى شاشة الأوامر استخدم الرمز q ثم ENTER:

? q

إرسال البريد مع العميل

يمكنك اختيار إرسال رسالة عبر كتابة الرسالة بمحرر النصوص :

 $ nano ~/test_message

داخل الملف ‎~/test_message اكتب النص الذي تود ارساله بالبريد:

Hello,

This is a test. Please confirm receipt!

بإمكاننا باستخدام الأمر cat توجيه الرسالة باستخدام s-nail سيؤدي ذلك إلى إرسال الرسالة كمستخدم Linux الافتراضي، يمكنك ضبط الحقل "From" باستخدام الراية r- إذا كنت تريد تعديل هذه القيمة إلى شيء آخر:

$ cat ~/test_message | s-nail -s 'Test email subject line' -r from_field_account  user@email.com

الخيارات بالأمر السابق تعني:

• s-: موضوع البريد الإلكتروني
• r-: حقل اختياري لتغيير الحقل "From" في البريد الإلكتروني بشكل افتراضي هو مستخدم Linux الذي قمت بتسجيل الدخول به سيتم استخدامه لملء هذا الحقل، يسمح لك الخيار r- باعادة تعيينه.
• user@email.com: الحساب المرسل اليه البريد الإلكتروني قم بتغييره ليكون حسابًا صحيحًا لك حق الوصول إليه.

يمكنك عرض رسائلك المرسلة داخل عميل s-nail الخاص بك اعد تشغيل العميل التفاعلي مرة أخرى بكتابة الأمر التالي:

$ s-nail

بإمكانك عرض الرسائل المرسلة عبر الأمر التالي :

? file +sent

يمكنك إدارة البريد المرسل باستخدام نفس الأوامر التي تستخدمها للبريد الوارد.

الخلاصة

يجب أن يكون لديك الآن القدرة على إعداد Postfix على خادم أوبنتو 18.04 إن إدارة خوادم البريد الإلكتروني مهمة صعبة على مسؤولين النظام ولكن مع هذا الإعداد يجب أن يكون لديك وظيفة البريد الإلكتروني MTA الأساسية لتبدأ.

ترجمة -وبتصرف- للمقال How To Install and Configure Postfix on Ubuntu 18.04 لصاحبيه Justin Ellingwood و Hanif Jetha

تعتقد أنّك تعرف كل شيء عن sudo؟ فكّر بذلك مجدّدًا.

يعرف الجميع sudo أليس كذلك؟ تُثبَّت هذه الأداة بشكل افتراضي على معظم أنظمة Linux وهي متوفّرة لمعظم توزيعات BSD (اختصارًا إلى Berkeley Software Distributions) ومختلف توزيعات يونكس التجاريّة. ومع ذلك كانت الإجابة الأكثر شيوعًا التي تلقيتها بعد التحدث إلى مئات مستخدمي sudo هي أنّ sudo أداة لتعقيد الحياة.

يوجد لديك مستخدم جذر root ولديك أمر su، فلماذا يكون لديك أداة أخرى؟ كان sudo بالنسبة للكثيرين مجرّد بادئة للأوامر الإداريّة. ذكرت قلّة قليلة فقط أنّه يمكنك استخدام سجلات sudo لمعرفة من قام بعملٍ ما عندما يكون لديك العديد من المسؤولين في نفس النظام.

ما هو sudo؟ وفقًا لموقع sudo الإلكتروني:

اقتباس

"يسمح Sudo لمسؤول النظام«بتفويض السُلطة» (authority)عن طريق منح بعض المستخدمين القدرة على تشغيل بعض الأوامر كمستخدم root أو كمستخدم آخر مع توفير مسار تدقيق للأوامر «والوسائط» (arguments)الخاصّة بها."

يأتي sudo افتراضيًّا بضبط بسيط، حيث أن قاعدة واحدة تسمح للمستخدم أو لمجموعة من المستخدمين بالقيام بأي شيء عمليًا (المزيد حول ملف الضبط لاحقًا ضمن هذه المقالة):

%wheel ALL=(ALL) ALL

تعني «المعاملات» (parameters) في هذا المثال ما يلي:

• يحدّد المعامل الأول أعضاء المجموعة.
• يحدّد المعامل الثاني المُضيف (المضيفين) الذي يمكن لأعضاء المجموعة تشغيل الأوامر عليه.
• يحدّد المعامل الثالث أسماء المستخدمين التي يمكن بموجبها تنفيذ الأمر.
• يحدّد المعامل الأخير التطبيقات التي يمكن تشغيلها.

لذلك يمكن لأعضاء مجموعة Wheel في هذا المثال تشغيل جميع التطبيقات مثل كافة المستخدمين على جميع المضيفين. حتى هذه القاعدة المتسامحة حقًا مفيدة لأنها تؤدي إلى تسجيل من قام بعملٍ ما على جهازك.

الأسماء المستعارة (Aliases)

بالطبع بمجرّد كونك لا تقوم أنت وصديقك المفضّل فقط بإدارة صندوق مشترك ما، فسوف تبدأ التفكير في ضبط الأذونات. يمكنك استبدال العناصر الموجودة في الضبط أعلاه بقوائم: قائمة المستخدمين، قائمة الأوامر، وما إلى ذلك. ستَنسخ على الأرجح وتلصق بعض هذه القوائم في الضبط الخاص بك.

في مثل هذه الحالة حيث يكون استخدام الأسماء المستعارة في متناول اليد. يكون الحفاظ على نفس القائمة في أماكن متعدّدة عُرضة للخطأ. بالإمكان تعريف اسم مستعار مرّة واحدة وبعد ذلك يمكنك استخدامه مرّات عديدة. لذلك عندما تفقد الثقة في أحد أو بعض المسؤولين لديك، يمكنك إزالتَهم من خلال الاسم المستعار وينتهي الأمر. ولكن مع وجود قوائم متعددة بدلاً من الأسماء المستعارة فإنّه من السهل أن تنسى إزالة مستخدم ما من إحدى القوائم ذات الامتيازات العالية.

تمكين الميزات لمجموعة معيّنة من المستخدمين

يأتي الأمر sudo مزودًا بمجموعة كبيرة من الإعدادات الافتراضيّة. لا يزال هناك حالات تريد فيها تغيير بعضٍ من هذه الإعدادات. وذلك عند استخدام التعليمة Defaults في الضبط. عادةً ما يتم فرض هذه الإعدادات الافتراضيّة على كل مستخدم، ولكن يمكنك تضييق مجال هذه الإعدادات لتُطبّق فقط على مجموعة فرعيّة من المستخدمين بناءً على المضيف واسم المستخدم وما إلى ذلك.

هنا مثال على أن مسؤول النظام الخاص بي (sysadmins) يُحبّ استخدام "التوبيخ" insults. وهي مجرّد بضع رسائل هزليّة تظهر كَتوبيخ عندما يُخطئ المستخدم في كلمة السرّ عند تنفيذ أوامر في sudo:

czanik@linux-mewy:~> sudo ls
[sudo] password for root:
Hold it up to the light --- not a brain in sight!
[sudo] password for root:
My pet ferret can type better than you!
[sudo] password for root:
sudo: 3 incorrect password attempts
czanik@linux-mewy:~>

وبما أنه ليس الجميع معجب بفكاهة مدير النظام، تُعطّل هذه التوبيخات افتراضيًا. يوضّح المثال التالي كيفية تمكين هذا الإعداد فقط لمسؤولي النظام المتمرسين وهم أعضاء في المجموعة wheel:

Defaults !insults
Defaults:%wheel insults

ليس لدي ما يكفي من الأصابع لتعداد الأشخاص الذين شكروني على إعداد هذه الرسائل.

مُصادقة القيم المختصرة المشفرة (Digest verification)

بالطبع هناك ميزات أكثر أهميّةً في sudo كذلك. إحدى الميزات هي «مُصادقة القيم المختصرة المشفرة» (digest verification). يمكنك تضمين مصادقة القيم المختصرة المشفرة للتطبيقات في الضبط الخاص بك:

peter ALL = sha244:11925141bb22866afdf257ce7790bd6275feda80b3b241c108b79c88 /usr/bin/passwd

يقوم sudo في هذه الحالة بفحص وموازنة القيمة المتخصرة المشفرة لتطبيق مع القيمة المشفرة المختصرة لتطبيق المخزّن في الضبط قبل تشغيله. فإذا لم يكونا متطابقين عندها يرفض sudo تشغيل التطبيق. على الرغم من صعوبة الحفاظ على هذه المعلومات في الضبط الخاص بك – حيث لا توجد أدوات تلقائية لهذا الغرض - إلا أنّ هذه الملخّصات يمكن أن توفر لك طبقة إضافيّة من الحماية.

تسجيل الجلسة

تسجيل الجلسة هو أيضًا ميزة أقل شهرةً لـ sudo. بعد عرضي التوضيحي يغادر كثير من الأشخاص محادثتي مع خطط عازمين على تنفيذها على بنيتهم التحتيّة.

لماذا؟ لأن تسجيل الجلسة لا يتيح لك رؤية اسم الأمر فقط، بل كل ما يحدث في الجهاز الطرفي أيضًا. فبإمكانك معرفة ما يفعله المسؤولون لديك حتى لو كان لديهم وصول إلى الصدفة (shell) والسجلات تُظهر فقط أن bash بدأ العمل.

توجد محدوديّة واحدة حاليًّا وهي أن السجلات تخزّن محليًّا، لذلك يمكن للمستخدمين حذف سجلات التتبع الخاصّة بهم إذا توفرت لهم أذونات كافية. ترقبوا الميزات القادمة.

الإضافات

تم تغيير sudo إلى بنية معياريّة قائمة على «الإضافات» (plugins) بدءًا من الإصدار 1.8. حيث أصبح بالإمكان استبدال أو توسيع وظائف sudo بسهولة عن طريق كتابة وظائفك الخاصّة، وذلك اعتمادًا على معظم الميزات التي نُفّذت كإضافات. يتوفر حاليًا كلًّا من الإضافات مفتوحة المصدر والإضافات التجاريّة لـ sudo. عَرضتُ في حديثي الإضافة sudo_pair والتي تتوفر على GitHub. طوّرت هذه الإضافة في Rust مما يعني أنه ليس من السهل «ترجمتها» (compile) والأكثر صعوبةً من ذلك هو نشر النتائج.

تُوفّر الإضافات من ناحيةٍ أخرى وظائف مثيرة للاهتمام، مُتطلبةً من مسؤولٍ ثانٍ الموافقة (أو الرفض) لتشغيل الأوامر من خلال sudo. ليس ذلك فحسب، بل يمكن أيضًا تتبع الجلسات على الشاشة وإنهاؤها في حال وجود نشاط مشبوه.

في عرضٍ توضيحيّ قدمته خلال حديثي مؤخرًا في مؤتمر "All Things Open" شعرت كمن يجلب لنفسه السمعة السيئة.

czanik@linux-mewy:~> sudo  rm -fr /

كان الجميع يحبس أنفاسهم لمعرفة ما إذا كان جهاز الحاسوب المحمول قد دُمّر عند رؤية الأمر المعروض على الشاشة، لكنه نجا.

السجلات

يُعدّ التسجيل والتنبيه جزءًا مهمًا من sudo كما ذكرت سابقًا في البداية. إذا لم تقم بفحص سجلات sudo الخاصّة بك بانتظام فليس هناك قيمة كبيرة لاستخدام sudo. تُنبّه هذه الأداة عن طريق البريد الإلكتروني عن الأحداث المحدّدة في الضبط وتُسجل جميع الأحداث في syslog. يمكن تشغيل سجلات التنقيح (Debug) واستخدامها لتصحيح القواعد أو الإبلاغ عن «الأخطاء» (bugs).

التنبيهات Alerts

تعد تنبيهات البريد الإلكتروني من النمط القديم الآن، ولكن إذا كنت تستخدم syslog-ng لتَجميع رسائل السجل الخاصّة بك، فستُنقّح رسائل سجل sudo تلقائيًا.

يمكنك بسهولة إنشاء تنبيهات مخصّصة وإرسالها إلى مجموعة واسعة من الوجهات، بما في ذلك Slack أو Telegram أو Splunk أو Elasticsearch.

الضبط

تحدثنا كثيرًا عن ميزات sudo وحتى شاهدنا بضعة أسطر من «الضبط» (Configuration). دعنا الآن نلقي نظرة أقرب على كيفيّة ضبط sudo. الضبط نفسه متاح في ‎/etc/sudoers وهو ملف نصيّ بسيط. ومع ذلك ما يزال لا يُنصح بتحرير هذا الملف مباشرة، استخدم بدلاً من ذلك visudo حيث تتحقق هذه الأداة من بناء الجملة النحويّ أيضًا. بإمكانك إذا كنت لا تحب vi تغيير المحرّر المُستخدَم عن طريق ضبط متغير البيئةEDITOR إلى الخيار المفضل لديك.

تأكّد قبل البدء في تحرير ضبط sudo من معرفة كلمة مرور المستخدم root. (نعم، حتى على Ubuntu حيث الـ root ليس لديه كلمة مرور افتراضيًّا.) بما أنّ visudo يتحقّق من البناء النحويّ للجملة فمن السهل إنشاء ضبط صحيح نحويًّا يمنعك من الولوج إلى نظامك.

يمكنك عندما تتوفر لديك كلمة مرور جذر في حالة الطوارئ البدء في تحرير الضبط الخاص بك. هناك شيء واحد مهم يجب تذكره عندما يتعلق الأمر بملف sudoers وهو أنّه: يُقرأ هذا الملف من الأعلى إلى الأسفل وبالتالي يُنفّذ الإعداد الأخير.

ما تعنيه هذه الحقيقة بالنسبة لك هو أنّه يجب أن تبدأ بالإعدادات العامّة وتضع الاستثناءات في النهاية، وإلا فإنّ الإعدادات العامة ستُلغي الاستثناءات. يمكنك العثور على ملف sudoers بسيط أدناه اعتمادًا على ذلك الموجود في CentOS وإضافة بضعة أسطر كنا قد ناقشناها سابقًا:

Defaults !visiblepw
Defaults always_set_home
Defaults match_group_by_gid
Defaults always_query_group_plugin
Defaults env_reset
Defaults env_keep = "COLORS DISPLAY HOSTNAME HISTSIZE KDEDIR LS_COLORS"
Defaults env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin
root ALL=(ALL) ALL
%wheel ALL=(ALL) ALL
Defaults:%wheel insults
Defaults !insults
Defaults log_output

يبدأ هذا الملف عن طريق تغيير عدد من الإعدادات الافتراضيّة. ثم تأتي القواعد الافتراضيّة المعتادة: المستخدم root وأعضاء مجموعة wheel لديهم أذونات كاملة على الجهاز. نُمكّن بعد ذلك insults لمجموعة wheel ونعطّلها للجميع. يفعّل السطر الأخير تسجيل الجلسة.

الضبط أعلاه صحيح نحويًّا، لكن هل يمكنك اكتشاف الخطأ المنطقي؟ نعم، هناك خطأ: تُعطّل insults للجميع عند آخر إعداد عام حيث يُلغي الإعداد السابق الإعداد الأكثر تحديدًا. وبمجرّد تبديل السطرين يعمل الإعداد كما هو متوقع: يتلقى أعضاء مجموعة wheel رسائل هزليّة في حين أنً باقي المستخدمين لن يتلقونها.

إدارة الضبط

بمجرد أن تضطر إلى الاحتفاظ بملف sudoers على أجهزة متعدّدة فمن المرجح أنك تريد إدارة الضبط الخاص بك مركزيًا. لدينا هنا احتمالان رئيسيان مَفتوحا المصدر. لكلٍ منهما مزايا وعيوب.

يمكنك استخدام أحد تطبيقات إدارة الضبط التي تستخدمها أيضًا لضبط بقية البنية التحتيّة الخاصّة بك. تحتوي Red Hat Ansible و Puppet و Chef على وحدات لضبط sudo. المشكلة في هذا النهج هي أنّ تحديث الضبط بعيد عن الوقت الحقيقي. كما أنه لا يزال بإمكان المستخدمين تحرير ملف sudoers محليًا وتغيير الإعدادات.

يمكن للأداة sudo أيضًا تخزين ضبطها في خادم LDAP. تكون تغييرات الضبط في هذه الحالة في الوقت الحقيقي ولا يمكن للمستخدمين العبث بملف sudoers. ولكن من ناحية أخرى لهذه الطريقة محدوديّة أيضًا. حيث لا يمكنك على سبيل المثال استخدام الأسماء المستعارة aliases أو استخدام sudo عندما يكون خادم LDAP غير متوفر.

ميزات جديدة

هناك نسخة جديدة من sudo قاب قوسين أو أدنى. سيتضمن الإصدار 1.9 العديد من الميزات الجديدة المثيرة للاهتمام. فيما يلي أهم الميزات المُخطط لها:

1. خدمة تسجيل لجمع تسجيلات الجلسة مركزيًا والتي توفر العديد من المزايا مقارنة بالتخزين المحلي:
   1. أكثر ملاءمة للبحث حيث يتم ذلك في مكان واحد.
   2. تتوفر التسجيلات حتى ولو كان جهاز المرسل متوقفا.
   3. لا يمكن حذف التسجيلات بواسطة شخص يريد حذف سجلات التتبع الخاصّة به.
2. لا تضيف الإضافة "Audit" ميزات جديدة إلى sudoers، ولكنها توفّر واجهة برمجة تطبيقات API للإضافات للوصول بسهولة إلى أي نوع من سجلات sudo. تمكّن هذه الإضافة إنشاء سجلات مخصّصة من أحداث sudo باستخدام الإضافات.
3. تُمكّن إضافة approval موافقات الجلسة دون استخدام إضافات خارجية (third-party plugins).
4. والميزة المفضّلة لدي شخصيًا: دعم Python للمكونات الإضافيّة والتي تمكّنك من توسيع sudo بسهولة باستخدام شيفرة Python بدلاً من كتابة شيفرة أصليّة في C.

الخلاصة

آمل أن يكون هذا المقال قد أثبت لك أن sudo أكثر بكثير من مجرّد بادئة بسيطة. هناك الكثير من الاحتمالات لضبط الأذونات على نظامك. فأنت هنا لا تتمكن من ضبط الأذونات فحسب بل تتمكن أيضًا من تحسين الأمان عن طريق التحقق من عمليات مصادقة digests. تُمكّنك تسجيلات الجلسة من التحقّق مما يحدث على أنظمَتك. بإمكانك أيضًا توسيع وظيفة sudo باستخدام الإضافات، إما باستخدام شيء متاح مُسبقًا أو كتابة ما تريد بشكل خاص. أخيرًا وبالنظر إلى قائمة الميزات القادمة يمكنك أن ترى أنه حتى لو كان عمر sudo عقودًا إلاّ أنّه مشروع حيّ يتطور باستمرار.

إذا كنت ترغب بمعرفة المزيد عن sudo فإليك بعض الموارد:

• موقع sudo الإلكتروني
• مدونة sudo

ترجمة وبتصرف للمقال What you probably didn’t know about sudo لصاحبه Peter Czanik

مع انتقال أدوات المطوّرين إلى «السحابة» (cloud)، يتزايد إنشاء واعتماد منصّات بيئة التطوير المتكاملة (IDE) السحابية. تتيح منصّات Cloud IDE التعاون في الوقت الحقيقي بين فرق المطوّرين من أجل العمل في بيئة تطوير موحّدة ما من شأنه التقليل من حالات عدم التوافق وتحسين الإنتاجية. حيث يمكن الوصول إليها من خلال متصفحات الويب، وتتوفر Cloud IDEs من كل أنواع الأجهزة الحديثة.

إن code-server هو نسخة Microsoft Visual Studio Code تعمل على خادم بعيد ويمكن الوصول إليها مباشرة من متصفحك. المحرر Visual Studio Code هو محرّر تعليمات برمجيّة حديث مع دعم متكامل لـ Git ومنقّح شيفرة وإكمال تلقائي ذكي وميزات أخرى قابلة للتخصيص والتوسيع. يعني هذا أنه سيتوفر لديك دائمًا بيئة تطوير متناسقة حتى مع استخدامك لأجهزة متنوعة تعمل بأنظمة تشغيل مختلفة.

ستقوم في هذه الدليل بإعداد منصّة code-server cloud IDE على جهاز يعمل بنظام تشغيل أبونتو 18.04 وإتاحتها على «اسم النطاق» (domain) خاصتك، وسيكون محميّ بشهادات TLS Let's Encrypt المجانيّة. وسيكون لديك في النهاية نسخة Microsoft Visual Studio Code تعمل على خادم Ubuntu 18.04 الخاص بك ومتاحةً على اسم نطاقك ومحميّة بكلمة مرور.

المتطلبات المُسبقة

1. خادم يعمل بنظام تشغيل Ubuntu 18.04 على الأقل مع ذاكرة وصول عشوائي (RAM) سعة 2 جيجا بايت، وامتيازات «وصول المستخدم الجذر» (root access)، وحساب sudo «عادي» (non-root). يمكنك إعداد ذلك باتباع هذا الدليل للإعداد الأولي للخادم.
2. نسخة Nginx مُثبتة على خادمك. للحصول على دليل حول كيفيّة القيام بذلك، أكمل الخطوات من 1 إلى 4 حول كيفيّة تثبيت Nginx على Ubuntu 18.04.
3. كلًّا من سجلي DNS التاليين المُعدّين لخادمك. يمكنك متابعة هذه المقدمة إلى DigitalOcean DNS للحصول على تفاصيل حول كيفية إضافتها.
   1. سجل لـyour-domain يشير إلى عنوان IP العام للخادم الخاص بك.
   2. سجل لـwww.your-domain يشير إلى عنوان IP العام لخادمك.
4. اسم نطاق domain مسجّل بالكامل لاستضافة code-server يُشير إلى خادمك الخاص. سيَستخدم هذا الدليل code-server.your-domain في كامل المقال. يمكنك شراء اسم نطاق من Namecheap أو الحصول على واحد مجانًا عبر Freenom أو استخدام أي موقع تسجيل نطاقات تختاره.

الخطوة 1: تثبيت code-server

ستقوم في هذا القسم بإعداد code-server على خادمك الخاص. سيستلزم ذلك تنزيل أحدث إصدار وإنشاء خدمة systemd والتي من شأنها أن تُبقي code-server يعمل دائمًا في الخلفية. ستحدد أيضًا سياسة إعادة التشغيل للخدمة، بحيث يبقى code-server متاحًا بعد الأعطال أو إعادات التشغيل المحتملة. سنُخزن جميع البيانات المتعلقة بـ code-server في مجلد باسم ‎~/code-server أنشئه عن طريق تنفيذ الأمر التالي:

mkdir ~/code-server

انتقل إليه:

cd ~/code-server

ستحتاج إلى الانتقال إلى صفحة إصدارات Github لـ code-server واختيار أحدث إصدار من Linux (سيحتوي اسم الملف على الكلمة "linux"). كان الإصدار الأخير عند كتابة هذا التقرير هو 2.1692. نزّله باستخدامwgetعن طريق تشغيل الأمر التالي:

wget https://github.com/cdr/code-server/releases/download/2.1692-vsc1.39.2/code-server2.1692-vsc1.39.2-linux-x86_64.tar.gz

فكّ بعد ذلك ضغط الأرشيف من خلال تشغيل الأمر التالي:

tar -xzvf code-server2.1692-vsc1.39.2-linux-x86_64.tar.gz

ستحصل على مجلد باسم الملف الأصلي الذي قمت بتنزيله والذي يحتوي على ملف الـ code-server القابل للتنفيذ. انتقل إليه:

cd code-server2.1692-vsc1.39.2-linux-x86_64

انسخ ملف code-server التنفيذي إلى المسار /usr/local/bin حتى تتمكن من الوصول إليه عبر كامل نطاق النظام عن طريق تشغيل الأمر التالي:

sudo cp code-server /usr/local/bin

أنشئ بعد ذلك مجلد لـ code-server حيث ستُخزين بيانات المستخدم:

sudo mkdir /var/lib/code-server

الآن وبعد تنزيلك لـ code-server وجعله متاحًا على مستوى النظام، ستُنشئ خدمة systemd لإبقاء code-server يعمل في الخلفيّة بشكل دائم.

ستخزّن ضبط الخدمة في ملف باسم code-server.service، في المسار‎/lib/systemd/system حيث يخزن systemd خدماته. أنشئه باستخدام محرّر نصوصك الخاص:

sudo nano /lib/systemd/system/code-server.service

أضف الأسطر التالية في الملف ‎/lib/systemd/system/code-server.service:

[Unit]
Description=code-server
After=nginx.service

[Service]
Type=simple
Environment=PASSWORD=your_password
ExecStart=/usr/local/bin/code-server --host 127.0.0.1 --user-data-dir /var/lib/code-server --auth password
Restart=always

[Install]
WantedBy=multi-user.target

يتوجب عليك هنا أولًا تحديد وصفٍ للخدمة. تذكر بعد ذلك أنّ خدمة nginx يجب أن تُشغّل قبل هذه الخدمة. يمكنك بعد القسم [Unit] تحديد نوع الخدمة (تعني simple أنه يجب تشغيل العملية ببساطة) وتجهيز الأمر الذي سيُنفّذ.

يمكنك أيضًا تحديد أنّه يجب تشغيل code-server العموميّ القابل للتنفيذ مع إضافة بعض «الوسائط» (arguments) لـ code-server. الوسيط ‎--host 127.0.0.1 يربطه مع localhost، وبذلك يمكن الوصول إليه مباشرة فقط من داخل خادمك الخاص. يعين الوسيط ‎--user-data-dir /var/lib/code-server مسار بيانات المستخدم الخاص به، - يُحدّد ‎--auth password أنّه يجب مصادقة الزائرين باستخدام كلمة مرور، كما هو محدّد في متغير البيئة PASSWORD المصرّح عنه في السطر الذي يسبقه.

لا تنسَ استبدال your_password بكلمة مرورك الخاصّة ثم احفظ وأغلق الملف.

يطلب السطر التالي من systemd إعادة تشغيل code-server عند حصول أي خلل (على سبيل المثال عند تعطله أو إنهاء العملية قسريًّا). يطلب القسم [Install] من systemd بدء هذه الخدمة عندما يصبح بالإمكان تسجيل الدخول إلى الخادم الخاص بك.

ابدأ خدمة code-server عن طريق تشغيل الأمر التالي:

sudo systemctl start code-server

تحقّق من أنها بدأت بشكل صحيح من خلال مراقبة حالاتها:

sudo systemctl status code-server

سترى خرجًا مشابهًا لما يلي:

 code-server.service - code-server
   Loaded: loaded (/lib/systemd/system/code-server.service; disabled; vendor preset: enabled)
   Active: active (running) since Mon 2019-12-09 20:07:28 UTC; 4s ago
 Main PID: 5216 (code-server)
    Tasks: 23 (limit: 2362)
   CGroup: /system.slice/code-server.service
           ├─5216 /usr/local/bin/code-server --host 127.0.0.1 --user-data-dir /var/lib/code-server --auth password
           └─5240 /usr/local/bin/code-server --host 127.0.0.1 --user-data-dir /var/lib/code-server --auth password

Dec 09 20:07:28 code-server-ubuntu-1804 systemd[1]: Started code-server.
Dec 09 20:07:29 code-server-ubuntu-1804 code-server[5216]: info  Server listening on http://127.0.0.1:8080
Dec 09 20:07:29 code-server-ubuntu-1804 code-server[5216]: info    - Using custom password for authentication
Dec 09 20:07:29 code-server-ubuntu-1804 code-server[5216]: info    - Not serving HTTPS

مكّن خدمة code-server لجعله يعمل تلقائيًا بعد إعادة تشغيل الخادم من خلال تشغيل الأمر التالي:

sudo systemctl enable code-server

قمتَ في هذه الخطوة بتنزيل code-server وجعله متاحًا على نحوٍ عمومي. وقمت بعدها بإنشاء خدمة systemd له وتمكينها، لذلك سيبدأ code-server بالعمل عند كل إقلاع للخادم. بعد ذلك، ستعرضه في نطاقك الخاص من خلال ضبط Nginx ليكون بمثابة وكيل عكسيّ بين الزائر و code-server.

الخطوة 2: عرض code-server على نطاقك الخاص

ستقوم في هذا القسم بضبط Nginx كوكيل عكسي لـ code-server.

كما تعلمت في خطوة المتطلبات المُسبقة لـ Nginx، تُخزّن ملفات ضبط الموقع الخاصة به ضمن ‎/etc/nginx/sites-available، ويجب ربطها لاحقًا بـ ‎/etc/nginx/sites-enabled لتصبح نشطة.

سنُخزين الضبط لعرض خادم الشفرة في نطاقك في ملف باسم code-server.conf تحت المسار ‎/etc/nginx/sites-available. ابدأ بإنشائه باستخدام المحرّر الخاص بك:

sudo nano /etc/nginx/sites-available/code-server.conf

أضف الأسطر التالية في الملف ‎/etc/nginx/sites-available/code-server.conf:

server {
    listen 80;
    listen [::]:80;

    server_name code-server.your-domain;

    location / {
        proxy_pass http://localhost:8080/;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection upgrade;
        proxy_set_header Accept-Encoding gzip;
    }
}

استبدل code-server.your-domain باسم لنطاق المطلوب ثم احفظ وأغلق الملف.

تحدّد في هذا الملف أنه على Nginx أن يتنصت إلى منفذ HTTP رقم 80. ثم يمكنك تحديد server_name والذي يُخبر Nginx عن النطاق الذي يقبل الطلبات ويطبّق هذا الضبط المحدّد. في الكتلة التالية بالنسبة، لموقع الجذر (/) يمكنك تحديد أنّ الطلبات يجب تمريرها ذهابًا وإيابًا إلى code-server يعمل على localhost:8080. تطلب الأسطر الثلاثة التالية (بدءًا من proxy_set_header) من Nginx نقل بعض ترويسات طلبات HTTP اللازمة من أجل التشغيل الصحيح لـ WebSockets، والذي يستخدمه code-server على نطاق واسع.

ستحتاج إلى إنشاء رابط له في المجلد ‎/etc/nginx/sites-enableمن أجل تنشيط ضبط هذا الموقع وذلك من خلال تشغيل الأمر الآتي:

sudo ln -s /etc/nginx/sites-available/code-server.conf /etc/nginx/sites-enabled/code-server.conf

شغّل الأمر التالي لاختبار صحّة الضبط:

sudo nginx -t

سترى الخرج التالي:

Output
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

ستحتاج إلى إعادة تشغيل Nginx لكي يُطّبق الضبط:

sudo systemctl restart nginx

لديك الآن تثبيت code-server قابل للوصول على نطاقك. ستقوم في الخطوة التالية بتأمينه من خلال تطبيق شهادة Let's Encrypt TLS المجانيّة.

الخطوة 3: تأمين النطاق

ستقوم في هذا القسم بتأمين نطاقك الخاص باستخدام شهادة Let’s Encrypt TLS، والتي ستوفرها باستخدام Certbot.

ستحتاج من أجل تثبيت أحدث إصدار من Certbot إلى إضافة مستودع الحزمة الخاص به إلى خادمك عن طريق تشغيل الأمر التالي:

 sudo add-apt-repository ppa:certbot/certbot

ستحتاج إلى الضغط علىENTER للموافقة.

ثبّت بعد ذلك Certbot وإضافة Nginx الخاص به:

sudo apt install python-certbot-nginx

كنت قد مكّنت ufw (جدار حماية غير معقّد) كجزء من المتطلبات المُسبقة وقمت بضبطه للسماح بحركة مرور HTTP غير المشفّرة. وستحتاج إلى ضبطه لقبول حركة المرور المشفّرة حتى تتمكن من الوصول إلى الموقع الآمن عن طريق تشغيل الأمر التالي:

sudo ufw allow https

سيكون الخرج:

Output
Rule added
Rule added (v6)

ستحتاج كما في Nginx إلى إعادة تحميله حتى يصبح الضبط ساري المفعول:

sudo ufw reload

سيُظهر الخرج ما يلي:

Firewall reloaded

انتقل بعد ذلك في متصفحك إلى النطاق الذي استخدمته لـ code-server. حيث سيظهر محّث تسجيل الدخول لـ code-server.

سيطلب code-server كلمة المرور الخاصّة بك. أدخل الكلمة التي اخترتها في الخطوة السابقة واضغط على** Enter IDE**. ستدخل الآن إلى code-server وسترى محرّر واجهة المستخدم الرسومية GUI مباشرةً.

الآن وبعد تأكّدك من أن خادم الشيفرة قد عُرض بشكل صحيح في نطاقك، سنُثبّت شهادات Let’s Encrypt TLS لتأمينه، باستخدام Certbot.

شغّل الأمر التالي لطلب شهادات لنطاقك:

sudo certbot --nginx -d code-server.your-domain

تقوم في هذا الأمر بتشغيل certbot لطلب شهادات لنطاقك — يمكنك تمرير اسم النطاق باستخدام الراية ‎-d تخبر الراية ‎--nginx بتغيير ضبط موقع Nginx تلقائيًا لدعم HTTPS. تذكر استبدال code-server.your-domain باسم نطاقك الخاص.

إذا كانت هذه هي المرة الأولى التي تُشغّل فيها Certbot فسيُطلب منك تقديم عنوان بريد إلكتروني للإشعارات العاجلة وقبول شروط خدمة EFF. سيطلب Certbot بعد ذلك شهادات لنطاقك من Let’s Encrypt. كما سيسألك بعدها فيما إذا كنت ترغب في إعادة توجيه جميع زيارات HTTP إلى HTTPS:

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel):

يُوصى بتحديد الخيار الثاني من أجل زيادة الأمان. اضغطENTERبعد إدخال اختيارك. سيكون الخرج مشابهًا لهذا:

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/code-server.your-domain/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/code-server.your-domain/privkey.pem
   Your cert will expire on ... To obtain a new or tweaked
   version of this certificate in the future, simply run certbot again
   with the "certonly" option. To non-interactively renew *all* of
   your certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

هذا يعني أن Certbot أنشئ شهادات TLS بنجاح وطبّقها على ضبط Nginx لنطاقك. يمكنك الآن القيام بإعادة تحميل اسم نطاق code-server الخاص بك في متصفحك ورؤية رمز القفل على يسار عنوان الموقع مما يعني أن اتصالك أصبح آمنًا.

الآن وبعد أن أصبح لديك code-server يمكن الوصول إليه في نطاقك من خلال وكيل Nginx عكسي آمن، أصبحت على استعداد لاستعراض واجهة المستخدم لـ code-server.

الخطوة 4: استخدام واجهة code-server

ستستخدم في هذا القسم بعضًا من ميزات واجهة code-server. ولأنّ code-server هو عبارة عن Visual Studio Code يعمل على السحابة، فإنّه يحتوي على نفس واجهة إصدار سطح المكتب المستقلة.

يوجد على الجانب الأيسر من الـ IDE صف عمودي مكوّن من ستة أزرار يُتيح استعمال أكثر الميزات استخدامًا في لوحة جانبية تُعرف باسم Activity Bar.

هذا الشريط قابل للتخصيص بحيث يمكنك نقل هذه الأزرار إلى ترتيب مختلف أو إزالتها من الشريط. افتراضيًا يفتح الزر الأول القائمة العامة في قائمة منسدلة، بينما يفتح الزر الثاني لوحة Explorer التي توفر التنقل الهرمي الشبيه ببنية المشروع. يمكنك إدارة المجلدات والملفات هنا – من إنشاء وحذف ونقل وإعادة تسمية حسب الضرورة. يُوفّر الزر التالي التالية إمكانية الوصول إلى وظيفة البحث والاستبدال. بعد ذلك، وبالترتيب الافتراضي (أي الزر الرابع) يُتيح معاينة لأنظمة التحكم في المصدر مثل Git. يدعم Visual Studio code أيضًا موفري التحكم بالمصدر الآخرين ويمكنك العثور على مزيد من الإرشادات لتدفقات عمل التحكم بالمصدر مع المحرّر في هذه الوثائق.

يوفر خيار المنقّح debugger في Activity Bar جميع الأدوات الشائعة للتنقيح في اللوحة. يأتي Visual Studio Code مع دعم مضمّن لمنقّح وقت التشغيل Node.js وأي لغة تنتمي إلى Javascript. وبالنسبة للغات أخرى يمكنك تثبيت إضافاتextensions للمنقح المطلوب. كما يمكنك حفظ ضبط التنقيح في ملفlaunch.json.

يوفر الزر الأخير في Activity Bar قائمة للوصول إلى الملحقات المُتاحة في Marketplace.

إنّ الجزء الرئيسي من واجهة المستخدم الرسوميّة هو محرّرك، والذي يمكنك فصله بواسطة علامات تبويب لتحرير شيفرتك. ويمكنك تغيير طريقة العرض الخاصة بك إلى نظام شبكة أو إلى طريقة عرض الملفات جنبًا إلى جنب.

بعد إنشاء ملف جديد من خلال قائمة File، سيُفتح ملف فارغ في علامة تبويب جديدة، وبعد حفظه، سيكون اسم الملف معروضًا في اللوحة الجانبيّة لـ Explorer. يمكن إنشاء المجلدات عن طريق النقر بزر الفأرة الأيمن على الشريط الجانبي لـ Explorer والنقر فوق New Folder. يمكنك توسيع أحد المجلدات بالنقر فوق اسمه وكذلك سحب الملفات والمجلدات وإسقاطها في الأجزاء العليا من التسلسل الهرمي لنقلها إلى موقع جديد.

بالإمكان الوصول إلى محطة طرفية عن طريق إدخال CTRL ‎+ SHIFT +‎، أو عن طريق النقر على Terminal في القائمة المنسدلة العليا واختيار New Terminal. سيُفتح الجهاز في لوحة أصغر وسيُوضع مجلد العمل الخاص به في مساحة عمل المشروع، والذي يحتوي على الملفات والمجلدات المعروضة في لوحة Explorer الجانبيّة.

لقد أخذت نظرةً عامة عالية المستوى على واجهة code-server وراجعت بعضًا من الميزات الأكثر استخدامًا.

الخلاصة

لديك الآن بيئة التطوير المتكاملة code-server السحابية متعددة الاستخدامات مُثبّتة على خادم Ubuntu 18.04 ومعروضة في نطاقك المؤّمن باستخدام شهادات Let’s Encrypt. يمكنك الآن العمل على المشاريع بشكل فردي، وكذلك في إطار التعاون الجماعي. يحرّر تشغيل Cloud IDE الموارد على جهازك المحلي ويسمح لك بتوسيع نطاق الموارد عند الحاجة. راجع لمزيد من المعلومات توثيق Visual Studio Code للحصول على ميزات إضافيّة وإرشادات مفصّلة حول المكونات الأخرى لـ code-server.

ترجمة وبتصرف للمقال How To Set Up the code-server Cloud IDE Platform on Ubuntu 18.04 لصاحبه Savic

الهواتف الذكيّة والسيارات، الحواسيب الخارقة والأجهزة المنزلية، أجهزة سطح المكتب وخواديم الشركات - كلها تستعمل نظام التشغيل لينكس، النظام الذي ستراه حولك أينما أدرت وجهك.

بدأ نظام التشغيل لينكس منذ منتصف التسعينات تقريبًا وقد حقّق منذئذ قاعدة مستخدمين ضخمة تجوب العالم. وكما مستخدميه، فلينكس في كل مكان: أجهزتك المحمولة، منظّمات الحرارة، السيارات، الثلاجات، أجهزة Roku لبثّ الوسائط المتعدّدة، أجهزة التلفاز، وغيرها وغيرها. ولا ننسى أنّ أغلب شبكة الإنترنت تعمل عليه، إضافةً إلى أقوى 500 حاسوب خارق في العالم، كما والبورصة أيضًا.

ولكن لو نسينا لبرهة أنّه الخيار الأمثل لتشغيل الأجهزة المكتبيّة والخواديم والأنظمة المضمّنة، فنظام التشغيل لينكس هو أكثر نظام من بين الأنظمة الموجودة - أكثرها أمانًا وثقةً ويُسرًا دون متاعب تُذكر.

كتبنا لك أدناه كل ما تحتاجه لتكون عارفًا وعالمًا بمنصّة لينكس. فلو كنت مبتدئًا، فلا تقلقنّ البتة.

ما هو نظام التشغيل لينكس أصلًا؟

”وندوز“ و”آي‌أو‌إس“ و”ماك أو‌إس“ هي أنظمة تشغيل، ولينكس أيضًا نظام تشغيل. وفي هذا السياق، أتعلم أنّ أكثر منصّة رائجة في كوكبنا الأرض ”أندرويد“ تعمل بنظام التشغيل لينكس؟ نظام التشغيل (ويُختصر بِـ OS) هو البرمجية التي تُدير كلّ ما يتعلّق بالعتاد في حاسوبك المكتبي أو المحمول. لنبسّطها أكثر، نظام التشغيل يُدير الاتصالات بين البرمجيّات (Software) والعتاد (Hardware) على جهازك. ودون نظام التشغيل فلن تعمل أيًا من البرامج.

يعتمد أساس نظام التشغيل لينكس على هذه الأجزاء المختلفة:

1. محمِّل الإقلاع (Bootloader): أي البرمجية التي تُدير عمليّة إقلاع/تشغيل حاسوبك. حين يرى أغلب المستخدمين شاشة البداية التي تظهر أمامهم وتختفي بعد فترة لتفتح نظام التشغيل، تعرف أنّهم قد رأوا هذا المحمِّل.
2. النواة (Kernel): في الواقع فَإن نظام التشغيل لينكس مكوّن من أجزاء عديدة، النواة هذه واحدة منها. كما يدلّ اسمها، فهي نواة النظام والتي تُدير المعالج والذاكرة والأجهزة الداخليّة والخارجيّة. تعد النواة المستوى الأدنى من مستويات نظام التشغيل وهي حلقة الوصل الفعليّة بين البرمجيّات والعتاد.
3. نظام التمهيد (Init System): هذا أحد الأنظمة الفرعيّة التي ”تُمهّد“ المساحة المخصّصة للمستخدم، إضافةً إلى إدارة العفاريت. أكثر هذه الأنظمة استعمالًا هو systemd ويتصادف أنّه أيضًا أكثرها جدلًا بين المستخدمين. تقع على عاتق هذا النظام إدارةَ عمليّة الإقلاع ما إن يُسلِّم محمّل الإقلاع (مثل GRUB أي ”محمِّل الإقلاع الموحّد الأعظم“ [GRand Unified Bootloader]) عمليّة الإقلاع الأولي.
4. العفاريت (Daemons): الخدمات التي تجري في الخلفيّة (مثل الطباعة والصوت وترتيب مهام النظام وغيرها) تُسمّى بالعفاريت، ويمكن أن تبدأ إمّا أثناء الإقلاع أو بعد الدخول إلى سطح المكتب. تعمل هذه الخدمات بمنأًى عن تحكّم المستخدم المباشر، ويمكن أن تنفّذ مختلف الوظائف والعمليات والأوامر.
5. خادوم الرسوميّات (Graphical Server): هذا أحد الأنظمة الفرعيّة الأخرى التي تعرض أيّ رسوم ورسوميّات على الشاشة لديك. النسخة الأولية منه كانت ”خادوم X“ (أو إكس/X اختصارًا)، أما الآن فالتوجه نحو Wayland وهو أفضل من نواحٍ عدّة عن سلفه ”خادوم X“.
6. بيئة سطح المكتب (Desktop Environment): هذه هي ما يتفاعل المستخدمين معه حقًا. توجد أعداد كبيرة من بيئات سطح المكتب ليختار المستخدم ما يُريحه منها (جنوم أو القرفة أو متّة أو بانيثون أو إنلايتمنت أو كدي أو إكسفسي أو غيرها). وفي كلّ بيئة سطح مكتب عدد من التطبيقات المثبّتة مبدئيًا (مثل مدراء الملفات وأدوات الضبط ومتصفّحات الوِب والألعاب).
7. التطبيقات: بالطبع، لا تقدّم بيئات سطح المكتب كلّ ما تحتاج من تطبيقات. فكما نظامي وندوز وماك أو‌إس، يقدّم نظام التشغيل لينكس أيضًا آلافًا مؤلّفة من البرمجيات الموثوقة عالية الكفاءة وسهلة الوصول والتثبيت. أصبحت تحتوي أغلب توزيعات لينكس الحديثة (نتطرّق إليها أسفله) أدوات تشبه ”أسواق البرامج“ تحاول تبسيط تثبيت البرمجيات وتوحيدها في مكان واحد. فمثلًا تحتوي توزيعة أوبنتو لينكس على ”مركز برمجيات أوبونتو“ (نسخة من «برمجيّات جنوم») وهو يقدّم لك آليّة سهلة للبحث بسرعة بين آلاف التطبيقات وتثبيتها، كلّه في مكان واحد.

ما هي مزايا نظام التشغيل لينكس؟

يطرح أغلب الأشخاص هذا السؤال بالذات. لماذا أُتعب نفسي وأتعلّم بيئة حاسوبيّة مختلفة تمامًا عمّا أعرف، طالما نظام التشغيل -المثبّت في أغلب الأجهزة المكتبية والمحولة والخواديم- يعمل دون مشاكل تُذكر؟

لأُجيبك على هذا السؤال سأطرح سؤالًا آخر. هل حقًا يعمل نظام التشغيل الذي تستعمله الآن ”دون مشاكل تُذكر“؟ أمّ أنّك تصارع (بل وتكافح ضدّ) المصاعب المتوالية من فيروسات وبرامج ضارّة وحالات بطء وانهيارات وإصلاحات باهظة للنظام ورسوم تراخيص ثقيلة؟ لو كنت حقًا كذلك فربّما تكون لينكس المنصّة الأمثل لاحتياجاتك! فقد تطوّر نظام التشغيل لينكس وصار واحدًا من الأنظمة البيئيّة الثِّقة للحواسيب على هذه البسيطة. هذه الثِّقة زائدًا تكلفة الصفر قرش ستكون حقًا أمثل حلّ لمنصّات أسطح المكتب.

نظام تشغيل مجاني

كما قلتُ تمامًا، صفر قرش… أي مجانًا. يمكنك تثبيت نظام التشغيل لينكس على الحواسيب التي تريد (مهما كان العدد) دون أن تدفع ولو قرشًا لتراخيص البرمجيّات أو الخواديم.

تعال نرى تكلفة خادوم لينكس موازنةً بخادوم وندوز 2016. تكلفة Standard edition من Windows Server 2016 هي 882 دولارًا (نشتريها من مايكروسوفت مباشرةً). هذا لا يشمل ترخيص الوصول للعميل (CAL) ورُخص البرمجيات الأخرى التي سيشّغلها الخادوم (مثل قاعدة البيانات وخادوم الوِب وخادوم البريد وغيرها). فمثلًا يُكلّف ترخيص CAL لمستخدم واحد لِـ Windows Server 2016 38 دولارًا. لو اضطررت إلى إضافة 10 مستخدمين فتزيد عليها 388 أخرى فقط لترخيص برمجيات الخادوم. لو كنت على خادوم لينكس فسيكون كلّ هذا مجانيًا وسهل التثبيت. بل أنّ تثبيت خادوم وِب كامل متكامل (ويشمل خادوم قواعد بيانات) عمليّة قوامها بعض النقرات أو الأوامر (لتعرف مدى بساطة ذلك طالع ”كيفية تثبيت حزم LAMP“).

ألم تقتنع بعد بالصفر قرش؟ إذًا لو أخبرتك بنظام تشغيل سيعمل دون أيّة مشكلة تُذكر مهما طال استخدامك له، ما تقول؟ استعملت شخصيًا نظام التشغيل لينكس طوال 20 سنة أو يزيد (أكان لجهاز المكتب أم لمنصّة الخادوم) ولم أواجه قط أيّ مشكلة مع برامج الفِدية أو البرامج الضارة أو الفيروسات أو غيرها. فلينكس (وبصفة عامة) أقلّ تعرضًا لهذه الأخطار والاعتداءات من غيره. وحين نتحدّث عن إعادة إقلاع الخادوم، فهي مطلوبة فقط وفقط عند تحديث النواة. ولو سمعت بأنّ خواديم لينكس تعمل لسنوات وسنوات دون إعادة إقلاعها فلا تستغرب، هذا طبيعي. لو أخذت بالتحديثات المستحسن تثبيتها دوريًا، فتأكّد من ثبات النظام واستقلاليّته، وليس هذا حبرًا على ورق، بل كلام عمليّ مُثبت. بل أنّ منهجيّة ”اضبطه مرّة وانساه كل مرّة“ (Set it and forget it) هي المتّبعة في أوساط خواديم لينكس.

مفتوح المصدر

كما وأنّ نظام التشغيل لينكس يُوزّع برخصة مفتوحة المصدر. وهذا ما تضمنه لك فلسفات البرمجيات مفتوحة المصدر:

• حريّتك في تشغيل البرنامج لأيّ سبب أردته.
• حريّتك في دراسة أسلوب وطريقة عمل البرنامج، كما وتغييرها لتتناسب مع رغباتك.
• حريّتك في إعادة توزيع نُسخ البرنامج لتُساعد جارك في الانتقال.
• حريّتك في توزيع نُسخ البرنامج التي عدّلتها للآخرين.

إدراك هذه النقاط ضروري لتفهم طبيعة المجتمع الذي يعمل على تطوير منصّة لينكس. ولا شكّ بأنّ لينكس هو نظام ”طوّره الناس، ليستعمله الناس“. كما أنّ هذه الفلسفات هي من الأسباب الرئيسية لتفضيل الناس لينكس على غيره. الحريّة، حريّة الاستخدام، حريّة الخيار، هذا ما يسعى وراءه المرء.

ما هي توزيعات نظام التشغيل لينكس؟

توجد عديد من الإصدارات المختلفة من نظام التشغيل لينكس الهادفة إلى تقديم الخيار لجميع الناس مهمًا كانوا، أكانوا مستخدمين جدد أو معمّرين. أيًا كنت فستجد ”نكهة“ من لينكس تناسب متطلباتك واحتياجاتك. هذه الإصدارات هي ما نسمّيه التوزيعات (Distribution). يمكن تنزيل كلّ توزيعة من توزيعات لينكس مجانًا (إلى حدّ ما)، وحرقها على اسطوانة (أو جهاز USB) وتثبيتها (على أيّ جهاز أردت، بل وأجهزة أيضًا).

من التوزيعات الشائعة للينكس:

• لينكس مِنت (Linux Mint)
• مانجارو (Manjaro)
• دِبيان (Debian)
• أوبونتو (Ubuntu)
• أنتيرغوس (Antergos)
• سولوس (Solus)
• فيدورا (Fedora)
• إليمنتري أو‌ إس (elementary OS)
• أوبن سوزة (openSUSE)

لكلّ توزيعة منها توجّه مختلف على ماهيّة سطح المكتب. بعضها تفضّل واجهات المستخدم الحديثة (مثل جنوم وبانيثون في ”نظام تشغيل إليمنتري“)، والأخرى تفضّل البقاء مع بيئات سطح المكتب التقليدية (مثل أوبن سوزة التي تستخدم كدي).

يمكنك أيضًا مطالعة موقع Distrowatch لتعرف أفضل 100 توزيعة لينكس من جهة نظر المجتمع.

ولو فكّرت للحظة بأنّ الخواديم ليس لها نصيب من هذا، فأنت مخطئ! انظر:

• Red Hat Enterprise Linux
• Ubuntu Server
• CentOS
• SUSE Enterprise Linux

بعض هذه التوزيعات المخصّصة للخواديم مجّاني (مثل Ubuntu Server وCentOS)، وأخرى تطلب ثمنًا لقائها (مثل Red Hat Enterprise Linux وSUSE Enterprise Linux). هذه التي تطلب الثمن تقدّم الدعم الفنّي أيضًا.

ما هي توزيعة لينكس التي تناسبني؟

إجابتك على هذه الأسئلة الثلاثة تحدّد التوزيعة الأنسب لك:

• مدى خبرتك بالأمور التقنية والحاسوبية.
• أكنت تريد واجهة مستخدم حديثة أم قياسية عادية.
• أكنت تريده للخادوم أو للأجهزة المكتبية.

لو كانت خبرتك ومهاراتك بالحاسوب بسيطة، فالأفضل أن تتّجه نحو توزيعة تناسب المبتدئين مثل Linux Mint أو Ubuntu أو Elementary OS أو Deepin. ولو كانت مهاراتك فوق المتوسّط، فستكون التوزيعات أمثال Debian وFedora أفضل لك. أمّا لو كنت ”احترفت مِهنة الحاسوب“ وإدارة الأنظمة، فتوزيعة جنتو وأمثالها طُوّرت لك خصّيصًا. لكن، لو أردت تحدّيًا لمهاراتك الفذّة أخي الخبير، فاصنع توزيعة لينكس خاصّة بك أنت، طبعًا مستعينًا بِـ Linux From Scratch.

في حال كنت تبحث عن توزيعة للخواديم فقط، فالسؤال الرابع هو لو أردت واجهة سطح مكتب أم أنّك ستُدير الخادوم عبر سطر الأوامر دون واجهة. فمثلًا Ubuntu Server لا تحتوي واجهة رسوميّة، وهذا يعطيك ميزتين. الأولى هي إزاحة ثقل تحميل الرسوميات عن الخادوم، والثانية هي تعلّم سطر أوامر لينكس تعلّمًا عميقًا. يمكنك مع ذلك تثبيت حزمة واجهة رسوميّة في Ubuntu Server بأمر بسيط مثل sudo apt-get install ubuntu-desktop. غالبًا ما يختار مدراء الأنظمة التوزيعات حسب الميزات التي تقدّمها. فهل تريد توزيعة متخصّصة للخواديم تقدّم لك كل ما تحتاجه لخادومك على طبق من فضّة؟ لو أردت فستكون CentOS فضل الخيارات. أو ربما تريد توزيعة لسطح المكتب تُضيف ما تريد من برامج وحزم فيها؟ لو كان كذلك فستقدّم لك Debian أو Ubuntu Linux ما تحتاج. ننصحك بالرجوع إلى مقالة الدليل النهائي لاختيار توزيعة لينكس لمزيد من التفاصيل حول التوزيعات واختيارها.

تثبيت لينكس

لسان حال أغلب الناس عن تثبيت نظام التشغيل هو ”ماذا؟ صعب! مستحيل! محال!“. بينما الواقع (صدّقته أم لا) هو أنّ تثبيت نظام التشغيل لينكس هو الأسهل من بين كلّ أنظمة التشغيل. بل أنّ أغلب نُسخ لينكس تقدّم لك ما نسمّيه ”التوزيعة الحيّة“ (Live Distribution)، أي التي تشغّل منها نظام التشغيل وهو على اسطوانة CD/DVD أو على إصبع USB (فلاش ميموري) دون أن تُعدّل أيّ بايت في القرص الصلب. هكذا تعرف بمزايا التوزيعة كاملةً دون تثبتيها حتّى، وما إن تجرّبها وترتاح لها، وتقرّر وتقول ”هذه هي توزيعة أحلامي“، تنقر مرّتين أيقونة ”ثبِّت“ وسيأخذك مُرشد التثبيت في رحلة التثبيت البسيطة (فقط!).

غالبًا ما تكون رحلة مُرشد التثبيت هي هذه الخطوات (نوضّح هنا عملية تثبيت Ubuntu Linux):

• التحضير: التأكّد من استيفاء الجهاز لمتطلّبات التثبيت. يمكن أن يسألك هذا لو أردت تثبيت برمجيّات من الأطراف الثالثة (مثل ملحقات تشغيل MP3 ومرمزات الفيديوهات وغيرها).
• إعداد الاتصال اللاسلكي (لو أردته): في حال كنت تستعمل حاسوبًا محمولًا (أو جهازًا يدعم الاتصال لاسلكيًا) فقد يُطلب منك الاتصال بالشبكة لتثبيت برمجيات الأطراف الثالثة والتحديثات.
• تخصيص المساحة للقرص الصلب: تُتيح لك هذه الخطوة اختيار المكان الذي سيُثبّت فيه نظام التشغيل، وهل تريد تثبيت لينكس مع نظام تشغيل آخر (أي ”الإقلاع المزدوج“) أو استعمال القرص الصلب كلّه أو ترقية نسخة لينكس المثبّتة أو تثبيت لينكس عوض النسخة التي لديك.
• المكان: أي، مكانك على الخريطة.
• تخطيط لوحة المفاتيح: لغات الكتابة التي تريدها في النظام.
• إعداد المستخدم: أي اسم المستخدم وكلمة السر.

طبعًا، يمكنك ألّا تحذف كامل القرص بما فيه (مثلما ترى في الصورة أعلاه ”تحذير“)، بل تعديل بعضه وإبقاء الآخر عبر الخيار الآخر Something else (ويفضّل طبعًا تحديد مساحة لقرص التبديل/Swap تتناسب وحجم الذاكرة). وعلى سبيل الطرفة، كثير من مستعملي لينكس يواجهون هذه المشكلة أول مرة ويمسحون جميع بياناتهم المخزنة على القرص، حتّى أنا مترجم المقال فكن حذرًا إني لك من الناصحين :-). لكن هذا ليس سببًا بأنّ لينكس نظام سيئ (وبالعامية ”قمامة“)، لكنه سببٌ ”لأقرأ كامل السؤال قبل الإجابة“ :). يمكنك أيضًا تعمية القرص لتكون آمنًا من أيّ هجمات محتملة.

فقط. هذا فقط. وما إن ينتهي تثبيت النظام، أعِد التشغيل واشرع العمل! لو أردت دليلًا لتثبيت لينكس معمّقًا أكثر، فطالع ” أسهل وأأمن طريقة لتثبيت لينكس وتجربته“ أو نزّل كتيّب PDF عن تثبيت لينكس من مؤسّسة لينكس نفسها.

تثبيت البرمجيات في لينكس

كما كان تثبيت نظام التشغيل سهلًا، فتثبيت التطبيقات سهل أيضًا. تحتوي أغلب توزيعات لينكس على ما يمكن تسميته بسوق للبرمجيات، وهو مكان موحّد يمكنك البحث فيه عن ما تريد من برامج وتثبيتها. تعتمد Ubuntu Linux (وغيرها الكثير) على «برمجيّات جنوم»، وتستعمل Elementary OS مركز AppCenter، أمّا Deepin فَـ Deepin Software Center، و openSUS أداة AppStore، وثمّة توزيعات تعتمد على Synaptic.

مهما كان الاسم فالوظيفة واحدة: مكان واحد لتبحث عن برامج لينكس فيه، وتثبّتها أيضًا. وبالطبع، فهذه البرمجيات تعتمد على الواجهة الرسومية، لو لم تكن موجودة لما عملت. فلو لديك خادوم بدون واجهة فعليك استعمال واجهة سطر الأوامر لتثبيت البرامج.

ولهذا سنأخذ نظرة سريعة على أداتين مختلفين لنوضّح سهولة التثبيت من سطر الأوامر، أسهل من شرب الماء ربما. تُستعمل هاتين الأداتين في التوزيعات المبنيّة على Debian، والمبنيّة على Fedora تستعمل الأولى (توزيعات دبيان) أداة apt-get لتثبيت البرمجيات، أمّا توزيعات فيدورا تستعمل أداة yum، ولكلتا الأداتين آلية عمل متشابهة سنوضّحها باستعمال أمر apt-get. فلنقل فرضًا أنّك تريد تثبيت أداة wget (أداة مفيدة جدًا لتنزيل الملفات عبر سطر الأوامر). لتثبيت هذه الأداة باستعمال apt-get، ستُدخل هذا الأمر:

sudo apt-get install wget

نُضيف أمر sudo لأنّ تثبيت البرمجيات يطلب امتيازات المستخدم الفائقة (مدير الجهاز). وكما دبيان، فتثبيت البرامج في توزيعات فيدورا على خطوتين: أولا su للامتيازات تلك (أي أن تكتب الأمر su وتُدخل كلمة سرّ الجذر)، بعدها:

yum install wget

هذا كل ما تحتاجه لتثبيت البرامج في جهاز لينكس. أكان صعبًا ومحالًا كما تخيّلته؟ لا تقل لي أنّك متردّد بعد؟! أتذكر ”كيفيّة تثبيت حزم LAMP“ التي تكلمنا عنها؟ بأمر واحد:

sudo taskel

بأمر واحد تُثبّت خادوم LAMP (اختصار Linux Apache MySQL PHP أي ”حزمة لينكس وأباتشي وMySQL وPHP“) متكامل على توزيعتك كانت للخواديم أم للأجهزة المكتبية. أجل، بأمر واحد فقط. سهل صحيح؟

مصادر أخرى للاستزادة

توزيعات لينكس هي حقًا الخيار الأمثل لك لو أردت منصّة آمنة ثِقة لجهازك المكتبي وخادومك على الشبكة. كن على ثقة بأنّ لينكس سيُريحك وسطح المكتب من مختلف المشاكل، ويُشغّل لك خواديمك دون عناء، ويقلّل من طلباتك بحثًا للدعم إلى أدنى درجة. إليك بعض الروابط المفيدة لتستزيد عن لينكس بمعلومات تخدمك طول فترة استعمالك له:

• Linux.com: كل ما تحتاج لتعرف لينكس حقّ المعرفة (أخبار ودروس وغيرها).
• Howtoforge: دروس عن لينكس.
• مشروع توثيق لينكس: أدلّة تعليميّة وأسئلة شائعة وإجابات ”كيف أستطيع كذا“.
• قاعدة معلومات لينكس ودروس عنه: دروس وأدلّة عديدة وتدخل في الصميم.
• LWN.net: أخبار عن نواة لينكس وأكثر.
• قسم لينكس في الأكاديمية: مقالات متنوعة عن نظام التشغيل لينكس وكيفية تثبيت العديد من الخدمات والتطبيقات.
• مجتمع لينكس العربي
• كتاب سطر أوامر لينكس
• كتاب دليل إدارة خوادم أوبنتو
• كتاب دفتر مدير ديبيان
• كتاب الإدارة المتقدمة لجنو/لينكس
• كتاب أوبنتو ببساطة (تنويه: إصدار أوبنتو الذي يشرحه الكتاب قديم ولكن يمكن أخذ الفكرة العامة عنه وعن لينكس عمومًا)

ترجمة -وبتصرف- للمقال What is linux?‎ من موقع linux.com

عندما تُنشئ خادم أوبونتو 18.04 لأول مرة، فهناك بعض خطوات الإعداد التي ينبغي عليك اتخاذها مبكّرًا كجزء من الإعداد الأساسي. سيزيد ذلك من أمان الخادم وسهولة استخدامه وسيمنحك أساسًا قويًا لاتخاذ إجراءات لاحقة.

رغم أنه يمكنك إكمال هذه الخطوات يدويًا، إلا أنه في بعض الأحيان يكون من الأسهل برمجة العمليات عبر سكربت لتوفير الوقت وتفادي الأخطاء البشرية. يشرح هذا الدليل كيفية أتمتة الخطوات الموجودة في دليل إعداد الخادم الأولي في سكربت.

ماذا يفعل السكربت؟

يعدّ هذا السكربت بديلًا للتشغيل اليدوي من خلال الطريقة الموضحة في دليل إعداد خادم أوبونتو 18.04 الأولي ودليل إعداد مفاتيح SSH على أوبونتو 18.04.

تؤثر المتغيرات التالية على كيفية عمل السكربت:

• USERNAME: اسم حساب المستخدم العادي الذي ستُنشأ وتمنح له صلاحيات sudo.
• COPY_AUTHORIZED_KEYS_FROM_ROOT: تحدّد ما إذا كنت تريد نسخ أصول مفتاح SSH من الحساب الجذري root إلى حساب sudo الجديد.
• OTHER_PUBLIC_KEYS_TO_ADD: مجموعة من السلاسل النصية التي تمثل مفاتيح عامة أخرى تُضاف إلى الحساب sudo. يمكن استخدام هذه بالاختيار بين إضافتها أو جعلها بديلًا لنسخ المفاتيح من الحساب الجذري root.

يجب عليك تحديث هذه المتغيرات حسب الحاجة قبل تشغيل السكربت. عند تنفيذ السكربت، تُنفّذ الإجراءات التالية:

• إنشاء حساب مستخدم عادي مع امتيازات sudo باستخدام الاسم الذي يحدده المتغير USERNAME .
• إعداد إطار لكلمة المرور الأولية للحساب الجديد:
  • إذا كان الخادم معدًّا لمصادقة الهوية بكلمة المرور، فستُنقل كلمة المرور الإدارية الأصلية التي وُلِّدت لحساب root إلى حساب sudo الجديد. حينها تكون كلمة المرور للحساب الجذري مقفلة.
  • إذا كان الخادم معدًّا لمصادقة الهوية بمفتاح SSH، فستُعيّن كلمة مرور فارغة لحساب sudo.
• تُعلّم كلمة مرور المستخدم sudo بعلامة "منتهي الصلاحية" مما يوجب تغييرها عند أول تسجيل للدخول.
• يُنسخ ملف Authorized_keys من الحساب الجذري إلى مستخدم sudo إذا عُيِّن المتغير COPY_AUTHORIZED_KEYS_FROM_ROOT على "صحيح".
• تُضاف أي مفاتيح معرّفة في OTHER_PUBLIC_KEYS_TO_ADD إلى ملف Authorized_keys للمستخدم sudo.
• يُعطّل التصديق SSH المستند إلى كلمة المرور في الحساب الجذري root.
• يُفعّل جدار الحماية UFW مع السماح باتصالات SSH.

كيف يُستخدَم السكربت؟

يمكن تنفيذ السكربت بطريقتين: عن طريق إضافته إلى حقل بيانات مستخدم الخادم أثناء الإنشاء أو عن طريق تسجيل الدخول بحساب root وتنفيذه بعد التشغيل.

عبر بيانات المستخدم

عند إنشاء Droplet على DigitalOcean، يمكنك تحديد بيانات المستخدم، وهو سكربت يُنفّذ أثناء تشغيل الخادم الأولي من أجل إجراء إعدادٍ إضافي.

إذا كنت تُنشئ Droplet من لوحة التحكم، فيمكنك تحديد خانة الاختيار "بيانات المستخدم" في قسم تحديد خيارات إضافية. سيظهر لك مربع نصي حيث يمكنك لصق السكربت:

إذا كنت تُنشئ Droplet باستخدام واجهة برمجة تطبيقات DigitalOcean، فيمكنك تمرير السكربت باستخدام سمة user_data بدلاً من ذلك.

إذا كنت تُنشئ Droplet باستخدام أداة سطر الأوامر doctl، فيمكنك تمرير السكربت باستخدام خيار ‎--user-data-file:

$ doctl compute droplet create ... --user-data-file /path/to/script

بغض النظر عن الطريقة التي تستخدمها لإضافة بيانات المستخدم، سيُنفّذ السكربت في أول مرة يُشغّل فيها الخادم الجديد. قد تضطر إلى الانتظار لبضع دقائق حتى تكتمل العملية، ولكن بعد ذلك، يمكنك تسجيل الدخول إلى الخادم الخاص بك عبر حساب المستخدم sudo للحصول على أي إعداد إضافي.

عند تسجيل الدخول لأول مرة، سيُطلب منك تغيير كلمة المرور الخاصة بك. سينهي الخادم جلسة SSH الحالية بمجرد تقديم بيانات الاعتماد الجديدة الخاصة بك وتأكيدها. بعد ذلك، يمكنك إعادة SSH مرة أخرى مثل العادة.

تنفيذ السكربت بعد التشغيل

إذا كنت لا ترغب في استخدام بيانات المستخدم، يمكنك أيضًا تشغيل السكربت يدويًا عبر SSH بمجرد تشغيل الخادم.

إذا نزّلت السكربت على جهاز الكمبيوتر المحلي الخاص بك، يمكنك تمرير السكربت مباشرةً إلى SSH بكتابة ما يلي:

$ ssh root@servers_public_IP "bash -s" -- < /path/to/script/file

ينبغي أن تكون الآن قادرًا على تسجيل الدخول باستخدام حساب sudo الخاص بك من أجل أي إعداد إضافي.

إذا لم تُنزّل السكربت على جهاز الحاسوب المحلي، فابدأ بتسجيل الدخول إلى الحساب root على الخادم الخاص بك:

$ ssh root@servers_public_IP

بعد ذلك، نزِّل السكربت الأولي على الخادم:

$ curl -L https://raw.githubusercontent.com/do-community/automated-setups/master/Ubuntu-18.04/initial_server_setup.sh -o /tmp/initial_setup.sh

افحص السكربت للتأكد من تنزيله بشكل صحيح و حدِّث أي متغيرات ترغب في تغييرها:

$ nano /tmp/initial_setup.sh

عندما تكون راضيًا عن المعطيات، شغّل السكربت يدويًا باستخدام bash:

$ bash /tmp/initial_setup.sh

ينبغي أن تكون الآن قادرًا على تسجيل الدخول باستخدام الحساب ذي الصلاحيات sudo لإتمام أي إعدادٍ إضافي.

محتويات السكربت

يمكنك العثور على السكربت لإعداد الخادم الأولي في مخزن الإعداد التلقائي لمؤسسة DigitalOcean Community GitHub. لنسخ محتويات السكربت أو تنزيلها مباشرةً، انقر فوق الزر (Raw) أعلى النص، أو انقر هنا لعرض المحتويات الأولية مباشرة.

لقد أدرجت المحتويات كاملة أيضًا هنا لتسهيل العملية:

#!/bin/bash
set -euo pipefail

########################
### SCRIPT VARIABLES ###
########################
# اسم حساب المستخدم العادي الذي ستُنشأ وتمنح له صلاحيات
# Name of the user to create and grant sudo privileges
USERNAME=sammy
# الجديد sudo إلى حساب root من الحساب الجذري SSH تحدّد ما إذا كنت تريد نسخ أصول مفتاح 
# Whether to copy over the root user's `authorized_keys` file to the new sudo
# user.
COPY_AUTHORIZED_KEYS_FROM_ROOT=true
# sudo مجموعة من السلاسل النصية التي تمثل مفاتيح عامة أخرى تُضاف إلى الحساب 
# Additional public keys to add to the new sudo user
# OTHER_PUBLIC_KEYS_TO_ADD=(
#     "ssh-rsa AAAAB..."
#     "ssh-rsa AAAAB..."
# )
OTHER_PUBLIC_KEYS_TO_ADD=(
)

####################
### SCRIPT LOGIC ###
####################

# ومنحه الصلاحيات sudo إنشاء حساب المستخدم 
# Add sudo user and grant privileges
useradd --create-home --shell "/bin/bash" --groups sudo "${USERNAME}"
# تحقق من توفّر الحساب الجذري على كلمة مرور
# Check whether the root account has a real password set
encrypted_root_pw="$(grep root /etc/shadow | cut --delimiter=: --fields=2)"

    if [ "${encrypted_root_pw}" != "*" ]; then
# تُنقل كلمة المرور الإدارية الأصلية التي وُلِّدت لحساب الجذري إلى الحساب الجديد. حينها تُقفل كلمة المرور للحساب الجذري 
# Transfer auto-generated root password to user if present
# and lock the root account to password-based access
echo "${USERNAME}:${encrypted_root_pw}" | chpasswd --encrypted
   passwd --lock root
    else
    # حذف كلمة مرور غير صالحة للمستخدم في حالة استخدام المفاتيح بحيث يمكن تعيين كلمة مرور جديدة دون تقديم قيمة سابقة
# Delete invalid password for user if using keys so that a new password
    # can be set without providing a previous value
    passwd --delete "${USERNAME}"
fi
# إنهاء صلاحيات المستخدم العادي لإجباره على تغييرها
# Expire the sudo user's password immediately to force a change
change --lastday 0 "${USERNAME}"

# sudo للمستخدم SSH إنشاء مجلد 
# Create SSH directory for sudo user
home_directory="$(eval echo ~${USERNAME})"
mkdir --parents "${home_directory}/.ssh"
# نسخ ملف المفاتيح من الحساب الجذري إذا كان ضروريًا
# Copy `authorized_keys` file from root if requested
if [ "${COPY_AUTHORIZED_KEYS_FROM_ROOT}" = true ]; then
    cp /root/.ssh/authorized_keys "${home_directory}/.ssh"
    fi

# إضافة المفاتيح الإضافية المتوفرة
# Add additional provided public keys
for pub_key in "${OTHER_PUBLIC_KEYS_TO_ADD[@]}"; do
    echo "${pub_key}" >> "${home_directory}/.ssh/authorized_keys"
done
# SSH ضبط تكوينات ملكية وصلاحيات 
# Adjust SSH configuration ownership and permissions
chmod 0700 "${home_directory}/.ssh"
chmod 0600 "${home_directory}/.ssh/authorized_keys"
chown --recursive "${USERNAME}":"${USERNAME}" "${home_directory}/.ssh"
# إيقاف تسجيل الدخول للحساب الجذري باستعمال كلمة المرور
# Disable root SSH login with password
sed --in-place 's/^PermitRootLogin.*/PermitRootLogin prohibit-password/g' /etc/ssh/sshd_config
if sshd -t -q; then
    systemctl restart sshd
fi

# SSH بعد إضافة استثناءات UFW تفعيل جدار الحماية 
# Add exception for SSH and then enable UFW firewall
ufw allow OpenSSH
ufw --force enable

خاتمة

يمكن أن يوفر لك إعداد الخادم الأولي تلقائيًا بعض الوقت ويمنحك أساسًا جيدًا لمزيد من الإعداد. إذا كانت هناك خطوات إضافية ترغب في اتخاذها، فيمكنك إما تسجيل الدخول بعد تشغيل السكربت للمتابعة يدويًا، أو إضافة الخطوات في نهاية السكربت لأتمتة العملية.

ترجمة -وبتصرف- للمقال Automating Initial Server Setup with Ubuntu 18.04 لصاحبه Justin Ellingwood

حزمة LEMP هي مجموعة من البرامج التي يمكن استخدامها لتٌقدّم صفحات الويب الديناميكية وتطبيقات الويب. وهو عبارة عن اختصار يصف نظام تشغيل لينكس مع خادم Nginx (يُنطق "Engine-X"). البيانات الخلفية تكون مخزنة في قاعدة بيانات MySQL وتقوم PHP بالمعالجة الديناميكية.

يشرح هذا المقال كيفية تثبيت حزمة LEMP على خادم أوبونتو 18.04. يتكفل نظام أوبونتو بالمتطلب الأول. سنشرح هنا كيفية تجهيز باقي المكونات وتشغيلها.

المتطلبات

قبل البدء، تحتاج لمستخدم عادي غير مسؤول بصلاحيات sudo. يمكنك إعداد ذلك باتباع مقال الإعداد الأولي لخادم أوبونتو 18.04.

عندما تنتهي من تجهيز المستخدم، يمكنك بدء الخطوات التالية.

خطوة 1 - تثبيت خادم الويب Nginx

كي نتمكن من عرض صفحات الويب لزوار الموقع، سنثبِّت خادم الويب الحديث والفعال Nginx.

جميع البرامج المستخدمة في هذا المقال متوفرة في مخزن حزم أوبونتو الافتراضي. ما يعني أنه يمكننا استخدام نظام إدارة الحزم apt لإنهاء التثبيتات الهامة.

في أول مرة نَستخدم فيها apt في أي جلسة، نبدأ بتحديث محتوى الحزمة ثم نثبت الخادم:

$ sudo apt update
$ sudo apt install nginx

Nginx مُعد كي يعمل تلقائيا بعد التثبيت على أوبونتو 18.04.

إن كان جدار حماية ufw يعمل لديك كما تم الشرح في مقال الإعداد الأولي، فستحتاج للسماح باتصالات Nginx. يُسجل Nginx في ufw تلقائيا خلال التثبيت ما يجعل العملية أسهل.

يُستحسن السماح للمنفذ الذي سيتيح لحركة المرور بالوصول مع أعلى قيود ممكنة. لأننا لم نقم بإعداد SSL بعد، فستحتاج لإتاحة حركة المرور في المنفذ 80 فقط.

لتفعيل ذلك:

 $ sudo ufw allow 'Nginx HTTP'

للتأكد من التغييرات:

 $ sudo ufw status

سَتعرض مخرجات هذا الأمر أن حركة المرور خلال HTTP متاحة:

المخرجات:

Status: active

To                         Action      From
--                         ------      ----
OpenSSH                    ALLOW       Anywhere
Nginx HTTP                 ALLOW       Anywhere
OpenSSH (v6)               ALLOW       Anywhere (v6)
Nginx HTTP (v6)            ALLOW       Anywhere (v6)

بعد إضافة هذا الإعداد إلى جدار الحماية يمكنك اختبار إن كان الخادم يعمل عبر الدخول إلى اسم نطاق الخادم أو عنوان بروتوكول الإنترنت العام للخادم عبر المتصفح.

إن كنت لا تملك اسم نطاق محدد للخادم وكنت لا تعلم عنوان بروتوكول الإنترنت العام للخادم يمكنك إيجاده من خلال تنفيذ لأمر:

  $ ip addr show eth0 | grep inet | awk '{ print $2; }' | sed 's/\/.*$//'

هذا الأمر سيزودك بمجموعة من عناوين بروتوكول الإنترنت، يمكنك تجريبها على متصفحك.

كطريقة بديلة، يمكنك التحقق إن كان عنوان بروتوكول الإنترنت متاح من مكان آخر على الإنترنت:

 $ curl -4 icanhazip.com

أدخِل عنوان بروتوكول الإنترنت الذي حصلت عليه في متصفحك، وستظهر لك صفحة Nginx الرئيسية:

http://server_domain_or_IP

(صورة)

إن رأيت الصفحة التي في الأعلى، فإن Nginx مُثبّت بنجاح.

خطوة 2 - تثبيت MySQL لإدارة بيانات الموقع

الآن وبما أنه أصبح لديك خادم ويب، ستحتاج لِتثبيت MySQL (نظام إدارة قواعد بيانات) وإدارة بيانات الموقع.

ثبّت MySQL باستخدام الأمر:

 $ sudo apt install mysql-server

تم تثبيت قاعدة بيانات MySQL لكن إعدادها لم يكتمل بعد.

لتأمين التثبيت، تُرفق MySQL بسكربت يسألك إن كنت تريد تغيير الإعدادات الافتراضية الغير آمنة. لبدء السكربت:

 $ sudo mysql_secure_installation

سيسألك السكربت إن كنت تريد إعداد VALIDATE PASSWORD PLUGIN.

تحذير: يجب أن تفهم هذه الميزة قبل تفعيلها. فعند تفعيل هذه الميزة، سيرفض MySQL أي كلمة مرور لا تطابق معاييره المحددة وسيظهر خطأ. مما يتسبب في بعض المشاكل في حال كنت تستخدم كلمة مرور ضعيفة بالإضافة إلى برنامج يُعِد بيانات مستخدمي MySQL تلقائيا مثل حزمة phpMyAdmin. يُفضل عدم تفعيل هذا الأمر لتفادي مثل هذه الأخطاء. لكن، يُفضَّل أن تستخدم كلمات مرور قوية وفريدة لمستخدمي قواعد البيانات دائما.

أجب Y للتفعيل أو أي حرف آخر للاستمرار بدون تفعيل الإضافة.

VALIDATE PASSWORD PLUGIN can be used to test passwords
and improve security. It checks the strength of password
and allows the users to set only those passwords which are
secure enough. Would you like to setup VALIDATE PASSWORD plugin?

Press y|Y for Yes, any other key for No:

في حال اخترت تفعيل التحقق، فَسَيسألك السكربت لاختيار مستوى تحقق كلمة المرور. تذكر أنه إن اخترت 2 -أقوى مستوى - فسترى بعض الأخطاء عند إدخال كلمة مرور لا تحتوي على أرقام، أحرف كبيرة وصغيرة، ورموز أو أي كلمة اعتيادية من قاموس اللغة.

There are three levels of password validation policy:

LOW    Length >= 8
MEDIUM Length >= 8, numeric, mixed case, and special characters
STRONG Length >= 8, numeric, mixed case, special characters and dictionary                  file

Please enter 0 = LOW, 1 = MEDIUM and 2 = STRONG: 1

ثم سيُطلب منك إدخال وتأكيد كلمة مرور مستخدم مسؤول:

Please set the password for root here.

New password:

Re-enter new password:

لباقي الأسئلة قم بالضغط على Y ثم ENTER في كل شاشة. بهذه الطريقة، سيتم حذف بعض المستخدمين المجهولين، وفحص قاعدة البيانات، وتعطيل تسجيل دخول المستخدمين المسؤولين عن بعد، ويعيد تحميل الإعدادات الجديدة كي يقوم MySQL بتطبيقها مبشرة.

لاحظ أنه في اصدارات MySQL 5.7 وما يليها على أوبونتو يُعد المستخدم المسؤول للمصادقة باستخدام إضافة auth_socket افتراضيا بدلا من التصديق باستخدام كلمة مرور. هذه الميزة توفر أمانًا أكبر وسهولة استخدام في حالات متعددة، لكنها قد تكون معقدة عندما تريد السماح لبرامج خارجية مثل (phpMyAdmin) بالوصول للمستخدم.

إن كان استخدام إضافة auth_socket للوصول إلى MySQL يتناسب مع طبيعة عملك يمكنك الاستمرار بالخطوة 3. لكن إن كنت تفضل استخدام كلمة المرور للاتصال ب MySQL كمستخدم مسؤول فستحتاج لتغيير طريقة مصادقته من auth_socket إلى mysql_native_password. للقيام بذلك، افتح شاشة اوامر MySQL:

 $ sudo mysql

ثم قم بالتحقق من طريقة المصادقة التي يستخدمها كل حساب من مستخدمي MySQL باستخدام الأمر:

mysql> SELECT user,authentication_string,plugin,host FROM mysql.user;

المخرجات:

+------------------+-------------------------------------------+-----------------------+-----------+
| user             | authentication_string                     | plugin                | host      |
+------------------+-------------------------------------------+-----------------------+-----------+
| root             |                                           | auth_socket           | localhost |
| mysql.session    | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| mysql.sys        | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| debian-sys-maint | *CC744277A401A7D25BE1CA89AFF17BF607F876FF | mysql_native_password | localhost |
+------------------+-------------------------------------------+-----------------------+-----------+
4 rows in set (0.00 sec)

يمكنك ملاحظة أن المستخدم المسؤول يستخدم التصديق بإضافة auth_socket. لإعداد حساب المستخدم المسؤول للمصادقة بكلمة مرور، نفّذ أمر ALTER USER التالي. تأكد من استخدامك كلمة مرور قوية من اختيارك:

 mysql> ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'password';

ثم نفّذ الأمر FLUSH PRIVILEGES والذي سيجعل الخادم يعيد جداوِل الصلاحيات حتى تعمل التغييرات التي أجريتها:

 mysql> FLUSH PRIVILEGES;

تحقق من طرق التصديق لكل مستخدام مجددًا لتتأكد من أن المستخدم المسؤول لم يعد يستخدم المصادقة باضافة auth_socket:

 mysql> SELECT user,authentication_string,plugin,host FROM mysql.user;

المخرجات:

+------------------+-------------------------------------------+-----------------------+-----------+
| user             | authentication_string                     | plugin                | host      |
+------------------+-------------------------------------------+-----------------------+-----------+
| root             | *3636DACC8616D997782ADD0839F92C1571D6D78F | mysql_native_password | localhost |
| mysql.session    | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| mysql.sys        | *THISISNOTAVALIDPASSWORDTHATCANBEUSEDHERE | mysql_native_password | localhost |
| debian-sys-maint | *CC744277A401A7D25BE1CA89AFF17BF607F876FF | mysql_native_password | localhost |
+------------------+-------------------------------------------+-----------------------+-----------+
4 rows in set (0.00 sec)

يمكنك رؤية أن مستخدم MySQL المسؤول أصبح يستخدم المصادقة بكلمة المرور. بعد تأكدك من هذا على الخادم الخاص بك أغلق شاشة اوامر MySQL:

 mysql> exit

ملاحظة:

بعد تغييرك لطريقة مصادقة المستخدم المسؤول إلى كلمة مرور، فلن تستطيع الوصول إلى MySQL باستخدام الأمر sudo mysql المُستخدم سابقا، بدلا عن ذلك يجب أن تنفذ الأمر التالي:

 $ mysql -u root -p

بعد ادخال كلمة المرور التي أعددتها قبل قليل، ستُفتح لك شاشة اوامر MySQL.

هكذا يكون نظام قواعد البيانات جاهزًا ويمكنك الانتقال إلى خطوة تثبيت PHP.

خطوة 3 - تثبيت PHP وإعداد Nginx لاستخدام معالج PHP

أصبح لديك الآن Nginx لعرض صفحات الويب، و MySQL لتخزين وإدارة البيانات. لكن ليس لديك شيء يقوم بتوليد صفحات ويب ديناميكية. هنا يأتي دور PHP.

لأن Nginx لا يحتوي على وحدة معالجة PHP مثل باقي خوادم الويب، ستحتاج لتثبيت php-fpm والتي تعني "fastCGI process manager". سنجعل Nginx يُمرر طلبات PHP إلى هذا البرنامج للمعالجة.

ملاحظة:

اعتمادًا على مزود الخدمة السحابية لديك، قد تحتاج لإضافة مخزن أوبونتو universe الذي يتضمن برامج مجانية ومفتوحة المصدر أنشئت بواسطة مجتمع أوبونتو؛ يمكنك القيام بذلك قبل تثبيت php-fp:

 $ sudo add-apt-repository universe

ثبّت php-fpm مع الحزمة المساعدة php-mysql التي تسمح ل PHP بالتواصل مع قاعدة البيانات. سيجلب التثبيت ملفات PHP الرئيسية:

 $ sudo apt install php-fpm php-mysql

الآن أصبح لديك جميع مكونات حزمة LEMP، لكن ما زلت تحتاج لتعديل بعض إعدادت التكوين حتى تجعل Nginx بتعامل مع معالج PHP لعرض المحتوى الديناميكي.

يتم ذلك على مستوى أجزاء الخادم (أجزاء الخادم تشبه مُستضيفوا Apache الوهميون). للقيام بذلك، افتح ملف تكوين جزء خادم جديد في مجلد /etc/nginx/sites-available/. في هذا المثال، سنُسمي ملف جزء السيرفر example.com. يمكنك اختيار الاسم الذي تريده:

 $ sudo nano /etc/nginx/sites-available/example.com

ستتمكن بتعديل ملف تكوين جزء خادم جديد بدلا من تعديل الجزء الافتراضي من استعادة الاعدادات الافتراضية في حال احتجتها.

أضف المحتوى التالي المأخوذ من ملف تكوين جزء الخادم الرئيسي مع بعض التعديلات الطفيفة إلى ملف تكوين جزء الخادم الجديد:

             /etc/nginx/sites-available/example.com
server {
        listen 80;
        root /var/www/html;
        index index.php index.html index.htm index.nginx-debian.html;
        server_name example.com;

        location / {
                try_files $uri $uri/ =404;
        }

        location ~ \.php$ {
                include snippets/fastcgi-php.conf;
                fastcgi_pass unix:/var/run/php/php7.2-fpm.sock;
        }

        location ~ /\.ht {
                deny all;
        }
}

هذا ما تقوم به التوجيهات وأجزاء التحديد:

• listen - تُعرف المنفذ الذي يستمع له Nginx، في هذه الحالة يستمع Nginx إلى المنفذ 80، المنفذ الافتراضي ل HTTP.
• root - يُعرّف المجلد الرئيسي حيث تُخزن ملفات الموقع.
• index - يقوم بإعداد Nginx كي يجعل الأولوية لعرض الملفات المسماه index.php - إن كانت متاحة عند طلب ملف index.
• server_name - تعرّف الجزء الذي يجب أن يُستخدم لطلب ما للخادم. حدد هذه التوجيهة إلى اسم نطاق الخادم أو عنوان بروتوكول الإنترنت للخادم.
• location /‎ - أول جزء تحديد يحتوي توجيهة try_files والتي تتحقق من وجود ملفات تطابق طلب عنوان URI. إن لم يجد Nginx الملف المناسب، يقوم بإرجاع خطأ 404.
• "location ~ \.php$‎" - جزء التحديد هذا يهتم بالمعالجة الفعلية ل PHP عبر توجيه Nginx إلى ملف تكوين fastcgi-php.conf وملف php7.2-fpm.sock الذي يُعرّف الحزمة المرتبطة ب php-fpm.
• location ~ /\.ht - آخر جزء تحديد والذي يتعامل مع ملف .htaccess الذي لا يقوم Nginx بمعالجته. بإضافة توجيهة deny all فإن ملفات "‎.htaccess" التي قد تتواجد في المجلد الرئيسي لن تُعرض للزائر.

بعد إضافة هذا المحتوى، احفظ الملف واغلقه. فعّل جزء الخادم الجديد بإنشاء رابط رمزي من ملف تكوين جزء الخادم الجديد في المجلد /etc/nginx/sites-available/ إلى المجلد /etc/nginx/sites-enabled/:

 $ sudo ln -s /etc/nginx/sites-available/example.com /etc/nginx/sites-enabled/

ثم ألغِ ربط ملف التكوين الرئيسي من مجلد /sites-enabled/:

 $ sudo unlink /etc/nginx/sites-enabled/default

ملاحظة:

إن احتجت لاستعادة الإعدادت الافتراضية، يمكنك ذلك بإعادة إنشاء الرابط الرمزي:

 $ sudo ln -s /etc/nginx/sites-available/default /etc/nginx/sites-enabled/

افحص ملف التكوين الجديد من الأخطاء الإملائية :

 $ sudo nginx -t

إن ظهرت أي أخطاء عد وتحقق من الملف قبل الاستمرار.

عند انتهائك أعد تشغيل Nginx كي تُطبّق التغييرات:

 $ sudo systemctl reload nginx

وبهذا ننتهي من تثبيت وإعداد حزمة LEMP. لكن ما زلنا لم نتأكد ما إن كانت جميع المكونات تتواصل ببعضها البعض.

خطوة 4 - انشاء ملف PHP للتحقق من الاعدادات

الآن، يجب أن تكون حزمة LEMP مُعدة بشكل تام. يمكنك اختبار ذلك للتحقق من أن Nginx يعالج ملفات "‎.php" من معالج PHP بطريقة صحيحة.

للقيام بذلك استخدم محرر النصوص لإنشاء ملف PHP تجريبي وسمّه info.php في المجلد الرئيسي.

 $ sudo nano /var/www/html/info.php

أدخل الأسطر التالية إلى الملف. هذا الكود هو كود PHP صحيح والذي سيعرض معلومات عن الخادم:

• الملف ‎/var/www/html/info.php:

<?php
phpinfo();

عند انتهائك احفظ الملف واغلقه.

يمكن الآن زيارة هذه الصفحة من متصفحك بزيارة اسم نطاق الخادم أو عنوان بروتوكول الإنترنت العام للخادم متبوعا ب /info.php:

http://your_server_domain_or_IP/info.php

يجب أن ترى صفحة ويب تم توليدها باستخدام PHP تحتوي معلومات الخادم:

(صورة)

إن رأيت صفحة تشبه الصورة السابقة، فإن إعدادك لمعالج PHP مع Nginx صحيح.

بعد التحقق من أن Nginx يعالج الصفحات بصورة صحيحة، يُفضل أن تحذف الملف الذي أنشاته لأنه قد يعطي المستخدمين المخولين بالوصول بعض المعلومات عن إعداد الخادم مما قد يساعدهم في محاولة اقتحامه. يمكنك توليد هذا الملف عند احتياجك له.

قم بحذف الملف:

 $ sudo rm /var/www/html/info.php

وبهذا تكون قد أعددت وشغّلت حزمة LEMP على خادم أوبونتو 18.04.

الخلاصة

تعد حزمة LEMP هيكل قوي يمكنك من بناء وتشغيل أي موقع أو تطبيق ويب تقريبا من الخادم الخاص بك.

يوجد العديد من الخطوات التي يمكنك القيام بها بعد هذه الخطوة. مثلا، يجب أن تتأكد من أن الاتصالات إلى الخادم آمنة. ختاما، يمكنك تأمين تثبيت Nginx باستخدام تشفير Let's. باتباع هذا المقال، سوف تحصل على شهادة TLS/SSL للخادم الخاص بك كي يخدم المحتوى عبر HTTPS.

ترجمة -وبتصرف- للمقال How To Install Linux, Nginx, MySQL, PHP (LEMP stack) on Ubuntu 18.04 لأصحابه الكتاب Mark Drake و Justin Ellingwood.

Redis عبارة عن مخزن يعتمد على مفتاح وقيمته ويُعرف بمرونته، وأدائه، ودعمه العديد من اللغات. يوضح هذا المقال كيفية تثبيت وإعداد وتأمين Redis على خادم أوبونتو 18.04.

المتطلبات

ستحتاج إلى الدخول إلى خادم أوبونتو 18.04 والذي لا يملك صلاحيات مستخدم مسؤول ويملك صلاحيات sudo. بالإضافة إلى جدار حماية معد. يمكنك إعداد ذلك من خلال مقال التهيئة الأولية لِخادم أوبونتو.

للبدء سجل دخولك إلى خادم أوبونتو 18.04 باستخدام مستخدم sudo وليس مستخدم مسؤول.

خطوة 1 - تثبيت وإعداد Redis

للحصول على أحدث إصدار من Redis، سنستخدم الأمر apt لتثبيته من متجر أوبونتو الرسمي.

حدِّث ذاكرة التخزين المؤقتة لحزمة apt وثبت Redis باستخدام الأمرين التاليين:

$ sudo apt update

$ sudo apt install redis-server

تنفيذ هذان الأمران سيؤدي إلى تنزيلRedis وتثبيته بالإضافة إلى تثبيت كل الأشياء المتعلقة به. بعد ذلك، يوجد إعداد مهم يجب تغييره في ملف إعداد Redis والذي وُلد تلقائيا أثناء التثبيت. افتح هذا الملف بأي محرر تفضله:

$ sudo nano /etc/redis/redis.conf

ابحث عن supervised في الملف. تتيح لك هذه التعليمة تعريف init في النظام لإضافة Redis كخدمة، مما يتيح لك تحكمًا أفضل بعملياته. تعليمة supervised تكون معطلة no بشكل افتراضي. غيِّر قيمة no إلى systemd؛ ذلك لأنك تستخدم أوبونتو المعتمد على نظام "systemd init".

• الملف ‎/etc/redis/redis.conf:

. . .

# If you run Redis from upstart or systemd, Redis can interact with your
# supervision tree. Options:
#   supervised no      - no supervision interaction
#   supervised upstart - signal upstart by putting Redis into SIGSTOP mode
#   supervised systemd - signal systemd by writing READY=1 to $NOTIFY_SOCKET
#   supervised auto    - detect upstart or systemd method based on
#                        UPSTART_JOB or NOTIFY_SOCKET environment variables
# Note: these supervision methods only signal "process is ready."
#       They do not enable continuous liveness pings back to your supervisor.
supervised systemd

. . .

حتى الآن هذا هو التعديل الوحيد الذي نحتاج القيام به في ملف إعداد Redis. احفظ الملف واغلقه بعد تعديله. ثم أعد تشغيل خدمة Redis لتصبح التغييرات التي أجريتها على الملف سارية المفعول.

$ sudo systemctl restart redis.service

وبهذا تكون قد أعددت Redis، لكن قبل استخدامة يجب التأكد من أنه يعمل بالطريقة الصحيحة.

خطوة 2 - اختبار Redis

يفضل التأكد من صحة عمل أي برنامج جديد قبل تغيير أي من إعداداته. في هذه الخطوة سنتعرف على بعض الطرق للتأكد من ذلك.

نبدأ بالتأكد من أن خدمة Redis تعمل:

$ sudo systemctl status redis

ستظهر مخرجات مشابهة لما يلي في حال كان Redis يعمل بدون أي أخطاء:

المخرجات:

● redis-server.service - Advanced key-value store
   Loaded: loaded (/lib/systemd/system/redis-server.service; enabled; vendor preset: enabled)
   Active: active (running) since Wed 2018-06-27 18:48:52 UTC; 12s ago
     Docs: http://redis.io/documentation,
           man:redis-server(1)
  Process: 2421 ExecStop=/bin/kill -s TERM $MAINPID (code=exited, status=0/SUCCESS)
  Process: 2424 ExecStart=/usr/bin/redis-server /etc/redis/redis.conf (code=exited, status=0/SUCCESS)
 Main PID: 2445 (redis-server)
    Tasks: 4 (limit: 4704)
   CGroup: /system.slice/redis-server.service
           └─2445 /usr/bin/redis-server 127.0.0.1:6379
. . .

يمكنك رؤية أن Redis مُفعَّل وقيد التشغيل، ما يعني أنه معد كي يبدأ التشغيل مع بدء تشغيل الخادم.

ملاحظة: هذا الإعداد مستحسن في أغلب حالات استخدام Redis. إن كنت تفضل تشغيل Redis يدويا في كل مرة تحتاج إليه. يمكنك القيام بذلك باستخدام الأمر:

 $ sudo systemctl disable redis

لاختبار صحة أداء Redis، اتصل بالخادم باستخدام سطر أوامر العميل:

 $ redis-cli

في الشاشة التالية، اختبر الاتصال باستخدام أمر ping:

 127.0.0.1:6379> ping

المخرجات:

PONG

تأكد هذه المخرجات أن اتصال الخادم مفعل. بعد ذلك، تأكد من إمكانية إعداد المفاتيح باستخدام الأمر:

 127.0.0.1:6379> set test "It's working!"

المخرجات:

OK

استرجِع القيمة باستخدام الأمر:

 127.0.0.1:6379> get test

ستتمكن من استرجاع القيمة التي أدخلتها في حال كان كل شيء يعمل بشكل صحيح:

المخرجات:

"It's working!"

بعد تأكدك من إمكانية استرجاع القيمة، أغلق شاشة تنفيذ أوامر Redis:

 127.0.0.1:6379> exit

كاختبار أخير لفحص ما إن كان Redis قادرا على الاستمرار حتى بعد إبقافة أو إعادة تشغيله. لتطبيق هذا الاختبار نبدأ بإعادة تشغيل Redis:

$ sudo systemctl restart redis

اتصل بشاشة أوامر عميل Redis مرة أخرى وتأكد من بقاء القيمة التي خزنتها:

$ redis-cli
 127.0.0.1:6379> get test

يجب أن تظل القيمة المخزنة متاحة:

المخرجات:

"It's working!"

أخرج مجددَا بعد انتهائك:

 127.0.0.1:6379> exit

وبذلك، يكون Redis مثبتَا ويعمل بشكل صحيح وجاهز للاستخدام. بالرغم من ذلك، ما تزال بعض إعداداته الافتراضية غير آمنة وتوفر بعض الفرص للأشخاص المخترقون للهجوم على الخادم وبياناته. تشرح باقي الخطوات في هذا المقال بعض الطرق لتقليل هذه الثغرات الأمنية كما ذكر في موقع Redis الرسمي. هذه الخطوات اختيارية وسيستمر Redis بالعمل حتى لو لم تنفذها، لكن يفضل أن تكمل هذه الخطوات لتقوية أمن نظامك.

خطوة 3 - الربط مع المضيف المحلي (localhost)

Redis متاح تلقائيا عبر المضيف المحلي، لكن إن كنت قد ثبتت Redis بطريقة أخرى فربما تكون قد حدَّثت ملف الإعداد الخاص ب Redis الأمر الذي يتيح اتصالات Redis من أي مكان. هذا الأمر غير آمن كالربط بالمضيف المحلي.

لتصحيح الأمر، افتح ملف تكوين Redis لتعديله:

sudo nano /etc/redis/redis.conf

إذهب إلى السطر التالي وتأكد من إلغاء تعليقه (احذِف # إن وجدت):

• الملف /etc/redis/redis.conf:

bind 127.0.0.1 ::1

احفظ الملف واغلقه عند الانتهاء (اضغط على CTRL + X, Y, ثم ENTER). أعد تشغيل الخدمة للتأكد من قراءة النظام للتغييرات:

$ sudo systemctl restart redis

للتأكد من تأثير هذه التغييرات، نفِّذ أمر netstat التالي:

$ sudo netstat -lnp | grep redis

المخرجات:

tcp        0      0 127.0.0.1:6379          0.0.0.0:*               LISTEN      14222/redis-server
tcp        0      0 ::1:6379                :::*                    LISTEN      14222/redis-server

توضح هذه المخرجات أن برنامج خادم Redis مرتبط بالمضيف المحلي (127.0.0.1). مما يدل على انعكاس التغيير الذي أجريته على ملف التكوين. إن رأيت عنوان بروتوكول إنترنت آخر (مثل 0.0.0.0) فتأكد من إلغاء تعليق السطر المطلوب وأعد تشغيل خدمة Redis مجددَا.

الآن وبعد أن أصبح Redis مربوطا بالمضيف المحلي فقط سيصبح من الصعب على جهات الاختراق تقديم الطلبات أو الوصول إلى الخادم. مع ذلك لا يزال Redis غير معد لِطلب المصادقة من المستخدمين قبل القيام بأي تغيير على إعداداته أو البيانات التي يحتفظ بها. لمعالجة هذا، يتيح لك Redis طلب تأكيد هوية من المستخدمين باستخدام كلمة مرور قبل إحداث ي تغيير وذلك باستخدام الأمر (redis-cli).

خطوة 4 - إعداد كلمة مرور Redis

يتيح لك إعداد كلمة مرور Redis تفعيل إحدى ميزات الحماية المدمجة فيه — الأمر auth يطلب من المستخدمين إثبات الهوية للوصول إلى قاعدة البيانات. يتم تكوين كلمة المرور مباشرة في ملف تكوين Redis "/etc/redis/redis.conf", لذلك؛ افتح الملف مجددا باستخدام محرِّرك المفضل:

$ sudo nano /etc/redis/redis.conf

انتقل إلى جزء "SECURITY" وابحث عن السطر التالي:

• الملف ‎/etc/redis/redis.conf:

 # requirepass foobared

ألغِ تعليق هذا السطر بِإزالة "#" وغير "foobared" إلى كلمة مرور أكثر أمانًا.

ملاحظة: يوجد تحذير معلق فوق الموجه "requirepass" في ملف "redis.conf":

# Warning: since Redis is pretty fast an outside user can try up to
# 150k passwords per second against a good box. This means that you should
# use a very strong password otherwise it will be very easy to break.
#

لذلك، من المهم تحديد كلمة مرور طويلة. يمكنك استخدام الأمر "openssl" ِلتوليد كلمة مرور تلقائيا بدلا من القيام بذلك يدويا كما في المثال التالي. وذلك بتمرير مخرجات الأمر الأول إلى أمر "openssl" الثاني. سيزيل الأمر أي أسطر فارغة تم توليدها من الأمر الأول:

$ openssl rand 60 | openssl base64 -A

ستكون المخرجات مشابهة لما يلي:

RBOJ9cCNoGCKhlEBwQLHri1g+atWgn4Xn4HwNUbtzoVxAYxkiYBi7aufl4MILv1nxBqR4L6NNzI0X6cE

بعد نسخ ولصق المخرجات لتكون هي القيمة الجديدة ل "requirepass":

/etc/redis/redis.conf

requirepass RBOJ9cCNoGCKhlEBwQLHri1g+atWgn4Xn4HwNUbtzoVxAYxkiYBi7aufl4MILv1nxBqR4L6NNzI0X6cE

بعد إضافة كلمة المرور، احفظ وأغلق الملف ثم أعد تشغيل Redis:

$ sudo systemctl restart redis.service

لِاختبار من عمل كلمة المرور، أدخل إلى سطر أوامر Redis:

$ redis-cli

الأوامر التالية تستخدم لاختبار ما إن كانت كلمة المرور تعمل أم لا. يحاول الأمر الأول إضافة مفتاح إلى قيمة قبل المصادقة:

 127.0.0.1:6379> set key1 10

لن يتنفذ الأمر لعدم المصادقة وسيرجع Redis خطأ:

المخرجات:

(error) NOAUTH Authentication required.

يقوم الأمر التالي بالمصادقة باستخدام كلمة المرور المحددة في ملف التكوين:

 127.0.0.1:6379> auth your_redis_password

يُأكد Redis المصادقة:

المخرجات:

ok

بعد ذلك، سينجح الأمر السابق:

 127.0.0.1:6379> set key1 10

المخرجات:

ok

الأمر "get key1" يطلب من Redis قيمة المفتاح الجديدة.

 127.0.0.1:6379> get key1

المخرجات:

ok

يمكنك إغلاق "redis-cli" بعد تأكدك من أنه يمكنك تنفيذ أوامر عميل Redis:

 127.0.0.1:6379> quit

لاحقا، ستتعلم كيفية إعادة تسمية أوامر Redis والتي إن تم إدخالها بالخطأ أو من خلال جهة غير مُخَوًّلًة سيسبب الكثير من الأضرار لجهازك.

خطوة 5 - إعادة تسمية الأوامر المهمة

تتضمن ميزة الحماية الأخرى المدمجة في Redis إعادة تسمية بعض الأوامر التي تعتبر خطرة أو إلغاء تفعيلها.

يمكن أن تستخدم بعض هذه الأوامر بواسطة مستخدمون غير مخولين بالدخول لإعادة إعداد، أو تدمير أو حذف بياناتك. سيتم إعادة تسمية الأوامر بنفس الجزء الذي تم تعديل كلمة المرور منه "SECURITY" من ملف "/etc/redis/redis.conf"

بعض الأوامر المهمة والتي قد تكون ذات خطورة هي:

FLUSHDB
FLUSHALL
 KEYS
 PEXPIRE
 DEL
CONFIG
 SHUTDOWN
BGREWRITEAOF
 BGSAVE
SAVE
SPOP
SREM
RENAME
DEBUG

هذه القائمة ليست شاملة، لكن إعادة تسمية أو تعطيل هذه القائمة يعتبر بداية جيدة لتعزيز أمان خادم Redis.

يعتمد إعادة تسمية أو تعطيل الأوامر على احتياجك لها لموقعك. إن كنت تعلم أنك لن تستخدم أمرًا ما؛ فيمكنك تعطيله. أو إعادة تسميته إن ان ذات أهمية لك.

افتح ملف تكوين Redis لتفعيل أو تعطيل أي أمر:

$ sudo nano  /etc/redis/redis.conf

تحذير: توضح الخطوات التالية كيفية تعطيل أو إعادة تسمية كأمثلة. يجب أن تختار تعطيل أو إعادة تسمية الأوامر التي تريدها فقط. يمكنك مراجعة قائمة الأوامر كاملة ومعرفة كيف يمكن أن تستخدم بطريقة ضارة على redis.io/commands.

لِتعطيل أمر ما، أعد تسميته إلى نص فارغ (يشار إلى النص الفارغ بِعلامتي تنصيص "") كما في الأسفل:

• الملف ‎/etc/redis/redis.conf:

. . .
 # It is also possible to completely kill a command by renaming it into
 # an empty string:
 #
 rename-command FLUSHDB ""
rename-command FLUSHALL ""
rename-command DEBUG ""
. . .

لإعادة تسمية أمر ما، اعطه اسما آخر كما في المثال بالأسفل. يجب أن تكون الأسماء صعبة التخمين للآخرين ولكن سهلة بالنسبة لك كي تتذكرها لاحقًا:

• الملف ‎/etc/redis/redis.conf:

. . .
# rename-command CONFIG ""
rename-command SHUTDOWN SHUTDOWN_MENOT
rename-command CONFIG ASC12_CONFIG
. . .

احفظ التغييرات وأغلق الملف. أعد تشغيل Redis بعد إعادة تسمية الأمر لتطبيق التغييرات:

$ sudo systemctl restart redis.service

أدخل إلى سطر أوامر Redis لاختبار الأمر الجديد:

$ redis-cli

قم بالمصادقة:

 127.0.0.1:6379> auth your_redis_password

المخرجات:

OK

لنفترض أنك أعدت تسمية الأمر "CONFIG" إلى "ASC12_CONFIG" كما في المثال السابق. أولا حاول استخدام الأمر الأصلي "CONFIG". يجب أن يفشل تنفيذ الأمر لأنك أعدت تسميته:

 127.0.0.1:6379> config get requirepass

المخرجات:

(error) ERR unknown command 'config'

سينجح الأمر عند استخدام الاسم الجديد. لا يهم حالة الأحرف.

 127.0.0.1:6379> asc12_config get requirepass

المخرجات:

1) "requirepass"
2) "your_redis_password"

وأخيرا يمكنك الخروج من "redis-cli".

 127.0.0.1:6379> exit

ملاحظة: عندما تُعيد تشغيل سطر أوامر Redis، سيطلب منك إعادة المصادقة أو سيظهر لك الخطأ التالي عند محاولتك لتنفيذ أمر ما:

المخرجات:

NOAUTH Authentication required.

ملاحظة: بالنسبة لإعادة تسمية الأوامر؛ يوجد جملة تحذيرية في نهاية جزء SECURITY في الملف "‎/etc/redis/redis.conf" والتي تنص على:

Please note that changing the name of commands that are logged into the AOF file or transmitted to slaves may cause problems.

يعني هذا التحذير أن إعادة تسمية الأوامر المحفوظة في ملف AOF أو المنقولة في ملف فرعي قد يتسبب ببعض المشاكل.

ملاحظة: يستخدم Redis المصطلحات “master” و “slave” بينما يفضل DigitalOcean استخدام البدائل “primary” و “secondary”. ولتجنب الخلط بين المصطلحات فإننا نستخدم المصطلحات التي يستخدمها Redis في ملفات التوثيق الخاصة به.

يعني ذلك أنه إن كانت الأوامر التي تمت إعادة تسميتها ليست في ملف AOF أو إن كانت فيه لكن لم يتم نقلها إلى مجلد فرعي فلن يكون هناك أية مشاكل.

لذلك يجب أن تتذكر هذا عند قيامك بإعادة تسمية أمر ما. أفضل وقت لإعادة تسمية الأوامر هو عند عدم استخدامك ل AOF أو بعد التثبيت مباشرة قبل استخدام Redis.

عند استخدامك ل AOF وتعاملك مع التثبيت بنوع master-slave، خذ بعين الاعتبار هذه الإجابة من صفحة المشروع على GitHub:

الإجابة:

تُسجَّل الأوامر في AOF ثم تُكرر إلى المجلدات الفرعية بنفس الطريقة التي تم إرسالها، لذلك إن شغَّلت AOF على نسخة لا تحتوي الأوامر التي تمت إعادة اسميتها ستواجه بعض التعارضات ولن تنفذ بعض الأوامر.

لذلك فإن أفضل طريقة لإعادة تسمية لأوامر في مثل هذه الحالة هي عبر التأكد من أن الأوامر التي تمت إعادة تسميتها مطبقة على جميع النسخ في طريقة التثبيت باستخدام master-slave.

الخلاصة

ختاما، في هذا المقال، لقد ثبتته وإعداد Redis، وتأكدت من صحة عمل Redis، واستخدمت ميزات الحماية المدمجة فيه والتي تقلل عدد الثغرات الممكنة للهجوم من قبل المخترقين.

تذكر أنه بمجرد تسجيل أحدهم الدخول إلى الخادم، فمن السهل عليه التحايل على إعدادت حماية Redis التي قمنا بها. لذلك فإن أهم ميزة أمان على الخادم هي جدار الحماية (الذي أعددته إن كنت تابعت المقال السابق حول التهيئة الأولية لخادم أوبونتو 18.04) الذي يجعل الاختراق صعبًا جدًا.

ترجمة -وبتصرف- للمقال How To Install and Secure Redis on Ubuntu 18.04 لصاحبه الكاتب Mark Drake.