diff --git a/mn_MN.UTF-8/books/handbook/config/chapter.sgml b/mn_MN.UTF-8/books/handbook/config/chapter.sgml
index 759f7b781c..3c08c65fa1 100644
--- a/mn_MN.UTF-8/books/handbook/config/chapter.sgml
+++ b/mn_MN.UTF-8/books/handbook/config/chapter.sgml
@@ -1,3063 +1,3090 @@
Шерн
Ли
Хойно дурдсан заавар болон гарын авлага дээр тулгуурлан бичсэн
Майк
Смит
Зааврыг бичсэн
Мэтт
Диллон
tuning(7)-г бичсэн
Цагаанхүүгийн
Ганболд
Орчуулсан
Тохиргоо ба Тааруулалт
Ерөнхий агуулга
системийн тохиргоо
системийн оновчлол
&os;-ийн хамгийн чухал зүйлүүдийн нэг нь системийн тохиргоо юм.
Зөв системийн тохиргоо нь ирээдүйн шинэчлэлтүүдийн үед толгойн өвчин гаргахгүй
байхад тусална. Энэ бүлэг &os; системийг тааруулахад хэрэглэгддэг зарим нэг
параметрүүд болон тохиргооны процессийн талаар илүү тайлбарлах болно.
Энэ бүлгийг уншсаны дараа, та дараах зүйлсийг мэдэх болно:
Файлын системүүд болон хуваалтуудтай хэрхэн үр ашигтай ажиллах
талаар.
rc.conf тохиргоо болон
/usr/local/etc/rc.d эхлэлийн системүүдийн
үндсүүд.
Сүлжээний картыг хэрхэн тохиргоо болон тест хийх талаар.
Сүлжээний төхөөрөмж дээрээ виртуал хостууд хэрхэн тохируулах талаар.
/etc дэх төрөл бүрийн тохиргооны файлыг
хэрхэн ашиглах талаар.
sysctl хувьсагчуудыг ашиглан &os;-ийг
хэрхэн тааруулах талаар.
Дискний хурдан ажиллагааг хэрхэн тааруулах болон цөмийн хязгааруудыг
хэрхэн өөрчлөх талаар.
Энэ бүлгийг уншихаасаа өмнө, та дараах зүйлсийг мэдэх шаардлагатай:
&unix; болон &os;-ийн үндсийг ойлгох ().
Цөмийн тохиргоо/хөрвүүлэлтийн үндсүүдийн талаар ойлголттой байх
().
Эхний Тохиргоо
Хуваалтын байрлал
хуваалтын байрлал
/etc
/var
/usr
Үндсэн Хуваалтууд
&man.bsdlabel.8; болон &man.sysinstall.8; ашиглан файлын
системүүдийг байрлуулахдаа хатуу хөтлөгчүүд өгөгдлийг дотоод замуудаас
илүү гаднах замуудаас хурдан шилжүүлдгийг санаарай.
Тиймээс жижиг, байнга ханддаг файлын системүүд хөтлөгчийн гадна тал уруу ойрхон
байх ёстой бөгөөд /usr зэрэг том хуваалтууд
дискийн дотор тал уруу байх хэрэгтэй. Хуваалтуудыг иймэрхүү дарааллаар байрлуулах нь
зөв юм: root, swap, /var,
/usr.
/var хуваалтын хэмжээ төлөвлөсөн машины хэрэглээг
тусгадаг.
/var файлын систем нь шуудангийн хайрцгууд, бүртгэлийн файлууд,
болон принтерийн spool агуулдаг. Шуудангийн хайрцгууд болон бүртгэлийн
файлууд хичнээн хэрэглэгч байгаа болон ямар хугацаанд бүртгэлийн файлууд байхаас
хамаараад төсөөлөшгүй хэмжээнд хүртэл ихсэж болдог. Ихэнх хэрэглэгчдийн хувьд
/var-д нэг гигабайт сул зай байхад хангалттай байдаг.
/var/tmp-д ихээхэн хэмжээний дискийн зай
шаардагддаг цөөхөн тохиолдол байдаг. Шинэ програм хангамжийг &man.pkg.add.1;
ашиглан суулгахад багцлах хэрэгслүүд багцын түр зуурын хуулбарыг
/var/tmp-д задалдаг. /var/tmp-д
хангалттай дискийн чөлөөтэй зай байхгүй бол Firefox
эсвэл OpenOffice зэрэг томоохон програм хангамжийн
багцуудыг суулгахад төвөгтэй байж болох юм.
/usr хуваалт &man.ports.7; цуглуулга (байлгахыг зөвлөдөг),
болон эх код (заавал биш) зэрэг системийг дэмжихэд шаардлагатай ихэнх файлуудыг агуулдаг.
Портууд болон үндсэн системийн эхүүдийг суулгалтын үед сонгох боломжтой боловч бид энэ
хуваалтад хамгийн багаар бодоход 2 гигабайт байхыг зөвлөдөг.
Хуваалтын хэмжээг сонгохдоо зайн шаардлагыг бодох хэрэгтэй. Нэг хуваалт нь
бараг л ашиглагдахгүй байхад нөгөө нь зайгүй болж байх нь асуудал юм.
&man.sysinstall.8;-ийн Auto-defaults
хуваалтын хэмжээг өгөгч нь заримдаа /var болон
/ хуваалтуудад боломжоос бага хэмжээг сонгодгийг
зарим хэрэглэгчид олсон байна. Хуваалтыг ухаалгаар харамгүй хийгээрэй.
Swap Хуваалт
swap хэмжээ нэмэх
swap хуваалт
Swap хуваалтын хэмжээ системийн санах ойг (RAM) хоёр дахин авсан
хэмжээтэй байх ёстой. Жишээлбэл машин 128 мегабайт санах ойтой
бол swap файл 256 мегабайт байх ёстой. Бага санах ойтой системүүд
их swap-тай бол илүү хурдан ажиллаж болох юм. 256 мегабайтаас бага
swap-ийг хэрэглэхийг зөвлөдөггүй бөгөөд санах ойн өргөтгөл хэрэгтэй. Цөмийн
VM хуудаслах алгоритмууд нь багаар бодоход гол санах ойг хоёр дахин авсантай
тэнцэх swap хуваалттай байх үед хамгийн хурдан ажиллахаар тааруулагдсан
байдаг. Хэтэрхий бага swap тохируулах нь VM хуудас скан хийх кодыг үр
ашиггүйтэлд хүргэж илүү санах ой хожим нэмэхэд асуудал үүсгэж болох юм.
Олон SCSI дискнүүд бүхий (эсвэл олон IDE дискнүүд өөр өөр хянагчууд дээр
ажиллаж байгаа) томоохон системүүдэд swap-ийг хөтлөгч болгон дээр (4 хөтлөгч хүртэл)
тохируулахыг зөвлөдөг. Swap хуваалтууд нь ойролцоогоор адилхан хэмжээний
байх шаардлагатай. Цөм дурын хэмжээтэй ажиллаж чадах боловч дотоод өгөгдлийн
бүтцүүд хамгийн том swap хуваалтыг 4 дахин авсантай адил хэмжээгээр
томрох боломжтой. Swap хуваалтуудыг ойролцоогоор адил хэмжээтэй байлгах нь
swap зайг дискнүүдийн дагуу оновчтойгоор судал үүсгэх боломжийг цөмд олгодог.
Swap их ашиглагддаггүй байсан ч гэсэн том swap хэмжээ байж болно.
Хүчээр дахин ачаалагдах үед дагаж хаагдсан програмаас өгөгдлийг сэргээх нь
амархан байж болох юм.
Яагаад Хуваах хэрэгтэй гэж?
Зарим хэрэглэгчид ганц том хуваалт байхад болно гэж боддог,
гэхдээ энэ нь яагаад буруу болох хэд хэдэн шалтгаан бий.
Нэгдүгээрт хуваалт болгон өөр өөр ажиллагааны шинж чанаруудтай бөгөөд
тэдгээрийг тусгаарласнаар файлын системийг тэдгээрт тааруулах боломжийг
олгодог. Жишээ нь root болон /usr
хуваалтууд байнга бичигдэхээсээ илүү ихэвчлэн уншигддаг.
Харин уншилт болон бичилт /var болон
/var/tmp-д байнга хийгддэг.
Системийг зөв хувааснаар ачаалалтай хуваалтуудад хийсэн жижиг
бичилтээр гарсан хэсэглэлт илүүдэж байнга уншигддаг хуваалтууд уруу
хальдаггүй. Бичилт-ачаалсан хуваалтуудыг дискний ирмэг уруу байрлуулах нь
бичилт ихэвчлэн хийгддэг хуваалтууд дахь I/O ажиллагааг хурдасгадаг.
Том хуваалтуудад I/O-н хурдан ажиллагаа хэрэгтэй байж болох ч
тэдгээрийг дискний ирмэг уруу илүүтэй ойртуулах нь
/var-ийг ирмэг уруу шилжүүлснээс илүү
мэдэгдэхүйц хурдан ажиллагаанд хүргэхгүй. Эцэст нь найдвартай байдлыг бодох
ёстой. Ихэвчлэн уншигддаг, жижиг, цэвэрхэн root хуваалт хэцүү сүйрэл
болоход сэргэх боломж нь хамаагүй илүү байна.
Гол Тохиргоо
rc файлууд
rc.conf
Системийн тохиргооны мэдээлэл /etc/rc.conf
дотор байдаг. Энэ файл нь өргөн хүрээний, зарчмын хувьд системийг эхлэх
үед системийг тохируулахад ашиглагддаг тохиргооны мэдээллүүдээс тогтоно.
Үүний нэр нь шууд утгыг тодорхойлно; энэ нь rc*
файлуудад зориулсан тохиргооны мэдээлэл юм.
Администратор
/etc/defaults/rc.conf-ийн анхдагч утгуудыг
rc.conf файлд өөрчилж оруулах хэрэгтэй.
Анхдагчуудын файл /etc уруу хуулагдах ёсгүй -
энэ нь жишээ биш анхдагч утгуудыг агуулдаг. Бүх системийн холбогдолтой
өөрчлөлтүүд rc.conf файлд өөрт нь хийгдэх
ёстой.
Удирдлагын нэмэлт ачааллыг байнга бага байлгахын тулд сайт дагуух тохиргоог
системийн тусгайлсан тохиргооноос тусгаарлах хэд хэдэн стратеги кластер хийгдсэн
програмуудад байж болох юм. Сайтын дагуух тохиргоог
/etc/rc.conf.site зэрэг өөр файлд байрлуулж
дараа нь энэ файлыг зөвхөн системийн тусгайлсан мэдээллийг агуулдаг
/etc/rc.conf-д оруулахыг
зөвлөдөг.
rc.conf нь &man.sh.1;-ээр уншигддаг болохоор
үүнийг хийхэд амархан байна. Жишээ нь:
rc.conf:
. /etc/rc.conf.site
hostname="node15.example.com"
network_interfaces="fxp0 lo0"
ifconfig_fxp0="inet 10.1.1.1"
rc.conf.site:
defaultrouter="10.1.1.254"
saver="daemon"
blanktime="100"
Дараа нь rc.conf.site файл
систем болгонд rsync эсвэл адил
програмаар түгээгдэж болох бөгөөд харин
rc.conf файл нь өөр өөр хэвээр байх болно.
&man.sysinstall.8; эсвэл make world ашиглан
системийг шинэчлэхэд rc.conf файлыг
дарж бичихгүй, тэгэхээр системийн тохиргооны мэдээлэл хаягдахгүй.
Програмын Тохиргоо
Ерөнхийдөө суулгасан програмууд нь өөрийн дүрэм гэх мэт онцлогтой өөр өөрийн
тохиргооны файлуудтай байдаг. Эдгээр файлуудыг багц удирдах хэрэгслүүдээр
амархан олж удирдаж болохоор үндсэн системээс тусад нь байлгах нь чухал юм.
/usr/local/etc
Ерөнхийдөө эдгээр файлууд нь /usr/local/etc
дотор суулгагддаг. Програм их олон тооны тохиргооны файлуудтай тохиолдолд
тэдгээрийг агуулж дэд сан үүсгэгдэнэ.
Ихэнхдээ порт эсвэл багц суухад жишээ тохиргооны файлууд бас суудаг.
Эдгээр нь ихэнхдээ .default дагавраар
танигддаг. Хэрэв програмын хувьд тохиргооны файлууд байхгүй байвал
тэдгээрийг .default файлуудыг хуулж үүсгэнэ.
Жишээ нь /usr/local/etc/apache санд
байгаа файлуудыг үзье:
-rw-r--r-- 1 root wheel 2184 May 20 1998 access.conf
-rw-r--r-- 1 root wheel 2184 May 20 1998 access.conf.default
-rw-r--r-- 1 root wheel 9555 May 20 1998 httpd.conf
-rw-r--r-- 1 root wheel 9555 May 20 1998 httpd.conf.default
-rw-r--r-- 1 root wheel 12205 May 20 1998 magic
-rw-r--r-- 1 root wheel 12205 May 20 1998 magic.default
-rw-r--r-- 1 root wheel 2700 May 20 1998 mime.types
-rw-r--r-- 1 root wheel 2700 May 20 1998 mime.types.default
-rw-r--r-- 1 root wheel 7980 May 20 1998 srm.conf
-rw-r--r-- 1 root wheel 7933 May 20 1998 srm.conf.default
Файлын хэмжээнүүд нь зөвхөн srm.conf файл
өөрчлөгдсөнийг харуулж байна. Apache
портын дараагийн шинэчлэл энэ өөрчлөгдсөн файлыг дарж хуулахгүй.
Том
Рөүдс
Хувь нэмэр болгон оруулсан
Цагаанхүүгийн
Ганболд
Орчуулсан
Үйлчилгээнүүдийг эхлүүлэх нь
үйлчилгээнүүд
Олон хэрэглэгчид Портуудын Цуглуулгаас гуравдагч програм хангамжуудыг
&os; дээр суулгахаар сонгодог. Ихэнх тохиолдолд програм хангамжийг
систем ачаалахад эхлүүлэхээр тохируулах шаардлагатай байж болох юм.
mail/postfix эсвэл
www/apache13
зэрэг үйлчилгээнүүд нь системийг ачаалахад эхлүүлж болох програм
хангамжийн багцуудын зөвхөн хоёрхон жишээ юм. Энэ хэсэгт гуравдагч
програм хангамжийг ажиллуулах процедурын талаар тайлбарлах болно.
&os; дээр &man.cron.8; зэрэг ихэнх үйлчилгээнүүд системийн эхлүүлэх
скриптүүдийн тусламжтай эхэлдэг. Эдгээр скриптүүд &os; эсвэл
үйлдвэрлэгчийн хувилбараас хамааран өөр өөр байна; гэхдээ хамгийн чухал
авч үзэх зүйл нь тэдгээрийн эхлэх тохиргоог энгийн эхлүүлэх скриптүүдээр хийх
боломжтой явдал юм.
Програмын Өргөтгөсөн Тохиргоо
Одоогийн &os;-ийн rc.d-г агуулдаг нь
програмын эхлүүлэх тохиргоог илүү хялбар, боломжтой болгосон.
rc.d хэсэгт
хэлэлцсэн түлхүүр үгүүдийг ашиглан програмууд жишээ нь
DNS зэрэг зарим үйлчилгээнүүдийн дараа
ажиллахаар тохируулагдаж болно; эхлүүлэх скриптүүдэд хатуугаар
бичигдсэн тугуудын оронд rc.conf-оор
нэмэлт тугуудыг өгөхийг зөвшөөрч болох гэх мэт.
Үндсэн скрипт дараах байдлаар харагдаж болно:
#!/bin/sh
#
# PROVIDE: utility
# REQUIRE: DAEMON
# KEYWORD: shutdown
. /etc/rc.subr
name="utility"
rcvar=`set_rcvar`
command="/usr/local/sbin/utility"
load_rc_config $name
#
# DO NOT CHANGE THESE DEFAULT VALUES HERE
# SET THEM IN THE /etc/rc.conf FILE
#
utility_enable=${utility_enable-"NO"}
utility_pidfile=${utility_pidfile-"/var/run/utility.pid"}
pidfile="${utility_pidfile}"
run_rc_command "$1"
Энэ скрипт нь өгөгдсөн utility-г
DAEMON псевдо үйлчилгээний дараа ажиллуулахаар
тохируулагдсан. Мөн PID, эсвэл процессийн
ID файлыг заах болон дагах аргыг бас хангадаг.
Энэ програм дараах мөрийг /etc/rc.conf
файлд оруулж болно:
utility_enable="YES"
Энэхүү арга нь тушаалын мөрийн нэмэлт өгөгдлүүдийг илүү хялбараар
удирдах боломжийг зөвшөөрдөг бөгөөд /etc/rc.subr
дахь анхдагч функцуудыг оруулах, &man.rcorder.8; хэрэгсэлтэй нийцтэй байх,
болон rc.conf файлын тусламжтай хялбараар
тохиргоо хийх боломжийг бас хангадаг.
Үйлчилгээнүүдийг эхлүүлэхийн тулд үйлчилгээнүүдийг ашиглах нь
POP3 сервер дэмонууд,
IMAP зэрэг бусад үйлчилгээнүүд &man.inetd.8;
ашиглан эхэлж болдог. Энэ нь Портуудын Цуглуулгаас
/etc/inetd.conf файлд нэмэгдэх мөр бүхий эсвэл
одоогийн байгаа мөрүүдийн нэгнээс тайлбарыг болиулж идэвхжүүлдэг үйлчилгээний
хэрэгслийг суулгаснаар хэрэгждэг.
inetd болон түүний тохиргоотой ажиллах
талаар inetd хэсэгт гүнзгий
тайлбарласан байгаа болно.
Зарим тохиолдолд &man.cron.8; ашиглан системийн үйлчилгээнүүдийг
эхлүүлэх нь илүү ашигтай байж болох юм. Энэ арга нь хэд хэдэн давуу талуудтай
бөгөөд учир нь cron эдгээр процессуудыг
crontab-н файлын эзэмшигчийн эрхээр ажиллуулдаг.
Энэ нь ердийн хэрэглэгчдэд зарим програмуудыг эхлүүлж ажиллагааг хангах боломжийг
олгодог.
cron хэрэгсэл @reboot
гэсэн бусдад байхгүй боломжийг олгодог бөгөөд цаг хугацааг заах хэсэгт ашиглагдах
боломжтой. Энэ нь системийг эхлүүлэх явцад &man.cron.8; эхлэх үед тухайн
ажлыг ажиллуулдаг.
Том
Рөүдс
Хувь нэмэр болгон оруулсан
Цагаанхүүгийн
Ганболд
Орчуулсан
<command>cron</command> хэрэгслийг тохируулах нь
cron
тохиргоо
&os;-ийн хамгийн ашигтай хэрэгслүүдийн нэг нь &man.cron.8; юм.
cron хэрэгсэл ард ажилладаг бөгөөд
/etc/crontab файлыг байнга шалгаж
байдаг. cron хэрэгсэл
/var/cron/tabs сангаас шинэ
crontab файлуудыг бас шалгадаг.
Эдгээр crontab файлууд нь тусгай функцуудыг
агуулдаг бөгөөд эдгээрийг cron тодорхой хугацаанд
ажиллуулах ёстой байдаг.
cron хэрэгсэл системийн crontab болон хэрэглэгчийн
crontab гэсэн хоёр төрлийн тохиргооны файлыг ашигладаг. Энэ хоёр хэлбэршилтийн
зөвхөн ялгаа нь зургаа дахь талбар юм. Системийн crontab дээрх зургаа дахь
талбар нь тушаалыг ажиллуулах хэрэглэгчийн нэр байдаг. Энэ нь системийн crontab-ийг
ямар ч хэрэглэгчийн эрхээр тушаалуудыг ажиллуулах боломж олгодог. Хэрэглэгчийн
crontab дээрх зургаа дахь талбар нь ажиллуулах тушаал бөгөөд бүх тушаалууд нь
crontab-ийг үүсгэсэн хэрэглэгчийн эрхээр ажилладаг; энэ нь аюулгүй байдлын
нэг чухал боломж юм.
Хэрэглэгчийн crontab-ууд нь хэрэглэгчдэд root
эрхийн шаардлагагүйгээр бодлогуудыг цагийн хуваариар ажиллуулах боломж олгодог.
Хэрэглэгчийн crontab дахь тушаалууд нь crontab-ийг эзэмшиж байгаа хэрэглэгчийн
эрхээр ажилладаг.
root хэрэглэгч бас бусад хэрэглэгчийн нэгэн адил
хэрэглэгчийн crontab-тай байж болно. Энэ нь /etc/crontab-аас
(системийн crontab) өөр байна. Системийн crontab байдаг учраас
root хэрэглэгчийн хувьд ихэнхдээ хэрэглэгчийн crontab
шаардлагагүй байдаг.
/etc/crontab файлыг (системийн crontab) харцгаая:
# /etc/crontab - root's crontab for &os;
#
# $&os;: src/etc/crontab,v 1.32 2002/11/22 16:13:39 tom Exp $
#
&os;-ийн ихэнх тохиргооны файлуудын адил # тэмдэгт
тайлбарыг илэрхийлнэ. Тайлбарыг хүсэж байгаа үйлдэл нь юу болох яагаад хийгдэж
байгааг сануулах зорилгоор файлд тавьж болдог. Тайлбаруудыг тушаал байгаа мөрд
хийж болохгүй бөгөөд ингэсэн тохиолдолд тушаалын хэсэг мэтээр ойлгогдоно; тэдгээр нь
шинэ мөрөнд байх ёстой. Хоосон мөрүүдийг тооцохгүй.
Эхлээд орчин тодорхойлогдох шаардлагатай. Тэнцүүгийн (=)
тэмдэг орчны тохиргоог тодорхойлоход ашиглагддаг бөгөөд энэ жишээн дээр
SHELL,PATH, болон HOME
тохируулгуудад ашиглагдаж байна. Хэрэв бүрхүүлийн мөрийг орхисон бол
cron анхдагч болох sh-ийг ашигладаг.
Хэрэв PATH хувьсагчийг орхисон бол ямар ч анхдагч ашиглагдахгүй бөгөөд
файлын байрлалууд абсолют байх хэрэгтэй. Хэрэв HOME мөрийг
орхисон бол cron ажиллуулж байгаа хэрэглэгчийн гэрийн санг
ашигладаг.
Энэ мөр нь нийт долоон талбарыг тодорхойлдог. Энд жагсаагдсан утгууд нь
minute, hour,
mday, month,
wday,
who, болон command юм.
Эдгээрийг нэрээс нь харахад ойлгомжтой. minute нь тушаал
ажиллах минутаар илэрхийлэгдсэн хугацаа. hour нь
minute-ын адил тохируулга бөгөөд цагаар илэрхийлэгддэг.
mday нь сарын өдрийг заана.
month нь hour болон
minute-тай адил бөгөөд сарыг зааж өгнө.
wday тохируулга нь долоо хоногийн
өдрийг заана. Эдгээр бүх талбарууд нь тоон утга байх ёстой бөгөөд хорин дөрвөн
цагийг дагадаг. who талбар нь тусгай бөгөөд зөвхөн
/etc/crontab файлд байдаг. Энэ талбар нь аль
хэрэглэгчийн эрхээр тушаал ажиллахыг заадаг. Хэрэглэгч өөрийн
crontab файлыг суулгах үед энэ тохируулга байдаггүй.
Эцэст нь command тохируулга жагсаагддаг. Энэ нь
сүүлийн талбар бөгөөд ажиллуулах тушаалд зориулагдсан байх ёстой.
Энэ сүүлийн мөр нь дээр дурдсан утгуудыг тодорхойлдог. Энд бид
хэд хэдэн * тэмдэгтүүд дараалсан */5
гэсэн жагсаалт байгааг анзаарах хэрэгтэй. Эдгээр *
тэмдэгтүүд нь эхний-эцсийн
гэсэн үг бөгөөд
үргэлж гэж ойлгогдож болно. Тэгвэл энэ мөрөөс
үзэхэд atrun тушаал нь root
эрхээр 5 минут тутам аль өдөр сар байгаагаас үл хамааран ажиллана.
atrun тушаалын талаар дэлгэрэнгүй мэдээллийг
&man.atrun.8; гарын авлагаас үзнэ үү.
Тушаалууд тэдгээрт өгч болох дурын тооны тугуудтай байж болно; гэхдээ
олон мөр болон уртассан тушаалууд урагшаа ташуу \
үргэлжлүүлэх
тэмдэгтээр хуваагдсан байх ёстой.
Энэ нь crontab файл болгоны хувьд үндсэн тохиргоо
байна, гэхдээ нэг зүйл нь үүнээс өөр байна. Хэрэглэгчийг заадаг зургаа дахь талбар
нь зөвхөн системийн /etc/crontab файлд байна.
Энэ талбарыг хэрэглэгчийн crontab файлуудын хувьд
орхих хэрэгтэй.
Crontab суулгах нь
Та энд тайлбарласан процедурыг ашиглан системийн crontab-ийг засаж/суулгах
шаардлагагүй. Зүгээр л өөрийн дуртай засварлагчийг ашигла:
cron хэрэгсэл файл өөрчлөгдсөнийг мэдээд тэр даруй
шинэчлэгдсэн хувилбарыг ашиглаж эхэлнэ. Дэлгэрэнгүй мэдээллийг
Энэ БХА-ын оруулгаас үзнэ үү.
Хэрэглэгчийн бичсэн шинэ crontab файлыг суулгахын тулд
эхлээд өөрийн дуртай засварлагчийг ашиглаад зөв хэлбэршилттэй файл үүсгээд дараа нь
crontab хэрэгслийг ашигла.
Хамгийн их ашиглагддаг тушаал бол:
&prompt.user; crontab crontab-file
Энэ жишээн дээрх crontab-file нь
урд нь үүсгэгдсэн crontab-ийн файлын нэр юм.
Суулгасан crontab файлуудыг үзүүлдэг
тохируулга бас байдаг: тохируулгыг
crontab уруу өгч ажиллуулаад гарах үр дүнг
хараарай.
Өөрийн crontab файлыг загвар ашиглалгүйгээр эхнээс нь эхлүүлэхийг хүссэн
хэрэглэгчдэд зориулсан crontab -e тохируулга байдаг.
Энэ нь сонгосон засварлагчийг хоосон файлтай ажиллуулдаг. Файл хадгалагдсаны
дараа автоматаар crontab тушаалаар суулгагддаг.
Хэрэв та дараа нь өөрийн хэрэглэгчийн crontab-ийг
бүр мөсөн устгахыг хүсвэл crontab-ийг
тохируулгатай ашиглаарай.
Том
Рөүдс
Хувь нэмэр болгон оруулсан
Цагаанхүүгийн
Ганболд
Орчуулсан
&os; дээр rc ашиглах нь
2002 онд &os; системийг эхлүүлэхэд зориулж NetBSD-ийн
rc.d системийг оруулсан. Хэрэглэгчид
/etc/rc.d сан доторх файлуудыг
анзаарах хэрэгтэй. Эдгээр файлуудын ихэнх нь
, ,
болон тохируулгуудаар хянагддаг
үндсэн үйлчилгээнүүд байдаг. Жишээ нь &man.sshd.8; нь
дараах тушаалаар дахин эхлэж болно:
&prompt.root; /etc/rc.d/sshd restart
Энэ процедур нь бусад үйлчилгээнүүдийн адил юм. Мэдээж
үйлчилгээнүүд ихэнхдээ автоматаар &man.rc.conf.5;-д зааснаар ачаалах үед
эхэлдэг. Жишээ нь Сүлжээний Хаяг Хөрвүүлэх дэмонг эхлэх үед ажиллуулахаар
нээх нь амархан бөгөөд /etc/rc.conf-д
дараах мөрийг нэмдэг:
natd_enable="YES"
Хэрэв мөр аль хэдийн
байвал -ийг
болгож өөрчлөөрэй. rc скриптүүд өөр бусад хамааралтай
үйлчилгээнүүдийг дараагийн дахин ачаалалтын үеэр доор
тайлбарласны дагуу автоматаар ачаалдаг.
rc.d систем нь үндсэндээ
системийн эхлэх/унтрах үеэр үйлчилгээнүүдийг эхлүүлэх/зогсоох зорилготой
бөгөөд стандарт ,
болон
тохируулгууд нь зөвхөн /etc/rc.conf-ийн харгалзах
хувьсагчууд заагдсан үед өөрийн үйлдлийг гүйцэтгэдэг.
Жишээ нь дээр дурдсан sshd restart тушаал
нь /etc/rc.conf-д
sshd_enable хувьсагч
гэсэн тохиолдолд зөвхөн ажиллана. /etc/rc.conf-д
байгаа тохируулгаас үл хамааран үйлчилгээг ,
эсвэл хийхийн
тулд тушаалууд one
угтвартай байх шаардлагатай.
Жишээ нь sshd-г /etc/rc.conf
дахь тохиргооноос үл хамааран дахин эхлүүлэхдээ дараах тушаалыг ашиглана:
&prompt.root; /etc/rc.d/sshd onerestart
Тохирох rc.d скриптийг
тохируулгатай ажиллуулж /etc/rc.conf-д үйлчилгээ
нээгдсэн эсэхийг амархан шалгадаг. Тиймээс администратор
sshd-г /etc/rc.conf-д
нээгдсэн эсэхийг дараах тушаалыг ажиллуулж шалгаж болно:
&prompt.root; /etc/rc.d/sshd rcvar
# sshd
$sshd_enable=YES
Хоёр дахь мөр (# sshd) нь
root консолынх биш sshd
тушаалын гаргасан үр дүн юм.
Үйлчилгээг ажиллах байгаа эсэхийг шалгах
тохируулга байдаг. Жишээ нь sshd эхэлсэн эсэхийг
шалгахдаа:
&prompt.root; /etc/rc.d/sshd status
sshd is running as pid 433.
Зарим тохиолдолд үйлчилгээг хийх бас боломжтой
байдаг. Энэ нь үйлчилгээг өөрийн тохиргооны файлуудыг дахин уншихыг зааж
үйлчилгээ уруу дохио шидэхийг оролддог. Ихэнх тохиолдолд энэ нь
үйлчилгээ уруу SIGHUP дохио шиднэ гэсэн үг юм.
Үйлчилгээ болгонд энэ боломжийн дэмжлэг байдаггүй.
rc.d систем нь зөвхөн сүлжээний үйлчилгээнд
ашиглагдаад зогсохгүй мөн системийн эхлүүлэлтэд бас ихээхэн хувь нэмэр оруулдаг.
Жишээ нь bgfsck файлыг авч үзье. Энэ скрипт
ажиллахад дараах мэдээллийг хэвлэж гаргана:
Starting background file system checks in 60 seconds.
Тиймээс энэ файлыг зөвхөн системийг эхлүүлэх үед файлын системийн арын
шалгалтыг хийхэд хэрэглэдэг.
Системийн олон үйлчилгээнүүд зөв ажиллахын тулд бусад үйлчилгээнүүдээс
хамаардаг. Жишээ нь NIS болон бусад RPC дээр тулгуурласан үйлчилгээнүүд
rpcbind (portmapper) үйлчилгээ ажиллахаас нааш
амжилттай ажилладаггүй. Үүнийг шийдэхийн тулд хамаарлуудын тухай болон бусад
мета-өгөгдлийн тухай мэдээллийг эхлүүлэх скрипт бүрийн дээд хэсэгт
тайлбараар оруулсан байдаг. &man.rcorder.8; програм хамаарлуудыг
хангаж системийн үйлчилгээнүүдийг ямар дарааллаар ажиллуулах ёстойг
тогтоохын тулд эдгээр тайлбаруудыг уншдаг.
Дараах үгнүүдийг бүх эхлүүлэх скриптэд оруулах ёстой
(Эдгээр нь эхлүүлэх скриптийг идэвхжүүлэх
эд
&man.rc.subr.8;-д шаардлагатай байдаг):
PROVIDE: Энэ файлын хангаж байгаа үйлчилгээнүүдийг заана.
Дараах үгнүүдийг эхлүүлэх скрипт бүрийн эхэнд оруулж болно.
Эдгээр нь заавал шаардлагатай биш боловч &man.rcorder.8;-д
тус дөхөм болох ашигтай байдаг:
REQUIRE: Энэ үйлчилгээнд шаардлагатай үйлчилгээнүүдийг жагсаана.
Энэ файл заагдсан үйлчилгээнүүдийн дараа ажиллана.
BEFORE: Энэ үйлчилгээнээс хамааралтай үйлчилгээнүүдийг жагсаана.
Энэ файл заагдсан үйлчилгээнүүдийн өмнө ажиллана.
Эдгээр түлхүүр үгнүүдийг эхлүүлэх скрипт болгонд болгоомжтойгоор
тохируулж өгснөөр бусад зарим &unix; үйлдлийн системүүд шиг
ажиллах түвшингүүдтэй (runlevels)
зууралдалгүйгээр скриптүүдийн
эхлэх дарааллыг маш сайн хянах боломжийг администраторт бий болгох юм.
rc.d системийн талаар нэмэлт мэдээллийг &man.rc.8;
болон &man.rc.subr.8; гарын авлагын хуудаснуудаас олж болно. Хэрэв та өөрийн
rc.d скриптүүд бичих эсвэл байгаагаа сайжруулахыг сонирхож байгаа бол танд бас
энэ нийтлэл хэрэгтэй байж
болох юм.
Марк
Фонвил
Хувь нэмэр болгон оруулсан
Цагаанхүүгийн
Ганболд
Орчуулсан
Сүлжээний интерфэйс картууд суулгах нь
сүлжээний картууд
тохиргоо
Өнөөдөр бид сүлжээний холболтгүй компьютерийн талаар бодох ч аргагүй болсон
билээ. Сүлжээний картыг нэмж тохируулах нь &os;-ийн дурын администраторын
ердийн ажил болдог.
Тохирох драйверийг олох нь
сүлжээний картууд
драйвер
Эхлэхээсээ өмнө та өөрт байгаа картынхаа загвар, түүнд ашигласан бичил схем
болон PCI эсвэл ISA картын аль нь эсэхийг мэдэх шаардлагатай.
&os; өргөн төрлийн PCI болон ISA картуудыг дэмждэг. Таны карт таны ашиглах хувилбар
дээр дэмжигдсэн эсэхийг Тоног Төхөөрөмжийн Нийцтэй Байдлын Жагсаалтаас шалгаарай.
Таны карт дэмжигдсэнийг мэдсэний дараа та өөрийн картанд тохирох драйвераа
тодорхойлох хэрэгтэй. /usr/src/sys/conf/NOTES болон
/usr/src/sys/arch/conf/NOTES
нь сүлжээний интерфэйс драйверуудын жагсаалтыг дэмжигдсэн бичил схем/картуудын тухай
зарим мэдээллийн хамтаар танд өгөх болно. Хэрэв та аль драйвер нь зөв эсэхэд эргэлзэж
байгаа бол драйверийн гарын авлагын хуудсыг уншаарай. Гарын авлагын хуудас нь
дэмжигдсэн тоног төхөөрөмж болон бүр учирч болзошгүй асуудлуудын тухай дэлгэрэнгүй
мэдээллийг өгдөг.
Хэрэв та ердийн карттай бол ихэнхдээ драйверийг хичээнгүйлэн хайх шаардлагагүй юм.
Ердийн сүлжээний картуудад зориулсан драйверууд нь GENERIC
цөмд байдаг, тэгэхээр таны карт ачаалах явцад иймэрхүү харагдах ёстой:
dc0: <82c169 PNIC 10/100BaseTX> port 0xa000-0xa0ff mem 0xd3800000-0xd38
000ff irq 15 at device 11.0 on pci0
dc0: Ethernet address: 00:a0:cc:da:da:da
miibus0: <MII bus> on dc0
ukphy0: <Generic IEEE 802.3u media interface> on miibus0
ukphy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
dc1: <82c169 PNIC 10/100BaseTX> port 0x9800-0x98ff mem 0xd3000000-0xd30
000ff irq 11 at device 12.0 on pci0
dc1: Ethernet address: 00:a0:cc:da:da:db
miibus1: <MII bus> on dc1
ukphy1: <Generic IEEE 802.3u media interface> on miibus1
ukphy1: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto
Энэ жишээн дээр систем дээр байгаа хоёр карт &man.dc.4; драйверийг ашиглаж
байгааг бид харж байна.
Хэрэв таны NIC-д (Network Interface Card буюу Сүлжээний Интерфэйс Карт)
зориулсан драйвер GENERIC-д байхгүй бол та өөрийн NIC-г
ашиглахын тулд тохирох драйверийг ачаалах хэрэгтэй. Ингэхийн тулд хоёр аргын аль нэгийг
ашиглана:
Хамгийн амархан арга нь ердөө л өөрийн сүлжээний картанд зориулсан цөмийн модулийг
&man.kldload.8; ашиглан эсвэл тохирох мөрийг /boot/loader.conf-д
нэмж ачаалах үед автоматаар ачаалах юм. Бүх NIC драйверууд модуль хэлбэрээр байдаггүй;
модулиуд нь байдаггүй төхөөрөмжүүдийн дурдаж болох жишээнүүд гэвэл ISA картууд юм.
Өөр нэг арга нь та өөрийн картын дэмжлэгийг цөмд оруулан статикаар
хөрвүүлж болох юм. Өөрийн цөмийн тохиргооны файлд юу нэмэх ёстойг мэдэхийн тулд
/usr/src/sys/conf/NOTES,
/usr/src/sys/arch/conf/NOTES
болон драйверийн гарын авлагын хуудсыг шалгаарай. Цөмийг дахин хөрвүүлэх талаар
дэлгэрэнгүй мэдээллийг -с үзнэ үү.
Хэрэв таны картыг таны цөм (GENERIC) ачаалах явцад илрүүлсэн бол
та шинэ цөм бүтээх шаардлагагүй.
&windows;-ийн NDIS драйверуудыг ашиглах нь
NDIS
NDISulator
&windows; драйверууд
Microsoft Windows
Microsoft Windows
төхөөрөмжийн драйверууд
KLD (kernel loadable
object буюу цөмийн ачаалж болох обьект)
Харамсалтай нь өөрийн драйверуудад зориулсан схемүүдийг нээлттэй
эхийн хүрээнийхэнд өгдөггүй, тийм мэдээллийг худалдааны нууц гэж үздэг
олон үйлдвэрлэгчид байсаар байна. Ингэснээр &os; болон өөр үйлдлийн системүүдийн
хөгжүүлэгчдэд хоёр сонголт үлдсэн: буцаах инженерчлэлийн хүнд хэцүү, урт хугацааны
процессийг туулж драйверуудыг хөгжүүлэх эсвэл µsoft.windows; тавцангуудад
байдаг хоёртын хэлбэрийн драйверуудыг ашиглах арга замууд юм. &os;-тэй
холбогдсон зэрэг ихэнх хөгжүүлэгчид сүүлийн хандлагыг авч ашигладаг.
Билл Полын (wpaul) оруулсан хувь нэмрийн ачаар &os; 5.3-RELEASE-с
эхлээд Сүлжээний Драйверийн Интерфэйсийн Тодорхойлолтын (NDIS)
эх (native)
дэмжлэг ордог болсон.
&os; NDISulator (өөрөөр Чөтгөр Төсөл) &windows; хоёртын драйверийг
аваад ерөнхийдөө түүнийг &windows; дээр ажиллаж байгаа мэтээр хуурдаг.
&man.ndis.4; драйвер нь &windows; хоёртын файл ашиглаж байгаа учраас
энэ нь зөвхөн &i386; болон amd64 системүүд дээр хэрэглэгдэх боломжтой.
&man.ndis.4; драйвер голчлон PCI, CardBus болон PCMCIA
төхөөрөмжүүдийг дэмжихээр хийгдсэн бөгөөд одоогоор USB төхөөрөмжүүдийн дэмжлэг
хийгдээгүй.
NDISulator ашиглахын тулд танд 3 зүйл хэрэгтэй:
Цөмийн эхүүд
&windowsxp; драйверийн хоёртын файл
(.SYS өргөтгөл)
&windowsxp; драйверийн тохиргооны файл
(.INF өргөтгөл)
Та өөрийн картад зориулсан файлуудыг олоорой. Ерөнхийдөө
тэдгээрийг хавсаргасан CD-үүд эсвэл үйлдвэрлэгчүүдийн вэб хуудаснаас
олж болно. Дараах жишээнүүдэд бид W32DRIVER.SYS
болон W32DRIVER.INF файлуудыг ашиглах
болно.
Та &windows;/i386 драйверийг &os;/amd64 дээр ашиглаж
чадахгүй, зөв ажиллуулахын тулд &windows;/amd64 драйвер заавал олох
шаардлагатай.
Дараагийн алхамд драйверийн хоёртын файлыг цөмийн ачаалж болох
модуль болгон хөрвүүлнэ. Үүнийг хийхийн тулд root
эрхээр &man.ndisgen.8;-г хэрэглэнэ:
&prompt.root; ndisgen /path/to/W32DRIVER.INF /path/to/W32DRIVER.SYS
&man.ndisgen.8; хэрэгсэл нь интерактив бөгөөд шаардлагатай
нэмэлт мэдээллийг асуудаг; энэ нь одоо байгаа санд цөмийн модуль үүсгэх
бөгөөд дараах маягаар ачаалж болно:
&prompt.root; kldload ./W32DRIVER.ko
Үүсгэгдсэн цөмийн модулиас гадна та ndis.ko болон
if_ndis.ko модулиудыг ачаалах хэрэгтэй. Энэ нь
таныг &man.ndis.4;-ээс хамаарсан дурын модулийг ачаалах үед автоматаар
хийгдэх ёстой. Хэрэв та тэдгээрийг гараар ачаалахыг хүсвэл дараах тушаалыг
ашиглаарай:
&prompt.root; kldload ndis
&prompt.root; kldload if_ndis
Эхний тушаал нь NDIS минипорт драйвер дугтуйлагчийг ачаалах бөгөөд
хоёр дахь нь яг сүлжээний интерфэйсийг ачаална.
Одоо &man.dmesg.8;-ийг шалгаж ачаалахад алдаа байгаа эсэхийг
үзэх хэрэгтэй. Бүгд сайн болж өнгөрсөн бол та дараах үр дүнг харах ёстой:
ndis0: <Wireless-G PCI Adapter> mem 0xf4100000-0xf4101fff irq 3 at device 8.0 on pci1
ndis0: NDIS API version: 5.0
ndis0: Ethernet address: 0a:b1:2c:d3:4e:f5
ndis0: 11b rates: 1Mbps 2Mbps 5.5Mbps 11Mbps
ndis0: 11g rates: 6Mbps 9Mbps 12Mbps 18Mbps 36Mbps 48Mbps 54Mbps
Эндээс эхлээд та ndis0 төхөөрөмжид
өөр бусад сүлжээний интерфэйсийн (өөрөөр хэлбэл dc0)
нэгэн адилаар хандах боломжтой болох юм.
Та бусад модулиудтай адилаар NDIS модулиудыг ачаалах явцад ачаалахаар
системийг тохируулж болно. Эхлээд үүсгэгдсэн модуль W32DRIVER.ko-г
/boot/modules уруу хуулах хэрэгтэй.
Тэгээд дараах мөрийг /boot/loader.conf-д нэмнэ:
W32DRIVER_load="YES"
Сүлжээний карт тохируулах нь
сүлжээний картууд
тохиргоо
Сүлжээний картанд зориулсан зөв драйвер ачаалагдсаны дараа
картыг тохируулах шаардлагатай. Бусад олон зүйлсийн адил сүлжээний
карт нь sysinstall програмаар
суулгах явцад тохируулагдаж болно.
Таны системийн сүлжээний интерфэйсүүдэд зориулсан тохиргоог
харуулахын тулд дараах тушаалыг ажиллуулна:
&prompt.user; ifconfig
dc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.1.3 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:a0:cc:da:da:da
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
dc1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
ether 00:a0:cc:da:da:db
media: Ethernet 10baseT/UTP
status: no carrier
lp0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
&os;-ийн хуучин хувилбарууд тохируулгыг
&man.ifconfig.8;-ийн араас залгахыг шаардаж болох бөгөөд
&man.ifconfig.8;-ийн зөв синтаксын дэлгэрэнгүй мэдээллийн талаар гарын
авлагын хуудсанд хандана уу. Энэ жишээн дээр IPv6-тай (inet6 гэх мэт.)
холбоотой оруулгууд орхигдсон болохыг анхаарна уу.
Энэ жишээн дээр дараах төхөөрөмжүүдийг харуулсан:
dc0: Эхний Ethernet интерфэйс
dc1: Хоёрдугаар Ethernet интерфэйс
lp0: Параллел порт интерфэйс
lo0: Буцаж эргэх төхөөрөмж
tun0: Туннель төхөөрөмж нь
ppp-д ашиглагдана.
&os; нь драйверийн нэр дээр цөмийн ачаалах явцад картууд ямар дарааллаар илрүүлэгдсэн
тэр дарааллын тоог нэмж сүлжээний картыг нэрлэдэг. Жишээ нь sis2
нь систем дээрх &man.sis.4; драйвер ашиглаж байгаа 3 дахь сүлжээний карт байж болох юм.
Энэ жишээн дээр dc0 төхөөрөмж босон ажиллаж байна.
Түлхүүр индикаторууд нь:
UP нь картын тохиргоо хийгдэж бэлэн болсныг илэрхийлнэ.
Карт нь Интернэт (inet) хаягтай
(энэ тохиолдолд 192.168.1.3).
Энэ нь зөв дэд сүлжээний багтай (netmask;
0xffffff00 нь
255.255.255.0 адил).
Энэ нь зөв нийтэд цацах хаягтай (энэ тохиолдолд
192.168.1.255).
Картны MAC (ether) хаяг нь
00:a0:cc:da:da:da байна.
Физик зөөгчийн сонголт нь автомат сонголтын
горим дээр байна (media: Ethernet autoselect (100baseTX
<full-duplex>)).
dc1 нь 10baseT/UTP
зөөгчтэй ажиллахаар тохируулагдсан байгааг бид харж болно. Байж болох
зөөгчийн төрлүүдийн тухай дэлгэрэнгүй мэдээллийн талаар өөрийнх нь гарын авлагын
хуудсанд хандаж үзнэ үү.
Холболтын (status) төлөв нь
active буюу идэвхтэй байна, өөрөөр хэлбэл
дамжуулагч илэрсэн байна. dc1-ийн
хувьд бид status: no carrier буюу дамжуулагч
байхгүйг харж болно. Энэ нь Ethernet кабель картанд залгагдаагүй байх үед
хэвийн байна.
Хэрэв &man.ifconfig.8;-ийн үр дүн дараах маягтай төстэй байвал:
dc0: flags=8843<BROADCAST,SIMPLEX,MULTICAST> mtu 1500
ether 00:a0:cc:da:da:da
Энэ нь карт тохируулагдаагүйг илэрхийлнэ.
Картаа тохируулахын тулд танд root зөвшөөрлүүд
хэрэгтэй. Сүлжээний картын тохируулгууд тушаалын мөрөөс &man.ifconfig.8;-р
хийгдэх боломжтой, гэхдээ та системийг дахин ачаалсан болгоныхоо дараа үүнийг хийх хэрэгтэй болно.
/etc/rc.conf файл нь сүлжээний картын тохиргоог нэмэх
газар юм.
/etc/rc.conf-ийг өөрийн дуртай засварлагч дээр
нээгээрэй. Систем дээрх сүлжээний карт бүрийн хувьд мөр нэмэх хэрэгтэй, манай
жишээн дээр бид эдгээр мөрүүдийг нэмсэн:
ifconfig_dc0="inet 192.168.1.3 netmask 255.255.255.0"
ifconfig_dc1="inet 10.0.0.1 netmask 255.255.255.0 media 10baseT/UTP"
Та dc0,
dc1 болон бусдуудыг өөрийн картуудад зориулсан
төхөөрөмжөөр өөрчлөх болон хаягуудыг зөвөөр солих хэрэгтэй. Зөвшөөрөгдсөн тохируулгуудын
талаар дэлгэрэнгүйг картын драйвер болон &man.ifconfig.8;-ийн гарын авлагын хуудаснуудаас,
бас &man.rc.conf.5; гарын авлагын хуудаснаас /etc/rc.conf-ийн
синтаксын тухай дэлгэрэнгүй мэдээллийг унших хэрэгтэй.
Хэрэв та суулгах явцад сүлжээг тохируулсан бол сүлжээний карт(ууд)ын талаар зарим
мөрүүд аль хэдийн байж болох юм. Мөрүүд нэмэхээсээ өмнө /etc/rc.conf-ийг
дахин шалгаарай.
Мөн та LAN дахь төрөл бүрийн машинуудын нэрүүд болон IP хаягууд
/etc/hosts файлд байхгүй бол тэдгээрийг нэмж засварлах
шаардлагатай. Дэлгэрэнгүй мэдээллийн талаар &man.hosts.5; болон
/usr/share/examples/etc/hosts файлд хандана уу.
Тест хийх болон алдааг олж засварлах нь
/etc/rc.conf-д хэрэгцээтэй өөрчлөлтүүдийг
хийснийхээ дараа та системээ дахин ачаалах шаардлагатай. Ингэснээр
интерфэйс(үүд)эд хийгдэх өөрчлөлт(үүд)ийг зөвшөөрөх бөгөөд ямар нэг тохиргооны
алдаагүйгээр систем ачаалж байгаа эсэхийг шалгадаг.
Систем дахин ачаалагдсаны дараа та сүлжээний интерфэйсүүдээ тест
хийх хэрэгтэй.
Ethernet карт тест хийх нь
сүлжээний картууд
тест хийх нь
Ethernet карт зөв тохируулагдсаныг шалгахдаа та 2 зүйлийг оролдох
хэрэгтэй. Эхлээд интерфэйс уруу өөр уруу нь ping хийгээд дараа нь LAN дахь өөр
машин уруу ping хийх хэрэгтэй.
Эхлээд локал интерфэйсийг тест хийнэ:
&prompt.user; ping -c5 192.168.1.3
PING 192.168.1.3 (192.168.1.3): 56 data bytes
64 bytes from 192.168.1.3: icmp_seq=0 ttl=64 time=0.082 ms
64 bytes from 192.168.1.3: icmp_seq=1 ttl=64 time=0.074 ms
64 bytes from 192.168.1.3: icmp_seq=2 ttl=64 time=0.076 ms
64 bytes from 192.168.1.3: icmp_seq=3 ttl=64 time=0.108 ms
64 bytes from 192.168.1.3: icmp_seq=4 ttl=64 time=0.076 ms
--- 192.168.1.3 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.074/0.083/0.108/0.013 ms
Одоо бид LAN дахь өөр машин уруу ping хийх хэрэгтэй:
&prompt.user; ping -c5 192.168.1.2
PING 192.168.1.2 (192.168.1.2): 56 data bytes
64 bytes from 192.168.1.2: icmp_seq=0 ttl=64 time=0.726 ms
64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=0.766 ms
64 bytes from 192.168.1.2: icmp_seq=2 ttl=64 time=0.700 ms
64 bytes from 192.168.1.2: icmp_seq=3 ttl=64 time=0.747 ms
64 bytes from 192.168.1.2: icmp_seq=4 ttl=64 time=0.704 ms
--- 192.168.1.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.700/0.729/0.766/0.025 ms
Хэрэв та
/etc/hosts файлыг тохируулсан бол
192.168.1.2-ийн оронд
машины нэрийг бас ашиглаж болох болох юм.
Алдааг олж засварлах нь
сүлжээний картууд
алдааг олж засварлах нь
Тоног төхөөрөмж болон програм хангамжийн тохиргоонуудын алдааг олж
засварлах нь үргэлж зовлон байдаг бөгөөд зовлонг энгийн зүйлүүдийг эхлээд шалгаснаар
багасгах боломжтой. Таны сүлжээний кабель холбогдсон уу? Сүлжээний үйлчилгээнүүдээ
зөв тохируулсан уу? Галт ханаа зөв тохируулсан уу? Таны хэрэглэж байгаа картыг
&os; дэмждэг үү? Алдааны тайланг явуулахаасаа өмнө тоног төхөөрөмжийн
тэмдэглэлийг заавал шалгах хэрэгтэй. Өөрийн &os;-ийн хувилбарыг хамгийн сүүлийн STABLE
хувилбар уруу шинэчлээрэй. Захидлын жагсаалтын архивууд шалгах буюу эсвэл Интернетээс
хайгаарай.
Хэрэв карт ажилласан мөртлөө ажиллагаа муу бол &man.tuning.7; гарын авлагын хуудсыг
унших нь зүйтэй юм. Мөн буруу сүлжээний тохиргоонууд удаан холболтын шалтгаан болдог учир
та сүлжээний тохиргоог бас шалгаж болох юм.
Зарим хэрэглэгчид ганц хоёр device
timeout мэдээлэлтэй тулгарч болох бөгөөд энэ нь зарим картуудын
хувьд хэвийн юм. Хэрэв энэ нь үргэлжлээд эсвэл шаналгаатай болоод эхэлбэл
уг төхөөрөмж өөр бусад төхөөрөмжтэй зөрчилдөж байгаа эсэхийг та магадгүй
шалгахыг хүсэх байх. Кабелийн холболтуудыг дахин шалгаарай. Магадгүй танд
өөр нэг карт хэрэгтэй байж болох юм.
Хэрэглэгчид зарим үед цөөн watchdog timeout
гэсэн алдаанууд хардаг. Ийм үед эхлээд хийх юм нь сүлжээний кабелийг шалгана.
Олон картууд Bus Mastering дэмждэг PCI оролтыг шаарддаг. Зарим нэг эх хавтангуудад
үүнийг зөвхөн нэг PCI оролт зөвшөөрдөг (ихэнхдээ 0-р оролт). Энэ нь асуудал
байж болох эсэхийг сүлжээний карт болон эх хавтангийн баримтаас шалгаарай.
Систем пакетийг зорьсон газар нь чиглүүлж чадахгүй тохиолдолд
No route to host мэдээллүүд гардаг.
Энэ нь анхдагч чиглүүлэлт заагаагүй тохиолдолд эсвэл кабель салгагдсан бол
гардаг. netstat -rn тушаалын үр дүнг
үзээд таны хүрэхийг оролдож байгаа тэр хост уруу чинь зөв чиглүүлэлт байгаа
эсэхийг шалгаарай. Хэрэв байхгүй бол
-г уншаарай.
ping: sendto: Permission denied
алдааны мэдээллүүд нь буруу тохируулсан галт ханаас ихэвчлэн болдог.
Хэрэв ipfw нь цөмд идэвхжсэн бөгөөд
ямар ч дүрэм тодорхойлогдоогүй бол анхдагч бодлого нь бүх трафикийг бүр
ping хүсэлтийг хүртэл татгалзан хаадаг! Дэлгэрэнгүйг -с уншина уу.
Заримдаа картын ажиллагаа муу эсвэл дунджаас доогуур байдаг.
Эдгээр тохиолдолд зөөгч сонголтын горимыг
autoselect горимоос зөв зөөгчийн сонголт
уруу болгож тааруулах нь шилдэг арга юм. Энэ нь ихэнх тоног төхөөрөмжийн
хувьд ихэвчлэн ажиллах боловч хүн болгоны хувьд байгаа ийм асуудлыг шийдэхгүй ч
байж болох юм. Дахин хэлэхэд бүх сүлжээний тохиргоонуудыг шалгаж
&man.tuning.7; гарын авлагын хуудсыг уншаарай.
Виртуал Хостууд
виртуал хостууд
өөр IP хаягууд (alias)
&os;-ийн хамгийн түгээмэл хэрэглээ бол нэг сервер сүлжээн дээр олон сервер мэтээр
ажиллах виртуал сайт хост хийх боломж юм. Үүнийг нэг интерфэйс дээр олон сүлжээний хаягууд
тавьж хийдэг.
Өгөгдсөн сүлжээний интерфэйс нь нэг жинхэнэ
хаягтай бөгөөд
дурын тооны өөр(alias)
хаягуудтай байж болох юм.
Эдгээр өөр хаягуудыг ихэнхдээ /etc/rc.conf-д
тохирох хаягийн оруулгуудыг оруулан нэмж өгдөг.
fxp0 интерфэйсд зориулсан өөр хаягийн оруулга нь иймэрхүү байна:
ifconfig_fxp0_alias0="inet xxx.xxx.xxx.xxx netmask xxx.xxx.xxx.xxx"
Өөр хаягийн оруулгууд нь alias0 гэж эхлэх ёстой бөгөөд дээш өгсөх дарааллаар
явдаг (жишээ нь _alias1, _alias2, гэх мэт).
Тохиргооны үйл явц эхний байхгүй дугаар дээр хүрч зогсдог.
Өөр хаягийн сүлжээний багуудыг тооцоолох нь чухал байдаг, гэхдээ азаар энэ нь
маш амархан. Өгөгдсөн интерфэйсийн хувьд сүлжээний багийг зөвөөр үзүүлдэг нэг хаяг
байх ёстой. Энэ сүлжээн дэх өөр бусад хаягууд бүгд 1-ээс
(энэ нь 255.255.255.255 гэх буюу эсвэл
0xffffffff гэж илэрхийлэгддэг)
тогтсон сүлжээний багтай байх ёстой.
Жишээ нь fxp0 интерфэйс нь
10.1.1.0
сүлжээнд 255.255.255.0 болон
202.0.75.16 сүлжээнд 255.255.255.240
багуудыг ашиглаж хоёр сүлжээнд холбогдсон гэж бодъё.
Бид системийг 10.1.1.1-ээс
10.1.1.5 хүртэл болон
202.0.75.17-ээс эхлээд
202.0.75.20 хүртэлх хаягууд дээр
байлгахыг хүсэж байна. Дээр тэмдэглэсний дагуу өгөгдсөн сүлжээний хүрээн дэх
зөвхөн эхний хаяг (энэ тохиолдолд 10.0.1.1 болон
202.0.75.17) жинхэнэ сүлжээний багтай байх
ёстой; бусад үлдсэн бүгд (10.1.1.2-ээс
10.1.1.5 хүртэл болон
202.0.75.18-ээс эхлээд
202.0.75.20 хүртэл)
255.255.255.255 сүлжээний багтай байхаар
тохируулагдах хэрэгтэй.
Дараах /etc/rc.conf оруулгууд нь энэ зорилгоор адаптерийг зөв
тохируулж байна:
ifconfig_fxp0="inet 10.1.1.1 netmask 255.255.255.0"
ifconfig_fxp0_alias0="inet 10.1.1.2 netmask 255.255.255.255"
ifconfig_fxp0_alias1="inet 10.1.1.3 netmask 255.255.255.255"
ifconfig_fxp0_alias2="inet 10.1.1.4 netmask 255.255.255.255"
ifconfig_fxp0_alias3="inet 10.1.1.5 netmask 255.255.255.255"
ifconfig_fxp0_alias4="inet 202.0.75.17 netmask 255.255.255.240"
ifconfig_fxp0_alias5="inet 202.0.75.18 netmask 255.255.255.255"
ifconfig_fxp0_alias6="inet 202.0.75.19 netmask 255.255.255.255"
ifconfig_fxp0_alias7="inet 202.0.75.20 netmask 255.255.255.255"
Тохиргооны Файлууд
<filename class="directory">/etc</filename>-н бүтэц
Тохиргооны мэдээллийг хадгалдаг хэд хэдэн сангууд байдаг.
Эдгээр нь:
/etc
Системийн ерөнхий тохиргооны мэдээлэл; энд байгаа өгөгдөл нь системийн хувьд өөр өөр.
/etc/defaults
Системийн тохиргооны файлуудын анхдагч хувилбарууд.
/etc/mail
&man.sendmail.8;-ийн нэмэлт тохиргоо, бусад MTA тохиргооны файлууд.
/etc/ppp
Хэрэглэгч- болон цөмийн-ppp програмуудад зориулсан тохиргоо.
/etc/namedb
&man.named.8; өгөгдөлд зориулсан анхдагч байрлал. Ихэнхдээ
named.conf болон бүсийн файлууд энд
хадгалагддаг.
/usr/local/etc
Суулгагдсан програмуудад зориулсан тохиргооны файлууд.
Програм болгоны дэд сангуудыг агуулж болно.
/usr/local/etc/rc.d
Суулгагдсан програмуудад зориулсан эхлүүлэх/зогсоох скриптүүд.
/var/db
Багцын өгөгдлийн бааз, байршил олох өгөгдлийн бааз, гэх зэрэг
систем болгоны хувьд автоматаар үүсгэгдсэн өгөгдлийн баазын файлууд.
Хостын нэрс
хостын нэр
DNS
<filename>/etc/resolv.conf</filename>
resolv.conf
/etc/resolv.conf нь &os;-ийн
тодорхойлогч Интернэт Домэйн Нэрийн Системд (DNS) хэрхэн хандахыг заадаг.
resolv.conf дахь хамгийн түгээмэл оруулгууд нь:
nameserver
Тодорхойлогчийн асуух нэрийн серверийн IP хаяг. Серверүүд
нь хамгийн ихдээ гурав байх жагсаасан дарааллаар асуугддаг.
search
Хостын нэрийн хайлтад зориулж жагсаалтаас хайх. Энэ нь
ихэнхдээ локал хостын нэрийн домэйноор тодорхойлогддог.
domain
Локал домэйн нэр.
Ердийн resolv.conf:
search example.com
nameserver 147.11.1.11
nameserver 147.11.100.30
search болон
domain тохируулгуудын зөвхөн нэг нь хэрэглэгдэх
ёстой.
Хэрэв та DHCP ашиглаж байгаа бол &man.dhclient.8; нь DHCP серверээс
хүлээн авсан мэдээллээр resolv.conf-г дарж бичдэг.
<filename>/etc/hosts</filename>
хостууд
/etc/hosts нь хуучин Интернэтийн үлдэгдэл
энгийн текст өгөгдлийн бааз юм. Энэ нь DNS болон NIS-тэй цуг нэрийг IP хаяг уруу
болгож тааруулах боломжийг ханган ажилладаг. LAN-аар холбогдсон локал компьютеруудыг
амархан нэрлэх зориулалтаар &man.named.8; сервер суулгаж тохируулахын оронд энд
байрлуулж болдог. Мөн /etc/hosts нь түгээмэл ханддаг
нэрсэд зориулагдсан гадагшаа хандах хүсэлтийг багасгаж Интернэтийн нэрсийн локал
бичлэгийг хангадаг байж болно.
# $&os;$
#
#
# Host Database
#
# This file should contain the addresses and aliases for local hosts that
# share this file. Replace 'my.domain' below with the domainname of your
# machine.
#
# In the presence of the domain name service or NIS, this file may
# not be consulted at all; see /etc/nsswitch.conf for the resolution order.
#
#
::1 localhost localhost.my.domain
127.0.0.1 localhost localhost.my.domain
#
# Imaginary network.
#10.0.0.2 myname.my.domain myname
#10.0.0.3 myfriend.my.domain myfriend
#
# According to RFC 1918, you can use the following IP networks for
# private nets which will never be connected to the Internet:
#
# 10.0.0.0 - 10.255.255.255
# 172.16.0.0 - 172.31.255.255
# 192.168.0.0 - 192.168.255.255
#
# In case you want to be able to connect to the Internet, you need
# real official assigned numbers. Do not try to invent your own network
# numbers but instead get one from your network provider (if any) or
# from your regional registry (ARIN, APNIC, LACNIC, RIPE NCC, or AfriNIC.)
#
/etc/hosts нь энгийн хэлбэрийг агуулдаг:
[Internet address] [official hostname] [alias1] [alias2] ...
Жишээ нь:
10.0.0.1 myRealHostname.example.com myRealHostname foobar1 foobar2
Дэлгэрэнгүй мэдээллийн талаар &man.hosts.5; хуудаснаас зөвлөгөө авна уу.
Бүртгэлийн файлын тохиргоо
бүртгэлийн файлууд
<filename>syslog.conf</filename>
syslog.conf
syslog.conf нь &man.syslogd.8;
програмын тохиргооны файл юм. Энэ нь ямар төрлийн syslog
мэдээллүүд яг аль бүртгэлийн файлд бүртгэгдэхийг заадаг.
# $&os;$
#
# Spaces ARE valid field separators in this file. However,
# other *nix-like systems still insist on using tabs as field
# separators. If you are sharing this file between systems, you
# may want to use only tabs as field separators here.
# Consult the syslog.conf(5) manual page.
*.err;kern.debug;auth.notice;mail.crit /dev/console
*.notice;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
security.* /var/log/security
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
cron.* /var/log/cron
*.err root
*.notice;news.err root
*.alert root
*.emerg *
# uncomment this to log all writes to /dev/console to /var/log/console.log
#console.info /var/log/console.log
# uncomment this to enable logging of all log messages to /var/log/all.log
#*.* /var/log/all.log
# uncomment this to enable logging to a remote log host named loghost
#*.* @loghost
# uncomment these if you're running inn
# news.crit /var/log/news/news.crit
# news.err /var/log/news/news.err
# news.notice /var/log/news/news.notice
!startslip
*.* /var/log/slip.log
!ppp
*.* /var/log/ppp.log
Дэлгэрэнгүй мэдээллийн талаар &man.syslog.conf.5; гарын авлагын хуудаснаас
зөвлөгөө авна уу.
<filename>newsyslog.conf</filename>
newsyslog.conf
newsyslog.conf нь ихэнхдээ &man.cron.8; хуваарилан
цагаар ажиллуулдаг &man.newsyslog.8;-д зориулагдсан тохиргоо юм. &man.newsyslog.8;
нь хэзээ бүртгэлийн файлууд архивлагдах эсвэл дахин зохицуулагдахыг тодорхойлдог.
logfile нь logfile.0 уруу,
logfile.0 нь logfile.1
шилжих гэх зэргээр зохицуулагддаг. Бүртгэлийн файлууд өөрөөр &man.gzip.1;
хэлбэрээр logfile.0.gz, logfile.1.gz
гэх зэргээр нэрлэгдэн архивлагдаж болно.
newsyslog.conf нь аль бүртгэлийн файлууд удирдагдах,
хичнээн нь хадгалагдах болон хэзээ тэдгээрт хүрэхийг зааж өгдөг. Бүртгэлийн файлууд нь
тодорхой хэмжээнд хүрэх үед болон эсвэл тодорхой цаг/огнооны давтамжтайгаар зохицуулагддаг ба/эсвэл
архивлагддаг.
# configuration file for newsyslog
# $&os;$
#
# filename [owner:group] mode count size when [ZB] [/pid_file] [sig_num]
/var/log/cron 600 3 100 * Z
/var/log/amd.log 644 7 100 * Z
/var/log/kerberos.log 644 7 100 * Z
/var/log/lpd-errs 644 7 100 * Z
/var/log/maillog 644 7 * @T00 Z
/var/log/sendmail.st 644 10 * 168 B
/var/log/messages 644 5 100 * Z
/var/log/all.log 600 7 * @T00 Z
/var/log/slip.log 600 3 100 * Z
/var/log/ppp.log 600 3 100 * Z
/var/log/security 600 10 100 * Z
/var/log/wtmp 644 3 * @01T05 B
/var/log/daily.log 640 7 * @T00 Z
/var/log/weekly.log 640 5 1 $W6D0 Z
/var/log/monthly.log 640 12 * $M1D0 Z
/var/log/console.log 640 5 100 * Z
Дэлгэрэнгүй мэдээллийн талаар &man.newsyslog.8; гарын авлагын хуудаснаас
зөвлөгөө авна уу.
<filename>sysctl.conf</filename>
sysctl.conf
sysctl
sysctl.conf нь rc.conf-той
бараг л адил харагддаг. Утгууд нь хувьсагч=утга
хэлбэрээр заагддаг. Тодорхойлсон утгууд нь систем олон-хэрэглэгчийн горимд шилжсэний
дараа тохируулагддаг. Энэ горимд бүх хувьсагчууд тохируулагдах боломжгүй.
Сүйрлийн дохионы гаралтуудын бүртгэлийг хааж бусад хэрэглэгчдийн эхлүүлсэн
процессуудыг өөр хэрэглэгчдэд харуулахгүй байлгахын тулд дараах тохируулгуудыг
sysctl.conf файлд тохируулж өгч болно:
# Do not log fatal signal exits (e.g. sig 11)
kern.logsigexit=0
# Prevent users from seeing information about processes that
# are being run under another UID.
security.bsd.see_other_uids=0
sysctl ашиглан тааруулах нь
sysctl
тааруулах нь
sysctl ашиглан
&man.sysctl.8; нь ажиллаж байгаа &os; системд өөрчлөлтүүдийг хийхийг
танд зөвшөөрдөг интерфэйс юм. Энэ нь туршлагатай системийн администраторын хувьд
ажиллагааг мэдэгдэхүйц сайжруулж чадах TCP/IP болон виртуал санах ойн системийн
олон нарийн тохируулгуудыг агуулдаг. Таван зуу гаруй системийн хувьсагчуудыг
&man.sysctl.8; ашиглан унших болон тохируулж болдог.
&man.sysctl.8; нь голдоо хоёр үүргийг гүйцэтгэдэг: системийн тохиргоонуудыг
унших болон өөрчлөх.
Уншигдаж болох бүх хувьсагчуудыг харахдаа:
&prompt.user; sysctl -a
Тухайн хувьсагчийг уншихдаа, жишээ нь,
kern.maxproc:
&prompt.user; sysctl kern.maxproc
kern.maxproc: 1044
Тухайн хувьсагчийг заахдаа хялбар
хувьсагч=утга
синтаксийг ашиглаарай:
&prompt.root; sysctl kern.maxfiles=5000
kern.maxfiles: 2088 -> 5000
sysctl хувьсагчуудын тохиргоонууд нь ихэвчлэн тэмдэгтүүд (strings),
тоонууд эсвэл boolean (boolean 1 нь тийм эсвэл
0 нь үгүй байна) утгууд байна.
Хэрэв та машин ачаалах болгонд автоматаар зарим хувьсагчуудыг тохируулахыг
хүсвэл /etc/sysctl.conf файлд тэдгээрийг
нэмээрэй. Дэлгэрэнгүй мэдээллийн талаар &man.sysctl.conf.5; гарын авлагын
хуудас болон -с үзнэ үү.
Том
Рөүдс
Хувь нэмэр болгон оруулсан
Цагаанхүүгийн
Ганболд
Орчуулсан
Зөвхөн-унших &man.sysctl.8;
Зарим тохиолдолд зөвхөн-унших &man.sysctl.8; утгуудыг өөрчлөх шаардлагатай
байж болох юм. Энэ нь заримдаа хийхээс өөр аргагүй байдаг боловч зөвхөн
(дахин) ачаалахад хийгдэх боломжтой.
Жишээ нь зарим зөөврийн компьютерийн загваруудад &man.cardbus.4; төхөөрөмж нь
санах ойн хүрээг шалгадаггүй бөгөөд доор дурдсантай төстэй алдаанууд гарган амжилтгүй болдог:
cbb0: Could not map register memory
device_probe_and_attach: cbb0 attach returned 12
Дээрх шиг тохиолдлууд нь ихэвчлэн зөвхөн уншихаар тохируулагдсан
зарим анхдагч &man.sysctl.8; тохиргоонуудыг өөрчлөхийг шаарддаг. Эдгээр
нөхцөлүүдийг давж гарахын тулд хэрэглэгч
&man.sysctl.8; OID
-уудыг тэдгээрийн
/boot/loader.conf файлд хийж өгч болно.
Анхдагч тохиргоонууд /boot/defaults/loader.conf
файлд байрладаг.
Дээр дурдсан асуудлыг шийдэхийн тулд хэрэглэгч урьд нь дурдсан файлд
гэж
тохируулах шаардлагатай. Ингэснээр &man.cardbus.4; зөв ажиллах болно.
Дискнүүдийг тааруулах нь
Sysctl хувьсагчууд
<varname>vfs.vmiodirenable</varname>
vfs.vmiodirenable
vfs.vmiodirenable sysctl хувьсагч нь
0 (идэвхгүй) эсвэл 1 (идэвхтэй) гэж тохируулагдаж болно; анхдагчаар 1 байна.
Энэ хувьсагч нь систем сангуудыг хэрхэн кэш (шуурхай санамж) хийхийг хянадаг.
Ихэнх сангууд зөвхөн ганц фрагментийг (ихэвчлэн 1 K) файлын системд
болон түүнээс багыг буфер кэшд хэрэглэн жижиг хэмжээтэй байдаг.
Энэ хувьсагчийг хааснаар (0 болгосноор) буфер кэш нь таныг асар их хэмжээний
санах ойтой байсан ч гэсэн зөвхөн тодорхой тооны сангуудыг кэш хийдэг.
Нээгдсэн (1 болгосон) үед энэ sysctl нь бүх санах ойг кэш хийхэд бэлэн болгож
буфер кэшд VM Хуудасны Кэшийг хэрэглэн сангуудыг кэш хийх боломжийг олгодог.
Гэхдээ сангуудыг кэш хийх хамгийн бага гол дахь санах ой нь 512 байт биш
харин физик хуудасны хэмжээ (ихэвчлэн 4 K) байдаг. Хэрэв та их олон тооны
файлуудтай ажилладаг үйлчилгээ ажиллуулж байгаа бол бид энэ тохируулгыг идэвхтэй
байлгахыг зөвлөж байна. Тийм үйлчилгээнүүдэд вэб кэшүүд, том захидлын системүүд,
болон мэдээний системүүд орж болно. Энэ тохируулгыг идэвхтэй байлгах нь хайр
гамгүй зарцуулсан санах ойтой байхад ч гэсэн ерөнхийдөө ажиллагааг удаашруулдаггүй,
гэхдээ та түүнийг мэдэхийн тулд туршиж үзэж болно.
<varname>vfs.write_behind</varname>
vfs.write_behind
vfs.write_behind sysctl хувьсагчийн
анхдагч утга нь 1 (идэвхтэй) байна. Энэ нь том
дараалсан файлуудыг бичих үед ихэвчлэн гардаг бүх кластеруудыг цуглуулсан
үед зөөгчийн бичилтүүдийг хийхийг файлын системд хэлж өгдөг. Санаа нь бол
I/O ажиллагааны хувьд ашиггүй байхад бохир буферууд бүхий буферийн кэшийг
замхруулахаас зайлсхийхэд оршдог. Гэхдээ энэ нь процессуудыг зогсоож магадгүй
бөгөөд зарим нөхцөл байдалд та магадгүй үүнийг идэвхгүй болгохыг хүсэж болох юм.
<varname>vfs.hirunningspace</varname>
vfs.hirunningspace
vfs.hirunningspace sysctl хувьсагч
өгөгдсөн дурын хоромд системийн хувьд бүхэлд нь хэдий хэмжээний хүлээгдэж байгаа
бичих I/O-г дискний хянагчуудад өгөх дараалалд оруулж болохыг тодорхойлдог.
Анхдагч утга нь ихэвчлэн хангалттай гэхдээ олон дисктэй машинууд дээр та
үүнийг дөрөв эсвэл таван мегабайт хүртэл
ихэсгэхийг хүсэж болох юм. Утгыг хэтэрхий өндөр тавих нь (буфер кэшийн бичих
тогтоосон хэмжээг давах нь) туйлын муу кластерлах ажиллагаанд хүргэж болно.
Энэ утгыг хэтэрхий өндөр бүү тавь! Өндөр бичих утгууд нь яг тэр үед хийгдэж байгаа
уншилтуудад хоцрогдол нэмж магадгүй юм.
Бусад төрөл бүрийн буфер-кэш болон VM хуудасны кэштэй холбоотой sysctl-ууд
байдаг. Бид эдгээр утгуудыг өөрчлөхийг зөвлөдөггүй, VM систем нь өөрийгөө автоматаар
тааруулж туйлын сайн ажилладаг.
<varname>vm.swap_idle_enabled</varname>
vm.swap_idle_enabled
vm.swap_idle_enabled sysctl хувьсагч нь
маш олон хэрэглэгчид таны системд орж гарч байдаг, сул зогссон олон процессуудтай,
том, олон-хэрэглэгчийн системүүд дээр ашигтай байдаг. Ийм системүүд нь
чөлөөт санах ойн хадгалалтад ихээхэн хэмжээний байнгын дарамтыг үүсгэж байдаг.
Энэ боломжийг идэвхтэй болгож ар араас нь swap хийн гаргахыг (зогссон секундээр)
vm.swap_idle_threshold1 болон
vm.swap_idle_threshold2 хувьсагчуудын тусламжтай
тохируулснаар зогссон процессуудтай холбоотой санах ойн хуудаснуудын дарааллыг ердийн
хуудаслаж гаргах алгоритмаас илүү хурднаар багасгах боломжийг олгодог.
Энэ нь хуудаслаж гаргах дэмонд тусламжийн гарыг өгөх болно. Энэ тохируулгыг
танд хэрэгтэй л биш бол идэвхтэй болгож болохгүй, учир нь үүнийг та хийснээр үндсэндээ
санах ойг илүү түргэн урьдчилан-хуудаслаж ингэснээр swap болон дискний багтаамжийг
илүүтэйгээр идэхэд хүргэх юм. Жижиг систем дээр энэ тохируулга нь тодорхойлогдож
болохуйц нөлөөлөлтэй байх ба харин боломжийн хуудаслалт аль хэдийн хийгээд байгаа
том системүүдэд энэ тохируулга нь VM системд бүх процессуудыг санах ой уруу болон
санах ойгоос хялбараар гаргах боломжийг бүрдүүлдэг.
<varname>hw.ata.wc</varname>
hw.ata.wc
&os; 4.3-д IDE бичих кэш хийлтийг хаасан байдаг. Энэ нь
IDE дискэнд бичих багтаамжийг багасгасан боловч хатуу диск үйлдвэрлэгчдийн гаргасан
өгөгдлийн бүрэн бүтэн байдлын ноцтой асуудлуудаас болоод шаардлагатай болсон.
Тэр асуудал нь IDE хөтлөгчүүд бичилт дуусах үед худлаа мэдээлдэг явдал юм.
IDE бичих кэшийг идэвхтэй болгосноор IDE хатуу дискнүүд ямар нэг дараалалгүйгээр
бичихээс гадна диск их ачаалалтай үед зарим блокуудыг бичихэд заримдаа
тодорхойгүй саатдаг. Сүйрэл болон тэжээлийн уналт файлын системийн ноцтой
эвдрэлд хүргэж болзошгүй байдаг. &os;-ийн анхдагч нь аюулгүй байхаар өөрчлөгдсөн.
Харамсалтай нь үүний үр дүнд ажиллагааны асар том алдагдалд хүргэсэн бөгөөд
хувилбар гарсны дараа бид бичих кэш хийлтийг анхдагчаар идэвхтэй байхаар буцаан
өөрчилсөн юм. Та өөрийн систем дээрээ hw.ata.wc sysctl
хувьсагчийг ажиглан анхдагч утгыг шалгах хэрэгтэй. Хэрэв IDE бичих кэш хийлт
хаалттай бол та цөмийн хувьсагчийн утгыг 1 болгон түүнийг идэвхжүүлж болно.
Үүнийг ачаалах үед ачаалагчаас хийх шаардлагатай. Цөм ачаалсны дараа хийхийг
оролдвол ямар ч нөлөө үзүүлэхгүй.
Дэлгэрэнгүй мэдээллийн талаар &man.ata.4;-с үзнэ үү.
<literal>SCSI_DELAY</literal>
(<varname>kern.cam.scsi_delay</varname>)
kern.cam.scsi_delay
цөмийн тохируулгууд
SCSI_DELAY
SCSI_DELAY цөмийн тохиргоо нь системийн ачаалах
хугацааг багасгахад хэрэглэгддэг. Анхдагч утга нь нэлээн өндөр бөгөөд
15 секундын саатлыг ачаалах процессийн үед өгөхийг хариуцдаг.
5 секунд хүртэл багасгахад ихэвчлэн ажилладаг (ялангуяа
орчин үеийн хөтлөгчүүдийн хувьд). &os;-ийн шинэ хувилбарууд (5.0 болон түүнээс дээш)
ачаалах үеийн тохируулга болох kern.cam.scsi_delay
хувьсагчийг ашиглах хэрэгтэй. Энэ тохируулга болон цөмийн тохиргооны тохируулга нь
секундээр биш
миллисекундээр утгыг хүлээн авдаг.
Зөөлөн Шинэчлэлтүүд
Зөөлөн Шинэчлэлтүүд
tunefs
&man.tunefs.8; програм файлын системийг нарийн тааруулахад
ашиглагдаж болно. Энэ програм нь олон янзын тохируулгуудтай гэхдээ
одоохондоо бид зөвхөн Зөөлөн Шинэчлэлтүүдийг идэвхжүүлэх ба хаах дээр
анхаарах бөгөөд үүнийг дараах аргаар хийнэ:
&prompt.root; tunefs -n enable /filesystem
&prompt.root; tunefs -n disable /filesystem
Файлын систем нь холбогдсон байхдаа &man.tunefs.8;-ээр өөрчлөгдөх
боломжгүй. Зөөлөн Шинэчлэлтүүдийг идэвхжүүлэхэд тохирох үе нь аль ч
хуваалтууд холболт хийгдээгүй байгаа ганц хэрэглэгчийн горим юм.
Зөөлөн Шинэчлэлтүүд нь мета-өгөгдлийн ажиллагааг мэдэгдэхүйц сайжруулдаг бөгөөд
санах ойн кэшийг ашиглан голчлон файлын үүсгэлт болон устгалтыг хурдасгадаг.
Бид Зөөлөн Шинэчлэлтүүдийг өөрийн бүх файлын системүүдэд ашиглахыг зөвлөж байна.
Зөөлөн Шинэчлэлтүүдийн хоёр дутагдалтай талыг та мэдэж байх ёстой: Нэгдүгээрт,
Зөөлөн Шинэчлэлтүүд нь сүйрэл болсон тохиолдолд файлын системийн бүрэн бүтэн
байдалд баталгаа өгдөг боловч физик дискийг шинэчлэхэд хэдэн секундын (минут ч байж болно!)
хоцрогдолтой байж болно. Хэрэв таны систем сүйрэхэд бусад тохиолдлоос илүүтэйгээр
та хийсэн ажлаа алдаж болзошгүй юм. Хоёрдугаарт, Зөөлөн Шинэчлэлтүүд нь
файлын системийн блокуудыг чөлөөлөхийг саатуулдаг. Хэрэв та бараг дүүрсэн
файлын системтэй (root файл систем гэх зэрэг) байгаа бол
make installworld зэрэг гол шинэчлэлтийг
хийх нь файлын системийг зайгүй болгож шинэчлэлт амжилтгүй болох шалтгаанд хүргэж
болох юм.
Зөөлөн Шинэчлэлтүүдийн талаар дэлгэрэнгүй
Зөөлөн Шинэчлэлтүүд
дэлгэрэнгүй
Файлын системийн мета-өгөгдлийг диск уруу бичих уламжлалт хоёр хандлага
байдаг. (Мета-өгөгдлийн шинэчлэлтүүд нь inode эсвэл сангууд зэрэг агуулгын бус
өгөгдөлд хийх шинэчлэлтүүд юм)
Түүхээс авч үзэхэд анхдагч ажиллах горим нь мета-өгөгдлийн шинэчлэлтүүдийг
синхроноор буюу зэрэг бичдэг байсан явдал юм. Хэрэв сан өөрчлөгдсөн бол
систем өөрчлөлтийг диск уруу бичигдэхийг хүлээдэг. Файлын өгөгдлийн буферууд
(файлын агуулгууд) буфер кэшээр дамжин диск уруу сүүлд нь асинхроноор хадгалагддаг.
Энэ шийдлийн давуу тал нь аюулгүй ажилладаг. Хэрэв шинэчлэлтийн үед амжилтгүй
болбол мета-өгөгдөл нь үргэлж бүрэн бүтэн байдаг. Файл эсвэл бүрэн үүсч эсвэл
бүр ерөөсөө үүсдэггүй. Хэрэв файлын өгөгдлийн блокууд сүйрэл болох үед
буферийн кэшээс диск уруу өөрсдийн гарах замаа олохгүй байгаа бол
&man.fsck.8; нь үүнийг таньж файлын уртыг 0 болгон файлын системийг
засварладаг. Нэмж хэлэхэд энэ шийдэл нь цэвэрхэн ба хялбар юм.
Сул тал нь мета-өгөгдлийн өөрчлөлтүүд нь удаан байдаг.
rm -r тушаал жишээ нь сан дахь бүх файлуудад дараалан
хандах бөгөөд гэхдээ сан болгоны өөрчлөлт (файлын устгалт) синхроноор зэрэг
диск уруу бичигддэг. Үүнд сан уруу өөрт нь хийгдэх шинэчлэлтүүд, inode хүснэгт
болон магадгүй файлын гаргасан шууд бус блокуудад хийх шинэчлэлтүүд ордог.
Том иерархуудыг задлахад (tar -x) үүний нэгэн адилаар
авч үздэг.
Хоёр дахь нь асинхрон мета-өгөгдлийн шинэчлэлтүүд юм. Энэ нь
Линукс/ext2fs-ийн хувьд анхдагч байх бөгөөд
*BSD ufs-ийн хувьд
mount -o async байх юм.
Бүх мета-өгөгдлийн шинэчлэлтүүд
нь буфер кэшээр бас дамждаг, тэгэхээр тэдгээр нь файлын агуулгын өгөгдлийн
шинэчлэлтүүдтэй харилцан холилдох болно. Энэ шийдлийн давуу тал нь
мета-өгөгдөл бүрийн шинэчлэлт диск уруу бичигдэхийг хүлээдэггүй бөгөөд
ингэснээр ихээхэн хэмжээний мета-өгөгдлийн шинэчлэлтүүдийг хийдэг бүх
үйлдлүүд синхрон хийгдэхээс хамаагүй хурдан ажилладаг. Мөн энэ шийдэл нь
цэвэрхэн бас энгийн бөгөөд ингэснээр хорхойнууд (алдаа) код уруу мөлхөн
орох эрсдэл бага юм. Сул тал нь файлын системийн бүрэн бүтэн төлвийн
ямар нэг баталгаа ерөөсөө байдаггүй. Хэрэв их хэмжээний мета-өгөгдөл
шинэчлэх үйлдлийн явцад амжилтгүй болсон бол (тэжээлийн тасалдал, эсвэл хэн
нэг нь дахин эхлүүлэх товч дарсан зэрэгт) файлын систем тааж болшгүй
төлөвт үлдэх болно. Систем дахин ачаалаад дуусахад файлын системийн
төлөвийг мэдэх боломжгүй байдаг; inode хүснэгт эсвэл холбоотой сангийн
шинэчлэлтүүд бичигдээгүй байхад файлын өгөгдлийн блокууд диск уруу аль хэдийн
бичигдчихсэн байж болох юм. Ер нь гаргасан замбараагүйтлийг (учир нь хэрэгцээтэй
мэдээлэл диск дээр байхгүй) цэвэрлэж чаддаг fsck
тушаалын шийдлийг хийх боломжгүй. Хэрэв файлын систем засвар хийж чадахааргүй
эвдэрсэн бол түүнд дээр &man.newfs.8;-ийг хэрэглэж нөөцөөс сэргээхээс өөр
аргагүй юм.
Энэ асуудлын шийдэл нь
бохир бүсийн бүртгэл буюу бас
журналчлалт гэгддэг шийдлийг гаргах явдал бөгөөд
энэ ухагдахуун нь тогтвортой хэрэглэгддэггүй ба шилжүүлэлтийн бүртгэлийн бусад
хэлбэрүүдэд бас заримдаа ашиглагддаг. Мета-өгөгдлийн шинэчлэлтүүд нь
синхроноор бичигдсэн хэвээр байх бөгөөд гэхдээ зөвхөн дискний жижиг бүсэд
бичигдэнэ. Дараа нь тэдгээрийг тэдний зөв байрлал уруу зөөдөг. Бүртгэлийн
талбар нь диск дээр бага, үргэлжилсэн бүс байдаг учраас бүр хүнд үйлдлүүдийн үед
ч гэсэн дискний толгойнууд шилжихэд хол зайтай биш байдаг болохоор эдгээр
үйлдлүүд нь синхрон шинэчлэлтүүдээс илүү хурдан байдаг.
Мөн энэ шийдлийн төвөгтэй байдал нь маш хязгаарлагдмал болохоор алдаанууд
байх эрсдэл нь бага байдаг. Сул тал нь бүх мета-өгөгдөл нь хоёр удаа бичигддэг
(бүртгэлийн бүсэд нэг удаа болон зөв байрлал уруу бас нэг удаа) болохоор
энгийн ажлын хувьд ажиллагааны өөдрөг бус үзэгдэл
гарч болзошгүй юм. Нөгөө талаас сүйрэл болоод систем дахин ачаалаад дуусахад
хүлээгдэж байгаа бүх мета-өгөгдлийн үйлдлүүд бүртгэлийн талбараас хурдан
буцаагдаж эсвэл гүйцэд хийгдэн дуусч болох бөгөөд энэ нь файлын системийг
хурдан эхлүүлэхэд хүргэдэг.
Беркли FFS-ийн хөгжүүлэгч Кирк МкКюзик энэ асуудлыг Soft Updates
буюу Зөөлөн Шинэчлэлтүүдээр шийдсэн: хүлээгдэж байгаа бүх мета-өгөгдлийн
шинэчлэлтүүд нь санах ойд хадгалагдах бөгөөд диск уруу эрэмбэлэгдсэн дарааллаар
бичигддэг (дараалуулсан мета-өгөгдлийн шинэчлэлтүүд
).
Энэ нь мета-өгөгдлийн хүнд үйлдлүүдийн үед хэрэв эрт хийгдсэн шинэчлэлтүүд диск
уруу бичигдээгүй санах ойд байж байхад нь сүүлд хийгдэх шинэчлэлтүүд тэдгээрийг
барьж
авдаг. Тэгэхээр сангийн хувьд хэлбэл түүнд хийгдэх
бүх үйлдлүүд нь санах ойд шинэчлэлт диск уруу бичигдэхээс өмнө хийгддэг
(өгөгдлийн блокууд нь мета-өгөгдлөөсөө түрүүлээд диск дээр байж байхгүйгээр
өөрсдийн байрлалынхаа дагуу эрэмбэлэгддэг ).
Хэрэв систем сүйрвэл энэ нь бүртгэл урагшлуулахад
хүргэдэг:
диск уруу гарах замаа олохгүй байгаа бүх үйлдлүүд хэзээ ч хийгдээгүй юм шиг
байдаг. Файлын системийн бүрэн бүтэн төлөв хадгалагдаж 30-аас 60 секундын
өмнөх төлөвт ордог. Хэрэглэгдэж байгаа эх үүсвэрүүдийг тэдгээрийн өөрсдийнх
харгалзах битмапуудад: блокууд болон inode-уудад байдаг шигээр тэмдэглэхийг
үүнд ашигласан алгоритм нь баталгаатай хангадаг. Сүйрэл болсны дараа
зөвхөн гарсан эх үүсвэр суллан гаргалтын алдаа нь яг үнэндээ чөлөөтэй
мөртлөө ашиглагдаж байгаа
гэж тэмдэглэгдсэн эх үүсвэрүүд
байдаг. &man.fsck.8; энэ байдлыг таних бөгөөд ашиглагдаагүй байгаа эх
үүсвэрүүдийг чөлөөлдөг. Сүйрлийн дараа файлын системийн бохир төлвийг авч үзэлгүйгээр
хүчээр mount -f тушаалаар холбох нь аюулгүй юм.
Ашиглагдаагүй байж болзошгүй эх үүсвэрүүдийг чөлөөлөхдөө &man.fsck.8;-г
сүүлд нь ажиллуулах хэрэгтэй. Энэ нь ард ажиллах fsck-ийн
цаана байгаа санаа юм: системийг эхлүүлэх үед зөвхөн файлын системийн
хормын зураг бичигддэг.
fsck-г сүүлд нь ажиллуулж болно. Дараа нь бүх файлын
системүүд бохир
холбогдож системийн эхлэлт олон хэрэглэгчийн
горимд үргэлжилдэг. Дараа нь ард ажиллах fsck-үүд
ашиглагдаагүй байгаа эх үүсвэрүүдийг чөлөөлөхөөр шаардлагатай байгаа бүх файлын
системийн хувьд ажиллахаар төлөвлөгддөг. (Зөөлөн Шинэчлэлтүүд ашигладаггүй
файлын системүүдэд ердийн нүүрэн дээр ажиллах fsck
хэрэгтэй хэвээр байна)
Давуу тал нь мета-өгөгдлийн үйлдлүүд нь асинхрон шинэчлэлтүүдтэй
бараг л адил хурдан байдаг (өөрөөр хэлбэл мета-өгөгдлийг хоёр дахин бичдэг
бүртгэл хийлтээс хурдан байдаг). Сул талууд нь
төвөгтэй код (хэрэглэгчийн өгөгдлийн алдагдлын хувьд их мэдрэмтгий талбар дахь
байж болох алдаануудын тэр өндөр эрсдэлийг хэлж байна) болон санах ойн илүү
хэрэглээ юм. Мөн хэн нэгний хэрэглэж байсан хувийн тохиргоонууд ч бас байдаг.
Сүйрэл болсны дараа файлын системийн төлөв хуучин
юм шиг харагддаг. Стандарт синхрон хандлага нь
fsck-ийн дараа зарим нэг тэг-урттай файлуудыг
үлдээхэд хүргэсэн нөхцөлд тэдгээр файлууд нь Зөөлөн Шинэчлэлтүүдтэй файлын
системийн үед огт байдаггүй бөгөөд учир нь мета-өгөгдөл болон файлын агуулгууд
хэзээ ч диск уруу бичигдээгүй байдаг. Дискний зай нь магадгүй
rm ажиллуулснаас хэсэг хугацааны дараа диск уруу
шинэчлэлтүүд бичигдэх хүртэл сулардаггүй. Энэ нь бүх файлуудыг хоёр дахин
хадгалахад хангалттай хүрэлцэхүйц хэмжээний чөлөөтэй зай байхгүй файлын систем
дээр их хэмжээний өгөгдлийг суулгаж байх үед асуудлууд гарахад хүргэж болох юм.
Цөмийн хязгаарууд тохируулах нь
тохируулах нь
цөмийн хязгаарууд
Файл/Процессийн хязгаарууд
<varname>kern.maxfiles</varname>
kern.maxfiles
kern.maxfiles нь таны системийн шаардлагуудаас
хамаараад дээшилж эсвэл доошилж болно. Энэ хувьсагч нь таны систем дээрх файлын
тодорхойлогчуудын (descriptor) хамгийн их тоог илэрхийлдэг. Файлын тодорхойлогчийн
хүснэгт дүүрсэн тохиолдолд file: table is full
буюу файл: хүснэгт дүүрсэн гэсэн мэдээлэл давтагдан системийн богино мэдээллийн буфферт
үзэгдэх бөгөөд үүнийг dmesg тушаал ашиглан үзэж болдог.
Нээлттэй файл, сокет эсвэл fifo болгон нэг файлын тодорхойлогч хэрэглэдэг.
Ажиллаж байгаа том-хэмжээний сервер зэрэгцээ ажиллаж байгаа үйлчилгээнүүдийн тоо болон
төрлөөс хамааран олон мянган файлын тодорхойлогчуудыг өлхөн шаардаж болох юм.
Хуучин FreeBSD хувилбаруудад kern.maxfiles-ийн
анхдагч утга нь таны цөмийн тохиргооны файлын тохируулгаас
гарсан байдаг. kern.maxfiles нь
утгатай пропорционалаар өсдөг. Өөрчлөн тохируулсан цөмийг
бүтээхдээ энэ цөмийн тохиргооны тохируулгыг өөрийн системийн хэрэглээний дагуу зааж өгөх нь
зүйтэй байдаг. Энэ тооноос хамаарч цөм өөрийн ихэнх урьдчилан-тодорхойлсон хязгааруудыг
өгдөг. Ажиллагаанд байгаа машин яг үнэндээ нэг удаа 256 хэрэглэгч зэрэг холбогдоогүй
байж болох боловч өндөр-хэмжээний вэб серверийнхтэй адил эх үүсвэрүүд хэрэгтэй байж болох
юм.
kern.maxusers хувьсагч нь системд байгаа санах ойн
дээр үндэслэн ачаалах үед автоматаар тавигддаг бөгөөд ажиллаж байх явцад зөвхөн уншигдах
kern.maxusers sysctl хувьсагчийн утгыг шалгаж тогтоогдож
болох юм. Зарим сайтууд kern.maxusers-ийн илүү их эсвэл бага
утгуудыг шаардаж үүнийг ачаалагчаар тааруулагдахаар тохируулж болох юм; 64, 128, болон 256
утгууд нь ховор байдаг. Танд асар их тооны файлын тодорхойлогчууд хэрэгтэй л биш бол бид
256-аас дээш байлгахыг зөвлөдөггүй; өөрсдийн анхдагч утгуудад
kern.maxusers-р заагддаг, тааруулагдах боломжтой утгуудын
олонх нь тус тусдаа ачаалалтын үед эсвэл ажиллах явцад /boot/loader.conf-оор
эсвэл энэ баримтын хаа нэгтээ тайлбарласнаар өөрчлөгдөж болдог
(&man.loader.conf.5; гарын авлага эсвэл /boot/defaults/loader.conf
файлыг санаа авахын тулд үзнэ үү).
Хуучин хувилбаруудад хэрэв та maxusers-ийг
0 гэж шууд зааж өгсөн бол систем автоматаар тааруулж өгдөг
Автоматаар тааруулах алгоритм maxusers-ийг
систем дэх санах ойн хэмжээтэй адилаар хамгийн багадаа 32 ба хамгийн ихдээ 384 гэж зааж
өгдөг.. Энэ тохируулгыг заахдаа ялангуяа та хэрэв X Цонхны Систем
ашиглаж байгаа эсвэл програм хангамж хөрвүүлж байгаа бол maxusers-ийг
хамгийн багадаа 4 гэж заахыг хүсэх болно. Шалтгаан нь гэвэл maxusers-ээр
заагдсан хамгийн чухал хүснэгт бол 20 + 16 * maxusers гэж заагдсан
процессуудын хамгийн их тоо бөгөөд хэрэв та maxusers-ийг 1 гэж
заасан бол та 18 орчмыг нь ачаалах үед системийг эхлүүлэхэд болон 15 орчмыг нь таныг X Цонхны
Системийг эхлүүлэхэд магадгүй үүсэж та нийт зөвхөн 36 зэрэг процесстой байж болох юм.
Гарын авлагыг унших зэрэг хялбар бодлого хүртэл шүүх, шахсаныг задлах, болон
үзэхэд зориулж есөн процессийг эхлүүлдэг. maxusers-ийг 64 гэж заах нь
бараг л бүх хэрэгцээнд хангалттай байх 1044 зэрэг процесстой байж болохыг танд зөвшөөрнө.
Гэхдээ өөр програм эхлүүлэхээр оролдож байх үед эсвэл их олон тооны зэрэгцээ хэрэглэгчидтэй
сервер (ftp.FreeBSD.org-той адил) ажиллуулж
байхад айдас төрүүлэм proc table full буюу proc хүснэгт
дүүрсэн гэсэн алдаа хэрэв та харах юм бол үргэлж энэ тоог ихэсгэн цөмийг дахин бүтээж
болох юм.
maxusers нь таны машин уруу нэвтрэх хэрэглэгчдийн
тоог хязгаарладаггүй. Энэ нь ердөө л таны систем дээр байж
болох хамгийн их хэрэглэгчийн тоо болон тэдгээр тус бүрийн ажиллуулах процессийн тооноос
хамааран төрөл бүрийн хүснэгтийн хэмжээнүүдийг боломжийн утгуудаар зааж өгдөг.
<varname>kern.ipc.somaxconn</varname>
kern.ipc.somaxconn
kern.ipc.somaxconn sysctl хувьсагч нь
шинэ TCP холболтуудыг хүлээн авахад зориулсан сонсох дарааллын хэмжээг
хязгаарладаг. Анхдагч утга 128 нь ачаалал ихтэй вэб
серверийн орчин дахь шинэ холболтуудыг хүлээж авахад ерөнхийдөө хэтэрхий бага
юм. Тийм орчны хувьд энэ утгыг 1024 эсвэл түүнээс их
болгохыг зөвлөдөг. Үйлчилгээний дэмон нь өөрөө сонсох дарааллын хэмжээгээ
(өөрөөр хэлбэл &man.sendmail.8;, эсвэл Apache)
хязгаарлаж болох боловч ихэвчлэн өөрийн тохиргооны файлдаа дарааллын хэмжээг
тааруулах тохиргооны мөртэй байдаг. Их хэмжээний сонсох дарааллууд нь бас
Үйлчилгээг Зогсоох халдлагуудаас (DoS) илүү сайн зайлсхийж
ажилладаг.
Сүлжээний хязгаарууд
NMBCLUSTERS цөмийн тохиргооны тохируулга нь
системд байгаа сүлжээний Mbuf-уудын тоог зааж өгдөг. Бага тооны Mbuf-уудтай
трафикийн ачаалал ихтэй сервер &os;-ийн чадварт саад болдог. Кластер бүр
ойролцоогоор 2 K санах ойг илэрхийлдэг, тийм болохоор 1024 гэсэн
утга нь сүлжээний буферуудад зориулж хадгалсан 2 мегабайт цөмийн санах ойг
илэрхийлнэ. Хичнээн хэрэгтэйг олохын тулд хялбар тооцоо хийж болно.
Хэрэв та хамгийн ихдээ 1000 зэрэгцээ холболтуудтай, холболт бүр нь 16 K
хүлээн авах болон 16 K илгээх буферийг иддэг вэб сервертэй бол
танд ойролцоогоор вэб серверийг хангахын тулд 32 MB хэмжээтэй тэнцэх
сүлжээний буферууд хэрэгтэй болно. Практикаар ер нь 2-оор үржүүлдэг,
тэгэхээр 2x32 MB / 2 KB =
64 MB / 2 kB = 32768 болох юм.
Бид их санах ойтой машинуудын хувьд утгуудыг 4096-аас 32768-ын хооронд байлгахыг
зөвлөдөг. Энэ параметрийн хувьд өндөр утгыг ямар ч нөхцөлд тавьж болохгүй, учир нь
энэ нь ачаалах үеийн сүйрэлд хүргэж болно. &man.netstat.1;-д
тохируулгыг ашиглаж сүлжээний кластерийн ашиглалтыг
ажиглаж болох юм.
kern.ipc.nmbclusters ачаалалтын тааруулах
боломжтой тохируулга нь ачаалах үед үүнийг тааруулахад хэрэглэгдэх ёстой.
Зөвхөн &os;-ийн хуучин хувилбарууд NMBCLUSTERS
цөмийн &man.config.8; тохируулгыг ашиглахыг танаас шаарддаг.
&man.sendfile.2; системийн дуудлагыг өргөнөөр ашигладаг завгүй
серверүүдийн хувьд NSFBUFS цөмийн тохиргооны тохируулгын
тусламжтай эсвэл түүний утгыг /boot/loader.conf-д зааж
&man.sendfile.2; буферуудын тоог ихэсгэх шаардлагатай байж болох юм
(дэлгэрэнгүйг &man.loader.8;-с үзнэ үү). Процессууд sfbufa
төлөвт харагдах нь энэ параметрийг тааруулах хэрэгтэйг ихэвчлэн заадаг.
kern.ipc.nsfbufs sysctl хувьсагч нь цөмөөр
тохируулагдсан хувьсагч дахь зөвхөн уншигддаг гялбаа юм. Энэ параметр нь
kern.maxusers-ийн хэмжээгээр тааруулагддаг,
гэхдээ үүнийг түүний дагуу тохируурах шаардлагатай байж болох юм.
Сокет блок-хийгддэггүй гэж тэмдэглэгдсэн ч гэсэн блок-хийгддэггүй
сокет дээр &man.sendfile.2;-ийг дуудах нь хангалттай хэмжээний
struct sf_buf-уудыг бий болготол
&man.sendfile.2; дуудлага блок хийгдэхэд хүргэж болох юм.
<varname>net.inet.ip.portrange.*</varname>
net.inet.ip.portrange.*
net.inet.ip.portrange.* sysctl хувьсагчууд нь
TCP болон UDP сокетуудад автоматаар уягдах портын дугаарын хүрээнүүдийг хянадаг.
Гурван хүрээ байдаг: доод хүрээ, анхдагч хүрээ, болон өндөр хүрээ. Ихэнх сүлжээний
програмууд нь анхдагчаар 1024 болон 5000 байдаг
net.inet.ip.portrange.first болон
net.inet.ip.portrange.last хувьсагчуудаар хянагддаг
анхдагч хүрээг ашигладаг. Уягдах портын хүрээнүүд гарах холболтуудад ашиглагддаг
бөгөөд зарим тохиолдолд систем дэх портууд дуусч болох юм. Энэ нь ихэвчлэн
таныг ачаалал ихтэй вэб прокси ашиглаж байхад гардаг. Ихэвчлэн ирж байгаа холболтуудыг
хүлээн авдаг ердийн вэб сервер эсвэл захидал дамжуулагч зэрэг хязгаарлагдмал тооны гарах
холболтуудтай серверүүдийг ажиллуулж байхад портын хүрээ нь асуудал биш юм.
Таны порт дуусаж болох тийм тохиолдлуудад
net.inet.ip.portrange.last хувьсагчийг даруухнаар
ихэсгэхийг зөвлөдөг. 10000, 20000 эсвэл
30000 нь боломжийн утгууд юм. Портын хүрээг өөрчилж
байхдаа галт ханын нөлөөллүүдийг бас бодолцох хэрэгтэй. Зарим галт хана
их хэмжээний портуудыг хааж болох бөгөөд (ихэнхдээ бага дугаарын портууд)
систем өндөр дугаарын портуудыг гарах холболтууддаа ашигладгийг бодолцох ёстой —
ийм учраас net.inet.ip.portrange.first-ийг
багасгахыг зөвлөдөггүй.
TCP хурд сааруулагч бүтээгдэхүүнүүд
TCP хурд сааруулагч бүтээгдэхүүний хязгаарлалт
net.inet.tcp.inflight.enable
TCP хурд сааруулагч бүтээгдэхүүний хязгаарлалт нь NetBSD дэх
TCP/Vegas-тай адилхан юм. net.inet.tcp.inflight.enable
sysctl хувьсагчийг 1 болгон тохируулж үүнийг идэвхжүүлдэг.
Систем холболт бүрийн хувьд хурд сааруулагч бүтээгдэхүүнийг тооцоолохыг оролддог
бөгөөд сүлжээн дэх дараалалд оруулах өгөгдлийн хэмжээг хамгийн боломжийн нэвтрүүлэх
чадамжийг байнга барьж байх тэр хэмжээнд хүргэж хязгаарладаг.
Хэрэв та өгөгдлийг модемууд, Гигабит Ethernet, эсвэл бүр өндөр
хурдны WAN холболтуудаар (эсвэл дурын өндөр хурд сааруулагч бүтээгдэхүүнтэй холболт)
дамжуулж байгаа бол ялангуяа та бас цонх өсгөлтийг ашиглаж байгаа эсвэл том илгээх цонх
тохируулсан бол энэ боломж нь ашигтай юм. Хэрэв та энэ тохируулгыг идэвхжүүлэх бол
бас net.inet.tcp.inflight.debug-ийг
0 (дибаг хийхийг болиулах) болгож тохируулах хэрэгтэй бөгөөд
үйлдвэрлэлийн ашиглалтад net.inet.tcp.inflight.min-ийг
хамгийн багаар бодоход 6144 болгох нь ашигтай байж болох юм.
Гэхдээ хамгийн бага тоог өндөр болгох нь холболтоос хамааран хурд хязгаарлалтыг
идэвхтэйгээр болиулж болохыг санах хэрэгтэй. Хязгаарлах боломж нь дундын чиглүүлэлтийн
үед бүтээгдсэн өгөгдлийн хэмжээг багасгах бөгөөд пакетийн дарааллуудыг сольж локал
хостын интерфэйс дэх дараалал дээр бүтээгдсэн өгөгдийн хэмжээг мөн багасгадаг.
Дараалалд орсон цөөн тооны пакетуудтай, ялангуяа удаан модемоор дамжсан интерактив
холболтууд нь бага Round Trip Times буюу Эргэн Аялах Хугацаатайгаар
ажиллаж бас чаддаг. Гэхдээ энэ боломж нь зөвхөн өгөгдөл дамжуулалтад (илгээх / сервер талын)
нөлөөлдгийг санах хэрэгтэй. Энэ нь өгөгдөл хүлээн авахад нөлөө үзүүлэхгүй (татаж авах).
net.inet.tcp.inflight.stab-ийг тааруулахыг
зөвлөдөггүй. Энэ параметр нь хурд сааруулах бүтээгдэхүүний
цонхны тооцоололд нэмсэн 2 хамгийн их пакетийг илэрхийлж анхдагчаар 20 байдаг.
Энэ алгоритмийг тогтворжуулах болон өөрчлөгдөж байгаа нөхцлүүдэд хариу өгөх боломжийг
сайжруулахад нэмэлт цонх шаардлагатай боловч энэ нь бас удаан холболт дээр
ping хийх хугацаа ихэсгэхэд хүргэдэг (гэхдээ таныг энэ (inflight) алгоритмийг
ашиглаагүй байхад гарсан үр дүнгээс хамаагүй бага хэвээр л байна).
Ийм тохиолдолд энэ параметрийг 15, 10, эсвэл 5 болгон багасгахыг хүсэж болох юм;
мөн хүссэн үр дүндээ хүрэхийн тулд
net.inet.tcp.inflight.min хувьсагчийг
(жишээ нь 3500 болгож) бас багасгаж болох юм. Эдгээр параметрүүдийг багасгах нь
хамгийн сүүлд авах арга хэмжээ байх ёстой юм.
Виртуал санах ой
<varname>kern.maxvnodes</varname>
vnode нь файл эсвэл сангийн дотоод дүрслэл юм. Тэгэхээр үйлдлийн
системд байх vnode-ийн тоог ихэсгэх нь диск I/O-г багасгадаг. Энэ нь ихэвчлэн
үйлдлийн системээр зохицуулагддаг бөгөөд өөрчлөх хэрэггүй байдаг.
Зарим тохиолдолд диск I/O нь гол асуудал учруулж системд vnode байхгүй болж
байвал энэ тохируулгыг ихэсгэх хэрэгтэй болно. Идэвхгүй болон чөлөөтэй RAM-ийн
хэмжээг бодолцох шаардлагатай.
Тухайн үед ашиглагдаж байгаа vnode-уудыг үзэхдээ:
&prompt.root; sysctl vfs.numvnodes
vfs.numvnodes: 91349
Хамгийн их vnode-уудыг үзэхдээ:
&prompt.root; sysctl kern.maxvnodes
kern.maxvnodes: 100000
Хэрэв тухайн үеийн vnode ашиглалт хамгийн их хэмжээ уруу бараг дөхөж
байвал kern.maxvnodes-ийг 1,000-аар ихэсгэх нь
зүйтэй байж болох юм. vfs.numvnodes-ийн тоон
дээр бас анхаарлаа хандуулаарай. Хэрэв энэ нь дахин хамгийн их уруугаа дээшилбэл
kern.maxvnodes-ийг цааш ихэсгэх шаардлагатай болно.
&man.top.1;-ийн гаргасан дүнгээс таны санах ойн өөрчлөлт харагдах ёстой.
Түрүүнийхээс илүү санах ой идэвхтэй байх ёстой.
Swap зай нэмэх нь
Та яаж ч сайн төлөвлөсөн байлаа гэсэн заримдаа систем таны бодсоноор
ажилладагүй. Хэрэв танд swap зай илүү хэрэгцээтэйг мэдвэл та үүнийг
амархнаар нэмж болно. Та гурван аргаар swap зайг ихэсгэж болно:
шинэ хатуу диск нэмэх, NFS-ийн тусламжтай swap идэвхжүүлэх болон
байгаа хуваалт дээр swap файл үүсгэж ихэсгэж болно.
Swap зайг хэрхэн шифрлэх, ямар тохируулгууд байгаа болон яагаад
хийх ёстой талаар гарын авлагын
хуудсанд хандана уу.
Шинэ диск дээрх swap
Мэдээж swap нэмэх хамгийн шилдэг арга нь энэ боломжийг шалтаг болгон
ашиглаж өөр хатуу диск нэмэх явдал юм. Ер нь та үргэлж өөр хатуу диск ашиглаж
болно л доо. Хэрэв та ингэх бол өөрийн swap-аа хэрхэн хамгийн шилдгээр
зохион байгуулж болох талаар дурдсан зарим зөвлөгөөнүүдийн тухай Гарын авлагын
дахь swap зайн хэлэлцүүлгээс
дахин уншаарай.
NFS-ийн тусламжтай swap хийх нь
NFS-ийн тусламжтай swap хийхийг зөвхөн swap хийх локал хатуу диск
танд байхгүй үед л зөвлөдөг; NFS swap хийх нь байгаа сүлжээний хурдаар
хязгаарлагддаг бөгөөд NFS серверт нэмэлт ачаалал үзүүлдэг.
Swap файлууд
Та swap файл болгон ашиглахаар заасан хэмжээтэй файлыг үүсгэж болно.
Энд байгаа жишээн дээр бид /usr/swap0 гэсэн
нэртэй 64MB файлыг ашиглана. Мэдээж та хүссэн ямар ч нэрээ ашиглаж
болно.
Swap файл &os; дээр үүсгэх нь
Таны цөмийн тохиргоонд санах ойн дискний драйвер (&man.md.4;)
орсон эсэхийг шалгаарай. Энэ нь GENERIC
цөмд анхдагчаар орсон байдаг.
device md # Memory "disks"
Swap файл (/usr/swap0) үүсгэнэ:
&prompt.root; dd if=/dev/zero of=/usr/swap0 bs=1024k count=64
Зөв зөвшөөрлүүдийг (/usr/swap0-д) нээж тохируулна:
&prompt.root; chmod 0600 /usr/swap0
/etc/rc.conf-д swap файлыг идэвхжүүлнэ:
swapfile="/usr/swap0" # Set to name of swapfile if aux swapfile desired.
Машиныг дахин эхлүүлнэ эсвэл swap файлыг шууд идэвхжүүлэхийн тулд дараах тушаалыг ажиллуулна:
&prompt.root; mdconfig -a -t vnode -f /usr/swap0 -u 0 && swapon /dev/md0
Хитэн
Пандиа
Бичсэн
Том
Рөүдс
Цагаанхүүгийн
Ганболд
Орчуулсан
Тэжээл болон Эх үүсвэрийн Удирдлага
Тоног төхөөрөмжийн эх үүсвэрүүдийг үр ашигтай ашиглах нь чухал юм.
ACPI танилцуулагдахаас өмнө системийн тэжээлийн
ашиглалт болон дулааны шинж чанаруудыг удирдахад үйлдлийн системүүдийн хувьд
хэцүү, уян хатан биш байсан. Тоног төхөөрөмж нь BIOS-оор
удирдагддаг байсан болохоор тэжээлийн удирдлагын тохиргоонуудын харагдац бага бөгөөд
хэрэглэгчид хянах боломж бага байсан юм.Зарим нэгэн хязгаарлагдмал тохиргооны
боломж Advanced Power Management буюу Тэжээлийн Дэвшилттэй Удирдлага (APM)
интерфэйсээр хийгдэх боломжтой байсан.
Тэжээл болон Эх үүсвэрийн Удирдлага нь орчин үеийн үйлдлийн
системийн түлхүүр хэсгүүдийн нэг юм. Жишээ нь таны системийн хэм гэнэт нэмэгдэх тохиолдолд
системийн хязгааруудыг үйлдлийн систем монитор хийхийг (магадгүй танд мэдээлэхийг)
хүсэж болох юм.
&os; Гарын авлагын энэ хэсэгт бид ACPI-ийн талаар
нэвтэрхий мэдээллээр хангах болно. Цааш нэмж уншихад зориулсан мэдээллүүдийг
төгсгөл хэсэгт оруулсан байгаа.
ACPI гэж юу вэ?
ACPI
APM
Advanced Configuration and Power Interface буюу Дэвшилттэй Тохиргоо
ба Тэжээлийн Интерфэйс (ACPI) нь тоног төхөөрөмжийн эх үүсвэрүүд
болон тэжээлийн удирдлагад (эндээс нэр гарсан) зориулсан стандарт интерфэйсийг хангах зорилгоор
үйлдвэрлэгчдийн холбооноос бичин гаргасан стандарт юм.
Энэ нь Үйлдлийн Системээр заалгасан тохиргоо ба Тэжээлийн Удирдлагын
түлхүүр элемент юм, өөрөөр хэлбэл: энэ нь илүү хяналт болон уян хатан байдлыг үйлдлийн системд
(OS) хангадаг. ACPI-г танилцуулахаас
өмнө одоогийн Залгаад Тоглуулах интерфэйсүүдийн хязгааруудыг орчин үеийн системүүд
сунгасан
юм. ACPI нь APM-ийн
(Advanced Power Management буюу Тэжээлийн Дэвшилтэт Удирдлага) шууд залгамжлагч
юм.
Тэжээлийн Дэвшилтэт Удирдлагын (APM) сул талууд
Тэжээлийн Дэвшилтэт Удирдлага (APM) боломж нь
системийн тэжээлийн ашиглалтыг түүний ажиллагаан дээр үндэслэн хянадаг.
APM BIOS нь (систем) үйлдвэрлэгчээс хангагддаг бөгөөд тоног төхөөрөмжийн тавцан
бүрийн хувьд онцлог байдаг. OS дахь APM драйвер нь тэжээлийн түвшингүүдийн
удирдлагыг зөвшөөрдөг APM Програм хангамжийн Интерфэйс
уруу хандах хандалтыг зуучилж өгдөг. APM-ийг 2000 онд болон тэрнээс өмнө үйлдвэрлэсэн
системүүдэд ашиглах ёстой хэвээр байдаг.
APM-д дөрвөн үндсэн асуудал байдаг. Нэгдүгээрт, тэжээлийн удирдлага
(үйлдвэрлэгчийн онцлогтой) BIOS-оор хийгддэг бөгөөд OS нь энэ талын ямар ч
мэдлэг байдаггүй. Үүний нэг жишээ нь хэрэглэгч хатуу дискний сул зогсох хугацааг
APM BIOS дээр зааж өгөөд тэр нь зааснаас илүү гарвал BIOS хатуу дискийг OS-ийн
зөвшөөрөлгүйгээр эргүүлдэг. Хоёрдугаарт, APM-ийн логик BIOS-д суулгагдсан байдаг
бөгөөд OS-ийн эрх хэмжээнээс гадна ажилладаг. Энэ нь хэрэглэгчид өөрсдийн
APM BIOS-ийг зөвхөн шинэ хувилбараар нь ROM уруу нь шарж асуудлуудыг
засварлах боломжтой гэсэн үг юм; энэ нь амжилтгүй болбол системийг дахин
сэргээгдэхгүй төлөвт орхиж болох боломжтой маш аюултай процедур юм.
Гуравдугаарт, APM нь үйлдвэрлэгчийн онцлогтой технологи бөгөөд энэ нь
маш олон адил төсөөтэй байдал (чармайлтуудын хуулбар) болон нэг үйлдвэрлэгчийн
BIOS-д олдсон алдаанууд бусад үйлдвэрлэгчдийн хувьд шийдэгдээгүй байж болно гэсэн үг
юм. Хамгийн сүүлд гэхдээ төгсгөлийнх биш, APM BIOS нь тэжээлийн маш нарийн
бодлого эсвэл машины зориулалтад зориулагдан маш сайн тохируулагдах тийм шийдлийг
хийхэд хангалттай зайгүй байдаг.
Залгаад Тоглуулах BIOS (PNPBIOS) нь
олон тохиолдолд найдвартай биш байсан юм. PNPBIOS нь 16-битийн технологи,
тийм болохоор OS нь PNPBIOS аргуудтай холбогдохдоо 16-битийн эмуляц
хэрэглэх шаардлагатай болдог.
&os;-ийн APM драйвер &man.apm.4; гарын авлагын
хуудсанд баримтжуулагдсан байдаг.
<acronym>ACPI</acronym>-г тохируулах нь
acpi.ko драйвер нь системийг эхлүүлэх үед
&man.loader.8;-оор анхдагчаар ачаалагддаг бөгөөд цөмд оруулж
хөрвүүлэгдэх ёсгүй. Үүний цаадах шалтгаан нь
модулиудтай ажиллах хялбар байдаг, өөрөөр хэлбэл цөмийг дахин хөрвүүлэлгүйгээр
өөр acpi.ko уруу шилждэг. Энэ нь тест хийлтийг
илүү амархан болгодог давуу талтай юм. Нөгөө нэг шалтгаан нь
системийг ажиллуулж дууссаны дараа ACPI-г ажиллуулахад
ихэвчлэн сайн ажилладаггүй.
Хэрэв та асуудлуудтай учирч байгаа бол ACPI-г бүхэлд нь хаах хэрэгтэй.
Энэ драйверийг ачаалсны дараа буулгаж болиулж чаддаггүй, болдоггүй, учир нь
системийн шугам үүнийг төрөл бүрийн тоног төхөөрөмжүүдийн харилцан үйлдлүүдэд
хэрэглэдэг. ACPI-г /boot/loader.conf файлд юм уу
эсвэл &man.loader.8; хүлээх мөрөнд hint.acpi.0.disabled="1" гэж тохируулан
хааж болдог.
ACPI болон APM нь цуг байж болохгүй
бөгөөд салангид хэрэглэгдэх ёстой. Сүүлд ачаалагдах драйвер нь хэрэв нөгөө нэгийг ажиллаж байгааг
мэдвэл ажиллагаагаа дуусгавар болгодог.
ACPI нь &man.acpiconf.8;-ийн
туг болон 1-5 тохируулгын тусламжтайгаар
системийг унтах горим шилжүүлэхэд хэрэглэгдэж болно. Ихэнх хэрэглэгчдэд зөвхөн
1 эсвэл 3 (RAM руу түр зогсоох)
хэрэгтэй байдаг. 5 тохируулга нь
дараах тушаалтай нэг ёсондоо адилыг гүйцэтгэнэ:
&prompt.root; halt -p
Бусад тохируулгууд &man.sysctl.8;-ийн тусламжтай байдаг. Дэлгэрэнгүй мэдээллийн талаар &man.acpi.4; болон
&man.acpiconf.8; гарын авлагын хуудаснуудаас шалгана уу.
Нэйт
Лоосон
Бичсэн
Питер
Шульц
Хувь нэмэрлэцгээсэн
Том
Рөүдс
Цагаанхүүгийн
Ганболд
Орчуулсан
&os;-ийн <acronym>ACPI</acronym>-г ашиглах нь ба дибаг хийх нь
ACPI
асуудлууд
ACPI нь төхөөрөмжүүдийг илрүүлэх, тэжээлийн ашиглалтыг
удирдах болон урьд нь BIOS-оор удирдагддаг байсан төрөл
бүрийн тоног төхөөрөмжид хандах стандартчилагдсан хандалтыг хангадаг цоо шинэ арга
юм. Бүх системүүд дээр ACPI-г ажиллуулах тал дээр
дэвшил хийгдсэн бөгөөд гэхдээ зарим эх хавтангуудын
ACPI Машины Хэлний
(AML) байткод дахь алдаанууд, &os;-ийн цөмийн дэд
системүүдийн бүрэн бүтэн бус байдал болон &intel; ACPI-CA
тайлбарлагч дахь алдаанууд илэрсээр байна.
Энэ баримт нь таныг &os;-ийн ACPI дэмжигчдэд тусалж
таны ажигласан асуудлуудын үндсэн учир шалтгааныг таних, дибаг хийх болон шийдлийг
хөгжүүлэхэд туслах зорилготой юм. Үүнийг уншиж байгаад талархлаа илэрхийлэхийн
ялдамд бид таны системийн асуудлуудыг шийдэж чадна гэдэгт найдаж байна.
Дибаг мэдээллийг илгээх нь
Асуудлыг илгээхээсээ өмнө та хамгийн сүүлийн үеийн BIOS-ийн
хувилбар болон хэрэв байх юм бол суулгагдсан хянагчийн хамгийн сүүлийн firmware хувилбар
ажиллуулж байгаа эсэхээ шалгаарай.
Асуудлыг шууд илгээхийг хүсэж байгаачууд дараах мэдээллийг
freebsd-acpi@FreeBSD.org уруу илгээнэ үү:
Системийн төрөл болон загварыг оролцуулан алдааг гаргаж байгаа зүйлийн хамтаар
алдаатай ажиллагааг тайлбарласан мэдээлэл. Мөн хэрэв алдаа таны хувьд шинэ бол
яг хэзээ гарч эхэлснийг аль болох тодорхой гаргаарай.
boot -v ажилласны дараах &man.dmesg.8;-ийн
гаралтыг алдааг шалгаж байхад таны үүсгэсэн алдааны мэдээллүүдийн
хамтаар.
Хэрэв ACPI-г хаасан байхад асуудлыг шийдэж байвал
тийм байх үе дэх boot -v-ийн гаралт.
sysctl hw.acpi-ийн гаралт. Энэ нь таны
систем ямар ямар боломжуудыг санал болгож байгааг мэдэх бас нэг сайн
арга юм.
Таны ACPI Эх Хэл
(ASL) байх URL хаяг.
ASL нь маш том байж болох учир шууд
битгий жагсаалт уруу илгээгээрэй.
Өөрийн ASL-ийн хуулбарыг энэ тушаалыг
ашиглаж үүсгээрэй:
&prompt.root; acpidump -dt > name-system.asl
(Өөрийн нэвтрэх нэрийг
name-ийн оронд болон
үйлдвэрлэгч/загварыг system-ийн
оронд солиорой. Жишээ нь:
njl-FooCo6000.asl)
Ихэнх хөгжүүлэгчид &a.current; үзэж байдаг, гэхдээ асуудлуудаа
харагдуулахын тулд &a.acpi.name; уруу илгээгээрэй. Бид бүгд хаа нэгтээ
өөр өөрийн үндсэн ажилтай учир тэвчээртэй байна уу. Хэрэв таны алдаа
шууд илэрхий биш байх юм бол магадгүй бид таныг &man.send-pr.1;-ийн
тусламжтай PR илгээхийг асуух байх.
PR оруулахдаа дээр хүссэний адил мэдээллээ
оруулна уу. Энэ нь асуудлыг мөшгөж шийдвэрлэхэд бидэнд туслах юм.
Бид PR-уудыг мэдээлэх механизмын зорилгоор биш
байгаа асуудлуудыг санаж байх зорилгоор ашигладаг болохоор эхлээд
&a.acpi.name; уруу захидал илгээлгүйгээр PR
битгий илгээгээрэй. Магадгүй таны асуудлыг урд нь өөр хэн нэгэн мэдээлсэн
байж болох юм.
Оршил
ACPI
ACPI нь ia32 (x86), ia64 (Itanium) болон
amd64 (AMD) архитектуруудтай нийцтэй орчин үеийн бүх компьютерт байдаг.
Бүрэн стандарт нь CPU-ны ажиллагааны удирдлага,
тэжээлийн онгоцуудын хяналт, дулааны бүсүүд, төрөл бүрийн батарейний системүүд,
суулгагдсан хянагчууд болон шугамын жагсаалт зэрэг олон боломжуудтай.
Ихэнх системүүд нь бүрэн стандартыг бүгдийг хангасан шийдэлтэй байдаггүй.
Жишээ нь зөөврийн компьютер хөргөх болон бас батарейний удирдлагын дэмжлэгтэй
байхад ширээний систем зөвхөн шугамын жагсаалтын хэсгийн шийдлийг агуулсан байдаг.
Зөөврийн компьютерууд нь бас өөр өөрийн ярвигтай асуудлуудыг агуулсан түр зогсоох болон
үргэлжлүүлэх боломжуудыг агуулдаг.
ACPI-нийцтэй систем нь төрөл бүрийн хэсгүүдтэй байдаг.
BIOS болон бичил схемийн үйлдвэрлэгчид
APIC зураг (SMP-д ашиглагддаг),
тохиргооны регистрүүд болон хялбар тохиргооны утгууд зэрэг зүйлсүүдийг заадаг
төрөл бүрийн тогтмол хүснэгтүүдийг (өөрөөр хэлбэл
FADT) санах ойд хангаж өгдөг. Мөн төхөөрөмжүүд болон
аргуудын мод хэлбэрийн нэрийн талбарыг заадаг байткодын хүснэгтээр
(Differentiated System Description Table буюу Системийн
Ялгаварласан Тайлбарын Хүснэгт DSDT)
бас хангадаг.
ACPI драйвер нь тогтмол хүснэгтүүдийг задлан ялгал
хийх, байткодын тайлбарлагчийг шийдэх болон ACPI дэд
системийн мэдээллийг хүлээн авахаар төхөөрөмжүүдийн драйверууд болон цөмийг
өөрчлөх ёстой. &os;-ийн хувьд &intel; нь Линукс болон NetBSD-тэй хуваалцан
хэрэглэгддэг тайлбарлагчаар хангадаг. ACPI-CA эх кодын
зам нь
src/sys/contrib/dev/acpica.
ACPI-CA-г &os; дээр ажиллуулах тэр цавуу код нь
src/sys/dev/acpica/Osd байршилд байдаг.
Эцэст нь төрөл бүрийн ACPI төхөөрөмжүүдийн драйверууд
src/sys/dev/acpica байршлаас
олддог.
Нийтлэг асуудлууд
ACPI
асуудлууд
ACPI зөв ажиллахын тулд бүх хэсгүүд бас
зөв ажилласан байх ёстой. Энд зарим нэг нийтлэг асуудлуудыг илэрч байгаа
давтамжийн дарааллаар зарим нэг тойрон гарах замууд болон засваруудтайгаар
нь дурдъя.
Хулганы асуудлууд
Зарим тохиолдолд түр зогсоох үйлдэл хийгдсэний дараа үргэлжлүүлэхэд
хулганыг ажиллахгүй болгодог. Мэдэгдэж байгаа тойрон гарах арга зам нь
hint.psm.0.flags="0x3000" мөрийг
/boot/loader.conf файлд нэмэх явдал
юм. Хэрэв энэ нь ажиллахгүй бол дээр тайлбарласны дагуу алдааны
тайлан илгээхийг бодно уу.
Suspend/Resume буюу Түр зогсоох/Үргэлжлүүлэх
ACPI нь RAM уруу
түр зогсоох S1-S3 гэсэн
гурван төлөвтэй (STR) бөгөөд диск уруу түр
зогсоох S4 гэгддэг нэг төлөвтэй
(STD). S5 нь
soft off буюу зөөлөн зогсоолт
бөгөөд тэжээлд залгагдсан
боловч асаагдаагүй байх үеийн таны системийн жирийн төлөв юм.
S4 нь хоёр тусдаа аргаар хийгдэх боломжтой.
S4BIOS нь
BIOS-ийн тусламжтайгаар диск уруу хийгдэх
түр зогсоолт юм. S4OS нь
бүхэлдээ үйлдлийн системээр хийгддэг.
Түр зогсоолттой холбоотой зүйлүүдийг sysctl hw.acpi
тушаалаар шалгаж эхлээрэй. Энд Thinkpad-тай холбоотой үр дүнгүүд байна:
hw.acpi.supported_sleep_state: S3 S4 S5
hw.acpi.s4bios: 0
Энэ нь бид S3,
S4OS болон
S5-ийг шалгахад
acpiconf -s тушаалыг ашиглаж болно гэсэн үг юм.
Хэрэв нь нэг (1) байх
юм бол бид S4OS-ийн оронд
S4BIOS дэмжлэгтэй байх юм.
Түр зогсоолт/үргэлжлүүлэлтийг тест хийхдээ хэрэв дэмжигдсэн бол
S1-ээс эхлээрэй. Энэ төлөв нь драйверийн дэмжлэг барагтаа л
шаарддаггүй болохоор бараг л ажиллах болно. Хэн ч S2-ийг
хийгээгүй байдаг бөгөөд танд энэ хэрэв байгаа бол энэ нь S1-тэй
адил байна. Дараагийн оролдох зүйл нь S3 юм. Энэ нь
хамгийн гүнзгий STR төлөв бөгөөд таны тоног төхөөрөмжийг
дахин зөв эхлүүлэхийн тулд драйверийн ихээхэн дэмжлэг шаарддаг. Хэрэв
үргэлжлүүлэх үед танд асуудлууд гарч байгаа бол &a.acpi.name; жагсаалт уруу
цахим захидал чөлөөтэй илгээгээрэй, гэхдээ илүү их тест хийлт, ажил шаардсан маш
олон драйверууд/тоног төхөөрөмжүүд байдаг учир асуудал шийдэгдэхийг хүлээх хэрэггүй юм.
+ Түр зогсоолт/үргэлжлүүлэлттэй холбоотой түгээмэл асуудал
+ бол олон төхөөрөмжийн драйверууд өөрсдийн эхлүүлэх програм,
+ регистрүүд болон төхөөрөмжийн санах ойг зөв хадгалж, сэргээж,
+ эсвэл дахин эхлүүлж чаддаггүй. Асуудлыг эхний удаа дибаг хийхийг
+ оролдохдоо дараах тушаалыг ажиллуулж үзээрэй:
+
+ &prompt.root; sysctl debug.bootverbose=1
+&prompt.root; sysctl debug.acpi.suspend_bounce=1
+&prompt.root; acpiconf -s 3
+
+ Энэ тест нь S3 төлөв рүү жинхнээсээ
+ оролгүйгээр бүх төхөөрөмжийн драйверуудын
+ түр зогсолт/үргэлжлүүлэлтийн циклийг эмуляц хийдэг.
+ Зарим тохиолдолд энэ аргыг ашиглан та асуудлыг хялбархнаар
+ олж болно (жишээ нь эхлүүлэх програмын төлөв алдагдах, төхөөрөмжийн
+ watchdog timeout болж дуусахгүй дахин оролдох). Систем нь
+ жинхнээсээ S3 төлөвт орохгүй болохыг
+ санаарай. Тэгэхээр төхөөрөмжүүд нь тэжээлээс салгагдахгүй
+ бөгөөд түр зогсолт/үргэлжлүүлэлтийн арга тэдний хувьд байхгүй гэсэн
+ олонхи нь зүгээр ажиллах болно. Харин жинхэнэ S3
+ төлвийн хувьд эсрэгээр байж магадгүй юм.
+
+ Хэцүү тохиолдлууд нэмэлт тоног төхөөрөмж шаарддаг,
+ жишээ нь цуваа консолд зориулсан цуваа порт/кабель эсвэл
+ &man.dcons.4;-д зориулсан Firewire порт/кабел болон цөм дибаг
+ хийх чадвар зэргийг дурдаж болно.
+
Асуудлыг тусгаарлахад туслахын тулд өөрийн цөмөөс аль болох олон драйверуудыг
арилгаарай. Хэрэв энэ нь ажиллаж байвал та яг аль драйвер асуудалтай байгааг
драйверуудыг амжилтгүй ажиллах хүртэл ачаалан тодорхойлж болох юм.
nvidia.ko, X11 дэлгэцийн драйверууд болон
USB зэрэг хоёртын драйверууд нь ерөнхийдөө хамгийн их
асуудлуудтай байдаг байхад Ethernet интерфэйсүүд ихэвчлэн зүгээр ажилладаг.
Хэрэв та драйверуудыг зөв ачаалж/буулгаж чадаж байвал та тохирох тушаалуудыг
/etc/rc.suspend болон
/etc/rc.resume файлуудад хийж үүнийг
автоматжуулж болно. Драйверийг буулгах болон ачаалахад зориулсан тайлбар
болгосон жишээ байдаг. Хэрэв таны дэлгэц үргэлжлүүлэлт хийгдсэний дараа заваарсан
бол -г тэг (0)
болгож үзээрэй. Хэрэв тусламж болохоор бол
-г арай урт эсвэл арай богино утгуудаар
тохируулж үзээрэй.
Өөр нэг турших зүйл нь ACPI дэмжлэгтэй сүүлийн үеийн
Линуксийн түгээлтийг ачаалан тэдний түр зогсоолт/үргэлжлүүлэлтийн дэмжлэгийг адил
тоног төхөөрөмж дээр турших явдал юм. Хэрэв Линукс дээр ажиллаж байвал
энэ нь &os;-ийн драйверийн асуудал гэсэн үг бөгөөд яг аль драйвер асуудлыг үүсгэж
байгааг олсноор асуудлыг засварлахад бидэнд тус болох болно.
ACPI-ийг дэмжиж байдаг дэмжигчид нь өөр бусад
драйверуудыг (өөрөөр хэлбэл дуу, ATA гэх мэт)
ихэвчлэн дэмжин ажилладаггүй болохоор драйверийн асуудлыг мөшгөж хийгдсэн ажил бүр
магадгүй эцсийн эцэст &a.current.name; жагсаалт болон драйверийг дэмжигч
уруу илгээгдэх хэрэгтэйг санаарай. Хэрэв та адал явдлыг эрж байгаа бол
драйверийн үргэлжлүүлэлтийн функцын аль хэсэгт өлгөгдөж байгааг мөшгөхийн тулд
зарим дибаг хийх &man.printf.3;-үүдийг асуудалтай драйверт хийж эхлээрэй.
Эцэст нь ACPI-г хааж оронд нь
APM-г нээж оролдоорой. Хэрэв түр зогсоолт/үргэлжлүүлэлт
APM-тэй байхад ажиллаж байвал та
APM-тэйгээ үлдэх нь ялангуяа хуучин тоног төхөөрөмжийн
(2000 оноос өмнөх) хувьд бараг дээр байх бизээ. ACPI
дэмжлэгийг зөв болгоход үйлдвэрлэгчдэд цаг хугацаа шаардах бөгөөд магадгүй хуучин
тоног төхөөрөмжүүд нь ACPI-ийн хувьд
BIOS-ийн асуудлуудтай ихэвчлэн байдаг.
Систем өлгөгдөх (түр хугацаагаар эсвэл бүрмөсөн)
Ихэнх системийн өлгөгдлүүд нь гээгдсэн тасалдлууд эсвэл тасалдлын
шуургын үр дүн юм. Бичил схемүүд нь ачаалахаас өмнө тасалдлуудыг BIOS
хэрхэн тохируулдгаас болсон асуудлууд, APIC
(MADT) хүснэгтийн зөв байдал болон
System Control Interrupt буюу Системийн Хянагч
Тасалдлын (SCI) чиглүүлэлт дээр
тулгуурласан олон асуудлуудтай байдаг.
тасалдлын шуургууд
Тасалдлын шуургыг vmstat -i тушаалын
гаралтаас acpi0 бүхий мөрийг шалгаж гээгдсэн
тасалдлуудаас ялгаж болно. Хэрэв тоологч секунд тутам хоёроор нэмэгдэж
байвал та тасалдлын шуургатай байна. Хэрэв систем өлгөгдсөн юм шиг байвал
DDB
(консол дээр CTRL
ALTESC)
уруу орж show interrupts гэж бичих хэрэгтэй.
APIC
хаах нь
Тасалдлын асуудлуудтай ажиллаж байхад таны хамгийн шилдэг итгэл найдвар
бол loader.conf-д hint.apic.0.disabled="1"
хэмээн зааж APIC дэмжлэгийг хаах явдал юм.
Үймээнүүд
Үймээнүүд нь ACPI-ийн хувьд харьцангуй ховор
байдаг бөгөөд засварлах нэн тэргүүн ээлжийн асуудал байдаг. Эхний алхам бол
үймээнийг дахин гаргах (хэрэв боломжтой бол) алхмуудыг тусгаарлаж
буцах мөрийг (backtrace) авах явдал юм. options DDB
мөрийг нээж сериал консол (-г үзнэ үү)
тохируулах эсвэл &man.dump.8; хуваалтыг тохируулах зөвлөгөөг дагаарай.
Та буцах мөрийг DDB дээр tr-р
авч болно. Хэрэв та буцах мөрийг гараар бичих болбол мөр дэх хамгийн доодох тав (5)
болон хамгийн дээдэх таван (5) мөрийг хамгийн багадаа бодоход аваарай.
Дараа нь асуудлыг тусгаарлахыг оролдож ACPI-г
хааж ачаалж үзээрэй. Хэрэв энэ нь ажиллаж байвал
-ийн төрөл бүрийн утгуудыг хэрэглэж
та ACPI дэд системийг тусгаарлаж болно. Зарим жишээнүүдийг
&man.acpi.4; гарын авлагын хуудаснаас үзнэ үү.
Түр зогссоны дараа эсвэл унтраасны дараа систем дахин эхлэх
Эхлээд &man.loader.conf.5; дээр
hw.acpi.disable_on_poweroff="0" гэж тохируулаад
үз. Энэ нь унтраах процессийн үед төрөл бүрийн үйл явцуудыг
ACPI хаахыг болиулдаг. Энэ зорилгын нэгэн адил зарим
системүүд энэ утгыг 1 (анхдагч) болгож тохируулахыг
шаарддаг. Энэ нь түр зогсоолт эсвэл унтраалт хийгдсэний дараа аяндаа гарсан
систем асаж эхлэх асуудлыг ихэвчлэн засварладаг.
Бусад асуудлууд
Хэрэв танд ACPI-тай холбоотой бусад асуудлууд
(суулгах станцтай ажиллах, төхөөрөмжүүд илрүүлэгдэхгүй гэх мэт) байвал
тайлбарыг захидлын жагсаалт уруу бас илгээнэ үү; гэхдээ эдгээр асуудлуудын
зарим нь ACPI дэд системийн дуусаагүй хэсгүүдтэй
холбоотой байж болох бөгөөд тэдгээрийг шийдэж хийхэд нэлээн хугацаа зарцуулж
болох юм. Тэвчээртэй байж бидний илгээж болох засваруудыг тест хийхэд
бэлэн байгаарай.
<acronym>ASL</acronym>, <command>acpidump</command>, болон
<acronym>IASL</acronym>
ACPI
ASL
Хамгийн нийтлэг асуудал бол BIOS үйлдвэрлэгчдийн
гаргасан буруу (эсвэл алдаатай!) байткод юм. Энэ нь ихэвчлэн дараах шиг цөмийн
консол мэдээллүүдээр ил тод болдог:
ACPI-1287: *** Error: Method execution failed [\\_SB_.PCI0.LPC0.FIGD._STA] \\
(Node 0xc3f6d160), AE_NOT_FOUND
Ихэвчлэн та эдгээр асуудлуудыг өөрийн BIOS-ийг
хамгийн сүүлийн хувилбар уруу шинэчилснээр шийдэж болно. Ихэнх консолын
мэдээллүүд нь аюулгүй гэхдээ хэрэв танд батарейний төлөв ажиллахгүй гэх мэт
өөр бусад асуудлууд байгаа бол тэдгээр мэдээллүүд нь AML-д
байгаа асуудлуудыг хайж болох боломжийн газар нь юм.
AML гэгддэг байткод нь ASL
хэмээгддэг эх хэлээс хөрвүүлэгддэг. AML нь
DSDT гэгддэг хүснэгтэд байдаг. Өөрийн
ASL-ийн хуулбарыг авахын тулд &man.acpidump.8;-ийг
ашиглана. Та (тогтмол хүснэгтүүдийн агуулгуудыг үзүүлэх)
болон (AML-ийг
ASL уруу дизассембл хийх) тохируулгыг хоёуланг нь
ашиглах хэрэгтэй. Синтаксын жишээг
Дибаг Мэдээллийг Илгээх нь
хэсгээс үзнэ үү.
Таны хийж болох хамгийн хялбар анхны шалгалт нь алдаануудыг шалгахын тулд өөрийн
ASL-ийг хөрвүүлэх явдал юм. Анхааруулгуудыг ихэвчлэн орхиж
болох боловч алдаанууд нь ACPI-г зөв ажиллуулахад гол төлөв саад
болдог хорхойнууд байдаг. Өөрийн ASL-ийг дахин хөрвүүлэхдээ
дараах тушаалыг ажиллуулна:
&prompt.root; iasl your.asl
Өөрийн <acronym>ASL</acronym>-г засварлах нь
ACPI
ASL
Бидний эцсийн зорилго бол бараг хүн болгоны хувьд хэрэглэгчийн ямар ч оролцоогүйгээр
ACPI-г ажиллуулах явдал юм. Гэхдээ өнөөг хүртэл бид
BIOS үйлдвэрлэгчдийн гаргасан нийтлэг алдаануудад
зориулан тойрон гарах арга замуудыг хөгжүүлсээр байгаа билээ.
µsoft;-ийн тайлбарлагч (acpi.sys болон
acpiec.sys) нь стандартыг баримталж байгааг чанд
шалгадаггүй бөгөөд BIOS-ийн олон үйлдвэрлэгчид
ACPI-г зөвхөн &windows; дээр тест хийж өөрсдийн
ASL-ийг хэзээ ч засдаггүй. Бид µsoft;-ийн
тайлбарлагчид зөвшөөрөгдсөн ямар стандартын бус ажиллагаа байгааг үргэлжлүүлэн
нарийн таньж баримтжуулан хэрэглэгчдээр ASL-ийг хүчлэн
засуулалгүйгээр &os; ажиллаж чадахаар түүнийг хуулбарлах болно гэж найдаж байна.
Тойрон гарах арга зам болгон биднийг энэ ажиллагааг танихад тусалж та
ASL-ийг гараар засварлаж болно. Хэрэв таны хувьд энэ нь
ажиллавал хуучин болон шинэ ASL-ийнхээ &man.diff.1;-ийг
илгээнэ үү, бид бололцоогоороо ACPI-CA дахь алдаатай
ажиллагааг тойрон гарч ингэснээр хойшид таны засвар байнга хийгдэх шаардлагагүй
болох юм.
ACPI
алдааны мэдээллүүд
Энд нийтлэг алдааны мэдээллүүд, тэдгээрийн шалтгаан болон хэрхэн засаж болох
жагсаалтыг үзүүлэв:
_OS хамаарлууд
Зарим AML нь ертөнц төрөл бүрийн &windows;
хувилбаруудаас тогтдог гэж үздэг. Хэрэв танд байгаа асуудлыг засаж чадаж байвал
та &os;-г ямар нэг OS гэж харагдуулахаар хэлж өгч болно.
Үүнийг хялбар аргаар дарж бичихийн тулд /boot/loader.conf-д
hw.acpi.osname="Windows 2001" гэж эсвэл
ASL дахь өөр бусад адил мөрүүдийг тохируулж өгнө.
Буцах мэдээллүүд байхгүй бол
Зарим аргууд нь стандартын дагуу шууд утга буцаадаггүй.
ACPI-CA нь үүнтэй ажиллаж чадахгүй байхад
&os; үүнийг далдаар утга буцаалгах боломжийг олгодог тойрон гарах арга замтай байдаг.
Хэрэв та утга буцаагдах ёстойг мэдэж байвал шаардлагатай газар нь Return буюу Буцах
мэдээллүүдийг шууд нэмж болно. ASL-ийг
iasl тушаалаар хүчээр хөрвүүлэхдээ
тугийг ашиглана.
Анхдагч <acronym>AML</acronym>-ийг дарж өөрчлөх нь
your.asl-ийг өөрчилсний дараа үүнийг
та хөрвүүлэхдээ:
&prompt.root; iasl your.asl
Хөрвүүлэх явцад алдаанууд байсан ч гэсэн та тугийг
нэмж AML-ийг хүчээр үүсгэж болно. Зарим алдаануудыг
(өөрөөр хэлбэл Буцах мэдээллүүд байхгүй гэх мэт) тайлбарлагчийн тусламжтайгаар
автоматаар тойрон гардгийг санаарай.
DSDT.aml нь iasl-ийн
анхдагч гаралт файлын нэр юм. Та өөрийн BIOS-ийн
алдаатай хуулбарын (флэш санах ойд байсаар байгаа) оронд
/boot/loader.conf-ийг дараах байдлаар засварлан
үүнийг ачаалж болно:
acpi_dsdt_load="YES"
acpi_dsdt_name="/boot/DSDT.aml"
Өөрийн DSDT.aml файлын хуулбарыг
/boot сан уруу хуулах хэрэгтэй.
<acronym>ACPI</acronym>-аас дибаг мэдээлэл гаргаж авах нь
ACPI
асуудлууд
ACPI
дибаг
ACPI драйвер нь маш уян хатан дибаг хийх боломжтой.
Энэ нь дэд системүүдийн олонлог болон харуулах түвшинг зааж өгөхийг танд зөвшөөрдөг.
Таны дибаг хийхийг хүсэж байгаа дэд системүүд нь давхаргууд
болж заагдсан байдаг бөгөөд ACPI-CA хэсгүүд
(ACPI_ALL_COMPONENTS) болон ACPI тоног төхөөрөмжийн
дэмжлэг (ACPI_ALL_DRIVERS) болж задардаг. Дибаг гаралтын харуулалт нь
үе
ээр заагддаг бөгөөд ACPI_LV_ERROR (зөвхөн алдаануудыг хэлдэг)
тогтмолоос ACPI_LV_VERBOSE (бүгд) хүртэл байдаг. Үе
нь
олон тохируулгуудыг нэг удаа зайгаар зааглан тохируулж болох бит баг (bitmask) юм.
Хэрэв энэ нь маш урт тэгээд консолын мэдээллийн буферийг арилган шинэчилж
байвал та практик дээр гаралтыг бүртгэх сериал консолыг ашиглахыг хүсэж болох юм.
Бие даасан давхаргууд болон түвшингүүдийн бүрэн жагсаалт &man.acpi.4; гарын
авлагын хуудсанд байдаг.
Дибаг гаралт анхдагчаар идэвхжүүлэгдээгүй байдаг. Идэвхтэй болгохын тулд
ACPI хэрэв цөмд хөрвүүлэгдсэн бол
options ACPI_DEBUG мөрийг өөрийн цөмийн тохиргооны
файлд нэмэх хэрэгтэй. Нийтэд нь идэвхтэй болгохын тулд
/etc/make.conf-д
ACPI_DEBUG=1 мөрийг нэмж болно. Хэрэв энэ нь
модуль бол та өөрийн acpi.ko модулийг дараах
маягаар дахин хөрвүүлж болно:
&prompt.root; cd /sys/modules/acpi/acpi
&& make clean &&
make ACPI_DEBUG=1
acpi.ko-г
/boot/kernel-д суулгаад
өөрийн хүссэн давхарга болон түвшинг loader.conf-д
нэмнэ. Энэ жишээ нь ACPI-CA-ийн бүх хэсгүүд болон
бүх ACPI тоног төхөөрөмжийн драйверуудад
(CPU, LID, гэх мэт.)
зориулан дибаг мэдээллүүдийг идэвхжүүлдэг. Энэ нь зөвхөн алдааны мэдээллүүдийг
хамгийн багаар гаргаж харуулна.
debug.acpi.layer="ACPI_ALL_COMPONENTS ACPI_ALL_DRIVERS"
debug.acpi.level="ACPI_LV_ERROR"
Хэрэв таны хүссэн мэдээлэл онцгой үйл явцаар эхэлсэн бол (түр зогсоолт болон
үргэлжлүүлэлт гэж бодъё) та loader.conf-ийн
өөрчлөлтүүдийг орхиж оронд нь sysctl-ийг ашиглан
давхарга болон түвшинг ачаалсны дараа зааж онцгой үйл явцад зориулан өөрийн
системийг бэлдэж болно. sysctl-ууд нь
loader.conf дахь тохируулгуудын адилаар
нэрлэгддэг.
Лавлагаанууд
ACPI-ийн талаар дэлгэрэнгүй мэдээллийг
дараах байршлуудаас олж болно:
&a.acpi;
ACPI Захидлын Жагсаалтын Архивууд
Хуучин ACPI Захидлын Жагсаалтын Архивууд
ACPI 2.0 Тодорхойлолт
&os; Гарын авлагын хуудаснууд: &man.acpi.4;,
&man.acpi.thermal.4;, &man.acpidump.8;, &man.iasl.8;,
&man.acpidb.8;
DSDT дибаг эх үүсвэр.
(Compaq-ийг жишээ болгон хэрэглэсэн боловч ерөнхийдөө хэрэгтэй.)
diff --git a/mn_MN.UTF-8/books/handbook/disks/chapter.sgml b/mn_MN.UTF-8/books/handbook/disks/chapter.sgml
index 9bd25ccf73..4e557d44ff 100644
--- a/mn_MN.UTF-8/books/handbook/disks/chapter.sgml
+++ b/mn_MN.UTF-8/books/handbook/disks/chapter.sgml
@@ -1,4080 +1,4090 @@
Цагаанхүүгийн
Ганболд
Орчуулсан
Хадгалалт
Ерөнхий агуулга
Энэ бүлэг нь FreeBSD дээр дискнүүдийг ашиглах талаар тайлбарлах болно.
Эдгээрт санах ой дээр тулгуурласан дискнүүд, сүлжээнд залгагдсан дискнүүд,
стандарт SCSI/IDE хадгалалтын төхөөрөмжүүд болон USB интерфэйс
ашигладаг төхөөрөмжүүд багтах юм.
Энэ бүлгийг уншсаны дараа, та дараах зүйлсийг мэдэх болно:
Физик диск (хуваалтууд болон зүсмэлүүд) дээрх өгөгдлийн зохион
байгуулалтыг тайлбарладаг FreeBSD-ийн ашигладаг ухагдахуун.
Өөрийн систем дээр нэмэлт хатуу дискнүүдийг хэрхэн нэмэх талаар.
USB хадгалалтын төхөөрөмжүүдийг ашиглахын тулд &os;-г хэрхэн тохируулах талаар.
Санах ойн диск зэрэг виртуал файлын системүүдийг хэрхэн тохируулах талаар.
Дискний зайн хэрэглээг хязгаарлахын тулд ноогдлыг хэрхэн ашиглах талаар.
Дискийг халдагчдаас хамгаалж нууцлахын тулд хэрхэн шифрлэх талаар.
FreeBSD дээр CD болон DVD-г хэрхэн үүсгэж шарах талаар.
Нөөцлөлтөд зориулсан хадгалалтын төрөл бүрийн тохируулгууд.
FreeBSD дээр байдаг нөөцлөлтийн програмуудыг хэрхэн ашиглах талаар.
Уян диск уруу хэрхэн нөөцлөх талаар.
Файлын системийн хормын хувилбар гэж юу болох түүнийг хэрхэн үр дүнтэйгээр ашиглах талаар.
Энэ бүлгийг уншихаасаа өмнө та дараах зүйлсийг гүйцэтгэх хэрэгтэй:
Шинэ FreeBSD цөмийг хэрхэн тохируулж суулгах талаар мэдэх
().
Төхөөрөмжийн нэрс
Дараах нь FreeBSD-д дэмжигдсэн физик хадгалалтын төхөөрөмжүүд болон
тэдгээртэй холбоотой төхөөрөмжийн нэрсийн жагсаалт юм.
Физик диск нэрлэх заншил
Хөтчийн төрөл
Хөтчийн төхөөрөмжийн нэр
IDE хатуу хөтчүүд
ad
IDE CDROM хөтчүүд
acd
SCSI хатуу хөтчүүд болон USB Mass хадгалалтын төхөөрөмжүүд
da
SCSI CDROM хөтчүүд
cd
Төрөлжүүлсэн стандарт бус CDROM хөтчүүд
Mitsumi CD-ROM-ийн хувьд mcd ба
Sony CD-ROM хөтчүүдийн хувьд scd
Уян хөтчүүд
fd
SCSI соронзон хальсны хөтчүүд
sa
IDE соронзон хальсны хөтчүүд
ast
Flash хөтчүүд
&diskonchip; Flash хөтчийн хувьд fla
RAID хөтчүүд
&adaptec; AdvancedRAID-н хувьд aacd,
&mylex;-ийн хувьд mlxd ба mlyd,
AMI &megaraid;-ийн хувьд amrd,
Compaq Smart RAID-ийн хувьд idad,
&tm.3ware; RAID-ийн хувьд twed.
Дэйвид
О'Брайн
Анхлан хувь нэмэр болгон оруулсан
Диск нэмэх
дискнүүд
нэмэх нь
Дараах хэсэг зөвхөн нэг хөтөчтэй машинд шинэ SCSI диск хэрхэн
нэмэх талаар тайлбарлах болно. Эхлээд компьютераа унтраагаад хөтчийг
компьютер, хянагч болон хөтчийн үйлдвэрлэгчийн заавруудын дагуу суулгана.
Үүнийг хийх маш олон төрлийн процедуруудаас болоод энэ тухай дэлгэрэнгүй
мэдээлэл нь энэ баримтын хамрах хүрээнээс гадна юм.
root хэрэглэгчээр нэвтрэх хэрэгтэй. Та хөтчийг
суулгасны дараа шинэ диск олдсон эсэхийг /var/run/dmesg.boot-с
шалгаарай. Шинээр нэмсэн хөтөч нь da1 байх
бөгөөд бид үүнийг /1 дээр холбохыг хүснэ (хэрэв та IDE хөтөч
нэмж байгаа бол төхөөрөмжийн нэр нь ad1 болно).
хуваалтууд
зүсмэлүүд
fdisk
FreeBSD нь IBM-PC-тэй нийцтэй компьютеруудтай ажилладаг учраас
PC BIOS хуваалтуудыг бодолцох ёстой. Эдгээр нь уламжлалт BSD хуваалтуудаас
өөр юм. PC диск нь дөрөв хүртэлх тооны BSD хуваалттай байдаг. Хэрэв диск
нь жинхэнээрээ FreeBSD-д зориулагдах бол та dedicated буюу
зориулагдсан горимыг ашиглаж болно. Үгүй бол FreeBSD нь
PC BIOS хуваалтуудын аль нэгэн дээр байрлах болно. FreeBSD нь PC BIOS
хуваалтуудыг уламжлалт BSD хуваалтуудтай эндүүрэхгүйн тулд
зүсмэлүүд гэж нэрлэдэг. Та бас FreeBSD-д зориулагдсан
боловч өөр үйлдлийн систем суулгагдсан компьютер дээр ашигласан диск дээрх
зүсмэлүүдийг хэрэглэж болох юм. Энэ нь FreeBSD биш өөр үйлдлийн системийн
fdisk хэрэгсэлтэй андуурахаас хамгаалах нэг сайн
арга юм.
Зүсмэлийн хувьд бол хөтөч нь /dev/da1s1e
гэж нэмэгдэх болно. Үүнийг SCSI диск, нэгжийн дугаар 1 (хоёр дахь SCSI диск),
зүсмэл 1 (PC BIOS хуваалт 1) болон e BSD
хуваалт гэж уншина. Зориулагдсан тохиолдолд хөтөч нь ердөө л /dev/da1e
гэж нэмэгдэнэ.
Секторуудын тоог хадгалахын тулд 32 битийн бүхэл тоог ашигладгаас болоод
&man.bsdlabel.8; нь нэг дискний хувьд 2^32-1 сектор буюу ихэнх тохиолдолд
2TB болж хязгаарлагддаг. &man.fdisk.8; хэлбэршүүлэлт нь 2^32-1-с
ихгүй эхлэх сектор болон 2^32-1-с ихгүй уртыг зөвшөөрч хуваалтуудыг 2TB,
дискнүүдийг ихэнх тохиолдолд 4TB болгож хязгаарладаг. &man.sunlabel.8;
хэлбэршүүлэлт нь нэг хуваалтын хувьд 2^32-1 сектороор, нийтдээ 16TB-ийн
8 хуваалтаар хязгаарлагддаг. Илүү том дискнүүдийн хувьд &man.gpt.8;
хуваалтууд ашиглагдаж болох юм.
&man.sysinstall.8;-г ашиглах нь
sysinstall
дискнүүд нэмэх нь
su
<application>Sysinstall</application>-г жолоодох нь
Та sysinstall-н хялбар ашиглаж болох
цэснүүдийн тусламжтайгаар шинэ дискийг хуваан хаяглаж болох юм.
root хэрэгчээр нэвтрэх буюу эсвэл
su тушаалыг ашиглаарай.
sysinstall-г ажиллуулж
Configure цэс уруу орно.
FreeBSD Configuration Menu дотор
доош шилжиж Fdisk тохируулгыг
сонгоно.
<application>fdisk</application> хуваалт засварлагч
fdisk-ийн дотор байхдаа
A-г дарвал дискийг бүхэлд нь FreeBSD-д
ашиглах болно. Асуух үед нь хэрэв та ирээдүйд суулгаж болзошгүй
үйлдлийн системүүдтэй хамтран ажиллахаар үлдэхийг хүсвэл
YES гэж хариулаарай. W-г
ашиглан өөрчлөлтүүдийг диск уруу бичнэ. Одоо FDISK засварлагчаас
Q-г дарж гараарай. Дараа нь танаас
Master Boot Record буюу Мастер Ачаалагч Бичлэгийн
талаар асуух болно. Та ажиллаж байгаа систем дээр диск нэмж байгаа болохоор
None-г сонгох хэрэгтэй.
Дискний Шошго засварлагч
BSD хуваалтууд
Дараа нь sysinstall-с гарч дахин
түүнийг эхлүүлэх хэрэгтэй. Дээрх заавруудыг дагаарай, гэхдээ
энэ удаад Label тохируулгыг сонгоорой.
Энэ нь Disk Label Editor буюу дискний шошго засварлагч
уруу орно. Энд та уламжлалт BSD хуваалтуудыг үүсгэдэг. Диск нь
a-h гэж хаяглагдсан найм хүртэлх хуваалтуудтай
байж болно. Хуваалтын шошгонуудын цөөн хэд нь тусгай хэрэглээтэй байдаг.
a хуваалт нь root хуваалтанд (/)
ашиглагддаг. Тиймээс зөвхөн таны системийн диск (өөрөөр хэлбэл таны
ачаалалт хийсэн диск) a хуваалттай байх
ёстой. b хуваалт нь swap хуваалтуудад
хэрэглэгддэг бөгөөд та swap хуваалттай олон дисктэй байж болох юм.
c хуваалт нь зориулагдсан горимд
бүх дискийг, зүсмэлийн горимд бүхэл FreeBSD зүсмэлийг эсвэл заадаг.
Бусад хуваалтууд нь ерөнхий хэрэглээнд зориулагдсан.
sysinstall-ийн шошго засварлагч нь
root биш, swap биш хуваалтуудад зориулж e
хуваалтыг илүүтэй үздэг. Шошго засварлагч дотор байхдаа C-г
даран ганц файлын систем үүсгэх хэрэгтэй. Асуух үед, хэрэв энэ нь
FS (файлын систем) эсвэл swap байх юм бол FS-г
сонгож холбох цэгийг (өөрөөр хэлбэл /mnt) бичээрэй.
Хэрэв дискийг суулгацын дараах горимд нэмж байгаа бол
sysinstall нь танд зориулж оруулгуудыг
/etc/fstab файлд үүсгэхгүй, тиймээс таны
зааж өгсөн холбох цэг нь чухал биш юм.
Та одоо шинэ шошгыг диск уруу бичиж түүн дээр файлын систем үүсгэхэд
бэлэн боллоо. Үүнийг W-г дарж хийнэ.
sysinstall-ын шинэ хуваалтыг
холбож чадахгүй байна гэсэн алдааг өнгөрүүлэх хэрэгтэй. Шошго засварлагч
болон sysinstall-с бүр мөсөн
гараарай.
Төгсгөл
Хамгийн сүүлийн алхам нь /etc/fstab файлыг
засварлаж өөрийн шинэ дискний оруулгыг нэмэх явдал юм.
Тушаалын мөрийн хэрэгслүүдийг ашиглах нь
Зүсмэлүүдийг ашиглах нь
Энэ тохиргоо нь таны дискийг өөрийн чинь компьютер дээр суулгагдсан
байж болох бусад үйлдлийн системтэй зөв ажиллаж өөр бусад үйлдлийн системийн
fdisk хэрэгслүүдтэй эндүүрэхгүй байх боломжийг
бүрдүүлдэг. Шинэ дискийг суулгахад энэ аргыг ашиглахыг зөвлөдөг.
Хэрэв танд үнэхээр тохирох шалтгаан байгаа тохиолдолд зориулагдсан
горимыг ашиглаарай!
&prompt.root; dd if=/dev/zero of=/dev/da1 bs=1k count=1
&prompt.root; fdisk -BI da1 #Initialize your new disk
&prompt.root; bsdlabel -B -w da1s1 auto #Label it.
&prompt.root; bsdlabel -e da1s1 # Edit the bsdlabel just created and add any partitions.
&prompt.root; mkdir -p /1
&prompt.root; newfs /dev/da1s1e # Repeat this for every partition you created.
&prompt.root; mount /dev/da1s1e /1 # Mount the partition(s)
&prompt.root; vi /etc/fstab # Add the appropriate entry/entries to your /etc/fstab.
Хэрэв танд IDE диск байвал da-г
ad гэж солиорой.
Зориулагдсан
OS/2
Хэрэв та шинэ хөтчийг өөр үйлдлийн системтэй цуг хуваалцахгүй бол
зориулагдсан горимыг ашиглаж болох юм. Энэ горим нь
Microsoft үйлдлийн системийн толгойг эргүүлж болохыг санаарай; гэхдээ
тэдгээр нь ямар ч эвдрэл гэмтэл үүсгэхгүй. IBM-ийн &os2; нь харин
олсон бүх ойлгохгүй байгаа ямар ч хуваалтыг хувьдаа завших
болно.
&prompt.root; dd if=/dev/zero of=/dev/da1 bs=1k count=1
&prompt.root; bsdlabel -Bw da1 auto
&prompt.root; bsdlabel -e da1 # create the `e' partition
&prompt.root; newfs /dev/da1e
&prompt.root; mkdir -p /1
&prompt.root; vi /etc/fstab # add an entry for /dev/da1e
&prompt.root; mount /1
Өөр нэг арга нь:
&prompt.root; dd if=/dev/zero of=/dev/da1 count=2
&prompt.root; bsdlabel /dev/da1 | bsdlabel -BR da1 /dev/stdin
&prompt.root; newfs /dev/da1e
&prompt.root; mkdir -p /1
&prompt.root; vi /etc/fstab # add an entry for /dev/da1e
&prompt.root; mount /1
RAID
Програм хангамжийн RAID
Кристофер
Шамвэй
Анхлан ажилласан
Жим
Браун
Хянан тохиолдуулсан
RAIDпрограм хангамж
RAIDCCD
Нийлүүлэгдсэн Дискний Драйвер (Concatenated Disk Driver буюу CCD) тохиргоо
Бөөн хадгалалтын шийдлийг сонгохдоо бодолцох хамгийн чухал хүчин зүйлүүд нь
хурд, найдвартай байдал болон өртөг юм. Энэ гурвыг гурвууланг нь тэнцүү байлгах нь
ховор байдаг; ерөнхийдөө хурдан, найдвартай бөөн хадгалалтын төхөөрөмж нь үнэтэй
бөгөөд үнийн хувьд хямдыг сонгох нь хурд эсвэл найдвартай байдлын аль нэгийг золиослох
хэрэгтэй болдог.
Доор тайлбарласан системийг дизайн хийхдээ өртгийг хамгийн чухал хүчин зүйл гэж
сонгож авсан бөгөөд үүний дараа хурд, хурдын дараа найдвартай байдлыг
сонгосон. Энэ системийн өгөгдөл дамжуулах хурд нь эцсийн эцэст сүлжээгээр
шахагддаг. Найдвартай байдал нь маш чухал боловч доор тайлбарласан CCD
хөтөч нь CD-R-ууд дээр аль хэдийн бүтнээрээ нөөцлөгдсөн, амархнаар
солигдож болох өгөгдөлд шууд үйлчилдэг.
Өөрийн шаардлагыг тодорхойлох нь бөөн хадгалалтын шийдлийг сонгох анхны
алхам юм. Хэрэв таны шаардлага нь хурд эсвэл найдвартай байдлыг өртгөөс
илүүтэй үзэж байгаа бол таны шийдэл энэ хэсэгт тайлбарласан шийдлээс
өөр болох болно.
Тоног төхөөрөмжийг суулгах нь
IDE системийн дискнээс гадна гурван Western
Digital 30GB, 5400 RPM IDE диск нь доор тайлбарласан
CCD дискний гол цөм болж нийтдээ ойролцоогоор 90GB
шууд хадгалалт болно. Туйлын хүслээр бол IDE диск бүр өөрийн IDE
хянагч болон кабельтай байна, гэхдээ өртгийг багасгахын
тулд нэмэлт IDE хянагчууд ашиглагдаагүй болно. Харин дискнүүд нь
jumper буюу холбогчоор тохируулагдсан бөгөөд ингэснээр IDE хянагч
бүр нэг мастер болон нэг боолтой байна.
Дахин ачаалах үед системийн BIOS залгагдсан дискнүүдийг автоматаар олохоор
тохируулагдсан байдаг. Илүү чухал зүйл нь FreeBSD тэдгээрийг дахин ачаалахад
олсон явдал юм:
ad0: 19574MB <WDC WD205BA> [39770/16/63] at ata0-master UDMA33
ad1: 29333MB <WDC WD307AA> [59598/16/63] at ata0-slave UDMA33
ad2: 29333MB <WDC WD307AA> [59598/16/63] at ata1-master UDMA33
ad3: 29333MB <WDC WD307AA> [59598/16/63] at ata1-slave UDMA33
Хэрэв FreeBSD дискнүүдийг бүгдийг нь олохгүй байгаа бол
та тэдгээрийг зөвөөр холбосон эсэхээ шалгаарай. IDE хөтчүүдийн
ихэнх нь бас Cable Select
холбогчтой байдаг.
Энэ нь мастер/боол харилцаанд зориулагдсан холбогч
биш юм. Хөтчийн баримтаас зөв
холбогчийг таних талаар лавлаарай.
Дараа нь тэдгээрийг файлын системийн хэсэг болгон залгах талаар
бодох хэрэгтэй. Та &man.vinum.8; () болон &man.ccd.4; хоёуланг
судлах хэрэгтэй. Энэ тохиргооны хувьд &man.ccd.4;-г сонгосон.
CCD-г тохируулах нь
&man.ccd.4; хөтөч нь хэд хэдэн адил дискнүүдийг авч тэдгээрийг
нэг логик файл систем болгон нийлүүлэх боломжийг олгодог.
&man.ccd.4;-г ашиглахын тулд танд &man.ccd.4; дэмжлэг
цуг бүтээгдсэн цөм хэрэгтэй. Энэ мөрийг цөмийн тохиргооны файлдаа
нэмээд цөмөө дахин бүтээж суулгаарай:
device ccd
&man.ccd.4; дэмжлэг цөмийн дуудагдах модуль хэлбэрээр
бас дуудагдаж болно.
&man.ccd.4;-г тохируулахын тулд та эхлээд дискнүүдийг
хаяглах &man.bsdlabel.8;-г ашиглах ёстой:
bsdlabel -w ad1 auto
bsdlabel -w ad2 auto
bsdlabel -w ad3 auto
Энэ нь бүх дискний дагуух ad1c, ad2c болон ad3c-д зориулж bsdlabel үүсгэдэг.
Дараагийн алхам нь дискний шошгоны төрлийг өөрчлөх явдал юм.
Та дискнүүдийг засварлахдаа &man.bsdlabel.8;-г ашиглаж
болно:
bsdlabel -e ad1
bsdlabel -e ad2
bsdlabel -e ad3
Энэ нь диск бүр дэх тухайн дискний шошгыг EDITOR
орчны хувьсагчид заасан засварлагчаар, ихэнхдээ &man.vi.1;-ээр
онгойлгодог.
Өөрчлөлт хийгдээгүй дискний шошго иймэрхүү харагдах болно:
8 partitions:
# size offset fstype [fsize bsize bps/cpg]
c: 60074784 0 unused 0 0 0 # (Cyl. 0 - 59597)
&man.ccd.4;-д зориулж ашиглахаар шинэ e
хуваалтыг нэмнэ. Үүнийг ихэвчлэн c хуваалтаас хуулж
болох боловч нь 4.2BSD
байх ёстой. Дискний шошго одоо иймэрхүү харагдах
ёстой:
8 partitions:
# size offset fstype [fsize bsize bps/cpg]
c: 60074784 0 unused 0 0 0 # (Cyl. 0 - 59597)
e: 60074784 0 4.2BSD 0 0 0 # (Cyl. 0 - 59597)
Файлын системийг бүтээх нь
Та бүх дискнүүдээ хаягласны дараа &man.ccd.4;-г бүтээх
ёстой. Үүнийг хийхийн тулд дараах тохируулгуудтай адилаар
&man.ccdconfig.8;-г ашиглана:
ccdconfig ccd0 32 0 /dev/ad1e /dev/ad2e /dev/ad3e
Тохируулга бүрийн хэрэглээ болон утгыг доор харуулав:
Эхний нэмэлт өгөгдөл нь тохируулах төхөөрөмж байх бөгөөд энэ
тохиолдолд /dev/ccd0c байна.
/dev/ хэсэг байхгүй ч байж болно.
Файлын системд зориулсан interleave. interleave нь
дискний блокууд дээрх судлын хэмжээг тодорхойлдог бөгөөд нэг бүр нь
ихэвчлэн 512 байт байдаг. Тэгэхээр 32 interleave нь 16,384 байт
байна.
&man.ccdconfig.8;-д зориулсан тугнууд. Хэрэв та хөтчийг
толин тусгал үүсгэж идэвхжүүлэхийг хүсвэл тугийг энд зааж өгч
болно. Энэ тохиргоо нь &man.ccd.4;-н хувьд толин тусгал
үүсгэлтийг хангадаггүй учир энэ нь 0 (тэг) гэж тохируулагдсан.
&man.ccdconfig.8; уруу өгөгдөх сүүлийн нэмэлт өгөгдлүүд нь
массивт оруулах төхөөрөмжүүд юм. Төхөөрөмж бүрийн хувьд бүрэн
гүйцэд замын нэрийг ашиглах хэрэгтэй.
&man.ccdconfig.8;-г ажиллуулсны дараа &man.ccd.4; тохируулагдана.
Файлын систем суулгагдаж болно. Тохируулгуудын талаар &man.newfs.8;-с
лавлана уу, эсвэл ердөө л ингэж ажиллуулна:
newfs /dev/ccd0c
Бүгдийг автомат болгох нь
Ерөнхийдөө та &man.ccd.4;-г дахин ачаалах бүртээ холбохыг хүснэ.
Үүнийг хийхийн тулд та эхлээд тохируулах хэрэгтэй. Өөрийн одоогийн
тохиргоогоо дараах тушаал ашиглаж /etc/ccd.conf
уруу бичих хэрэгтэй:
ccdconfig -g > /etc/ccd.conf
Дахин ачаалах үед скрипт /etc/rc нь
хэрэв /etc/ccd.conf байвал
ccdconfig -C тушаалыг ажиллуулна.
Энэ нь &man.ccd.4;-г холбож болохоор болгож
автоматаар тохируулна.
Хэрэв та ганц хэрэглэгчийн горим уруу ачаалж байгаа бол
&man.ccd.4;-г &man.mount.8; хийхээсээ өмнө массивыг
тохируулахын тулд дараах тушаалыг ажиллуулах
шаардлагатай:
ccdconfig -C
&man.ccd.4;-г автоматаар холбохын тулд &man.ccd.4;-н оруулгыг
/etc/fstab файлд байрлуулах хэрэгтэй. Ингэсэн
тохиолдолд энэ нь ачаалах үед холбогдох болно:
/dev/ccd0c /media ufs rw 2 2
Vinum Эзлэхүүн Менежер
RAIDпрограм хангамж
RAID
Vinum
Vinum Эзлэхүүн Менежер нь виртуал диск хөтчийг хийдэг блок төхөөрөмжийн драйвер
юм. Энэ нь дискний тоног төхөөрөмжийг блок төхөөрөмжийн интерфэйсээс
тусгаарлаж уян хатан байдал, ажиллагаа болон найдвартай байдлыг дискний
хадгалалтын уламжлалт зүсмэлийн харагдалтаас илүүтэйгээр хангах тийм аргаар
өгөгдлийг дүрсэлдэг. &man.vinum.8; нь RAID-0, RAID-1 болон RAID-5
загваруудыг тус бүрт нь болон холбоотой байдлаар нь шийддэг.
&man.vinum.8;-ийн талаар дэлгэрэнгүй мэдээллийг
-с үзнэ үү.
Тоног төхөөрөмжийн RAID
RAID
тоног төхөөрөмж
FreeBSD нь бас төрөл бүрийн тоног төхөөрөмжийн RAID
хянагчуудыг дэмждэг. Эдгээр төхөөрөмжүүд нь FreeBSD-д зориулсан тусгай програм
хангамжаар массивыг удирдах шаардлагагүйгээр RAID дэд
системийг хянадаг.
Карт дээрх BIOS-г ашиглан карт нь дискний үйлдлүүдийн
ихэнхийг өөрөө хянадаг. Дараах нь Promise IDE RAID
хянагчийг ашиглах тохиргооны товч тайлбар юм. Энэ карт суулгагдаж систем эхлэх үед
мэдээллийг хүсэх мөрийг харуулна. Картны тохиргооны дэлгэц уруу орохын тулд
заавруудыг дагана. Эндээс залгагдсан бүх хөтчүүдийг нэгтгэх боломж танд байх
болно. Ингэж хийснийхээ дараа диск(нүүд) нь FreeBSD-д нэг хөтөч шиг харагдах
болно. Бусад RAID түвшингүүдийг бас
тохируулж болно.
ATA RAID1 массивуудыг дахин бүтээх нь
FreeBSD нь массив дахь гэмтсэн, ажиллагаагүй болсон дискийг шууд солих боломжийг
олгодог. Энэ нь дахин ачаалахаасаа өмнө таныг ийм асуудлыг мэдэхийг шаарддаг.
Та магадгүй доор дурдсантай адилыг /var/log/messages эсвэл
&man.dmesg.8; гаралт дээр харж болох юм:
ad6 on monster1 suffered a hard error.
ad6: READ command timeout tag=0 serv=0 - resetting
ad6: trying fallback to PIO mode
ata3: resetting devices .. done
ad6: hard error reading fsbn 1116119 of 0-7 (ad6 bn 1116119; cn 1107 tn 4 sn 11)\\
status=59 error=40
ar0: WARNING - mirror lost
&man.atacontrol.8; ашиглан дэлгэрэнгүй мэдээллийг шалгана:
&prompt.root; atacontrol list
ATA channel 0:
Master: no device present
Slave: acd0 <HL-DT-ST CD-ROM GCR-8520B/1.00> ATA/ATAPI rev 0
ATA channel 1:
Master: no device present
Slave: no device present
ATA channel 2:
Master: ad4 <MAXTOR 6L080J4/A93.0500> ATA/ATAPI rev 5
Slave: no device present
ATA channel 3:
Master: ad6 <MAXTOR 6L080J4/A93.0500> ATA/ATAPI rev 5
Slave: no device present
&prompt.root; atacontrol status ar0
ar0: ATA RAID1 subdisks: ad4 ad6 status: DEGRADED
Та дискийг аюулгүйгээр салган авахын тулд эхлээд ata сувгийг
ажиллахгүй байгаа дисктэй цуг салгана:
&prompt.root; atacontrol detach ata3
Дискийг сольно.
ata сувгийг дахин залгана:
&prompt.root; atacontrol attach ata3
Master: ad6 <MAXTOR 6L080J4/A93.0500> ATA/ATAPI rev 5
Slave: no device present
Шинэ дискийг массивт нөөц маягаар нэмнэ:
&prompt.root; atacontrol addspare ar0 ad6
Массивыг дахин бүтээнэ:
&prompt.root; atacontrol rebuild ar0
Дараах тушаалыг ашиглаж үйл явцыг шалгаж болно:
&prompt.root; dmesg | tail -10
[output removed]
ad6: removed from configuration
ad6: deleted from ar0 disk1
ad6: inserted into ar0 disk1 as spare
&prompt.root; atacontrol status ar0
ar0: ATA RAID1 subdisks: ad4 ad6 status: REBUILDING 0% completed
Энэ үйлдэл хийгдэж дуустал хүлээх хэрэгтэй.
Марк
Фонвил
Хувь нэмэр болгон оруулсан
USB хадгалалтын төхөөрөмжүүд
USB
дискнүүд
Одоо үед маш олон гадаад хадгалалтын шийдлүүд байгаа бөгөөд
Universal Serial Bus (USB): хатуу хөтчүүд, USB хуруун хөтчүүд,
CD-R шарагчид зэргийг ашигладаг. &os; нь эдгээр төхөөрөмжүүдийн
дэмжлэгийг хангадаг.
Тохиргоо
USB бөөн хадгалалтын төхөөрөмжүүдийн драйвер &man.umass.4; нь
USB хадгалалтын төхөөрөмжүүдийн дэмжлэгийг хангадаг. Хэрэв та
GENERIC цөм ашиглавал өөрийн тохиргоондоо юу
ч өөрчлөх шаардлагагүй. Хэрэв та өөрчлөн тохируулсан цөм ашиглах бол
таны цөмийн тохиргооны файлд дараах мөрүүд байгаа эсэхийг
шалгаарай:
device scbus
device da
device pass
device uhci
device ohci
device ehci
device usb
device umass
&man.umass.4; драйвер нь USB хадгалалтын төхөөрөмжүүдэд хандахын
тулд SCSI дэд системийг хэрэглэдэг бөгөөд таны USB төхөөрөмж системд
SCSI төхөөрөмж маягаар харагдах болно. Таны эх хавтан дээрх USB бичил
схемээс хамаарч USB 1.X-ийн дэмжлэгийн хувьд танд зөвхөн device
uhci эсвэл device ohci хоёрын аль нэг
хэрэгтэй болно, гэхдээ хоёуланг нь цөмийн тохиргоондоо байлгах нь гэмгүй юм.
USB 2.0 хянагчуудад зориулсан дэмжлэгийг &man.ehci.4; драйвер
(device ehci мөр) хангадаг.
Хэрэв та ямар нэг мөр нэмсэн бол шинэ цөмөө эмхэтгэж суулгахаа битгий
мартаарай.
Хэрэв таны USB төхөөрөмж чинь CD-R эсвэл DVD шарагч бол
SCSI CD-ROM драйвер &man.cd.4;-г цөмд дараах мөрийн тусламжтай
нэмэх ёстой:
device cd
Шарагч нь SCSI хөтөч гэж харагддаг учир &man.atapicam.4;
драйверийг цөмийн тохиргоонд ашиглах ёсгүй.
Тохиргоог тест хийх нь
Тохиргоог тест хийхэд бэлэн боллоо: өөрийн USB төхөөрөмжийг залгахад
системийн мэдэгдлийн буферт (&man.dmesg.8;) хөтөч нь иймэрхүү
харагдах ёстой:
umass0: USB Solid state disk, rev 1.10/1.00, addr 2
GEOM: create disk da0 dp=0xc2d74850
da0 at umass-sim0 bus 0 target 0 lun 0
da0: <Generic Traveling Disk 1.11> Removable Direct Access SCSI-2 device
da0: 1.000MB/s transfers
da0: 126MB (258048 512 byte sectors: 64H 32S/T 126C)
Мэдээж хэрэг үйлдвэрлэгч, төхөөрөмжийн цэг (da0)
болон бусад зүйлс таны тохиргооноос хамаараад өөр байж болно.
USB төхөөрөмж нь SCSI төхөөрөмж гэж харагддаг болохоор
camcontrol тушаалыг ашиглаж системд холбогдсон
USB хадгалалтын төхөөрөмжүүдийн жагсаалтыг харуулж болно:
&prompt.root; camcontrol devlist
<Generic Traveling Disk 1.11> at scbus0 target 0 lun 0 (da0,pass0)
Хэрэв хөтөч нь файлын системтэй ирвэл та түүнийг холбож чадна.
хэсэг нь хэрэв шаардлагатай бол
USB хөтчийг хэлбэршүүлж түүн дээр хуваалт үүсгэхэд танд туслах
болно.
Дурын төхөөрөмжийг итгэлгүй хэрэглэгчдэд холбох боломжийг
олгох нь өөрөөр хэлбэл vfs.usermount-ийг доор
тайлбарласнаар идэвхжүүлэх нь аюулгүй байдлын үүднээс авч үзвэл
аюултай юм. &os; дээрх ихэнх файлын систем нь хортой төхөөрөмжийн
эсрэг хамгаалалтгүй байдаг.
Энэ төхөөрөмжийг энгийн хэрэглэгч холбож чаддагаар болгохын тулд
тодорхой алхмуудыг хийх хэрэгтэй. Эхлээд USB хадгалалтын төхөөрөмж
холбогдсон үед үүссэн төхөөрөмжүүдэд хэрэглэгч хандаж болохоор байх
хэрэгтэй. Үүний шийдэл нь эдгээр төхөөрөмжүүдийн бүх хэрэглэгчдийг
operator бүлгийн гишүүн болгох явдал
юм. Үүнийг &man.pw.8;-ээр хийнэ. Хоёрдугаарт төхөөрөмжүүд нь
үүсэх үед operator бүлэг тэдгээрийг
уншиж бичиж чадаж байх ёстой. Тохирох мөрүүдийг
/etc/devfs.rules файлд
нэмснээр үүнийг хийж болно:
[localrules=5]
add path 'da*' mode 0660 group operator
Хэрэв системд SCSI дискнүүд байгаа бол үүнийг арай өөрөөр хийх
ёстой. Өөрөөр хэлбэл хэрэв систем нь аль хэдийн da0-ээс
da2 хүртэлх холбогдсон дискнүүдийг
агуулж байвал хоёр дахь мөрийг дараах маягаар солих хэрэгтэй:
add path 'da[3-9]*' mode 0660 group operator
Энэ нь байгаа дискнүүдийг operator
бүлэгт хамааруулахгүй болгоно.
Та бас өөрийн &man.devfs.rules.5; дүрмийн олонлогийг
/etc/rc.conf файлд идэвхжүүлэх
хэрэгтэй:
devfs_system_ruleset="localrules"
Дараа нь цөм нь ердийн хэрэглэгчдэд файлын системийг холбох боломжтойгоор
тохируулагдах ёстой. Хамгийн хялбар арга бол /etc/sysctl.conf-д
мөр нэмэх явдал юм:
vfs.usermount=1
Дараагийн дахин ачаалалтын дараа энэ нь идэвхжихийг санаарай.
Өөрөөр энэ хувьсагчийг тохируулахын тулд &man.sysctl.8;-г ашиглаж
болох юм.
Төгсгөлийн алхам нь файлын систем холбогдох санг үүсгэх явдал юм.
Энэ санг файлын системийг холбох хэрэглэгч эзэмшсэн байх хэрэгтэй.
Үүнийг хийх нэг арга нь root-ийн хувьд
тэр хэрэглэгчийн эзэмшсэн дэд санг
/mnt/username
(username-г тухайн хэрэглэгчийнхээ нэвтрэх
нэрээр болон usergroup-г хэрэглэгчийнхээ үндсэн
бүлгийн нэрээр солиорой) гэж үүсгэх явдал юм:
&prompt.root; mkdir /mnt/username
&prompt.root; chown username:usergroup /mnt/username
USB хуруун хөтөч залгагдаж /dev/da0s1 төхөөрөмж
гарч иржээ гэж бодъё. Эдгээр төхөөрөмжүүд нь ихэвчлэн FAT файлын системээр
хэлбэршүүлэгдсэн ирдэг бөгөөд эдгээрийг иймэрхүү маягаар холбож
болно:
&prompt.user; mount -t msdosfs -m=644 -M=755 /dev/da0s1 /mnt/username
Хэрэв та төхөөрөмжийг залгаснаа салгавал (дискийг урьдаар салгах ёстой)
та системийн мэдэгдлийн буфераас доор дурдсантай төстэй мэдэгдлийг
харах ёстой:
umass0: at uhub0 port 1 (addr 2) disconnected
(da0:umass-sim0:0:0:0): lost device
(da0:umass-sim0:0:0:0): removing device entry
GEOM: destroy disk da0 dp=0xc2d74850
umass0: detached
Нэмэлт унших материалууд
Диск нэмэх болон
Файлын системүүдийг холбох болон салгах
хэсгүүдээс гадна төрөл бүрийн гарын авлагын хуудаснуудыг унших нь хэрэгтэй
байж болох юм: &os; 8.X-ийн хувьд &man.umass.4;, &man.camcontrol.8;, болон &man.usbconfig.8;
эсвэл &os;-ийн өмнөх хувилбаруудын хувьд &man.usbdevs.8; байна.
Майк
Мэйэр
Хувь нэмэр болгон оруулсан
Оптик зөөвөрлөгчийг (CD-үүд) үүсгэж ашиглах нь
CDROM-ууд
үүсгэх нь
Танилцуулга
CD-үүд нь тэдгээрийг ердийн дискнүүдээс ялгах хэд хэдэн боломжуудтай
байдаг. Эхлээд хэрэглэгч CD дээр бичих боломжгүй байсан. Тэдгээр нь
замуудын хооронд толгойг шилжүүлэхдээ сааталгүйгээр үргэлжлэн уншдагаар
хийгджээ. Тэр үед байсан адил хэмжээтэй зөөвөрлөгчийг зөөхөөс тэдгээрийг
систем хооронд зөөх нь хамаагүй хялбар байдаг.
CD-үүд нь замтай байдаг боловч энэ нь дискний физик хэсэг биш харин
үргэлжлэн уншигдах өгөгдлийн хэсгийг хэлдэг. FreeBSD дээр CD үүсгэхдээ
CD дээр замууд үүсгэх өгөгдлийн файлуудыг бэлдэж дараа нь замуудыг CD
уруу бичнэ.
ISO 9660
файлын системүүд
ISO 9660
ISO 9660 файлын систем нь эдгээр ялгаануудтай ажиллахаар хийгдсэн.
Энэ нь тэр үед нийтлэг байсан файлын системийн хязгааруудыг харамсалтай нь
кодчилдог. Азаар энэ нь зөв бичигдсэн CD-үүдэд тэдгээр хязгааруудыг давж гарахыг
зөвшөөрөх өргөтгөлөөр хангадаг бөгөөд тэдгээр өргөтгөлүүдийг дэмждэггүй системүүдтэй
ажиллаж чадсан хэвээр байдаг.
sysutils/cdrtools
sysutils/cdrtools
портод ISO 9660 файлын системийг агуулах өгөгдлийн файлыг үүсгэдэг програм
&man.mkisofs.8; байдаг. Энэ нь төрөл бүрийн өргөтгөлүүдийг дэмждэг
тохируулгуудтай бөгөөд доор тайлбарлагдсан болно.
CD шарагч
ATAPI
CD шарахдаа ямар хэрэгслийг ашиглах нь таны CD шарагч ATAPI юу аль эсвэл өөр үү
гэдгээс шалтгаална. ATAPI CD шарагчид нь үндсэн системийн burncd програмыг ашигладаг.
SCSI болон USB CD шарагчид нь sysutils/cdrtools
портын cdrecord-г
ашиглах ёстой. Мөн ATAPI тоног төхөөрөмж дээр SCSI хөтчүүдийн хувьд
ATAPI/CAM модул ашиглан
cdrecord-г
хэрэглэх боломжтой байдаг.
Хэрэв та график хэрэглэгчийн интерфэйстэй CD шарагч програм хангамжийг
хүсэж байгаа бол X-CD-Roast эсвэл
K3b-г үзээрэй. Эдгээр хэрэгслүүд нь
багц хэлбэрээр эсвэл sysutils/xcdroast болон sysutils/k3b портуудад байдаг.
X-CD-Roast болон
K3b нь ATAPI тоног төхөөрөмж дээр
ATAPI/CAM модулийг шаарддаг.
mkisofs
sysutils/cdrtools портын
хэсэг &man.mkisofs.8; програм нь &unix;-ийн файлын системийн нэрийн талбар
дахь сангийн модны дүрс болох ISO 9660 файлын системийг үүсгэдэг.
Хамгийн хялбар хэрэглээ нь:
&prompt.root; mkisofs -o imagefile.iso /path/to/tree
файлын системүүд
ISO 9660
Энэ тушаал нь /path/to/tree дахь
модны хуулбар ISO 9660 файлын системийг агуулах
imagefile.iso файлыг үүсгэх болно.
Энэ процессод файлын нэрсийг ISO 9660 файлын системийн стандартын
хязгаарлалтуудад багтах нэрсэд тааруулах бөгөөд ISO файлын системүүдэд
байдаггүй нэрс бүхий файлуудыг оруулахгүй байх болно.
файлын системүүд
HFS
файлын системүүд
Joliet
Тэдгээр хязгаарлалтуудыг давж гарах хэд хэдэн тохируулгууд байдаг.
Ялангуяа тохируулга &unix; системүүдэд
нийтлэг байдаг Rock Ridge өргөтгөлүүдийг идэвхжүүлдэг,
нь Microsoft системүүдэд хэрэглэгддэг Joilet өргөтгөлүүдийг идэвхжүүлдэг
бөгөөд нь &macos;-д хэрэглэгддэг HFS файлын
системүүдийг үүсгэхэд ашиглагддаг.
Зөвхөн FreeBSD системүүдэд ашиглагдах CD-үүдийн хувьд
тохируулга бүх файлын нэрийн хязгаарлалтуудыг хаахад ашиглагдаж болно.
тохируулгатай хэрэглэгдэх үед энэ нь таны эхэлсэн
FreeBSD-ийн модтой ижил файлын системийн дүрсийг үүсгэдэг, гэхдээ энэ нь
ISO 9660 стандартыг хэд хэдэн замаар зөрчиж болох юм.
CDROM-ууд
ачаалагддаг үүсгэх
Ердийн хэрэглээний сүүлийн тохируулга нь юм.
Энэ нь ачаалагдах El Torito
CD-г үүсгэхэд хэрэглэгдэх
ачаалагдах дүрсний байрлалыг заахад ашиглагддаг. Энэ тохируулга нь
CD уруу бичигдэх модны дээд хэсгийн ачаалагдах дүрс хүрэх замыг заах
нэмэлт өгөгдлийг авдаг. Анхдагчаар &man.mkisofs.8; нь
floppy disk emulation буюу уян дискний эмуляц
гэж
нэрлэгддэг горимд ISO дүрсийг үүсгэдэг бөгөөд ачаалагдах дүрсийг яг
1200, 1440, эсвэл 2880 KB хэмжээтэй байна гэж тооцдог.
FreeBSD түгээлтийн дискнүүдэд хэрэглэгддэг ачаалагч дуудагч зэрэг зарим
ачаалагч дуудагчид нь эмуляц горимыг ашигладаггүй; энэ тохиолдолд
тохируулгыг ашиглах шаардлагатай.
Тэгэхээр хэрэв /tmp/myboot нь ачаалагдах
FreeBSD системийг /tmp/myboot/boot/cdboot
дэх ачаалагдах дүрстэй цуг агуулж байвал та ISO 9660 файлын системийн
дүрсийг /tmp/bootable.iso-д иймэрхүү
маягаар үүсгэж болох юм:
&prompt.root; mkisofs -R -no-emul-boot -b boot/cdboot -o /tmp/bootable.iso /tmp/myboot
Үүнийг хийснийхээ дараа хэрэв та цөмдөө md-г
тохируулсан бол файлын системийг ингэж холбож болно:
&prompt.root; mdconfig -a -t vnode -f /tmp/bootable.iso -u 0
&prompt.root; mount -t cd9660 /dev/md0 /mnt
Энэ үед та /mnt болон
/tmp/myboot нь ижил болохыг шалгаж болно.
&man.mkisofs.8;-ийн ажиллагааг нарийн тааруулахын тулд та түүний
бусад олон тохируулгуудыг ашиглаж болно. Ялангуяа ISO 9660-ийн байрлал
болон Joilet ба HFS дискнүүдийн үүсгэлтэд өөрчлөлтүүд хийж болно.
Дэлгэрэнгүйг &man.mkisofs.8;-ийн гарын авлагын хуудаснаас үзнэ үү.
burncd
CDROM-ууд
шарах
Хэрэв танд ATAPI CD шарагч байгаа бол та ISO дүрсийг CD уруу шарахдаа
burncd тушаалыг ашиглаж болно.
burncd нь үндсэн системийн хэсэг бөгөөд
/usr/sbin/burncd гэж суулгагдсан байдаг. Энэ нь
цөөн тохируулгуудтай болохоор хэрэглэхэд их хялбар байдаг:
&prompt.root; burncd -f cddevice data imagefile.iso fixate
Дээрх тушаал нь imagefile.iso-н
хуулбарыг cddevice уруу шарах болно.
Анхдагч төхөөрөмж нь /dev/acd0 юм.
Бичих хурд, шарсны дараа CD-г гаргах болон аудио өгөгдөл бичихийг заах
тохируулгуудын талаар &man.burncd.8;-с үзнэ үү.
cdrecord
Хэрэв танд ATAPI CD шарагч байхгүй бол та өөрийн CD-үүдийг шарахын
тулд cdrecord-г ашиглах шаардлагатай.
cdrecord нь үндсэн системд байдаггүй; та үүнийг
sysutils/cdrtools дахь
портоос эсвэл тохирох багцаас суулгах ёстой. Үндсэн системд хийгдсэн
өөрчлөлт нь энэ програмын хоёртын хувилбарыг ажиллахгүй болгож, магадгүй
асуудалд (coaster)
хүргэж болох юм.
Тийм болохоор та өөрийн системээ шинэчлэхдээ портоо бас шинэчлэх эсвэл хэрэв
та -STABLE салбарыг дагаж байгаа бол
портыг шинэ хувилбар гарахад нь шинэчлэх хэрэгтэй.
cdrecord нь олон тохируулгатай байдаг боловч
үндсэн хэрэглээ нь burncd-с бүр илүү хялбар байдаг.
ISO 9660 дүрсийг шарахдаа:
&prompt.root; cdrecord dev=device imagefile.iso
cdrecord-г хэрэглэхэд гардаг нэг заль нь
тохируулгыг олох явдал юм. Зөв тохиргоог олохын
тулд cdrecord-ийн
тугийг хэрэглэх хэрэгтэй бөгөөд энэ нь иймэрхүү үр дүнд хүргэж болох юм:
CDROM-ууд
шарах
&prompt.root; cdrecord -scanbus
Cdrecord-Clone 2.01 (i386-unknown-freebsd7.0) Copyright (C) 1995-2004 Jörg Schilling
Using libscg version 'schily-0.1'
scsibus0:
0,0,0 0) 'SEAGATE ' 'ST39236LW ' '0004' Disk
0,1,0 1) 'SEAGATE ' 'ST39173W ' '5958' Disk
0,2,0 2) *
0,3,0 3) 'iomega ' 'jaz 1GB ' 'J.86' Removable Disk
0,4,0 4) 'NEC ' 'CD-ROM DRIVE:466' '1.26' Removable CD-ROM
0,5,0 5) *
0,6,0 6) *
0,7,0 7) *
scsibus1:
1,0,0 100) *
1,1,0 101) *
1,2,0 102) *
1,3,0 103) *
1,4,0 104) *
1,5,0 105) 'YAMAHA ' 'CRW4260 ' '1.0q' Removable CD-ROM
1,6,0 106) 'ARTEC ' 'AM12S ' '1.06' Scanner
1,7,0 107) *
Энэ нь жагсаалтан дахь төхөөрөмжүүдийн хувьд тохирох утгыг
жагсаадаг. Өөрийн CD шарагчийг олохын тулд тохируулгын
утгад гурван дугаарыг таслалаар тусгаарлан хэрэглэнэ. Энэ тохиолдолд CRW төхөөрөмж
нь 1,5,0, байх бөгөөд тохирох оролт нь болно.
Энэ утгыг заах амархан аргууд байдаг; дэлгэрэнгүйг &man.cdrecord.1;-с үзнэ үү.
Мөн тэндээс аудио замуудыг бичих, хурдыг хянах болон бусад зүйлүүдийн тухай
мэдээллийг үзэж болно.
Аудио CD-үүдийг хувилах
Та аудио өгөгдлийг CD-ээс файлуудын цуваа болгон задалж дараа нь эдгээр
файлуудыг хоосон CD дээр бичин аудио CD-г хувилж болно. Энэ процесс нь ATAPI болон
SCSI хөтчүүдийн хувьд нэлээн өөр байдаг.
SCSI хөтчүүд
Аудиог cdda2wav ашиглан задлана.
&prompt.user; cdda2wav -v255 -D2,0 -B -Owav
cdrecord ашиглан .wav
файлуудыг бичнэ.
&prompt.user; cdrecord -v dev=2,0 -dao -useinfo *.wav
хэсэгт тайлбарласны дагуу
2,0 гэж зөв заагдсан эсэхийг
шалгаарай.
ATAPI хөтчүүд
+
+ ATAPI/CAM модулийн тусламжтай
+ cdda2wav тушаал ATAPI хөтчүүд дээр
+ ашиглагдаж болно. Энэ хэрэгсэл нь доор санал болгож
+ байгаа аргыг бодвол ихэнх хэрэглэгчдийн хувьд
+ ихэвчлэн илүүтэй сонголт байдаг (доргио засварлалт,
+ төгсгөгчийн асуудал гэх мэт).
+
+
ATAPI CD драйвер нь зам бүрийг
/dev/acddtnn
маягаар болгодог бөгөөд d нь хөтчийн
дугаар ба nn нь шаардлагатай бол урдаа 0 тавьж
хоёр оронтой тоогоор бичигдсэн замын дугаар юм. Тэгэхээр эхний диск дээрх
эхний зам нь /dev/acd0t01, хоёр дахь нь
/dev/acd0t02, гурав дахь нь
/dev/acd0t03 гэх мэтчилэн байна.
Тохирох файлууд /dev санд байгаа эсэхийг
шалгаарай. Хэрэв оруулгууд байхгүй байгаа бол зөөвөрлөгчийг
дахин үзэхээр системийг хүчлэх хэрэгтэй:
&prompt.root; dd if=/dev/acd0 of=/dev/null count=1
Зам бүрийг &man.dd.1; ашиглан задална. Файлуудыг задлахдаа
та тусгай блокийн хэмжээг бас ашиглах ёстой.
&prompt.root; dd if=/dev/acd0t01 of=track1.cdr bs=2352
&prompt.root; dd if=/dev/acd0t02 of=track2.cdr bs=2352
...
Задалсан файлуудаа диск уруу burncd ашиглан
шарна. Та эдгээрийг аудио файл гэж зааж өгөх хэрэгтэй бөгөөд
burncd нь дуусахдаа дискийг бэхжүүлэх
ёстой.
&prompt.root; burncd -f /dev/acd0 audio track1.cdr track2.cdr ... fixate
Өгөгдлийн CD-үүдийг хувилах
Та өгөгдлийн CD-г &man.mkisofs.8;-р үүсгэсэн дүрс файлтай
ажиллагааны хувьд адилхан дүрс файл уруу хуулж болох бөгөөд та үүнийг
ямар ч өгөгдлийн CD хувилахад ашиглаж болно. Энд өгөгдсөн жишээ нь
таны CDROM төхөөрөмжийг acd0 гэж
үзэх болно. Өөрийн зөв CDROM төхөөрөмжөөр солиорой.
&prompt.root; dd if=/dev/acd0 of=file.iso bs=2048
Одоо та нэгэнт дүрстэй болсон болохоор үүнийг CD уруу дээр тайлбарласны
дагуу шарж болно.
Өгөгдлийн CD-үүдийг ашиглах
Одоо та стандарт өгөгдлийн CDROM үүсгэсэн болохоор түүнийг
холбож түүн дээрх өгөгдлийг уншихыг хүсэх байх. Анхдагчаар
&man.mount.8; нь файлын системийг ufs
төрлийнх гэж үздэг. Хэрэв та доорх шиг оролдвол:
&prompt.root; mount /dev/cd0 /mnt
Incorrect super block гэж
гомдоллохыг та харах бөгөөд холболт хийгдэхгүй байх болно. CDROM нь
UFS файлын систем биш, тэгэхээр ингэж
холбохыг оролдох нь амжилтгүй болох болно. Та &man.mount.8;-д
файлын системийн төрөл нь ISO9660 гэж
зааж өгөхөд л бүгд ажиллах болно. Та
тохируулгыг &man.mount.8;-д өгч үүнийг хийнэ. Жишээ нь хэрэв та
CDROM төхөөрөмж /dev/cd0-г
/mnt-д холбохыг хүсвэл дараах тушаалыг
ажиллуулах болно:
&prompt.root; mount -t cd9660 /dev/cd0 /mnt
Таны төхөөрөмжийн нэр (энэ жишээн дээр /dev/cd0)
таны CDROM ямар интерфэйс ашиглаж байгаагаас хамааран өөр байж болох юм.
Мөн тохируулга нь ердөө л
&man.mount.cd9660.8;-г ажиллуулдаг. Дээрх жишээг ингэж богиносгож
болно:
&prompt.root; mount_cd9660 /dev/cd0 /mnt
Та ерөнхийдөө энэ аргаар ямар ч үйлдвэрлэгчийн өгөгдлийн CDROM-уудыг
ашиглаж болно. Гэхдээ зарим нэг ISO 9660 өргөтгөлүүдтэй дискнүүд хачин ажиллаж
болох юм. Жишээ нь Joilet дискнүүд нь бүх файлын нэрсийг хоёр байт Юникод
тэмдэгтээр хадгалдаг. FreeBSD цөм нь Юникодоор ярьдаггүй, гэхдээ
&os;-ийн CD9660 драйвер Юникод тэмдэгтүүдийг шууд хувиргаж чаддаг.
Хэрэв зарим нэг Англи бус тэмдэгтүүд асуултын тэмдэг хэлбэрээр харагдвал
та ашиглаж байгаа локал тэмдэгтийн олонлогоо
тохируулгаар зааж өгөх хэрэгтэй. Дэлгэрэнгүй мэдээллийг
&man.mount.cd9660.8; гарын авлагын хуудаснаас лавлана уу.
Энэ тэмдэгтийн хувиргалтыг тохируулгын
тусламжтай хийхийн тулд цөм cd9660_iconv.ko
модулийг дуудсан байхыг шаардах болно. Энэ мөрийг
loader.conf файлд нэмж үүнийг:
cd9660_iconv_load="YES"
гэж хийн машиныг дахин ачаалах буюу эсвэл модулийг &man.kldload.8;-н
тусламжтай дуудан хийж болох юм.
Хааяа таныг CDROM-г холбохыг оролдох үед Device not
configured гэсэн алдаа гарч болох юм. Энэ нь ихэнхдээ
CDROM хөтөч нь төхөөрөмжид диск байхгүй эсвэл хөтөч нь шугаманд (bus)
харагдахгүй байна гэж үзэж байна гэсэн үг юм. CDROM хөтөч нь
хоёр секундын дотор үүнийг мэддэг болохоор тэвчээртэй байгаарай.
Шугамын дахин тогтоолтод хариу өгөх хангалттай хугацаа байхгүйн улмаас
заримдаа SCSI CDROM-ийг олохгүй байж болох юм. Хэрэв та SCSI CDROM-той
бол та дараах тохируулгыг цөмийн тохиргоондоо нэмж
өөрийн цөмийг дахин бүтээнэ үү.
options SCSI_DELAY=15000
Энэ нь таны SCSI шугамд ачаалах үедээ 15 секунд түр саатахыг хэлж өгөх бөгөөд
ингэснээр шугамын дахин тогтоолтод таны CDROM хөтчөөр хариу өгүүлэхийн тулд
бүх байж болох боломжийг түүнд өгч байна гэсэн үг юм.
Түүхий өгөгдлийн CD-үүдийг шарах
Та ISO 9660 файлын системийг үүсгэлгүйгээр файлыг CD уруу шууд
шарахаар сонгож болно. Зарим хүмүүс үүнийг нөөцлөх зорилгоор хийдэг.
Энэ нь стандарт CD-г шарахаас илүү хурдан ажилладаг:
&prompt.root; burncd -f /dev/acd1 -s 12 data archive.tar.gz fixate
Тийм CD-д шарагдсан өгөгдлийг авахын тулд та түүхий төхөөрөмжийн
цэгээс өгөгдлийг унших ёстой:
&prompt.root; tar xzvf /dev/acd1
Та энэ дискийг ердийн CDROM-ийг холбодог шиг холбож чадахгүй.
Ийм CDROM нь FreeBSD-ээс өөр ямар ч үйлдлийн систем дээр уншигдахгүй.
Хэрэв та CD-гээ холбохыг эсвэл өөр үйлдлийн системтэй өгөгдлөө
хуваалцах хүсэлтэй байгаа бол дээр тайлбарласны дагуу &man.mkisofs.8;-г
ашиглах ёстой.
Марк
Фонвил
Хувь нэмэр болгон оруулсан
CD шарагч
ATAPI/CAM драйвер
ATAPI/CAM драйверийг ашиглах
Энэ драйвер нь ATAPI төхөөрөмжүүдэд (CD-ROM, CD-RW, DVD
хөтчүүд гэх мэт...) SCSI дэд системээр хандах боломжийг олгох
бөгөөд ингэснээр sysutils/cdrdao
эсвэл &man.cdrecord.1; зэрэг програмуудыг ашиглах боломжийг
олгодог.
Энэ драйверыг ашиглахын тулд та дараах мөрийг
/boot/loader.conf файл уруу нэмэх хэрэгтэй
болно:
atapicam_load="YES"
тэгээд өөрийн машинаа дахин ачаална.
Хэрэв та өөрийн цөмдөө &man.atapicam.4; дэмжлэгийг статикаар
эмхэтгэхийг хүсвэл энэ мөрийг өөрийн цөмийн тохиргооны файлдаа
нэмэх хэрэгтэй болно:
device atapicam
Мөн та өөрийн цөмийн тохиргооны файлдаа дараах мөрүүдийг бас нэмэх
хэрэгтэй болно:
device ata
device scbus
device cd
device pass
Эдгээр нь аль хэдийн байж байх ёстой. Дараа нь дахин бүтээгээд
өөрийн цөмийг суулгаж машинаа дахин ачаалах хэрэгтэй.
Ачаалах процессийн үед таны шарагч иймэрхүү маягаар гарч
ирэх ёстой:
acd0: CD-RW <MATSHITA CD-RW/DVD-ROM UJDA740> at ata1-master PIO4
cd0 at ata1 bus 0 target 0 lun 0
cd0: <MATSHITA CDRW/DVD UJDA740 1.00> Removable CD-ROM SCSI-0 device
cd0: 16.000MB/s transfers
cd0: Attempt to query device size failed: NOT READY, Medium not present - tray closed
Одоо хөтчид /dev/cd0 төхөрөөмжийн нэрийг
ашиглан хандаж болох бөгөөд жишээ нь CD-ROM-г /mnt-д холбохдоо
дараах тушаалыг бичих хэрэгтэй:
&prompt.root; mount -t cd9660 /dev/cd0 /mnt
root хэрэглэгчээр дараах тушаалыг ажиллуулж
та шарагчийн SCSI хаягийг авч болно:
&prompt.root; camcontrol devlist
<MATSHITA CDRW/DVD UJDA740 1.00> at scbus1 target 0 lun 0 (pass0,cd0)
Тэгэхээр 1,0,0 нь &man.cdrecord.1;
болон бусад SCSI програмтай ашиглах SCSI хаяг болох юм.
ATAPI/CAM болон SCSI системийн талаар дэлгэрэнгүй мэдээллийг
&man.atapicam.4; болон &man.cam.4; гарын авлагын хуудаснуудаас
лавлана уу.
Марк
Фонвил
Хувь нэмэр болгон оруулсан
Энди
Поляков
Зарим зүйл оруулсан
Оптик зөөвөрлөгчийг (DVD-үүд) үүсгэж ашиглах нь
DVD
шарах нь
Танилцуулга
CD-тэй харьцуулахад DVD нь оптик зөөвөрлөгч хадгалалтын технологийн
дараачийн үе юм. DVD нь ямар ч CD-ээс илүү өгөгдлийг агуулдаг бөгөөд
одоогийн видео хэвлэлтийн стандарт болжээ.
Бичигддэг DVD гэж бидний нэрлэдэг DVD-үүдийн физик 5 бичигддэг
хэлбэршүүлэлтийг тодорхойлж болно:
DVD-R: Энэ нь бичигддэг DVD-ий анхны хэлбэршүүлэлт юм.
DVD-R стандарт нь DVD хэлэлцүүлгээр
тодорхойлогдсон бөгөөд энэ нь зөвхөн нэг удаа
бичих хэлбэршүүлэлт юм.
DVD-RW: Энэ нь DVD-R стандартын дахин бичигдэх хувилбар юм.
DVD-RW нь ойролцоогоор 1000 удаа бичигдэх боломжтой.
DVD-RAM: Энэ нь DVD хэлэлцүүлгийн дэмждэг бас дахин бичигддэг
хэлбэршүүлэлт юм. DVD-RAM нь зөөгдөж болох хатуу хөтөч маягаар
харагддаг. Гэхдээ энэ зөөвөрлөгч нь ихэнх DVD-ROM хөтчүүд болон
DVD-Видео тоглуулагчуудтай нийцтэй биш байдаг; цөөн DVD бичигчид
DVD-RAM хэлбэршүүлэлтийг дэмждэг. DVD-RAM-ийн хэрэглээний талаар
илүү дэлгэрэнгүйг -с
уншина уу.
DVD+RW: Энэ нь DVD+RW
холбооноос тодорхойлсон дахин бичигдэх хэлбэршүүлэлт юм.
DVD+RW нь ойролцоогоор 1000 удаа бичигдэх боломжтой.
DVD+R: Энэ хэлбэршүүлэлт нь DVD+RW хэлбэршүүлэлтийн нэг удаа бичих
хувилбар юм.
Бичигддэг DVD-ий нэг давхарга нь 4,700,000,000 байт буюу
4.38 GB эсвэл 4485 MB (1 килобайт нь 1024 байт)
хүртэлх мэдээлэл агуулж чадна.
Физик зөөвөрлөгч болон програмыг ялгаж ойлгох ёстой. Жишээ нь
DVD-Видео нь дурын бичигддэг DVD физик зөөвөрлөгч DVD-R, DVD+R, DVD-RW гэх зэрэг
уруу бичигдэж болох тусгай байршлын зураглал юм. Зөөвөрлөгчийн төрлийг сонгохын өмнө
шарагч болон DVD-Видео тоглуулагч (дан тоглуулагч эсвэл компьютер дээрх DVD-ROM хөтөч)
нь хэрэглэхээр төлөвлөж байгаа зөөвөрлөгчтэй нийцтэй эсэхийг шалгах хэрэгтэй.
Тохиргоо
DVD бичлэг хийхэд &man.growisofs.1; програм ашиглагдана.
Энэ тушаал нь dvd+rw-tools хэрэгслүүдийн (sysutils/dvd+rw-tools) нэг хэсэг
юм. dvd+rw-tools нь DVD зөөвөрлөгчийн
бүх төрлийг дэмждэг.
Эдгээр хэрэгслүүд нь төхөөрөмжүүд уруу хандахын тулд SCSI дэд системийг
ашигладаг, тиймээс таны цөмд ATAPI/CAM
дэмжлэг нэмэгдсэн байх ёстой. Хэрэв таны шарагч USB интерфэйс ашигладаг
бол энэ нэмэлт нь хэрэггүй бөгөөд та USB төхөөрөмжүүдийн тохиргооны талаар илүү
дэлгэрэнгүйг -с унших шаардлагатай.
Та мөн ATAPI төхөөрөмжүүдийн хувьд DMA хандалтыг идэвхжүүлэх ёстой бөгөөд
дараах мөрийг /boot/loader.conf файлд
нэмж үүнийг хийнэ:
hw.ata.atapi_dma="1"
dvd+rw-tools-г ашиглахаасаа өмнө
өөрийн DVD шарагчтай холбоотой мэдээллийг dvd+rw-tools'
тоног төхөөрөмжийн нийцтэй байдал хаягаас лавлах хэрэгтэй.
Хэрэв та график хэрэглэгчийн интерфэйсийг хүсэж байвал
&man.growisofs.1; болон бусад олон шарагч хэрэгслүүдийг
хэрэглэгчид ашиглахад амар интерфэйсээр хангадаг
K3b (sysutils/k3b) програмыг
үзэх хэрэгтэй.
Өгөгдлийн DVD-үүдийг шарах нь
&man.growisofs.1; тушаал нь mkisofs-ийн нүүр хэсэг юм, энэ нь
шинэ файлын системийн байршлыг үүсгэхийн тулд &man.mkisofs.8;-г
дуудах бөгөөд DVD дээр бичих үйлдлийг гүйцэтгэнэ. Энэ нь та шарах
процессоос өмнө өгөгдлийн дүрсийг үүсгэх хэрэггүй гэсэн үг юм.
DVD+R эсвэл DVD-R уруу өгөгдлийг /path/to/data сангаас шарахдаа
дараах тушаалыг ашиглана:
&prompt.root; growisofs -dvd-compat -Z /dev/cd0 -J -R /path/to/data
Файлын системийг үүсгэхдээ тохируулгуудыг
&man.mkisofs.8;-д дамжуулдаг (энэ тохиолдолд Joilet болон Rock Ridge
өргөтгөлүүдтэй ISO 9660 файлын систем). Дэлгэрэнгүйг &man.mkisofs.8;
гарын авлагын хуудаснаас лавлана уу.
тохируулгыг ямар ч тохиолдолд
(олон сессүүд эсвэл ганц сесс) эхний сессийг бичихдээ хэрэглэдэг. DVD төхөөрөмж
/dev/cd0-г өөрийн тохиргооны дагуу өөрчлөх
хэрэгтэй. параметр дискийг хаах бөгөөд
бичилтийг нэмэх нь боломжгүй болох юм. Энэ нь DVD-ROM хөтчүүдтэй
зөөвөрлөгчийн нийцтэй байдлыг илүүтэй хангах юм.
Мөн урьдчилан урласан дүрсийг шарах бас боломжтой, жишээ нь
imagefile.iso дүрсийг шарахын
тулд бид дараах тушаалыг ажиллуулна:
&prompt.root; growisofs -dvd-compat -Z /dev/cd0=imagefile.iso
Бичих хурдыг олж зөөвөрлөгч ба ашиглагдаж байгаа хөтчөөс
хамаарч автоматаар тохируулах болно. Хэрэв та бичих хурдыг өөрчлөх
хүсэлтэй байгаа бол параметрийг ашиглах
хэрэгтэй. Дэлгэрэнгүй мэдээллийг &man.growisofs.1; гарын авлагын
хуудаснаас уншина уу.
Та өөртөө 4.38GB-аас их хэмжээтэй, ажиллагаатай
файлтай болохын тулд &man.mkisofs.8; болон бусад бүх програмд
(жишээ нь &man.growisofs.1;) гэсэн сонголтыг өгч
UDF/ISO-9660 гибрид файлын системийг үүсгэсэн байх
шаардлагатай. Энэ нь зөвхөн файлыг шууд диск рүү бичих эсвэл
ISO дүрс файлыг үүсгэхэд л шаардлагатай. Энэ замаар үүсгэсэн
дискийг зөвхөн UDF-г дэмждэг үйлдлийн системд ашиглагдах боломжтой
байхаар &man.mount.udf.8; хэрэгслийн тусламжтайгаар
UDF файлын систем маягаар холбох ёстой бөгөөд тэгэхгүй бол энэ нь
эвдэрсэн файлуудтай юм шиг харагдах болно.
Ийм ISO дүрс үүсгэхийн тулд:
&prompt.user; mkisofs -R -J -udf -iso-level 3 -o imagefile.iso /path/to/data
Диск рүү файлуудыг шууд бичихийн тулд:
&prompt.root; growisofs -dvd-compat -udf -iso-level 3 -Z /dev/cd0 -J -R /path/to/data
Том файлууд аль хэдийн агуулсан ISO дүрс танд
байгаа бол түүнийг диск рүү шарахад нэмэлт
сонголтууд &man.growisofs.1;-д шаардлагагүй.
Мөн хуучин хувилбарууд нь том файлыг дэмждэггүй
учир та sysutils/cdrtools
(&man.mkisofs.8;-г агуулдаг) хэрэгслийн хамгийн сүүлийн
хувилбартай байгаа эсэхээ шалгаарай. Хэрэв та асуудалтай
тулгарвал хөгжүүлэлтийн хувилбар руу шилжээрэй, өөрөөр хэлбэл
sysutils/cdrtools-devel рүү шилжээд
&man.mkisofs.8;-ийн гаран авлагын хуудсыг уншаарай.
DVD
DVD-Video
DVD-Видео шарах нь
DVD-Видео нь ISO 9660 болон микро-UDF (M-UDF тодорхойлолтууд
дээр тулгуурласан тусгай файлын байршлын зураглал юм. DVD-Видео нь бас
өгөгдлийн бүтцийн тусгай шатлалыг үзүүлдэг бөгөөд энэ нь DVD-г зохиохын тулд
multimedia/dvdauthor зэрэг тусгай
програмыг та яагаад ашиглах хэрэгтэй болдгийн шалтгаан юм.
Хэрэв танд DVD-Видео файлын системийн дүрс байгаа бол ямар ч дүрсний нэгэн
адил аргаар шарах хэрэгтэй. Өмнөх хэсгийн жишээнээс үзнэ үү. Хэрэв та
DVD зохиолт хийсэн бөгөөд үр дүн нь жишээ нь /path/to/video
санд байгаа бол DVD-Видеог шарахын тулд дараах тушаалыг ашиглах хэрэгтэй:
&prompt.root; growisofs -Z /dev/cd0 -dvd-video /path/to/video
тохируулга &man.mkisofs.8;-д
дамжуулагдах бөгөөд энэ нь DVD-Видео файлын системийн байршлын зураглал
үүсгэхийг тушаах болно. Үүнээс гадна
тохируулга нь &man.growisofs.1;-ийн
тохируулгыг агуулдаг.
DVD
DVD+RW
DVD+RW ашиглах нь
CD-RW-с ялгаатай нь шинэ DVD+RW нь ашиглагдахаа өмнө хэлбэршүүлэгдсэн
байх ёстой. &man.growisofs.1; нь шаардлагатай үед автоматаар үүнийг хийх
бөгөөд энэ аргыг зөвлөдөг юм. Гэхдээ та
dvd+rw-format тушаалыг ашиглан DVD+RW-г хэлбэршүүлж
болно:
&prompt.root; dvd+rw-format /dev/cd0
Та энэ үйлдлийг зөвхөн нэг удаа хийх хэрэгтэй бөгөөд зөвхөн шинэ DVD+RW
зөөвөрлөгчдийн хувьд хэлбэршүүлэх ёстойг санаарай. Дараа нь та DVD+RW-г дээрх
хэсгүүдэд дурдсаны адил шарж болно.
Хэрэв та шинэ өгөгдлийг (зарим өгөгдлийг нэмэх биш
бүр мөсөн шинэ файлын систем шарах) DVD+RW уруу шарахыг хүсэж байгаа бол
түүнийг хоосон болгох шаардлагагүй юм, иймэрхүүгээр өмнөх бичилтэн дээрээ
(шинэ сесс үүсгээд) дараад л бичих хэрэгтэй юм:
&prompt.root; growisofs -Z /dev/cd0 -J -R /path/to/newdata
DVD+RW хэлбэршүүлэлт нь өмнөх бичилтэд өгөгдлийг хялбараар нэмэх
боломжийг олгодог. Энэ үйлдэл нь шинэ сессийг хуучин байгаатай нь нийлүүлэх
бөгөөд энэ нь олон сесс бүхий бичилт биш юм. &man.growisofs.1; нь зөөвөрлөгч дээр
байгаа ISO 9660 файлын системийг өсгөх (сунгах)
болно.
Жишээ нь хэрэв бид өөрсдийн урьдны DVD+RW уруу өгөгдөл нэмэхийг
хүсвэл доор дурдсаныг ашиглах хэрэгтэй болно:
&prompt.root; growisofs -M /dev/cd0 -J -R /path/to/nextdata
Эхний сессийг шарахдаа бидний хэрэглэдэг &man.mkisofs.8;-ийн
адил тохируулгууд дараагийн бичилтүүдийн үеэр хэрэглэгдэх ёстой.
Хэрэв та DVD-ROM хөтчүүдтэй зөөвөрлөгчийн хувьд илүүтэй нийцтэй байхыг
хүсвэл тохируулгыг хэрэглэхийг
хүсэж болох юм. DVD+RW тохиолдлын хувьд энэ нь таныг өгөгдөл нэмэхийг болиулж
чадахгүй юм.
Хэрэв та ямар нэг шалтгаанаар зөөвөрлөгчийг хоосон болгохыг хүсвэл
доор дурдсаныг хийх хэрэгтэй:
&prompt.root; growisofs -Z /dev/cd0=/dev/zero
DVD
DVD-RW
DVD-RW ашиглах нь
DVD-RW нь дискний хоёр хэлбэршүүлэлтийг авдаг: нэмэгдсэн дараалсан
хэлбэршүүлэлт болон хязгаарлагдмал дарж бичих хэлбэршүүлэлт юм. Анхдагчаар
DVD-RW дискнүүд нь дараалсан хэлбэршүүлэлтэд байдаг.
Шинэ DVD-RW нь хэлбэршүүлэлт хийгдэлгүйгээр шууд бичигдэж болдог,
гэхдээ шинэ биш дараалсан хэлбэршүүлэлтэд байх DVD-RW нь шинэ эхний сесс
бичигдэхээс өмнө хоосон болгогдсон байх шаардлагатай байдаг.
Дараалсан горим дахь DVD-RW-г хоослохдоо дараах тушаалыг ажиллуулна:
&prompt.root; dvd+rw-format -blank=full /dev/cd0
Бүр мөсөн хоослолт () 1x зөөвөрлөгч
дээр нэг цаг орчим болно. Хэрэв DVD-RW нь Disk-At-Once (DAO) горимоор
бичигдэх бол хурдан хоослолтыг тохируулга ашиглан
хийж болно. DVD-RW-г DAO горимд шарахын тулд дараах тушаалыг ашиглана:
&prompt.root; growisofs -use-the-force-luke=dao -Z /dev/cd0=imagefile.iso
тохируулгыг
шаардах ёсгүй, учир нь &man.growisofs.1; нь (хурдан хоосолсон)
зөөвөрлөгчийг илрүүлэхийг бага оролдож DAO бичилтийг захиалах
болно.
Яг үнэндээ дурын DVD-RW-ийн хувьд хязгаарлагдмал дарж бичих горимыг
ашиглах хэрэгтэй бөгөөд энэ хэлбэршүүлэлт нь анхдагч нэмэгдсэн дараалсан
хэлбэршүүлэлтээс илүү уян хатан байдаг.
Дараалсан DVD-RW дээр өгөгдлийг бичихдээ бусад DVD хэлбэршүүлэлтийн
нэгэн адил заавруудыг ашиглана:
&prompt.root; growisofs -Z /dev/cd0 -J -R /path/to/data
Хэрэв та зарим өгөгдлийг өөрийн урьдны бичлэгт нэмэхийг хүсвэл
&man.growisofs.1;-ийн тохируулгыг ашиглах
хэрэгтэй болно. Гэхдээ хэрэв та нэмэгдсэн дараалсан горимд байгаа DVD-RW
уруу өгөгдлийг нэмэх үйлдлийг хийвэл диск дээр шинэ сесс үүсгэгдэх бөгөөд
үүний үр дүн нь олон сесс бүхий диск болох юм.
DVD-RW нь хязгаарлагдмал дарж бичих хэлбэршүүлэлтэд шинэ эхний
сессээс өмнө хоосон болгогдох шаардлагагүй, та ердөө л дискийг
тохируулгатай дарж бичих хэрэгтэй бөгөөд энэ нь
DVD+RW тохиолдолтой төстэй юм. Мөн диск дээр бичигдсэн байгаа ISO
9660 файлын системийг DVD+RW-тэй адил аргаар
тохируулгын тусламжтай өсгөж (сунгаж) бас болно. Үр дүн нь нэг сесс
бүхий DVD болох юм.
DVD-RW-г хязгаарлагдмал дарж бичих хэлбэршүүлэлтэд оруулахдаа
дараах тушаалыг ашиглах ёстой:
&prompt.root; dvd+rw-format /dev/cd0
Дараалсан хэлбэршүүлэлт уруу буцааж өөрчлөхдөө дараах тушаалыг ашиглана:
&prompt.root; dvd+rw-format -blank=full /dev/cd0
Олон сесс
Маш цөөн DVD-ROM хөтчүүд олон сесс бүхий DVD-үүдийг дэмждэг бөгөөд
тэдгээр нь ихэнхдээ зөвхөн эхний сессийг уншдаг. DVD+R, DVD-R болон DVD-RW нь
дараалсан хэлбэршүүлэлтдээ олон сессийг хүлээн авч чаддаг бөгөөд DVD+RW болон
DVD-RW хязгаарлагдмал дарж бичих хэлбэршүүлэлтүүдийн хувьд олон сесс гэсэн ойлголт
байдаггүй.
Дараалсан хэлбэршүүлэлтэд DVD+R, DVD-R эсвэл DVD-RW дээрх эхний
(хаагдаагүй) сессийн дараа дараах тушаалыг ашиглаж дискэнд шинэ
сесс үүсгэнэ:
&prompt.root; growisofs -M /dev/cd0 -J -R /path/to/nextdata
Энэ тушаалын мөрийг DVD+RW эсвэл DVD-RW-тэй цуг ашиглан хязгаарлагдмал дарж бичих
горим дээр шинэ сессийг хуучин байгаатай нийлүүлэн өгөгдлийг нэмэх болно. Үр дүн нь
нэг сесс бүхий диск болох юм. Энэ нь эдгээр зөөвөрлөгчүүд дээр эхний бичилтийн дараа
өгөгдөл нэмэх арга юм.
Зөөвөрлөгч дээрх зарим зай нь сесс бүрийн хооронд сессийн төгсгөл болон
эхлэлд хэрэглэгддэг. Тиймээс зөөвөрлөгчийн зайг оновчтой ашиглахын тулд
их өгөгдөлтэй сессүүдийг нэмэх ёстой юм. Сессийн тоо DVD+R-ийн хувьд 154,
DVD-R-ийн хувьд 2000 орчим, DVD+R хос давхаргын хувьд 127-оор
хязгаарлагдана.
Дэлгэрэнгүй мэдээллийг
DVD-ийн талаар илүү мэдээллийг авахын тулд
dvd+rw-mediainfo
/dev/cd0 тушаалыг хөтөч
дотор диск байхад ажиллуулж болно.
dvd+rw-tools-н тухай дэлгэрэнгүй
мэдээлэл нь &man.growisofs.1; гарын авлагын хуудас, dvd+rw-tools
вэб сайт болон cdwrite захидлын жагсаалтын
архивуудаас олдож болно.
Бичигдсэн үр дүн эсвэл асуудалтай зөөвөрлөгчийн dvd+rw-mediainfo
гаралт нь ямар ч асуудлын тайлангийн чухал хэсэг юм. Энэ гаралтгүйгээр танд туслах
бараг л боломжгүй юм.
DVD-RAM ашиглах нь
DVD
DVD-RAM
Тохиргоо
DVD-RAM бичигчид нь SCSI аль эсвэл ATAPI интерфэйстэй цуг ирдэг.
ATAPI төхөөрөмжүүдийн хувьд DMA хандалт идэвхтэй болсон байх ёстой,
дараах мөрийг /boot/loader.conf
файлд нэмж үүнийг хийнэ:
hw.ata.atapi_dma="1"
Зөөвөрлөгчийг бэлдэх нь
Өмнө нь бүлгийн танилцуулгад дурдсанаар DVD-RAM нь зөөврийн хатуу
хөтөч маягаар харагддаг. Бусад хатуу дискнүүдийн адил DVD- RAM нь ашиглагдаж
эхлэхээсээ өмнө бэлдэгдсэн
байх ёстой. Жишээн дээр дискний
бүх зай стандарт UFS2 файлын системтэй ашиглагдана:
&prompt.root; dd if=/dev/zero of=/dev/acd0 bs=2k count=1
&prompt.root; bsdlabel -Bw acd0
&prompt.root; newfs /dev/acd0
DVD төхөөрөмж acd0-ийг өөрийн тохиргооны
дагуу өөрчлөн ашиглах ёстой.
Зөөвөрлөгчийг ашиглах нь
Дээрх үйлдлүүд DVD-RAM дээр хийгдсэний дараа үүнийг энгийн
хатуу хөтчийн нэгэн адил холбож болно:
&prompt.root; mount /dev/acd0 /mnt
Үүний дараа DVD-RAM нь уншигдах бичигдэх боломжтой болно.
Жулио
Мерино
Анхлан хийсэн
Мартин
Карлсон
Дахин бичсэн
Уян дискнүүдийг үүсгэж ашиглах нь
Өгөгдлийг уян дискнүүд уруу хадгалах нь заримдаа ашигтай байдаг. Жишээ нь
хэн нэгэнд нь шилжүүлж болдог ямар ч хадгалалтын зөөвөрлөгч байхгүй тохиолдолд
эсвэл бага хэмжээний өгөгдлийг өөр компьютер уруу зөөх хэрэгцээ гарсан үед уян
диск нь хэрэг болдог.
Энэ хэсэг нь FreeBSD дээр уян дискийг хэрхэн ашиглах талаар тайлбарлах болно.
Энд 3.5 инчийн DOS уян дискнүүдийг хэлбэршүүлж ашиглах талаар үндсэндээ
тайлбарлах бөгөөд гэхдээ энэ ойлголт нь бусад уян дискний хэлбэршүүлэлттэй
төстэй юм.
Уян дискнүүдийг хэлбэршүүлэх нь
Төхөөрөмж
Уян дискнүүдэд бусад төхөөрөмжүүдийн адил /dev
сан дахь оруулгуудаар ханддаг. Түүхий уян дискэнд хандахын тулд
/dev/fdN-г
ердөө л ашиглах хэрэгтэй.
Хэлбэршүүлэх нь
Уян дискийг ашиглахаасаа өмнө доод түвшний хэлбэршүүүлэлт
хийсэн байх хэрэгтэй. Үүнийг ихэвчлэн үйлдвэрлэгч хийдэг боловч
хэлбэршүүлэлт нь зөөвөрлөгчийн бүрэн бүтэн байдлыг шалгах нэг сайн
арга юм. Илүү том (эсвэл жижиг) дискний хэмжээг хүчлэн ашиглах
боломжтой байдаг боловч 1440kB хэмжээнд зориулагдан ихэнх уян
диск хийгдсэн байдаг.
Уян дискэнд доод түвшний хэлбэршүүлэлт хийхийн тулд та
&man.fdformat.1;-г ашиглах хэрэгтэй. Энэ хэрэгсэл нь төхөөрөмжийн
нэрийг нэмэлт өгөгдөл маягаар оруулахыг хүлээж байдаг.
Алдааны мэдэгдлийг тэмдэглэж аваарай, учир нь эдгээр нь
дискийг сайн эсвэл муу эсэхийг тодорхойлоход туслах болно.
Уян дискнүүдийг хэлбэршүүлэх нь
/dev/fdN
төхөөрөмжүүдийг ашиглан уян дискийг хэлбэршүүлэх хэрэгтэй. Шинэ 3.5 инч
диск өөрийн хөтөч уруугаа хийгээд дараах тушаалыг ажиллуул:
&prompt.root; /usr/sbin/fdformat -f 1440 /dev/fd0
Дискний шошго
Дискэнд доод түвшний хэлбэршүүлэлт хийсний дараа танд диск дээр шошго
тавих хэрэгтэй болно. Энэ дискний шошго нь дараа нь устгагдах боловч
дискний хэмжээ болон геометрийг дараа нь тодорхойлоход системд
хэрэг болдог.
Шинэ дискний шошго нь бүхэл дискийг хамарч уян дискний геометрийн тухай
бүх л зөв мэдээллийг агуулах болно. Дискний шошгоны геометрийн утгууд нь
/etc/disktab файлд жагсаагдсан
байдаг.
Та одоо ингэж &man.bsdlabel.8;-г ажиллуулж болно:
&prompt.root; /sbin/bsdlabel -B -w /dev/fd0 fd1440
Файлын систем
Одоо уян дискэнд дээд түвшний хэлбэршүүлэлт хийхэд бэлэн боллоо. Энэ нь
дискийг FreeBSD унших болон түүнд бичих боломжийг олгох шинэ файлын системийг
диск дээр байрлуулах болно. Шинэ файлын системийг үүсгэсний дараа дискний
шошго устгагдах бөгөөд хэрэв та дискийг дахин хэлбэршүүлэхийг хүсвэл дискний
шошгыг дахин үүсгэх шаардлагатай болно.
Уян дискний файлын систем нь UFS эсвэл FAT хоёрын аль нэг нь байна.
FAT нь ерөнхийдөө уян дискнүүдийн хувьд илүү дээр сонголт байдаг.
Уян диск дээр шинэ файлын системийг байрлуулахын талд дараах тушаалыг ажиллуулна:
&prompt.root; /sbin/newfs_msdos /dev/fd0
Диск одоо ашиглахад бэлэн боллоо.
Уян дискийг ашиглах нь
Уян дискийг ашиглахын тулд &man.mount.msdosfs.8; тушаалаар холбох хэрэгтэй. Мөн
портын цуглуулгаас emulators/mtools-г
ашиглаж бас болох юм.
Өгөгдлийн соронзон хальснууд үүсгэж ашиглах нь
соронзон хальс зөөвөрлөгч
Гол соронзон хальс зөөвөрлөгчүүд нь 4мм, 8мм, QIC, мини-хайрцаг болон DLT
юм.
4мм (DDS: Digital Data Storage)
соронзон хальс зөөвөрлөгч
DDS (4mm) соронзон хальснууд
соронзон хальс зөөвөрлөгч
QIC соронзон хальснууд
4мм соронзон хальснууд нь QIC-г халж ажлын станцын нөөц зөөвөрлөгч болон сонгогдож
байна. Conner компани нь QIC хөтчүүдийн тэргүүлэх үйлдвэрлэгч Archive-г
худалдаж авч дараа нь QIC хөтчүүдийг үйлдвэрлэхээ зогсоосноор энэ чиг хандлага нь
илүү хурдассан юм. 4мм хөтчүүд нь жижиг, чимээгүй боловч 8мм хөтчүүд шиг
найдвартай ажиллагаагаараа алдартай биш юм. Хайрцагнууд нь үнэтэй биш бөгөөд
8мм-ийн хайрцагнуудаас бага (3 x 2 x 0.5 инч, 76 x 51 x 12 мм) юм.
4мм соронзон хальс нь 8мм-ийн нэгэн адил шалтгаанаар толгой нь богино настай бөгөөд
хоёулаа мушгиа сканыг ашигладаг.
Эдгээр хөтчүүд дээрх өгөгдлийн дамжуулах чадвар нь ~150 kB/s-с
эхэлж ~500 kB/s хүрнэ. Өгөгдлийн багтаамж 1.3 GB-с эхэлж
2.0 GB хүрнэ. Тоног төхөөрөмжийн шахалт энэ хөтчүүдийн ихэнхэд байх
бөгөөд энэ нь багтаамжийг ойролцоогоор хоёр дахин нэмэгдүүлдэг. Олон хөтөч бүхий
соронзон хальсны сан (library) автомат соронзон хальс солигчтой нэг кабинетийн хувьд 6 хөтөчтэй
байж болно. Сангийн багтаамж нь 240 GB хүрнэ.
DDS-3 стандарт нь одоогоор 12 GB (эсвэл 24 GB шахагдсан)
багтаамжтай соронзон хальсыг дэмждэг.
4мм хөтчүүд нь 8мм-ийн хөтчүүдийн нэгэн адил мушгиа хайлтыг хэрэглэдэг.
Мушгиа хайлт хийхийн бүх ашигтай тал болон сул талууд нь 4мм болон 8мм-ийн хөтчүүдийн
аль алинд нь хамаардаг.
Соронзон хальснууд нь 2000 удаагийн ашиглалт эсвэл 100 бүрэн нөөцлөлтийн дараа
хэрэглээнээс гарах ёстой.
8мм (Exabyte)
соронзон хальс зөөвөрлөгч
Exabyte (8мм) соронзон хальснууд
8мм соронзон хальснууд нь хамгийн нийтлэг SCSI соронзон хальсны хөтчүүд юм; тэдгээр нь соронзон хальснууд
солих хамгийн сайн сонголт болдог. Бараг сайт бүр Exabyte 2 GB 8мм-ийн
соронзон хальсны хөтөчтэй байдаг. 8мм-ийн хөтчүүд нь найдвартай, хэрэглэхэд амар, чимээгүй
байдаг. Хайрцагнууд нь хямд, жижиг (4.8 x 3.3 x 0.6 инч; 122 x 84 x 15 мм)
байдаг. 8мм-ийн соронзон хальсны нэг сул тал нь толгойнуудын дагуух соронзон хальсны харьцангуй хөдөлгөөний
өндөр хувиас болоод харьцангуй богино толгой ба соронзон хальсны амьдрах хугацаатай байдаг явдал юм.
Өгөгдөл дамжуулах чадвар нь ~250 kB/s-аас ~500 kB/s хүртэл байна.
Өгөгдлийн хэмжээ нь 300 MB-аас эхэлж 7 GB хүрнэ. Тоног төхөөрөмжийн шахалт
энэ хөтчүүдийн ихэнхэд байх бөгөөд энэ нь багтаамжийг ойролцоогоор хоёр дахин нэмэгдүүлдэг.
Эдгээр хөтчүүд нь нэг буюу эсвэл нэг кабинетдаа 6 хөтөч болон 120 соронзон хальстай олон хөтөч
бүхий соронзон хальсны сан (library) хэлбэрээр байдаг. соронзон хальснууд нь автоматаар солигддог.
Сангийн багтаамж 840+ GB хүрнэ.
Exabyte Mammoth
загвар нь нэг соронзон хальс дээр 12 GB
((24 GB шахалттайгаар) дэмждэг бөгөөд ердийн соронзон хальсны хөтчөөс ойролцоогоор
хоёр дахин үнэтэй байдаг.
Өгөгдөл нь соронзон хальс уруу мушгиа скан ашиглагдан бичигддэг, толгойнууд нь зөөвөрлөгч уруу
өнцгөөр байрладаг (ойролцоогоор 6 градус). Соронзон хальс нь толгойнуудыг барьж байдаг дамрын
270 градус орчим ороодог. Соронзон хальс дамар дээгүүр гулгаж байхад дамар нь эргэж байдаг.
Үр дүнд нь өгөгдлийн өндөр нягтрал болон соронзон хальсны дагуу нэг ирмэгээс нөгөө уруу өнцөгдсөн ойрхон
багцалсан замууд үүсэх болно.
QIC
соронзон хальс зөөвөрлөгч
QIC-150
QIC-150 соронзон хальснууд болон хөтчүүд нь магадгүй хамгийн нийтлэг соронзон хальсны хөтөч, зөөвөрлөгч
юм. QIC соронзон хальсны хөтчүүд нь хамгийн хямд нухацтай
нөөцлөлтийн хөтчүүд
юм. Сул тал нь зөөвөрлөгчийн үнэ байдаг. QIC соронзон хальснууд нь 8мм болон 4мм соронзон хальснуудтай
харьцуулахад GB өгөгдлийн хадгалалтын хувьд 5 дахин үнэтэй байдаг. Гэхдээ таны
хэрэглээнд цөөн (half-dozen) соронзон хальснууд хангалттай бол QIC нь магадгүй зөв сонголт
болж болох юм. QIC нь хамгийн нийтлэг соронзон хальсны хөтөч юм.
Сайт бүр ямар нэг хэмжээний QIC хөтөчтэй байдаг. QIC нь физикийн хувьд төстэй (заримдаа адил)
соронзон хальснуудад их хэмжээний нягтралтай байдаг. QIC хөтчүүд нь чимээгүй биш юм.
Эдгээр хөтчүүд нь өгөгдлийг бичиж эхлэхээсээ өмнө дуутайгаар хайдаг бөгөөд
унших, бичих эсвэл хайхдаа мэдэгдэхүйц дуутай байдаг. QIC соронзон хальснууд нь
6 x 4 x 0.7 инч (152 x 102 x 17 мм) хэмжээтэй байдаг.
Өгөгдлийн дамжуулах чадвар ~150 kB/s-с ~500 kB/s хүртэл байна.
Өгөгдлийн багтаамж 40 MB-с 15 GB хүртэл байна. Шинэ QIC хөтчүүдийн
ихэнхэд тоног төхөөрөмжийн шахалт байдаг. QIC хөтчүүд нь бага суулгагддаг; тэдгээр нь
DAT хөтчүүдээр шахагдсан юм.
Өгөгдөл нь соронзон хальс уруу замаар бичигддэг. Замууд нь соронзон хальсны зөөвөрлөгчийн нэг төгсгөлөөс
нөгөө уруу урт тэнхлэгийн дагуу байдаг. Замуудын тоо болон замын өргөн соронзон хальсны багтаамжаас
хамаарч өөр өөр байдаг. Бүх шинэ хөтчүүдийн ихэнх нь хамгийн багадаа бодоход уншилтын
(ихэнхдээ бас бичилтийн хувьд) хуучинтайгаа нийцтэй байдаг. QIC нь өгөгдлийн аюулгүй
байдлын хувьд нэлээн нэр хүндтэй байдаг (механизм нь хөтчүүдийг мушгиа скан хийснээс
илүү хялбар бөгөөд хүчирхэг байдаг).
5,000 нөөцлөлтийн дараа соронзон хальснуудыг ашиглахаа болих шаардлагатай.
DLT
соронзон хальс зөөвөрлөгч
DLT
DLT нь энд жагсаагдсан бүх хөтчийн төрлүүдээс хамгийн хурдан өгөгдөл дамжуулах
чадвартай байдаг. 1/2" (12.5мм) соронзон хальс нь ганц дамартай хайрцагт
(4 x 4 x 1 инч; 100 x 100 x 25 мм) байдаг. Хайрцаг нь нэг талаараа
ганхах хаалгатай байдаг. Хөтчийн механизм соронзон хальсны тэргүүнийг гаргаж авахын тулд
энэ хаалгыг онгойлгодог. Соронзон хальсны тэргүүн нь зууван нүхтэй байх бөгөөд
хөтөч соронзон хальсыг дэгээдэхдээ
үүнийг ашигладаг. Авах (take-up)
дамар нь соронзон хальсны хөтчийн дотор байрладаг. Энд жагсаагдсан
бусад соронзон хальсны хайрцагнууд (9 замтай соронзон хальснууд нь жич юм) нь соронзон хальсны хайрцган дотор
байрлах хангах болон take-up дамруудтай байдаг.
Өгөгдөл дамжуулах чадвар нь ойролцоогоор 1.5 MB/s бөгөөд 4мм, 8м, QIC
соронзон хальсны хөтчүүдийн дамжуулах чадвараас 3 дахин их байдаг. Өгөгдлийн багтаамж нь
нэг хөтчийн хувьд 10 GB-аас 20 GB хүрдэг. Хөтчүүд нь олон соронзон хальс
солигчид болон олон соронзон хальс хэлбэрээр байдаг, олон хөтөч бүхий соронзон хальсны сангууд нь
нийтдээ 50 GB-с 9 TB хүртэл хадгалалт бүхий 5-аас 900 хүртэл соронзон хальснуудыг
1-ээс 20 хүртэлх хөтчүүд дээр агуулдаг.
Шахалттай бол DLT Төрөл 4 хэлбэршүүлэлт нь 70 GB багтаамжийг
дэмждэг.
Өгөгдөл нь соронзон хальсны замууд дээр аялалын чиглэлийн дагуу (QIC соронзон хальснуудын адил)
зэрэгцээгээр бичигддэг. Хоёр зам нэг удаа бичигддэг. Унших/бичих толгойны амьдрах хугацаа
харьцангуй урт байдаг; соронзон хальс хөдлөхөө болиход толгой болон соронзон хальсны хоорондын
хамаатай хөдөлгөөн байхгүй болно.
AIT
соронзон хальс зөөвөрлөгч
AIT
AIT нь Sony-гоос гаргасан шинэ хэлбэршүүлэлт бөгөөд нэг соронзон хальсны хувьд 50
GB хүртэл (шахалттайгаар) мэдээллийг агуулж чадна. Соронзон хальснууд нь санах ойн бичил
схемүүдийг агуулдаг бөгөөд эдгээр нь соронзон хальсны агуулгын индексийг хадгалдаг. Бусад
соронзон хальснуудын хувьд хэд хэдэн минут шаардагддаг бол харин энэ индексийг соронзон хальсны хөтөч
соронзон хальс дээрх файлуудын байрлалыг тодорхойлохын тулд маш хурдан уншдаг.
SAMS:Alexandria зэрэг програм нь
соронзон хальсны санах ойн бичил схемтэй шууд холбогдон агуулгыг дэлгэцэд гаргаж, ямар файлууд аль
соронзон хальс уруу нөөцлөгдсөнийг тодорхойлж, зөв соронзон хальсыг олон ачаалж соронзон хальснаас өгөгдлийг
сэргээн дөч болон түүнээс дээш AIT соронзон хальсны сангуудыг ажиллуулж чаддаг.
Үүнтэй адил сангууд $20,000 хавьцаа үнэ хүрч тэдгээрийг сонирхогчдын зах зээлээс
бага зэрэг шахдаг байна.
Шинэ соронзон хальсыг анх удаа ашиглах нь
Анхны удаа шинэ, хов хоосон соронзон хальсыг уншихыг оролдвол амжилтгүй болно.
Консолын мэдэгдлүүд үүнтэй төстэй байна:
sa0(ncr1:4:0): NOT READY asc:4,1
sa0(ncr1:4:0): Logical unit is in process of becoming ready
Соронзон хальс нь Identifier Block буюу Танигч Блокийг (block number 0)
агуулаагүй байна. Бүх QIC соронзон хальснууд нь QIC-525 стандартыг хэрэглэж эхэлснээс
хойш Танигч Блокийг соронзон хальсанд бичдэг. Хоёр шийдэл байдаг:
mt fsf 1 тушаал нь Танигч Блокийг соронзон хальс уруу
бичихийг соронзон хальсны хөтчид хэлнэ.
Нүүрний товчлуурыг ашиглан соронзон хальсыг гаргаж авна.
Соронзон хальсыг дахин хийгээд түүн уруу өгөгдлийг
dump хийнэ.
dump тушаал нь DUMP: End of tape
detected гэж мэдэгдэх бөгөөд консол HARDWARE
FAILURE info:280 asc:80,96 гэж харуулна.
mt rewind тушаал ашиглан соронзон хальсыг буцаана.
Дараа дараачийн соронзон хальсны үйлдлүүд амжилттай болно.
Уян диск уруу нөөцлөх
Өөрийн өгөгдлийг нөөцлөхийн тулд би уян дискнүүдийг ашиглаж болох уу?
нөөц уян дискнүүд
уян дискнүүд
Уян дискнүүд нь нөөц хийхэд тийм ч тохиромжтой зөөвөрлөгч биш юм, учир нь:
Энэ зөөвөрлөгч нь найдваргүй, ялангуяа урт хугацааны туршид найдваргүй
байдаг.
Нөөцлөх болон буцааж сэргээх нь их удаан байдаг.
Тэдгээр нь маш хязгаарлагдмал багтаамжтай (бүхэл бүтэн хатуу дискийг хэдэн арван
уян дискэнд нөөцлөх нь их олон өдөр шаардана).
Гэхдээ хэрэв танд өөрийн өгөгдлийг нөөцлөх өөр ямар ч арга байхгүй бол
уян дискнүүдэд нөөцлөх нь нөөц хийхгүй байснаас хамаагүй дээр юм.
Хэрэв та уян дискнүүд ашиглах шаардлагатай болсон бол сайн чанарынхыг
ашигласан эсэхээ шалгах хэрэгтэй. Оффис дээр чинь хоёр жил хэвтсэн уян дискнүүд
муу сонголт болох юм. Нэр хүндтэй үйлдвэрлэгчээс гаргасан шинэ дискнүүдийг
ашиглах нь зүйтэй юм.
Тэгэхээр би өөрийн өгөгдлийг уян диск уруу хэрхэн нөөцлөх вэ?
Уян диск уруу нөөцлөх хамгийн шилдэг арга нь &man.tar.1; тушаалыг
(олон эзлэхүүн) тохируулгатайгаар ашиглах
явдал юм. Энэ нь олон уян дискнүүдэд нөөцлөх боломжийг олгодог.
Тухайн сан болон дэд сан доторх бүх файлуудыг нөөцлөхийн тулд үүнийг
ашиглах хэрэгтэй (root хэрэглэгчээр):
&prompt.root; tar Mcvf /dev/fd0 *
Эхний уян диск дүүрсний дараа &man.tar.1; нь дараагийн эзлэхүүнийг
оруулахыг хүсэх болно (учир нь &man.tar.1; нь зөөвөрлөгчөөс хамааралгүй бөгөөд
эзлэхүүнүүдэд ханддаг; энд уян дискийг хэлж байна).
Prepare volume #2 for /dev/fd0 and hit return:
Энэ нь заагдсан файлууд архивлагдах хүртэл (эзлэхүүний дугаар нэмэгдэн)
давтагдах болно.
Би өөрийнхөө нөөцүүдийг шахаж болох уу?
tar
gzip
шахалт
Харамсалтай нь &man.tar.1; нь олон эзлэхүүн бүхий архивуудын хувьд
тохируулгыг ашиглахыг зөвшөөрдөггүй. Мэдээж та
бүх файлуудыг &man.gzip.1; хийж тэдгээрийг уян диск уруу &man.tar.1;
хийж дараа нь файлуудыг дахин &man.gunzip.1; хийж болно!
Би өөрийн нөөцүүдийг хэрхэн сэргээх вэ?
Бүхэл архивыг сэргээхдээ дараах тушаалыг ашиглана:
&prompt.root; tar Mxvf /dev/fd0
Зөвхөн заагдсан файлуудыг сэргээх хоёр арга байдаг бөгөөд та
тэдгээрийг ашиглаж болно. Эхлээд та эхний дискнээс эхлээд дараах тушаалыг
ашиглана:
&prompt.root; tar Mxvf /dev/fd0 filename
&man.tar.1; хэрэгсэл нь шаардлагатай файлыг олох хүртлээ дараа дараагийн уян дискнүүдийг
хийхийг танаас хүсэх болно.
Өөрөөр, хэрэв та файл нь яг аль уян диск дээр байгааг мэдэж байвал
ердөө л тэр уян дискийг оруулж дээрхтэй адил тушаалыг ашиглах хэрэгтэй.
Хэрэв уян диск дээрх эхний файл нь өмнөх диск дээрхийн үргэлжлэл бол
таныг асуугаагүй байсан ч гэсэн &man.tar.1; үүнийг сэргээж чадахгүй
гэж танд анхааруулах болно!
Лоуэл
Жилбэрт
Анхлан хийсэн
Нөөцлөх стратегууд
Нөөцлөх төлөвлөгөөг боловсруулах эхний шаардлага нь дараах бүх асуудлуудыг
хамарсан эсэхийг шалгах явдал юм:
Дискний гэмтэл
Санамсаргүй файл устгалт
Санамсаргүй файлын эвдрэл
Газар дээрх нөөцүүд байвал тэдгээрийг оруулаад машины
бүрэн сүйрэл (өөрөө хэлбэл гал).
Эдгээр асуудал бүрийг шал өөр техникээр шийдэснээр зарим системүүдийг
илүүтэй ажиллуулах төгс боломж байж болох юм. Маш бага үнэ цэнэтэй
өгөгдөл бүхий чанга хувийн системүүдийг тооцохгүй юм бол нэг техник нь
бүх асуудлуудыг хамрах нь бараг боломжгүй юм.
Хэрэгслийн хайрцаг дахь зарим нэг техникүүдийг дурдвал:
Бүх системийн архивууд нь сайтаас гадна байнгын зөөвөрлөгчид
нөөцлөгдөнө. Энэ нь дээр дурдсан бүх асуудлуудаас хамгаалах боловч
сэргээх нь тохиромжгүй удаан байдаг. Та нөөцүүдийн хуулбаруудыг
газар дээр нь ба/эсвэл шууд авч болохоор хадгалж болох боловч
файлуудыг сэргээх нь ялангуяа зөвшөөрөгдөөгүй хэрэглэгчдэд
бас л тохиромжгүй хэвээр байдаг.
Файлын системийн хормын хувилбарууд. Энэ нь яг үнэндээ зөвхөн
санамсаргүйгээр файлыг устгасан тохиолдолд тустай, гэхдээ
энэ нь тийм тохиолдолд маш тус болохуйц
байдаг бөгөөд хурдан, ажиллахад хялбар байдаг.
Бүх файлын систем ба/эсвэл дискнүүдийн хуулбарууд (бүхэл машины үе үе давтагдах
&man.rsync.1;). Энэ нь ерөнхийдөө онцгой шаардлага бүхий сүлжээнүүдэд хамгийн
ашигтай байдаг. Дискний эвдрэл, гэмтлийн эсрэг ерөнхий хамгаалалтын хувьд
энэ нь ихэвчлэн RAID-с чанарын хувьд муу байдаг. Санамсаргүйгээр
устгасан файлуудыг сэргээхэд энэ нь UFS хормын хувилбартай
дүйцэхээр боловч та алийг дээдэлдгээс хамаарах юм.
RAID. Диск эвдрэх, гэмтэх үед зогсох хугацааг
багасгаж зайлсхийдэг. Маш бага шаардлагатай хэдий ч дискний эвдрэлүүдтэй илүүтэй
зууралдах (учир нь та олон дисктэй) хэрэгтэй болдог.
Файлуудын байрлалыг (хурууны хээ) шалгах. Үүнд &man.mtree.8; хэрэгсэл их
ашигтай байдаг. Энэ нь нөөцлөх техник биш боловч танд өөрийн нөөцүүддээ хандахаар
болох үед та хэрэг болох болно. Энэ нь сайтаас гаднах шууд
бус нөөцүүдийн хувьд ялангуяа чухал бөгөөд үе үе шалгагдаж байх ёстой.
Үүнээс илүү олон техникийг бодож олох нь амархан бөгөөд тэдгээрийн
ихэнх нь дээр дурдсан техникүүдийн өөр хувилбарууд юм. Тусгайлсан шаардлагууд нь
ихэвчлэн тусгайлсан техникт хүргэдэг (жишээ нь шууд ажиллаж байгаа мэдээллийн
баазыг нөөцлөх нь зөвхөн мэдээллийн санд зориулагдсан аргыг дундын шат
болгон ихэвчлэн ашиглахыг шаарддаг). Ямар аюулуудаас та хамгаалахыг хүсэж байгаа болон
тэдгээр тус бүртэй хэрхэн ажиллахаа мэдэх нь чухал юм.
Нөөцлөлтийн үндсүүд
Гурван гол нөөцлөх програм бол &man.dump.8;, &man.tar.1; болон
&man.cpio.1; юм.
Dump ба Restore
нөөцлөх програм хангамж
dump / restore
dump
restore
Уламжлалт &unix; нөөцлөх програмууд нь dump ба
restore юм. Тэдгээр нь файлын системүүдээр үүсгэгдсэн
файлууд, холбоосууд болон сангуудын хийсвэр ойлголтуудын доор хөтчүүд дээр дискний
блокуудын цуглуулга хэлбэрээр ажилладаг. Бусад нөөцлөх програмуудаас ялгаатай нь
dump нь төхөөрөмж дээрх бүхэл файлын системийг нөөцөлдөг. Файлын
системийн зөвхөн хэсгийг эсвэл нэгээс илүү файлын систем дагуу байрлах сангийн модыг
энэ нь нөөцөлж чаддаггүй. dump нь файлууд болон сангуудыг соронзон
хальс уруу бичдэггүй, харин файлууд болон сангуудаас тогтох түүхий өгөгдлийн блокуудыг
бичдэг. Өгөгдлийг задлахад хэрэглэгдэхдээ restore нь анхдагчаар
түр зуурын файлуудыг /tmp/ санд хадгалдаг. Хэрэв та жижиг
хэмжээний /tmp сан бүхий нөөц сэргээх диск дээрээс ажиллаж
байгаа бол сэргээлтийг амжилттай гүйцээхийн тулд илүү чөлөөтэй зайтай сан руу
TMPDIR орчны хувьсагчийг зааж өгөх хэрэгтэй байж болох юм.
Хэрэв та өөрийн root сандаа dump-г
хэрэглэвэл та /home,
/usr эсвэл бусад олон сангуудыг нөөцлөхгүй бөгөөд
үүний учир бол эдгээр нь ихэвчлэн бусад файлын системүүдийн холбох цэгүүд буюу
эсвэл тэдгээр файлын системүүд уруу заасан симболын холбоосууд байдаг.
dump нь өөрийн хөгжлийн эхний өдрүүд болох
AT&T UNIX-ийн 6-р хувилбараас (1975 он орчим) үлдсэн кодтой
байдаг. Анхдагч параметрүүд нь өнөөдөр байгаа өндөр нягтралтай (62,182 ftpi хүртэл)
зөөвөрлөгчид биш 9 зам (6250 bpi) бүхий соронзон хальсанд тохирдог. Одоогийн соронзон хальсны
хөтчүүдийн багтаамжийг хэрэглэхийн тулд эдгээр анхдагчуудыг тушаалын мөрөөс дарж
өөрчлөх ёстой.
.rhosts
Мөн сүлжээгээр өөр компьютерт холбогдсон соронзон хальсны хөтөч уруу өгөгдлийг
rdump болон rrestore
тушаал ашиглан нөөцлөх боломжтой байдаг. Энэ хоёр програм нь алсын соронзон хальсны
хөтчид хандахдаа &man.rcmd.3; болон &man.ruserok.3;-д тулгуурладаг.
Тиймээс нөөцлөлтийг хийж байгаа хэрэглэгч алсын компьютерийн
.rhosts файл дотор жагсаагдсан байх ёстой.
rdump болон rrestore
тушаалуудад өгөх нэмэлт өгөгдлүүд нь алсын компьютер дээр ашиглаж болохоор
байх ёстой. komodo гэж нэрлэгдсэн Sun уруу холбогдсон
Exabyte соронзон хальсны хөтөч уруу FreeBSD компьютераас rdump
хийхдээ дараах тушаалыг ашиглана:
&prompt.root; /sbin/rdump 0dsbfu 54000 13000 126 komodo:/dev/nsa8 /dev/da0a 2>&1
Болгоомжлоорой: .rhosts танин нэвтрэлтийг
зөвшөөрөх нь аюулгүй байдлын асуудлууд үүсгэдэг. Өөрийн нөхцөл байдлыг
анхааралтай үнэлэх хэрэгтэй.
Мөн dump болон restore
тушаалыг илүү аюулгүй загвараар ssh дээгүүр ашиглах
бас боломжтой байдаг.
<application>ssh</application>-ээр <command>dump</command>-г ашиглах нь
&prompt.root; /sbin/dump -0uan -f - /usr | gzip -2 | ssh -c blowfish \
targetuser@targetmachine.example.com dd of=/mybigfiles/dump-usr-l0.gz
Эсвэл dump-ийн дотор байдаг нэг арга болох RSH орчны хувьсагчийг
тохируулан ашиглаж болно:
<application>ssh</application>-ээр <envar>RSH</envar> тохируулан <command>dump</command>-г
ашиглах нь
&prompt.root; RSH=/usr/bin/ssh /sbin/dump -0uan -f targetuser@targetmachine.example.com:/dev/sa0 /usr
<command>tar</command>
нөөцлөх програм хангамж
tar
&man.tar.1; нь бас AT&T UNIX-ийн 6-р хувилбараас (1975 он орчим)
эхтэй. tar нь файлын системтэй хамт ажилладаг;
энэ нь файлууд болон сангуудыг соронзон хальс уруу бичдэг. tar
нь &man.cpio.1;-д байдаг бүрэн хэмжээний тохируулгуудыг дэмждэггүй боловч
энэ нь cpio-ийн хэрэглэдэг ховор тушаалын дамжуулах
хоолойг шаарддаггүй.
tar
FreeBSD 5.3 болон түүнээс хойшх хувилбарт GNU tar
болон анхдагч bsdtar тушаалууд байдаг. GNU хувилбарыг
gtar гэж ажиллуулж болдог. Энэ нь rdump-тай
адил дүрмийг ашиглаж алсын төхөөрөмжүүдийг дэмждэг.
komodo гэж нэрлэгдсэн Sun уруу холбогдсон
Exabyte соронзон хальсны хөтөч уруу tar
хийхдээ дараах тушаалыг ашиглана:
&prompt.root; /usr/bin/gtar cf komodo:/dev/nsa8 . 2>&1
Алсын соронзон хальсны хөтөч уруу өгөгдлийг илгээхдээ rsh болон
дамжуулах хоолой ашиглан bsdtar тушаалаар үүнийг бас
хийж болно.
&prompt.root; tar cf - . | rsh hostname dd of=tape-device obs=20b
Хэрэв та сүлжээгээр нөөцлөхийн аюулгүй байдалд санаа зовж байгаа бол
rsh-ийн оронд ssh тушаалыг
ашиглах хэрэгтэй.
<command>cpio</command>
нөөцлөх програм хангамж
cpio
&man.cpio.1; нь соронзон зөөвөрлөгчид зориулагдсан &unix;-ийн
анхны файл солилцох соронзон хальсны програм юм. cpio нь
(бусад олон тохируулгуудын дотроос) байт солилцохыг хийх, хэд хэдэн төрлийн
архивын хэлбэршүүлэлтүүдийг бичих болон өгөгдлийг өөр програм уруу хоолойгоор
гаргах зэрэг тохируулгуудтай байдаг. Сүүлийн боломж нь cpio-г
суулгацын зөөвөрлөгчийн хувьд сайн сонголт болгодог. cpio нь
сангийн модоор хэрхэн явахаа мэддэггүй бөгөөд файлуудын жагсаалтыг
stdin-ээс хангаж өгөх ёстой.
cpio
cpio нь сүлжээгээр нөөцлөхийг дэмждэггүй.
Та дамжуулах хоолой болон rsh-ийг ашиглаж өгөгдлийг
алсын соронзон хальсны хөтөч уруу илгээж болно.
&prompt.root; for f in directory_list; do
find $f >> backup.list
done
&prompt.root; cpio -v -o --format=newc < backup.list | ssh user@host "cat > backup_device"
directory_list нь таны нөөцлөхийг хүссэн
сангуудын жагсаалт бол
user@host нь
нөөцлөлтийг хийж байгаа хэрэглэгч/хостын нэрийн хослол бөгөөд
backup_device нь нөөцлөлт хийгдэх төхөөрөмж
(өөрөөр хэлбэл /dev/nsa0) юм.
<command>pax</command>
нөөцлөх програм хангамж
pax
pax
POSIX
IEEE
&man.pax.1; нь tar болон cpio
тушаалын IEEE/&posix;-ийн хариулт юм. Жил ирэх тутам tar болон
cpio тушаалуудын төрөл бүрийн хувилбарууд нь хоорондоо мэдэгдэхүйц
нийцгүй болж ирсэн юм. Тэдгээртэй тэмцэж бүр мөсөн стандартчилахын оронд
&posix; нь архивын шинэ хэрэгсэл үүсгэсэн юм. pax нь
өөрийн шинэ хэлбэршүүлэлтээс гадна cpio болон tar
тушаалуудын төрөл бүрийн хэлбэршүүлэлтийн ихэнхийг уншиж бичихийг оролддог.
Энэ тушаалын олонлог нь tar тушаалынхтай биш харин
cpio тушаалынхтай илүү төстэй байдаг.
<application>Amanda</application>
нөөцлөх програм хангамж
Amanda
Amanda
Amanda (Advanced Maryland
Network Disk Archiver) нь нэг програм биш клиент/сервер програм юм.
Amanda сервер нь ганц соронзон хальсны хөтөч уруу
Amanda клиенттэй, Amanda
сервер уруу сүлжээгээр холбогдсон дурын тооны компьютерийг нөөцлөх болно.
Хэд хэдэн том дискнүүд бүхий сайтууд дээр байдаг нийтлэг асуудлууд нь өгөгдлийг
соронзон хальс уруу нөөцлөхөд шаардагдах хугацаа нь уг үйлдлийн хувьд зориулагдсан
хугацаанаас илүү гарах явдал юм. Amanda нь
энэ асуудлыг шийддэг. Amanda нь
хэд хэдэн файлын системүүдийг нэг зэрэг нөөцлөхдөө holding disk буюу хүлээгдэх диск
ийг
ашигладаг. Amanda нь
архивын олонлогууд
буюу Amanda-ийн
тохиргооны файлд жагсаагдсан бүх файлын системүүдийн бүрэн нөөцлөлтүүдийг үүсгэхэд хэсэг хугацаанд
хэрэглэгдсэн бүлэг соронзон хальснуудыг үүсгэдэг. Архивын олонлогууд
нь бас
файлын системүүдийн шөнө болгоны нэмэгдсэн (эсвэл ялгаатай) нөөцлөлтүүдийг агуулдаг.
Эвдэрсэн файлын системийг сэргээх нь хамгийн сүүлийн бүрэн нөөцлөлт болон нэмэгдсэн
нөөцлөлтүүдийг шаарддаг.
Тохиргооны файл нь нөөцлөлтүүд болон Amanda-ийн
үүсгэдэг сүлжээний урсгалыг нарийн хянах боломжийг хангадаг. Amanda
нь өгөгдлийг соронзон хальс уруу бичихийн тулд дээр дурдсан нөөцлөлтийн програмуудыг
ашиглана. Amanda нь порт эсвэл багц хэлбэрээр
байдаг бөгөөд анхдагчаар суулгагдаагүй байдаг.
Юу ч хийхгүй байх
Юу ч хийхгүй байх
нь компьютерийн програм биш боловч энэ нь
хамгийн их ашиглагддаг нөөцлөлтийн стратеги юм. Ямар ч эхний зардал байхгүй.
Мөрдөх нөөцлөлтийн төлөвлөгөө байхгүй. Зүгээр л үгүй гэх хэрэгтэй. Хэрэв таны
өгөгдөлд ямар нэг асуудал тохиолдвол шүд зуугаад л тэвчих хэрэгтэй!
Хэрэв таны цаг болон өгөгдөл нь тийм ч чухал биш эсвэл юу ч биш бол
Do nothing буюу юу ч хийхгүй байх
нь таны компьютерийн
хувьд хамгийн тохиромжтой нөөцлөлтийн програм болох юм. Гэхдээ &unix;
нь ашигтай хэрэгсэл юм, та зургаан сарын дотор үнэтэй файлуудын цуглуулгатай болж
үүнийг мэдрэх болно.
Юу ч хийхгүй байх
нь /usr/obj
болон таны компьютераар яг үүсгэгдэж болох бусад сангийн моднуудын хувьд зөв
нөөцлөх арга болдог. Үүний жишээ нь энэ гарын авлагын HTML эсвэл &postscript;-с
тогтох хувилбарын файлууд байж болох юм. Эдгээр баримтын хэлбэршүүлэлтүүд нь
SGML оролтын файлуудаас үүсгэгддэг. HTML эсвэл &postscript; файлуудын
нөөцлөлтийг үүсгэх нь шаардлагагүй юм. SGML файлууд нь байнга нөөцлөгддөг.
Аль нөөцлөлтийн програм хамгийн шилдэг нь вэ?
LISA
&man.dump.8; Үе. Элизабет Д. Звики
энд дурдагдсан бүх нөөцлөлтийн програмуудыг зовоосон тест хийсэн. Өөрийн бүх өгөгдөл
болон &unix; файлын системүүдийн онцлогуудыг хадгалах цэвэр сонголт бол
dump болсон байна. Элизабет маш их төрөл бүрийн ховор
нөхцөлүүдийг (зарим нь тийм ч ховор биш) агуулсан файлын системүүдийг үүсгэж
тэдгээр файлын системүүдийг нөөцлөн дараа нь сэргээж програм бүрийг тест хийсэн
байна. Онцгой зүйлүүдэд цоорхойтой файлууд, хоосон блоктой болон цоорхойтой
файлууд, сонин тэмдэгт бүхий нэрээс тогтсон файлууд, бичигдэх боломжгүй уншигдах
боломжгүй файлууд, төхөөрөмжүүд, нөөцлөлтийн үед хэмжээгээ өөрчлөх файлууд,
нөөцлөлтийн үед үүсгэгдэж/устгагдсан файлууд зэргийг дурдаж болох юм.
Тэрээр үр дүнгээ 1991 оны 10 сард LISA дээр үзүүлсэн байна.
Нөөцлөлт
болон Архивын програмуудыг зовоох тест холбоосыг үзнэ үү.
Яаралтай сэргээх процедур
Гамшгийн өмнө
Учирч болзошгүй гамшигт бэлтгэхийн тулд таны хийх ёстой дөрвөн
үе шат байдаг.
bsdlabel
Эхлээд өөрийн диск бүрийн bsdlabel
(өөрөөр хэлбэл bsdlabel da0 | lpr), өөрийн
файлын системийн хүснэгт (/etc/fstab) болон
бүх ачаалалтын мэдэгдлүүдийг тус бүр хоёр хувь хэвлэх хэрэгтэй.
fix-it уян дискнүүд
Дараа нь ачаалах болон уян дискнүүд
(boot.flp болон fixit.flp)
таны бүх төхөөрөмжүүдийг агуулсан эсэхийг тодорхойлно. Хамгийн хялбараар
шалгах арга нь уян дискний хөтөчдөө ачаалах уян дискийг хийж дахин ачаалж ачаалалтын
мэдэгдлүүдийг шалгах явдал юм. Хэрэв таны бүх төхөөрөмжүүд байгаад ажиллаж
байвал гуравдугаар алхам уруу алгасаарай.
Эсрэг тохиолдолд та өөрийн бүх дискийг холбож таны соронзон хальсны хөтчид хандаж чадах
цөм бүхий тусгайлсан хоёр ачаалагдах уян диск бэлдэх хэрэгтэй. Эдгээр уян дискнүүд нь
fdisk, bsdlabel,
newfs, mount болон
таны ашигладаг програмуудыг агуулсан байх ёстой. Эдгээр програмууд нь
статикаар холбогдсон байх ёстой. Хэрэв та dump-г
ашигласан бол уян диск нь restore-г агуулсан байх
ёстой.
Гуравдугаарт нөөц соронзон хальснуудыг байнга үүсгэж байх хэрэгтэй. Таны сүүлийн нөөцлөлтөөс
хойш хийгдсэн өөрчлөлтүүд буцааж авагдах боломжгүйгээр алга болж болох юм. Нөөц
соронзон хальснууд уруу хийж болзошгүй бичилтийг хамгаалах хэрэгтэй.
Дөрөвдүгээрт уян дискнүүд (boot.flp болон
fixit.flp аль эсвэл хоёрдугаар үе дээр таны хийсэн
тусгайлсан хоёр ачаалагдах уян дискнүүд.) болон нөөц соронзон хальснуудыг тест хийнэ.
Процедурынхаа талаар тэмдэглэгээ хийх хэрэгтэй. Эдгээр тэмдэглэгээнүүдээ
ачаалагдах уян дискнүүд, хэвлэсэн зүйл болон нөөц соронзон хальснуудтайгаа цуг хадгалах
хэрэгтэй. Сэргээж байх үед таны анхаарал их сарнисан байж болох бөгөөд тэдгээр
тэмдэглэгээнүүд чинь таныг өөрийн нөөц соронзон хальснуудаа устгахаас сэргийлэх болно
(Яаж? tar xvf /dev/sa0 тушаалын оронд та
санамсаргүйгээр tar cvf /dev/sa0 гэж бичээд өөрийн
нөөц соронзон хальсыг дарж бичиж болох юм).
Аюулгүй байдлын нэмэгдэл арга хэмжээ болгож тухайг бүрт нь ачаалагдах уян
дискнүүд болон нөөц соронзон хальс хоёрыг бэлдэж байх хэрэгтэй. Тус бүрийг нь тусад нь алсад
өөр газар хадгалах хэрэгтэй. Тэр өөр газар нь яг тэр оффисийн байрны подвал байх
ЁСГҮЙ. Дэлхийн Худалдааны Төвийн хэд хэдэн фирм үүнийг хэцүү замаар мэдэрсэн
юм. Тэр өөр газар нь таны компьютерууд болон дискний хөтчүүдээс тусгаарлагдсан
физикийн хувьд нэлээд зайтай газар байх ёстой.
Ачаалагдах уян диск үүсгэх скрипт
/mnt/sbin/init
gzip -c -best /sbin/fsck > /mnt/sbin/fsck
gzip -c -best /sbin/mount > /mnt/sbin/mount
gzip -c -best /sbin/halt > /mnt/sbin/halt
gzip -c -best /sbin/restore > /mnt/sbin/restore
gzip -c -best /bin/sh > /mnt/bin/sh
gzip -c -best /bin/sync > /mnt/bin/sync
cp /root/.profile /mnt/root
chmod 500 /mnt/sbin/init
chmod 555 /mnt/sbin/fsck /mnt/sbin/mount /mnt/sbin/halt
chmod 555 /mnt/bin/sh /mnt/bin/sync
chmod 6555 /mnt/sbin/restore
#
# create minimum file system table
#
cat > /mnt/etc/fstab < /mnt/etc/passwd < /mnt/etc/master.passwd <
Гамшгийн дараа
Түлхүүр асуулт бол: таны тоног төхөөрөмж амьд гарч чадсан уу? Байнгын
нөөцлөлт хийж байсан болохоор програм хангамжийн талаар та санаа зовох хэрэггүй
юм.
Хэрэв тоног төхөөрөмж эвдэрсэн бол компьютерийг ашиглахаасаа өмнө
эвдэрсэн хэсгүүдийг солих шаардлагатай.
Хэрэв таны тоног төхөөрөмж зүгээр байгаа бол уян дискнүүдээ шалгаарай.
Хэрэв та тусгайлан өөрчилсөн ачаалах уян диск ашиглаж байгаа бол ганц хэрэглэгчийн
горим уруу ачаалах хэрэгтэй (boot: хүлээх мөрөн дээр
-s гэж бичнэ). Дараагийн хэсгийг алгасаарай.
Хэрэв та boot.flp болон
fixit.flp уян дискнүүдийг ашиглаж байгаа бол
цааш нь уншаарай. boot.flp уян дискээ эхний уян дискний
хөтөчдөө хийгээд компьютераа ачаалах хэрэгтэй. Эхний суулгах цэс дэлгэц дээр гарах
болно. Fixit--Repair mode with CDROM or floppy.
тохируулгыг сонгоно. fixit.flp-г асуухад нь хийнэ.
Танд хэрэгтэй restore болон бусад програмууд
/mnt2/rescue санд байрлана
(5.2 хувилбараас хуучин &os;-ийн хувьд
/mnt2/stand).
Файлын систем бүрийг тус тусад нь сэргээнэ.
mount
root хуваалт
bsdlabel
newfs
Өөрийн эхний дискний root хуваалтыг mount (өөрөөр хэлбэл
mount /dev/da0a /mnt) хийхийг оролдоорой. Хэрэв bsdlabel
эвдэрсэн бол bsdlabel тушаалыг ашиглан дискийг дахин
хувааж таны хэвлэж хадгалсан шошготой адил тааруулж хаяглах хэрэгтэй.
newfs тушаал ашиглан файлын системүүдийг дахин үүсгэнэ.
Уян дискний root хуваалтыг унших-бичихээр дахин холбох хэрэгтэй (mount -u -o rw
/mnt). Энэ файлын системийн хувьд өгөгдлийг сэргээхийн тулд
өөрийн нөөцлөх програм болон соронзон хальснуудыг ашиглана (өөрөөр хэлбэл restore vrf
/dev/sa0). Файлын системийг салгана (өөрөөр хэлбэл umount
/mnt). Эвдэрсэн файлын систем бүрийн хувьд давтана.
Таны систем ажилласны дараа өөрийн өгөгдлийг шинэ соронзон хальс уруу нөөцлөх хэрэгтэй.
Сүйрэл эсвэл өгөгдлийн алдагдалд хүргэсэн тэр явдал дахин болж болох юм. Одоо зарцуулсан
нэг цаг таныг зовлонд учрахаас хожим аварч болох юм.
* I Did Not Prepare for the Disaster, What Now?
]]>
Марк
Фонвил
Дахин зохион байгуулж өргөжүүлсэн
Сүлжээ, санах ой болон файл дээр тулгуурласан файлын системүүд
виртуал дискнүүд
дискнүүд
виртуал
Өөрийн компьютер уруу физикээр хийж болдог уян диск, CD-үүд, хатуу хөтчүүд гэх зэрэг
дискнүүдээс гадна бусад хэлбэрийн дискнүүд буюу виртуал дискнүүдийг
FreeBSD ойлгодог.
NFS
Coda
дискнүүд
санах ой
Эдгээрт Network File System буюу сүлжээний файлын систем
болон Coda зэрэг сүлжээний файлын системүүд, санах ой дээр тулгуурласан файлын
системүүд болон файл дээр тулгуурласан файлын системүүд орно.
FreeBSD-ийн ямар хувилбарыг ажиллуулж байгаагаас хамаарч та
файл дээр болон санах ой дээр тулгуурласан файлын системүүдийг үүсгэж
ашиглахдаа өөр өөр хэрэгслүүдийг хэрэглэх шаардлагатай болно.
Хэрэглэгчийн хувьд мэдэгдэлгүйгээр төхөөрөмжийн цэгүүдийг хуваарилахын тулд
&man.devfs.5;-г ашиглана.
Файл дээр тулгуурласан файлын систем
дискнүүд
файл дээр тулгуурласан
&man.mdconfig.8; хэрэгсэл нь FreeBSD дээр санах ой дээр тулгуурласан
дискнүүд, &man.md.4;-г тохируулж идэвхжүүлэхэд хэрэглэгддэг.
&man.mdconfig.8;-г ашиглахын тулд та &man.md.4; модулийг ачаалах
хэрэгтэй, эсвэл өөрийн цөмийн тохиргооны файлдаа дэмжлэгийг нэмэх
хэрэгтэй болно:
device md
&man.mdconfig.8; тушаал нь гурван төрлийн санах ой дээр тулгуурласан
виртуал дискийг дэмждэг: эдгээр нь &man.malloc.9;-р хуваарилагдсан санах
ойн дискнүүд, файл эсвэл swap зай ашигласан санах ойн дискнүүд юм.
Нэг боломжтой хэрэглээ нь файлд хадгалагдсан уян эсвэл CD дүрсийг
холбох явдал юм.
Байгаа файлын системийн дүрсийг холбохдоо:
<command>mdconfig</command> ашиглан байгаа файлын системийн дүрсийг холбох нь
&prompt.root; mdconfig -a -t vnode -f diskimage -u 0
&prompt.root; mount /dev/md0 /mnt
&man.mdconfig.8; ашиглан шинэ файлын системийн дүрсийг үүсгэхдээ:
<command>mdconfig</command> тушаал ашиглан шинэ файл дээр тулгуурласан диск үүсгэх нь
&prompt.root; dd if=/dev/zero of=newimage bs=1k count=5k
5120+0 records in
5120+0 records out
&prompt.root; mdconfig -a -t vnode -f newimage -u 0
&prompt.root; bsdlabel -w md0 auto
&prompt.root; newfs md0a
/dev/md0a: 5.0MB (10224 sectors) block size 16384, fragment size 2048
using 4 cylinder groups of 1.25MB, 80 blks, 192 inodes.
super-block backups (for fsck -b #) at:
160, 2720, 5280, 7840
&prompt.root; mount /dev/md0a /mnt
&prompt.root; df /mnt
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/md0a 4710 4 4330 0% /mnt
Хэрэв та тохируулгаар нэгжийн дугаарыг
зааж өгөхгүй юм бол &man.mdconfig.8; нь хэрэглэгдээгүй төхөөрөмжийг
сонгохын тулд &man.md.4; автомат хуваарилалтыг ашиглах болно.
Хуваарилагдсан нэгжийн нэр нь stdout уруу md4
мэтээр гарах болно. &man.mdconfig.8;-ийн тухай дэлгэрэнгүй
мэдээллийг гарын авлагын хуудаснаас лавлана уу.
&man.mdconfig.8; хэрэгсэл нь их ашигтай, гэхдээ энэ нь
файл дээр тулгуурласан файлын систем үүсгэхийн тулд олон тушаалын мөрийг
асуудаг. FreeBSD нь бас &man.mdmfs.8; гэж нэрлэгддэг хэрэгсэлтэй
ирдэг, энэ програм нь &man.md.4;-г &man.mdconfig.8; тушаал
ашиглан тохируулж &man.newfs.8; ашиглан UFS файлын систем түүн
дээр тавьж &man.mount.8; ашиглан түүнийг холбодог. Жишээ нь
хэрэв та дээрхтэй ижил файлын системийн дүрсийг үүсгэж холбохыг
хүсвэл ердөө л дараах тушаалыг бичээрэй:
<command>mdmfs</command> тушаал ашиглан файл дээр тулгуурласан дискийг тохируулж холбох нь
&prompt.root; dd if=/dev/zero of=newimage bs=1k count=5k
5120+0 records in
5120+0 records out
&prompt.root; mdmfs -F newimage -s 5m md0 /mnt
&prompt.root; df /mnt
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/md0 4718 4 4338 0% /mnt
Хэрэв та тохируулгыг нэгжийн дугааргүй
ашиглавал &man.mdmfs.8; нь ашиглагдаагүй төхөөрөмжийг автоматаар
сонгохдоо &man.md.4; авто-нэгж боломжийг ашиглах болно.
&man.mdmfs.8;-ийн тухай дэлгэрэнгүй мэдээллийг гарын авлагын
хуудаснаас лавлана уу.
Санах ой дээр тулгуурласан файлын систем
дискнүүд
санах ойн файлын систем
Санах ой дээр тулгуурласан файлын системийн хувьд
swap backing буюу swap дээрх тулгуурлалтыг
ихэнхдээ ашиглах хэрэгтэй. swap дээрх тулгуурлалтыг ашиглах нь санах ойн
диск нь анхдагчаар диск уруу swap хийгдэнэ гэсэн үг биш бөгөөд харин ердөө л санах
ойн диск нь санах ойн цөөрмөөс хуваарилагдаж хэрэв хэрэгцээтэй бол диск уруу
swap хийгдэж болно гэсэн үг юм. Мөн &man.malloc.9; дээр тулгуурласан
санах ойн дискийг үүсгэх боломжтой байдаг. Гэхдээ malloc дээр тулгуурласан
санах ойн дискнүүдийг, ялангуяа том хэмжээтэйг нь ашиглах нь цөм санах ойгүй
болох тохиолдолд системийг сүйрэлд хүргэж болох юм.
<command>mdconfig</command> тушаал ашиглан шинэ санах ой
дээр тулгуурласан диск үүсгэх нь
&prompt.root; mdconfig -a -t swap -s 5m -u 1
&prompt.root; newfs -U md1
/dev/md1: 5.0MB (10240 sectors) block size 16384, fragment size 2048
using 4 cylinder groups of 1.27MB, 81 blks, 192 inodes.
with soft updates
super-block backups (for fsck -b #) at:
160, 2752, 5344, 7936
&prompt.root; mount /dev/md1 /mnt
&prompt.root; df /mnt
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/md1 4718 4 4338 0% /mnt
<command>mdmfs</command> тушаал ашиглан шинэ санах ой
дээр тулгуурласан диск үүсгэх нь
&prompt.root; mdmfs -s 5m md2 /mnt
&prompt.root; df /mnt
Filesystem 1K-blocks Used Avail Capacity Mounted on
/dev/md2 4846 2 4458 0% /mnt
Системээс санах ойн дискийг салгах нь
дискнүүд
санах ойн дискийг салгах нь
Санах ой дээр тулгуурласан эсвэл файл дээр тулгуурласан файлын систем
ашиглагдахгүй байгаа бол та бүх эх үүсвэрүүдийг системд суллаж өгөх
шаардлагатай. Эхний хийх ёстой зүйл нь файлын системийг салгаад дараа нь
&man.mdconfig.8; ашиглан дискийг системээс салгаж эх үүсвэрүүдийг
суллана.
Жишээ нь /dev/md4-г салгаж түүний хэрэглэсэн
бүх эх үүсвэрүүдийг чөлөөлөхийн тулд дараах тушаалыг ажиллуулна:
&prompt.root; mdconfig -d -u 4
Тохиргоо хийгдсэн &man.md.4; төхөөрөмжүүдийн тухай мэдээллийг
mdconfig -l тушаал ашиглан жагсааж болно.
Том
Рөүдс
Хувь нэмэр болгон оруулсан
Файлын системийн хормын хувилбарууд
файлын системүүд
хормын хувилбарууд
FreeBSD нь Soft Updates
буюу зөөлөн шинэчлэлтүүдийн хамт Файлын системийн хормын хувилбарууд
боломжийг санал болгодог.
Хормын хувилбарууд нь заасан файлын системүүдийн дүрсийг үүсгэж
тэдгээртэй файлтай ханддаг шиг хандах боломжийг хэрэглэгчид зөвшөөрдөг.
Хормын хувилбарын файлууд нь үйлдэл хийгдсэн файлын систем дээр
үүсгэгдэх ёстой бөгөөд нэг файлын системийн хувьд 20-с ихгүй хормын
хувилбаруудыг хэрэглэгч үүсгэж болно. Идэвхтэй хормын хувилбарууд нь
супер блокт бичигддэг бөгөөд ингэснээр тэдгээр нь системийн дахин ачаалалтуудын
үед салгах болон дахин холбох явцад тэсвэртэй байдаг. Хормын хувилбар нь
хэрэггүй болсон үед энэ нь стандарт &man.rm.1; тушаалаар устгагдаж
болно. Хормын хувилбарууд нь ямар ч дарааллаар устгагдаж болох
бөгөөд гэхдээ ашиглагдсан бүх зайг дахин олж авахгүй байж болох юм.
Учир нь өөр нэг хормын хувилбар чөлөөлөгдсөн блокуудын заримыг
шаардаж болзошгүй юм.
Өөрчлөгдөхгүй файл тохируулга нь
хормын хувилбарыг эхлээд үүсгэсний дараа &man.mksnap.ffs.8; тушаалаар
заагддаг. &man.unlink.1; тушаал нь хормын хувилбарын файлуудын хувьд
орхидог бөгөөд учир нь энэ нь тэдгээрийг устгахыг зөвшөөрдөг байна.
Хормын хувилбарууд нь &man.mount.8; тушаалаар үүсгэгддэг.
/var-ийн хормын хувилбарыг
/var/snapshot/snap файлд байрлуулахын тулд
дараах тушаалыг ашиглана:
&prompt.root; mount -u -o snapshot /var/snapshot/snap /var
Өөрөөр та хормын хувилбар үүсгэхийн тулд &man.mksnap.ffs.8;-г
ашиглаж болно:
&prompt.root; mksnap_ffs /var /var/snapshot/snap
Файлын систем (өөрөөр хэлбэл /var) дээр хормын хувилбарын
файлуудыг &man.find.1; тушаал ашиглан олж болно:
&prompt.root; find /var -flags snapshot
Хормын хувилбар үүсгэгдсэний дараа энэ нь хэд хэдэн хэрэглээтэй
байдаг:
Зарим администраторууд хормын хувилбарын файлыг нөөцийн зорилгоор
ашигладаг, учир нь хормын хувилбар нь CD-үүд эсвэл соронзон хальс уруу
дамжуулагдаж болдог.
Файлын системийн бүрэн бүтэн байдлыг шалгадаг &man.fsck.8; нь
хормын хувилбар дээр ажиллаж болдог. Файлын систем нь холбогдсон
үедээ цэвэр байсан гэж үзвэл та үргэлж цэвэр (өөрчлөгдөөгүй)
үр дүнг авах болно. Үүнийг гол нь арын &man.fsck.8;
процесс хийдэг.
&man.dump.8; хэрэгслийг хормын хувилбар дээр ажиллуулдаг.
Хормын хувилбарын файлын систем болон цагтай нэг янз хуулбар
хийгддэг. &man.dump.8; нь бас хормын хувилбарыг авч
нөөц дүрсийг үүсгэж чаддаг бөгөөд дараа нь хормын хувилбарыг
нэг тушаалаар тугийг ашиглан устгаж
чаддаг.
Хормын хувилбарыг файлын системийн хөлдөөгдсөн дүрс маягаар
&man.mount.8; хийдэг. /var/snapshot/snap
хормын хувилбарыг &man.mount.8; хийхийн тулд доор дурдсаныг
ажиллуулна:
&prompt.root; mdconfig -a -t vnode -f /var/snapshot/snap -u 4
&prompt.root; mount -r /dev/md4 /mnt
Та одоо /mnt-д холбогдсон өөрийн хөлдөөгдсөн
/var файлын системийн шатлалаар аялж болно.
Хормын хувилбар үүсгэх үе дэх төлвийн адил төлөвт бүгд эхлээд байна.
Цорын ганц өөр зүйл нь өмнөх хормын хувилбарууд нь тэг урттай файлууд
маягаар гарч ирэх болно. Хормын хувилбарын хэрэглээг хязгаарлах
үед үүнийг дараах тушаалыг ажиллуулан салгаж болно:
&prompt.root; umount /mnt
&prompt.root; mdconfig -d -u 4
буюу зөөлөн шинэчлэлтүүд болон
файлын системийн хормын хувилбаруудын талаар дэлгэрэнгүй мэдээллийг
техникийн баримтуудыг оролцуулаад та Маршал Кирк МкКюзикийн вэб хуудас
уруу зочлон орж үзэж болно.
Файлын системийн ноогдлууд
бүртгэл хийх
дискний зай
дискний ноогдлууд
Quota буюу ноогдол нь хэрэглэгч эсвэл бүлгийн гишүүдийн хувьд дискний зай ба/эсвэл
файлуудын тоог файлын систем тус бүрийн хувьд хуваарилж хязгаарлах боломжийг
бүрдүүлэх үйлдлийн системийн нэг нэмэлт боломж юм. Энэ нь дурын нэг хэрэглэгч
эсвэл бүлэг хэрэглэгчдийн хуваарилж болох эх үүсвэрүүдийг хязгаарлах шаардлагатай
цаг хуваалцах систем дээр ихэвчлэн хэрэглэгддэг. Энэ нь нэг хэрэглэгч эсвэл
бүлэг хэрэглэгчид бүх байгаа дискний зайг хэрэглэхээс хамгаалдаг юм.
Дискний ноогдлуудыг идэвхтэй болгохын тулд өөрийн системийг тохируулах нь
Дискний ноогдлыг ашиглаж эхлэхээсээ өмнө ноогдлууд нь цөмд тохируулагдсан
эсэхийг шалгах шаардлагатай. Дараах мөрийг өөрийн цөмийн тохиргооны файлд
нэмж үүнийг хийнэ:
options QUOTA
Анхны GENERIC цөм нь үүнийг анхнаасаа идэвхжүүлээгүй
байдаг болохоор та дискний ноогдлуудыг ашиглахын тулд тусгайлсан цөмийг тохируулж бүтээн
суулгах хэрэгтэй болох юм. Цөмийн тохиргооны талаар дэлгэрэнгүй мэдээллийг
-с лавлана уу.
Дараа нь та дискний ноогдлуудыг /etc/rc.conf файлд
идэвхжүүлэх хэрэгтэй. Дараах мөрийг нэмж үүнийг хийнэ:
enable_quotas="YES"
дискний ноогдлууд
шалгах нь
Өөрийн ноогдлын эхлүүлэлтэд сайн хяналт тавихад хэрэгтэй нэмэлт тохиргооны
хувьсагчууд байдаг. Ердийн үед ачаалалтын үеэр файлын систем бүрийн ноогдлын
бүрэн бүтэн байдал &man.quotacheck.8; програмаар шалгагддаг.
&man.quotacheck.8; боломж нь ноогдлын мэдээллийн бааз дахь өгөгдөл
файлын систем дээрх өгөгдлийг зөв тусгаж байгаа эсэхийг шалгаж байдаг.
Энэ нь хугацаа их шаардсан процесс бөгөөд таны систем ачаалах хугацаанд мэдэгдэхүйц
нөлөөлдөг. Хэрэв та энэ алхмыг алгасахыг хүсвэл энэ зорилгоор хувьсагчийг
/etc/rc.conf файлд тохируулах хэрэгтэй:
check_quotas="NO"
Төгсгөлд нь та файлын систем бүрийн хувьд дискний ноогдлуудыг идэвхжүүлэхийн
тулд /etc/fstab файлыг засварлах хэрэгтэй.
Энд та хэрэглэгч эсвэл бүлгийн ноогдлууд эсвэп хоёуланг нь өөрийн бүх файлын системийн
хувьд идэвхжүүлэх боломжтой юм.
Файлын систем дээр хэрэглэгч бүрийн хувьд ноогдлуудыг идэвхжүүлэхийн тулд
өөрийн ноогдлууд идэвхжүүлэхийг хүсэж байгаа файлын системийн хувьд
/etc/fstab файлын харгалзах оруулгын options буюу
тохируулгыг заах талбарт тохируулгыг нэмж
өгөх хэрэгтэй. Жишээ нь:
/dev/da1s2g /home ufs rw,userquota 1 2
Үүнтэй төстэйгээр бүлгийн ноогдлуудыг идэвхжүүлэхийн тулд
тохируулгын оронд
тохируулгыг ашиглах хэрэгтэй. Хэрэглэгч болон бүлгийн ноогдлуудыг хоёуланг нь
идэвхжүүлэхийн тулд оруулгыг ингэж өөрчилнө:
/dev/da1s2g /home ufs rw,userquota,groupquota 1 2
Анхдагчаар ноогдлын файлууд файлын системийн root санд
хэрэглэгчийн ноогдлын хувьд quota.user, бүлгийн
ноогдлын хувьд quota.group нэрээр хадгалагддаг.
Дэлгэрэнгүй мэдээллийг &man.fstab.5;-с үзнэ үү. &man.fstab.5;
гарын авлагын хуудас ноогдлын файлуудын хувьд өөр байрлалыг зааж өгч болохыг
хэлдэг боловч ноогдлын төрөл бүрийн хэрэгслүүд үүнтэй зөв ажиллаж чаддаггүй
болохоор ингэхийг зөвлөдөггүй юм.
Энэ үед хүрээд та өөрийн системийг шинэ цөмтэй дахин ачаалах хэрэгтэй.
/etc/rc нь таны /etc/fstab
файлд идэвхжүүлсэн бүх ноогдлуудын хувьд эхний ноогдлын файлуудыг үүсгэдэг
тохирох тушаалуудыг автоматаар ажиллуулах бөгөөд ингэснээр ямар ч тэг урттай ноогдлын
файлуудыг гараар үүсгэх шаардлагагүй юм.
Ердийн үйлдлүүдийн үед &man.quotacheck.8;, &man.quotaon.8;, эсвэл
&man.quotaoff.8; тушаалуудыг та заавал ажиллуулах ёсгүй юм. Гэхдээ
тэдгээрийн хийдэг үйлдлүүдтэй танилцахын тулд тэдгээрийн гарын авлагын хуудаснуудыг
уншихыг хүсэж болох юм.
Ноогдлын хязгаарлалтуудыг тохируулах нь
дискний ноогдлууд
хязгаарлалтууд
Та ноогдлыг идэвхжүүлж өөрийн системийг тохируулсны дараа тэдгээр нь
яг жинхэнэдээ идэвхтэй болсон эсэхийг шалгаарай. Үүнийг хийх хялбар арга нь
дараах тушаалыг ажиллуулах явдал юм:
&prompt.root; quota -v
Та ноогдлууд идэвхжүүлэгдсэн файлын систем бүрийн хувьд дискний хэрэглээ
болон тухайн үеийн ноогдлын хязгаарлалтуудын ерөнхий нэг мөр үр дүнг харах
ёстой.
Та одоо &man.edquota.8; тушаал ашиглан ноогдлын хязгаарлалтуудыг
зааж өгч эхлэхэд бэлэн боллоо.
Хэрэглэгч эсвэл бүлгийн хуваарилж болох дискний зай болон тэд хичнээн файл
үүсгэж болох хэмжээний хязгаарлалтуудыг хүчлэн зааж өгч болох хэд хэдэн сонголт танд
байдаг. Та хуваарилалтыг дискний зай (блок ноогдлууд) эсвэл файлын тоо (inode ноогдлууд)
эсвэл хоёулангийн хослолоор хязгаарлан өгч болно. Эдгээр хязгаарлалт бүр дараа нь
хоёр зэрэглэлт хуваагддаг: энэ нь хатуу ба зөөлөн хязгаарлалтууд юм.
хатуу хязгаарлалт
Хатуу хязгаарлалтаас илүү гарч болохгүй. Хэрэглэгч өөрийн хатуу хязгаарлалтад
хүрэхэд асуудалтай байгаа файлын систем дээр хэрэглэгч ямар ч хуваарилалт хийж
чадахгүй болно. Жишээ нь хэрэв хэрэглэгч файлын систем дээр 500 кбайт хатуу
хязгаарлалттай бөгөөд 490 кбайтыг одоогоор ашиглаж байгаа бол хэрэглэгч
зөвхөн 10 кбайтыг нэмж хуваарилж чадна. 11 кбайт нэмж хуваарилахыг оролдох нь
амжилтгүй болох болно.
зөөлөн хязгаарлалт
Нөгөө талаас зөөлөн хязгаарлалтууд нь тодорхой хугацааны туршид илүү гарч
болно. Энэ хугацааг энэрэнгүй хугацаа гэдэг бөгөөд анхдагчаар нэг долоо хоног
байдаг. Хэрэв хэрэглэгч өөрийн зөөлөн хязгаарлалтаас илүү гарсан хэвээр
энэрэнгүй хугацааг өнгөрөх юм бол зөөлөн хязгаарлалт нь хатуу хязгаарлалт болж
дахин хуваарилалтыг зөвшөөрдөггүй. Хэрэглэгч зөөлөн хязгаарлалтаас доош
орвол энэрэнгүй хугацаа дахин тавигдах болно.
Дараах нь &man.edquota.8; тушаалыг ажиллуулах үед таны харж болох
гаралтын жишээ юм. &man.edquota.8; тушаалыг ажиллуулахад
EDITOR орчны хувьсагчид заагдсан засварлагч уруу
эсвэл EDITOR хувьсагч заагдаагүй бол
vi засварлагч уруу таныг оруулах бөгөөд энэ нь
ноогдлын хязгаарлалтуудыг засварлах боломжийг танд олгоно.
&prompt.root; edquota -u test
Quotas for user test:
/usr: kbytes in use: 65, limits (soft = 50, hard = 75)
inodes in use: 7, limits (soft = 50, hard = 60)
/usr/var: kbytes in use: 0, limits (soft = 50, hard = 75)
inodes in use: 0, limits (soft = 50, hard = 60)
Та ноогдлууд идэвхжүүлэгдсэн файлын систем бүрийн хувьд хоёр мөрийг ердийн үед
харах болно. Нэг мөр нь блокийн хязгаарлалтад, нөгөө мөр нь inode хязгаарлалтад
зориулагддаг. Ноогдлын хязгаарлалтуудыг өөрчлөхийн тулд та ердөө л утгыг шинэчлэхийг хүсэж
байгаа утгаараа солих хэрэгтэй. Жишээ нь энэ хэрэглэгчийн блок хязгаарлалтыг
зөөлөн хязгаарлалт 50, хатуу хязгаарлалт 75 байсныг зөөлөн хязгаарлалт 500 болон
хатуу хязгаарлалт 600 болгон өсгөхийн тулд дараах:
/usr: kbytes in use: 65, limits (soft = 50, hard = 75)
мөрийг доорх шиг болгож өөрчлөх хэрэгтэй:
/usr: kbytes in use: 65, limits (soft = 500, hard = 600)
Таныг засварлагчаас гарсны дараа шинэ ноогдлын хязгаарлалтууд
байрандаа орох болно.
Заримдаа ноогдлын хязгаарлалтуудыг зарим UID-ийн хүрээний хувьд
зааж өгөх шаардлага гардаг. Үүнийг &man.edquota.8; тушаалд
тохируулгыг ашиглан хийдэг. Эхлээд хэрэглэгчид
хүссэн ноогдлын хязгаарлалтаа зааж өгөөд дараа нь
edquota -p protouser startuid-enduid
тушаалыг ажиллуулна. Жишээ нь хэрэв хэрэглэгч test
хүссэн ноогдлын хязгаарлалттай байгаа бол энэ ноогдлын хязгаарлалтыг
10,000-с 19,999 хүртэлх UID-уудад хувилж хамааруулахын тулд дараах тушаалыг
ажиллуулна:
&prompt.root; edquota -p test 10000-19999
Дэлгэрэнгүй мэдээллийг &man.edquota.8; гарын авлагын хуудаснаас үзнэ үү.
Ноогдлын хязгаарлалтууд болон дискний хэрэглээг шалгах нь
дискний ноогдлууд
шалгах нь
Ноогдлын хязгаарлалтууд болон дискний хэрэглээг шалгахын тулд
та &man.quota.1; эсвэл &man.repquota.8; тушаалын нэгийг
ашиглаж болно. &man.quota.1; тушаалыг хэрэглэгч эсвэл бүлгийн
ноогдлууд болон дискний зайг шалгахад хэрэглэж болно. Хэрэглэгч нь
зөвхөн өөрийн ноогдол болон өөрийн гишүүн бүлгийн ноогдлыг шалгаж
чадна. Зөвхөн супер хэрэглэгч бүх хэрэглэгч болон бүлгийн ноогдлуудыг
харж болно. &man.repquota.8; тушаалыг ноогдлууд идэвхжүүлэгдсэн
файлын системүүдийн хувьд бүх ноогдлууд болон дискний хэрэглээний
ерөнхий дүнг авахад хэрэглэж болно.
Дараах нь хоёр файлын систем дээр ноогдлын хязгаарлалттай хэрэглэгчийн
хувьд quota -v тушаалын жишээ гаралт
юм.
Disk quotas for user test (uid 1002):
Filesystem usage quota limit grace files quota limit grace
/usr 65* 50 75 5days 7 50 60
/usr/var 0 50 75 0 50 60
энэрэнгүй хугацаа
Дээрх жишээний /usr файлын систем дээр
хэрэглэгч 50 кбайтын зөөлөн хязгаарлалтыг 15 кбайтаар илүүдүүлсэн
байгаа бөгөөд 5 хоногийн энэрэнгүй хугацаа үлдсэн байна. Од
* тэмдэгт нь хэрэглэгч өөрийн ноогдлын хязгаарлалтаас
илүү гарсныг харуулж байна.
Ердийн үед хэрэглэгч ямар ч дискний зай ашиглаагүй байгаа тийм файлын системүүд,
файлын системийн хувьд ноогдлын хязгаарлалт байсан ч гэсэн &man.quota.1; тушаалын
гаралтад харагддаггүй байна. тохируулга нь тэдгээр
файлын системүүдийг харуулах бөгөөд дээрх жишээн дээр
/usr/var файлын системийг харуулж
байна.
NFS дээгүүрх ноогдлууд
NFS
Ноогдлууд нь NFS сервер дээр ноогдлын дэд системээр хянагддаг.
&man.rpc.rquotad.8; демон нь NFS клиентүүд дээр өөрсдийн ноогдлын
статистикуудыг хэрэглэгчдэд үзэх боломжийг олгож ноогдлын мэдээллийг тэдгээр
машинууд дээр &man.quota.1; тушаалд бэлэн болгож өгдөг.
rpc.rquotad-г
/etc/inetd.conf файлд ингэж идэвхжүүлнэ:
rquotad/1 dgram rpc/udp wait root /usr/libexec/rpc.rquotad rpc.rquotad
Одоо inetd-г дахин ачаал:
&prompt.root; /etc/rc.d/inetd restart
Лаки
Грийн
Хувь нэмэр болгон оруулсан
shamrock@cypherpunks.to
Дискний хуваалтуудыг шифрлэх нь
дискнүүд
шифрлэх нь
FreeBSD нь өгөгдөлд зөвшөөрөгдөөгүй хандах хандалтын эсрэг
маш сайн шууд хамгаалалтуудыг санал болгодог. Файлын зөвшөөрлүүд болон
Mandatory Access Control (MAC) буюу Албадмал Хандалт Хяналт
(-г үзнэ үү) нь компьютер ассан, үйлдлийн систем
идэвхтэй байх үед зөвшөөрөлгүй гуравдагч нөхдүүдийг өгөгдөлд хандахаас
хамгаалахад тусалдаг. Гэхдээ хэрэв халдагч компьютерт физик хандалт олж аван
компьютерийн хатуу хөтчийг өөр систем уруу зөөн эмзэг өгөгдлийг хуулж шинжилгээ хийж чадах
бол үйлдлийн системийн мөрдүүлдэг зөвшөөрлүүд нь хамааралгүй болох юм.
Халдагч хэрхэн хатуу диск эсвэл унтраасан компьютерийг эзэмшсэнээс үл хамаарч
&os; дээрх GEOM Based Disk Encryption (gbde)
буюу GEOM дээр тулгуурласан дискний шифрлэлт болон geli
криптограф дэд системүүд нь компьютерийн файлын системүүд дээрх өгөгдлийг
бүр чухал эх үүсвэрүүд бүхий, зорилгодоо хүрэхээр ихээхэн чармайсан халдагчдаас
хамгаалж чадах юм. Зөвхөн тухайн файл бүрийг шифрлэдэг ярвигтай шифрлэлтийн
аргуудаас ялгаатай нь gbde болон geli
нь бүх файлын системүүдийг харагдаж мэдэгдэхгүйгээр шифрлэдэг. Хатуу дискний
хавтгайд цэвэр текст хэзээ ч бичигддэггүй.
<application>gbde</application>-ээр диск шифрлэх
<username>root</username> болно
gbde-г тохируулахад супер хэрэглэгчийн
эрхүүдийг шаарддаг.
&prompt.user; su -
Password:
Цөмийн тохиргооны файлдаа &man.gbde.4; дэмжлэгийг нэмнэ
Дараах мөрийг цөмийн тохиргооны файлдаа нэмнэ:
options GEOM_BDE
Цөмөө -д тайлбарласны дагуу дахин бүтээнэ.
Шинэ цөм уруугаа дахин ачаална.
Цөмийг дахин бүтээхээс өөр нэг арга нь kldload
ашиглаж &man.gbde.4;-г ачаалах явдал юм:
&prompt.root; kldload geom_bde
Шифрлэгдсэн хатуу хөтчүүдийг бэлдэх нь
Дараах жишээ нь таныг өөрийн систем уруу шинэ хатуу хөтөч нэмж
ганц шифрлэгдсэн хуваалтыг агуулна гэж тооцдог. Энэ хуваалт нь
/private гэж холбогдох болно.
gbde нь
/home болон /var/mail-г
бас шифрлэхэд ашиглагддаг боловч энэ нь энэ танилцуулгын хүрээнээс хальж
илүү төвөгтэй заавруудыг шаарддаг.
Шинэ хатуу хөтчийг нэмнэ
Шинэ хөтчийг систем уруу -д тайлбарласны дагуу нэмнэ. Энэ жишээн
дээр шинэ хатуу хөтчийн хуваалт /dev/ad4s1c
гэж нэмэгдсэн байгаа. /dev/ad0s1*
төхөөрөмжүүд нь жишээ систем дээр байгаа стандарт FreeBSD хуваалтуудыг
харуулж байна.
&prompt.root; ls /dev/ad*
/dev/ad0 /dev/ad0s1b /dev/ad0s1e /dev/ad4s1
/dev/ad0s1 /dev/ad0s1c /dev/ad0s1f /dev/ad4s1c
/dev/ad0s1a /dev/ad0s1d /dev/ad4
gbde цоож файлуудыг агуулах санг үүсгэнэ
&prompt.root; mkdir /etc/gbde
gbde цоож файл нь шифрлэгдсэн хуваалтуудад
хандахад gbde-д шаардагдах мэдээллийг
агуулдаг. Цоож файлд хандах боломжгүй бол gbde
нь шифрлэгдсэн хуваалтын агуулсан өгөгдлийг хөндлөнгийн их хүч шаардсан оролцоогүйгээр
буцааж тайлж чадахгүй юм. Үүнийг програм хангамж дэмждэггүй.
Шифрлэгдсэн хуваалт бүр тусдаа цоож файл ашигладаг.
gbde хуваалтыг эхлүүлнэ
gbde хуваалт ашиглагдаж эхлэхээсээ өмнө
эхэлж тохируулагдсан байх шаардлагатай. Энэ эхний тохируулга нь зөвхөн нэг
удаа хийгдэх ёстой:
&prompt.root; gbde init /dev/ad4s1c -i -L /etc/gbde/ad4s1c.lock
&man.gbde.8; нь загварт төрөл бүрийн тохиргооны сонголтуудыг зааж
өгөх боломжийг танд өгч таны засварлагчийг онгойлгох болно. UFS1
эсвэл UFS2-той ашиглахын тулд sector_size-г 2048 гэж заана:
$FreeBSD: src/sbin/gbde/template.txt,v 1.1 2002/10/20 11:16:13 phk Exp $
#
# Sector size is the smallest unit of data which can be read or written.
# Making it too small decreases performance and decreases available space.
# Making it too large may prevent filesystems from working. 512 is the
# minimum and always safe. For UFS, use the fragment size
#
sector_size = 2048
[...]
&man.gbde.8; нь өгөгдлийг аюулгүй болгоход хэрэглэгдэх ёстой нэвтрэх
үгийг хоёр удаа бичихийг танаас хүснэ. Нэвтрэх үг нь хоёуланд нь адил
байх ёстой. gbde-ийн таны өгөгдлийг
хамгаалах чадвар таны сонгосон нэвтрэх үгийн чанараас бүхэлдээ
хамаарна.
Амархан тогтоож болох аюулгүй нэвтрэх үгийг хэрхэн сонгох талаар
зөвлөгөөнүүдийг Diceware
Passphrase вэб хуудаснаас үзнэ үү.
gbde init тушаал нь таны
gbde хуваалтад зориулж цоож файлыг
үүсгэх бөгөөд энэ жишээн дээр /etc/gbde/ad4s1c.lock
гэж хадгалагдсан байна. gbde цоож файлууд
нь /etc/rc.d/gbde эхлүүлэх скриптээр
зөв танигдахын тулд .lock
гэж төгсөх ёстой.
gbde цоож файлууд нь шифрлэгдсэн
хуваалтуудын агуулгатай цуг нөөцлөгдөх ёстой.
Зөвхөн цоож файлыг устгах нь шийдсэн халдагч
gbde хуваалтыг буцааж тайлахаас
хамгаалж чаддаггүй бөгөөд цоож файлгүйгээр хууль ёсны эзэмшигч
нь шифрлэгдсэн хуваалт дээрх өгөгдөлд &man.gbde.8; болон түүнийг зохиогчийн
ерөөсөө дэмждэггүй, их хүч шаардсан ажиллагаагүйгээр хандаж чадахгүй болох
юм.
Шифрлэгдсэн хуваалтыг цөмд залгана
&prompt.root; gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c.lock
Шифрлэгдсэн хуваалтыг эхэлж тохируулж байх үед таны сонгосон нэвтрэх
үгийг оруулахыг танаас асуух болно. Шинэ шифрлэгдсэн төхөөрөмж
/dev дотор
/dev/device_name.bde гэж гарч
ирнэ:
&prompt.root; ls /dev/ad*
/dev/ad0 /dev/ad0s1b /dev/ad0s1e /dev/ad4s1
/dev/ad0s1 /dev/ad0s1c /dev/ad0s1f /dev/ad4s1c
/dev/ad0s1a /dev/ad0s1d /dev/ad4 /dev/ad4s1c.bde
Шифрлэгдсэн төхөөрөмж дээр файлын систем үүсгэнэ
Шифрлэгдсэн төхөөрөмж цөмд залгагдсаны дараа та энэ төхөөрөмж дээр
файлын систем үүсгэж болно. Шифрлэгдсэн төхөөрөмж дээр файлын
систем үүсгэхийн тулд &man.newfs.8;-г ашиглана. Хуучин UFS1
файлын системийг эхлүүлснээс шинэ UFS2 файлын системийг эхлүүлэх нь
хамаагүй хурдан учраас &man.newfs.8;-г
тохируулгатай хэрэглэхийг зөвлөдөг.
&prompt.root; newfs -U -O2 /dev/ad4s1c.bde
&man.newfs.8; тушаал нь төхөөрөмжийн нэрэндээ
*.bde гэж
өргөтгөлөөр танигдах залгагдсан gbde
хуваалт дээр хийгдэх ёстой.
Шифрлэгдсэн хуваалтыг холбоно
Шифрлэгдсэн файлын системд зориулж холбох цэгийг үүсгэнэ.
&prompt.root; mkdir /private
Шифрлэгдсэн файлын системийг холбоно.
&prompt.root; mount /dev/ad4s1c.bde /private
Шифрлэгдсэн файлын систем байгаа эсэхийг шалгана
Шифрлэгдсэн файлын систем одоо &man.df.1;-д харагдаж
ашиглахад бэлэн болох ёстой.
&prompt.user; df -H
Filesystem Size Used Avail Capacity Mounted on
/dev/ad0s1a 1037M 72M 883M 8% /
/devfs 1.0K 1.0K 0B 100% /dev
/dev/ad0s1f 8.1G 55K 7.5G 0% /home
/dev/ad0s1e 1037M 1.1M 953M 0% /tmp
/dev/ad0s1d 6.1G 1.9G 3.7G 35% /usr
/dev/ad4s1c.bde 150G 4.1K 138G 0% /private
Байгаа шифрлэгдсэн файлын системүүдийг холбох нь
Ачаалалт бүрийн дараа ямар ч шифрлэгдсэн файлын системүүдийг
ашиглаж эхлэхээсээ өмнө цөмд дахин залгаж, алдааг нь шалгаж холбож болно.
Шаардлагатай тушаалуудыг root хэрэглэгч
ажиллуулах ёстой гэж үздэг.
gbde хуваалтыг цөмд залгана
&prompt.root; gbde attach /dev/ad4s1c -l /etc/gbde/ad4s1c.lock
Шифрлэгдсэн gbde хуваалтыг
эхэлж тохируулж байх үед таны сонгосон нэвтрэх үгийг оруулахыг
танаас асуух болно.
Файлын систем дээр алдааг шалгана
Шифрлэгдсэн файлын системүүд нь автоматаар холбогдохын тулд
/etc/fstab файлд одоохондоо
жагсаагдах боломжгүй учир файлын системүүд дээр алдаа байгаа эсэхийг
шалгаж тэдгээрийг холбохоос өмнө &man.fsck.8;-г гараар ажиллуулах ёстой.
&prompt.root; fsck -p -t ffs /dev/ad4s1c.bde
Шифрлэгдсэн файлын системийг холбоно
&prompt.root; mount /dev/ad4s1c.bde /private
Шифрлэгдсэн файлын систем одоо ашиглахад бэлэн боллоо.
Шифрлэгдсэн хуваалтуудыг автоматаар холбох нь
Шифрлэгдсэн хуваалтыг автоматаар залган шалгаж холбох скриптийг үүсгэж
болох боловч аюулгүй байдлын шалтгаанаас болоод скрипт нь
&man.gbde.8; нууц үгийг агуулсан байх ёсгүй. Харин эдгээр
скриптүүдийг гараар ажиллуулж нууц үгийг консол эсвэл &man.ssh.1;-ээр
оруулахыг зөвлөдөг.
Өөр нэг арга нь rc.d скрипт байдаг. Энэ
скриптийн нэмэлт өгөгдлүүдийг &man.rc.conf.5;-оор дамжуулж болно,
жишээ нь:
gbde_autoattach_all="YES"
gbde_devices="ad4s1c"
gbde_lockdir="/etc/gbde"
Энэ нь gbde нэвтрэх үгийг ачаалах
үед оруулахыг шаарддаг. Зөв нэвтрэх үгийг бичсэний дараа
gbde шифрлэгдсэн хуваалт автоматаар
холбогдох болно. Энэ нь gbde-г
зөөврийн компьютер дээр хэрэглэж байгаа үед их ашигтай байдаг.
gbde-ийн ажиллуулдаг криптограф хамгаалалтууд
&man.gbde.8; нь 128-bit AES-ийг CBC горимд ашиглан сектор ачааг
шифрлэдэг. Диск дээрх сектор бүр өөр өөр AES түлхүүрээр шифрлэгддэг.
Секторын түлхүүрүүд хэрэглэгчийн оруулсан нэвтрэх үгээс хэрхэн гаргагддаг зэрэг
gbde-ийн криптограф дизайны талаар
дэлгэрэнгүйг &man.gbde.4;-ээс үзнэ үү.
Нийцтэй байдлын асуудлууд
&man.sysinstall.8; нь gbde-шифрлэгдсэн
төхөөрөмжүүдтэй нийцгүй байдаг. Бүх
*.bde төхөөрөмжүүдийг
&man.sysinstall.8; эхлүүлэхээс өмнө цөмөөс салгасан байх ёстой бөгөөд
ингэхгүй бол энэ нь төхөөрөмжүүдийг шалгаж эхлэхдээ сүйрэх болно. Бидний жишээн
дээр ашиглагдсан шифрлэгдсэн төхөөрөмжийг салгахдаа дараах тушаалыг
ашиглана:
&prompt.root; gbde detach /dev/ad4s1c
Мөн &man.vinum.4; нь &man.geom.4; дэд системийг
ашигладаггүйг анхаараарай, та gbde-г
vinum эзлэхүүнүүдтэй ашиглаж
болохгүй.
Даниэл
Гэрзо
Хувь нэмэр болгон оруулсан
<command>geli</command>-ээр диск шифрлэх нь
Шинэ криптограф GEOM ангилал &os; 6.0-с эхлэн
geli гэж орж иржээ. Үүнийг одоогоор
&a.pjd; хөгжүүлж байгаа болно. geli нь
gbde-ээс өөр бөгөөд энэ нь өөр боломжуудыг
санал болгож криптограф үйлдэлдээ өөр схемийг ашигладаг.
&man.geli.8;-ийн хамгийн чухал боломжууд бол:
&man.crypto.9; тогтолцоог ашигладаг —
криптограф тоног төхөөрөмж бэлэн болоход geli
түүнийг автоматаар ашигладаг.
Олон криптограф алгоритмуудыг дэмждэг (одоогоор AES, Blowfish,
болон 3DES).
root хуваалтыг шифрлэх боломжийг олгодог. Шифрлэгдсэн root
хуваалтад хандахад хэрэглэгддэг нэвтрэх үгийг систем ачаалахад
асуудаг.
Бие биеэндээ хамааралгүй хоёр түлхүүрүүдийг ашиглахыг
зөвшөөрдөг (өөрөөр хэлбэл key
болон
company key
).
geli нь хурдан байдаг. Энгийн сектороос сектор уруу
шифрлэлтийг хийдэг.
Мастер түлхүүрүүдийг нөөцлөх ба сэргээхийг зөвшөөрдөг. Хэрэглэгч
өөрийн түлхүүрүүдийг устгах хэрэгтэй болоход нөөцөөс түлхүүрүүдийг
сэргээж өгөгдөлд дахин хандах боломжтой болох юм.
Дискийг санамсаргүй, нэг удаагийн түлхүүрээр залгахыг
зөвшөөрдөг — энэ нь swap хуваалтууд болон түр зуурын
файлын системүүдэд ашигтай байдаг.
geli-ийн илүү боломжуудыг &man.geli.8;-ийн
гарын авлагын хуудаснаас олж болно.
Дараагийн алхмууд нь geli-ийн дэмжлэгийг &os; цөмд
хэрхэн идэвхжүүлэхийг тайлбарлах бөгөөд шинэ geli
шифрлэлт үзүүлэгчийг хэрхэн үүсгэх болон ашиглах талаар өгүүлэх болно.
geli-г ашиглахын тулд та &os; 6.0-RELEASE болон
түүнээс дээшхи хувилбарыг хэрэглэж байх ёстой. Цөмд өөрчлөлтүүд шаардлагатай учраас
супер хэрэглэгчийн эрхүүд хэрэгтэй болно.
Цөмд <command>geli</command> дэмжлэгийг
нэмэх нь
Дараах мөрийг цөмийн тохиргооны файлд нэмнэ:
options GEOM_ELI
device crypto
Цөмөө -д тайлбарласны дагуу дахин бүтээнэ.
Мөн geli модулийг ачаалах үед дуудаж болно.
Дараах мөрийг /boot/loader.conf файлд
нэмнэ:
geom_eli_load="YES"
&man.geli.8; нь одоо цөмд дэмжигдсэн байх ёстой.
Мастер түлхүүр үүсгэх нь
Дараах жишээ нь түлхүүр файлыг хэрхэн үүсгэх талаар тайлбарлах бөгөөд
энэ нь /private доор
холбогдсон шифрлэгдсэн үзүүлэгчийн Мастер түлхүүрийн хэсэг болон
ашиглагдах болно. Түлхүүр файл нь Мастер түлхүүрийг шифрлэхэд
хэрэглэгдэх зарим санамсаргүй өгөгдлийг өгөх болно. Мастер түлхүүр нь
нэвтрэх үгээр бас хамгаалагдах болно. Үзүүлэгчийн секторын хэмжээ
4kB том байх болно. Мөн энэ хэлэлцүүлэг нь geli
үзүүлэгчийг хэрхэн залгаж түүн дээр файлын систем үүсгэх, хэрхэн түүнийг
холбож ажиллах болон төгсгөлд нь хэрхэн салгах талаар тайлбарлах
болно.
Илүү сайн ажиллагааг хангахын тулд секторын том хэмжээг (4kB ч юм уу)
ашиглахыг зөвлөдөг.
Мастер түлхүүр нь нэвтрэх үгээр хамгаалагдах бөгөөд түлхүүр файлд зориулагдсан
өгөгдлийн эх нь /dev/random байх болно.
Бидний үзүүлэгч гэж нэрлэдэг /dev/da2.eli-ийн
секторын хэмжээ 4kB байх болно.
&prompt.root; dd if=/dev/random of=/root/da2.key bs=64 count=1
&prompt.root; geli init -s 4096 -K /root/da2.key /dev/da2
Enter new passphrase:
Reenter new passphrase:
Нэвтрэх үг болон түлхүүр файлыг хоёуланг нь заавал ашиглах шаардлагагүй;
Мастер түлхүүрийг нууцлах аль ч аргыг тусад нь ашиглаж болно.
Хэрэв түлхүүр файл -
гэж өгөгдсөн бол стандарт
оролтыг ашиглана. Энэ жишээ нь нэгээс олон түлхүүр файлыг
хэрхэн ашиглаж болох талаар харуулж байна.
&prompt.root; cat keyfile1 keyfile2 keyfile3 | geli init -K - /dev/da2
Үзүүлэгчийг үүсгэсэн түлхүүрийн тусламжтай залгах нь
&prompt.root; geli attach -k /root/da2.key /dev/da2
Enter passphrase:
Шинэ цэвэр текст төхөөрөмж
/dev/da2.eli
гэж нэрлэгдэх болно.
&prompt.root; ls /dev/da2*
/dev/da2 /dev/da2.eli
Шинэ файлын системийг үүсгэх нь
&prompt.root; dd if=/dev/random of=/dev/da2.eli bs=1m
&prompt.root; newfs /dev/da2.eli
&prompt.root; mount /dev/da2.eli /private
Шифрлэгдсэн файлын систем &man.df.1;-д харагдаж
ашиглахад бэлэн болох ёстой:
&prompt.root; df -H
Filesystem Size Used Avail Capacity Mounted on
/dev/ad0s1a 248M 89M 139M 38% /
/devfs 1.0K 1.0K 0B 100% /dev
/dev/ad0s1f 7.7G 2.3G 4.9G 32% /usr
/dev/ad0s1d 989M 1.5M 909M 0% /tmp
/dev/ad0s1e 3.9G 1.3G 2.3G 35% /var
/dev/da2.eli 150G 4.1K 138G 0% /private
Үзүүлэгчийг холбосныг салгаж залгасныг болиулах
Шифрлэгдсэн хуваалт дээрх ажил хийгдэж дуусаад
/private хуваалт
хэрэггүй болох үед geli шифрлэгдсэн
хуваалтыг холбосноо салган цөмд залгаснаа бас салгах нь зүйтэй
юм.
&prompt.root; umount /private
&prompt.root; geli detach da2.eli
&man.geli.8;-ийг хэрэглэх тухай дэлгэрэнгүй мэдээллийг гарын авлагын хуудаснаас
олж болно.
<filename>geli</filename> <filename>rc.d</filename> скриптийг ашиглах нь
geli нь geli-ийн
хэрэглээг хялбаршуулахад ашиглаж болох rc.d
скрипттэй цуг ирдэг. geli-г &man.rc.conf.5;-оор
тохируулах жишээг дараахаас харж болно:
geli_devices="da2"
geli_da2_flags="-p -k /root/da2.key"
Энэ нь /dev/da2-г
Мастер түлхүүр файл нь /root/da2.key-д байрлах
geli үзүүлэгч гэж тохируулах бөгөөд
үзүүлэгчийг залгаж байхдаа geli нь
нэвтрэх үгийг ашиглахгүй (хэрэв сонголт
geli init хийгдэх үед өгөгдсөн тохиолдолд энэ нь
ашиглагдах боломжтой). Систем нь geli
үзүүлэгчийг цөмөөс систем унтрахаас өмнө салгах болно.
rc.d-г тохируулах талаар дэлгэрэнгүй мэдээлэл
энэхүү гарын авлагын rc.d
хэсэгт байгаа болно.
Крисчан
Брюффэр
Бичсэн
Swap зайг шифрлэх
swap
шифрлэх
&os; дээрх swap-ийн шифрлэлт нь тохируулахад амархан байдаг бөгөөд
&os; 5.3-RELEASE-с эхлээд ийм боломжтой болсон юм. &os;-ийн аль
хувилбарыг ашиглаж байгаагаас хамаараад өөр өөр тохируулгууд байдаг бөгөөд
тохиргоо нь нэлээн өөр өөр байдаг. &os; 6.0-RELEASE-с эхлээд
&man.gbde.8; эсвэл &man.geli.8; шифрлэх системүүдийг swap-ийг
шифрлэхэд ашиглаж болно. Өмнөх хувилбаруудад зөвхөн &man.gbde.8;
байдаг. Энэ хоёр систем нь хоёулаа encswap
rc.d скриптийг
ашигладаг.
Өмнөх Дискний хуваалтуудыг шифрлэх
хэсэг нь өөр өөр шифрлэх системүүдийн тухай богино хэлэлцүүлгийг агуулдаг.
Swap яагаад шифрлэгдэх ёстой вэ?
Дискний хуваалтуудын шифрлэлтийн нэгэн адил swap зайн шифрлэлт нь эмзэг
мэдээллийг хамгаалахын тулд хийгддэг. Нууц үгстэй ажилладаг програм байлаа гэж
бодъё. Эдгээр нууц үгс нь физик санах ойд байгаа үед бүгд зүгээр байна. Гэхдээ
хэрэв үйлдлийн систем нь бусад програмуудад зориулж зайг чөлөөлөхийн тулд санах
ойн хуудаснуудыг swap хийж эхэлбэл нууц үгс нь дискний хавтгай дээр шифрлэгдэлгүй
бичигдэж болох бөгөөд энэ нь өрсөлдөгчийн хувьд олж авахад амархан болох юм.
Swap зайг шифрлэх нь энэ тохиолдолд шийдэл болж болох юм.
Бэлтгэл
Энэ хэсгийн үлдсэн хэсэгт ad0s1b нь
swap хуваалт байх болно.
Энэ хүртэл swap нь шифрлэгдээгүй байгаа билээ. Аль хэдийн нууц үгс эсвэл бусад
эмзэг өгөгдөл дискний хавтгайнууд дээр цэвэр текстээр байж болзошгүй юм. Үүнийг
засварлахын тулд swap хуваалт дээрх өгөгдлийг санамсаргүй хаягдлаар дарж бичих
хэрэгтэй:
&prompt.root; dd if=/dev/random of=/dev/ad0s1b bs=1m
&man.gbde.8; ашиглан swap шифрлэлт хийх
Хэрэв &os; 6.0-RELEASE болон түүнээс шинэ хувилбар ашиглагдаж байгаа бол
.bde дагаварыг /etc/fstab-ийн
тохирох swap мөр дэх төхөөрөмжид нэмэх шаардлагатай:
# Device Mountpoint FStype Options Dump Pass#
/dev/ad0s1b.bde none swap sw 0 0
&os; 6.0-RELEASE хувилбараас өмнөх системүүдэд дараах мөр нь
/etc/rc.conf файлд бас хэрэгтэй:
gbde_swap_enable="YES"
&man.geli.8; ашиглан swap шифрлэлт хийх
Өөрөөр, swap шифрлэлтэд зориулж &man.geli.8;-г ашиглах процедур нь
&man.gbde.8; ашиглахтай төстэй. .eli дагаварыг
/etc/fstab-ийн тохирох swap мөр дэх төхөөрөмжид
нэмэх шаардлагатай:
# Device Mountpoint FStype Options Dump Pass#
/dev/ad0s1b.eli none swap sw 0 0
&man.geli.8; нь AES алгоритмийг анхдагчаар
256 битийн урттай түлхүүртэй ашигладаг.
Мөн эдгээр анхдагчуудыг /etc/rc.conf файлд
geli_swap_flags тохируулгыг ашиглан
өөрчилж болно. Дараах мөр нь encswap rc.d
скриптийг detach on last close
тохируулгыг зааж 4
килобайтын секторын хэмжээтэй, 128 бит түлхүүрийн урттайгаар Blowfish
алгоритм ашиглан &man.geli.8; swap хуваалт үүсгэ гэж хэлж байна:
geli_swap_flags="-e blowfish -l 128 -s 4096 -d"
&os; 6.2-RELEASE хувилбараас өмнөх системүүд дээр доор дурдсан мөрийг ашиглана:
geli_swap_flags="-a blowfish -l 128 -s 4096 -d"
&man.geli.8; гарын авлагын хуудсан дахь onetime тушаалын тайлбараас
боломжит тохируулгуудын жагсаалтыг лавлана уу.
Ажиллаж байгаа эсэхийг шалгах
Систем дахин ачаалагдсаны дараа шифрлэгдсэн swap-ийн зөв үйлдлийг
swapinfo тушаал ашиглан шалгаж
болно.
Хэрэв &man.gbde.8; ашиглагдаж байвал:
&prompt.user; swapinfo
Device 1K-blocks Used Avail Capacity
/dev/ad0s1b.bde 542720 0 542720 0%
Хэрэв &man.geli.8; ашиглагдаж байвал:
&prompt.user; swapinfo
Device 1K-blocks Used Avail Capacity
/dev/ad0s1b.eli 542720 0 542720 0%
diff --git a/mn_MN.UTF-8/books/handbook/firewalls/chapter.sgml b/mn_MN.UTF-8/books/handbook/firewalls/chapter.sgml
index 36563d9164..3193759eaa 100644
--- a/mn_MN.UTF-8/books/handbook/firewalls/chapter.sgml
+++ b/mn_MN.UTF-8/books/handbook/firewalls/chapter.sgml
@@ -1,3053 +1,3053 @@
Жозеф Ж.
Баарбиш
Хувь нэмэр болгон оруулсан
Брэд
Дэйвис
SGML уруу хөрвүүлж шинэчилсэн
Лодойсамбын
Баянзул
Орчуулсан
Галт хана
Галт хана
аюулгүй байдал
галт хана
Танилцуулга
Галт ханын тусламжтайгаар систем уруу орж байгаа болон түүнээс гарч байгаа өгөгдлийн урсгалыг шүүн нэвтрүүлэх боломжтой болдог.
Галт хана нь сүлжээгээр дамжин өнгөрч байгаа пакетуудыг, дүрмүүдэд
заасны дагуу эсвэл нэвтрүүлэх, эсвэл хаах үүргийг гүйцэтгэдэг.
Галт ханын дүрмүүд нь пакетийг протоколын төрөл, эхлэл хост хаяг, очих хост хаяг, эхлэл порт хаяг, очих порт хаяг зэрэг хэд хэдэн шинжээр нь шинжлэх боломжийг олгодог.
Галт ханыг ашигласнаар тухайн хостын болон сүлжээний аюулгүй байдлыг нилээд нэмэгдүүлж чадна. Галт ханын тусламжтайгаар дараах зүйлсийг хийх боломжтой :
Дотоод сүлжээнд байрлаж байгаа сервер машин, түүн дээр ажиллаж байгаа програм үйлчилгээг Интернэтээр дамжин орж ирж буй гадны урсгалаас хамгаалах, тусгаарлах.
Дотоод сүлжээнд байрлаж байгаа хостоос Интернэт уруу хандах хандалтыг хаах, хязгаарлах.
Network address translation буюу Сүлжээний Хаягийн Хөрвүүлэлтийг
(NAT) дэмжих. Өөрөөр хэлбэл дотоод сүлжээндээ хувийн IP хаяг хэрэглэж,
Интернэтэд гарахдаа дундаа нэг холболтыг (нэг IP хаяг эсвэл автоматаар оноосон бүлэг хаягаар) хуваан хэрэглэх.
Энэ бүлгийг уншсаны дараа, та дараах зүйлсийг мэдэх болно:
пакетийг шүүн нэвтрүүлэх дүрмүүдийг хэрхэн оновчтойгоор тодорхойлох.
&os;-тэй хамт суусан галт ханануудын ялгаа.
OpenBSD-н
PF галт ханыг хэрхэн тохируулах болон хэрэглэх.
IPFILTER-г хэрхэн тохируулах болон хэрэглэх.
IPFW-г хэрхэн тохируулах болон хэрэглэх.
Энэ бүлгийг уншихаасаа өмнө, та дараах зүйлсийг мэдсэн байх шаардлагатай:
&os; болон Интернэтийн тухай үндсэн ойлголт.
Галт ханын тухай ойлголтууд
галт хана
дүрмүүд
Галт ханын дүрмүүдийг дараах үндсэн хоёр янзаар үүсгэж болно:
inclusive буюу хамааруулсан
эсвэл exclusive буюу хамааруулаагүй
.
Хамааруулаагүй галт хана нь дүрмэнд тохирсон урсгалаас бусдыг нэвтрүүлнэ. Харин хамааруулсан галт хана бол эсрэгээр нь,
дүрмэнд тохирсон урсгалыг нэвтрүүлж бусдыг хаана.
Хамааруулсан галт хана нь Интернэтэд үйлчилгээнүүдийг санал
болгодог системүүдийн хувьд илүү сайн сонголт болдог бөгөөд гарч байгаа
урсгалыг илүү сайн хянах боломжийг олгодог. Энэ нь Интернэтээс таны хувийн
сүлжээ рүү хандах урсгалыг бас хянадаг. Дүрэмд харгалзаж тохирохгүй
бүх урсгалыг хааж бүртгэдэг.
Болохгүй урсгалыг галт ханаар нэвтрүүлэх эрсдэлийг
багасгадаг учраас хамааруулсан галт хана нь хамааруулаагүй
галт ханыг бодвол илүүтэйгээр аюулгүй байдлыг хангаж чаддаг.
Зааж хэлээгүй л бол энэ бүлгийн бүх тохиргоо болон дүрмүүд
нь хамааруулсан галт ханыг үүсгэдэг.
Төлөвт галт ханыг
ашиглан аюулгүй байдлыг цааш илүү сайжруулах боломжтой.
Энэ төрлийн галт хана нь галт ханаар дамжин тогтсон холболтуудыг бүртгэж,
зөвхөн таарч байгаа тогтсон холболтоор эсвэл шинэ холболт үүсгэн урсгалыг нэвтрүүлдэг.
Төлөвт галт ханын нэг дутагдалтай тал гэвэл олон шинэ холболтууд нэг дор тогтох үед
Denial of Service буюу Үйлчилгээг Зогсоох(DoS) халдлагад өртөмтгий болдог. Иймээс галт ханыг
зохион байгуулахдаа төлөвт ба төлөвт-бус байдлыг хослуулан хэрэглэх нь хамгийн оновчтой байдаг.
Галт ханын багцууд
&os; дээр гурван янзын галт ханын багцууд хамрагдсан байдаг.
Нэрлэвэл: IPFILTER
(IPF гэж нэрлэх нь элбэг),
IPFIREWALL (IPFW гэж нэрлэх нь элбэг),
ба OpenBSD-н PacketFilter (PF гэж нэрлэх нь элбэг).
&os; нь мөн урсгалыг хязгаарлах(үндсэндээ зурвасын өргөнийг хязгаарлах) хоёр багцын хамт ирдэг:
&man.altq.4; болон &man.dummynet.4;. Dummynet нь анхнаасаа IPFW-тай, харин
ALTQ нь PF-тэй нягт холбоотой ажилладаг.
IPFILTER-ийн хувьд урсгал хязгаарлалтыг хийхдээ
NAT болон шүүлтэд IPFILTER-ийг ба
IPFW-ийг &man.dummynet.4;-тэй цуг юм уу
эсвэл PF-ийг
ALTQ-тай цуг ашиглан хийж болно.
IPFW, ба PF нь бүгд систем уруу орж байгаа болон гарч байгаа урсгалыг дүрмүүдийн тусламжтай удирдах боловч
синтаксын хувьд ч, арга замын хувьд ч өөр өөр байдаг.
&os; дээр олон галт ханын багцууд хамт ирдэг нь өөр өөр хэрэгцээ шаардлагатай хүмүүст
хүртээмжтэй байхыг гол зорилгоо болгосонд оршино. Түүнээс аль ч галт хана нь нөгөөгөөсөө илүү, эсвэл дутуу гэсэн үг биш юм.
Зохиогч IPFILTER-г сонгон авсан нь түүний төлөвт дүрмүүд нь
NAT орчинд хэрэглэхэд төвөг багатай, мөн
дотроо ftp proxy агуулсан байдгаас болсон хэрэг. Энэхүү ftp proxy-г ашиглан
гадагшаа гарах FTP урсгалыг зөвшөөрсөн дүрмүүдийг бичихэд хялбар байдаг.
Бүх галт ханууд пакет удирдах талбарын утгыг шинжлэх зарчмаар ажиллах тул
галт ханын дүрмүүдийг бичихийн өмнө TCP/IP протокол хэрхэн
ажилладаг талаар болон пакет удирдах талбарын утгууд, энэ утгууд session буюу сесс
үүсэхэд хэрхэн хэрэглэгддэг талаар үндсэн ойлголттой байх шаардлагатай болдог.
Дээрх ойлголтуудын талаар дараах хаягаар орж уншина уу:
.
Жон
Феррел
Хянан залруулж шинэчилсэн
OpenBSD Пакет шүүгч (PF) ба
<acronym>ALTQ</acronym>
галт хана
PF
2003 оны 7 сард OpenBSD-н галт ханын програм болох
PF &os; уруу шилжиж, &os; Портын Цуглуулгад
орсон. 2004 онд гарсан &os; 5.3 нь PF-г
үндсэн системийн багцын нэг хэсэг болгон оруулсан анхны хувилбар юм.
PF нь бүрэн хэмжээнд ажиллах чадвартай
галт хана бөгөөд ALTQ-тай (Alternate
Queuing буюу Ээлжлэн солигдох дараалал) хамтран ажиллах боломжтой. ALTQ нь
Quality of Service буюу Үйлчилгээний Чанарын (QoS)
боломжоор хангадаг.
OpenBSD Төсөл нь PF FAQ-г хөтлөн
явуулдаг.
Тиймээс гарын авлагын энэ хэсэг нь &os;-д хамаатай
PF дээр илүү анхаарлаа хандуулахахаас гадна
хэрэглээний талаар зарим нэг ерөнхий мэдээллийг өгнө. Хэрэглээний
мэдээллийн талаар илүү дэлгэрэнгүйг PF FAQ-с үзнэ үү.
&os;-д зориулсан PF-ийн талаар илүү дэлгэрэнгүй мэдээллийг
хаягаас үзэж болно.
Цөмийн дуудагдах PF модулиудыг ашиглах нь
PF цөмийн модулийг дуудахдаа /etc/rc.conf файлд
дараах мөрийг нэмнэ:
pf_enable="YES"
Дараа нь модулийг дуудахдаа эхлүүлэх скриптийг ажиллуулна:
&prompt.root; /etc/rc.d/pf start
PF модуль нь дүрмийн тохиргооны файлаа олж чадахгүй бол дуудагдахгүйг
санаарай. Анхдагч байрлал нь /etc/pf.conf байна.
Хэрэв PF дүрмийн олонлог өөр хаа нэгтээ байгаа бол /etc/rc.conf
файлд доор дурдсантай адил мөрийг нэмж PF дүрмийн олонлогоо тэр газраас
хайхаар зааж өгч болно:
pf_rules="/path/to/pf.conf"
&os; 7.0-с эхлэн /etc/
санд байсан жишээ pf.conf файл /usr/share/examples/pf/ руу орсон болно.
7.0-с өмнөх &os;-ийн хувилбаруудад анхдагчаар /etc/pf.conf
байдаг.
PF модулийг тушаалын мөрөөс бас дуудан ажиллуулж
болно:
&prompt.root; kldload pf.ko
PF-д зориулсан бүртгэл хөтлөх дэмжлэгийг
pflog.ko хангадаг бөгөөд
/etc/rc.conf файлд дараах мөрийг нэмж
дуудаж болно:
pflog_enable="YES"
Дараа нь модулийг дуудахдаа эхлүүлэх скриптийг ажиллуулна:
&prompt.root; /etc/rc.d/pflog start
Хэрэв танд PF-ийн өөр боломжууд хэрэгтэй
бол PF-ийн дэмжлэгийг цөмд оруулан эмхэтгэх
хэрэгтэй.
PF цөмийн тохиргоонууд
цөмийн тохиргоонууд
pf төхөөрөмж
цөмийн тохиргоонууд
pflog төхөөрөмж
цөмийн тохиргоонууд
pfsync төхөөрөмж
PF дэмжлэгийг &os; цөмд оруулж эмхэтгэх нь
шаардлагагүй боловч дуудагдах модульд ороогүй байдаг PF-ийн нэмэлт
боломжуудын нэг бөгөөд PF-ийн ашигладаг төлвийн хүснэгтэд
зарим өөрчлөлтүүдийг ил гаргадаг псевдо төхөөрөмж болох &man.pfsync.4;
гэгддэг боломжийг ашиглахын тулд та тэгж хийж өгч болох юм. Үүнийг
&man.carp.4;-тэй хослуулан ажиллагаа доголдоход тойрон гарах галт ханаыг
PF ашиглан бүтээж болно. CARP-ийн
талаар дэлгэрэнгүйг гарын авлагын -с
үзэж болно.
Цөмийн PF тохиргоонуудыг
/usr/src/sys/conf/NOTES-с олж болох бөгөөд
доор үзүүлэв:
device pf
device pflog
device pfsync
device pf тохиргоо Packet Filter
галт ханыг (&man.pf.4;) дэмждэг болгоно.
device pflog тохиргоо
псевдо буюу хуурамч &man.pflog.4; сүлжээний төхөөрөмжийг идэвхжүүлнэ. Энэ хуурамч
төхөөрөмжийн тусламжтайгаар &man.bpf.4; дескриптор уруу урсгалыг бүртгэх
боломжтой. &man.pflogd.8; дэмонг бүртгэлийг дискэн дээр хадгалахад хэрэглэнэ.
device pfsync тохиргоо
псевдо буюу хуурамч &man.pfsync.4; сүлжээний төхөөрөмжийг идэвхжүүлнэ. Энэ хуурамч
төхөөрөмжийн тусламжтайгаар төлвийн өөрчлөлтүүдийг
хянах боломжтой.
rc.conf боломжууд
Дараах &man.rc.conf.5; илэрхийллүүд
PF болон &man.pflog.4;-ийг ачаалах үед тохируулна:
pf_enable="YES" # Enable PF (load module if required)
pf_rules="/etc/pf.conf" # rules definition file for pf
pf_flags="" # additional flags for pfctl startup
pflog_enable="YES" # start pflogd(8)
pflog_logfile="/var/log/pflog" # where pflogd should store the logfile
pflog_flags="" # additional flags for pflogd startup
Хэрвээ энэ галт ханын цаана LAN байгаа бөгөөд
LAN-д байгаа компьютерууд уруу пакет дамжуулах шаардлагатай бол эсвэл
NAT ашиглах бодолтой байгаа бол дараах илэрхийлэл танд бас хэрэгтэй:
gateway_enable="YES" # Enable as LAN gateway
Шүүгч дүрмүүдийг үүсгэх нь
PF нь &man.pf.conf.5;-с (анхдагчаар /etc/pf.conf)
өөрийн тохиргооны дүрмүүдийг унших бөгөөд тэнд заагдсан дүрмүүд буюу тодорхойлолтуудын
дагуу пакетуудыг өөрчлөх, орхих буюу эсвэл дамжуулдаг. &os; суулгацад
/usr/share/examples/pf/-д байрлах хэд хэдэн жишээ
файлууд байдаг. PF-ийн дүрмийн олонлогуудын талаар бүрэн мэдээллийг
PF FAQ-с
лавлана уу.
PF FAQ-г үзэж байхдаа
&os;-ийн хувилбар бүр өөр өөр PF хувилбартай байж болохыг
анхаарах хэрэгтэй. Одоогоор &os; 7.X
болон түүнээс хойшхи хувилбарууд OpenBSD 4.1-ийн нэгэн адил
PF-ийн хувилбарыг ашигладаг.
&a.pf; нь PF галт ханыг тохируулж ажиллуулах
талаар асуухад тохиромжтой газар юм. Асуулт асуухаасаа өмнө захидлын
жагсаалтын архиваас шалгахаа мартуузай!
PF-тэй ажиллах нь
PF-ийг хянахдаа &man.pfctl.8;-г ашиглана.
Зарим нэг хэрэгтэй тушаалуудыг доор жагсаав (Бүх боломжит тохиргоонуудын
талаар &man.pfctl.8; гарын авлагын хуудаснаас лавлахаа мартуузай):
Тушаал
Зорилго
pfctl
PF-г идэвхжүүлэх
pfctl
PF-г болиулах
pfctl all /etc/pf.conf
Бүх дүрмүүдийг арилгаж (nat, шүүх, төлөв, хүснэгт, гэх мэт.)
/etc/pf.conf файлаас дахин ачаалах
pfctl [ rules | nat | state ]
Шүүх дүрмүүд, nat дүрмүүд, эсвэл төлвийн хүснэгтийн талаар тайлан гаргах
pfctl /etc/pf.conf
Дүрмийн олонлогийг ачаалалгүйгээр /etc/pf.conf-д
алдаа байгаа эсэхийг шалгах
<acronym>ALTQ</acronym>-г идэвхжүүлэх
ALTQ-г идэвхжүүлэх ганц арга зам бол түүний боломжуудыг
&os; цөмтэй хамт хөрвүүлэн эмхэтгэх юм. Мөн сүлжээний картын драйвер болгон ALTQ-г
дэмждэггүй тул өөрийн тань хэрэглэж буй &os; хувилбарын хувьд дэмжигддэг драйверуудын жагсаалтыг
&man.altq.4; гарын авлагын хуудаснаас үзнэ үү.
Дараах тохируулгууд
ALTQ-г идэвхжүүлж нэмэлт үүргүүдийг оруулдаг.
options ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
options ALTQ_RED # Random Early Detection (RED)
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
options ALTQ_PRIQ # Priority Queuing (PRIQ)
options ALTQ_NOPCC # Required for SMP build
options ALTQ мөр ALTQ
-г бүхэлд нь идэвхжүүлнэ.
options ALTQ_CBQ мөр Class Based Queuing
буюу Ангиллаас Хамаарсан Дараалал Үүсгэх(CBQ) боломжийг идэвхжүүлнэ.
CBQ нь шүүгч дүрмүүд дээр үндэслэн урсгалуудад эрэмбэ тогтоох зорилгоор
зурвасын өргөнийг өөр өөр ангиллуудад болон дарааллуудад хуваах боломжийг олгоно.
options ALTQ_RED мөр Random Early
Detection буюу Санамсаргүй Эрт Илрүүлэлт(RED)-г идэвхжүүлнэ.
RED-г сүлжээний даац хэтрэхээс сэргийлэхэд хэрэглэдэг.
RED дарааллын уртыг хэмжиж, түүнийг байх ёстой дээд ба
доод хэмжээтэй жиших байдлаар ажилладаг. Хэрэв дараалал дээд хэмжээнээс урт болбол
шинэ пакетууд орхигдох болно. Нэртэйгээ адилаар, RED нь холболтуудаас пакетийг
санамсаргүйгээр орхигдуулдаг.
options ALTQ_RIO мөр нь Random Early
Detection In and Out буюу Орох ба Гарах Санамсаргүй Эрт Илрүүлэлтийг идэвхжүүлнэ.
options ALTQ_HFSC мөр нь
Hierarchical Fair Service Curve Packet Scheduler буюу Үе давхаргат Зохимжит Үйлчилгээний Муруйн Пакет Хуваарилагчийг
идэвхжүүлнэ. HFSC талаар илүү дэлгэрэнгүй мэдээллийг дараах хаягаас үзнэ үү:
.
options ALTQ_PRIQ мөр нь Priority Queuing буюу Эрэмбэт Дараалал Үүсгэх
(PRIQ)-г идэвхжүүлнэ. PRIQ нь эрэмбэ өндөртэй дараалалд байгаа
урсгалыг эхэнд нэвтрүүлэх зарчмаар ажилладаг.
options ALTQ_NOPCC мөр нь ALTQ-г
SMP-тай хамт ажиллах боломжтой болгоно.
SMP системийн хувьд энэ боломжийг заавал идэвхжүүлэх хэрэгтэй.
IPFILTER (IPF) Галт хана
галт хана
IPFILTER
IPFILTER-г зохиосон хүн бол Даррин Рид билээ. IPFILTER нь
үйлдлийн системээс хамааралгүй: нээлттэй эхийн програм бөгөөд
&os;, NetBSD, OpenBSD, &sunos;, HP/UX, ба &solaris; зэрэг олон үйлдлийн систем уруу
шилжүүлэгдсэн юм. IPFILTER эрчимтэй дэмжигдэж,
сайжруулсан хувилбарууд нь тогтмол гарсаар байгаа.
IPFILTER нь цөмийн талд ажиллах галт хана болон
NAT механизм дээр суурилсан бөгөөд түүнийг удирдах, хянахын тулд
хэрэглэгчийн интерфэйс програмыг ашиглана. Галт ханын дүрмүүдийг нэмэх болон хасахдаа
&man.ipf.8; хэрэгслийг хэрэглэнэ. NAT дүрмүүдийг
нэмэх болон хасахдаа &man.ipnat.1; хэрэгслийг хэрэглэнэ. &man.ipfstat.8; хэрэгсэл
нь IPFILTER-н цөмийн талд ажиллаж байгаа хэсгийн статистикийг хэвлэхэд зориулагдсан.
&man.ipmon.8; програм харин IPFILTER-н үйлдлүүдийг системийн бүртгэлийн файлд
бүртгэнэ.
IPF-г анх зохиохдоо сүүлд тохирсон дүрэм дийлнэ
гэсэн
логикийн дагуу бүтээсэн ба зөвхөн төлөвт-бус дүрмүүдийг ашигладаг байлаа.
Цаг хугацаа өнгөрөхөд IPF илүү хөгжиж, quick
тохируулга
болон төлөвт keep state
тохируулгуудыг агуулах болсон нь орчин үеийн
хэрэгцээ шаардлагад илүү нийцэх болжээ. IPF-н албан ёсны баримтжуулалтанд
хуучин уламжлалт дүрмүүдийг бичих параметрүүд болон файлтай ажиллах логикууд багтсан байдаг.
Харин шинэ функцуудыг нь зөвхөн нэмэлт боломж байдлаар оруулсан нь аюулгүй байдлыг хавьгүй
илүү хангасан аюулгүй галт хана бий болгож байгаа тэднийг хэт доогуур тавьсан санагддаг.
Энэ бүлэгт байгаа зааврууд нь quick
болон төлөвт keep state
тохируулгуудыг агуулсан дүрмүүдээс үндсэндээ бүрдсэн байгаа. Энэ бол хамааруулсан галт ханын дүрмүүдийг
бичих үндсэн арга барил юм.
Хуучин уламжлалт дүрмүүдтэй ажиллах аргуудын талаар дэлгэрэнгүй тайлбарыг:
ба хаягаар орж үзнэ үү.
IPF FAQ-г хаягаар орж үзнэ үү.
Нээлттэй эхийн IPFilter програмын захидлын жагсаалтын архивыг хаягаар орж үзнэ үү.
IPF-г идэвхжүүлэх
IPFILTER
идэвхжүүлэх
IPF нь &os; үндсэн суулгацтай хамт, ажиллах үеийн ачаалах боломжтой модуль байдлаар ирдэг.
rc.conf тохиргооны файл дотор ipfilter_enable="YES" илэрхийлэл байгаа үед систем IPF цөмийн
модулийг динамикаар ачаална. Энэ ачаалах боломжтой модуль нь бүртгэх боломжтойгоор,
анхдагч default pass all тохируулгын хамт бүтээгдсэн байдаг. Анхдагч дүрмийг
block all болгохын тулд IPF-г цөмд эмхэтгэх шаардлага байхгүй. Зөвхөн
дүрмүүдийнхээ төгсгөлд бүгдийг хаах дүрмийг бичиж өгөхөд хангалттай.
Цөмийн тохируулгууд
цөмийн тохируулгууд
IPFILTER
цөмийн тохируулгууд
IPFILTER_LOG
цөмийн тохируулгууд
IPFILTER_DEFAULT_BLOCK
IPFILTER
цөмийн тохируулгууд
&os; цөм уруу дараах боломжуудыг эмхэтгэн IPF-г идэвхжүүлэх
албагүй боловч, суурь мэдлэг болгон энд үзүүллээ. IPF-г цөм уруу хөрвүүлэн
эмхэтгэснээр ачаалах боломжтой модулийг хэрэглэх боломжгүй болдог.
Цөмийн тохиргоон дахь жишээ IPF илэрхийллүүд
/usr/src/sys/conf/NOTES гэсэн цөмийн эх файлд
байх ба доор сийрүүлбэл:
options IPFILTER
options IPFILTER_LOG
options IPFILTER_DEFAULT_BLOCK
options IPFILTER мөр нь IPFILTER
галт ханыг идэвхжүүлнэ.
options IPFILTER_LOG мөр нь log
гэсэн түлхүүр үг орсон дүрмүүдийн хувьд урсгалыг ipl
пакет бүртгэх хуурамч—төхөөрөмж уруу бүртгэх боломжтой болгоно.
options IPFILTER_DEFAULT_BLOCK мөр нь
галт ханын pass дүрмэнд тохироогүй пакетийг
хаах анхдагч чанарыг зааж өгнө.
Эдгээр тохируулгууд нь зөвхөн тэдгээрийг тохируулан,
тусгайлан цөм бүтээж суулгасны дараа идэвхждэг.
rc.conf тохируулгууд
IPF-г систем ачаалах үед идэвхтэй болгохын тулд /etc/rc.conf дотор
дараах илэрхийллүүд байх ёстой:
ipfilter_enable="YES" # Start ipf firewall
ipfilter_rules="/etc/ipf.rules" # loads rules definition text file
ipmon_enable="YES" # Start IP monitor log
ipmon_flags="-Ds" # D = start as daemon
# s = log to syslog
# v = log tcp window, ack, seq
# n = map IP & port to names
Хэрэв энэ галт ханын цаана хувийн IP хаяг хэрэглэдэг LAN байгаа бол
NAT функцыг идэвхжүүлэхийн тулд дараах мөрүүдийг нэмэх хэрэгтэй:
gateway_enable="YES" # Enable as LAN gateway
ipnat_enable="YES" # Start ipnat function
ipnat_rules="/etc/ipnat.rules" # rules definition file for ipnat
IPF
ipf
Таны бичсэн дүрмүүдийг ачаалахад &man.ipf.8; тушаалыг хэрэглэнэ.
Та өөрийн дүрмүүдээс бүтсэн файлыг үүсгээд, түүнийгээ дээрх тушаалын ашиглан
галт ханын одоо ажиллаж байгаа дотоод дүрмүүдтэй сольж тавьна гэсэн үг юм:
&prompt.root; ipf -Fa -f /etc/ipf.rules
нь бүх дотоод дүрмүүдийн хүснэгтийг цэвэрлэ гэсэн үг.
нь ачаалах дүрмүүдээ энэ файлаас унш гэсэн үг.
Ийм байдлаар та өөрийн хүссэн дүрмүүдийн файлыг үүсгээд,
дээрх IPF тушаалыг ажиллуулан системийг шинээр ачаалахгүйгээр
ажиллаж байгаа галт ханын дүрмүүдийг шинээр өөрчлөх боломжтой болж байна.
Дээрх аргаар галт ханын дүрмүүдийг хэдэн ч удаа сольж болох тул энэ арга нь
шинэ дүрмүүдийг туршихад тохиромжтой арга юм.
Энэ тушаалтай ажиллах боломжтой бусад тугуудын талаар
дэлгэрэнгүйг &man.ipf.8; заавар хуудаснаас үзнэ үү.
&man.ipf.8; тушаал дүрмүүдийн файлыг стандарт текст файл гэж
тооцдог. Симбол орлуулалттай скрипт байдлаар бичигдсэн файлыг ойлгохгүй.
Гэвч скрипт симбол орлуулалтын хүчийг ашиглан IPF дүрмүүдийг бүтээх
арга зам байгаа. Илүү дэлгэрэнгүй мэдээллийг
хэсгээс үзнэ үү.
IPFSTAT
ipfstat
IPFILTER
статистик
&man.ipfstat.8;-н анхдагч чанар бол галт ханыг хамгийн сүүлд асааснаас хойших,
эсвэл ipf -Z тушаалыг өгөн хуримтлуулагчийг хамгийн сүүлд тэглэснээс хойших
галт ханаар орж байгаа болон гарч байгаа пакетуудыг хэрэглэгчийн тодорхойлж өгсөн дүрмүүдээр
шүүсэн үр дүнд бий болсон статистик тоог гаргаж ирэн, дэлгэцэнд харуулах юм.
Дэлгэрэнгүйг &man.ipfstat.8; заавар хуудаснаас үзнэ үү.
&man.ipfstat.8; тушаалын анхдагч үр дүн дараах байдалтай байна:
input packets: blocked 99286 passed 1255609 nomatch 14686 counted 0
output packets: blocked 4200 passed 1284345 nomatch 14687 counted 0
input packets logged: blocked 99286 passed 0
output packets logged: blocked 0 passed 0
packets logged: input 0 output 0
log failures: input 3898 output 0
fragment state(in): kept 0 lost 0
fragment state(out): kept 0 lost 0
packet state(in): kept 169364 lost 0
packet state(out): kept 431395 lost 0
ICMP replies: 0 TCP RSTs sent: 0
Result cache hits(in): 1215208 (out): 1098963
IN Pullups succeeded: 2 failed: 0
OUT Pullups succeeded: 0 failed: 0
Fastroute successes: 0 failures: 0
TCP cksum fails(in): 0 (out): 0
Packet log flags set: (0)
Дотогшоо урсгалын хувьд ,
гадагшаа урсгалын хувьд тохируулгыг өгөхөд
кернелийн ашиглаж буй дүрмүүдийн жагсаалтыг гаргаж харуулна.
ipfstat -in нь дотогшоо урсгалын
дотоод дүрмүүдийн хүснэгтийг дүрмүүдийн дугаарын хамт харуулна.
ipfstat -on нь гадагшаа урсгалын
дотоод дүрмүүдийн хүснэгтийг дүрмүүдийн дугаарын хамт харуулна.
Үр дүн нь дараах байдалтай байна:
@1 pass out on xl0 from any to any
@2 block out on dc0 from any to any
@3 pass out quick on dc0 proto tcp/udp from any to any keep state
ipfstat -ih нь дотогшоо урсгалын
дотоод дүрмүүдийн хүснэгтийг дүрмүүдийн хэдэн удаа тохирсон тооны хамт харуулна.
ipfstat -oh нь гадагшаа урсгалын
дотоод дүрмүүдийн хүснэгтийг дүрмүүдийн хэдэн удаа тохирсон тооны хамт харуулна.
Үр дүн нь дараах байдалтай байна:
2451423 pass out on xl0 from any to any
354727 block out on dc0 from any to any
430918 pass out quick on dc0 proto tcp/udp from any to any keep state
ipfstat тушаалын хамгийн чухал функцуудын
нэг бол, &os;-н ажиллаж байгаа процессийн хүснэгтийг &man.top.1;
харуулдаг шиг төлвийн хүснэгтийг туг харуулдаг явдал юм.
Таны галт хана гадны халдлагад өртөх үед энэ функц түүнийг илрүүлэх, шинжлэх, халдлагад
оролцож буй пакетуудыг харах боломжийг олгоно. Нэмэлт дэд тугууд нь хяналт хийх
эхлэл болон очих IP хаяг, порт, эсвэл протоколыг сонгох боломжийг олгодог.
Дэлгэрэнгүйг &man.ipfstat.8; заавар хуудаснаас үзнэ үү.
IPMON
ipmon
IPFILTER
бүртгэл хөтлөлт
ipmon тушаал зохистой ажиллахын тулд цөмийн
IPFILTER_LOG тохируулга идэвхжсэн байх ёстой. Энэ тушаал хоёр өөр горимд
ажиллах чадвартай. Төрөлх горим нь энэ тушаалыг тушаал мөрөн дээр
туггүйгээр оруулахад ажиллах анхдагч горим юм.
Демон горим нь болж өнгөрсөн үйл явцын бүртгэлийг эргэж харахын тулд
системийн бүртгэлийг тасралтгүй хөтлөн явуулахад тохиромжтой горим юм.
&os; болон IPFILTER энэ горимд ажиллахаар тохируулагдсан байдаг. &os;
нь системийн бүртгэлийг автоматаар тойруулах чадвартай. Тиймээс бүртгэлийн мэдээллийг &man.syslogd.8;
процесс уруу гаргах нь энгийн файл уруу гаргах анхдагч аргаас дээр байдаг.
Анхдагч rc.conf файл дотор ipmon_flags илэрхийлэл
тугуудыг хэрэглэдэг:
ipmon_flags="-Ds" # D = start as daemon
# s = log to syslog
# v = log tcp window, ack, seq
# n = map IP & port to names
Бүртгэл хөтлөн явуулахын давуу талыг дурдахад илүүц биз.
Бүртгэлийн тусламжтай ямар пакетууд орхигдсон, тэдгээр пакетууд хаанаас ирсэн,
хаашаа явж байсан зэрэг мэдээллийг эргэн харах боломжтой болдог. Энэ бүх мэдээлэл
гадны халдлагыг мөрдөхөд чухал түлхэц болно.
Хэдийгээр бүртгэх боломжоор хангагдсан боловч, IPF дангаараа бүртгэлийг үүсгэж
чадахгүй. Галт ханын администратор аль дүрмийн бүртгэлийг бичихийг шийдэн, тэдгээр дүрмүүдэд
log түлхүүр үгийг нэмж өгнө. Ер нь, зөвхөн deny дүрмүүдийн бүртгэл бичигддэг.
Бүгдийг хориглосон анхдагч дүрмийг log түлхүүр үгийн хамт дүрмүүдийнхээ
хамгийн төгсгөлд бичиж өгөх нь нилээд өргөн хэрэглэгддэг арга юм. Ингэснээр
таны дүрмүүдийн алинтай ч тохироогүй пакетуудыг мэдэх боломжтой болно.
IPMON бүртгэл хөтлөлт
Syslogd нь бүртгэлийн мэдээллийг дотор нь ангилах
өөрийн тусгай аргатай. facility
ба түвшин
гэсэн тусгай ангилалаар ялгадаг.
горимон дахь IPMON нь анхдагчаар facility
-аар local0-г
хэрэглэдэг. Хэрэв хүсвэл
доорх түвшнүүдийг ашиглан бүртгэгдсэн мэдээллийг илүү ангилж болно:
LOG_INFO - нэвтрүүлэх, хаахаас үл хамааран "log" түлхүүрийг үйлдэл ашиглан пакетуудыг бүртгэх.
LOG_NOTICE - нэвтэрсэн пакетуудыг бүртгэх.
LOG_WARNING - хаагдсан пакетуудыг бүртгэх.
LOG_ERR - бүртгэсэн пакетууд болон богино гэгдсэн пакетууд
IPFILTER-н бүх бүртгэлийн мэдээллийг /var/log/ipfilter.log
файл дотор бичихийн тулд, файл эхлээд үүссэн байх хэрэгтэй. Үүний тулд дараах
тушаалыг өгөх хэрэгтэй:
&prompt.root; touch /var/log/ipfilter.log
&man.syslogd.8;-н функцуудыг /etc/syslog.conf файл доторх
тодорхойлох илэрхийллүүдээр удирдаж болно. syslog.conf файл нь
IPF мэт програмуудын үүсгэсэн системийн мэдэгдлүүдтэй syslog-г
ажиллахад уян хатан болгодог.
Дараах илэрхийллүүдийг /etc/syslog.conf файл дотор нэмж
бичнэ үү:
local0.* /var/log/ipfilter.log
local0.* нь бүх бүртгэгдсэн мэдэгдлүүдийг
дурдсан файлд бичихийг хэлж өгч байна.
/etc/syslog.conf файлд хийсэн өөрчлөлтүүдийг
идэвхжүүлэхийн тулд та системээ дахин ачаалах эсвэл /etc/rc.d/syslogd reload
тушаалыг ашиглан &man.syslogd.8; демонд /etc/syslog.conf файлыг дахин уншуулах
хэрэгтэй.
Дээр шинээр үүсгэсэн бүртгэлийг тойруулахын тулд
/etc/newsyslog.conf файл дотор өөрчлөлт оруулахаа мартуузай.
Бүртгэгдсэн мэдэгдлийн формат
ipmon-ы үүсгэсэн мэдэгдэл зайгаар тусгаарлагдсан
өгөгдлийн талбаруудаас бүрдэнэ. Бүх мэдэгдэлд байдаг гол талбарууд гэвэл:
Пакетийг хүлээж авсан огноо.
Пакетийг хүлээж авсан цаг. Цаг, минут, секунд, бутархай секундэд (олон орны нарийвчлалтай)
харгалзан HH:MM:SS.F форматтай байна.
Пакеттай ажилласан интерфэйсийн нэр, жишээлбэл dc0.
Дүрмийн бүлэг болон дүрмийн дугаар, жишээлбэл @0:17.
Эдгээрийг ipfstat-in тушаалын тусламжтай үзэж болно.
Үйлдэл: нэвтрүүлсэн бол р, хаасан бол b, богино пакет бол S,
аль ч дүрмэнд тохироогүй бол n, бүртгэх дүрэм бол L. Эдгээр тугуудыг дараах эрэмбээр харуулна:
S, p, b, n, L. Том P эсвэл B үсэг нь тухайн пакет ямар нэг дүрмээс биш, глобал тохиргооноос
хамааран бүртгэгдсэн болохыг заана.
Хаягууд. Үндсэндээ гурван талбар байна: эхлэл
хаяг болон порт (таслалаар тусгаарлагдсан), -> тэмдэг, ба очих хаяг болон порт.
Жишээ нь 209.53.17.22,80 -> 198.73.220.17,1722.
PR-н дараа протоколын нэр болон дугаар, жишээлбэл PR tcp.
len-ы дараа толгойн урт болон
пакетийн нийт урт, жишээлбэл len 20 40.
Хэрэв TCP пакет бол зураасаар эхэлж тугуудаар удаалсан
-нэмэлт талбар байна. Үсгүүд болон түүнд харгалзах тугуудын талаар &man.ipmon.8; заавар
+нэмэлт талбар байна. Үсгүүд болон түүнд харгалзах тугуудын талаар &man.ipf.5; заавар
хуудаснаас үзнэ үү.
Хэрэв ICMP пакет бол, төгсгөлд нь хоёр талбар байна.
Эхнийх нь үргэлж ICMP
утгатай байна, дараагийнх нь налуу зураасаар тусгаарлагдсан
ICMP мэдэгдэл болон дэд мэдэгдлийн төрөл, жишээлбэл портод хандаж чадсангүй гэсэн мэдэгдлийн хувьд ICMP 3/3 байна.
Симбол орлуулалттай скриптийг үүсгэх нь
Зарим туршлагатай IPF хэрэглэгчид дүрмүүдийг агуулсан файл үүсгээд
түүнийгээ симбол орлуулалттай скрипт байдлаар ажиллуулах боломжтой болгон бичдэг.
Үүний гол давуу тал нь зөвхөн симбол нэрд харгалзах утгыг өөрчлөх хэрэгтэй бөгөөд, скриптийг ажиллуулахад
уг симбол орлуулалт орсон дүрэм бүр шинэ утгыг авах болно. Скриптийн хувьд,
олон дахин хэрэглэгддэг утгуудыг бичихэд симбол орлуулалтыг ашиглаж, тэдгээрийг
олон дүрмэнд орлуулж өгнө гэсэн үг юм. Дараах жишээн дээрээс харна уу.
Энд хэрэглэгдсэн скриптийн синтакс нь &man.sh.1;, &man.csh.1;, ба &man.tcsh.1; бүрхүүл дээр ажиллах
боломжтой.
Симбол орлуулалтын талбарууд нь урдаа долларын тэмдэгтэй байна: $.
Симбол талбарууд нь $ тэмдэг урдаа байхгүй.
Симбол талбарыг орлох утга нь давхар хашилтан(") дотор байрлана.
Дүрмийн файлаа дараах байдалтай үүсгэж эхлэх хэрэгтэй:
############# Start of IPF rules script ########################
oif="dc0" # name of the outbound interface
odns="192.0.2.11" # ISP's DNS server IP address
myip="192.0.2.7" # my static IP address from ISP
ks="keep state"
fks="flags S keep state"
# You can choose between building /etc/ipf.rules file
# from this script or running this script "as is".
#
# Uncomment only one line and comment out another.
#
# 1) This can be used for building /etc/ipf.rules:
#cat > /etc/ipf.rules << EOF
#
# 2) This can be used to run script "as is":
/sbin/ipf -Fa -f - << EOF
# Allow out access to my ISP's Domain name server.
pass out quick on $oif proto tcp from any to $odns port = 53 $fks
pass out quick on $oif proto udp from any to $odns port = 53 $ks
# Allow out non-secure standard www function
pass out quick on $oif proto tcp from $myip to any port = 80 $fks
# Allow out secure www function https over TLS SSL
pass out quick on $oif proto tcp from $myip to any port = 443 $fks
EOF
################## End of IPF rules script ########################
Байх ёстой бүх зүйлс бүгд байна. Энэ жишээн дээр дүрмүүд чухал биш,
харин симбол орлуулалт хэрхэн ажилладгыг харуулсан байна. Хэрэв дээрх жишээ
/etc/ipf.rules.script нэртэй файл дотор байсан бол, эдгээр
дүрмүүдийг дараах тушаалыг өгч дахин ачаалах боломжтой:
&prompt.root; sh /etc/ipf.rules.script
Суулгагдсан симболтой дүрмийн файлыг хэрэглэхэд нэг асуудал тулгардаг:
IPF симбол орлуулалтыг ойлгохгүй, ийм скриптийг шууд уншиж чаддаггүй.
Дараах скриптийг хоёр аргын нэгээр хэрэглэж болно:
cat-р эхэлсэн мөрийг ил гарга, харин
/sbin/ipf-р эхэлсэн мөрүүдийг далдал. ipfilter_enable="YES"-г
/etc/rc.conf файл дотор байрлуул, дараа нь өөрчлөлт бүрийн дараа скриптийг
ажиллуулан /etc/ipf.rules файлыг үүсгэ эсвэл өөрчлөлт оруул.
/etc/rc.conf файл дотор ipfilter_enable="NO"
(энэ анхдагч утга) мөрийг нэмэн системийн эхлэл скриптэд IPFILTER-г идэвхгүй болго.
Дээрхтэй адил скриптийг өөрийн /usr/local/etc/rc.d/ эхлэл хавтаст
байрлуул. Энэ скрипт ipf.loadrules.sh ч юм уу ойлгомжтой нэртэй байх ёстой.
.sh гэсэн өргөтгөлтэй байх ёстой.
#!/bin/sh
sh /etc/ipf.rules.script
Энэ скриптийн эрхүүд эзэмшигч root-н хувьд
унших, бичих, ажиллах эрхтэй байх ёстой.
&prompt.root; chmod 700 /usr/local/etc/rc.d/ipf.loadrules.sh
Одоо систем ачаалсны дараа таны IPF дүрмүүд ачаалагдсан байх болно.
IPF Дүрмүүдийн олонлог
Пакет дотор агуулагдаж байгаа утгуудыг үндэслэн тухайн пакетийг
нэвтрүүлэх болон хаахыг хэлж байгаа IPF дүрмүүдийг дүрмийн олонлог гэнэ. Хостуудын
хоорондох хоёр чиглэлтэй пакет солилцоо нь сесс харилцааг бүрдүүлнэ. Галт ханын
дүрмийн олонлог нь Интернэтээс ирж байгаа пакетуудыг болон систем
буцааж тэдэнд хариу өгсөн пакетуудыг боловсруулдаг. Бүх TCP/IP үйлчилгээнүүд
(жишээ нь: telnet, www, mail, г.м.) өөрийн протокол болон зөвшөөрөгдсөн
(сонсож байгаа) портоороо тодорхойлогддог.
Тухайн нэг үйлчилгээ рүү зорисон пакетууд нь тусгай зориулалтаар ашиглагддаггүй
порт ашиглан эх хаягаас гарч очих хаягийн тухайн үйлчилгээний порт руу
чиглэдэг.
Дээрх бүх параметрууд (өөрөөр хэлбэл: портууд болон хаягууд) дээр үндэслэн
нэвтрүүлэх болох хаах дүрмүүдийг зохиодог.
IPFILTER
Дүрмүүдтэй ажиллах дэс дараалал
IPF-г анх зохиохдоо сүүлд тохирсон дүрэм дийлнэ
логикийн дагуу бүтээсэн ба зөвхөн төлөвт-бус дүрмүүдийг ашигладаг байлаа.
Цаг хугацаа өнгөрөхөд IPF илүү хөгжиж, quick
тохируулга
болон төлөвт keep state
тохируулгуудыг агуулах болсон нь орчин үеийн
хэрэгцээ шаардлагад илүү нийцэх болжээ.
Энэ бүлэгт байгаа зааврууд нь quick
болон төлөвт keep state
тохируулгуудыг агуулсан дүрмүүдээс үндсэндээ бүрдсэн байгаа. Энэ бол хамааруулсан галт ханын дүрмүүдийг
бичих үндсэн арга барил юм.
Галт ханын дүрмүүдтэй ажиллахдаа маш
анхааралтай байх хэрэгтэй. Зарим тохиргоо серверээс
бүх холбоог тань тасалж мэднэ. Ийм аюулаас хол
байхын тулд, галт ханын тохиргоог анхлан хийхдээ ssh
зэрэг алсын хандалтаас илүүтэйгээр ойрын удирдлагыг сонгоорой.
Дүрмийн синтакс
IPFILTER
дүрмийн синтакс
Энд дурдах дүрмийн синтакс нь орчин үеийн төлөвт
дүрмүүдийн хүрээнд, сүүлд тохирсон дүрэм дийлнэ
логикоор
ажиллахаар хялбаршуулан бичигдсэн байгаа. Хуучин уламжлалт дүрмүүдийн
синтаксын бүрэн тайлбарыг &man.ipf.8; заавар хуудаснаас үзнэ үү.
# гэсэн тэмдэгт тайлбарын эхлэлийг заах ба
дүрэм бичсэн мөрийн төгсгөлд эсвэл өөрөө бүтэн мөр байдлаар байрлана.
Хоосон мөрийг тооцохгүй.
Дүрмүүд нь түлхүүр үгүүдийг агуулна. Эдгээр түлхүүр үгүүд нь
тухайн мөрөнд зүүнээс баруун тийш тодорхой дэс дараагаар бичигдэнэ.
Түлхүүр үгүүд тодоор бичигдэх тул түүгээр нь ялгаж танина. Зарим түлхүүр
үгүүд дэд-тохируулгатай байна. Тэр нь өөрөө түлхүүр үг байж болохоос гадна
цааш дэд-тохируулгуудыг агуулсан байж болно. Доорх синтаксын үг бүр нь
дор байрлах мөрүүдэд задаргааны хамт байгаа.
ACTION IN-OUT OPTIONS SELECTION STATEFUL PROTO
SRC_ADDR,DST_ADDR OBJECT PORT_NUM TCP_FLAG
STATEFUL
ACTION = block | pass
IN-OUT = in | out
OPTIONS = log | quick | on
interface-name
SELECTION = proto value |
source/destination IP | port = number | flags
flag-value
PROTO = tcp/udp | udp | tcp |
icmp
SRC_ADD,DST_ADDR = all | from
object to object
OBJECT = IP address | any
PORT_NUM = port number
TCP_FLAG = S
STATEFUL = keep state
ACTION
Тухайн дүрмэнд тохирч байгаа пакетийг хэрхэхийг action буюу
үйлдэл зааж өгнө. Бүх дүрэм үйлдэлтэй байх ёстой. Дараах
үйлдлүүдийг хэрэглэж болно:
block гэдэг нь пакеттай selection буюу сонголтын
параметрүүд тохирч байвал тухайн пакетийг орхигдуулахыг зааж өгнө.
pass гэдэг нь пакеттай selection буюу сонголтын
параметрүүд тохирч байвал тухайн пакетийг нэвтрүүлэхийг зааж өгнө.
IN-OUT
Дүрэм нь орох болон гарах урсгалын алинд үйлчлэхийг
заавал зааж өгөх ёстой. Энэ нь in эсвэл out түлхүүр үгийн аль нэг нь заавал
бичигдсэн байх ёстой гэсэн үг юм. Үгүй бол синтаксын алдаа өгч, танигдахгүй.
in гэдэг нь Интернэт уруу харж байгаа
интерфэйс дээр хүлээж авсан дотогшоо ирж байгаа пакетийн хувьд энэ дүрэм
үйлчлэхийг зааж өгнө.
out гэдэг нь Интернэт уруу харж байгаа
интерфэйс уруу чиглэсэн гадагшаа явж байгаа пакетийн хувьд энэ дүрэм үйлчлэхийг
зааж өгнө.
OPTIONS
Эдгээр options буюу тохируулгуудыг энд үзүүлсэн дэс
дарааллын дагуу хэрэглэх ёстой.
log гэдэг нь пакеттай selection буюу сонголтын
параметрүүд тохирч байвал пакетийн толгой
ipl бүртгэл уруу (дор Бүртгэл Хөтлөх хэсэгт
заасны дагуу) бичигдэхийг зааж өгнө.
quick гэдэг нь пакеттай selection буюу сонголтын
параметрүүд тохирч байвал энэ дүрэм нь хамгийн сүүлийн дүрэм болохыг зааж өгнө.
Ингэснээр short-circuit
замыг тухайн пакетийн хувьд дараагийн
дүрмүүдийг шалгахыг болиулна. Орчин үеийн дүрэмтэй ажиллах логикийн хувьд энэ
тохируулгыг заавал хэрэглэнэ.
on гэдэг нь selection буюу сонголтын
параметрүүдийн ажиллах интерфэйсийг зааж өгнө. Интерфэйсүүдийн нэрийг
&man.ifconfig.8;-н тусламжтай харж болно. Энэ тохируулгыг хэрэглэснээр,
тухайн дүрэм зөвхөн энэ интерфэйсээр зохих чиглэлд(in/out) явж байгаа
пакетийн хувьд үйлчилнэ. Орчин үеийн дүрэмтэй ажиллах логикийн хувьд энэ
тохируулгыг заавал хэрэглэнэ.
Пакетийг бүртгэхэд, түүний толгойг IPL пакет бүртгэх
хуурамч-төхөөрөмж уруу бичнэ. log түлхүүр үгийн дараа шууд залгаад,
дараах тодотгогчдыг(дараах дэс дарааллаар) хэрэглэж болно:
body гэдэг нь пакетийн толгойн дараа
пакетийн агуулгын эхний 128 байтыг бүртгэхийг зааж өгнө.
first Хэрэв log
түлхүүр үг keep state тохируулгын хамт хэрэглэгдсэн бол,
түүний араас ирэх keep state
-д тохирч байгаа бүх пакетийг
биш зөвхөн энэ тохируулгыг идэвхжүүлсэн эхний пакетийг бүртгэхийн тулд
энэ тохируулгыг хэрэглэнэ.
SELECTION
Энэ бүлэгт танилцуулж байгаа түлхүүр үгүүд тухайн пакетийг
дүрмэнд тохирсон эсэхийг тогтоохын тулд шалгадаг пакетийн онцлогийг
тодорхойлоход хэрэглэгддэг. Мөн subject түлхүүр үг байх ба дэд-тохируулга
түлхүүр үгийн аль нэгийг сонгон хэрэглэнэ. Дараах ерөнхий онцлогуудыг
хэрэглэх боломжтой, гэхдээ доорх дэс дарааллаар хэрэглэх хэрэгтэй:
PROTO
proto гэдэг нь subject түлхүүр үг бөгөөд
өөрийн харгалзах дэд-тохируулгын хамт хэрэглэгдэх ёстой. Утга нь
ямар протокол дээр ажиллахыг хэлж өгнө. Орчин үеийн дүрэмтэй
ажиллах логикийн хувьд энэ тохируулгыг заавал хэрэглэнэ.
tcp/udp | udp | tcp | icmp эсвэл
/etc/protocols файл дотор байгаа протоколуудыг
хэрэглэж болно. Тусгай tcp/udp гэсэн түлхүүр үг
TCP эсвэл UDP пакетийг сонгоход хэрэглэгддэг ба,
давхар эсвэл төстэй дүрмүүдийг арилгах үүднээс нэмэгдсэн байгаа.
SRC_ADDR/DST_ADDR
all гэсэн түлхүүр үг нь
өөр ямар ч параметргүй from any to any
гэдэгтэй адил юм.
from src to dst: from ба to гэсэн
түлхүүр үгүүд IP хаягийг шүүхэд хэрэглэгдэнэ. Дүрэмд хэрэглэхдээ эхлэл ба
очих параметрийг хоёуланг зааж өгөх ёстой. any
гэсэн тусгай түлхүүр үгийн тусламжтай бүх IP хаягийг зөвшөөрч өгч болно.
Хэрэглэх жишээ: from any to any
эсвэл from 0.0.0.0/0 to any эсвэл from any to
0.0.0.0/0 эсвэл from 0.0.0.0 to any эсвэл
from any to 0.0.0.0.
Цэгээр тусгаарлагдсан тоо/баг хэлбэрээр хялбархан илэрхийлэх боломжгүй IP хаягуудыг
хэрэглэх боломжгүй. net-mgmt/ipcalc порт ашиглан үүнийг
хялбарчилж болох юм. Нэмэлт мэдээллийг дараах вэб хуудсаар
орж үзнэ үү: .
PORT
Хэрэв эхлэл эсвэл очих порт, эсвэл хоёулангаар нь тохируулах бол
энэ нь зөвхөн TCP ба UDP пакетуудад хамаарна. Порт жишсэн дүрэм
бичихдээ /etc/services файл доторх үйлчилгээний нэр эсвэл
бүхэл тоон портын дугаарыг хэрэглэнэ. Портыг from обьекттой хамт хэрэглэх үед
энэ нь эхлэл портын дугаарыг, to обьекттой хамт хэрэглэх үед
энэ нь очих портын дугаарыг заана. Орчин үеийн дүрэмтэй
ажиллах логикийн хувьд port тохиргоог to обьекттой
заавал хамт хэрэглэнэ. Хэрэглэх жишээ: from any to any port = 80
Портын харьцуулалтыг төрөл бүрийн жиших операторуудыг
ашиглан хэд хэдэн аргаар хийж болно. Портын зурвасыг бас
зааж өгч болно.
port "=" | "!=" | "<" | ">" | "<=" | ">=" |
"eq" | "ne" | "lt" | "gt" | "le" | "ge".
Порт зурвасыг зааж өгөхдөө, port "<>" |
"><" гэж хэрэглэнэ.
Орчин үеийн дүрэмтэй
ажиллах логикийн хувьд эхлэл болон очих порт тохируулах параметрүүдийн дараа,
дараах хоёр параметрийг заавал хэрэглэнэ.
<acronym>TCP</acronym>_FLAG
Тугуудыг зөвхөн TCP шүүлтийн үед хэрэглэнэ.
Үсгүүдээр нь TCP пакетийн толгойтой таарч байгаа эсэхийг шалгах боломжит тугуудыг
үзүүлсэн байна.
Орчин үеийн дүрэмтэй ажиллах логик нь flags S параметрийг
tcp сесс эхлүүлэх хүсэлтийг тэмдэглэхдээ хэрэглэдэг.
STATEFUL
keep state гэдэг нь нэвтрүүлэх төрлийн дүрмийн хувьд
сонгох параметрүүдтэй тохирсан ямар ч пакет төлөвт шүүх нэмэлт боломжийг идэвхжүүлэх ёстойг
зааж өгнө.
Орчин үеийн дүрэмтэй ажиллах логикийн хувьд энэ тохируулгыг заавал
хэрэглэнэ.
Төлөвт шүүлт
IPFILTER
төлөвт шүүлт
Хостуудын хоорондох хоёр чиглэлтэй пакет солилцоо сесс харилцаанаас бүрддэг.
Төлөвт шүүлт нь урсгалыг сесс харилцаанаас бүрдэж буй хоёр чиглэлтэй пакет
солилцоо гэж үздэг. keep-state-г идэвхжүүлсэн үед, keep-state нь хоёр чиглэлтэй сесс харилцааны
үед солилцсон бүх пакетуудын хувьд дотоод дүрмүүдийг динамик байдлаар үүсгэдэг. Мөн
энэ нь сесс эхлүүлсэн болон хүлээн авсан хостуудын хоорондох сесс харилцаа
хоёр чиглэлтэй пакет солилцох процедуртай зохицож байгаа эсэхийг магадлах чадвартай байдаг.
Сесс харилцааны загварт зохицоогүй пакетийг хуурамч гэж үзэн хүлээж авахгүй.
TCP эсвэл UDP сесстэй холбоотой
ICMP пакетуудыг keep state нэвтрүүлнэ. Тэгэхээр, keep state дүрмээр
зөвшөөрөгдсөн вэбээр хийх аялалын хариуд ICMP type 3 code 4 хариуг хүлээн авбал
галт хана үүнийг автоматаар нэвтрүүлнэ гэсэн үг юм. Хэрэв IPF хүлээн авсан пакетийг
идэвхтэй байгаа сессийн нэг хэсэг гэж баттай итгэж байвал, өөр протокол дээр байсан ч
пакетийг нэвтрүүлнэ.
Үүний цаана юу болох вэ гэвэл:
Интернэт уруу холбогдсон интерфэйсээр гарч байгаа пакетуудыг
хамгийн түрүүнд динамик төлвийн хүснэгтэнд шалгана. Хэрэв тухайн пакет ямар нэг
идэвхтэй байгаа сесс харилцаанд оролцож байгаа зөвшөөрөгдсөн дараагийн пакет
байх юм бол, галт ханаар нэвтрүүлэх ба динамик төлвийн хүснэгтэн дэх
сесс харилцааны төлөв шинэчлэгдэнэ. Идэвхтэй сесс харилцаанд хамааралгүй
пакетуудыг гадагшаа урсгалын дүрмээр шалгах болно.
Интернэт уруу холбогдсон интерфэйсээс ирж байгаа пакетуудыг
хамгийн түрүүнд динамик төлвийн хүснэгтэнд шалгана. Хэрэв тухайн пакет ямар нэг
идэвхтэй байгаа сесс харилцаанд оролцож байгаа зөвшөөрөгдсөн дараагийн пакет
байх юм бол, галт ханаар нэвтрүүлэх ба динамик төлвийн хүснэгтэн дэх
сесс харилцааны төлөв шинэчлэгдэнэ. Идэвхтэй сесс харилцаанд хамааралгүй
пакетуудыг дотогшоо урсгалын дүрмээр шалгах болно.
Харилцаа дуусахад динамик төлвийн хүснэгтээс зохих бичлэг
устгагдана.
Төлөвт шүүлтийн тусламжтайгаар та шинэ сесс зөвшөөрөх/хаах
үйл ажиллагаан дээр төвлөрч ажиллаж чадна. Хэрэв шинэ сесс зөвшөөрөгдсөн бол
түүний дараагийн бүх пакетуудыг автоматаар нэвтрүүлэх ба хуурамч пакетууд
автоматаар буцаагдана. Хэрэв шинэ сесс хаагдсан бол
түүний дараагийн ямар ч пакет нэвтэрч чадахгүй. Төлөвт шүүлт нь
сүүлийн үеийн халдлагуудад ашиглагдаж байгаа аргуудын эсрэг хамгаалах
чадвартай, техникийн хувьд өндөр түвшний шүүлт хийх чадвартай юм.
Хамааруулсан дүрмийн олонлогийн жишээ
Дараах дүрмийн олонлог нь аюулгүй байдлыг маш сайн хангасан, хамааруулсан
галт ханын дүрмүүдийг хэрхэн бичих жишээ юм. Хамааруулсан галт хана нь зөвхөн pass дүрмүүдэд
тохирсон үйлчилгээг зөвшөөрч, бусдыг бүгдийг хаана.
Бусад машинуудыг хамгаалах ёстой галт хананууд буюу сүлжээний галт хананууд
нь багаар бодоход хоёр интерфэйстэй байх ёстой бөгөөд ерөнхийдөө
нэг талд (LAN) итгэж нөгөөд (Интернэт) итгэхгүй байхаар
тохируулагдсан байдаг. Мөн ажиллаж байгаа системээ зөвхөн хамгаалахаар
галт хана тохируулагдсан байж болох бөгөөд ийм галт ханыг хостын галт хана
гэх бөгөөд энэ нь итгэлгүй сүлжээн дэх серверүүдийн хувьд ялангуяа
тохиромжтой байдаг.
&os;-г оролцуулаад бүх &unix; төрлийн систем нь үйлдлийн систем дэх
дотоод харилцаандаа lo0 интерфэйс болон 127.0.0.1
гэсэн IP хаягийг хэрэглэхээр бүтээгдсэн байдаг. Галт ханын дүрмүүд нь дотооддоо хэрэглэж байгаа
эдгээр пакетуудыг чөлөөтэй нэвтрүүлэх дүрмүүдийг агуулсан байх ёстой.
Интернэттэй холбогдож байгаа интерфэйс дээр
Интернэт уруу гарч байгаа болон Интернэтээс ирж байгаа хандалтыг удирдах
болон хянах дүрмүүдийг байрлуулна. Энэ нь таны PPP tun0
интерфэйс эсвэл таны DSL эсвэл кабель модемд холбогдсон NIC байж болно.
Галт ханын цаана байгаа хувийн сүлжээнд нэг болон түүнээс дээш тооны NIC-ууд
холбогдсон тохиолдолд, тэдгээр интерфэйсүүдийн хувьд тэдгээр LAN интерфэйсүүдийн нэгээс
нөгөө рүү ба/эсвэл гадагш гарсан пакетуудыг чөлөөтэй нэвтрүүлэх дүрмийг агуулсан байх ёстой.
Дүрмүүд гурван үндсэн хэсэгт хуваагдан зохион байгуулагдсан байх
ёстой: эхлээд итгэлтэй интерфэйсүүд, дараа нь нийтийн гадагшаа интерфэйс, төгсгөлд нь
нийтийн итгэлтэй дотогшоо интерфэйс.
Нийтийн интерфэйс хэсэгт байгаа дүрмүүд тухайн интерфэйс болон чиглэлийн
хувьд хамгийн олон тохиолддог дүрмүүд нь хамгийн түрүүнд, цөөн тохиолддог дүрмүүдээс өмнө байхаар,
хаах болох бүртгэх дүрмүүд нь хамгийн сүүлд байхаар бичигдсэн байна.
Дараах жишээн дээрх Гадагшаа хэсэг нь Интернэт хандалтыг зөвшөөрч өгөх
үйлчилгээг тодорхойлох сонголтын утгуудыг агуулсан зөвхөн pass дүрмүүдээс бүрдэж байна.
Бүх дүрмүүд quick, on,
proto, port, болон keep state тохируулгуудыг агуулсан байгаа.
proto tcp дүрмүүд нь төлөвт байдлыг идэвхжүүлж байгаа пакетийг тодорхойлох байдлаар,
сесс эхлүүлэх хүсэлтийг тодорхойлох зорилгоор flag тохируулгыг агуулсан байна.
Дотогшоо хэсэгт эхлээд хүсээгүй пакетуудыг хаах дүрмүүдийг бичсэн байна.
Энэ нь хоёр өөр шалтгаантай. Эхнийх нь хортой пакетуудын зарим нь зөвшөөрсөн
урсгалын хэсэг байж болох юм. allow дүрэмд таарч байгаа
тэр хэсэг дээр тулгуурлан эдгээр пакетуудыг зөвшөөрөлгүйгээр
хаах ёстой. Хоёр дахь шалтгаан нь тухайн хэсэгт байгаа хамгийн сүүлийн
дүрмээр хааж бүртгэхийн оронд тэдгээр мэдэгдэж байгаа сонирхолгүй
татгалзалтуудыг чимээгүйгээр хааж болох юм. Хэсэг бүр дэх
сүүлийн дүрэм бүх пакетуудыг хааж бүртгэдэг бөгөөд таны систем рүү
халдаж байгаа хүмүүсийг шүүхэд шаардагдах баримтыг бий болгоход
ашиглагдаж болох юм.
Өөр нэг санаа тавин тэмдэглэн хэлэх зүйл бол хүсээгүй урсгалын хариуд ямар ч хариу явуулахгүй
байх явдал юм. Буруу пакетуудыг зүгээр орхиж тэд алга болох ёстой юм.
Ингэснээр халдлага явуулагч түүний явуулсан пакетууд
таны системд хүрсэн эсэх талаар юу ч мэдэхгүй үлдэх болно. Таны системийн талаар хэдий хэр бага мэднэ,
тэд ямар нэг муу зүйл хийж чадах хүртэл төдий чинээ урт хугацаа зарцуулна гэсэн үг юм.
log first тохируулгыг агуулах дүрмүүд
анхны удаа таарахад бүртгэж авдаг. Энэ тохируулга нь
жишээ nmap OS fingerprint дүрэмд орсон
байдаг. security/nmap хэрэгслийг
халдагчид таны серверийн үйлдлийн системийг танихын тулд ихэвчлэн
ашигладаг.
log first дүрмийн хувьд бүртгэлийн мэдээлэл
бүртгэгдэх бүрт ipfstat -hio тушаалаар энэ дүрэм хэдэн
удаа тохирсон байгааг шалгаж болно. Ихээхэн хэмжээний бүртгэлийн
мэдээлэл нь таныг халдлагад өртөж байгааг ихэвчлэн илэрхийлдэг.
/etc/services файлыг ашиглан мэдэгдэхгүй
портын дугаарыг хайж олж болох юм. Мөн
хаягаар тухайн
порт ямар зориулалтаар ашиглагддагийг орж шалгаж болох юм.
Троянуудын хэрэглэдэг портын дугааруудыг
хаягаар орж шалгаарай.
Дараах дүрмийн олонлог нь ажиллаж байгаа систем дээр шалгагдсан
аюулгүй байдлыг бүрэн хангасан хамааруулсан галт ханын дүрмийн олонлог юм.
Үүнийг өөрийн системд хялбарханаар тааруулж болох юм.
Зөвшөөрөхийг хүсэхгүй байгаа үйлчилгээнүүдийн хувьд харгалзах
pass дүрмийг далдлаарай.
Хүсээгүй мэдээллийг бүртгэхгүйн тулд дотогшоо хэсэгт
block дүрэм нэмж бичээрэй.
Дүрэм бүрт байгаа dc0 гэсэн интерфэйсийн нэрийн оронд
таны системийг Интернэт уруу холбож байгаа NIC картны интерфэйсийн нэрээр сольж тавиарай.
Хэрэглэгчийн PPP-н хувьд, энэ нь tun0 байна.
Дараах илэрхийллүүдийг /etc/ipf.rules дотор бичих хэрэгтэй:
#################################################################
# No restrictions on Inside LAN Interface for private network
# Not needed unless you have LAN
#################################################################
#pass out quick on xl0 all
#pass in quick on xl0 all
#################################################################
# No restrictions on Loopback Interface
#################################################################
pass in quick on lo0 all
pass out quick on lo0 all
#################################################################
# Interface facing Public Internet (Outbound Section)
# Match session start requests originating from behind the
# firewall on the private network
# or from this gateway server destined for the public Internet.
#################################################################
# Allow out access to my ISP's Domain name server.
# xxx must be the IP address of your ISP's DNS.
# Dup these lines if your ISP has more than one DNS server
# Get the IP addresses from /etc/resolv.conf file
pass out quick on dc0 proto tcp from any to xxx port = 53 flags S keep state
pass out quick on dc0 proto udp from any to xxx port = 53 keep state
# Allow out access to my ISP's DHCP server for cable or DSL networks.
# This rule is not needed for 'user ppp' type connection to the
# public Internet, so you can delete this whole group.
# Use the following rule and check log for IP address.
# Then put IP address in commented out rule & delete first rule
pass out log quick on dc0 proto udp from any to any port = 67 keep state
#pass out quick on dc0 proto udp from any to z.z.z.z port = 67 keep state
# Allow out non-secure standard www function
pass out quick on dc0 proto tcp from any to any port = 80 flags S keep state
# Allow out secure www function https over TLS SSL
pass out quick on dc0 proto tcp from any to any port = 443 flags S keep state
# Allow out send & get email function
pass out quick on dc0 proto tcp from any to any port = 110 flags S keep state
pass out quick on dc0 proto tcp from any to any port = 25 flags S keep state
# Allow out Time
pass out quick on dc0 proto tcp from any to any port = 37 flags S keep state
# Allow out nntp news
pass out quick on dc0 proto tcp from any to any port = 119 flags S keep state
# Allow out gateway & LAN users' non-secure FTP ( both passive & active modes)
# This function uses the IPNAT built in FTP proxy function coded in
# the nat rules file to make this single rule function correctly.
# If you want to use the pkg_add command to install application packages
# on your gateway system you need this rule.
pass out quick on dc0 proto tcp from any to any port = 21 flags S keep state
# Allow out ssh/sftp/scp (telnet/rlogin/FTP replacements)
# This function is using SSH (secure shell)
pass out quick on dc0 proto tcp from any to any port = 22 flags S keep state
# Allow out insecure Telnet
pass out quick on dc0 proto tcp from any to any port = 23 flags S keep state
# Allow out FreeBSD CVSup
pass out quick on dc0 proto tcp from any to any port = 5999 flags S keep state
# Allow out ping to public Internet
pass out quick on dc0 proto icmp from any to any icmp-type 8 keep state
# Allow out whois from LAN to public Internet
pass out quick on dc0 proto tcp from any to any port = 43 flags S keep state
# Block and log only the first occurrence of everything
# else that's trying to get out.
# This rule implements the default block
block out log first quick on dc0 all
#################################################################
# Interface facing Public Internet (Inbound Section)
# Match packets originating from the public Internet
# destined for this gateway server or the private network.
#################################################################
# Block all inbound traffic from non-routable or reserved address spaces
block in quick on dc0 from 192.168.0.0/16 to any #RFC 1918 private IP
block in quick on dc0 from 172.16.0.0/12 to any #RFC 1918 private IP
block in quick on dc0 from 10.0.0.0/8 to any #RFC 1918 private IP
block in quick on dc0 from 127.0.0.0/8 to any #loopback
block in quick on dc0 from 0.0.0.0/8 to any #loopback
block in quick on dc0 from 169.254.0.0/16 to any #DHCP auto-config
block in quick on dc0 from 192.0.2.0/24 to any #reserved for docs
block in quick on dc0 from 204.152.64.0/23 to any #Sun cluster interconnect
block in quick on dc0 from 224.0.0.0/3 to any #Class D & E multicast
##### Block a bunch of different nasty things. ############
# That I do not want to see in the log
# Block frags
block in quick on dc0 all with frags
# Block short tcp packets
block in quick on dc0 proto tcp all with short
# block source routed packets
block in quick on dc0 all with opt lsrr
block in quick on dc0 all with opt ssrr
# Block nmap OS fingerprint attempts
# Log first occurrence of these so I can get their IP address
block in log first quick on dc0 proto tcp from any to any flags FUP
# Block anything with special options
block in quick on dc0 all with ipopts
# Block public pings
block in quick on dc0 proto icmp all icmp-type 8
# Block ident
block in quick on dc0 proto tcp from any to any port = 113
# Block all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
block in log first quick on dc0 proto tcp/udp from any to any port = 137
block in log first quick on dc0 proto tcp/udp from any to any port = 138
block in log first quick on dc0 proto tcp/udp from any to any port = 139
block in log first quick on dc0 proto tcp/udp from any to any port = 81
# Allow traffic in from ISP's DHCP server. This rule must contain
# the IP address of your ISP's DHCP server as it's the only
# authorized source to send this packet type. Only necessary for
# cable or DSL configurations. This rule is not needed for
# 'user ppp' type connection to the public Internet.
# This is the same IP address you captured and
# used in the outbound section.
pass in quick on dc0 proto udp from z.z.z.z to any port = 68 keep state
# Allow in standard www function because I have apache server
pass in quick on dc0 proto tcp from any to any port = 80 flags S keep state
# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID/PW passed over public Internet as clear text.
# Delete this sample group if you do not have telnet server enabled.
#pass in quick on dc0 proto tcp from any to any port = 23 flags S keep state
# Allow in secure FTP, Telnet, and SCP from public Internet
# This function is using SSH (secure shell)
pass in quick on dc0 proto tcp from any to any port = 22 flags S keep state
# Block and log only first occurrence of all remaining traffic
# coming into the firewall. The logging of only the first
# occurrence avoids filling up disk with Denial of Service logs.
# This rule implements the default block.
block in log first quick on dc0 all
################### End of rules file #####################################
<acronym>NAT</acronym>
NAT
IP маскарад
NAT
сүлжээний хаягийн хөрвүүлэлт
NAT
NAT нь Network Address Translation буюу
Сүлжээний хаягийн Хөрвүүлэлтийн товчлол юм. &linux;-н талаар ойлголттой хүмүүсийн хувьд,
энэ ойлголтыг IP маскарад гэж нэрлэдэг; NAT ба IP маскарад
нь нэг зүйл юм. IPF NAT-н бидэнд олгож байгаа олон зүйлүүдийн нэг бол
галт ханын цаана байгаа Local Area Network буюу Ойрын Зайн Сүлжээ(LAN)-н хувьд
ISP-с оноож өгсөн ганц IP хаягийг Интернэтэд хуваан хэрэглэх юм.
Ингэх ямар шаардлага байнаа гэж та гайхан асуух байх.
ISP-ууд өөрийн ашгийн-бус хэрэглэгчиддээ ихэвчлэн динамик IP хаяг оноодог.
Динамик гэдэг нь таныг ISP руу залган нэвтрэн орох болгонд, кабель эсвэл
DSL модемтой хэрэглэгчдийн хувьд модемоо асааж унтраах болгонд
өөр өөр IP хаяг онооно гэсэн үг юм. Таны системийг Интернэтэд танихад
энэ динамик IP хаягийг ашигладаг.
Та гэртээ таван PC-тэй бөгөөд бүгд Интернэт уруу гардаг байх хэрэгтэй гэж бодъё.
Тэгвэл та PC тус бүрт тусад нь эрх худалдан авч, таван утасны үзүүртэй байх хэрэгтэй болно.
NAT-н тусламжтай ISP-гаас зөвхөн ганцхан эрх
шаардлагатай. Бусад дөрвөн PC-гээ switch буюу шилжүүлэгч уруу холбож, харин switch-ээ таны LAN-нд гарц байдлаар ажиллах
&os; системийн NIC руу залгана. NAT нь LAN-д байгаа бүх PC-ны хувьд хувийн IP
хаягийг ганцхан гадаад IP хаяг уруу автоматаар хөрвүүлэх болно. NAT нь эргэж
ирж байгаа пакетуудын хувьд эсрэг хөрвүүлэлтийг мөн хийнэ.
NAT хийгдсэн хувийн LAN-уудад зориулж бүлэг IP хаягийг тусгайлан
гаргасан байдаг. RFC 1918 стандартад зааснаар бол, дараах бүлэг IP-г хувийн сүлжээндээ ашиглах
боломжтой, эдгээр IP хэзээ ч гадаад Интернэт уруу гарахгүй болно:
Эхлэх IP 10.0.0.0
-
Төгсөх IP 10.255.255.255
Эхлэх IP 172.16.0.0
-
Төгсөх IP 172.31.255.255
Эхлэх IP 192.168.0.0
-
Төгсөх IP 192.168.255.255
IP<acronym>NAT</acronym>
NAT
ба IPFILTER
ipnat
NAT дүрмүүдийг ipnat тушаалын
тусламжтай ачаална. Ихэвчлэн NAT дүрмүүд /etc/ipnat.rules
файл дотор байрлана. Дэлгэрэнгүйг &man.ipnat.1; хэсгээс үзнэ үү.
NAT ажиллаж эхэлсний дараа NAT дүрмүүдэд
өөрчлөлт оруулах шаардлагатай бол NAT дүрмүүд байгаа файл дотор өөрчлөлтийг хийсний дараа,
одоо хэрэглэгдэж байгаа NAT дүрмүүдийг устгаж, хөрвүүлэгч хүснэгтийг цэвэрлэхийн
тулд ipnat тушаалыг тугийн хамт ажиллуулах хэрэгтэй.
Харин NAT дүрмүүдийг дахин ачаалахдаа тушаалыг
дараах байдалтай өгөх хэрэгтэй:
&prompt.root; ipnat -CF -f /etc/ipnat.rules
NAT-н талаар зарим статистикийг харъя гэвэл дараах
тушаалыг ашиглана:
&prompt.root; ipnat -s
NAT хүснэгтийн одоо ашиглаж байгаа оноолтын жагсаалтыг
харахын тулд дараах тушаалыг ашиглана:
&prompt.root; ipnat -l
Вербос буюу хэр зэрэг харуулах горимыг нээхийн тулд, дүрэмтэй ажиллах болон идэвхтэй
байгаа дүрмүүдийн хүснэгтийг харахын тулд:
&prompt.root; ipnat -v
IP<acronym>NAT</acronym> Дүрмүүд
NAT дүрмүүд нь маш уян хатан бөгөөд хэрэглэгчдийн
хэрэгцээг хангах олон зүйлүүдийг хийж чадна.
Энд үзүүлсэн дүрмийн синтаксыг ашгийн-бус орчинд ихэвчлэн хэрэглэгддэг
дүрмүүдэд зориулан хялбаршуулсан байгаа. Дүрмийн синтаксын бүрэн тайлбарыг &man.ipnat.5;
заавар хуудаснаас үзнэ үү.
NAT дүрмийн синтакс дараах байдалтай байна:
map IF LAN_IP_RANGE -> PUBLIC_ADDRESS
Дүрэм нь map гэсэн түлхүүр үгээр эхэлнэ.
IF-г гадаад интерфэйсээр сольж тавьна.
LAN_IP_RANGE нь танай дотоод хэрэглэгчийн
хэрэглэж буй IP хаяглалтыг заана, ихэвчлэн 192.168.1.0/24
гэсэн маягтай байна.
PUBLIC_ADDRESS нь гадаад IP
байж болно эсвэл IF-д оноосон IP хаягийг
хэрэглэхийг заасан 0/32 гэсэн тусгай түлхүүр үг байж болно.
<acronym>NAT</acronym> хэрхэн ажилладаг вэ
Гадаад очих хаягтай пакет галт хана дээр LAN-с хүрэлцэн ирнэ.
Эхлээд гадагшаа шүүлтийн дүрмүүдээр гарна, дараа нь NAT-н
ээлж ирэх ба өөрийн дүрмүүдийг дээрээс доош шалгаж эхэлнэ. Хамгийн эхэнд тохирсон нь
дийлнэ. NAT өөрийн дүрэм бүрийг пакетийн интерфэйсийн нэр болон
эхлэл хаягаар тулгаж шалгана. Пакетийн интерфэйсийн нэр NAT
дүрэмтэй тохирвол пакетийн эхлэл IP хаяг (өөрөөр хэлбэл хувийн LAN IP хаяг)
NAT дүрмийн сумны зүүн талд зааж өгсөн
IP хаягийн зурвас дотор байгаа эсэхийг шалгана. Хэрэв энэ тохирвол
пакетийн эхлэл хаягийг 0/32 түлхүүр үгийн тусламжтай
олж авсан гадаад IP хаягаар сольж бичнэ. NAT
өөрийн дотоод NAT хүснэгтэнд бичлэг нэмэх ба энэ нь
пакет Интернэтээс буцаж ирэхэд түүнийг буцаан хувийн IP хаяг уруу нь хөрвүүлэн,
цааш шүүлтийн дүрмүүдээр оруулах боломжийг олгоно.
IP<acronym>NAT</acronym>-г идэвхжүүлэх
IPNAT-г идэвхжүүлэхийн тулд эдгээр илэрхийллүүдийг
/etc/rc.conf дотор нэмж бичнэ.
Өөрийн машиныг интерфэйсүүдийн хооронд пакетуудыг чиглүүлдэг
болгохын тулд:
gateway_enable="YES"
Систем ачаалахад IPNAT-г автоматаар ачаалдаг
болгохын тулд:
ipnat_enable="YES"
IPNAT-н дүрмүүдийг хаанаас ачаалахыг зааж өгөхдөө:
ipnat_rules="/etc/ipnat.rules"
Маш том LAN-д зориулсан <acronym>NAT</acronym>
LAN-даа олон тооны PC-тэй сүлжээний хувьд эсвэл нэгээс олон
LAN-тай сүлжээний хувьд, энэ олон хувийн IP хаягуудыг нэг гадаад IP хаяг уруу
нийлүүлэх үйл явцад NAT хийгдсэн олон LAN PC дээр ижил портын
дугаар олон дахин хэрэглэгдсэнээс мөргөлдөөн үүсэх гэх мэт нөөцтэй холбоотой асуудал гардаг.
Нөөцтэй холбоотой энэ асуудлаас гарахын тулд дараах хоёр арга зам байдаг.
Хэрэглэх портуудыг оноох
Энгийн NAT дүрэм дараах байдалтай байна:
map dc0 192.168.1.0/24 -> 0/32
Дээрх дүрмэнд пакет IPNAT-р дайрч өнгөрөхөд
пакетийн эхлэл порт өөрчлөгдөхгүй. portmap гэсэн түлхүүр үгийг нэмсэнээр
IPNAT-ийг заасан зурвас дахь зөвхөн эхлэл портуудыг ашиглахаар зааж өгнө.
Жишээ нь, дараах дүрэм IPNAT-г эхлэл порт хаягийг
тухайн зурвас дотор байхаар өөрчлөхийг зааж өгч байна.
map dc0 192.168.1.0/24 -> 0/32 portmap tcp/udp 20000:60000
Дээр нь бид auto түлхүүр үгийн тусламжтай
аль портуудыг ашиглах боломжтой байгааг өөрөө тодорхойлохыг зааж өгч болно:
map dc0 192.168.1.0/24 -> 0/32 portmap tcp/udp auto
Гадаад хаягийн цөөрмийг хэрэглэх
Маш том LAN-уудын хувьд дэндүү олон LAN хаягуудыг нэг гадаад
хаягт оноох нь боломжгүй болох үе ирдэг. Хэрэв бүлэг гадаад IP сул байгаа бол,
эдгээр IP хаягуудыг цөөрөм
байдлаар ашиглаж болох ба,
IPNAT эдгээрээс нэгийг сонгон авч гадагшаа явж байгаа
пакетийн хаягт оноох байдлаар хэрэглэх болно.
Жишээ нь, доор үзүүлсэн шиг бүх пакетуудыг ганц
гадаад IP-д оноохын оронд:
map dc0 192.168.1.0/24 -> 204.134.75.1
гадаад IP хаягийн зурвасыг сүлжээний хуваалтын хамт зааж өгч болно:
map dc0 192.168.1.0/24 -> 204.134.75.0/255.255.255.0
эсвэл CIDR тэмдэглэгээг хэрэглэж болно:
map dc0 192.168.1.0/24 -> 204.134.75.0/24
Портын дахин чиглүүлэлт
LAN дотор вэб сервер, цахим шуудангийн сервер, өгөгдлийн
сангийн сервер болон DNS серверийг өөр өөр PC дээр тараан ажиллуулах нь
түгээмэл байдаг. Энэ тохиолдолд эдгээр серверээс гарч байгаа урсгал
мөн NAT хийгдсэн байх ёстой. Гэхдээ гаднаас ирж буй
урсгалыг зөв LAN PC уруу дахин чиглүүлэх арга зам байх хэрэгтэй болно.
Энэ асуудлыг шийдэхийн тулд IPNAT нь дахин чиглүүлэлт хийх
NAT нэмэлт боломжийг олгодог. Вэб сервер
10.0.10.25 гэсэн LAN хаягтай бөгөөд
20.20.20.5 гэсэн ганц гадаад IP-тай
байлаа гэж бодъё. Тэгвэл дүрмийг дараах байдалтай:
rdr dc0 20.20.20.5/32 port 80 -> 10.0.10.25 port 80
эсвэл:
rdr dc0 0.0.0.0/0 port 80 -> 10.0.10.25 port 80
эсвэл гаднаас DNS хүсэлтүүд хүлээн авдаг
10.0.10.33 гэсэн хаягтай LAN DNS Серверийн хувьд:
rdr dc0 20.20.20.5/32 port 53 -> 10.0.10.33 port 53 udp
гэж бичих байсан.
FTP ба <acronym>NAT</acronym>
FTP-г Интернэт одоогийнх шиг байхаас өмнөх үе, их сургуулиуд
түрээсийн шугамаар хоорондоо холбогдож, судлаач эрдэмтэд хоорондоо файл солилцохын тулд
FTP-г ашигладаг байх үес үлдсэн үлэг гүрвэл гэж хэлж болох юм. Тэр үед
өгөгдлийн аюулгүй байдлын талаар огт анхаардаггүй байлаа. Цаг хугацаа өнгөрөхөд
FTP протоколыг шинээр гарч ирж байгаа Интернэтийн гол нуруу сүлжээнд хэрэглэх болсон ба
түүний хэрэглэгчийн нэр, нууц үгийг цэвэр текст хэлбэрээр дамжуулдаг байдал нь
хэзээ ч өөрчлөгдөөгүй бөгөөд орчин үеийн аюулгүй байдлын шаардлагад
нийцэхгүй болсон билээ. FTP нь active буюу идэвхтэй, passive буюу идэвхгүй гэсэн хоёр
горимд ажилладаг. Өгөгдлийн сувгийг хэрхэн ашиглаж байгаа дээр гол ялгаа нь гардаг.
Өгөгдлийн сувгийг эхэлж ftp сесс хүсэгч нь авдаг тул идэвхгүй горимд ажиллах
нь аюулгүй байдлыг илүүтэйгээр хангана. FTP-н талаар илүү сайн тайлбарыг болон түүний
горимуудын талаар хаягаар үзнэ үү.
IP<acronym>NAT</acronym> Дүрмүүд
IPNAT нь дотроо NAT
оноолт дүрэмд тодорхойлж өгөх боломжтой тусгай FTP прокси тохируулгыг
агуулсан байдаг. Энэ нь идэвхтэй болон идэвхгүй FTP сесс эхлүүлэх хүсэлтэд
оролцож байгаа бүх гадагшаа чиглэлтэй FTP пакетийг хянаж чадна. Мөн
өгөгдлийн сувагт үнэхээр хэрэглэгдэж байгаа порт дугаарыг агуулсан түр зуурын
шүүлтийн дүрмүүдийг динамикаар үүсгэж чадна. Ийм байдлаар FTP-с болж үүсдэг
дээд хэсгийн портуудыг өргөн зурвасаар нээх эрсдэлээс галт ханыг хамгаалж байгаа юм.
Доорх дүрэм нь дотоод LAN-н бүх урсгалыг зохицуулна:
map dc0 10.0.10.0/29 -> 0/32 proxy port 21 ftp/tcp
Доорх дүрэм гарцаас ирж буй FTP урсгалыг зохицуулна:
map dc0 0.0.0.0/0 -> 0/32 proxy port 21 ftp/tcp
Доорх дүрэм дотоод LAN-с ирж буй бүх FTP-н биш урсгалыг зохицуулна:
map dc0 10.0.10.0/29 -> 0/32
FTP оноолтын дүрэм нь бидний ердийн оноолтын дүрмүүдийн өмнө бичигдэнэ.
Бүх пакетийг хамгийн дээр бичигдсэн дүрмээс эхлэн шалгана.
Интерфэйсийн нэр тохирвол дотоод LAN эхлэл IP хаяг, дараа нь FTP пакет эсэхийг
шалгана. Хэрэв бүгд тохирвол, тусгай FTP прокси эдгээр FTP сесс пакетуудыг
NAT хийхээс гадна гадагш нь болон дотогш нь нэвтрүүлэх
түр зуурын шүүлтийн дүрмийг үүсгэнэ. FTP-н биш бусад бүх LAN пакетууд эхний
дүрмэнд тохирохгүй тул гуравдугаар дүрэм уруу шилжин дахин шалгагдана. Интерфэйс болон
эхлэл IP тохирох тул NAT хийгдэнэ.
IP<acronym>NAT</acronym> FTP Шүүлтийн Дүрмүүд
NAT FTP прокси ашиглаж байгаа тохиолдолд
FTP-н хувьд ганцхан шүүлтийн дүрэм хэрэгтэй.
FTP Прокси байхгүй бол дараах гурван дүрмийг хэрэглэнэ:
# Allow out LAN PC client FTP to public Internet
# Active and passive modes
pass out quick on rl0 proto tcp from any to any port = 21 flags S keep state
# Allow out passive mode data channel high order port numbers
pass out quick on rl0 proto tcp from any to any port > 1024 flags S keep state
# Active mode let data channel in from FTP server
pass in quick on rl0 proto tcp from any to any port = 20 flags S keep state
IPFW
галт хана
IPFW
IPFIREWALL (IPFW) нь &os;-ийн хандиваар &os;-ийн сайн дурын гишүүдийн бүтээсэн,
тэдний эрх мэдэлд байдаг галт ханын програм юм. Энэ нь хуучин уламжлалт төлөвт
дүрмүүдийг хэрэглэдэг бөгөөд Simple Stateful logiс буюу Хялбар Төлөвт логикийг
бий болгохын тулд уламжлалт дүрэм бичих техникийг хэрэглэдэг.
Стандарт &os; суулгац дахь IPFW-н хялбар дүрмийн олонлог
(/etc/rc.firewall болон /etc/rc.firewall6
файл дотор байрлана) нь нилээд хялбар бөгөөд өөрт тохируулан засварласны дараа хэрэглэхээр бодолцон
бичигдсэн байдаг. Жишээн дээр ихэнх суулгацад тохиромжтой төлөвт шүүлтийг хэрэглээгүй байгаа.
Тиймээс энэ хэсэгт энэ жишээг хэрэглэхгүй болно.
IPFW-н төлөвт дүрмийн синтакс нь галт хана суулгах анхан шатны мэдлэгээс
хол давсан техникийн хувьд ярвигтай сонголтын боломжуудаар хүч нэмсэн байдаг.
IPFW нь мэргэжлийн түвшний хэрэглэгчид эсвэл өндөр түвшний пакет сонголт
шаардлагатай байгаа техникийн өндөр түвшний компьютер сонирхогчид зориулагдсан юм.
IPFW-н дүрмүүдийн хүчийг мэдрэхийн өмнө протоколууд өөрийн тусгай пакетийн толгойн
мэдээллийг хэрхэн үүсгэдэг болон хэрэглэдэг талаар нилээд дэлгэрэнгүй мэдлэгийг
олж авсан байх хэрэгтэй. Тийм түвшний тайлбарыг энд өгөх нь номын энэ бүлгийн
мэдлээс халих тул энд оруулах боломжгүй юм.
IPFW нь долоон хэсгээс бүрдэнэ, гол хэсэг болох цөмийн галт ханын шүүлтийн
дүрмийг боловсруулагч болон түүний бусад хэсэг болох пакет данслах боломж, бүртгэх боломж, NAT
боломжийг идэвхжүүлэх divert дүрэм, болон өндөр түвшний тусгай зориулалттай боломжууд,
dummynet трафик хязгаарлагч боломжууд, fwd дүрэм дамжуулах боломж, гүүр боломжууд, болон
ipstealth боломжуудаас бүрдэнэ. IPFW нь IPv4 болон IPv6-г дэмждэг.
IPFW-г идэвхжүүлэх
IPFW
идэвхжүүлэх
IPFW нь &os; үндсэн суулгацтай хамт, ажиллах үеийн ачаалах боломжтой модуль байдлаар ирдэг.
rc.conf тохиргооны файл дотор firewall_enable="YES" илэрхийлэл байгаа үед систем IPFW цөмийн
модулийг динамикаар ачаална. NAT функцыг ашиглахгүй бол
IPFW-г цөмд эмхэтгэх шаардлага байхгүй.
rc.conf файл дотор firewall_enable="YES"
илэрхийллийг нэмээд системийг дахин асаасны дараа ачаалах үйл явцын нэг хэсэг болж
дараах мессеж дэлгэцэн дээр гарах болно:
ipfw2 initialized, divert disabled, rule-based forwarding disabled, default to deny, logging disabled
Ачаалах боломжтой модульд бүртгэх боломжийг эмхэтгээгүй байгаа.
Бүртгэлийг идэвхжүүлж вербос бүртгэлийн хязгаарыг тогтоохын тулд
/etc/sysctl.conf файл дотор тохируулж болох тохиргоо бий.
Эдгээр илэрхийллүүдийг нэмсэнээр бүртгэлийн систем дараагийн удаа ачаалахад идэвхжинэ:
net.inet.ip.fw.verbose=1
net.inet.ip.fw.verbose_limit=5
Цөмийн тохируулгууд
цөмийн тохируулгууд
IPFIREWALL
цөмийн тохируулгууд
IPFIREWALL_VERBOSE
цөмийн тохируулгууд
IPFIREWALL_VERBOSE_LIMIT
IPFW
цөмийн тохируулгууд
NAT функцыг хэрэглэхгүй бол &os; цөм уруу
дараах боломжуудыг эмхэтгэн IPFW-г идэвхжүүлэх албагүй болно.
Суурь мэдлэг болгон энд үзүүллээ.
options IPFIREWALL
Энэ тохируулга IPFW-г цөмийн нэг хэсэг болгон идэвхжүүлнэ
options IPFIREWALL_VERBOSE
Энэ тохируулга log гэсэн түлхүүр үг орсон дүрмийн хувьд
IPFW-р дайран өнгөрөх пакетуудыг бүртгэх боломжтой болгоно.
options IPFIREWALL_VERBOSE_LIMIT=5
Энэ тохируулга &man.syslogd.8;-р нэгэн зэрэг бүртгэгдэж буй
пакетийн тоог хязгаарлана. Галт ханын үйлдлүүдийг бүртгэхийг хүсэж байгаа
дайсагнасан орчнуудад энэ тохируулгыг хэрэглэж болно. Энэ тохируулга нь
syslog-г живүүлэх замаар явагдах үйлчилгээг зогсоох халдлагыг хааж өгөх болно.
цөмийн тохируулгууд
IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_DEFAULT_TO_ACCEPT
Энэ тохируулга нь анхдагчаар галт ханыг дамжин өнгөрч байгаа бүх зүйлийг
нэвтрүүлэхийг зөвшөөрөх бөгөөд энэ нь галт ханыг анх удаа тохируулж байгаа үед илүү тохиромжтой.
цөмийн тохируулгууд
IPDIVERT
options IPDIVERT
Энэ тохируулга NAT функцыг идэвхжүүлнэ.
Хэрэв та IPFIREWALL_DEFAULT_TO_ACCEPT-г оруулаагүй эсвэл
ирж байгаа пакетуудыг нэвтрүүлэх дүрмүүд бичээгүй бол ирж
байгаа болон явж байгаа бүх пакетуудыг галт хана хаах болно.
<filename>/etc/rc.conf</filename> Тохируулгууд
Галт ханыг идэвхжүүлэхийн тулд:
firewall_enable="YES"
&os;-тэй хамт ирдэг анхдагч галт ханын төрлүүдээс нэгийг
сонгохын тулд, /etc/rc.firewall файлыг уншсаны дараа
нэгийг сонгоод, түүнийгээ дараах илэрхийлэлд бичиж өгнө:
firewall_type="open"
Боломжит утгууд нь:
open — бүх урсгалыг нэвтрүүлнэ.
client — зөвхөн энэ машиныг хамгаална.
simple — бүхэл бүтэн сүлжээг хамгаална.
closed — loopback интерфэйсээс бусад IP
урсгалыг боломжгүй болгоно.
UNKNOWN — галт ханын дүрмүүдийг ачаалах
боломжгүй болгоно.
filename — галт ханын дүрмүүдийг агуулсан
файлын бүрэн зам.
ipfw галт хана уруу тусгайлан бэлдсэн
дүрмүүдийг хоёр аргаар ачаалж болно. Нэг нь, firewall_type хувьсагчийн
утганд &man.ipfw.8;-д зориулсан ямар ч тушаал мөрийн тохируулгагүйгээр бичигдсэн
галт ханын дүрмүүд-г агуулсан файлын бүрэн замыг өгөх. Дараах нь
орж байгаа болон гарч байгаа урсгалыг хаах дүрмийн энгийн жишээ юм:
add deny in
add deny out
Нөгөө нь, систем ачаалах үед ажиллах ipfw тушаалуудыг
агуулсан ажиллах боломжтой скриптийн бүрэн замыг firewall_script
хувьсагчид оноох юм. Дээр үзүүлсэн дүрмүүдийн файлтай дүйх дүрмүүдийн скрипт дараах байдалтай
байна:
#!/bin/sh
ipfw -q flush
ipfw add deny in
ipfw add deny out
Хэрэв firewall_type нь client
эсвэл simple утгыг авсан бол, /etc/rc.firewall
файл доторх анхдагч дүрмүүдийг тухайн машинд тохируулан өөрчлөх хэрэгтэй.
Мөн энэ бүлэгт хэрэглэж байгаа жишээнүүдийн хувьд firewall_script-н утга
/etc/ipfw.rules гэж үзэж байгаа болно.
Бүртгэлийг идэвхжүүлэхийн тулд:
firewall_logging="YES"
firewall_logging хувьсагчийн
хийх ганц зүйл гэвэл net.inet.ip.fw.verbose sysctl
хувьсагчийн утгыг 1 болгох юм ( хэсгийг үзнэ үү). rc.conf
дотор бүртгэлийг хязгаарлах хувьсагч байхгүй, харин үүний тулд
sysctl хувьсагчаар дамжуулан хийж болно. /etc/sysctl.conf
файл дотор эсвэл гараараа утгыг оноож өгч болно:
net.inet.ip.fw.verbose_limit=5
Хэрэв таны машин гарц байдлаар ажиллаж байгаа бол,
жишээ нь &man.natd.8;-н тусламжтай Сүлжээний хаягийн Хөрвүүлэлт (NAT) хийж байгаа бол,
/etc/rc.conf файл доторх шаардлагатай тохируулгуудын
мэдээллийг хэсэг уруу хандана уу.
IPFW Тушаал
ipfw
Галт ханыг ажиллаж байх явцад түүний идэвхтэй байгаа дотоод
дүрмүүдэд шинэ дүрэм нэмэх, дүрэм хасах зэрэг өөрчлөлтүүдийг гараар хийх
гол механизм бол ipfw тушаал юм. Энэ аргыг хэрэглэхэд тулгардаг нэг асуудал
бол нэгэнт системийг унтраасан эсвэл зогсоосон бол нэмсэн эсвэл хассан
эсвэл өөрчилсөн бүх дүрмүүд алга болно. Бүх дүрмүүдээ нэг файлд бичээд систем
ачаалах үед энэ файлыг ашиглан дүрмүүдийг ачаалах, эсвэл одоо ажиллаж байгаа
галт ханын дүрмүүдийг файл дотор хийсэн өөрчлөлтүүдээр бүхлээр нь сольж тавих нь
энд хэрэглэж байгаа, та бүхэнд зөвлөх арга барил юм.
Удирдлагын дэлгэцэн дээр ажиллаж байгаа галт ханын
дүрмүүдийг харуулахад ipfw тушаалыг одоо хэр нь хэрэглэсээр байна.
IPFW-н данс хөтлөх боломж нь дүрэм бүрийн хувьд тухайн дүрэмд тохирсон
пакетийг тоолох тоолуурыг үүсгэдэг. Ямар нэг дүрмийг шалгах үйл явцад тухайн
дүрэм ажиллаж байгаа эсэхийг тогтоох аргуудын нэг бол дүрмийг тоолуурын хамт
жагсаан харах байдаг.
Бүх дүрмүүдийг дараагаар нь жагсаан харахын тулд:
&prompt.root; ipfw list
Бүх дүрмүүдийг тухайн дүрэм хамгийн сүүлд тохирсон цагны хамт
жагсаан харахын тулд:
&prompt.root; ipfw -t list
Дараагийн жишээ нь данслалтын мэдээлэл буюу дүрмүүдийг тохирсон пакетийн тооны
хамт харуулж байна. Эхний багана нь дүрмийн дугаар, дараа нь энэ дүрэмд
тохирсон гарч байгаа пакетийн тоо, дараа нь энэ дүрэмд тохирсон орж байгаа
пакетийн тоо, тэгээд дүрэм өөрөө байна.
&prompt.root; ipfw -a list
Статик дүрмүүдээс гадна динамик дүрмүүдийг жагсаан харахын тулд:
&prompt.root; ipfw -d list
Мөн хугацаа нь дууссан динамик дүрмүүдийг харахын тулд:
&prompt.root; ipfw -d -e list
Тоолууруудыг тэглэхийн тулд:
&prompt.root; ipfw zero
Зөвхөн NUM дугаартай тоолуурыг тэглэхийн тулд:
&prompt.root; ipfw zero NUM
IPFW Дүрмийн Олонлог
Пакет дотор агуулагдаж байгаа утгуудыг үндэслэн тухайн пакетийг
нэвтрүүлэх болон хаахыг хэлж байгаа дүрмүүдийг IPFW дүрмийн олонлог гэнэ. Хостуудын
хоорондох хоёр чиглэлтэй пакет солилцоо нь сесс харилцааг бүрдүүлнэ. Галт ханын
дүрмийн олонлог нь Интернэтээс ирж байгаа пакетууд болон тэдгээрт хариу болж
системээс явж байгаа пакетуудыг боловсруулдаг.
Бүх TCP/IP үйлчилгээнүүдийн
хувьд (жишээ нь: telnet, www, mail, г.м.) протокол болон зөвшөөрөгдсөн (сонсох)
портыг урьдчилан тодорхойлсон байдаг.
Тухайн нэг үйлчилгээ рүү чиглэсэн пакетууд нь зөвшөөрөгдөөгүй (өндөр)
портууд ашиглан эх хаягаас гарч очих хаягийн тухайн үйлчилгээний
порт руу хүрдэг. Дээрх өгөгдлүүд (өөрөөр хэлбэл портууд ба хаягууд)
нь үйлчилгээнүүдийг зөвшөөрөх эсвэл хаах дүрмүүдийг үүсгэхэд
шалгуур болон ашиглагдаж болно.
IPFW
Дүрмүүдтэй ажиллах дэс дараалал
Пакетийг галт хана хүлээн аваад дүрмийн олонлогт байгаа хамгийн
эхний дүрэмтэй тулгах ба цааш дүрмүүдийн дугаарын өсөх дарааллын дагуу
дээрээс доош нэг нэгээр шалгаж эхэлнэ. Пакет аль нэг дүрмийн сонголтын
параметртай тохирвол, түүнд харгалзах үйлдлийг хийж, тухайн пакетийн хувьд
цааш хайлтыг дуусгана. Энэ аргыг эхэнд тохирсон нь дийлнэ
хайлтын
арга гэнэ. Хэрэв тухайн пакет ямар ч дүрэмд тохирохгүй бол, энэ пакетийг 65535 дугаартай
бүх пакетийг хааж, явуулсан хүнд нь ямар ч хариу өгөлгүй орхигдуулна гэсэн
IPFW-н анхдагч дүрэмд албаар тохируулна.
count, skipto ба tee
дүрмүүдийн дараа хайлт үргэлжилнэ.
Энд байгаа зааварчилгаанууд нь төлөвт keep state, limit, in, out
болон via зэрэг тохируулгуудыг агуулсан дүрмүүд дээр үндэслэгдсэн байгаа. Энэ бол хамааруулсан
галт ханын дүрмийн олонлогийг бичих үндсэн арга барил юм.
Галт ханын дүрмүүдтэй ажиллахдаа маш анхааралтай байх хэрэгтэй.
Зарим тохиргоо серверээс бүх холбоог тань тасалж мэднэ.
Дүрмийн Синтакс
IPFW
дүрмийн синтакс
Энд үзүүлсэн дүрмийн синтакс нь стандарт хамааруулсан
галт хана үүсгэхэд шаардлагатай дүрмийн олонлогийг бичих хэмжээнд
тохируулан хялбаршуулсан байгаа. Дүрмийн синтаксын бүрэн тайлбарыг &man.ipfw.8;
заавар хуудаснаас үзнэ үү.
Дүрмүүд нь түлхүүр үгүүдийг агуулна. Эдгээр түлхүүр үгүүд нь
тухайн мөрөнд зүүнээс баруун тийш тодорхой дэс дараагаар бичигдэнэ.
Түлхүүр үгүүд тодоор бичигдэх тул түүгээр нь ялгаж танина. Зарим түлхүүр
үгүүд дэд-тохируулгатай байна. Тэр нь өөрөө түлхүүр үг байж болохоос гадна
цааш дэд-тохируулгуудыг агуулсан байж болно.
# гэсэн тэмдэгт тайлбарын эхлэлийг заах ба
дүрэм бичсэн мөрийн төгсгөлд эсвэл өөрөө бүтэн мөр байдлаар байрлана.
Хоосон мөрийг тооцохгүй.
CMD RULE_NUMBER ACTION LOGGING SELECTION
STATEFUL
CMD
Шинэ дүрэм бүр дотоод хүснэгтэнд бичигдэхийн тулд
add гэсэн түлхүүр үгийг өмнөө агуулж байх ёстой.
RULE_NUMBER
Дүрэм бүр өөрийн дүрмийн дугаартай байх ёстой.
ACTION
Тухайн дүрмийн сонголтын үзүүлэлтэд пакет тохироход
заасан action буюу үйлдлийг гүйцэтгэх ба дүрэм нь дараах үйлдлүүдийн
аль нэгтэй холбогдсон байна.
allow | accept | pass |
permit
Эдгээр нь бүгд нэг зүйлийг, тухайлбал: дүрэмд тохирсон пакетуудыг нэвтрүүлж, галт ханын
дүрэмтэй ажиллах явцаас гарахыг хэлж өгч байна. Эдгээр дүрмүүдийн дараа хайлт
дуусна.
check-state
нь динамик дүрмийн хүснэгттэй пакетуудыг
тулгана. Хэрэв тохирвол, энэ динамик дүрмийг үүсгэсэн дүрэмд харгалзах
үйлдлийг гүйцэтгэнэ, үгүй бол дараагийн дүрэмд шилжинэ. check-state дүрэмд
сонголтын шалгуур байхгүй. Хэрэв дүрмийн олонлогт check-state дүрэм байхгүй бол
эхний keep-state эсвэл limit дүрмийг динамик дүрмийн хүснэгттэй тулгана.
deny | drop
Энэ хоёр үг хоёул дүрэмд тохирсон пакетуудыг хаяхыг
заана. Хайлт энд дуусна.
Бүртгэл хөтлөлт
log эсвэл logamount
Пакет log гэсэн түлхүүр үг орсон дүрэмд тохироход, энэ тухай мессеж
&man.syslogd.8; уруу SECURITY гэсэн facility нэртэйгээр бүртгэгдэнэ. Зөвхөн
тухайн дүрмийн хувьд бүртгэгдсэн пакетийн тоо logamount параметрийн утгыг
даваагүй тохиолдолд бүртгэл явагдана. Хэрэв logamount-н утгыг зааж өгөөгүй бол,
sysctl-н net.inet.ip.fw.verbose_limit хувьсагчийн утгыг хязгаарын утга болгон авна.
Аль ч тохиолдолд тэг гэсэн утга бүртгэлийн хязгаарыг үгүй болгоно. Хязгаарт тулсан
тохиолдолд, бүртгэлийг дахин идэвхжүүлэхийн тулд бүртгэлийн тоолуурыг эсвэл
тухайн дүрмийн пакет тоолуурыг дахин эхлүүлнэ. ipfw reset log тушаалыг үзнэ үү.
Бүртгэл нь бусад бүх пакет тохирох нөхцлүүд амжилттай нотлогдсоны дараа,
мөн тухайн пакет дээр эцсийн үйлдлийг(зөвшөөрөх, татгалзах) хийхийн өмнө явагдана.
Ямар дүрмүүдийн хувьд бүртгэл явуулахыг та шийдэх болно.
Сонголт
Энд танилцуулах түлхүүр үгнүүд нь тухайн пакет дүрэмд тохирч байгаа
үгүй эсэхийг тодорхойлох үед, шалгагдаж байгаа пакетийн шинжүүдийг тодорхойлно.
Дараах байнгын хэрэглээний шинжүүд өгөгдсөн байдаг ба доорх дэс дарааллаар хэрэглэнэ:
udp | tcp | icmp
/etc/protocols файлд байгаа ямар ч протоколын
нэрийг бас хэрэглэж болно. Харин утга нь шалгагдах протоколын нэрийг заана. Энэ бол заавал
тавигдах шаардлага юм.
from src to dst
from ба to гэсэн түлхүүр үгүүд IP хаягийг шүүхэд хэрэглэгдэнэ.
Дүрмэнд хэрэглэхдээ эхлэл ба очих параметрүүдийг ХОЁУЛАНГ зааж өгөх ёстой.
any гэсэн тусгай түлхүүр үгийн тусламжтай бүх IP хаягийг
зөвшөөрч өгч болно. me гэсэн тусгай түлхүүр үг нь таны
&os; системийн аль нэг интерфэйс дээр тохируулсан IP хаягийг заах ба
галт хана ажиллаж байгаа PC-г (өөрөөр хэлбэл энэ машин) from me to
any эсвэл from any to me эсвэл from 0.0.0.0/0 to any эсвэл
from any to 0.0.0.0/0 эсвэл from 0.0.0.0 to any эсвэл from
any to 0.0.0.0 or from me to 0.0.0.0
гэсэн байдлаар төлөөлнө. IP хаягуудыг цэгтэй тоон хэлбэр/багийн-урт байдлаар эсвэл
зүгээр цэгтэй тоон хэлбэрээр бичиж болно. Энэ бол заавал тавигдах шаардлага юм.
Тооцооллыг хялбар болгохын тулд net-mgmt/ipcalc
портыг ашиглаж болох юм. Нэмэлт мэдээллийг хэрэгслийн вэб хуудаснаас үзэж
болно:
port number
Портын дугаарыг дэмждэг протоколуудын хувьд
(TCP ба UDP гэх мэт), тааруулахыг хүсэж байгаа портын
дугаарыг заавал бичиж өгөх ёстой байдаг. Портын тоон утгын оронд үйлчилгээний нэрийг(/etc/services
файлаас) хэрэглэж болно.
in | out
Орж байгаа болон гарч байгаа пакетуудыг харгалзан тааруулна.
in ба out нь түлхүүр үгүүд бөгөөд дүрэмд тааруулах шалгуур болгож энэ хоёр
үгийн аль нэгийг заавал бичсэн байх ёстой.
via IF
Нэрээр нь зааж өгсөн интерфэйсээр дайран өнгөрч буй пакетуудыг
тааруулна. via гэсэн түлхүүр үг нь тухайн интерфэйсийг тааруулах үйл явцын
нэг хэсэг байдлаар байнга шалгаж байхыг зааж өгнө.
setup
Энэ түлхүүр үг нь TCP пакетуудын хувьд
сесс эхлүүлэх хүсэлтийг зааж өгч байгаа заавал хэрэглэх түлхүүр үг юм.
keep-state
Энэ бол заавал хэрэглэх түлхүүр үг юм. Дүрэм таарахад, галт хана
яг тэр протоколыг ашиглан эхлэл болон очих IP/портын хооронд үүсэх
хоёр чиглэлтэй урсгалыг тааруулах анхдагч чанартай динамик дүрэм үүсгэнэ.
limit {src-addr | src-port | dst-addr |
dst-port}
Дүрэмд заасантай адил параметрүүдтэй холболтын тоог N-р
хязгаарлана. Нэг ба түүнээс дээш тооны эхлэл болон очих хаягууд, портуудыг зааж өгч болно.
limit ба keep-state-г нэг дүрэмд хамтад нь хэрэглэж болохгүй.
limit тохируулга нь keep-state-тэй адил төлөвт
функцуудыг гүйцэтгэхээс гадна өөрийн нэмэлт функцүүлтэй.
Төлөвт Дүрмийн Тохируулгууд
IPFW
төлөвт шүүлт
Төлөвт шүүлт нь урсгалыг сесс харилцаанаас бүрдэж буй хоёр чиглэлтэй пакет
солилцоо гэж үздэг. Мөн энэ нь сесс эхлүүлсэн болон хүлээн авсан хостуудын хоорондох сесс харилцаа нь
хоёр чиглэлтэй пакет солилцох процедуртай зохицож байгаа эсэхийг магадлах чадвартай байдаг.
Сесс харилцааны загварт зохицоогүй пакетийг хуурамч гэж үзэн хүлээж авахгүй.
check-state нь IPFW дүрмийн олонлогийн хаана нь пакетийг
динамик дүрмүүдийн боломжоор шалгахыг тогтооно. Таарсан тохиолдолд,
пакет галт ханыг нэвтэрч цааш явах ба энэ хоёр чиглэлт сесс харилцааны туршид
солилцох пакетуудын хувьд шинэ динамик дүрэм үүснэ. Таараагүй тохиолдолд,
пакет дүрмийн олонлогийн дараагийн дүрэмд шалгагдахаар шилжинэ.
Динамик дүрмүүдийн боломж нь маш олон тооны динамик дүрмүүдийг
нээдэг SYN-живүүлэх халдлагаас үүсэх нөөцийн хомсдолд эмзэг байдаг. Энэ халдлагаас зайлсхийхийн
тулд &os; limit гэсэн шинэ тохируулгыг нэмж өгсөн байдаг. Энэ тохируулгын
тусламжтай нэгэн зэрэг явагдах сесс харилцааны тоог хязгаарлана. limit тохируулгад
зааж өгсөн эхлэл болон очих талбаруудаар пакетийн IP хаягийг асуулга явуулах замаар шалгасны дараа,
энэ дүрэмд энэ IP хаягийн хослол хэдэн удаа таарсан тоог харгалзан хэрэв энэ тоо limit-д
зааснаас давсан бол тухайн пакетийг гээнэ.
Галт ханын мессежийг бүртгэх
IPFW
бүртгэл хөтлөлт
Бүртгэл хөтлөлтийн ашиг тус тодорхой юм: Таны бүртгэхээр идэвхжүүлсэн
дүрмүүдийн хувьд, ямар пакетууд гээгдсэн, тэдгээр нь ямар хаягаас ирсэн, хаашаа явж байсан
зэрэг мэдээллийг эргэн харах боломжийг олгох ба гадны халдлагыг мөрдөхөд танд чухал хувь
нэмэр болно.
Бүртгэл хөтлөх боломжийг идэвхжүүлсэн хэдий ч,
IPFW нь өөрөө ямар ч дүрмийг үүсгэхгүй. Администратор аль дүрмүүдийн хувьд
бүртгэл явуулахыг шийдэн, тэдгээр дүрмүүддээ log гэсэн түлхүүр үгийг нэмж бичнэ.
Ихэвчлэн зөвхөн татгалзах дүрмүүдийг бүртгэдэг, жишээлбэл ирж буй ICMP ping-г
татгалзах гэх мэт. Хамгийн сүүлд байгаа ipfw default deny everything
дүрмийг хувилан log түлхүүр
үгтэйгээр үүсгэх нь элбэг байдаг. Ийм байдлаар дүрмийн олонлогийн аль ч дүрмэнд таараагүй
пакетуудыг харах боломжтой болно.
Бүртгэл хөтлөлт нь хоёр талдаа иртэй сэлэмтэй адил юм,
хэрэв та хайхрамжгүй хандвал, диск дүүрэн бүртгэлийн мэдээлэл
дотроо учраа олохгүй суух болно. Дискийг дүүргэх DoS халдлага нь
хамгийн эртний халдлагуудын нэг юм. Эдгээр бүртгэлийн мессеж нь syslogd-д
бичигдэхээс гадна, root консол дэлгэцэн дээр гарах учир удахгүй ядаргаатай санагдаж
эхэлдэг.
IPFIREWALL_VERBOSE_LIMIT=5 гэсэн
цөмийн тохируулга нь системийн бүртгэл хөтлөгч болох &man.syslogd.8; уруу
шидэгдэж байгаа тухайн дүрэмд тохирсон пакетад харгалзах
дараалсан мессежийн тоог хязгаарлана. Энэ тохируулгыг идэвхжүүлсэн үед,
тодорхой дүрмийн хувьд дараалсан мессежийн тоог зааж өгсөн тоогоор хязгаарлана.
Нэг ижил зүйлийг хэлсэн 200 бүртгэлийн бичлэгээс мэдэж авах зүйл хомс юм.
Жишээ нь, тодорхой дүрмийн хувьд дараалсан таван бичлэг syslogd-д бичигдэнэ,
үлдсэн дараалсан ижил бичлэгүүд тоологдоод syslogd-д дараах байдалтай бичигдэнэ:
last message repeated 45 times
Бүртгэл хөтлөгдөж байгаа бүх пакетуудын мессежүүд /etc/syslog.conf
файлд анхдагч байдлаар зааж өгсөн /var/log/security файлд бичигдэнэ.
Дүрмийн скриптийг бүтээх
Туршлагатай IPFW хэрэглэгчид дүрмүүдийг агуулсан файл үүсгээд
түүнийгээ скрипт байдлаар ажиллуулах боломжтой байхаар бичдэг.
Үүний гол давуу тал нь дүрмүүдийг идэвхжүүлэхийн тулд
системийг дахин ачаалах шаардлагагүй болно. Энэ аргыг ашиглан хэдэн ч
удаа дараалан галт ханын дүрмүүдийг ачаалж болох тул шинэ дүрмүүдийг
шалгах үед хэрэглэхэд тохиромжтой байдаг. Скрипт учраас олон дахин бичигдэж байгаа
утгын оронд симбол орлуулалтыг ашиглах боломжтой. Энэ талаар дараах жишээн дээрээс харна уу.
Энд хэрэглэгдсэн скриптийн синтакс нь &man.sh.1;, &man.csh.1;, &man.tcsh.1; бүрхүүл дээр ажиллах
боломжтой. Симбол орлуулалттай талбарууд нь урдаа $ буюу долларын тэмдэгтэй байна.
Симбол талбарууд нь $ тэмдэг урдаа байхгүй. Симбол талбарыг орлох утга нь
давхар хашилтан (") дотор байрлана.
Дүрмийн файлаа дараах байдалтай үүсгэж эхлэх хэрэгтэй:
############### start of example ipfw rules script #############
#
ipfw -q -f flush # Delete all rules
# Set defaults
oif="tun0" # out interface
odns="192.0.2.11" # ISP's DNS server IP address
cmd="ipfw -q add " # build rule prefix
ks="keep-state" # just too lazy to key this each time
$cmd 00500 check-state
$cmd 00502 deny all from any to any frag
$cmd 00501 deny tcp from any to any established
$cmd 00600 allow tcp from any to any 80 out via $oif setup $ks
$cmd 00610 allow tcp from any to $odns 53 out via $oif setup $ks
$cmd 00611 allow udp from any to $odns 53 out via $oif $ks
################### End of example ipfw rules script ############
Байх ёстой бүх зүйлс бүгд байна. Энэ жишээн дээр дүрмүүд чухал биш,
харин симбол орлуулалт хэрхэн ажилладагыг харуулсан байна.
Хэрэв дээрх жишээ /etc/ipfw.rules нэртэй файл дотор байсан бол,
эдгээр дүрмүүдийг дараах тушаалыг өгч дахин ачаалах боломжтой:
&prompt.root; sh /etc/ipfw.rules
/etc/ipfw.rules гэсэн файл ямар ч нэртэй байж
болох ба таны хүссэн ямар ч газар байж болно.
Дараах скриптийг хоёр аргын нэгээр хэрэглэж болно:
Дээрхтэй адил зүйлсийг дараах тушаалыг гараар оруулан
гүйцэтгэж болно:
&prompt.root; ipfw -q -f flush
&prompt.root; ipfw -q add check-state
&prompt.root; ipfw -q add deny all from any to any frag
&prompt.root; ipfw -q add deny tcp from any to any established
&prompt.root; ipfw -q add allow tcp from any to any 80 out via tun0 setup keep-state
&prompt.root; ipfw -q add allow tcp from any to 192.0.2.11 53 out via tun0 setup keep-state
&prompt.root; ipfw -q add 00611 allow udp from any to 192.0.2.11 53 out via tun0 keep-state
Төлөвт дүрмийн олонлог
Дараах NAT хийгдээгүй дүрмийн олонлог нь
аюулгүй байдлыг маш сайн хангасан, хамааруулсан галт ханын дүрмүүдийг
хэрхэн бичих жишээ юм. Хамааруулсан галт хана нь зөвхөн pass дүрмүүдэд тохирсон
үйлчилгээг зөвшөөрч, бусдыг бүгдийг хаана. Сүлжээний бүх сегментийг хамгаалахаар
хийгдсэн галт хананууд хамгийн багадаа хоёр
интерфэйстэй байх ба галт хана маягаар ажиллахын тулд дүрмүүдийг тусгайлан зааж
өгсөн байна.
&os;-г оролцуулаад бүх &unix; төрлийн систем нь үйлдлийн систем
дэх дотоод харилцаандаа lo0 интерфэйс болон 127.0.0.1 гэсэн IP хаягийг хэрэглэхээр
бүтээгдсэн байдаг. Галт ханын дүрмүүд нь дотооддоо хэрэглэж байгаа эдгээр пакетуудыг
чөлөөтэй нэвтрүүлэх дүрмүүдийг агуулсан байх ёстой.
Интернэттэй холбогдож байгаа интерфэйс дээр гадагшаа болон
дотогшоо холболтуудыг удирдах болон хянах дүрмүүдийг байрлуулна.
Энэ нь таны PPP tun0 интерфэйс эсвэл таны DSL эсвэл кабель
модемд холбогдсон NIC байж болно.
Галт ханын цаана байгаа хувийн LAN-уудад нэг болон түүнээс дээш
тооны NIC-ууд холбогдсон тохиолдолд, тэдгээр интерфэйсүүдийн хувьд тэдгээр LAN
интерфэйсүүдээс ирсэн пакетуудыг чөлөөтэй нэвтрүүлэх дүрмийг агуулсан байх ёстой.
Дүрмүүд эхлээд гурван үндсэн хэсэгт хуваагдан зохион байгуулагдсан
байх ёстой: бүх чөлөөт халдашгүй интерфэйсүүд, нийтийн гадагшаа интерфэйс болон нийтийн дотогшоо интерфэйс.
Нийтийн интерфэйс бүр дээр байгаа дүрмүүдийн дараалал нь хамгийн олон тохиолддог
дүрмүүд нь хамгийн түрүүнд цөөн тохиолддог дүрмүүдээс өмнө байхаар, тухайн интерфэйс болон чиглэлийн
хувьд хаах болон бүртгэх дүрмүүд нь хамгийн сүүлд байхаар бичигдсэн байна.
Дараах жишээн дээрх гадагшаа хэсэг нь Интернэт хандалтыг зөвшөөрч өгөх
үйлчилгээг тодорхойлох сонголтын утгуудыг агуулсан зөвхөн allow дүрмүүдээс бүрдэж байна.
Бүх дүрмүүд proto, port, in/out, via ба
keep state тохируулгуудыг агуулсан байгаа.
proto tcp дүрмүүд нь төлөвт байдлыг идэвхжүүлж байгаа пакетийг keep state төлөвт хүснэгтэд нэмэх байдлаар,
сесс эхлүүлэх хүсэлтийг тодорхойлох зорилгоор setup тохируулгыг агуулсан байна.
Дотогшоо хэсэгт эхлээд хүсээгүй пакетуудыг хаах дүрмүүдийг бичсэн байна.
Энэ нь хоёр өөр шалтгаантай. Эхнийх нь хортой пакетууд нь
зөвшөөрөгдсөн пакетийн нэг хэсэг байж болох талтай. Эдгээр пакетуудыг
allow дүрэмд таарсан хэсэг дээр тулгуурлан зөвшөөрөлгүйгээр орхих ёстой.
Хоёр дахь шалтгаан нь тухайн хэсгийн хамгийн сүүлийн дүрмээр хааж бүртгэхийн оронд мэдэгдэж байгаа,
сонирхолгүй пакетуудыг чимээгүйхэн хааж болох юм.
Бүх пакетуудыг бүртгээд хаадаг хэсгийн хамгийн сүүлийн дүрмийг өөрийн систем уруу халдаж
байгаа хүмүүсийг шүүхэд шаардагдах халдлагын нотолгоог цуглуулахад хэрэглэж болно.
Өөр нэг тэмдэглэн хэлэх зүйл бол, хүсээгүй пакетуудын хариуд ямар ч хариу явуулахгүй
байх ёстойг санах хэрэгтэй. Буруу пакетууд орхигдож алга болох ёстой.
Ингэснээр халдлага явуулагч нь түүний явуулсан пакетууд таны системд
хүрсэн эсэх талаар юу ч мэдэхгүй үлдэх болно. Таны системийн талаар хэдий хэр бага мэднэ, төдий чинээ
аюулгүй байна гэсэн үг юм. Танигдаагүй портын дугаартай пакетуудын хувьд
/etc/services/ файлаас эсвэл
хаягаар тухайн порт ямар зориулалтаар ашиглагддагийг орж шалгаарай.
Троянуудын хэрэглэдэг портын дугааруудыг хаягаар орж шалгаарай.
Хамааруулсан дүрмийн олонлогийн жишээ
Дараах NAT хийгдээгүй дүрмийн олонлог нь
бүрэн хэмжээний хамааруулсан дүрмийн олонлог байгаа юм. Та энэ дүрмүүдийг өөрийн системдээ
ашиглахад буруудах юмгүй. Зөвшөөрөхийг хүсэхгүй байгаа үйлчилгээнүүдийн хувьд харгалзах
pass дүрмийг далдлаарай. Хэрэв бүртгэлд байгаа зарим мэдэгдлийг дахин харахыг хүсэхгүй,
бүртгэхийг хүсэхгүй байгаа бол дотогшоо хэсэгт deny дүрэм нэмж бичээрэй. Дүрэм бүрт байгаа
dc0 гэсэн интерфэйсийн нэрийн оронд таны системийг Интернэт уруу холбож байгаа NIC картны
интерфэйсийн нэрээр сольж тавиарай. Хэрэглэгчийн PPP-н хувьд, энэ нь tun0 байна.
Эдгээр дүрмүүдийг хэрэглэх явцад хэв маяг олж харах болно.
Интернэт уруу чиглэсэн сесс эхлүүлэх хүсэлтийг төлөөлж байгаа
илэрхийллүүд бүгд keep-state хэрэглэж байгаа.
Интернэтээс ирж буй бүх зөвшөөрөгдсөн үйлчилгээнүүд живүүлэх халдлагыг
зогсоох үүднээс limit гэсэн тохируулгын хамт бичигдсэн байгаа.
Бүх дүрмүүд чиглэлийг тодотгохын тулд in эсвэл out-г хэрэглэсэн байгаа.
Бүх дүрмүүд пакетийн дайран өнгөрөх interface-name интерфэйсийг тодорхойлж өгөхдөө via-г хэрэглэсэн байгаа.
Дараах дүрмүүд /etc/ipfw.rules дотор байрлана.
################ Start of IPFW rules file ###############################
# Flush out the list before we begin.
ipfw -q -f flush
# Set rules command prefix
cmd="ipfw -q add"
pif="dc0" # public interface name of NIC
# facing the public Internet
#################################################################
# No restrictions on Inside LAN Interface for private network
# Not needed unless you have LAN.
# Change xl0 to your LAN NIC interface name
#################################################################
#$cmd 00005 allow all from any to any via xl0
#################################################################
# No restrictions on Loopback Interface
#################################################################
$cmd 00010 allow all from any to any via lo0
#################################################################
# Allow the packet through if it has previous been added to the
# the "dynamic" rules table by a allow keep-state statement.
#################################################################
$cmd 00015 check-state
#################################################################
# Interface facing Public Internet (Outbound Section)
# Interrogate session start requests originating from behind the
# firewall on the private network or from this gateway server
# destine for the public Internet.
#################################################################
# Allow out access to my ISP's Domain name server.
# x.x.x.x must be the IP address of your ISP.s DNS
# Dup these lines if your ISP has more than one DNS server
# Get the IP addresses from /etc/resolv.conf file
$cmd 00110 allow tcp from any to x.x.x.x 53 out via $pif setup keep-state
$cmd 00111 allow udp from any to x.x.x.x 53 out via $pif keep-state
# Allow out access to my ISP's DHCP server for cable/DSL configurations.
# This rule is not needed for .user ppp. connection to the public Internet.
# so you can delete this whole group.
# Use the following rule and check log for IP address.
# Then put IP address in commented out rule & delete first rule
$cmd 00120 allow log udp from any to any 67 out via $pif keep-state
#$cmd 00120 allow udp from any to x.x.x.x 67 out via $pif keep-state
# Allow out non-secure standard www function
$cmd 00200 allow tcp from any to any 80 out via $pif setup keep-state
# Allow out secure www function https over TLS SSL
$cmd 00220 allow tcp from any to any 443 out via $pif setup keep-state
# Allow out send & get email function
$cmd 00230 allow tcp from any to any 25 out via $pif setup keep-state
$cmd 00231 allow tcp from any to any 110 out via $pif setup keep-state
# Allow out FBSD (make install & CVSUP) functions
# Basically give user root "GOD" privileges.
$cmd 00240 allow tcp from me to any out via $pif setup keep-state uid root
# Allow out ping
$cmd 00250 allow icmp from any to any out via $pif keep-state
# Allow out Time
$cmd 00260 allow tcp from any to any 37 out via $pif setup keep-state
# Allow out nntp news (i.e. news groups)
$cmd 00270 allow tcp from any to any 119 out via $pif setup keep-state
# Allow out secure FTP, Telnet, and SCP
# This function is using SSH (secure shell)
$cmd 00280 allow tcp from any to any 22 out via $pif setup keep-state
# Allow out whois
$cmd 00290 allow tcp from any to any 43 out via $pif setup keep-state
# deny and log everything else that.s trying to get out.
# This rule enforces the block all by default logic.
$cmd 00299 deny log all from any to any out via $pif
#################################################################
# Interface facing Public Internet (Inbound Section)
# Check packets originating from the public Internet
# destined for this gateway server or the private network.
#################################################################
# Deny all inbound traffic from non-routable reserved address spaces
$cmd 00300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 00301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 00302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 00303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 00304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 00305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 00306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 00307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster interconnect
$cmd 00308 deny all from 224.0.0.0/3 to any in via $pif #Class D & E multicast
# Deny public pings
$cmd 00310 deny icmp from any to any in via $pif
# Deny ident
$cmd 00315 deny tcp from any to any 113 in via $pif
# Deny all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
$cmd 00320 deny tcp from any to any 137 in via $pif
$cmd 00321 deny tcp from any to any 138 in via $pif
$cmd 00322 deny tcp from any to any 139 in via $pif
$cmd 00323 deny tcp from any to any 81 in via $pif
# Deny any late arriving packets
$cmd 00330 deny all from any to any frag in via $pif
# Deny ACK packets that did not match the dynamic rule table
$cmd 00332 deny tcp from any to any established in via $pif
# Allow traffic in from ISP's DHCP server. This rule must contain
# the IP address of your ISP.s DHCP server as it.s the only
# authorized source to send this packet type.
# Only necessary for cable or DSL configurations.
# This rule is not needed for .user ppp. type connection to
# the public Internet. This is the same IP address you captured
# and used in the outbound section.
#$cmd 00360 allow udp from any to x.x.x.x 67 in via $pif keep-state
# Allow in standard www function because I have apache server
$cmd 00400 allow tcp from any to me 80 in via $pif setup limit src-addr 2
# Allow in secure FTP, Telnet, and SCP from public Internet
$cmd 00410 allow tcp from any to me 22 in via $pif setup limit src-addr 2
# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID & PW are passed over public
# Internet as clear text.
# Delete this sample group if you do not have telnet server enabled.
$cmd 00420 allow tcp from any to me 23 in via $pif setup limit src-addr 2
# Reject & Log all incoming connections from the outside
$cmd 00499 deny log all from any to any in via $pif
# Everything else is denied by default
# deny and log all packets that fell through to see what they are
$cmd 00999 deny log all from any to any
################ End of IPFW rules file ###############################
<acronym>NAT</acronym> болон Төлөвт дүрмийн олонлогийн жишээ
NAT
ба IPFW
IPFW-н NAT функцыг идэвхжүүлэхийн тулд зарим
нэмэлт тохиргооны илэрхийллүүдийг идэвхжүүлэх хэрэгтэй болдог. Цөмийн эх кодын
бусад IPFIREWALL илэрхийллүүд дээр option IPDIVERT илэрхийллийг нэмж эмхэтгэн
тусгайлан бэлдсэн цөмийг гаргаж авах хэрэгтэй.
/etc/rc.conf доторх энгийн IPFW тохируулгууд дээр
нэмж дараах тохируулгууд хэрэгтэй болно.
natd_enable="YES" # Enable NATD function
natd_interface="rl0" # interface name of public Internet NIC
natd_flags="-dynamic -m" # -m = preserve port numbers if possible
Төлөвт дүрмүүдийг divert natd (Сүлжээний хаягийн Хөрвүүлэлт)
дүрмийн хамт хэрэглэх нь дүрмийн олонлог бичих логикийг төвөгтэй болгодог.
check-state ба divert natd дүрмүүдийн дүрмийн олонлог дахь байрлал нь маш
их нөлөөтэй. Энэ нь хялбар дайраад-өнгөрөх логик урсгал биш болно.
skipto гэсэн шинэ үйлдлийн төрлийг хэрэглэх болно. skipto-г хэрэглэхдээ
skipto дүрмийн дугаар хаашаа үсрэхээ мэдэж байхын тулд бүх дүрмүүдийг дугаарлах хэрэгтэй болно.
Дараах тайлбаргүй жишээн дээр пакет дүрмийн олонлогоор дайрч
өнгөрөх дарааллыг тайлбарлахаар сонгон авсан дүрэм бичих арга байгаа юм.
Дүрэмтэй ажиллах процесс дүрмийн файлд байгаа хамгийн эхний
дүрмээр эхлэн цааш дүрмүүдийг нэг нэгээр уншин, файлын төгсгөл хүртэл эсвэл
пакет аль нэг дүрмийн сонголтын шалгуурт тохирч галт ханыг орхих хүртэл үргэлжилнэ.
100, 101, 450, 500, ба 510 дугаартай дүрмүүдийн байрлалыг сайн анзаарах хэрэгтэй.
Эдгээр дүрмүүд нь гадагшаа болон дотогшоо чиглэлтэй пакетуудын хөрвүүлэлтийг
удирдах бөгөөд ингэснээр keep-state динамик хүснэгтэн дэх тэдгээрт харгалзах
мөрөнд хувийн LAN IP хаяг бүртгэгдсэн байх нөхцөлийг хангана. Дараа нь,
бүх зөвшөөрөх болон татгалзах дүрмүүдэд пакетийн явж буй чиглэл (өөрөөр хэлбэл гадагшаа эсвэл дотогшоо)
ба интерфэйсийг зааж өгсөн байгааг анзаараарай. Мөн гадагшаа сесс эхлүүлэх хүсэлтүүд,
сүлжээний хаягийн хөрвүүлэлтийн бүх skipto rule 500-с эхэлж байгааг анзаарна уу.
Нэгэн LAN хэрэглэгч вэб хуудас үзэхийн тулд вэб хөтчийг хэрэглэж байна гэж бодъё.
Веб хуудсууд 80-р портоор дамждаг. Пакет галт хананд ирнэ,
гадагшаа чиглэж байгаа тул 100-р дүрмэнд тохирохгүй. 101-р дүрмийг мөн
өнгөрнө, яагаад гэвэл энэ нь хамгийн анхны пакет тул keep-state
динамик хүснэгтэнд хараахан бичигдэж амжаагүй байгаа. Пакет эцэст нь
125-р дүрэм дээр ирж, дүрэмд таарна. Энэ пакет Интернэт уруу харсан
NIC-р гадагшаа гарч байгаа. пакетийн эхлэл IP хаяг нь хувийн LAN IP хаяг хэвээр байгаа.
Энэ дүрмэнд таарах үед хоёр үйлдэл хийгдэнэ. keep-state тохируулга энэ дүрмийг
keep-state динамик дүрмийн хүснэгтэнд нэмнэ, мөн зааж өгсөн үйлдлийг гүйцэтгэнэ.
Үйлдэл нь динамик хүснэгтэд нэмэгдсэн мэдээллийн нэг хэсэг байна. Энэ тохиолдолд
skipto rule 500 байна. 500-р дүрэм нь пакетийн IP хаягийг NAT хийж,
пакетийг гадагш явуулна. Үүнийг бүү мартаарай, энэ бол маш чухал шүү.
Энэ пакет өөрийн замаар хүрэх газраа хүрэх бөгөөд хариу пакет үүсч буцаж илгээгдэнэ.
Энэ шинэ пакет буцаж ирэхдээ мөн л энэ дүрмийн олонлогийг дайрна.
Энэ үед харин 100-р дүрэмд тохирч, очих IP хаяг нь буцаж харгалзах LAN IP хаяг уруу хөрвүүлэгдэнэ.
Дараа нь check-state дүрмээр гарах ба хүснэгтэнд явагдаж байгаа сесс харилцаанд оролцож байгаа
гэж тэмдэглэгдсэн тул цааш LAN уруу нэвтрэн орно. Тэгээд өөрийг нь анх явуулсан LAN PC уруу очих ба
алсын серверээс өөр хэсэг өгөгдлийг авахыг хүссэн шинэ пакетийг явуулна. Энэ удаа энэ пакет
check-state дүрмээр шалгагдах ба түүний гадагшаа урсгалд харгалзах мөр олдох тул харгалзах
үйлдэл skipto 500-г гүйцэтгэнэ. Пакет 500-р мөр уруу үсэрч NAT хийгдэн цааш
өөрийн замаар явах болно.
Дотогшоо урсгал дээр, идэвхтэй сесс харилцаанд оролцож байгаа
гаднаас ирж байгаа бүх зүйлс автоматаар check-state дүрмээр болон зохих
divert natd дүрмүүдээр шийдэгдэнэ. Энд бидний хийх ёстой зүйл бол
хэрэггүй пакетуудыг татгалзаж, зөвшөөрөгдсөн үйлчилгээг нэвтрүүлэх юм.
Галт ханын байгаа машин дээр апачи сервер ажиллаж байна, тэгээд Интернэтээс
хүмүүс энэ дотоод вэб сайт уруу хандаж байна гэж бодъё. Шинэ дотогшоо сесс эхлүүлэх
хүсэлтийн пакет 100-р дүрэмд тохирох бөгөөд түүний IP хаяг галт ханын LAN IP
хаяг уруу оноолт хийгдэнэ. Дараа нь энэ пакет цааш бүх дүрмүүдээр шалгагдан
эцэст нь 425-р дүрэмд тохирно. Энэ дүрэмд таарах үед хоёр үйлдэл хийгдэнэ.
Энэ дүрэм keep-state динамик дүрмийн хүснэгтэнд нэмэгдэнэ, мөн зааж өгсөн үйлдлийг гүйцэтгэнэ.
Гэвч энэ тохиолдолд энэ эхлэл IP хаягнаас эхэлсэн шинэ сесс эхлүүлэх хүсэлтийн тоо 2-оор хязгаарлагдана.
Энэ нь тодорхой порт дээр ажиллаж байгаа үйлчилгээний хувьд DoS халдлагаас хамгаална.
Харгалзах үйлдэл нь allow тул пакет LAN уруу нэвтэрнэ. Хариу болон үүсгэгдсэн пакетыг
check-state дүрэм идэвхтэй сесс харилцаанд хамаарч байгаа гэж танина. Тэгээд 500-р дүрэм уруу шилжүүлэн,
пакет тэнд NAT хийгдээд цааш гадагшаа интерфэйсээр гарна.
Жишээ дүрмийн олонлог #1:
#!/bin/sh
cmd="ipfw -q add"
skip="skipto 500"
pif=rl0
ks="keep-state"
good_tcpo="22,25,37,43,53,80,443,110,119"
ipfw -q -f flush
$cmd 002 allow all from any to any via xl0 # exclude LAN traffic
$cmd 003 allow all from any to any via lo0 # exclude loopback traffic
$cmd 100 divert natd ip from any to any in via $pif
$cmd 101 check-state
# Authorized outbound packets
$cmd 120 $skip udp from any to xx.168.240.2 53 out via $pif $ks
$cmd 121 $skip udp from any to xx.168.240.5 53 out via $pif $ks
$cmd 125 $skip tcp from any to any $good_tcpo out via $pif setup $ks
$cmd 130 $skip icmp from any to any out via $pif $ks
$cmd 135 $skip udp from any to any 123 out via $pif $ks
# Deny all inbound traffic from non-routable reserved address spaces
$cmd 300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster
$cmd 308 deny all from 224.0.0.0/3 to any in via $pif #Class D & E multicast
# Authorized inbound packets
$cmd 400 allow udp from xx.70.207.54 to any 68 in $ks
$cmd 420 allow tcp from any to me 80 in via $pif setup limit src-addr 1
$cmd 450 deny log ip from any to any
# This is skipto location for outbound stateful rules
$cmd 500 divert natd ip from any to any out via $pif
$cmd 510 allow ip from any to any
######################## end of rules ##################
Дараах жишээ дээрхтэй нилээд төстэй боловч туршлагагүй IPFW дүрэм бичигчид зориулан
дүрмүүд юунд зориулагдсаныг тайлбарласан тайлбартай байгаагаараа онцлог юм.
Жишээ дүрмийн олонлог #2:
#!/bin/sh
################ Start of IPFW rules file ###############################
# Flush out the list before we begin.
ipfw -q -f flush
# Set rules command prefix
cmd="ipfw -q add"
skip="skipto 800"
pif="rl0" # public interface name of NIC
# facing the public Internet
#################################################################
# No restrictions on Inside LAN Interface for private network
# Change xl0 to your LAN NIC interface name
#################################################################
$cmd 005 allow all from any to any via xl0
#################################################################
# No restrictions on Loopback Interface
#################################################################
$cmd 010 allow all from any to any via lo0
#################################################################
# check if packet is inbound and nat address if it is
#################################################################
$cmd 014 divert natd ip from any to any in via $pif
#################################################################
# Allow the packet through if it has previous been added to the
# the "dynamic" rules table by a allow keep-state statement.
#################################################################
$cmd 015 check-state
#################################################################
# Interface facing Public Internet (Outbound Section)
# Check session start requests originating from behind the
# firewall on the private network or from this gateway server
# destined for the public Internet.
#################################################################
# Allow out access to my ISP's Domain name server.
# x.x.x.x must be the IP address of your ISP's DNS
# Dup these lines if your ISP has more than one DNS server
# Get the IP addresses from /etc/resolv.conf file
$cmd 020 $skip tcp from any to x.x.x.x 53 out via $pif setup keep-state
# Allow out access to my ISP's DHCP server for cable/DSL configurations.
$cmd 030 $skip udp from any to x.x.x.x 67 out via $pif keep-state
# Allow out non-secure standard www function
$cmd 040 $skip tcp from any to any 80 out via $pif setup keep-state
# Allow out secure www function https over TLS SSL
$cmd 050 $skip tcp from any to any 443 out via $pif setup keep-state
# Allow out send & get email function
$cmd 060 $skip tcp from any to any 25 out via $pif setup keep-state
$cmd 061 $skip tcp from any to any 110 out via $pif setup keep-state
# Allow out FreeBSD (make install & CVSUP) functions
# Basically give user root "GOD" privileges.
$cmd 070 $skip tcp from me to any out via $pif setup keep-state uid root
# Allow out ping
$cmd 080 $skip icmp from any to any out via $pif keep-state
# Allow out Time
$cmd 090 $skip tcp from any to any 37 out via $pif setup keep-state
# Allow out nntp news (i.e. news groups)
$cmd 100 $skip tcp from any to any 119 out via $pif setup keep-state
# Allow out secure FTP, Telnet, and SCP
# This function is using SSH (secure shell)
$cmd 110 $skip tcp from any to any 22 out via $pif setup keep-state
# Allow out whois
$cmd 120 $skip tcp from any to any 43 out via $pif setup keep-state
# Allow ntp time server
$cmd 130 $skip udp from any to any 123 out via $pif keep-state
#################################################################
# Interface facing Public Internet (Inbound Section)
# Check packets originating from the public Internet
# destined for this gateway server or the private network.
#################################################################
# Deny all inbound traffic from non-routable reserved address spaces
$cmd 300 deny all from 192.168.0.0/16 to any in via $pif #RFC 1918 private IP
$cmd 301 deny all from 172.16.0.0/12 to any in via $pif #RFC 1918 private IP
$cmd 302 deny all from 10.0.0.0/8 to any in via $pif #RFC 1918 private IP
$cmd 303 deny all from 127.0.0.0/8 to any in via $pif #loopback
$cmd 304 deny all from 0.0.0.0/8 to any in via $pif #loopback
$cmd 305 deny all from 169.254.0.0/16 to any in via $pif #DHCP auto-config
$cmd 306 deny all from 192.0.2.0/24 to any in via $pif #reserved for docs
$cmd 307 deny all from 204.152.64.0/23 to any in via $pif #Sun cluster
$cmd 308 deny all from 224.0.0.0/3 to any in via $pif #Class D & E multicast
# Deny ident
$cmd 315 deny tcp from any to any 113 in via $pif
# Deny all Netbios service. 137=name, 138=datagram, 139=session
# Netbios is MS/Windows sharing services.
# Block MS/Windows hosts2 name server requests 81
$cmd 320 deny tcp from any to any 137 in via $pif
$cmd 321 deny tcp from any to any 138 in via $pif
$cmd 322 deny tcp from any to any 139 in via $pif
$cmd 323 deny tcp from any to any 81 in via $pif
# Deny any late arriving packets
$cmd 330 deny all from any to any frag in via $pif
# Deny ACK packets that did not match the dynamic rule table
$cmd 332 deny tcp from any to any established in via $pif
# Allow traffic in from ISP's DHCP server. This rule must contain
# the IP address of your ISP's DHCP server as it's the only
# authorized source to send this packet type.
# Only necessary for cable or DSL configurations.
# This rule is not needed for 'user ppp' type connection to
# the public Internet. This is the same IP address you captured
# and used in the outbound section.
$cmd 360 allow udp from x.x.x.x to any 68 in via $pif keep-state
# Allow in standard www function because I have Apache server
$cmd 370 allow tcp from any to me 80 in via $pif setup limit src-addr 2
# Allow in secure FTP, Telnet, and SCP from public Internet
$cmd 380 allow tcp from any to me 22 in via $pif setup limit src-addr 2
# Allow in non-secure Telnet session from public Internet
# labeled non-secure because ID & PW are passed over public
# Internet as clear text.
# Delete this sample group if you do not have telnet server enabled.
$cmd 390 allow tcp from any to me 23 in via $pif setup limit src-addr 2
# Reject & Log all unauthorized incoming connections from the public Internet
$cmd 400 deny log all from any to any in via $pif
# Reject & Log all unauthorized out going connections to the public Internet
$cmd 450 deny log all from any to any out via $pif
# This is skipto location for outbound stateful rules
$cmd 800 divert natd ip from any to any out via $pif
$cmd 801 allow ip from any to any
# Everything else is denied by default
# deny and log all packets that fell through to see what they are
$cmd 999 deny log all from any to any
################ End of IPFW rules file ###############################
diff --git a/mn_MN.UTF-8/books/handbook/introduction/chapter.sgml b/mn_MN.UTF-8/books/handbook/introduction/chapter.sgml
index a6151ee2d7..ec60d13d19 100644
--- a/mn_MN.UTF-8/books/handbook/introduction/chapter.sgml
+++ b/mn_MN.UTF-8/books/handbook/introduction/chapter.sgml
@@ -1,943 +1,945 @@
Жим
Мок
Дахин бүтцийг өөрчилж зохион байгуулсан, зарим хэсгийг дахин бичсэн
Цагаанхүүгийн
Ганболд
Орчуулсан
Танилцуулга
Ерөнхий агуулга
&os;-г сонирхсон танд баярлалаа! Дараах бүлэг &os; төслийн түүх, зорилго,
хөгжүүлэх загвар зэрэг бусад төрөл бүрийн ойлголтуудыг хамарна.
Энэ бүлгийг уншсаны дараа, та дараах зүйлсийг мэдэх болно:
&os; бусад компьютерийн үйлдлийн системүүдтэй ямар хамааралтай талаар.
&os; төслийн түүх.
&os; төслийн зорилгууд.
&os;-ийн нээлттэй-эх хөгжүүлэх загварын үндсүүд.
Мөн мэдээж &os;
нэр хаанаас гарсан талаар.
&os;-д тавтай морилно уу!
4.4BSD-Lite
&os; нь Интел (x86 болон &itanium;), AMD64, Alpha,
Sun &ultrasparc; компьютеруудад зориулагдсан 4.4BSD-Lite дээр үндэслэсэн үйлдлийн систем
юм. Мөн өөр бусад архитектур уруу порт хийгдэж байгаа болно. Та мөн
&os;-ийн түүх эсвэл
одоогийн хувилбарыг унших боломжтой. Хэрэв та
энэ төсөлд (код, тоног төхөөрөмж, сан) хувь нэмэр оруулахыг сонирхож
байгаа бол
&os;-д хувь нэмэр оруулах нь нийтлэлийг уншина уу.
&os; юу хийж чадах вэ?
&os; олон тооны дурдахад буруудахгүй боломжуудтай. Эдгээрийн зарим нь:
Илүү өндөр давуу эрх бүхий бодлогоор солигдох боломж бүхий олон бодлогочлол
Компьютерийг их ачаалалтай байсан ч програмууд болон хэрэглэгчдийн хооронд бартаагүй,
ижил хуваалцах нөхцлийг бүрдүүлэх, динамик дараалал тохируулалттай,
илүү өндөр давуу эрх бүхий бодлогоор солигдох боломж бүхий олон бодлогочлол.
Олон-хэрэглэгчийн боломжууд
Олон-хэрэглэгчийн боломжууд нь олон хүмүүс &os;
системийг төрөл бүрийн зүйлд зориулан зэрэгцэн хэрэглэх боломжийг зөвшөөрдөг.
Энэ нь, жишээ нь, хэвлэгчүүд болон соронзон хальсны хөтлөгчүүд зэрэг системийн захын
төхөөрөмжүүд нь систем эсвэл сүлжээн дэх бүх хэрэглэгчдийн дунд зөвөөр хуваалцах
ба эх үүсвэр бүр дэх хязгаарууд нь маш чухал системийн эх үүсвэрүүдийг илүү
ашиглахаас хамгаалж хэрэглэгчдэд болон бүлэг хэрэглэгчдэд тавигдаж болно гэсэн үг
юм.
TCP/IP сүлжээ
SCTP, DHCP, NFS, NIS, PPP, SLIP, IPsec, болон IPv6 зэрэг үйлдвэрлэлийн стандартуудын
дэмжлэгтэй, хүчирхэг TCP/IP сүлжээ.
Энэ нь таны &os; машин бусад үйлдлийн системүүдтэй хялбар харилцан
ажиллаж чадахаас гадна мөн NFS (файлд алсаас хандах)
цахим захидлын үйлчилгээнүүд зэрэг чухал боломжуудыг хангадаг
эсвэл Интернэтэд WWW, FTP, чиглүүлэх эсвэл галт ханын (аюулгүй байдал)
үйлчилгээнүүдийн хамт та өөрийнхөө байгууллагыг байрлуулах Enterprise
сервер шиг ажиллаж чадна гэсэн үг юм.
санах ойн хамгаалалт
Санах ойн хамгаалалт нь програмууд
(эсвэл хэрэглэгчид) өөр хоорондоо нөлөөлөхгүй нөхцлийг хангадаг.
Нэг програм сүйрэхэд бусдад аль ч замаар нөлөөлөхгүй.
&os; нь 32-бит үйлдлийн систем
(Альфа дээр 64-бит, &itanium;, AMD64, болон &ultrasparc;)
бөгөөд бүр анхнаасаа эхлэн дизайн хийгдсэн юм.
X Цонхны Систем
XFree86
Үйлдвэрлэлийн стандарт болох X Цонхны Систем (X11R7)
нь ердийн VGA карт ба дэлгэцийн үнэнд хэрэглэгчийн график интерфэйсийг (GUI)
хангадаг бөгөөд бүрэн эхийн хамт ирдэг.
хоёртын нийлэмж
Линукс
хоёртын нийлэмж
SCO
хоёртын нийлэмж
SVR4
хоёртын нийлэмж
BSD/OS
хоёртын нийлэмж
NetBSD
Линукс, SCO, SVR4, BSDI ба NetBSD-д зориулан бүтээгдсэн
олон програмуудтай хоёртын нийлэмж.
Олон мянган ажиллахад бэлэн програмууд
&os;-ийн портууд болон багцуудын
цуглуулганд байдаг. Эндээс бүгдийг олж болж байхад яагаад сүлжээнээс хайх
хэрэгтэй гэж?
Олон мянган нэмэлт болон амархан порт хийх
боломжтой програмууд Интернэтэд байдаг. &os; нь эх кодын хувьд
ихэнх олны мэддэг арилжааны &unix; системүүдтэй нийцтэй бөгөөд
ихэнх програмуудыг хөрвүүлэхэд хэрэв байгаа бол цөөн өөрчлөлтүүдийг
шаарддаг.
виртуал санах ой
Шаардлагаар хуудасладаг (demand paged) виртуал санах ой
ба нийлүүлсэн VM/түр хадгалагч
дизайн нь санах ойн хувьд
их хэрэглэдэг програмуудын хүслийг үр ашигтайгаар хангадаг бөгөөд ингэхдээ бусад
хэрэглэгчдэд харилцан хариу өгөх боломжийг олгосоор байдаг.
Адил Хэмт Олон-Боловсруулалт (SMP)
Олон CPU-тай машинуудад зориулсан SMP
дэмжлэг.
хөрвүүлэгчид
C
хөрвүүлэгчид
C++
хөрвүүлэгчид
ФОРТРАН
C,
C++, болон ФОРТРАН
хөгжүүлэх багажуудын бүрэн бүрэлдэхүүн. Нарийн судалгаа болон хөгжүүлэлтэд
зориулсан олон нэмэлт хэлнүүд бас портууд болон багцуудын цуглуулганд байдаг.
эх код
Бүх системд зориулсан эх код гэдэг нь
та орчноо хамгийн ихээр хянана гэсэн үг юм. Та жинхэнэ нээлттэй системтэй мөртлөө
яагаад үйлдвэрлэгчийн буянд хаалттай шийдэлд цоожтой байх ёстой гэж?
Дэлгэрэнгүй онлайн
баримтжуулалт.
гэх мэт өөр илүү олныг дурдаж болно!
4.4BSD-Lite
Компьютерийн Системийн Судалгааны Бүлэг (CSRG)
К.И.С. Беркли
&os; нь Беркли дэх Калифорнийн Их Сургуулийн Компьютерийн Системийн
Судалгааны Бүлгээс (CSRG) гаргасан 4.4BSD-Lite хувилбар дээр үндэслэсэн
бөгөөд BSD системийн хөгжүүлэлтийн бусдаас ялгаатай уламжлалыг үргэлжлүүлсээр
байна. CSRG-ээс гаргасан сайхан ажлаас гадна &os; Төсөл нь жинхэнэ амьдрал
дээрх ачааллын үеийн найдвартай болон хамгийн сайн ажиллагааг хангах системийг
нарийн тохируулахад олон мянган цагийг зориулжээ. Улам олон арилжааны аваргууд
ийм боломжууд, ажиллагаа болон найдвартай байдал бүхий PC үйлдлийн системийг
гаргах гэж тэмцэж байхад &os; тэдгээрийг одоо
санал болгож чадна!
&os;-г ямар хэрэглээнд ашиглах нь зөвхөн таны төсөөллийн хүрээнд байна.
Програм хангамжийн хөгжүүлэлтээс эхлээд үйлдвэрлэлийн автоматжуулалт, төлвийн
хяналтаас авахуулаад алсын хиймэл дагуулын антеннуудын азимут засварлалт;
хэрэв үүнийг арилжааны &unix; бүтээгдэхүүнээр хийж чадах бол мэдээж та үүнийг
&os;-ээр ч бас хийж чадна! Мөн &os; дэлхий даяар судалгааны төвүүд болон их
сургуулиудад хөгжүүлсэн ихэнхдээ бага эсвэл үнэгүй байдаг олон мянган өндөр чанарын
програмуудаас мэдэгдэхүйц үр ашгийг авдаг. Арилжааны програмууд бас байдаг бөгөөд
өдөр ирэх тусам их хэмжээгээр нэмэгдэж байна.
&os;-ийн өөрийн эх код ерөнхийдөө байгаа болохоор
тусгай програмууд эсвэл төслүүдэд зориулж системийг бараг сонсоогүй хэмжээнд
өөрчлөх боломжтой бөгөөд ерөнхийдөө бусад ихэнх том том арилжааны
үйлдвэрлэгчдийн үйлдлийн системүүдэд үүнийг хийх боломжгүй байдаг. Энд
&os;-г ашиглаж байгаа хүмүүсийн хэрэглээний зарим нэг байна:
Интернэтийн Үйлчилгээнүүд: &os; дэх хүчирхэг TCP/IP
сүлжээ нь төрөл бүрийн Интернэтийн үйлчилгээнүүдэд хамгийн тохирсон тавцан болгодог:
FTP серверүүд
FTP серверүүд
вэб серверүүд
Дэлхий Даяарх Вэб серверүүд (стандарт эсвэл нууцлаг [SSL])
IPv4 болон IPv6 чиглүүлэлт
гал хана
NAT
Галт хананууд болон NAT (IP маскарад хийх
)
гарцууд
цахим захидал
захидал
захидал
Цахим Захидлын серверүүд
USENET
USENET Мэдээнүүд эсвэл Зарлалын Самбарын Системүүд
гэх мэт өөр илүү олныг дурдаж болно...
Та &os;-тэй байхад хямд 386 ангиллын PC-тэй жижгээс хялбархнаар эхлээд
таны Enterprise өсөхийн хэрээр RAID хадгалалт бүхий 4 процессортой Xeon
хүртэл шинэчилж болно.
Боловсрол: Та компьютерийн шинжлэх ухаан эсвэл
түүнтэй холбоотой инженерчлэлийн салбарын оюунтан уу? Үйлдлийн систем, компьютерийн
архитектур болон сүлжээний талаар сурахад &os;-ийн далд хангаж өгдөг боломж шиг
илүү сайн арга байхгүй. Чөлөөтэй байдаг хэд хэдэн CAD, математикийн болон графикийн
дизайн хийх багцууд нь өөр бусад ажлуудыг хийхийн тулд
компьютерийг ашигладаг хүмүүст &os;-г илүү их ашигтай болгодог!
Судалгаа: Бүхэл системийн хувьд эх кодтой &os;
нь үйлдлийн системүүд болон компьютерийн шижлэх ухааны бусад салбаруудын
хувьд судалгааны маш сайн тавцан болдог. &os;-ийн чөлөөтэй байдаг чанар нь
алсад байгаа бүлгүүд тусгай лицензийн гэрээ эсвэл нээлттэй форум дээр хэлэлцэж болох
хязгааруудад санаа зоволгүйгээр шинэ санаанууд болон хуваалцсан хөгжүүлэлт дээр
хамтран ажиллах боломжийг бүрдүүлдэг.
чиглүүлэгч
DNS Сервер
Сүлжээ: Шинэ чиглүүлэгч? Нэрийн сервер (DNS)?
Хүмүүсийг дотоод сүлжээнээс гадуур байлгах галт хана хэрэгтэй байна уу?
&os; нь ашиглаагүй, буланд хэвтэж байгаа 386 эсвэл 486 PC-г пакет
шүүлт хийх сайжруулсан боломжуудтай өргөтгөсөн чиглүүлэгч болгон хялбархан
хувиргаж чадна.
X Цонхны Систем
XFree86
X Цонхны Систем
Хурдасгасан-X
X Цонхны ажлын станц: &os; нь
чөлөөтэй байдаг X11 серверийг ашиглан хямд X терминалын шийдэлд
зориулсан сайн сонголт болдог. X терминалаас ялгаатай нь хэрэв хүсвэл олон
програмуудыг &os; ажиллуулахыг зөвшөөрдөг бөгөөд ингэснээр төв
серверийн ачааллыг хөнгөвчилдөг. &os; нь дискгүй
ачаалж чадсанаар ажлын станцуудыг хямд, амархан удирдах боломжтой болгодог.
GNU Хөрвүүлэгчийн Цуглуулга
Програм Хангамжийн Хөгжүүлэлт: Үндсэн
&os; систем нь нийтэд алдаршсан GNU C/C++ хөрвүүлэгч болон алдаа ологч зэрэг
програмчлалын үндсэн хэрэгслүүдтэй ирдэг.
&os; нь CD-ROM, DVD, болон нэргүй FTP дээр эх болон хоёртын хэлбэрээр байдаг.
&os;-г олж авах талаар дэлгэрэнгүй мэдээллийг хаягаас
үзнэ үү.
&os;-г хэн ашигладаг вэ?
хэрэглэгчид
&os; ажиллуулдаг том сайтууд
&os; нь дэлхийн IT-ийн ихэнх томоохон компаниудын гаргадаг
төхөөрөмжүүд болон бүтээгдэхүүнүүдэд тавцан болон ашиглагддаг:
Apple
Apple
Cisco
Cisco
Juniper
Juniper
NetApp
NetApp
&os; нь бас интернэт дэх зарим нэг хамгийн томоохон вэб хуудсуудыг ажиллуулдаг:
Yahoo!
Yahoo!
Yandex
Yandex
Apache
Apache
Rambler
Rambler
Sina
Sina
Pair Networks
Pair
Networks
Sony Japan
Sony
Japan
Netcraft
Netcraft
NetEase
NetEase
Weathernews
Weathernews
TELEHOUSE America
TELEHOUSE
America
Experts Exchange
Experts
Exchange
гэх мэт өөр илүү олон вэб хуудсуудыг дурдаж болно.
&os; Төслийн тухай
Дараах хэсэг төслийн товч түүх, төслийн зорилгууд,болон төслийн
хөгжүүлэлтийн загвар зэрэг төслийн тухай зарим нэг мэдээллийг өгнө.
Жордан
Хаббард
Хувь нэмэр болгон оруулсан
&os;-ийн товч түүх
386BSD Залруулах багц
Хаббард, Жордан
Вилльямс, Нэйт
Граймс, Род
FreeBSD Төсөл
түүх
&os; төслийн үүсэл 1993 оны эхэн хэсэгт үүдэлтэй бөгөөд залруулах багцын
сүүлийн 3 зохицуулагчид болох Нэйт Вилльямс, Род Граймс болон миний биеийн хамтран
гаргасан Албан ёсны бус 386BSD Залруулах багц
аас
хэсэгчилэн хөгжсөн юм.
386BSD
Бидний анхны зорилго хэд хэдэн асуудлуудыг шийдэхийн тулд 386BSD-ийн дундын
хормын хувилбарыг гаргаж авах явдал байсан бөгөөд залруулах багцын механизм үүнийг шийдэж
чаддаггүй байлаа. Та нарын зарим нэг нь төслийн ажлын анхны нэр тэр явдалтай холбоотой
386BSD 0.5
эсвэл 386BSD Дундын
гэж байсныг
санаж магадгүй юм.
Жолиц, Билл
386BSD нь бараг жил орчмын үл ойшоолтоос болж ихээхэн зовж байсан тэр үед хүрсэн
Билл Жолицийн үйлдлийн систем байсан юм. Залруулалтын багц нь өдөр өнгөрөх бүр
улам эвгүйгээр томорч байсан бөгөөд бид ямар нэг юм хийх ёстойг 100 хувь зөвшөөрч
Биллд туслахаар шийдэж энэхүү дундын цэвэрлэсэн
хормын хувилбарыг
гаргасан юм. Тэдгээр төлөвлөгөөнүүд нь Билл Жолицийг юу хийгдэж болохыг тодорхой
харуулахын оронд ямар ч зүйлгүйгээр төслийн өөрийн санкцаас гэнэт татгалзах шийдвэрт
хүргэж бүдүүлэг зогсоолтод хүргэсэн юм.
Грийнмэн, Дэйвид
Волнат Крийк CDROM
Биллийн дэмжлэггүй ч гэсэн зорилго маань харамсахааргүй хэвээрээ үлдэхийг
бид нэг их удалгүй шийдсэн бөгөөд Дэйвид Грийнмэний бодож олсноор
&os;
нэрийг авсан юм. Бидний эхний зорилгууд
системийн одоогийн хэрэглэгчидтэй зөвлөлдсөний дараа тодорхойлогдсон бөгөөд
төсөл эхэлсэн нь тодорхой болсны дараа бүр магадгүй амьдрал дээр биеллээ олохын
тулд би Интернэт уруу хялбар хандах боломжгүй олон золгүйчүүдэд зориулж
&os;-ийн түгээлтийн сувгуудыг сайжруулах зорилготойгоор Волнат Крийк
CDROM-той холбоо тогтоосон юм.
Волнат Крийк CDROM нь &os;-г CD дээр түгээх санааг дэмжээд зогсоогүй
ажиллах машин бас хурдан Интернэтийн холболтыг төсөлд зориулан хангасан юм.
Волнат Крийк CDROM-ийн тэр үед тэр чигээрээ үл мэдэгдэх төсөлд бараг л
урьдчилан тооцох аргагүй өгсөн итгэлгүйгээр &os; одоогийн хүрсэн шиг ийм
хол түвшинд, ийм хурдан хүрэхгүй байсан биз ээ.
4.3BSD-Lite
Net/2
К.И.С. Беркли
386BSD
Чөлөөт Програм Хангамжийн Сан
Анхны CD-ROM (ерөнхийдөө сүлжээнд өргөнөөр) түгээлт 1993 оны 12 сард гаргасан
&os; 1.0 байлаа. Энэ нь Берклигийн К.И.С-ийн 4.3BSD-Lite
(Net/2
) соронзон хальс дээр тулгуурласан, бас 386BSD болон Чөлөөт Програм
Хангамжийн Сангаас хангасан олон хэсгүүдээс тогтсон байсан билээ.Энэ бол эхний удаад нэлээн
боломжийн амжилт байсан бөгөөд дараа нь бид маш өндөр амжилт олсон &os; 1.1
хувилбарыг 1994 оны 5 сард гаргасан юм.
Новэлл
К.И.С. Беркли
Net/2
AT&T
Энэ үед урт удаан үргэлжилсэн Берклигийн Net/2 соронкон хальны хууль эрх зүйн статустай
холбоотой Новэлл ба Берклигийн К.И.С нарын хоорондох зарга шийдэгдэж гэнэтийн хар
үүлс бий болсон юм. Тэр тохиролцооны нөхцөл нь саад болсон
код ба
Новэллийн урьд нь AT&T-ээс авсан өмч болох Net/2-ийн ихэнх хэсэг дээр хийсэн
Берклигийн К.И.С-ийн буулт байлаа. Хариуд нь Новэллийн адислал
4.4BSD-Lite хувилбар байсан бөгөөд энэ нь гарсныхаа дараа саадгүйгээр тунхаглагдаж
түүн уруу Net/2-ийн бүх хэрэглэгчид маш хүчтэйгээр шилжихийг дэмжих явдал байлаа.
Үүнд &os; бас орсон бөгөөд төсөлд 1994 оны 7 сараас хүртэл хугацаа өгч өөрийн
Net/2 дээр тулгуурласан бүтээгдэхүүнээ гаргахыг хориглосон юм. Тэр гэрээний хүрээнд
эцсийн хугацаанаас өмнө төсөлд сүүлийн нэг хувилбар гаргахыг зөвшөөрсөн бөгөөд тэр
хувилбар нь &os; 1.1.5.1 байлаа.
Дараа нь &os; бараг тэр чигээрээ шинэ, бүрэн биш 4.4BSD-Lite-ийн хэсгээс
өөрийгээ дахин бүтээх хүнд бэрх бодлогыг тогтоосон юм. Lite
хувилбарууд нь зарим талаараа хөнгөн байсан, учир нь ачаалагдаж ажиллах системийг
бүтээхэд шаардлагатай кодын ихээхэн хэсгийг Берклигийн CSRG арилгасан
(төрөл бүрийн хууль эрх зүйн шаардлагаар) бөгөөд 4.4-ийн Интелийн хэсэг бас нэлээн
бүрэн биш байлаа. Энэ шилжилтийг хийсээр төсөл 1994 оны 11 сар хүргэсэн бөгөөд
тэр үед сүлжээ болон CD-ROM (12 сарын сүүлээр) дээр &os; 2.0-ийг гаргасан
байна. Хэдийгээр гадуураа бага зэрэг түүхий байсан боловч энэ хувилбар нь ихээхэн амжилттай
болсон бөгөөд удалгүй илүү хүчирхэг, амархан суулгадаг &os; 2.0.5 хувилбарыг
1995 оны 6 сард гаргасан билээ.
1996 оны 8 сард &os; 2.1.5-ыг бид гаргасан бөгөөд энэ нь ISP болон
арилжааны хүрээнийхэнд нэлээн алдаршсан ба 2.1-STABLE салбарын бас нэг өөр хувилбар
сайшаагдсан билээ. Энэ нь 1997 оны 2 сард гарсан &os; 2.1.7.1 бөгөөд 2.1-STABLE
-ийн зонхилох хөгжүүлэлтийн төгсгөл болсон юм. Одоо үйл ажиллагааг хангах горимд
зөвхөн аюулгүй байдлын өргөжүүлэлт болон бусад ноцтой алдааны засварлалтууд энэ салбарын
(RELENG_2_1_0) хувьд хийгдэх болно.
&os; 2.2 нь хөгжүүлэлтийн гол салбараас (-CURRENT
)
1996 оны 11 сард RELENG_2_2 салбар болон салбарлан гарсан бөгөөд анхны
бүрэн хувилбар (2.2.1) 1997 оны 4 сард гарсан юм. 2.2 салбарын дараагийн
хувилбарууд 97 оны зун болон намар гарцгаасан бөгөөд тэдгээрийн сүүлийнх (2.2.8)
1998 оны 11 сард гарчээ. Анхны албан ёсны 3.0 хувилбар 1998 оны 10 сард
гарсан бөгөөд 2.2 салбарын хувьд төгсгөл болох эхлэлийг тавьсан юм.
1999 оны 1 сарын 20-нд мод дахин салбарласан бөгөөд 4.0-CURRENT болон
3.X-STABLE салбарууд гарахад хүргэжээ. 3.X-STABLE-ээс 3.1 1999 оны 2 сарын
15-нд гарсан, 3.2 1999 оны 5 сарын 15-нд, 3.3 1999 оны 9 сарын 16-нд, 3.4
1999 оны 12 сарын 20-нд, тэгээд 3.5 2000 оны 6 сарын 24-нд гарсан бөгөөд
хэдхэн хоногийн дараагаар Kerberos-т сүүлийн минутын аюулгүй байдлын засваруудыг
оруулсан багахан хувилбар шинэчлэл 3.5.1-ийг гарахад хүргэсэн юм. Энэ нь 3.X салбар
дахь сүүлийн хувилбар юм.
2000 оны 3 сарын 13-нд нэг салбар гарсан нь 4.X-STABLE салбар бий болсон
явдал юм. Үүнээс хэд хэдэн хувилбарууд гарсан: 4.0-RELEASE 2000 оны 3 сард
танилцуулагдсан бөгөөд сүүлийн 4.11-RELEASE 2005 оны 1 сард гарсан юм.
Удаан хүсэн хүлээсэн 5.0-RELEASE 2003 оны 1 сарын 19-нд зарлагдсан. Ойролцоогоор
3 жилийн ажлыг шингээсэн энэ хувилбар нь &os;-г өргөжүүлсэн олон процессор,
програмын урсгал дэмжлэгийн замд гаргаж &ultrasparc; ба ia64
тавцангуудад зориулсан дэмжлэгийг танилцуулсан билээ. Энэ хувилбарын дараагаа 2003 оны
6 сард 5.1 хувилбар гарсан. -CURRENT салбарын сүүлийн 5.X хувилбар 2004 оны 2 сард
танилцуулагдсан 5.2.1-RELEASE байв.
RELENG_5 салбар 2004 оны 8 сард үүссэн бөгөөд дараагаар нь
5-STABLE салбар хувилбаруулын эхлэлийг тэмдэглэсэн 5.3-RELEASE гарсан юм.
Хамгийн сүүлийн 5.5-RELEASE 2006 оны 5 сард гарсан.
RELENG_5 салбараас дахиж нэмэлт хувилбарууд гарахгүй.
2005 оны 7 сард энэ удаа RELENG_6-д зориулж мод дахин салбарлажээ.
6.X салбарын анхны хувилбар болох 6.0-RELEASE 2005 оны 11 сард гарчээ.
Хамгийн сүүлийн 6.4-RELEASE 2008 оны 11 сард гарсан.
RELENG_6 салбараас дахиж нэмэлт хувилбар гарахгүй.
RELENG_7 салбар 2007 оны 10 сард үүссэн. Энэ салбарын
эхний хувилбар 7.0-RELEASE байсан бөгөөд 2008 оны 2 сард гарчээ.
Хамгийн сүүлийн &rel2.current;-RELEASE &rel2.current.date; гарсан.
RELENG_7 салбарын нэмэлт хувилбарууд гарах болно.
2009 оны 8 сард энэ удаа RELENG_8-д зориулж мод дахин салбарлажээ.
- 8.X салбарын анхны хувилбар 8.0-RELEASE &rel.current.date; гарсан.
+ 8.X салбарын анхны хувилбар 8.0-RELEASE 2009 оны 11 сард гарсан.
+ Хамгийн сүүлийн &rel.current;-RELEASE &rel.current.date; гарсан.
+ RELENG_8 салбарын нэмэлт хувилбарууд гарах болно.
Одоогоор урт хугацааны хөгжүүлэлтийн төслүүд 9.X-CURRENT (транк) салбарт
үргэлжлэх бөгөөд ажил урагшлах бүр CD-ROM дээрх (мэдээж сүлжээнд бас) 9.X-ийн
SNAPshot хувилбарууд
Хормын агшны сервэрээс үргэлжлэн гарсаар байх болно.
Жордан
Хаббард
Хувь нэмэр болгон оруулсан
&os; Төслийн Зорилгууд
FreeBSD Төсөл
зорилгууд
&os; Төслийн зорилгууд нь ямар нэг хязгаарлалтгүйгээр дурын зорилгоор ашиглаж
болох програм хангамжийг хангах явдал юм. Бидний олонхи нь кодонд (болон төсөлд)
чухал хөрөнгө оруулалт хийцгээсэн бөгөөд одоо болон ирээдүйд багахан санхүүгийн нөхөн
олговроос мэдээж татгалзахгүй, гэхдээ бид мэдээж үүнийг шаардахаар бэлтгэгдээгүй юм.
Бидний анхны бөгөөд нэн тэргүүний даалгавар
бол ирсэн дурын болон
бүгдэд аль ч зорилгоор ашиглагдаж болох кодоор хангах бөгөөд код нь аль болох өргөн
хэрэглэгдэж, аль болох өргөн үр ашгийг өгөх явдал юм. Энэ нь Чөлөөт Програм
Хангамжийн хамгийн үндсэн зорилгуудын нэг бөгөөд бид үүнийг санаачлагатайгаар
дэмжих ёстой гэдэгт би итгэж байна.
GNU General Public License (GPL)
GNU Lesser General Public License (LGPL)
BSD Зохиогчийн Эрх
Бидний эх модонд байгаа GNU General Public License (GPL) эсвэл
Library General Public License (LGPL) хүрээнд байдаг код нь арай илүү
хязгаарлалттай бөгөөд ядаж л эсрэгээрээ байх биш харин ч хүчилсэн хандлагын талд байдаг.
GPL програм хангамжийг арилжааны зорилгоор ашиглахад гарах нэмэлт төвөгтэй асуудлуудаас
болоод бид ингэж хийхэд боломжийн сонголт байгаа нөхцөлд арай зөөлөн BSD Зохиогчийн
Эрхийн доор програм хангамжийг ирүүлэхийг илүүд үздэг.
Сатоши
Асами
Хувь нэмэр болгон оруулсан
&os; Хөгжүүлэх Загвар
FreeBSD Төсөл
хөгжүүлэх загвар
&os;-ийн хөгжүүлэлт нь бидний хувь нэмэр
оруулагчдын жагсаалтаас харахад дэлхий даяар хэдэн зуун хүмүүсийн оруулсан
хувь нэмэр дээр бүтээгдсэн, их нээлттэй, уян хатан процесс юм.
&os;-ийн хөгжүүлэлтийн дэд бүтэц нь эдгээр хэдэн зуун хөгжүүлэгчдийг
Интернэтээр хамтран ажиллах боломжийг нээж өгдөг.
Бид шинэ хөгжүүлэгчид, болон санаануудыг тогтмол хайж байдаг бөгөөд
төсөлтэй илүү ойртохыг сонирхсон хэн ч гэсэн &a.hackers; хаягаар бидэнд
хандаарай. Мөн бусад &os; хэрэглэгчдэд гол гол ажлуудын талаар мэдээлэх
&a.announce; бас байгаа болно.
Чөлөөтэй болон нягт хамтын ажиллагаан доор ажилладгаас үл хамааран &os;
төсөл болон түүний хөгжүүлэлтийн процессийн талаар ашигтай зүйлсийн талаар мэдэхийг
хүсвэл:
SVN ба CVS репозитор
CVS
репозитор
Зэрэгцээ Хувилбаруудын Систем
CVS
SVN
репозитор
Subversion
SVN
&os;-ийн гол эх мод нь &os;-тэй цуг багцалсан чөлөөтэй байдаг
эх кодыг хянах багаж болох
CVS-ээр
(Зэрэгцээ Хувилбаруудын Систем) хэдэн жилийн турш тэтгэгдэж байсан.
2008 оны 6 сард Төсөл SVN (Subversion) рүү
шилжин хэрэглэхээр болсон. Эх модны хурдацтай өсөлт болон хадгалаастай
байсан түүхийн хуудаснуудын хэмжээнээс болоод CVS-ийн
техникийн хязгаарлалтууд илэрхий болж энэ шилжилтийг зайлшгүй хэрэгцээтэй
гэж үзсэн юм. Одоо үндсэн репозитор SVN-г
ашигладаг бөгөөд хуучин CVS дэд бүтцээс хамаардаг
CVSup болон
csup зэрэг хэрэглэгчийн талын
хэрэгслүүд хэвийн ажилласан хэвээр байгаа болно. Энэ зорилгоор
SVN репозитор дахь өөрчлөлтүүд нь
CVS рүү эргээд хөрвүүлэгддэг.
Одоогоор зөвхөн төв эх мод SVN-ээр
хянагддаг. Бичиг баримт, Дэлхий Даяарх Вэб болон портын репозиторууд
CVS-ийг ашигласан хэвээр байгаа болно.Үндсэн
репозитор АНУ-ийн Калифорнийн Санта Клара дахь машин дээр
байрладаг бөгөөд тэндээс дэлхий даяар байрласан хэд хэдэн толин тусгалын
машинууд уруу хувилагддаг. -CURRENT болон -STABLE модуудыг агуулсан SVN мод
таны өөрийн машин дээр ч гэсэн амархан хувилагдах боломжтой.
Үүнийг хэрхэн хийх талаар дэлгэрэнгүй мэдээллийг
Өөрийн эх модоо хамгийн сүүлийн түвшинд
аваачих хэсэг уруу хандаж үзээрэй.
Итгэмжлэн оруулагчдын жагсаалт
итгэмжлэн оруулагчид
Итгэмжлэн оруулагчид нь CVS мод уруу
бичих эрхтэй бөгөөд &os;-ийн эхэд
өөрчлөлтүүд хийх зөвшөөрөлтэй хүмүүс юм (итгэмжлэн оруулагч
гэсэн
ойлголт нь CVS репозитор уруу шинэ өөрчлөлтүүдийг хийдэг &man.cvs.1;-ийн
commit тушаалаас гаралтай).
Итгэмжлэн оруулагчдад илгээсэн зүйлээ хянуулахаар өгөх хамгийн шилдэг арга нь
&man.send-pr.1; тушаал юм. Хэрэв ямар нэг зүйл систем дээр гацвал
&a.committers; уруу та цахим захидал бас илгээн холбогдож болно.
&os;-ийн гол баг
гол баг
&os;-г компани гэж бодох юм бол &os;-ийн гол баг
нь захирлуудын зөвлөлтэй ижил утгатай юм. Гол багийн үндсэн үүрэг нь
төсөл бүхэлдээ сайн байж, түүнийг зөв чиглэлээр явуулахыг хянаж байх явдал юм.
Өөрийгөө бүрэн дайчилсан, хариуцлагатай хөгжүүлэгчдийг итгэмжлэн оруулагчдын
бүлэгт урих нь гол багийн үүргүүдийн нэг бөгөөд зарим гишүүд шилжихэд гол багийн
шинэ гишүүдийг шинээр авах нь бас нэг үүрэг нь юм.
Одоогийн гол баг нь нэр дэвшигч итгэмжлэн оруулагчдаас 2008 оны 7 сард сонгогдсон.
Сонгууль 2 жилд нэг удаа явагддаг.
Гол багийн зарим гишүүд тусгай хариуцлагатай бөгөөд системийн ихээхэн хэсэг
сурталчилсан хэмжээгээрээ ажиллаж байхыг хянаж бие сэтгэлээ зориулж байдаг.
&os; хөгжүүлэгчдийн жагсаалт болон тэдний аль хэсэгт хариуцлагатайг
Хувь
нэмэр оруулагчдын жагсаалтаас үзнэ үү.
Гол багийн ихэнх гишүүд &os;-ийн хөгжүүлэлтэд сайн дураар оролцдог бөгөөд
төслөөс санхүүгийн хувьд ашиг олдоггүй болохоор commitment
гэдэг нь баталгаатай дэмжлэг
гэсэн үг гэж ойлгож болохгүй юм.
Дээрх захирлуудын зөвлөл
гэсэн аналог нь тийм ч зөв биш бөгөөд
эдгээр хүмүүс нь &os;-ийн тусын тулд өөрсдийнхөө илүү шийдлийн эсрэг амьдралаа
орхисон хүмүүс гэвэл магадгүй илүү тохирох биз ээ!
Гаднын хувь нэмэр оруулагчид
хувь нэмэр оруулагчид
Эцэст нь, гэхдээ мэдээж хамгийн сүүлийнх биш, хамгийн том бүлэг
хөгжүүлэгчид нь санал сэтгэгдэл болон алдааны засваруудыг бидэнд
бараг л тогтмол илгээдэг хэрэглэгчид юм. &os;-ийн илүү
төвлөрсөн бус хөгжүүлэлттэй холбоотой байх үндсэн арга нь
тийм зүйлсийн талаар хэлэлцдэг &a.hackers;-д бүртгүүлэх явдал юм.
&os;-ийн төрөл бүрийн захидлын жагсаалтын талаар дэлгэрэнгүйг
-ээс үзнэ үү.
&os;-ийн
Хувь нэмэр оруулагчдын Жагсаалт нь урт бөгөөд
өсөн нэмэгдэж байгаагийн нэг, тийм болохоор яагаад өнөөдөр &os;-д
хувь нэмэр оруулж энэ жагсаалтад нэгдэж болохгүй гэж?
Код ирүүлэх нь төсөлд хувь нэмэр оруулах ганц арга биш юм;
Хийх шаардлагатай байгаа зүйлсүүдийн бүрэн жагсаалтын талаар
&os; Төслийн вэб хуудсын
хаягт хандаж үзнэ үү.
Дүгнэж хэлэхэд бидний хөгжүүлэлтийн загвар нь нэг нь нөгөөдөө багтсан, чөлөөтэй
тойргууд маягаар зохион байгуулагдсан загвар юм. Төвлөрсөн загвар нь ирээдүйтэй хувь
нэмэр оруулагчдыг цааш түлхэлгүйгээр нэг төвийн кодын суурийг хялбар хянах боломжийг
олгож &os;-ийн хэрэглэгчдэд эвтэй байхаар зориулагдан
дизайн хийгдсэн юм. Бидний хүсэл бол хэрэглэгчид амархан суулгаж ашиглаж болдог
ихээхэн хэмжээний уялдаа холбоотой хэрэглээний програмуудтай
тогтвортой үйлдлийн системийг бий болгох явдал юм — энэнд хүрэхэд энэ загвар нь
маш сайн тохирон ажиллаж байна.
Төслийн амжилттай байсаар байгаад хүргэж байгаа одоогийн хүмүүсийн адил бие
сэтгэлийнхээ зарим ч гэсэн хэсгийг зориулахыг &os; хөгжүүлэгч болон бидэнтэй нэгдэж
байгаа хүмүүсээс хүсэж байгаа бидний цорын ганц хүсэлт юм!
Одоогийн &os; хувилбарууд
NetBSD
OpenBSD
386BSD
Чөлөөт Програм Хангамжийн Сан
К.И.С. Беркли
Компьютерийн Системийн Судалгааны Бүлэг (CSRG)
&os; нь чөлөөтэй байдаг, Интел &i386;, &i486;, &pentium;,
&pentium; Pro,
&celeron;,
&pentium; II,
&pentium; III,
&pentium; 4 (эсвэл нийцтэй),
&xeon;, DEC Alpha
болон Sun &ultrasparc;-д зориулагдсан бүрэн эх 4.4BSD-Lite дээр тулгуурласан
хувилбар юм. Энэ нь үндсэндээ NetBSD, OpenBSD, 386BSD, болон Чөлөөт Програм
Хангамжийн Сангийн зарим өргөжүүлэлт хийгдсэн Берклигийн К.И.С.-ийн CSRG бүлгээс
гаргасан програм хангамжууд дээр үндэслэсэн.
1994 оны сүүлд гарсан &os; 2.0 хувилбараас хойш &os;-ийн хурдан
ажиллагаа, боломжууд болон тогтвортой байдал мэдэгдэхүйц сайжирсан.
Хамгийн том өөрчлөлт нь нийлсэн VM/файл буферийн кэш бүхий засварласан виртуал санах ойн систем
бөгөөд энэ нь ажиллагааг хурдасгаад зогсохгүй &os;-ийн санах ойн мөрийг багасгаж
5 MB тохиргоог илүү боломжийн хамгийн бага хэмжээнд хүргэсэн. Бусад
өргөтгөлүүдийг дурдвал гүйцэд NIS клиент ба серверийн дэмжлэг, шилжилтийн TCP дэмжлэг,
шаардлагаар залгах PPP, цогц DHCP дэмжлэг, сайжруулсан SCSI дэд систем, ISDN
дэмжлэг, ATM-ийн дэмжлэг, FDDI, Хурдан болон Гигабит Ethernet (1000 Mbit)
картууд, сүүлийн үеийн Адаптек хянагчууд болон олон мянган алдаануудын засварууд зэрэг юм.
Үндсэн түгээлтүүдээс гадна &os; нь мянга мянган байнга хайгддаг програмуудтай
хөрвүүлсэн програм хангамжийн цуглуулгатай байдаг. Энэ авлагыг хэвлэж байх үед
&os.numports; гаруй портууд байсан! Портуудын жагсаалтад http (WWW) серверүүдээс
тоглоомууд, хэлнүүд, засварлагчид, зэрэг бараг л бүх төрлийн програмууд байдаг.
Портуудын Цуглуулга бүхэлдээ ойролцоогоор &ports.size; хэмжээний хадгалалт шаарддаг
бөгөөд бүх портууд өөрсдийн жинхэнэ эхийн хувьд дельта
болж илэрхийлэгддэг.
Энэ нь бидэнд портуудыг шинэчлэхэд хялбар болгож хуучин 1.0 Портуудын Цуглуулгын шаарддаг
байсан дискний зайн шаардлагыг ихээхэн багасгаж өгдөг. Портыг хөрвүүлэхийн тулд та
суулгахыг хүсэж байгаа програмын сан уруу шилжиж make install
хэмээн бичихэд систем цааш үлдсэнийг хийх болно. Таны бүтээх порт болгоны жинхэнэ эх бүрэн
түгээлт динамикаар CD-ROM эсвэл локал FTP хаягаас татагдах бөгөөд танд зөвхөн хүссэн портоо
бүтээх хангалттай дискний зай л шаардлагатай. Порт бүр урьдчилан хөрвүүлсэн багц
хэлбэрээр бас байх бөгөөд өөрийн портыг эхээс хөрвүүлэх хүсэлгүй хүмүүс хялбар тушаалаар
(pkg_add) ийм портыг суулгаж болдог. Багцууд болон портуудын
талаар дэлгэрэнгүй мэдээллийг хаягаар олж болно.
Танд &os; суулгаж ашиглах явцад маш их тус болохуйц хэд хэдэн баримтуудыг
хамгийн сүүлийн үеийн дурын &os; машин дээр
/usr/share/doc
сангаас бас олох боломжтой юм. Локалаар суусан гарын авлагуудыг та HTML боломжтой
хөтчүүдийг ашиглан дараах хаягаас үзэж болно:
FreeBSD Гарын авлага
/usr/share/doc/handbook/index.html
FreeBSD-ийн БХА (байнга хариулагддаг асуултууд FAQ)
/usr/share/doc/faq/index.html
Мөн та мастер (болон бусдаас их шинэчлэгддэг) хуулбаруудыг
хаягаас үзэж болно.
diff --git a/mn_MN.UTF-8/books/handbook/mirrors/chapter.sgml b/mn_MN.UTF-8/books/handbook/mirrors/chapter.sgml
index 36bf157c42..770aa98f57 100644
--- a/mn_MN.UTF-8/books/handbook/mirrors/chapter.sgml
+++ b/mn_MN.UTF-8/books/handbook/mirrors/chapter.sgml
@@ -1,3177 +1,3185 @@
&os;-г олж авах нь
CDROM болон DVD Нийтлэгчид
Жижиглэнгийн хайрцагласан бүтээгдэхүүнүүд
&os; нь хайрцагласан бүтээгдэхүүн хэлбэрээр (&os; CD-үүд,
нэмэлт програм хангамж, болон хэвлэсэн баримт) хэд хэдэн жижиглэн
худалдаалагчдаас гардаг:
CompUSA
WWW:
Frys Electronics
WWW:
CD болон DVD цуглуулгууд
&os; CD болон DVD цуглуулгуудыг олон жижиглэн худалдаалагчдаас
шууд худалдан авах боломжтой байдаг:
FreeBSD Mall, Inc.
700 Harvest Park Ste F
Brentwood, CA 94513
USA
Утас: +1 925 240-6652
Факс: +1 925 674-0821
Email: info@freebsdmall.com
WWW:
Dr. Hinner EDV
St. Augustinus-Str. 10
D-81825 München
Germany
Утас: (089) 428 419
WWW:
Ikarios
22-24 rue Voltaire
92000 Nanterre
France
WWW:
JMC Software
Ireland
Утас: 353 1 6291282
WWW:
The Linux Emporium
Hilliard House, Lester Way
Wallingford
OX10 9TA
United Kingdom
Утас: +44 1491 837010
Факс: +44 1491 837016
WWW:
Linux+ DVD Magazine
Lewartowskiego 6
Warsaw
00-190
Poland
Утас: +48 22 860 18 18
Email: editors@lpmagazine.org
WWW:
Linux System Labs Australia
21 Ray Drive
Balwyn North
VIC - 3104
Australia
Утас: +61 3 9857 5918
Факс: +61 3 9857 8974
WWW:
LinuxCenter.Ru
Galernaya Street, 55
Saint-Petersburg
190000
Russia
Утас: +7-812-3125208
Email: info@linuxcenter.ru
WWW:
Түгээгчид
Хэрэв та дахин худалдагч бөгөөд &os; CDROM бүтээгдэхүүнүүдийг тараахыг хүсэж
байгаа бол түгээгч буюу дистрибьюторт хандана уу:
Cylogistics
809B Cuesta Dr., #2149
Mountain View, CA 94040
USA
Утас: +1 650 694-4949
Факс: +1 650 694-4953
Email: sales@cylogistics.com
WWW:
Ingram Micro
1600 E. St. Andrew Place
Santa Ana, CA 92705-4926
USA
Утас: 1 (800) 456-8000
WWW:
Kudzu, LLC
7375 Washington Ave. S.
Edina, MN 55439
USA
Утас: +1 952 947-0822
Факс: +1 952 947-0876
Email: sales@kudzuenterprises.com
LinuxCenter.Kz
Ust-Kamenogorsk
Kazakhstan
Утас: +7-705-501-6001
Email: info@linuxcenter.kz
WWW:
LinuxCenter.Ru
Galernaya Street, 55
Saint-Petersburg
190000
Russia
Утас: +7-812-3125208
Email: info@linuxcenter.ru
WWW:
Navarre Corp
7400 49th Ave South
New Hope, MN 55428
USA
Утас: +1 763 535-8333
Факс: +1 763 535-0341
WWW:
FTP сайтууд
&os;-д зориулсан абан ёсны эхүүдийг дэлхий даяар байрласан толин тусгал сайтуудаас
авч болно.
сайт нь сайн холбогдсон бөгөөд маш олон тооны холболтуудыг зөвшөөрдөг. Гэхдээ та
илүү ойр
толин тусгал сайтыг хайж олсон нь дээр биз ээ (ялангуяа хэрэв
та ямар нэгэн толин тусгал маягийн сайт тохируулж ажиллуулахыг хүсвэл).
&os; толин тусгал сайтуудын
мэдээллийн бааз нь Гарын авлага дахь толин тусгалын жагсаалтаас
илүү зөв байдаг. Учир нь энэ нь хостуудын статик жагсаалтад тулгуурлалгүй өөрийн мэдээллээ
DNS серверээс авдаг юм.
Мөн &os; нь дараах толин тусгал сайтууд дахь нэргүй FTP-ээс авч болохоор байдаг.
Хэрэв та нэргүй FTP-ээс &os;-г авахыг сонговол өөртөө аль болох ойр сайтыг ашиглаад
үзээрэй. Primary Mirror Sites
буюу үндсэн толин тусгал
сайтууд дахь толин тусгал сайтууд нь бүхэл &os; архивыг (архитектур
болгонд зориулсан одоо байгаа бүх хувилбарууд) ихэвчлэн агуулдаг боловч
танай улс юм уу эсвэл бүсэд байрлаж байгаа сайтаас татаж авахад танд илүү хурдан
байх болов уу. Бүсийн сайтууд нь хамгийн түгээмэл архитектуруудад зориулсан
хамгийн сүүлийн үеийн хувилбаруудыг агуулдаг боловч &os;-ийн бүх архивыг
агуулаагүй байж болох юм. Бүх сайтууд нь нэргүй FTP-ээр хандах боломжийг
олгодог. Зарим сайтууд нь бас бусад аргуудаар хандах боломжийг олгодог.
Сайт болгоны хувьд хандах аргууд нь хостын нэрийн дараа хаалтанд өгөгдсөн
байгаа болно.
&chap.mirrors.ftp.inc;
BitTorrent
BitTorrent
Үндсэн хувилбарын CD-үүдийн ISO дүрсүүдийг BitTorrent-оор дамжуулан
авах боломжтой байдаг. Дүрсүүдийг татаж авах torrent файлын цуглуулга
http://torrents.freebsd.org:8080
хаяг дээр бий.
BitTorrent-ийн клиент програм хангамж нь
net-p2p/py-bittorrent порт эсвэл
өмнө нь эмхэтгэсэн багц хэлбэрээр байдаг.
BitTorrent-оор ISO дүрсийг татаж авсны дараагаар та
burncd-ийн талаар тайлбарласнаар
CD эсвэл DVD дээр шарж болох юм.
Нэргүй CVS
<anchor id="anoncvs-intro">Танилцуулга
CVS
нэргүй
Нэргүй CVS (эсвэл өөрөөр anoncvs гэгддэг)
нь алсын CVS архивтай синхрончлол хийгдэхэд зориулагдсан &os;-тэй
цуг багцлагдсан CVS хэрэгслүүдийн үзүүлдэг боломж юм. Мөн
&os;-ийн хэрэглэгчдэд ямар нэгэн зөвшөөрлүүдгүйгээр зөвхөн унших эрхтэй
CVS үйлдлүүдийг &os; төслийн албан ёсны anoncvs серверүүдийн аль нэг дээр
хийх боломжийг олгодог. Ашиглахын тулд CVSROOT
орчны хувьсагчийг тохирох anoncvs сервер руу зааж cvs login
тушаалд бүгдийн мэддэг anoncvs
нууц үгийг өгч
дараа нь &man.cvs.1; тушаал ашиглан локал архивт хандаж байгаа шигээр
хандана.
cvs login тушаал нь CVS серверт
өөрийгээ таниулан нэвтрэхэд хэрэглэгдсэн нууц үгсийг
таны HOME санд .cvspass
файлд хадгалдаг.Хэрэв энэ файл байхгүй бол
таныг cvs login тушаалыг эхний удаа
ашиглахаар оролдоход алдаа гарч болох юм. Ердөө л
хоосон .cvspass файл үүсгээд нэвтрэхийг
оролдоорой.
CVSup болон anoncvs
үйлчилгээнүүд нь хоюул үндсэндээ адил үүргийг гүйцэтгэдэг гэж бас хэлж
болох боловч синхрончлол хийх аргуудын хэрэглэгчийн сонголтод
нөлөөлж болох төрөл бүрийн сул болон давуу талуудтай байдаг. Товчхондоо
CVSup нь өөрийн сүлжээний эх үүсвэрүүдийн
хэрэглээндээ илүү үр ашигтай бөгөөд техникийн хувьд хамгийн
ухаалаг нь боловч ажиллагаа ихтэй байдаг. CVSup-г
ашиглахын тулд эхүүдийг авч эхлэхээсээ өмнө тусгай клиентийг эхлээд суулгаж тохируулсан
байх ёстой бөгөөд зөвхөн дараа нь нэлээн том хэмжээтэй хэсгүүдээр
CVSup нь цуглуулгуудыг
дууддаг.
Харин Anoncvs-г
нэг файлаас авахуулаад тусгай програм (ls эсвэл
grep гэх зэрэг) хүртэлх бүгдийг CVS модулийн нэрээр нь
шалгахад ашиглаж болно. Мэдээж anoncvs
нь CVS архив дээрх зөвхөн уншигдах үйлдлүүдэд бас сайн болохоор
хэрэв та &os; төслийн хэсгүүдтэй хуваалцсан нэг архив дахь локал
хөгжүүлэлтийг дэмжих зорилготой байгаа бол CVSup нь
таны цорын ганц сонголт байх юм.
<anchor id="anoncvs-usage">Нэргүй CVS-г ашиглах нь
Ердөө л CVSROOT орчны хувьсагчийг &os; төслийн
anoncvs серверүүдийн аль нэг уруу зааснаар
&man.cvs.1;-ийг нэргүй CVS архив ашиглахаар тохируулах юм.
Биднийг энэ баримтыг бичиж байх үед дараах серверүүд байгааг дурдав:
Франц:
:pserver:anoncvs@anoncvs.fr.FreeBSD.org:/home/ncvs
(pserver горимын хувьд cvs login тушаалыг
ашиглаад anoncvs
нууц үгийг асуухад нь
оруулах хэрэгтэй. ssh-ийн хувьд нууц үг
шаардлагагүй.)
Тайвань:
:pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs
(pserver горимын хувьд cvs login тушаалыг
ашиглаад дурын нууц үгийг асуухад нь оруулах хэрэгтэй.
ssh-ийн хувьд нууц үг шаардлагагүй.)
SSH2 HostKey: 1024 02:ed:1b:17:d6:97:2b:58:5e:5c:e2:da:3b:89:88:26 /etc/ssh/ssh_host_rsa_key.pub
SSH2 HostKey: 1024 e8:3b:29:7b:ca:9f:ac:e9:45:cb:c8:17:ae:9b:eb:55 /etc/ssh/ssh_host_dsa_key.pub
АНУ:
anoncvs@anoncvs1.FreeBSD.org:/home/ncvs
(ssh-ийн хувьд ssh-ийн 2-р хувилбарыг ашиглах бөгөөд нууц үг шаардлагагүй.)
SSH2 HostKey: 2048 53:1f:15:a3:72:5c:43:f6:44:0e:6a:e9:bb:f8:01:62 /etc/ssh/ssh_host_dsa_key.pub
CVS нь &os;-ийн хэзээ нэгэн цагт байсан (эсвэл зарим тохиолдолд ирээдүйд байх)
эхүүдийн бараг л дурын хувилбарыг check out
буюу шалгаж авах
боломжийг олгодог болохоор та &man.cvs.1;-ийн залруулалт ()
туг болон түүнд зориулагдсан зарим зөвшөөрөгдөх ямар утгууд &os; төслийн архивт байдгийг
мэддэг байх хэрэгтэй.
Залруулалтын хаягууд болон салбарын хаягууд гэсэн хоёр төрлийн хаяг байдаг.
Залруулалтын хаяг нь тухайн залруулалтыг заадаг. Үүний утга нь өдрөөс өдөрт
ижил хэвээр байна. Нөгөө талаас салбарын хаяг нь ямар ч үед хөгжүүлэлтийн өгөгдсөн шугам дахь
хамгийн сүүлийн залруулалтыг заадаг. Салбарын хаяг нь тухайн нэг залруулалтыг
заадаггүй болохоор үүний маргаашийн утга нь өнөөдрийнхөөс өөр байж болох юм.
нь хэрэглэгчдийн сонирхож болох
залруулалтуудын хаягуудыг агуулдаг. Дахин хэлэхэд портын цуглуулга нь
хөгжүүлэлтийн олон салбаргүй учир эдгээрийн аль нь ч портын цуглуулгын хувьд зөв биш
юм.
Та салбарын хаягийг заах юм бол тэр хөгжүүлэлтийн шугам дахь
файлуудын сүүлийн хувилбаруудыг хүлээн авах болно. Хэрэв та ямар нэг өнгөрсөн
хувилбарыг хүлээн авахыг хүсэж байгаа бол
тугаар огноог заан тэгж хийж болно. Илүү дэлгэрэнгүйг &man.cvs.1;
гарын авлагын хуудаснаас үзнэ үү.
Жишээнүүд
Ямар нэг юм хийхээсээ өмнө &man.cvs.1;-ийн гарын авлагын хуудсыг
нэг бүрчлэн уншихыг зөвлөдөг хэдий ч нэргүй CVS-ийг хэрхэн ашиглахыг харуулж
байгаа зарим жишээнүүдийг энд үзүүлэв:
-CURRENT-с ямар нэгэн зүйл шалгаж авах нь (&man.ls.1;):
&prompt.user; setenv CVSROOT :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs
&prompt.user; cvs login
Хүлээх мөрөн дээр дурын үгийг нууц үг
болгон ашиглаарай.
&prompt.user; cvs co ls
<filename>src/</filename> модыг шалгаж авахын тулд SSH-г ашиглах нь:
&prompt.user; cvs -d anoncvs@anoncvs1.FreeBSD.org:/home/ncvs co src
The authenticity of host 'anoncvs1.freebsd.org (216.87.78.137)' can't be established.
DSA key fingerprint is 53:1f:15:a3:72:5c:43:f6:44:0e:6a:e9:bb:f8:01:62.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'anoncvs1.freebsd.org' (DSA) to the list of known hosts.
6-STABLE салбар дахь &man.ls.1;-ийн хувилбарыг шалгаж авах нь:
&prompt.user; setenv CVSROOT :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs
&prompt.user; cvs login
Хүлээх мөрөн дээр дурын үгийг нууц үг
болгон ашиглаарай.
&prompt.user; cvs co -rRELENG_6 ls
&man.ls.1;-д хийгдсэн өөрчлөлтүүдийн жагсаалтыг (нэгдсэн ялгаанууд хэлбэрээр) үүсгэх нь
&prompt.user; setenv CVSROOT :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs
&prompt.user; cvs login
Хүлээх мөрөн дээр дурын үгийг нууц үг
болгон ашиглаарай.
&prompt.user; cvs rdiff -u -rRELENG_5_3_0_RELEASE -rRELENG_5_4_0_RELEASE ls
Өөр бусад ямар модулийн нэрс ашиглагдаж болохыг олох нь:
&prompt.user; setenv CVSROOT :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs
&prompt.user; cvs login
Хүлээх мөрөн дээр дурын үгийг нууц үг
болгон ашиглаарай.
&prompt.user; cvs co modules
&prompt.user; more modules/modules
Бусад эх үүсвэрүүд
Дараах нэмэлт эх үүсвэрүүд нь CVS-ийг сурахад тус болж болох юм:
Калифорнийн Политехникийн Их Сургуулийн CVS заавар.
CVS гэр,
CVS-ийн хөгжүүлэлт болон дэмжлэгийн нийгэм.
CVSweb нь
&os; төслийн CVS-д зориулсан вэб интерфэйс юм.
CTM-г ашиглах нь
CTM
CTM нь алсын сангийн модыг төвтэй
синхрончлол хийхэд зориулсан арга юм. Энэ нь &os;-ийн эх моднуудтай
ашиглахад зориулагдаж хөгжүүлэгдсэн бөгөөд цаг хугацаа өнгөрөх тусам бусад хүмүүс
бусад зорилгоор хэрэглэхэд ашигтайг мэдэж болох юм. Дельтанууд үүсгэх процессийн
талаар бараг баримт байхгүй болохоор бас хэрэв та CTM-г
бусад зүйлсэд зориулж ашиглахыг хүсэж байгаа бол дэлгэрэнгүй мэдээллийн талаар
&a.ctm-users.name; захидлын жагсаалтад хандана уу.
<application>CTM</application>-г би яагаад ашиглах ёстой вэ?
CTM нь танд &os; эх моднуудын локал
хуулбарыг өгдөг. Модны төрөл бүрийн хэлбэрүүд
байдаг.
Таны бүхэл CVS мод эсвэл аль нэг салбаруудын нэгийг дагахыг хүсэж байгаагаас
хамаарч CTM нь танд мэдээлэл өгч чадна.
Та &os;-ийн идэвхтэй хөгжүүлэгч боловч олиггүй юм уу эсвэл TCP/IP холболт байхгүй
эсвэл өөрчлөлтүүдийг автоматаар тан руу илгээгддэг байлгахыг хүсэж байгаа
бол CTM нь танд зориулагджээ.
Та хамгийн идэвхтэй салбаруудын хувьд өдөрт гурав хүртэлх дельтануудыг авах
хэрэгтэй болно. Гэхдээ та тэдгээрийг автомат цахим захидлаар илгээгддэг
байхыг бодох хэрэгтэй. Шинэчлэлтүүдийн хэмжээг үргэлж аль болох бага байлгадаг.
Энэ ихэвчлэн 5K-с бага байдаг, хааяа (арваас нэгт) 10-50K хэмжээтэй
байдаг бөгөөд заримдаа том 100K+ эсвэл илүү бас байдаг.
Та урьдчилан багцалсан хувилбарын оронд хөгжүүлэлтийн эхүүд дээр
шууд ажиллахтай холбоотой гардаг төрөл бүрийн анхааруулгуудын талаар бас
мэдэж байх хэрэгтэй болно. Энэ нь таныг current
эхүүдийг сонгох тохиолдолд ялангуяа үнэн байдаг. Таныг
&os;-ийн одоо үеийн хэлбэрт байх нь
хэсгийг уншихыг зөвлөдөг.
<application>CTM</application>-г ашиглахад надад юу хэрэгтэй вэ?
Танд хоёр зүйл хэрэгтэй: CTM
програм болон түүнийг тэжээх эхний дельтанууд (current
түвшингүүдэд хүрэхийн тулд).
CTM програм нь хувилбар 2.0 гарснаас
хойш &os;-ийн хэсэг болж ирсэн бөгөөд хэрэв танд эх байгаа бол энэ нь
/usr/src/usr.sbin/ctm санд байдаг.
CTM-г тэжээх дельтануудыг
нь FTP эсвэл цахим захидал гэсэн хоёр аргаар авч болно. Хэрэв танд Интернет уруу
хандах ерөнхий FTP хандалт байгаа бол дараах FTP сайтууд нь CTM-д
хандахыг дэмждэг:
эсвэл толин тусгалууд хаягийг үзнэ үү.
тохирох сан руу FTP хийгээд README
файлыг татаж аваад тэндээс эхлээрэй.
Хэрэв та өөрийн дельтануудыг цахим захидлаар авахыг хүсэж байгаа бол:
CTM түгээлтийн жагсаалтуудын
аль нэгэнд бүртгүүлэх хэрэгтэй. &a.ctm-cvs-cur.name; нь
бүхэл CVS модыг дэмждэг. &a.ctm-src-cur.name; нь
хөгжүүлэлтийн салбарын толгойг дэмждэг. &a.ctm-src-4.name; нь
4.X хувилбарыг дэмждэг, гэх мэт. (Хэрэв та өөрийгөө жагсаалтад
хэрхэн бүртгүүлэхийг мэдэхгүй байгаа бол дээрх жагсаалтын нэрэн дээр
дарах юм уу эсвэл &a.mailman.lists.link; уруу очоод
өөрийн хүсэж байгаа жагсаалтан дээрээ дарах хэрэгтэй. Бүртгэхэд
шаардлагатай бүгдийг жагсаалтын хуудас агуулсан байх ёстой.)
Өөрийн CTM шинэчлэлтүүдийг
хүлээн авч эхлэхдээ та тэдгээрийг задалж ашиглахдаа ctm_rmail
тушаал ашиглаж болох юм. Хэрэв та процессийг бүрэн автомат загвараар
ажилладаг байлгахыг хүсэж байгаа бол /etc/aliases
файл дахь оруулгаас ctm_rmail програмыг
шууд ашиглаж болох юм. Илүү дэлгэрэнгүйг ctm_rmail-ийн
гарын авлагын хуудаснаас шалгана уу.
CTM дельтануудыг авах ямар
аргыг ашиглаж байгаагаас үл хамааран та &a.ctm-announce.name;
захидлын жагсаалтад бүртгүүлэх хэрэгтэй. Ирээдүйд
CTM системийн ажиллагааны тухай
зарлалууд илгээгдэх газар нь зөвхөн энэ болох юм.
Дээрх жагсаалтын нэрэн дээр дарж жагсаалтад бүртгүүлэхийн тулд
заавруудыг дагах хэрэгтэй.
<application>CTM</application>-г эхний удаа хэрэглэх
CTM дельтануудыг ашиглаж эхлэхээсээ
өмнө дельтанууд дараа дараагийн удаа үүсгэгдэхэд нь зориулж та эхлэх цэг дээр ирэх
хэрэгтэй болно.
Танд юу байгааг эхлээд тодорхойлох хэрэгтэй. Бүгд
хоосон
сангаас эхэлж болно. Өөрийн CTM-ээр
дэмжигдсэн модыг эхлүүлэхийн тулд та эхний Empty
буюу хоосон
дельтаг ашиглах ёстой. Тодорхой нэг цэгт эдгээр started
буюу
эхэлсэн дельтануудын аль нэгийг өөрийн хүслээр CD дээр түгээж болохоор энэ нь
зориулагдсан боловч одоогоор тийм юм болоогүй байгаа билээ.
Моднууд нь хэдэн арван мегабайт байдаг болохоор өөртөө байгаагаас эхлэхийг
эрхэмлэх ёстой юм. Хэрэв танд -RELEASE CD байгаа бол та эхний эхийг түүнэс хуулж эсвэл
задалж болох юм. Энэ нь өгөгдлийн чухал дамжуулалтыг хэмнэх болно.
Та эдгээр starter
буюу эхлэх дельтануудыг
дугаарт нэмэгдсэн X-ээр таньж болно
(жишээ нь src-cur.3210XEmpty.gz).
X-ийн дараах тэмдэглээс нь таны эхний seed
буюу үрийн үүсэлд харгалзана. Дүрмээр бол Empty буюу
хоосноос шилжих үндсэн шилжилт нь 100 дельта бүрээс үүсгэгдэнэ.
Ингэхэд тэдгээр нь том байна! XEmpty
дельтануудын хувьд 70-аас 80 мегабайт gzip хийгдсэн
өгөгдөл нь нийтлэг байдаг.
Эхлэх анхдагч дельтаг сонгосны дараа танд түүний дараах өндөр дугааруудтай
бүх дельтанууд хэрэгтэй болно.
Өөрийн өдөр тутмын амьдралдаа <application>CTM</application>-г ашиглах нь
Дельтануудыг өгөхийн тулд ердөө л доор дурдсаныг хийнэ:
&prompt.root; cd /where/ever/you/want/the/stuff
&prompt.root; ctm -v -v /where/you/store/your/deltas/src-xxx.*
CTM нь gzip-ээр
тавигдсан дельтануудыг ойлгодог болохоор та тэдгээрийг эхлээд
gunzip хийх хэрэггүй юм. Энэ нь дискний зай
хэмнэх болно.
Бүх процессийн талаар маш нууцлаг гэж бодоогүй л бол
CTM нь таны модыг хөндөхгүй байх болно.
Дельтаг шалгахын тулд та тугийг бас ашиглаж
болох бөгөөд CTM нь таны модыг
үнэндээ хөндөхгүй; энэ нь зөвхөн дельтаны бүрэн бүтэн байдлыг шалгаж
таны одоогийн модонд цэвэр хийгдэх эсэхийг л үздэг.
CTM-д өгөгдөх бусад сонголтууд
бас байдаг бөгөөд эдгээрийг гарын авлагын хуудаснуудаас үзнэ үү,
эсвэл илүү дэлгэрэнгүйг эхүүдээс хайна уу.
Ингээд л бүгд бараг болж байна. Шинэ дельта авах бүртээ
өөрийн эхүүдийг хамгийн сүүлийн хувилбарт аваачихын тулд түүнийг
CTM-ээр ажиллуулах хэрэгтэй.
Дельтануудыг дахин татаж авахад хэцүү байгаа бол битгий
устгаарай. Ямар нэг муу юм болж болзошгүй гэж үзээд тэдгээрийг та
хаа нэгтэй хадгалахыг хүсэж болох юм. Танд зөвхөн уян диск байсан ч
гэсэн fdwrite тушаалыг ашиглан хуулбар хийх
нь зүйтэй.
Өөрийн локал өөрчлөлтүүдийг хадгалах нь
Хөгжүүлэгчийн хувьд эх модыг өөрчлөх эсвэл түүн дээр турших хүсэл төрж
болох юм. CTM нь локал өөрчлөлтүүдийг
хязгаарлалттайгаар дэмждэг: foo файлыг байгаа
эсэхийг шалгахын өмнө foo.ctm файлыг эхлээд
хайдаг. Хэрэв энэ файл байвал CTM нь
foo-ийн оронд энэ файл дээр ажилладаг.
Энэ нь бидэнд локал өөрчлөлтүүдийг хялбараар арчлах боломжийг
олгодог: өөрийн өөрчлөх төлөвлөгөөтэй байгаа файлуудаа .ctm
өргөтгөлтэй болгон хуулах хэрэгтэй. Дараа нь та кодыг чөлөөтэй оролдож
болох бөгөөд CTM нь .ctm
файлыг хамгийн сүүлийн хэлбэрт байлгах болно.
<application>CTM</application>-ийн бусад сонирхолтой сонголтууд
Шинэчлэлтээр яг юу хөндөгдөхийг олох
Та өөрийн эх архивт CTM-ийн
хийх өөрчлөлтүүдийн жагсаалтыг
сонголтыг CTM-д
өгөн тодорхойлж болно.
Та өөрчлөлтүүдийн бүртгэлүүдийг хадгалах, өөрчлөгдсөн файлуудад
урьдчилан эсвэл дараа нь боловсруулалт хийх эсвэл ердөө л хэтэрхий зовниж
байгаа бол энэ нь ашигтай юм.
Шинэчлэхээсээ өмнө нөөцлөлтүүд хийх
Заримдаа та CTM шинэчлэлтээр
өөрчлөгдөх бүх файлуудыг нөөцөлж авахыг хүсэж болох юм.
сонголтыг зааснаар
CTM-ийг өгөгдсөн
CTM дельтагаар хөндөгдөх бүх
файлуудыг нөөцөлж backup-file руу
хадгалахад хүргэнэ.
Шинэчлэлтээр хөндөгдөх файлуудыг хязгаарлах
Заримдаа та өгөгдсөн CTM шинэчлэлтийн
хүрээг хязгаарлах сонирхолтой эсвэл дельтануудын дарааллаас цөөн
хэдэн файлуудыг задлах сонирхолтой байж болох юм.
CTM-ийн ажилладаг файлуудын
жагсаалтыг та болон
сонголтуудыг ашиглан шүүлт хийх регулар илэрхийллүүдийг заан хянаж
болно.
Жишээ нь өөрийн хадгалсан CTM дельтануудын
цуглуулгаас lib/libc/Makefile-ийн
хамгийн сүүлийн хуулбарыг задалж авахын тулд дараах тушаалуудыг
ажиллуулна:
&prompt.root; cd /where/ever/you/want/to/extract/it/
&prompt.root; ctm -e '^lib/libc/Makefile' ~ctm/src-xxx.*
CTM дельтанд заагдсан файл бүрийн
хувьд тушаалын мөрөнд өгөгдсөн дарааллаар
болон сонголтуудыг өгсөн.
Файл нь бүх болон
сонголтууд түүнд өгөгдсөний дараа
зөвхөн сонгогдох эрхтэй гэж тэмдэглэгдсэн бол CTM-ээр
боловсруулагддаг.
<application>CTM</application>-ийн ирээдүйн төлөвлөгөөнүүд
Маш их:
CTM-ийн хуурамч шинэчлэлтүүдийг
илрүүлэхийн тулд CTM системд ямар нэгэн нэвтрэлт танилт
ашиглах.
CTM-ийн сонголтуудыг цэвэрлэх,
тэдгээр нь толгой эргүүлэм, зөн совингийн эсрэг болсон.
Бусад зүйлс
ports цуглуулгад зориулсан дельтануудын
дараалал бас байдаг боловч сонирхол тийм ч өндөр байдаггүй.
CTM толин тусгалууд
CTM/&os; нь дараах толин тусгал сайтууд дахь
нэргүй FTP-ээр хандаж авах боломжтой байдаг. Хэрэв та CTM-г
нэргүй FTP-ээр авахыг сонгосон бол өөртөө ойр сайтыг оролдож үзнэ үү.
Асуудал гарсан тохиолдолд &a.ctm-users.name; захидлын жагсаалтад
хандана уу.
Калифорни, Bay Area, албан ёсны эх
Өмнөд Африк, хуучин дельтануудад зориулсан нөөц сервер
Тайвань/R.O.C.
Хэрэв та өөртөө ойрхон толин тусгалыг олоогүй бол эсвэл толин тусгал нь
бүрэн биш байгаа бол alltheweb
зэрэг хайлтын системийг ашиглаад үзээрэй.
CVSup-г ашиглах нь
Танилцуулга
CVSup нь алсын сервер хост дээр
байгаа мастер CVS архиваас эх модыг шинэчлэх болон түгээхэд зориулагдсан
програм хангамжийн багц юм. &os;-ийн эхүүд Калифорни дахь төв хөгжүүлэлтийн
машин дээрх CVS архивт арчлагдаж байдаг. CVSup-ийн
тусламжтай &os; хэрэглэгчид өөрсдийн эх модыг хялбараар хамгийн сүүлийн
хэлбэрт аваачиж чаддаг байна.
CVSup нь шинэчлэлтийн
pull буюу татах загварыг
ашигладаг. Татах загвар дээр клиент бүр серверээс шинэчлэлтийг хүссэн үедээ
эсвэл хэрэгтэй үедээ асуудаг. Сервер нь өөрийн хэрэглэгчдээс ирэх хүсэлтүүдийг
идэвхгүйгээр хүлээж байдаг. Сервер хэзээ ч хүсээгүй шинэчлэлтүүдийг илгээдэггүй.
Хэрэглэгчид нь шинэчлэлтийг авахын тулд CVSup
клиентийг гараар ажиллуулах юм уу эсвэл түүнийг автоматаар давтамжтайгаар
ажиллуулахын тулд cron ажил тохируулах ёстой болно.
Ингэж том үсгээр бичсэн CVSup ухагдахуун нь
бүхэл програм хангамжийн багцыг хэлнэ. Түүний гол бүрэлдэхүүн хэсгүүд нь
хэрэглэгч бүрий машин дээр ажилладаг cvsup клиент, ба
&os;-ийн толин тусгал сайтууд дээр ажиллаж байдаг cvsupd
сервер юм.
&os;-ийн баримт болон захидлын жагсаалтуудыг уншиж байхдаа та
sup гэж хэлснийг харж болох юм.
Sup нь CVSup-ийн
өмнөх үе бөгөөд ижил зорилгоор ашиглагддаг байсан. CVSup
нь sup-тай бараг л адилаар ашиглагддаг бөгөөд үнэндээ sup
ашиглаж болохоор тохиргооны файлуудыг ашигладаг. CVSup
нь илүү хурдан бөгөөд уян хатан учраас Sup
нь &os; төсөлд ашиглагдахаа больсон.
csup хэрэгсэл нь CVSup-г
C дээр бичсэн хувилбар юм. Үүний хамгийн том давуу тал бол илүү хурдан бөгөөд
Modula-3 хэлээс хамаардаггүй, тиймээс та түүнийг суулгах шаардлагагүй байдаг.
Мөн хэрэв та &os; 6.2 юм уу эсвэл түүнээс хойшх хувилбаруудыг ашиглаж байгаа
бол түүнийг шууд ашиглаж болно, учир нь энэ нь үндсэн системд орсон байдаг.
Хуучин &os; хувилбаруудын үндсэн системд &man.csup.1; байдаггүй, гэхдээ
та net/csup портууд юм уу эсвэл
урьдчилан эмхэтгэсэн багцыг хялбархан суулгаж болно.
Хэрэв та csup-г ашиглахаар
шийдсэн бол CVSup-ийн суулгалт дахь алхмуудыг
алгасаж энэ нийтлэлийн үлдсэн хэсгийг дагаж байхдаа
CVSup гэснийг csup
болгож солиорой.
Суулгалт
CVSup-г суулгах хамгийн хялбар арга бол
&os;-ийн багцын цуглуулгаас
урьдчилан эмхэтгэсэн net/cvsup
багцыг ашиглах явдал юм. Хэрэв та CVSup-г
эхээс бүтээхийг эрхэмлэж байгаа бол net/cvsup
портыг ашиглаарай. Гэхдээ урьдчилан анхааруулъя: net/cvsup
порт нь Modula-3 системээс хамаардаг бөгөөд үүнийг татан авч суулгахад ихээхэн
хэмжээний дискний зай болон хугацаа шаарддаг.
Хэрэв та &xfree86; эсвэл &xorg;
зэрэг суулгагдаагүй сервер машин дээр CVSup-г ашиглах гэж байгаа
бол CVSup GUI-г агуулаагүй
net/cvsup-without-gui портыг ашиглах
хэрэгтэй.
Хэрэв та csup-г &os; 6.1 эсвэл
түүнээс өмнөх хувилбаруудад суулгахыг хүсэж байгаа бол
&os;-ийн багцын цуглуулгаас
урьдчилан эмхэтгэсэн net/csup
багцыг ашиглаж болно. Хэрэв та csup-г
эхээс бүтээхийг эрхэмлэж байгаа бол net/csup
портыг ашиглаж болно.
CVSup тохиргоо
CVSup-ийн ажиллагаа supfile
гэгддэг тохиргооны файлаар хянагддаг.
/usr/share/examples/cvsup/
санд зарим жишээ supfiles байдаг.
supfile дахь мэдээлэл
CVSup-д зориулж дараах асуултуудад
хариулдаг:
Ямар файлуудыг та хүлээн авахыг хүсэж
байна вэ?
Тэдгээрийн ямар хувилбаруудыг та хүсэж
байна вэ?
Тэдгээрийг та хаанаас авахыг хүсэж
байна вэ?
Та тэдгээрийг өөрийн машиныхаа
хаана байрлуулахыг хүсэж байна вэ?
Та өөрийн төлвийн файлуудыг
хаана байрлуулахыг хүсэж байна вэ?
Дараах хэсгүүдэд бид эдгээр асуултуудад хариулан түгээмэл
supfile-г бүтээх болно. Эхлээд бид
supfile-ийн ерөнхий бүтцийг тайлбарлах
болно.
supfile нь текст файл юм. Тайлбарууд
нь # тэмдэгтээс эхэлж мөр дуустал үргэлжилнэ.
Хоосон мөрнүүд болон зөвхөн тайлбараас тогтох мөрүүдийг орхидог.
Үлдэж байгаа мөр болгон хэрэглэгчийн авахыг хүсэж байгаа файлуудын
цуглуулгыг тайлбарладаг. Мөр нь файлуудын цуглуулга
буюу
файлуудын логик бүлэглэлийн нэрээс эхэлдэг бөгөөд эдгээрийг сервер
тодорхойлдог. Цуглуулгын нэр таны аль файлуудыг хүсэж байгааг серверт
хэлдэг. Цуглуулгын нэрийн дараа талбарууд байхгүй эсвэл байж болох
бөгөөд зайгаар тусгаарлагдсан байна. Эдгээр талбарууд нь дээрх
асуултуудад хариулдаг. Хоёр төрлийн талбар байдаг: тугны талбарууд ба
утгын талбарууд. Тугны талбар нь ганцаараа байгаа түлхүүр үгнээс
тогтдог, өөрөөр хэлбэл delete эсвэл
compress байна. Утгын талбар нь бас
түлхүүр үгээс эхлэх боловч хоосон зайгаар тусгаарлагдалгүйгээр
= болон хоёр дахь үгээс тогтоно. Жишээ нь
release=cvs нь утгын талбар юм.
supfile ихэвчлэн нэгээс илүү цуглуулгыг
хүлээн авахаар заасан байдаг. supfile-г
зохион байгуулах нэг арга нь цуглуулга бүрийн хувьд харгалзах бүх
талбаруудыг зааж өгөх явдал юм. Гэхдээ энэ нь supfile-ий
мөрүүдийг нэлээн урт болгодог бөгөөд supfile дахь
цуглуулгуудын бүгдийн хувьд ихэнх талбарууд нь ижил байдаг болохоор
таагүй юм. CVSup нь эдгээр асуудлуудыг
тойрон гарах анхдагч болгох арга замтай байдаг. Тусгай псевдо цуглуулгын
нэр *default-р эхэлсэн мөрүүд нь
тугнууд болон supfile дахь дараа дараачийн
цуглуулгуудын хувьд анхдагч болж ашиглагдах утгуудыг заахад хэрэглэгддэг.
Анхдагч утгыг цуглуулгатай цуг өөр утгыг заан өгч тухайн цуглуулгын хувьд
өөрчилж болдог. Анхдагчуудыг дундын supfile-д
нэмэлт *default мөрүүдээр өөрчилж эсвэл дарж
болдог.
Ийм мэдээлэлтэйгээр бид одоо &os;-CURRENT-ийн гол эх модыг
хүлээн авч шинэчлэхэд зориулсан supfile-г
бүтээх болно.
Ямар файлуудыг та хүлээн авахыг хүсэж
байна вэ?
CVSup-аар авах боломжтой файлууд нь
collections
буюу цуглуулгууд гэгддэг бүлгүүдэд
хуваагдан зохион байгуулагддаг. Байгаа цуглуулгууд нь
дараах хэсэгт тайлбарлагдсан
байгаа. Энэ жишээн дээр бид &os;-ийн хувьд бүх гол эхийг авахыг хүсэж
байна. src-all гэсэн ганц том цуглуулга
бидэнд үүнийг өгөх болно. supfile-аа
бүтээх эхний алхам болгож бид цуглуулгуудыг нэг мөрөнд нэгийг
тавьж жагсаана (энэ тохиолдолд зөвхөн нэг мөр байна):
src-all
Тэдгээрийн ямар хувилбаруудыг та хүсэж
байна вэ?
CVSup-ийн тусламжтай та хэзээ ч юм байсан
эхүүдийн бараг ямар ч хувилбарыг хүлээн авч чадна.
cvsupd сервер нь бүх хувилбаруудыг агуулсан
CVS архиваас шууд ажилладаг болохоор энэ нь боломжтой юм. Та тэдгээрийн
алийг хүсэж байгаагаа tag= болон
утга талбаруудыг ашиглан зааж өгч болно.
tag= талбарыг зөв зааж өгөхдөө анхааралтай
байх хэрэгтэй. Зарим хаягууд нь зөвхөн файлуудын зарим цуглуулгуудын
хувьд зөв байдаг. Хэрэв та буруу эсвэл буруу бичсэн хаягийг зааж өгөх юм
бол магадгүй таны устгахыг хүсээгүй файлуудыг CVSup нь
устгах юм. Ялангуяа ports-*
цуглуулгуудын хувьд зөвхөн
tag=.-г ашиглаарай.
tag= талбар нь симболын хаягийг архивт
нэрлэдэг. Хоёр төрлийн хаяг байдаг бөгөөд эдгээр нь
залруулалтын хаягууд болон салбарын хаягууд юм. Залруулалтын
хаяг нь тухайн нэг залруулалтыг заадаг.
Үүний утга нь өдрөөс өдөрт ижил хэвээр байна. Нөгөө талаас салбарын
хаяг нь ямар ч үед хөгжүүлэлтийн өгөгдсөн шугам дахь хамгийн сүүлийн
залруулалтыг заадаг. Салбарын хаяг нь тухайн нэг залруулалтыг
заадаггүй болохоор үүний маргаашийн утга нь өнөөдрийнхөөс өөр
байж болох юм.
нь хэрэглэгчдийн сонирхож болох
салбарын хаягуудыг агуулдаг. CVSup-ийн
тохиргооны файлд хаягийг зааж өгөхдөө өмнө нь tag=
гэж өгөх ёстой (RELENG_4 нь
tag=RELENG_4 болно).
Зөвхөн tag=. нь портын цуглуулгад
хамааралтай болохыг санаарай.
Хаягийн нэрийг яг үзүүлсэн шиг бичихдээ анхааралтай байгаарай.
CVSup нь зөв болон буруу
хаягуудыг ялгаж чаддаггүй. Хэрэв та хаягийг буруу бичвэл
CVSup нь
таныг зөв хаяг өгсөн гэж ойлгон ажиллах бөгөөд энэ нь ямар ч файлуудыг
заагаагүйд хүргэж болох юм. Энэ тохиолдолд энэ нь танд байгаа
эхүүдийг устгах болно.
Салбарын хаягийг заахад та тэр хөгжүүлэлтийн шугамын
файлуудын хамгийн сүүлийн хувилбаруудыг авах болно.
Хэрэв та ямар нэг өнгөрсөн хувилбарыг авахыг хүсвэл
талбарт огноог заан хийж өгч болно. &man.cvsup.1; гарын
авлагын хуудас үүнийг хэрхэн хийхийг тайлбарладаг.
Бидний жишээний хувьд &os;-CURRENT-г авахыг бид хүсэж байна.
Бид энэ мөрийг өөрсдийн supfile-ийн
эхэнд нэмнэ:
*default tag=.
Хэрэв та tag= талбар эсвэл date=
талбарын алийг ч зааж өгөөгүй бол чухал тусгай тохиолдол гарч
ирнэ. Энэ тохиолдолд тодорхой нэг хувилбарыг хүлээн авахын оронд
серверийн CVS архиваас RCS файлуудыг шууд хүлээн авдаг.
Ажиллагааны ийм горимыг хөгжүүлэгчид ерөнхийдөө эрхэмлэдэг.
Өөрсдийн системүүд дээр архивын хуулбарыг арчилснаар тэд
залруулалтын түүхийг хайж файлуудын өнгөрсөн хувилбаруудыг шалгах
боломжтой болох юм. Гэхдээ энэ хонжоо нь дискний зайны хувьд
их өртөгтэйгээр орж ирдэг.
Тэдгээрийг та хаанаас авахыг хүсэж
байна вэ?
Бид host= талбарыг ашиглан cvsup-д
өөрийн шинэчлэлтүүдийг хаанаас авахыг хэлж өгдөг. CVSup
толин тусгал сайтуудын аль нь ч болох боловч та өөрийн кибер
ертөнцдөө ойрхныг турших хэрэгтэй. Энэ жишээн дээр бид
зохиомол &os; түгээлтийн сайт
cvsup99.FreeBSD.org-г ашиглах
болно:
*default host=cvsup99.FreeBSD.org
Та CVSup-г ашиглахаасаа өмнө
үнэн хэрэг дээрээ байгаа жинхэнэ хостоор солих хэрэгтэй болно.
cvsup-г ажиллуулах үедээ та хостын тохируулгыг
тушаалын мөрөөс сонголтоор
өөрчлөн дарж болно.
Та тэдгээрийг өөрийн машиныхаа
хаана байрлуулахыг хүсэж байна вэ?
prefix= талбар нь хүлээн авсан файлуудыг
хаана байрлуулахыг cvsup хэлнэ.
Энэ жишээн дээр бид эх файлуудыг өөрсдийн гол эх модны /usr/src
байрлалд шууд байрлуулах болно. src сан нь
бидний хүлээн авахаар сонгосон цуглуулгад далд байгаа болохоор
энэ нь зөв юм:
*default prefix=/usr
cvsup
өөрийн төлвийн файлуудыг хаана арчлах ёстой вэ?
CVSup клиент нь base
буюу үндсэн гэгддэг сан дахь зарим төлвийн файлуудыг арчилж байдаг.
Эдгээр файлууд нь ямар шинэчлэлтүүдийг та аль хэдийн хүлээн авсныг
хянаж CVSup-ийг илүү үр ашигтай
ажиллахад тусалдаг. Бид стандарт үндсэн сан /var/db-г
ашиглах болно:
*default base=/var/db
Хэрэв таны үндсэн сан байхгүй байгаа бол одоо түүнийг үүсгэх
хугацаа болсон байна. Хэрэв үндсэн сан байхгүй бол
cvsup ажиллахаас татгалзах болно.
supfile-ийн бусад
тохиргоонууд:
supfile-д ерөнхийдөө байх ёстой бас нэг
мөр байдаг:
*default release=cvs delete use-rel-suffix compress
release=cvs нь сервер гол &os; CVS
архиваас өөрийн мэдээллийг авах ёстойг зааж байна. Энэ нь
бараг үргэлж тохиолддог, хэдийгээр бусад боломжууд байдаг боловч
энэ хэлэлцүүлгийн хүрээнээс хальдаг.
delete нь
CVSup-д файлууд устгах зөвшөөрөл өгдөг.
CVSup нь таны эх модыг байнга
хамгийн сүүлийн хэлбэрт байлгадаг байхын тулд та үүнийг үргэлж
зааж өгөх хэрэгтэй. CVSup нь
өөрийн хариуцдаг зөвхөн тэр файлуудыг устгах тал дээр их анхааралтай
ажилладаг. Танд байж болох нэмэлт файлууд тэр хэвээрээ үлддэг.
use-rel-suffix нь ... ойлгоход төвөгтэй юм.
Хэрэв та үүний тухай жинхэнээсээ мэдье гэж хүсэж байгаа бол
&man.cvsup.1; гарын авлагын хуудаснаас үзнэ үү. Хэрэв тийм биш бол
ердөө заагаад л тэгээд санаа зовох хэрэггүй юм.
compress нь холбооны суваг дээр
gzip загварын шахалтын хэрэглээг идэвхжүүлдэг. Хэрэв таны
сүлжээний холболт T1 эсвэл түүнээс хурдан бол та магадгүй
шахалтыг ашиглах хэрэггүй юм. Хэрэв үгүй бол энэ нь бодитойгоор
тусалдаг.
Бүгдийг нийлүүлбэл:
Энд бидний жишээнд зориулсан бүхэл supfile
байна:
*default tag=.
*default host=cvsup99.FreeBSD.org
*default prefix=/usr
*default base=/var/db
*default release=cvs delete use-rel-suffix compress
src-all
<filename>refuse</filename> файл
Дээр дурдсанаар CVSup нь
татах аргыг ашигладаг. Энэ нь юу гэсэн үг вэ гэхээр
та CVSup сервер руу холбогдох бөгөөд
энэ нь Над дээрээс татаж авах боломжтой зүйлс энэ байна...
гэж хэлэх бөгөөд таны клиент OK, Би энэ,энэ, энийг авна.
гэж хариулна гэсэн үг юм. Анхдагч тохиргоон дээр
CVSup клиент нь таны тохиргооны файлд сонгосон хаяг болон
цуглуулгатай холбоотой бүх файлыг авна. Гэхдээ үүнийг та үргэлж хүсэхгүй байх,
ялангуяа хэрэв та doc, ports, эсвэл
www моднуудыг авч байгаа бол үүнийг хийхийг хүсэхгүй
байх — ихэнх хүмүүс дөрөв эсвэл таван хэлийг уншиж чаддаггүй
бөгөөд тиймээс тэдэнд хэлтэй холбоотой файлуудыг татаж авах хэрэггүй байдаг.
Хэрэв та портын цуглуулгыг CVSup хийж байгаа
бол та цуглуулга бүрийг тусад нь заан өгч үүнийг тойрон гарч болно
(өөрөөр хэлбэл, ports-astrology,
ports-biology, гэх мэтээр ports-all
гэхийн оронд). Гэхдээ doc
болон www моднууд нь хэлтэй холбоотой цуглуулгуудтай байдаггүй
болохоор та CVSup-ийн олон сайн боломжуудын
нэгийг ашиглах ёстой нь refuse юм.
refuse файл нь үндсэндээ
CVSup-д цуглуулгаас файл болгоныг
татаж авахгүй гэдгийг хэлдэг; өөрөөр хэлбэл клиентэд серверээс зарим
файлууд татаж авахаас татгалзахыг хэлж өгдөг.
refuse файл нь
base/sup/ сангаас
олдож болно (эсвэл хэрэв танд ийм файл байхгүй байгаа бол түүнийг дээрх санд байрлуулах
хэрэгтэй). base нь таны supfile-д
тодорхойлогдсон байдаг; бидний тодорхойлсон base нь
/var/db бөгөөд энэ нь анхдагчаар
refuse файл нь /var/db/sup/refuse
гэсэн үг юм.
refuse файл нь маш хялбар хэлбэршилттэй байдаг;
энэ нь таны татаж авахыг хүсээгүй файлууд эсвэл сангуудын нэрийг агуулдаг.
Жишээ нь хэрэв та Англи болон Германаар бага зэрэг ярьдгаас өөр хэлээр
ярьдаггүй бөгөөд баримтын Герман орчуулгыг авах сонирхолгүй байвал
өөрийн refuse файлд дараах:
doc/bn_*
doc/da_*
doc/de_*
doc/el_*
doc/es_*
doc/fr_*
doc/hu_*
doc/it_*
doc/ja_*
doc/mn_*
doc/nl_*
doc/no_*
doc/pl_*
doc/pt_*
doc/ru_*
doc/sr_*
doc/tr_*
doc/zh_*
мөрүүд болон гэх мэтээр бусад хэлнүүдийн хувьд оруулж өгөх хэрэгтэй
(та бүрэн жагсаалтыг &os;
CVS архивыг шалган олж болно).
Энэ ашигтай боломжийг ашиглан удаан холболттой юм уу эсвэл өөрсдийн
Интернэтийн холболтод минутаар төлдөг хэрэглэгчид үнэ цэнэтэй хугацаагаа
хэмнэх болно. Учир нь тэд өөрсдийн хэзээ ч ашиглахгүй файлаа татаж авах
шаардлагагүй болох юм. CVSup-ийн
refuse файлууд болон бусад сайхан боломжуудын
талаар илүү мэдээллийг түүний гарын авлагын хуудаснаас үзнэ үү.
<application>CVSup</application>-г ажиллуулах нь
Одоо та шинэчлэлт хийж үзэхэд бэлэн боллоо. Үүнийг хийх тушаалын мөр
их амархан:
&prompt.root; cvsup supfile
энд байгаа supfile нь
таны дөнгөж үүсгэсэн supfile-ийн нэр юм.
Таныг X11 дээр ажиллаж байна гэж үзвэл cvsup нь
энгийн зүйлсийг хийх зарим товчлууруудтай GUI цонхыг үзүүлэх болно.
go товчлуурыг дарж ажиллахыг нь хараарай.
Та энэ жишээн дээр өөрийн жинхэнэ /usr/src
модыг шинэчилж байгаа болохоор cvsup нь
таны файлуудыг шинэчлэхэд шаардлагатай зөвшөөрлүүдтэй байхын тулд
та програмыг root эрхээс ажиллуулах хэрэгтэй
болно. Өөрийн тохиргооны файлыг дөнгөж үүсгэсэн бөгөөд урьд нь энэ програмыг
хэзээ ч ашиглаж байгаагүй бол таныг бухимдуулж магадгүй юм. Өөрийн файлуудыг
хөндөлгүйгээр туршилтын журмаар ажиллуулах хялбар арга байдаг.
Хаа нэгтээ хоосон сан үүсгээд түүнийг тушаалын мөрөнд нэмэлт өгөгдлөөр оруулж
өгнө:
&prompt.root; mkdir /var/tmp/dest
&prompt.root; cvsup supfile /var/tmp/dest
Таны заасан сан бүх файлын шинэчлэлтүүдийн хувьд очих сан болдог.
CVSup нь /usr/src сан
доторх таны энгийн файлуудыг шалгадаг, гэхдээ тэдгээрийн алийг ч өөрчлөх буюу
устгахгүй. Файлын шинэчлэлтүүд харин /var/tmp/dest/usr/src
санд хийгдэнэ. CVSup нь ингэж ажиллахдаа бас
өөрийн үндсэн сангийн төлвийн файлуудыг өөрчлөлгүйгээр үлдээдэг.
Тэдгээр файлуудын шинэ хувилбарууд заагдсан сан уруу бичигдэх болно.
Танд /usr/src сан уруу унших эрх л байхад
иймэрхүү туршилтын ажиллагааг гүйцэтгэхэд root
эрх байх заавал шаардлагагүй юм.
Хэрэв та X11-г ажиллуулахгүй байгаа юм уу эсвэл танд GUI таалагддаггүй бол
cvsup-г ажиллуулахдаа тушаалын мөрөн дээр
хоёр сонголтыг нэмж өгөх хэрэгтэй:
&prompt.root; cvsup -g -L 2 supfile
сонголт нь CVSup-д
өөрийн GUI-г ашиглахгүйг хэлнэ. Хэрэв та X11-ийг ажиллуулахгүй байгаа бол
энэ автомат байдаг, үгүй бол та үүнийг зааж өгөх хэрэгтэй.
нь CVSup-д
хийж байгаа бүх шинэчлэлтүүдийнхээ талаар дэлгэрэнгүй мэдээллийг үзүүлэхийг
хэлж өгнө. Гурван түвшний харуулах горим байдаг бөгөөд энэ нь
-с хүртэл байна. Анхдагч нь
0 байх бөгөөд энэ нь алдааны мэдэгдлээс бусдыг харуулахгүй.
Бусад олон сонголтууд байдаг. Тэдгээрийн товч жагсаалтыг үзэхийн тулд
cvsup -H гэж бичнэ. Илүү дэлгэрэнгүй тайлбаруудын
талаар гарын авлагын хуудсыг үзнэ үү.
Шинэчлэлт ажилладаг аргад сэтгэл ханамжтай болсныхоо дараа
та CVSup-г давтамжтайгаар ажиллуулахын тулд
&man.cron.8; ашиглан хийж өгч болно. Мэдээж та &man.cron.8;-с
CVSup-г ажиллуулахдаа өөрийнхөө GUI-г
ашиглахгүй болгох хэрэгтэй.
<application>CVSup</application>-ийн файлын цуглуулгууд
CVSup-ийн файлын цуглуулгууд нь шатлалтайгаар
зохион байгуулагдсан байдаг. Цөөн том цуглуулгууд байдаг бөгөөд тэдгээр нь
арай жижиг дэд цуглуулгуудад хуваагддаг. Том цуглуулгыг хүлээн авах нь
түүний дэд цуглуулгууд тус бүрийг хүлээн авахтай адил юм. Цуглуулга хоорондын
шаталсан холбоонууд нь доорх жагсаалт дахь догол ашиглалтаар тусгагддаг.
Хамгийн түгээмэл хэрэглэгддэг цуглуулгууд нь src-all,
болон ports-all юм. Бусад цуглуулгуудыг тусгай зорилгоор
зөвхөн жижиг бүлэг хүмүүс ашигладаг бөгөөд зарим толин тусгал сайтууд тэдгээрийг
бүгдийг агуулдаггүй байж болох юм.
cvs-all release=cvs
Криптограф кодыг оролцуулаад &os;-ийн гол CVS архив.
distrib release=cvs
&os;-ийн түгээлт болон толин тусгал хийхтэй холбоотой файлууд.
doc-all release=cvs
&os; гарын авлагын эхүүд ба бусад баримт. Энэ нь &os;-ийн
вэб сайтын файлуудыг агуулдаггүй.
ports-all release=cvs
&os;-ийн портын цуглуулга.
Хэрэв та бүхэл ports-all-г (бүх портын мод)
шинэчлэхийг хүсэхгүй байгаа бөгөөд доор жагсаагдсан дэд цуглуулгуудын
нэгийг ашиглаж байгаа бол ports-base
дэд цуглуулгыг шинэчилсэн эсэхээ үргэлж
шалгаж байх хэрэгтэй. ports-base-ээр
танилцуулагдсан портын бүтээлтийн дэд бүтцэд ямар нэгэн өөрчлөлт
орох болгонд тэдгээр өөрчлөлтүүд нь жинхэнэ
портуудад тун удахгүй ашиглагдах нь бараг л тодорхой байдаг юм.
Тиймээс хэрэв та зөвхөн жинхэнэ
портуудыг
шинэчилж тэдгээр нь шинэ боломжуудын заримыг ашигладаг бол
тэдгээрийн бүтээлт нь зарим нэг ид шидийн алдааны мэдэгдэлтэйгээр
амжилтгүй болох маш их магадлалтай юм. Энэ тохиолдолд
хамгийн эхэнд хийх зүйл бол
таны ports-base дэд цуглуулга
хамгийн сүүлийн үеийнх эсэхийг шалгах хэрэгтэй юм.
Хэрэв та ports/INDEX-ийн
өөрийн локал хуулбарыг бүтээх гэж байгаа бол
ports-all буюу бүх портыг
хүлээж авах ёстой (бүх портын мод).
ports/INDEX-г хэсэг модтой бүтээхийг
дэмждэггүй.
FAQ хаягийг үзнэ үү.
ports-accessibility
release=cvs
Хөгжлийн бэрхшээлтэй хэрэглэгчдэд туслахад зориулсан програм хангамж.
ports-arabic
release=cvs
Араб хэлний дэмжлэг.
ports-archivers
release=cvs
Архивлах хэрэгслүүд.
ports-astro
release=cvs
Одон оронтой холбоотой портууд.
ports-audio
release=cvs
Дууны дэмжлэг.
ports-base
release=cvs
Портын цуглуулгын бүтээх дэд бүтэц -
төрөл бүрийн файлууд /usr/ports
сангийн Mk/ болон
Tools/ дэд сангуудад байрладаг.
Дээрх чухал
анхааруулгыг үзнэ үү: та &os;-ийн
портын цуглуулгын ямар ч хэсгийг шинэчлэхдээ
энэ дэд цуглуулгыг үргэлж
шинэчилж байх хэрэгтэй!
ports-benchmarks
release=cvs
Бенчмаркууд.
ports-biology
release=cvs
Биологи.
ports-cad
release=cvs
Компьютерийн тусламжтай дизайн хийх хэрэгслүүд.
ports-chinese
release=cvs
Хятад хэлний дэмжлэг.
ports-comms
release=cvs
Холбооны програм хангамж.
ports-converters
release=cvs
тэмдэгтийн код хөрвүүлэгчид.
ports-databases
release=cvs
Мэдээллийн баазууд.
ports-deskutils
release=cvs
Компьютер зохион бүтээгдэхээс өмнө
ширээн дээр байдаг байсан зүйлс.
ports-devel
release=cvs
Хөгжүүлэлтийн багажууд.
ports-dns
release=cvs
DNS-тэй холбоотой програм хангамж.
ports-editors
release=cvs
Засварлагчид.
ports-emulators
release=cvs
Бусад үйлдлийн системүүдэд зориулсан эмуляторууд.
ports-finance
release=cvs
Банк, санхүү болон тэдгээртэй холбоотой програмууд.
ports-ftp
release=cvs
FTP клиент ба серверийн багажууд.
ports-games
release=cvs
Тоглоомууд.
ports-german
release=cvs
Герман хэлний дэмжлэг.
ports-graphics
release=cvs
Графикийн багажууд.
ports-hebrew
release=cvs
Хэбрю хэлний дэмжлэг.
ports-hungarian
release=cvs
Унгар хэлний дэмжлэг.
ports-irc
release=cvs
Internet Relay Chat буюу чалчих багажууд.
ports-japanese
release=cvs
Япон хэлний дэмжлэг.
ports-java
release=cvs
&java; багажууд.
ports-korean
release=cvs
Солонгос хэлний дэмжлэг.
ports-lang
release=cvs
Програмчлалын хэлнүүд.
ports-mail
release=cvs
Захидлын програмууд.
ports-math
release=cvs
Тоо тооцоолох програм хангамж.
ports-mbone
release=cvs
MBone програмууд.
ports-misc
release=cvs
Бусад багажууд.
ports-multimedia
release=cvs
Мультимедиа програм хангамж.
ports-net
release=cvs
Сүлжээний програм хангамж.
ports-net-im
release=cvs
Шуурхай мэдэгдэл (instant messaging) илгээх програм хангамж.
ports-net-mgmt
release=cvs
Сүлжээний удирдлагын програм хангамж.
ports-net-p2p
release=cvs
p2p сүлжээ.
ports-news
release=cvs
USENET мэдээний програм хангамж.
ports-palm
release=cvs
Palm төрлийн
төхөөрөмжүүдэд зориулсан програм хангамжийн дэмжлэг.
ports-polish
release=cvs
Польш хэлний дэмжлэг.
ports-ports-mgmt
release=cvs
Портууд болон багцуудыг удирдах багажууд.
ports-portuguese
release=cvs
Португал хэлний дэмжлэг.
ports-print
release=cvs
Хэвлэлтийн програм хангамж.
ports-russian
release=cvs
Орос хэлний дэмжлэг.
ports-science
release=cvs
Шинжлэх ухаан.
ports-security
release=cvs
Аюулгүй байдлын хэрэгслүүд.
ports-shells
release=cvs
Тушаалын мөрийн бүрхүүлүүд.
ports-sysutils
release=cvs
Системийн хэрэгслүүд.
ports-textproc
release=cvs
текст боловсруулах хэрэгслүүд (ширээний хэвлэл ордоггүй).
ports-ukrainian
release=cvs
Украйн хэлний дэмжлэг.
ports-vietnamese
release=cvs
Вьетнам хэлний дэмжлэг.
ports-www
release=cvs
World Wide
Web-тэй холбоотой програм хангамж.
ports-x11
release=cvs
X Цонхны системийг дэмжих портууд.
ports-x11-clocks
release=cvs
X11 цагнууд.
ports-x11-drivers
release=cvs
X11 драйверууд.
ports-x11-fm
release=cvs
X11 файл менежерүүд.
ports-x11-fonts
release=cvs
X11 үсгийн маягууд ба үсгийн маягийн хэрэгслүүд.
ports-x11-toolkits
release=cvs
X11 багажны цуглуулгууд.
ports-x11-servers
release=cvs
X11 серверүүд.
ports-x11-themes
release=cvs
X11 харуулах маягууд.
ports-x11-wm
release=cvs
X11 цонхны менежерүүд.
projects-all release=cvs
&os; төслийн архив дахь эхүүд.
src-all release=cvs
Криптограф кодыг оролцуулаад &os;-ийн гол эхүүд.
src-base
release=cvs
/usr/src сангийн дээр байрлах
бусад файлууд.
src-bin
release=cvs
Ганц хэрэглэгчийн горимд хэрэг болох хэрэглэгчийн багажууд
(/usr/src/bin).
src-cddl
release=cvs
CDDL лицензийн доор байдаг хэрэгслүүд болон сангууд
(/usr/src/cddl).
src-contrib
release=cvs
Харьцангуй өөрчлөлтгүйгээр хэрэглэгддэг
&os; төслөөс гаднах хэрэгслүүд ба сангууд
(/usr/src/contrib).
src-crypto release=cvs
Харьцангуй өөрчлөлтгүйгээр хэрэглэгддэг
&os; төслөөс гаднах криптограф хэрэгслүүд ба сангууд
(/usr/src/crypto).
src-eBones release=cvs
Kerberos ба DES
(/usr/src/eBones). &os;-ийн
одоогийн хувилбаруудад ашигладаггүй.
src-etc
release=cvs
Системийн тохиргооны файлууд
(/usr/src/etc).
src-games
release=cvs
Тоглоомууд
(/usr/src/games).
src-gnu
release=cvs
GNU Нийтийн Лицензтэй хэрэгслүүд
(/usr/src/gnu).
src-include
release=cvs
Толгой файлууд
(/usr/src/include).
src-kerberos5
release=cvs
Kerberos5 аюулгүй байдлын багц
(/usr/src/kerberos5).
src-kerberosIV
release=cvs
KerberosIV аюулгүй байдлын багц
(/usr/src/kerberosIV).
src-lib
release=cvs
Сангууд
(/usr/src/lib).
src-libexec
release=cvs
Бусад програмуудаар ажилладаг системийн програмууд
(/usr/src/libexec).
src-release
release=cvs
&os; хувилбар гаргахад шаардагдах файлууд
(/usr/src/release).
src-rescue
release=cvs
Яаралтай сэргээлт хийхэд зориулсан статикаар холболт хийгдсэн програмууд;
&man.rescue.8;-г үзнэ үү
(/usr/src/rescue).
src-sbin release=cvs
Ганц хэрэглэгчийн горимд зориулсан системийн хэрэгслүүд
(/usr/src/sbin).
src-secure
release=cvs
Криптограф сангууд ба тушаалууд
(/usr/src/secure).
src-share
release=cvs
Олон системүүдийн хооронд хуваалцаж болох файлууд
(/usr/src/share).
src-sys
release=cvs
Цөм
(/usr/src/sys).
src-sys-crypto
release=cvs
Цөмийн криптограф код
(/usr/src/sys/crypto).
src-tools
release=cvs
&os;-г арчлахад зориулсан төрөл бүрийн хэрэгслүүд
(/usr/src/tools).
src-usrbin
release=cvs
Хэрэглэгчийн хэрэгслүүд
(/usr/src/usr.bin).
src-usrsbin
release=cvs
Системийн хэрэгслүүд
(/usr/src/usr.sbin).
www release=cvs
&os; WWW сайтын эх.
distrib release=self
CVSup серверийн өөрийн
тохиргооны файлууд. CVSup
толин тусгал сайтуудад хэрэглэгддэг.
gnats release=current
GNATS алдаа мөрдөх мэдээллийн бааз.
mail-archive release=current
&os; захидлын жагсаалтын архив.
www release=current
Урьдчилан боловсруулсан &os; WWW сайтын файлууд
(эх файлууд биш). WWW толин тусгал сайтуудад хэрэглэгддэг.
Дэлгэрэнгүй мэдээллийг
CVSup FAQ болон бусад
CVSup-ийн тухай мэдээллийг
CVSup гэрийн хуудас хаягаас үзнэ үү.
Ихэнх &os;-тэй холбоотой CVSup-ийн
хэлэлцүүлэг &a.hackers;-д болдог. Програмын шинэ хувилбар тэнд, бас
&a.announce;-д зарлагддаг.
CVSup-ийн талаар асуултууд эсвэл
алдааны тайлангуудыг
CVSup FAQ холбоосоос үзнэ үү.
CVSup сайтууд
&os;-д зориулсан CVSup серверүүд дараах хаягууд дээр
ажиллаж байгаа:
&chap.mirrors.cvsup.inc;
CVS Tags буюу хаягууд
cvs эсвэл
CVSup ашиглан эхийг авах юм уу эсвэл шинэчилж
байгаа үед revision tag буюу залруулалтын хаягийг зааж өгөх ёстой байдаг.
Залруулалтын хаяг нь &os; хөгжүүлэлтийн тодорхой нэг байх юм уу эсвэл
хугацааны тодорхой нэг цэг байдаг. Эхнийх нь branch tags
буюу салбарын хаягууд
гэгддэг бөгөөд хоёр дахь нь
хувилбарын хаягууд
гэгддэг.
Салбарын хаягууд
HEAD-с (энэ нь үргэлж зөв хаяг байдаг) бусад бүх
хаягууд зөвхөн src/ модонд хамаардаг.
ports/, doc/, болон
www/ моднууд нь салбарладаггүй.
HEAD
Гол шугамын симболын нэр, эсвэл &os;-CURRENT.
Залруулалт заагаагүй тохиолдолд бас анхдагч байдаг.
CVSup-д энэ хаяг нь
. гэсэн тэмдэгтээр илэрхийлэгддэг
(цэг биш харин . тэмдэгт).
CVS-д энэ нь залруулалт заагаагүй тохиолдолд анхдагч байдаг.
Хэрэв та өөрөө хүсээгүй л бол STABLE машин дээр CURRENT
эхийг татан авч шинэчлэх нь ихэвчлэн тийм ч сайн санаа
биш юм.
RELENG_8
&os;-8.X-д зориулсан хөгжүүлэлтийн шугам, бас
&os; 8-STABLE гэгддэг
RELENG_8_1
&os;-8.1-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_8_0
&os;-8.0-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_7
&os;-7.X-д зориулсан хөгжүүлэлтийн шугам, бас
&os; 7-STABLE гэгддэг
RELENG_7_3
&os;-7.3-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_7_2
&os;-7.2-т зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_7_1
&os;-7.1-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_7_0
&os;-7.0-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_6
&os;-6.X-д зориулсан хөгжүүлэлтийн шугам, бас
&os; 6-STABLE гэгддэг
RELENG_6_4
&os;-6.4-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_6_3
&os;-6.3-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_6_2
&os;-6.2-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_6_1
&os;-6.1-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_6_0
&os;-6.0-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_5
&os;-5.X-д зориулсан хөгжүүлэлтийн шугам, бас
&os; 5-STABLE гэгддэг.
RELENG_5_5
&os;-5.5-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_5_4
&os;-5.4-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_5_3
&os;-5.3-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_5_2
&os;-5.2 болон &os;-5.2.1-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_5_1
&os;-5.1-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_5_0
&os;-5.0-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_4
&os;-4.X-д зориулсан хөгжүүлэлтийн шугам, бас
&os; 4-STABLE гэгддэг.
RELENG_4_11
&os;-4.11-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_4_10
&os;-4.10-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_4_9
&os;-4.9-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_4_8
&os;-4.8-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_4_7
&os;-4.7-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_4_6
&os;-4.6 болон &os;-4.6.2-д зориулсан хувилбарын салбар,
аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_4_5
&os;-4.5-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_4_4
&os;-4.4-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_4_3
&os;-4.3-д зориулсан хувилбарын салбар, аюулгүй байдлын зөвлөгөөнүүд болон бусад
чухал засваруудад зориулж зөвхөн ашиглагддаг.
RELENG_3
&os;-3.X-д зориулсан хөгжүүлэлтийн шугам, бас
3.X-STABLE гэгддэг.
RELENG_2_2
&os;-2.2.X-д зориулсан хөгжүүлэлтийн шугам, бас
2.2-STABLE гэгддэг. Энэ салбар нь гол төлөв хуучирсан.
Хувилбарын хаягууд
Эдгээр хаягууд нь &os;-ийн тодорхой нэг хувилбар гарсан үеийн цагийн
тодорхой цэгийг заадаг. Хувилбар инженерчлэлийн процессийн талаар
Хувилбар инженерчлэлийн
мэдээлэл болон
Хувилбарын процесс
баримтуудад илүү дэлгэрэнгүй баримтжуулагдсан байдаг.
src мод нь
RELENG_ гэж эхэлсэн хаягийн нэрсийг ашигладаг.
ports болон
doc моднууд нь
RELEASE гэж эхэлсэн хаягийн нэрсийг ашигладаг.
Төгсгөлд нь www мод нь
хувилбаруудад зориулсан ямар нэг тусгай нэрээр хаяглагддаггүй.
+
+ RELENG_8_1_0_RELEASE
+
+
+ &os; 8.1
+
+
+
RELENG_8_0_0_RELEASE
&os; 8.0
RELENG_7_3_0_RELEASE
&os; 7.3
RELENG_7_2_0_RELEASE
&os; 7.2
RELENG_7_1_0_RELEASE
&os; 7.1
RELENG_7_0_0_RELEASE
&os; 7.0
RELENG_6_4_0_RELEASE
&os; 6.4
RELENG_6_3_0_RELEASE
&os; 6.3
RELENG_6_2_0_RELEASE
&os; 6.2
RELENG_6_1_0_RELEASE
&os; 6.1
RELENG_6_0_0_RELEASE
&os; 6.0
RELENG_5_5_0_RELEASE
&os; 5.5
RELENG_5_4_0_RELEASE
&os; 5.4
RELENG_4_11_0_RELEASE
&os; 4.11
RELENG_5_3_0_RELEASE
&os; 5.3
RELENG_4_10_0_RELEASE
&os; 4.10
RELENG_5_2_1_RELEASE
&os; 5.2.1
RELENG_5_2_0_RELEASE
&os; 5.2
RELENG_4_9_0_RELEASE
&os; 4.9
RELENG_5_1_0_RELEASE
&os; 5.1
RELENG_4_8_0_RELEASE
&os; 4.8
RELENG_5_0_0_RELEASE
&os; 5.0
RELENG_4_7_0_RELEASE
&os; 4.7
RELENG_4_6_2_RELEASE
&os; 4.6.2
RELENG_4_6_1_RELEASE
&os; 4.6.1
RELENG_4_6_0_RELEASE
&os; 4.6
RELENG_4_5_0_RELEASE
&os; 4.5
RELENG_4_4_0_RELEASE
&os; 4.4
RELENG_4_3_0_RELEASE
&os; 4.3
RELENG_4_2_0_RELEASE
&os; 4.2
RELENG_4_1_1_RELEASE
&os; 4.1.1
RELENG_4_1_0_RELEASE
&os; 4.1
RELENG_4_0_0_RELEASE
&os; 4.0
RELENG_3_5_0_RELEASE
&os;-3.5
RELENG_3_4_0_RELEASE
&os;-3.4
RELENG_3_3_0_RELEASE
&os;-3.3
RELENG_3_2_0_RELEASE
&os;-3.2
RELENG_3_1_0_RELEASE
&os;-3.1
RELENG_3_0_0_RELEASE
&os;-3.0
RELENG_2_2_8_RELEASE
&os;-2.2.8
RELENG_2_2_7_RELEASE
&os;-2.2.7
RELENG_2_2_6_RELEASE
&os;-2.2.6
RELENG_2_2_5_RELEASE
&os;-2.2.5
RELENG_2_2_2_RELEASE
&os;-2.2.2
RELENG_2_2_1_RELEASE
&os;-2.2.1
RELENG_2_2_0_RELEASE
&os;-2.2.0
AFS сайтууд
&os;-д зориулсан AFS серверүүд нь дараах сайтууд дээр ажиллаж байна:
Швед
Файлуудад хүрэх зам нь:
/afs/stacken.kth.se/ftp/pub/FreeBSD/
stacken.kth.se # Stacken Computer Club, KTH, Sweden
130.237.234.43 #hot.stacken.kth.se
130.237.237.230 #fishburger.stacken.kth.se
130.237.234.3 #milko.stacken.kth.se
Арчлагч ftp@stacken.kth.se
rsync сайтууд
Дараах сайтууд нь &os;-г rsync протоколоор түгээгдэх боломжийг
бүрдүүлдэг. rsync хэрэгсэл нь
&man.rcp.1; тушаалтай бараг төстэйгөөр ажилладаг боловч
илүү олон тохируулгуудтай бөгөөд хоёр талын файлуудын зөвхөн ялгаатайг нь
дамжуулдаг. Ингэснээр сүлжээгээр хийх хамгийн сүүлийн хэлбэрт аваачих үйлдлийг
ихээхэн хурдасгадаг байна. Хэрэв та &os; FTP сервер юм уу эсвэл
CVS архивын толин тусгал сайт бол энэ нь их ашигтай байдаг.
rsync цуглуулга нь олон үйлдлийн системүүд
дээр байдаг. &os;-ийн хувьд net/rsync
порт эсвэл багцыг үзнэ үү.
Бүгд Найрамдах Чех Улс
rsync://ftp.cz.FreeBSD.org/
Байгаа цуглуулгууд:
ftp: &os; FTP серверийн хэсэгчилсэн толин тусгал.
&os;: &os; FTP серверийн бүрэн толин тусгал.
Нидерланд
rsync://ftp.nl.FreeBSD.org/
Байгаа цуглуулгууд:
&os;: &os; FTP серверийн бүрэн толин тусгал.
Орос
rsync://ftp.mtu.ru/
Байгаа цуглуулгууд:
&os;: &os; FTP серверийн бүрэн толин
тусгал.
&os;-gnats: GNATS цох хянах
мэдээллийн сан.
&os;-Archive: &os; архив FTP серверийн бүрэн
толин тусгал.
Тайвань
rsync://ftp.tw.FreeBSD.org/
rsync://ftp2.tw.FreeBSD.org/
rsync://ftp6.tw.FreeBSD.org/
Байгаа цуглуулгууд:
&os;: &os; FTP серверийн бүрэн толин тусгал.
Их Британи
rsync://rsync.mirrorservice.org/
Байгаа цуглуулгууд:
sites/ftp.freebsd.org: &os; FTP серверийн бүрэн толин тусгал.
Америкийн Нэгдсэн Улс
rsync://ftp-master.FreeBSD.org/
Энэ серверийг &os;-ийн анхдагч толин тусгал сайтууд зөвхөн хэрэглэж
болно.
Байгаа цуглуулгууд:
&os;: &os; FTP серверийн мастер архив.
acl: &os;-ийн мастер ACL жагсаалт.
rsync://ftp13.FreeBSD.org/
Байгаа цуглуулгууд:
&os;: &os; FTP серверийн бүрэн толин тусгал.
diff --git a/mn_MN.UTF-8/books/handbook/network-servers/chapter.sgml b/mn_MN.UTF-8/books/handbook/network-servers/chapter.sgml
index 4eec1157ed..73d5258129 100644
--- a/mn_MN.UTF-8/books/handbook/network-servers/chapter.sgml
+++ b/mn_MN.UTF-8/books/handbook/network-servers/chapter.sgml
@@ -1,5101 +1,5102 @@
Мюррей
Стөүкли
Дахин зохион байгуулсан
Лодойсамбын
Баянзул
Орчуулсан
Сүлжээний орчны Серверүүд
Ерөнхий агуулга
Энэ бүлэгт &unix; системүүдэд өргөн хэрэглэгддэг, сүлжээний орчинд ажилладаг
зарим нэг үйлчилгээнүүдийн талаар авч үзнэ. Бид тэдгээр үйлчилгээнүүдийг хэрхэн
суулгах, тохируулах, турших болон үйлчилгээг хариуцах талаар үзэх болно.
Танд зориулж жишээ тохиргооны файлуудыг мөн оруулж өгсөн байгаа.
Энэ бүлгийг уншсаны дараа, та дараах зүйлсийг мэдэх болно:
inetd дэмоныг хэрхэн удирдах.
Сүлжээний орчны файл системийг хэрхэн зохион байгуулах.
Хэрэглэгчийн бүртгэлийг хуваалцах сүлжээний орчны мэдээллийн серверийг хэрхэн зохион байгуулах.
DHCP ашиглан автоматаар сүлжээний тохиргоог хэрхэн хийх.
Домэйн нэрийн серверийг хэрхэн зохион байгуулах.
Apache HTTP Серверийг хэрхэн зохион байгуулах.
File Transfer Protocol буюу Файл Дамжуулах Протокол(FTP) Серверийг хэрхэн зохион байгуулах.
Samba ашиглан &windows; хэрэглэгчдэд зориулсан
файл болон хэвлэгч серверийг хэрхэн зохион байгуулах.
NTP протокол ашиглан цаг болон өдрийг тохируулах хийгээд цагийн серверийг хэрхэн зохион байгуулах.
How to configure the standard logging daemon,
syslogd, to accept logs from remote
hosts.
Энэ бүлгийг уншихаасаа өмнө, та дараах шаардлагыг хангасан байх хэрэгтэй:
/etc/rc скриптүүдийн үндсийг ойлгосон байх.
Сүлжээний үндсэн нэр томъёоллыг мэддэг байх.
Гуравдагч этгээдийн програмыг() хэрхэн нэмж суулгахыг мэддэг байх.
Шерн
Лий
Хувь нэмрээ оруулсан
&os; 6.1-RELEASE-д зориулж шинэчилсэн
&os; Баримтжуулах Төсөл
Лодойсамбын
Баянзул
Орчуулсан
<application>inetd</application> <quote>Супер-Сервер</quote>
Ерөнхий агуулга
&man.inetd.8; нь олон тооны үйлчилгээний сүлжээний холболтыг удирддаг тул
заримдаа түүнийг Интернэт Супер-Сервер
гэж нэрлэх нь бий.
Гаднаас үүсч буй холболтыг inetd хүлээн авч, аль програмтай холбогдохыг
тодорхойлон, тухайн процессийг салаалуулж, сокетийг түүн рүү чиглүүлнэ (програмын стандарт оролт,
гаралт болон алдааны дескриптороор үйлчилгээний сокетийг өгнө). Байнга ашиглагддаггүй үйлчилгээний хувьд
inetd-г ажиллуулах нь бүх дэмонг дангаар бие-даах горимд ажиллуулсантай
харьцуулахад системийн нийт ачааллыг бууруулж өгдөг.
Голчлон, inetd нь бусад дэмонуудыг салаалуулахад хэрэглэгддэг
боловч chargen, auth,
ба daytime гэх мэт нилээд олон ердийн протоколуудыг шууд зохицуулан ажиллуулж чадна.
Энэ хэсэгт inetd-н үндсэн тохиргоог тушаалын мөрний тохируулгаар,
мөн /etc/inetd.conf тохиргооны файлаар хэрхэн хийхийг үзэх болно.
Тохиргоо
inetd нь &man.rc.8; системээр эхлүүлэгдэнэ.
inetd_enable тохируулгын анхдагч утга нь NO бөгөөд,
системийг суулгах явцад хэрэглэгчийн зааж өгсний дагуу sysinstall
програмын тусламжтай идэвхжүүлж болно.
inetd_enable="YES"
эсвэл
inetd_enable="NO"
гэсэн мөрийг /etc/rc.conf
файл дотор байрлуулснаар inetd-г систем ачаалахад
эхэлдэг болгож болно. Доор дурдсан:
/etc/rc.d/inetd rcvar
тушаалыг өгөн одоо идэвхтэй байгаа
тохиргоог харж болно.
Дээр нь, inetd_flags тохируулгаар дамжуулан
inetd програмд тушаалын мөрнөөс өөр бусад тохируулгуудыг
зааж өгч болно.
Тушаалын мөрний тохируулгууд
Ихэнх сервер дэмоны нэгэн адил, inetd нь
түүнийг өөрчлөн тохируулахад зориулагдсан олон тооны тохируулгуудын хамт ирдэг.
Тохируулгуудыг бүрнээр жагсаан бичвэл:
inetd
/etc/rc.conf файл доторх
inetd_flags тохируулгыг ашиглан
эдгээр тохируулгуудыг inetd-д дамжуулна.
Анхдагч байдлаар, inetd_flags нь -wW -C 60 гэсэн
утгыг авсан байх ба энэ нь inetd-ны үйлчилгээнүүдийн хувьд
TCP wrapping буюу TCP-ийн дундын хяналтыг идэвхжүүлэх ба нэг IP хаягнаас аль нэг үйлчилгээнд
нэг минутанд 60-аас дээш удаа хүсэлт тавих боломжгүй болгоно.
Хэдийгээр бид гаднаас хэтэрхий олон
тооны хандалт хийгдэж байгаа үед тохируулгаар түүнийг хэрхэн хязгаарлахыг
доор үзүүлж байгаа ч, анхлан суралцагчдад зөвлөхөд
эдгээр параметрүүдийг ихэвчлэн өөрчлөх шаардлагагүй байдаг.
Тохируулгуудын бүрэн жагсаалтыг &man.inetd.8; заавар хуудаснаас үзнэ үү.
-c maximum
Үйлчилгээг нэгэн зэрэг хамгийн ихдээ хэдэн удаа дуудаж болохыг заана; Анхдагч утга нь хязгааргүй.
Үйлчилгээ тус бүрээр параметрийн тусламжтай
утгыг дарж өөрчилж болно.
-C rate
Үйлчилгээг нэг IP хаягнаас нэг минутын дотор хамгийн ихдээ хэдэн удаа
дуудаж болохыг заана; Анхдагч утга нь хязгааргүй.
Үйлчилгээ тус бүрээр параметрийн тусламжтай
утгыг дарж өөрчилж болно.
-R rate
Үйлчилгээг нэг минутын дотор хамгийн ихдээ хэдэн удаа дуудаж болохыг заана;
Анхдагч утга нь 256. 0-г тавьснаар хязгааргүй болгоно.
-s maximum
Үйлчилгээг нэг IP хаягнаас хамгийн ихдээ хэдэн удаа
дуудаж болохыг заана; Анхдагч утга нь хязгааргүй.
Үйлчилгээ тус бүрээр параметрийн тусламжтай
утгыг дарж өөрчилж болно.
<filename>inetd.conf</filename>
inetd-г /etc/inetd.conf
файлын тусламжтай тохируулна.
/etc/inetd.conf файлд өөрчлөлт хийсний дараа,
inetd-р тохиргооны файлыг дахин уншуулахдаа
дараах тушаалыг өгнө:
<application>inetd</application>-н тохиргооны файлыг дахин ачаалах нь
&prompt.root; /etc/rc.d/inetd reload
Тохиргооны файлын мөр бүр тусдаа дэмонг заана.
Файл доторх тайлбарууд нь мөрийн эхэнд #
тэмдэгтэй байна.
/etc/inetd.conf файл доторх бичлэгүүдийн формат дараах
байдалтай байна:
service-name
socket-type
protocol
{wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]]
user[:group][/login-class]
server-program
server-program-arguments
IPv4 ашигладаг &man.ftpd.8; дэмоны хувьд жишээ бичлэг дараах байдалтай байж болно:
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
service-name
Тухайн дэмоны үйлчилгээний нэрийг заана.
Энэ нь /etc/services файл дотор бичигдсэн үйлчилгээнүүдийн нэг
байх ёстой бөгөөд аль портон дээр сонсохыг inetd-д хэлж өгнө.
Хэрэв шинэ үйлчилгээ үүсгэсэн бол түүнийг заавал /etc/services файл
дотор нэмсэн байх ёстой.
socket-type
stream,
dgram, raw, эсвэл seqpacket эдгээрийн нэг байна.
stream-г холболтон дээр үндэслэсэн TCP дэмонуудын хувьд хэрэглэдэг бол,
dgram-г UDP протоколоор ажилладаг дэмонуудын хувьд хэрэглэнэ.
protocol
Доор дурдсанаас нэг нь байна:
Протокол
Тайлбар
tcp, tcp4
TCP IPv4
udp, udp4
UDP IPv4
tcp6
TCP IPv6
udp6
UDP IPv6
tcp46
TCP IPv4 ба v6 хоёул
udp46
UDP IPv4 ба v6 хоёул
{wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]]
нь inetd-р дуудагдсан
дэмон өөрийн сокетийг удирдаж чадах эсэхийг заана.
төрлийн сокет дэмоны хувьд тохируулгыг
хэрэглэх ёстой байдаг бол, ихэвчлэн олон урсгалтай байдаг
сокет дэмоны хувьд тохируулгыг хэрэглэх
хэрэгтэй байдаг. нь ихэвчлэн олон сокетийг нэг дэмонд
шилжүүлэн өгдөг бол, нь шинээр үүссэн сокет тус бүрт
харгалзуулан хүүхэд дэмонг салаалуулан үүсгэдэг.
inetd-ийн салаалуулан үүсгэж
болох хамгийн их хүүхэд дэмоны тоог
тохируулгын тусламжтай зааж өгч болно. Хэрэв
тухайн дэмоны ажиллаж болох тохиолдлыг 10-р хязгаарлах бол,
-н ард /10 гэж бичнэ.
/0 нь хүүхдийн тоог хязгаарлахгүй гэсэн утгатай.
-с гадна, нэг газраас тухайн дэмонтой
үүсгэж байгаа холболтын тоог хязгаарладаг өөр хоёр
тохируулгыг хэрэглэж болно.
нь тухайн ямар нэг IP хаягнаас
нэг минутанд үүсгэж болох холболтын тоог хязгаарлана,
жишээлбэл: 10 гэсэн утга нь тухайн ямар нэг IP хаягнаас
нэг минутын дотор тухайн үйлчилгээнд холбогдохоор оролдох
оролдлогын тоог 10-р хязгаарлана. нь
Тухайн ямар нэг IP хаяг дээр үүсгэгдсэн хүүхдийн тоог хязгаарлана.
Эдгээр тохируулгууд нь санаатай болон санамсаргүйгээр нөөцийг
хэтрүүлэн хэрэглэх, мөн Үйлчилгээг Зогсоох (DoS) халдлагаас хамгаалахад
хэрэгтэй байдаг.
Хэрэглэхдээ, ба
хоёрын аль нэгийг заавал хэрэглэх ёстой. Харин ,
ба
тохируулгуудыг сонгон хэрэглэж болно.
Stream төрлийн олон урсгалтай дэмоны хувьд, ,
эсвэл хязгаарлалтуудын
алийг ч хэрэглэхгүй тохиолдолд ердөө: nowait байна.
Дээрхтэй адил дэмон, 10 хүүхэд дэмоны хязгаарлалттай бол: nowait/10 байна.
Мөн адил дэмон, 10 хүүхэд дэмоны хязгаарлалттай,
минутанд нэг IP хаягнаас үүсгэх холболтын тоог 20-р хязгаарлах бол:
nowait/10/20 болно.
Эдгээр тохируулгуудыг &man.fingerd.8; дэмоны анхдагч тохиргоон дээр
жишээ болгон харвал:
finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -s
Эцэст нь, 100 хүүхдийн хязгаарлалттай, нэг IP хаягнаас үүсэх холболтын
тоог 5-р хязгаарласан дэмоны жишээг авбал: nowait/100/0/5 байх юм.
user
Энд тухайн дэмон ямар хэрэглэгчийн нэрээр ажиллахыг зааж өгнө.
Ихэвчлэн дэмонууд root хэрэглэгчийн нэр дээр ажилладаг.
Аюулгүй байдлын үүднээс, зарим серверүүд daemon, эсвэл
хамгийн бага эрхтэй nobody хэрэглэгчийн нэр дээр ажиллах нь
элбэг байдаг.
server-program
Энд гаднаас холболт хүлээн авахад ажиллуулах дэмоны
бүрэн замыг зааж өгнө. Хэрэв энэ дэмон inetd-р удирдагдсан
дотоод үйлчилгээ бол тохируулгыг хэрэглэх хэрэгтэй.
server-program-arguments
Үүнийг -тай хамт, argv[0]-с эхлэн
програмын аргументыг зааж өгөх байдлаар хэрэглэнэ. Хэрэв командын
мөрөнд mydaemon -d гэсэн байдлаар хэрэглэдэг бол, -н
утга mydaemon -d байна. Дахин хэлэхэд, хэрэв тухайн дэмон дотоод үйлчилгээний
нэг бол -г энд мөн хэрэглэнэ үү.
Аюулгүй байдал
Үйлдлийн системийг суулгах үед хийсэн сонголтуудаас хамааран
inetd-н үйлчилгээнүүдийн ихэнх нь
идэвхтэй болсон байдаг. Хэрэв хэрэглэх
онцын шаардлага байхгүй бол тэдгээрийг идэвхгүй болгоно уу.
/etc/inetd.conf файл дотор, идэвхгүй болгох гэж
байгаа демоныхоо харгалзах мөрийн урд #
тэмдгийг тавьж өгнө. Дараа нь inetd-н тохиргоог дахин
ачаална. fingerd зэрэг зарим дэмонууд гадны халдагчид
хэрэгтэй мэдээллийг түгээж байдаг тул тэдгээр үйлчилгээг бүрмөсөн хааж
болох юм.
Зарим дэмонууд аюулгүй байдлыг бодолцолгүйгээр бүтээгдсэн
байдаг ба холболт тогтоох харьцангуй урт болзоот хугацаатай, эсвэл болзоот
хугацааг огт зааж өгөөгүй байдаг. Энэ нь халдагчид тодорхой дэмон уруу холболт
тогтоох хүсэлтийг олон дахин илгээж, нөөцийг дуусгах замаар системд халдах
боломжийг олгодог. Хэрэв ямар нэг дэмоны хувьд үүссэн холболтын тоо
хэтэрхий олон байвал ,
эсвэл тохиргооны
тусламжтайгаар хязгаарлалт хийх нь оновчтой байдаг.
Анхдагч байдлаар TCP-ийн дундын хяналт (гүйцэтгэл хялбаршуулалт) идэвхтэй байдаг.
inetd-р дуудагдсан дэмонуудын хувьд TCP хязгаарлалтыг хэрхэн
тавих талаар дэлгэрэнгүй мэдээллийг &man.hosts.access.5;
заавар хуудаснаас үзнэ үү.
Элдэв зүйлс
daytime,
time,
echo,
discard,
chargen, ба auth бүгд
inetd-н дотоод үйлчилгээнүүд юм.
auth үйлчилгээ нь
сүлжээний орчинд, тодорхойлолт өгөх үйлчилгээ үзүүлдэг
бөгөөд тодорхой түвшинд тохиргоо хийх боломжтой байдаг бол
бусад үйлчилгээнүүдийг зөвхөн идэвхтэй эсвэл идэвхгүй болгох
боломжтой.
Дээрх үйлчилгээнүүдийн талаар бүрэн дүүрэн мэдээллийг &man.inetd.8; заавар хуудаснаас
үзнэ үү.
Том
Рөүдс
Дахин зохион байгуулж, сайжруулсан
Билл
Свингл
Бичсэн
Лодойсамбын
Баянзул
Орчуулсан
Сүлжээний Файлын Систем (NFS)
NFS
FreeBSD дээр дэмжигддэг олон файлын системүүдийн нэг бол
Network File System буюу Сүлжээний Файлын Систем юм, мөн NFS гэж нэрлэнэ. NFS нь сүлжээний орчинд файл болон санг
бусадтай хуваалцах боломжийг олгодог. NFS-г
хэрэглэн, хэрэглэгчид болон програмууд алслагдсан систем рүү
дотоод файл руу хандаж байгаатай адилаар хандах боломжтой.
NFS-н тэмдэглүүштэй давуу талуудаас дурдвал:
Өргөн хэрэглэгддэг өгөгдлийг нэгтгэн нэг машин дээр
байрлуулж, түүнд алсаас хандах боломжтой болсноор
дотоод машинууд илүү бага диск хэрэглэх болно.
Хэрэглэгчийн хувьд сүлжээнд байгаа машин бүр дээр тус
тусдаа гэрийн сантай байх шаардлагагүй болно.
Гэрийн санг нэг удаа NFS сервер дээр үүсгээд
түүнийгээ сүлжээгээр дамжин хэрэглэх боломжтой.
Уян диск, CDROM болон &iomegazip; төхөөрөмжүүдийг сүлжээний
бусад машинууд хэрэглэх боломжтой болно.
Ингэснээр сүлжээнд хэрэглэгдэх зөөвөрлөх боломжтой
хадгалах төхөөрөмжүүдийн тоог багасгана.
<acronym>NFS</acronym> хэрхэн ажилладаг вэ
NFS нь үндсэн хоёр хэсгээс бүрдэнэ:
сервер болон нэг ба түүнээс дээш тооны харилцагч. Сервер машин дээр
хадгалагдаж байгаа өгөгдөл рүү харилцагч алсаас хандана.
Дээрх үйлдлийг зөв гүйцэтгэхийн тулд нилээд хэдэн процессийн
тохиргоог хийж, ажиллуулсан байх ёстой.
Сервер дээр дараах дэмонууд ажиллаж байх ёстой:
NFS
сервер
файл сервер
UNIX харилцагчид
rpcbind
mountd
nfsd
Дэмон
Тайлбар
nfsd
NFS харилцагчдаас ирэх
хүсэлтийг хүлээн авах NFS дэмон.
mountd
&man.nfsd.8;-с дамжиж ирсэн хүсэлтийг гүйцэтгэгч
NFS холбох дэмон.
rpcbind
Энэ дэмоны тусламжтай NFS
харилцагчид NFS сервер аль портон дээр
ажиллаж байгааг олж мэднэ.
Харилцагч nfsiod гэсэн дэмонг мөн
ажиллуулж болно. nfsiod дэмон
NFS серверээс ирэх хүсэлтийг гүйцэтгэнэ.
Ингэх нь системийг хэвийн, алдаагүй ажиллуулахад зайлшгүй
шаардлагагүй боловч зарим үзүүлэлтүүдийг сайжруулдаг тул нэмэлт
байдлаар хэрэглэж болно. Дэлгэрэнгүй мэдээллийг
&man.nfsiod.8; хуудаснаас үзнэ үү.
<acronym>NFS</acronym>-н тохиргоог хийх
NFS
тохиргоо
NFS-н тохиргоог хийх нь харьцангуй
амархан. Ажиллах ёстой процессуудыг системтэй хамт автоматаар
асдаг болгохын тулд /etc/rc.conf файлыг бага зэрэг
өөрчлөхөд хангалттай.
NFS сервер дээрх /etc/rc.conf файл дотор
дараах тохируулгууд идэвхжсэн байгаа эсэхийг шалгана уу:
rpcbind_enable="YES"
nfs_server_enable="YES"
mountd_flags="-r"
mountd нь NFS серверийг
идэвхжүүлсэн тохиолдолд өөрөө автоматаар ажиллана.
Харилцагч талд, /etc/rc.conf файл дотор
дараах тохируулга идэвхтэй байгаа эсэхийг шалгана уу:
nfs_client_enable="YES"
/etc/exports файл дотор
NFS ямар файл системүүдийг экспорт
хийхийг (заримдаа хуваалцах
гэж мөн нэрлэнэ) зааж өгнө.
/etc/exports файлын мөр бүр нь нэг файл системд харгалзана.
Энэ файл системд хандах эрхтэй машинуудыг заахаас гадна,
ямар тохируулгаар хандахыг мөн зааж өгч болно. Энэ файл дотор бичигдэж
болох нилээд олон ийм тохируулгууд байгаа хэдий ч, бид тэдгээрээс
зөвхөн заримыг нь энд авч үзэх болно. Та бусад тохируулгуудын
талаар &man.exports.5; заавар хуудаснаас уншиж мэднэ үү.
Доор /etc/exports файлаас хэдэн жишээ мөрийг үзүүлэв:
NFS
экспортлох жишээ
Дараах жишээн дээрээс файл системийг
хэрхэн экспортлох санааг олж авах болно. Тохируулгууд нь
таны сүлжээний тохиргоо, нөхцөл байдлаас шалтгаалан
өөр байхыг анхаарна уу. Жишээ нь, /cdrom гэсэн санг
3 машин руу экспортлохын тулд дараах байдалтай бичнэ. Жишээн дээрх
3 машин сервертэй адил домэйн нэртэй, эсвэл таны /etc/hosts
файл дотор тодорхойлогдсон гэж үзсэн болно. туг нь
экспортлогдож буй файл системийг зөвхөн унших боломжтой
болохыг заана. Энэ тугийг тавьснаар алсаас хандаж буй машин
энэ файл систем дээр ямар нэг өөрчлөлт хийх боломжгүй болно.
/cdrom -ro host1 host2 host3
Дараах жишээн дээр /home санг
IP хаягаар нь зааж өгсөн 3 машин руу экспортолж байна.
Ингэж IP хаягаар нь зааж өгөх нь дотоод сүлжээндээ
DNS сервер ажиллуулаагүй үед их хэрэгтэй байдаг.
Эсвэл /etc/hosts файл дотор дотоод хостуудын
нэрийг тохируулж болно; &man.hosts.5; хэсгийг дахин үзнэ үү.
гэсэн туг нь дэд сангуудыг
холболтын цэг байхыг зөвшөөрч өгдөг. Өөрөөр хэлбэл,
дэд сангуудыг холболгүй орхиж, харилцагч зөвхөн өөрийн
хэрэгцээтэй байгаа сангаа холбохыг зөвшөөрнө гэсэн үг юм.
/home -alldirs 10.0.0.2 10.0.0.3 10.0.0.4
Дараах жишээн дээр /a санг
хоёр өөр домэйноос 2 харилцагч хандаж болохоор
экспортолж байна. гэсэн туг нь
алслагдсан систем дээрх root хэрэглэгч
экспортлогдсон файл систем дээр root эрхээр
бичихийг зөвшөөрнө. Хэрэв -maproot=root тугийг тусгайлан зааж өгөөгүй бол,
хэдий алслагдсан систем дээрх хэрэглэгч root эрхтэй ч
экспортлогдсон файл систем дээр бичих эрхгүй болно.
/a -maproot=root host.example.com box.example.org
Харилцагч экспортлогдсон файл систем рүү хандахын
тулд эрх нь байх ёстой. Тухайн харилцагч /etc/exports
файл дотор бүртгэлтэй эсэхийг шалгаарай.
/etc/exports файл дотор мөр болгон нь
нэг файл системийг нэг хост руу экспортлох мэдээллийг
төлөөлнө. Алслагдсан хост аль нэг файл системийн хувьд
зөвхөн ганц удаа л тодорхойлогдсон байх ёстой ба үүнд харгалзах
ганцхан анхдагч бичлэг байж болно. Жишээ нь, /usr нь
нэг файл систем гэж бодъё. /etc/exports файл доторх
дараах бичлэгүүд нь буруу юм:
# Invalid when /usr is one file system
/usr/src client
/usr/ports client
Учир нь /usr гэсэн файл системийг client
гэсэн хост руу экспортолсон хоёр бичлэг байна. Энэ тохиолдолд
дараах форматаар бичвэл зөв болно:
/usr/src /usr/ports client
Нэг хост руу экспортлогдож байгаа файл системийн хувьд
шинжүүдийг бүгдийг нэг мөрөнд жагсаан бичих ёстой.
Харилцагчийг зааж өгөөгүй мөрүүдийг энгийн хост гэж үзнэ.
Энэ нь файл системийг экспортлох боломжийг хязгаарлана,
гэвч энэ нь ихэнх хүмүүст хүнд асуудал биш байдаг.
Дараагийн жишээн дээр /usr ба /exports
гэсэн дотоод файл системийг экспортолсон байна:
# Export src and ports to client01 and client02, but only
# client01 has root privileges on it
/usr/src /usr/ports -maproot=root client01
/usr/src /usr/ports client02
# The client machines have root and can mount anywhere
# on /exports. Anyone in the world can mount /exports/obj read-only
/exports -alldirs -maproot=root client01 client02
/exports/obj -ro
/etc/exports файл дотор гарсан
өөрчлөлтүүдийг хүчинтэй болгохын тулд,
өөрчлөлт орсон тухай бүрд mountd дэмонг
албадан /etc/exports-г дахин уншуулах хэрэгтэй болдог.
Үүний тулд эсвэл HUP дохиог ажиллаж байгаа дэмонд өгөх хэрэгтэй:
&prompt.root; kill -HUP `cat /var/run/mountd.pid`
эсвэл mountd &man.rc.8; скриптийг зохих параметрийн
хамт ажиллуулах хэрэгтэй:
&prompt.root; /etc/rc.d/mountd onereload
rc скриптийг хэрэглэх зааврыг хэсгээс
үзнэ үү.
Бас нэг боломж нь, FreeBSD-г эхнээс нь ачаалж, бүх процессийг дахин
эхлүүлэх юм. Гэвч үүний тулд заавал системийг дахин ачаалах шаардлага байхгүй.
root эрхээр дараах тушаалуудыг өгснөөр зөвхөн хэрэгтэй процессуудаа
дахин эхлүүлэх боломжтой.
NFS сервер дээр:
&prompt.root; rpcbind
&prompt.root; nfsd -u -t -n 4
&prompt.root; mountd -r
NFS харилцагч дээр:
&prompt.root; nfsiod -n 4
Одоо алсын файл системийг холбоход бэлэн боллоо.
Доорх жишээнүүд дээр серверийн нэрийг server,
харилцагчийн нэрийг client гэж авсан болно.
Хэрэв та алсын файл системийг зөвхөн түр хугацаагаар холбох гэж байгаа
эсвэл тохиргоогоо шалгах гэж байгаа бол, харилцагч талд
root эрхээр дараах тушаалыг өгөхөд хангалттай:
NFS
холболт
&prompt.root; mount server:/home /mnt
Энэ тушаалыг өгснөөр та сервер талд байгаа /home
гэсэн санг харилцагч талд байгаа /mnt сантай
холбох болно. Хэрэв бүх зүйл зөв тохируулагдсан бол, та харилцагч талын
/mnt сан дотор орж сервер дээр байгаа файлуудыг
харж чадах ёстой.
Хэрэв систем шинээр ачаалах бүрд ямар нэг алсын
файл системийг холбох хүсэлтэй байгаа бол,
түүнийгээ /etc/fstab файл дотор нэмж бичих хэрэгтэй.
Жишээ нь:
server:/home /mnt nfs rw 0 0
Боломжит бүх сонголтуудын талаар &man.fstab.5; заавар хуудаснаас үзнэ үү.
Цоожлолт
Зарим програмууд (ж.н. mutt)
зөв ажиллахын тулд файл цоожлолтыг шаарддаг.
NFS-н хувьд, rpc.lockd-г
файл цоожлолтонд хэрэглэж болно. Түүнийг идэвхжүүлэхийн тулд,
сервер болон харилцагч талд хоёуланд нь /etc/rc.conf
файл дотор дараах мөрүүдийг нэмж өгөх хэрэгтэй
(NFS сервер болон харилцагч талуудыг аль хэдийн тохируулчихсан
гэж үзэв):
rpc_lockd_enable="YES"
rpc_statd_enable="YES"
Програмыг дараах байдалтай эхлүүлнэ:
&prompt.root; /etc/rc.d/lockd start
&prompt.root; /etc/rc.d/statd start
Хэрэв NFS харилцагч болон NFS
сервер талуудын хооронд жинхэнэ файл цоожлолт хийгдэх
шаардлагагүй бол, NFS харилцагч талд &man.mount.nfs.8;-д
тохируулгыг өгөн дотоод цоожлолт хийлгэж болно.
Дэлгэрэнгүй мэдээллийг &man.mount.nfs.8; заавар хуудаснаас үзнэ үү.
Практик хэрэглээ
NFS нь олон практик хэрэглээтэй. Хамгийн элбэг
тохиолддог хэрэглээг доор жагсаав:
NFS
хэрэглээ
Олон машиныг нэг CDROM эсвэл төхөөрөмжийг дундаа
хэрэглэдэг байхаар зохион байгуулах. Энэ нь нэг програмыг
олон машин дээр суулгах хамгийн хямд, хялбар арга юм.
Том сүлжээний хувьд, бүх хэрэглэгчдийн гэрийн санг хадгалдаг
төвлөрсөн NFS серверийг тохируулах. Эдгээр гэрийн сангуудыг
дараа нь сүлжээний орчинд экспортолсноор хэрэглэгчид аль машин дээр
ажиллаж буйгаас үл хамааран өөрийн нэг л сан дотор ажиллах боломжтой
болно.
Олон машин дундаа нэг /usr/ports/distfiles
сантай байх. Ийм замаар, нэг портыг олон машин дээр суулгах
хэрэгтэй үед машин бүр дээр эх файлыг татаж авалгүйгээр хурдан суулгах
боломжтой болно.
Вылий
Стилвэл
Хувь нэмрээ оруулсан
Шерн
Лий
Дахин эмхтгэсэн
Лодойсамбын
Баянзул
Орчуулсан
<application>amd</application>-р автоматаар холбох нь
amd
автоматаар холбогч дэмон
&man.amd.8; (автоматаар холбогч дэмон)
нь алсын файл системийн файл эсвэл санд хэрэглэгч
хандах тухай бүрт уг файл системийг автоматаар холбодог.
Хэсэг хугацааны туршид идэвхгүй байгаа файл системийг
amd мөн автоматаар салгана. amd-г
хэрэглэснээр /etc/fstab дотор бичигддэг байнгын
холболтоос гадна, холболт хийх боломжийг олгодог.
amd нь өөрийгөө, /host ба /net
сангууд дээр NFS сервер байдлаар холбож ажиллах бөгөөд эдгээр
сангууд доторх файлд хандах үед, amd
харгалзах алсын холболтыг хайж олоод автоматаар холбох болно.
/net нь экспортлогдсон файл системийг
IP хаягаар нь холбоход, харин /host нь
хост нэрээр нь холбоход хэрэглэгдэнэ.
/host/foobar/usr сан доторх
файлд хандана гэдэг нь amd-г
foobar гэсэн хост дээр экспортлогдсон /usr
санг холбохын зааж өгнө.
Экспортыг <application>amd</application>-р холбох
Алсын хост дээр байгаа боломжит холболтуудын
жагсаалтыг showmount тушаалын тусламжтай харж болно.
Жишээлбэл, foobar нэртэй хостын экспортыг харахын тулд:
&prompt.user; showmount -e foobar
Exports list on foobar:
/usr 10.10.10.0
/a 10.10.10.0
&prompt.user; cd /host/foobar/usr
Жишээн дээр үзүүлснээр showmount нь /usr-г
экспортлогдсон болохыг харуулж байна. /host/foobar/usr сан
дотор ороход, amd нь foobar гэсэн хост нэрийг
тайлахыг оролдох ба заасан санг холбоно.
amd-г эхлэл скриптүүдээр эхлүүлж болох ба
үүний тулд /etc/rc.conf файл дотор дараах мөрийг нэмэх хэрэгтэй:
amd_enable="YES"
Мөн, amd програмд amd_flags тохируулгын
тусламжтай тугуудыг өгч болно. amd_flags-н анхдагч утга нь:
amd_flags="-a /.amd_mnt -l syslog /host /etc/amd.map /net /etc/amd.map"
/etc/amd.map файл дотор экспортуудыг холбох анхдагч
тохируулгуудыг зааж өгсөн байна. /etc/amd.conf файл дотор
amd-н илүү дээд түвшний чанаруудыг тодорхойлж өгнө.
Дэлгэрэнгүй мэдээллийг &man.amd.8; ба &man.amd.conf.5; заавар хуудаснаас
үзнэ үү.
Жон
Линд
Хувь нэмрээ оруулсан
Лодойсамбын
Баянзул
Орчуулсан
Бусад системтэй нэгтгэхэд тохиолдох асуудлууд
ISA PC системд зориулсан зарим Ethernet адаптерууд
учир дутагдалтай байдгаас сүлжээний орчинд ажиллахад, тэр дундаа
NFS-тэй ажиллахад нилээд асуудалтай байдаг.
Энэ асуудал зөвхөн FreeBSD-д тохиолддоггүй боловч FreeBSD систем үүнд нилээд
өртөмтгий байдаг.
Энэ асуудал нь (FreeBSD) PC системийг өндөр үзүүлэлттэй машинуудтай (жишээлбэл,
Silicon Graphics, Inc., ба Sun Microsystems, Inc компаниудын хийсэн)
сүлжээнд холбох үед бараг үргэлж тохиолддог. NFS холболт хийхэд асуудалгүй,
зарим үйлдлүүдийг хийхэд амжилттай байх боловч, гаднаас ирж явж байгаа
хүсэлтүүдийг боловсруулж чадаж байгаа хэдий ч сервер гэнэт харилцагчид
хариу өгөхгүй болдог. Энэ асуудал мөн харилцагчийн хувьд, харилцагч
FreeBSD систем эсвэл ажлын машин байхаас үл шалтгаалан тохиолдоно.
Ихэнх системийн хувьд, нэгэнт ийм асуудалд орсон бол харилцагч талыг
ном ёсных нь дагуу унтраах боломжгүй болдог. Ганц авдаг арга хэмжээ бол системийг
хүчээр унтрааж асаах юм. Учир нь, NFS-н энэ асуудал одоо хир нь шийдэгдээгүй
байна.
Хэдийгээр зөв
шийдэл бол
FreeBSD системд тохирох илүү өндөр үзүүлэлттэй, илүү багтаамжтай
Ethernet адаптерийг олж авах боловч,
боломжит ажиллагааг хангахын тулд нэг арга байна.
Хэрэв FreeBSD систем нь сервер бол, харилцагч талаас
холболт хийхдээ тохируулгыг оруулж өгөх явдал юм.
Хэрэв FreeBSD систем нь харилцагч бол, NFS файл системтэй
холбогдохдоо тохируулгыг хэрэглэх юм.
Эдгээр тохируулгуудыг автомат холболтын хувьд
fstab бичлэгийн дөрөв дэх талбарыг ашиглан,
гар аргаар холболт хийх бол &man.mount.8; тушаалын
параметрыг ашиглан зааж өгч болно.
NFS сервер болон харилцагчид өөр өөр сүлжээнд
байхад гардаг өөр нэг асуудлыг энэ асуудалтай
хольж хутгах тохиолдол байдгийг энд дурдах нь зүйтэй болов уу.
Хэрэв тийм бол, чиглүүлэгчид шаардлагатай UDP
мэдээллийг дамжуулж чадаж байгаа эсэхийг
нягталж үзээрэй. Үгүй бол, өөр юу ч хийлээ гээд
та үр дүнд хүрч чадахгүй.
Дараах жишээн дээр, fastws нь өндөр үзүүлэлттэй
ажлын машины хост (интерфэйс) нэр, freebox нь
бага үзүүлэлттэй Ethernet адаптертай FreeBSD системийн
нэр юм. Мөн, /sharedfs нь экспортлогдох гэж байгаа NFS
файл систем (&man.exports.5;-г үз), ба /project нь
харилцагч талын экспортлогдсон файл системийг холбох цэг байх болно.
Аль ч тохиолдолд, эсвэл ба
зэрэг нэмэлт тохируулгууд таны хувьд хэрэгтэй байж болох юм.
FreeBSD системийг (freebox) freebox дээр
/etc/fstab дотор харилцагч байдлаар зааж өгөх жишээ:
fastws:/sharedfs /project nfs rw,-r=1024 0 0
freebox дээр гараар холбохдоо:
&prompt.root; mount -t nfs -o -r=1024 fastws:/sharedfs /project
FreeBSD системийг (freebox) fastws дээр
/etc/fstab дотор сервер байдлаар зааж өгөх жишээ:
freebox:/sharedfs /project nfs rw,-w=1024 0 0
fastws дээр гараар холбохдоо:
&prompt.root; mount -t nfs -o -w=1024 freebox:/sharedfs /project
Бараг бүх 16-битийн Ethernet адаптерийн хувьд
унших ба бичих хэмжээн дээр дээрх байдлаар хязгаарлалт
хийлгүйгээр ажиллах боломжтой байдаг.
Сонирхсон улсуудад толилуулахад, дээрх алдаа гарахад
чухам юу тохиолддог, яагаад засагдах боломжгүй болох талаар
дор тайлбарлав. NFS нь голчлон 8 K (хэдийгээр илүү бага хэмжээтэй
хэсэг дээр ажиллаж чадах боловч) хэмжээтэй блок
ууд дээр
ажилладаг. Хамгийн урт Ethernet пакет 1500 байт орчим байх ба,
NFS блок
нь хэд хэдэн Ethernet пакетуудад хуваагдах
хэрэгтэй болдог. Дээд түвшний програмын хувьд
энэ нь нэг нэгж хэвээр байх ба хүлээж аваад, нийлүүлээд, бататгал
хийхэд ч мөн нэг нэгж хэвээр байдаг. Өндөр үзүүлэлттэй ажлын машинууд
NFS нэгжийг бүрдүүлж байгаа тэдгээр пакетуудыг стандартад
заасны дагуу аль болох ойрхон ойрхон, нэг нэгээр нь цувуулж
гаргана. Жижиг, бага багтаамжтай картууд дээр, дээд түвшний програмд
дамжуулахаас өмнө сүүлийн пакет нь өмнөх пакетаа дарснаар
тухайн нэгжийг буцааж нийлүүлж, бататгах боломжгүй болно.
Үүнээс болж, ажлын машины болзоот хугацаа дуусаж бүхэл бүтэн 8 K
нэгжийг дахин дамжуулах болно. Энэ үйл ажиллагаа дахин дахин хязгааргүй
давтагдах болно.
Нэгжийн хэмжээг Ethernet пакетийн хэмжээнээс бага
байлгаснаар, бид Ethernet пакет тус бүрийг бататгаж
мухардалд орохоос сэргийлж чадна.
Өндөр үзүүлэлттэй ажлын машинууд PC систем рүү өгөгдлийг
цацсаар байх үед давхцал үүссээр байх боловч, илүү сайн карт
ашигласнаар NFS нэгж
ийн хувьд заавал тийм давхцал үүсэх
албагүй болно. Давхцал үүссэн тохиолдолд, түүнд өртсөн нэгжийг
дахин дамжуулах ба түүнийг хүлээн авч, нийлүүлж, бататгах боломж өндөртэй.
Билл
Свингл
Бичсэн
Эрик
Огрен
Сайжруулсан
Удо
Эрделхофф
Лодойсамбын
Баянзул
Орчуулсан
Сүлжээний Мэдээллийн Систем (NIS/YP)
Энэ юу вэ?
NIS
Solaris
HP-UX
AIX
Linux
NetBSD
OpenBSD
NIS,
нь Network Information Services буюу Сүлжээний Мэдээллийн Үйлчилгээнүүд
гэсэн үгийн товчлол бөгөөд &unix; (анхандаа &sunos;) системүүдийн
удирдлагыг төвлөрүүлэх зорилгоор Sun Microsystems анх хөгжүүлсэн.
Одоо энэ салбарын үндсэн стандарт болжээ; бүх гол &unix; төрлийн системүүд
(&solaris;, HP-UX, &aix;, Линукс, NetBSD, OpenBSD, FreeBSD, гэх мэт) NIS-г дэмждэг.
шар хуудасNIS
NIS анх Yellow Pages буюу Шар Хуудас
гэсэн нэртэй байсан боловч худалдааны тэмдгийн асуудлаас болж
Sun нэрийг нь сольсон. Хуучин нэр (ба yp) нь одоо хир нь хэрэглэгдсээр байдаг.
NIS
домэйнууд
Энэ нь RPC дээр үндэслэсэн, нэг NIS домэйнд байгаа
бүлэг машинууд дундаа адилхан тохиргооны файлтай боломжийг
олгодог харилцагч/сервер систем юм. Үүний тусламжтай
системийн администратор NIS харилцагч системийг
зайлшгүй байх үндсэн тохиргоотойгоор үүсгэх, тохиргооны өгөгдлийг
нэг дор нэмэх, хасах, өөрчлөх зэрэг үйлдлүүдийг хийх
боломжтой болдог.
Windows NT
Энэ нь &windowsnt;-н домэйн системтэй төстэй.
Хэдийгээр тэдгээрийн дотоод ажиллагаа нь ердөө ч адилхан биш боловч
үндсэн үүргийг нь адилтгаж болох юм.
Таны мэдэж байх ёстой Нэр томъёо/Процессууд
NIS сервер эсвэл NIS харилцагч байдлаар ажилладаг NIS-г FreeBSD дээр
зохион байгуулахын тулд нилээд хэдэн нэр томъёо, чухал хэрэглэгчийн
процессуудтай та тааралдах болно:
rpcbind
portmap
Нэр томъёо
Тайлбар
NIS домэйн нэр
NIS мастер сервер болон түүний бүх харилцагчид
(түүний зарц серверийг оруулаад) бүгд NIS домэйн нэртэй байна.
&windowsnt;-н домэйн нэртэй адилаар, NIS домэйн нэр DNS-тэй
ямар ч хамаагүй.
rpcbind
RPC-г (Remote Procedure Call буюу Алсын Процедур Дуудах, NIS-н
ашигладаг сүлжээний протокол) идэвхтэй байлгахын тулд заавал ажиллаж
байх ёстой. Хэрэв rpcbind ажиллахгүй бол,
NIS сервер ажиллуулах, NIS харилцагч болох боломжгүй.
ypbind
NIS харилцагчийг NIS сервертэй холбоно
.
NIS домэйн нэрийг системээс авч, RPC ашиглан сервертэй холбоно.
ypbind нь NIS орчны харилцагч-серверийн харилцааны цөм нь болж
өгдөг; Хэрэв харилцагчийн машин дээр ypbind үхвэл,
NIS сервер рүү хандах боломжгүй болно.
ypserv
Зөвхөн NIS сервер дээр ажиллаж байх ёстой;
энэ бол NIS сервер процесс өөрөө юм. Хэрэв &man.ypserv.8; үхвэл,
сервер NIS хүсэлтэд хариу өгөх боломжгүй болно (магадгүй,
түүний үүргийг үргэлжлүүлэх зарц сервер байгаа байх). Зарим
NIS-н хувьд (FreeBSD-гийх биш), анх холбогдож байсан сервер байхгүй болбол
өөр сервертэй холбоо тогтоохыг оролддоггүй хувилбарууд байдаг.
Ихэнхдээ, ийм үед ганц тус болох зүйл бол сервер процессийг
дахин эхлүүлэх (эсвэл серверийг бүхлээр нь), эсвэл харилцагч талын
ypbind процессийг дахин эхлүүлэх юм.
rpc.yppasswdd
Зөвхөн NIS эзэн сервер дээр ажиллаж байх ёстой өөр
нэг процесс; Энэ дэмон NIS харилцагч нарыг өөрсдийн нэвтрэх үгийг
солих боломжийг олгоно. Хэрэв энэ дэмон ажиллахгүй бол,
хэрэглэгчид NIS эзэн сервер рүү нэвтэрч орон тэнд нэвтрэх үгээ солих
хэрэгтэй болно.
Хэрхэн ажилладаг вэ?
NIS орчинд гурван төрлийн хост байна:
эзэн сервер, зарц сервер, ба харилцагч. Серверүүд нь
хостуудын тохиргооны мэдээллийг хадгалсан агуулахын үүргийг
гүйцэтгэнэ. Эзэн сервер энэ мэдээллийн бүрэн эрхтэй хуулбарыг
хадгалж байдаг бол, зарц сервер нь энэ мэдээллийн хуулбарыг
нөөцөнд хадгалж байдаг. Серверүүд харилцагчдыг эдгээр мэдээллээр
хангана.
Олон файлд байгаа мэдээллийг энэ маягаар хуваалцаж хэрэглэнэ.
master.passwd, group, ба hosts гэсэн файлуудыг
ихэвчлэн NIS тусламжтай хуваалцана. Эдгээр файлд байдаг мэдээлэл
харилцагч талын нэг процессод хэрэгтэй боллоо гэхэд түүнийг өөрийн дотоодоос
хайхын оронд түүнд оноогдсон NIS серверээс асуулга хийнэ.
Машины төрөл
NIS
эзэн сервер
NIS эзэн сервер. Энэ сервер, &windowsnt;-н анхдагч
домэйн сервер хянагчийн нэг адил, NIS харилцагчдын хэрэгцээний бүх файлуудыг
агуулсан байна. passwd, group ба NIS харилцагчийн хэрэглэх
бусад олон файлууд эзэн сервер дээр байна.
Нэг машин нэгээс олон NIS домэйны хувьд NIS эзэн
сервер байж болно. Гэхдээ, энд бид бага хэмжээний NIS орчны талаар
ярилцах тул энэ талаар энд үзэхгүй.
NIS
зарц сервер
NIS зарц сервер. &windowsnt;-н нөөц домэйн хянагчтай адилаар,
NIS зарц сервер нь NIS эзэн серверийн өгөгдлийн файлын хуулбарыг хадгална.
NIS зарц серверүүд нь нөөцөнд байдаг. Тэдгээр нь мөн эзэн серверийн
ачааллыг хуваалцаж байдаг: NIS Харилцагчид нь хамгийн түрүүнд хариу өгсөн
серверт холбогдох ба үүний тоонд зарц серверүүд ч бас орно.
NIS
харилцагч
NIS харилцагч. NIS харилцагч нь ихэнх
&windowsnt; ажлын машины адилаар, NIS серверт шалгуулж (эсвэл &windowsnt; ажлын
машины хувьд &windowsnt; домэйн хянагчид) нэвтэрнэ.
NIS/YP-г хэрэглэх нь
Энэ хэсэгт жишээ NIS орчныг үүсгэх болно.
Төлөвлөх
Та өөрийгөө нэгэн их сургуулийн жижигхэн лабораторын
администратор гэж бод. Энэ лаб 15 FreeBSD машинаас бүрдэх ба
одоогоор төвлөрсөн удирдлага байхгүй; машин бүр өөрийн
/etc/passwd ба /etc/master.passwd файлуудтай. Эдгээр файлуудыг
адилхан байлгахын тулд гараараа зөөж тавьдаг; одоогийн байдлаар лабораторид шинэ
хэрэглэгч нэмэхийн тулд, бүх 15 машин дээр нэг бүрчлэн adduser
тушаалыг оруулах хэрэгтэй байгаа. Мэдээж үүнийг өөрчлөх хэрэгтэй,
иймээс та лабораторидоо NIS хэрэглэхээр боллоо. Машинуудаасаа хоёрыг
нь сервер болгохоор сонгож авлаа.
Тиймээс, лабораторын тохиргоо дараах байдалтай байна:
Машины нэр
IP хаяг
Машины үүрэг
ellington
10.0.0.2
NIS эзэн
coltrane
10.0.0.3
NIS зарц
basie
10.0.0.4
Факультетийн ажлын машин
bird
10.0.0.5
Харилцагч машин
cli[1-11]
10.0.0.[6-17]
Бусад харилцагч машинууд
Хэрэв та NIS зураглалыг анх удаа хийж байгаа бол,
хаанаас эхлэхээ эхлээд сайн бодох хэрэгтэй. Сүлжээ чинь ямар ч
хэмжээтэй байж болно, гол нь хэд хэдэн сонголт хийх хэрэгтэй.
NIS Домэйн Нэрийг сонгох нь
NIS
домэйннэр
Өөрийн тань байнга хэрэглэдэг домэйн нэр
байж болохгүй.
Залруулж хэлбэл NIS домэйн нэр
байх ёстой. Харилцагч мэдээлэл
олж авахын тулд хүсэлтээ цацах үед NIS домэйн нэрийг хэрэглэнэ.
Үүгээр нэг сүлжээнд байгаа олон серверүүд хэн нь хэний асуултанд хариулах
ёстойгоо мэдэж авна. NIS домэйн нэрийг хоорондоо ямар нэг байдлаар
хамаатай бүлэг хостын нэр гэж ойлгож болно.
Зарим байгууллагууд өөрийн Интернэтийн домэйн нэрийг
NIS домэйн нэрээр хэрэглэх нь байдаг. Энэ нь сүлжээний ямар нэг асуудлыг
задлан шинжлэх явцад түвэг удах тул энэ аргыг зөвлөдөггүй. NIS домэйн нэр нь
сүлжээний орчинд цор ганц байх ёстой бөгөөд төлөөлж байгаа бүлэг машинаа онцолсон
нэр байвал дөхөм байдаг. Жишээлбэл, Acme Inc. компаний Урлагийн хэлтэс acme-art
гэсэн NIS домэйнтой байж болох юм. Бид өөрсдийн жишээндээ test-domain гэсэн
домэйн нэрийг авлаа.
SunOS
Гэвч, зарим үйлдлийн системүүд (цохон дурдвал &sunos;)
өөрийн NIS домэйн нэрийг Интернэт домэйн нэрээр хэрэглэдэг.
Хэрэв таны сүлжээний нэг болон түүнээс дээш тооны машин
ийм асуудалтай бол, та Интернэт домэйн нэрээ NIS домэйндоо хэрэглэх
ёстой.
Серверт тавигдах шаардлагууд
NIS серверт зориулсан машин сонгон авахдаа
анхаарах хэд хэдэн зүйлс бий. NIS-тэй холбоотой нэг учир дутагдалтай
зүйл бол харилцагчдын серверээс хамаарах хамаарал юм. Хэрэв
харилцагч өөрийн NIS домэйныг асуухаар сервертэй холбогдож чадахгүй бол,
тэр машин ашиглагдах боломжгүй болдог. Хэрэглэгч болон бүлгийн мэдээлэл
дутуугаас ихэнх системүүд түр хугацаанд зогсдог. Тиймээс, дахин дахин
асааж унтраалгаад байхааргүй, эсвэл туршилтад хэрэглэгдэхээр
машиныг сонгох хэрэгтэй. NIS сервер нь тусдаа, зөвхөн NIS серверт зориулагдсан
машин байх ёстой. Хэрэв ачаалал багатай сүлжээнд ажиллаж байгаа бол,
NIS серверийг өөр үйлчилгээ ажиллаж байгаа машин дээр тавьж болох талтай.
Хамгийн гол нь NIS сервер чинь ажиллахгүй болбол, бүх NIS харилцагчид чинь
мөн ажиллахгүй болохыг санаарай.
NIS Серверүүд
Бүх NIS мэдээлэл он цагийн дарааллаараа
NIS эзэн сервер дээр хадгалагдаж байдаг.
Энэ мэдээллийг хадгалж байгаа өгөгдлийн санг NIS буулгалт гэж нэрлэнэ.
FreeBSD-д, эдгээр буулгалтууд /var/yp/[domainname] файл дотор байрлана.
[domainname] нь NIS домэйн нэр болно. Нэг NIS сервер хэд хэдэн
домэйныг зэрэг агуулж чадах тул домэйн тус бүрт зориулсан хэд хэдэн
ийм сан байж болно. Домэйн бүр өөрийн гэсэн буулгалтуудтай байна.
NIS эзэн болон зарц серверүүд бүх NIS хүсэлтийг ypserv дэмоны
тусламжтай удирдаж явуулна. ypserv нь NIS харилцагч нараас
ирж буй хүсэлтийг хүлээн авч, домэйныг хөрвүүлэн, уг домэйн нэрд харгалзах
өгөгдлийн файлын замыг хайж олоод, өгөгдлийг буцаан харилцагчид дамжуулах үүрэгтэй.
NIS Эзэн Серверийг зохион байгуулах нь
NIS
серверийн тохиргоо
Эзэн NIS серверийг зохион байгуулах нь харьцангуй
ойлгомжтой. FreeBSD нь бэлэн NIS суучихсан ирдэг. Зөвхөн /etc/rc.conf
файл дотор дараах мөрүүдийг нэмэхэд л хангалттай, үлдсэнийг нь
FreeBSD таны өмнөөс хийгээд өгөх болно.
nisdomainname="test-domain"
Энэ мөр сүлжээ асахад (жишээ нь, систем дахин ачаалсны дараа)
NIS домэйн нэрийг test-domain болгоно.
nis_server_enable="YES"
Энэ мөр нь сүлжээ асахад NIS сервер процессуудыг
асаахыг хэлж өгнө.
nis_yppasswdd_enable="YES"
Энэ мөр нь rpc.yppasswdd дэмонг идэвхжүүлнэ. Дээр хэлсэнчлэн,
энэ дэмон нь харилцагч машин дээрээс хэрэглэгч өөрийн NIS нэвтрэх
үгийг солих боломжтой болгодог.
Таны NIS тохиргооноос хамааран, нэмэлт мөрүүдийг оруулах
хэрэгтэй болж магадгүй. NIS сервер мөртлөө давхар NIS
харилцагч серверийн тухай хэсгээс, доор, дэлгэрэнгүй
мэдээллийг авна уу.
Дээрхийг тохируулсны дараа супер хэрэглэгчийн эрхээр
/etc/netstart тушаалыг ажиллуулна. Энэ нь
таны /etc/rc.conf файл дотор
тодорхойлж өгсөн утгуудыг ашиглан бүх зүйлсийг таны өмнөөс
хийх болно. Хамгийн сүүлд нь NIS буулгалтуудыг эхлүүлэхээс өмнө
ypserv демоныг гараар ажиллуулах
хэрэгтэй.
&prompt.root; /etc/rc.d/ypserv start
NIS Буулгалтуудыг эхлүүлэх нь
NIS
буулгалтууд
NIS буулгалтууд нь өгөгдлийн сангийн
файлууд бөгөөд /var/yp сан дотор хадгалагдана.
Тэдгээрийг NIS эзэн серверийн /etc сан дотор байгаа
/etc/master.passwd файлаас бусад тохиргооны файлуудаас үүсгэдэг.
Энэ нь их учиртай. Мэдээж та өөрийн root болон удирдах
эрхтэй дансуудынхаа нэвтрэх үгийг NIS домэйн дахь бүх сервер дээр
тарааж тавих хүсэлгүй байгаа биз дээ. Тиймээс,
NIS буулгалтуудыг эхлүүлэхийн өмнө, дараах зүйлсийг хийх хэрэгтэй:
&prompt.root; cp /etc/master.passwd /var/yp/master.passwd
&prompt.root; cd /var/yp
&prompt.root; vi master.passwd
Системийн дансуудад хамаарах мөрүүдийг (bin,
tty, kmem,
games, гэх мэт), мөн NIS харилцагч дээр тарааж
тавих хүсэлгүй байгаа дансуудад хамаарах мөрүүдийг (жишээлбэл
root ба бусад UID 0 (супер хэрэглэгчийн) дансууд) бүгдийг
устгах хэрэгтэй.
/var/yp/master.passwd файл бүлгийн болон нийтийн хувьд
унших эрхгүй (600 төлөв) байгааг нягтална уу! Шаардлагатай бол
chmod тушаалыг хэрэглээрэй.
Tru64 UNIX
Дээр дурдсаныг гүйцэтгэж дууссаны дараа,
сая NIS буулгалтуудыг эхлүүлнэ! FreeBSD нь танд үүнийг хийж өгөх
ypinit нэртэй скриптийг (холбогдох заавар хуудаснаас
дэлгэрэнгүй мэдээллийг авна уу) агуулж байдаг.
Энэ скрипт ихэнх &unix; үйлдлийн системд байдаг боловч,
заримд нь байхгүй байх тохиолдол бий.
Digital UNIX/Compaq Tru64 UNIX дээр энэ скрипт ypsetup гэсэн
нэртэй байдаг. Бид NIS эзэн серверийн хувьд буулгалтуудыг
үүсгэж байгаа тул ypinit тушаалыг
тохируулгын хамт өгнө. Дээрх алхмуудыг бүгдийг хийсний дараа,
NIS буулгалтуудыг үүсгэхдээ дараах тушаалыг өгнө:
ellington&prompt.root; ypinit -m test-domain
Server Type: MASTER Domain: test-domain
Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.
Do you want this procedure to quit on non-fatal errors? [y/n: n] n
Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
At this point, we have to construct a list of this domains YP servers.
rod.darktech.org is already known as master server.
Please continue to add any slave servers, one per line. When you are
done with the list, type a <control D>.
master server : ellington
next host to add: coltrane
next host to add: ^D
The current list of NIS servers looks like this:
ellington
coltrane
Is this correct? [y/n: y] y
[..output from map generation..]
NIS Map update completed.
ellington has been setup as an YP master server without any errors.
ypinit нь /var/yp/Makefile.dist-с
/var/yp/Makefile-г үүсгэсэн байх ёстой.
Үүсэхдээ, энэ файл таныг ганц NIS сервертэй орчинд
зөвхөн FreeBSD машинуудтай ажиллаж байна гэж үзнэ.
test-domain нь зарц сервертэй тул,
та /var/yp/Makefile файлыг засах хэрэгтэй:
ellington&prompt.root; vi /var/yp/Makefile
Доорх мөрийг далдлах хэрэгтэй
NOPUSH = "True"
(хэрэв далдлагдаагүй бол).
NIS Зарц Серверийг зохион байгуулах нь
NIS
зарц сервер
NIS зарц серверийг зохион байгуулах нь
эзэн серверийг зохион байгуулахаас ч хялбар байдаг.
Зарц сервер рүү нэвтэрч ороод түрүүн хийсэн шигээ
/etc/rc.conf файлыг засах хэрэгтэй.
Ганц ялгаа нь ypinit тушаалыг өгөхдөө
тохируулгыг өгнө. тохируулга нь
NIS эзэн серверийн нэрийг хамт оруулахыг шаардах тул бидний
тушаалын мөр дараах байдалтай байна:
coltrane&prompt.root; ypinit -s ellington test-domain
Server Type: SLAVE Domain: test-domain Master: ellington
Creating an YP server will require that you answer a few questions.
Questions will all be asked at the beginning of the procedure.
Do you want this procedure to quit on non-fatal errors? [y/n: n] n
Ok, please remember to go back and redo manually whatever fails.
If you don't, something might not work.
There will be no further questions. The remainder of the procedure
should take a few minutes, to copy the databases from ellington.
Transferring netgroup...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byuser...
ypxfr: Exiting: Map successfully transferred
Transferring netgroup.byhost...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byuid...
ypxfr: Exiting: Map successfully transferred
Transferring passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring group.bygid...
ypxfr: Exiting: Map successfully transferred
Transferring group.byname...
ypxfr: Exiting: Map successfully transferred
Transferring services.byname...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring rpc.byname...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.byname...
ypxfr: Exiting: Map successfully transferred
Transferring master.passwd.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byname...
ypxfr: Exiting: Map successfully transferred
Transferring networks.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring netid.byname...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byaddr...
ypxfr: Exiting: Map successfully transferred
Transferring protocols.bynumber...
ypxfr: Exiting: Map successfully transferred
Transferring ypservers...
ypxfr: Exiting: Map successfully transferred
Transferring hosts.byname...
ypxfr: Exiting: Map successfully transferred
coltrane has been setup as an YP slave server without any errors.
Don't forget to update map ypservers on ellington.
Одоо /var/yp/test-domain нэртэй сан
үүссэн байх ёстой. NIS эзэн серверийн буулгалтуудын хуулбарууд
энэ сан дотор байх ёстой. Эдгээр файлууд шинэчлэгдэж
байгаа эсэхийг нягтлаж байх хэрэгтэй.
Таны зарц серверийн /etc/crontab доторх дараах мөрүүд
үүнийг хийх болно:
20 * * * * root /usr/libexec/ypxfr passwd.byname
21 * * * * root /usr/libexec/ypxfr passwd.byuid
Энэ хоёр мөр нь зарц сервер өөрийн буулгалтуудыг
-эзэн сервертэй ижилхэн байлгахыг хүчилнэ. Хэдийгээр
-эдгээр мөрүүдийг заавал хэрэглэх шаардлагагүй боловч,
-эзэн сервер өөрийх нь NIS буулгалтад гарсан өөрчлөлтүүд
-зарц серверүүдийн хувьд дамжигдсан эсэхийг шалгадаг,
-нэвтрэх үгийн тухай мэдээлэл нь системийн хувьд амин чухал зэргээс
-дээрх шинэчлэлтийг хүчлэх нь зүгээр.
+эзэн сервертэй ижилхэн байлгахыг шаарддаг.
+Эзэн сервер буулгалтын өөрчлөлтийг өөрийн зарц нарт автоматаар оруулж өгөхийг
+оролддог болохоор эдгээр мөрүүдийг заавал хэрэглэх шаардлагагүй юм.
+Гэхдээ зарц серверээс хамааралтай бусад клиентүүд дээрх зөв нууц үгийн мэдээллийн
+чухлаас хамаараад нууц үгийн буулгалтын шинэчлэлтийг давтамжтайгаар хийхийг зөвлөдөг.
+Буулгалтын шинэчлэлт үргэлж гүйцэд биш байж болох ачаалал их сүлжээний хувьд энэ нь
+илүүтэй чухал юм.
Одоо, зарц сервер талд мөн /etc/netstart тушаалыг өгч
NIS серверийг ажиллуулна.
NIS Харилцагчид
NIS харилцагч нь ypbind дэмоны тусламжтай
тодорхой нэг NIS сервертэй холбоо тогтооно. ypbind
системийн анхдагч домэйныг шалгах ба (domainname тушаалаар
өгөгдсөн), дотоод сүлжээнд RPC хүсэлтийг цацаж эхлэнэ.
Эдгээр хүсэлтүүд нь ypbind-н холбоо тогтоох гэж байгаа
домэйн нэрийг зааж өгнө. Хэрэв тухайн домэйнд
үйлчлэхээр тохируулагдсан сервер дээрх хүсэлтийг
хүлээн авбал, ypbind-д хариу өгөх ба хариуг хүлээж авсан
тал серверийн хаягийг тэмдэглэж авна. Хэрэв хэд хэдэн сервер
хариу өгсөн бол (нэг эзэн ба хэд хэдэн зарц), ypbind
хамгийн түрүүнд хариу өгсөн серверийг сонгон авна. Түүнээс хойш,
харилцагч өөрийн бүх NIS хүсэлтүүдээ тэр сервер рүү явуулна.
ypbind нь хааяа сервер амьд байгаа эсэхийг нягтлахын тулд
ping
хийж үзнэ. Хэрэв хангалттай хугацааны дотор хариу хүлээж
аваагүй бол, ypbind энэ домэйнтой холбоо тасарлаа гэж үзээд
өөр сервер олохын тулд хүсэлтээ цацаж эхэлнэ.
NIS Харилцагчийг зохион байгуулах
NIS
харилцагчийг тохируулах нь
FreeBSD машин дээр NIS харилцагчийг зохион байгуулах нь
нилээд хялбар байдаг.
/etc/rc.conf файлыг нээгээд, NIS
домэйн нэрийг зааж өгөх ба сүлжээ асах үед ypbind-г
ажиллуулдаг болгохын тулд дараах мөрүүдийг нэмж бичнэ:
nisdomainname="test-domain"
nis_client_enable="YES"
NIS серверээс хэрэгтэй нэвтрэх үгүүдийг импортолж
авахын тулд /etc/master.passwd файл дотор байгаа
бүх хэрэглэгчийн дансыг устгаад, файлын төгсгөлд
дараах мөрийг нэмэхийн тулд vipw тушаалыг
ашиглана:
+:::::::::
Энэ мөр нь NIS серверийн нэвтрэх үгийн буулгалтад
байгаа хүчинтэй хэрэглэгчид данс олгоно. Энэ мөрийг өөрчлөх замаар
NIS харилцагчийг хэд хэдэн янзаар тохируулж болно. Дэлгэрэнгүй
мэдээллийг доорх netgroups
section хэсгээс үзнэ үү. Цааш гүнзгийрүүлэн судлах хүсэлтэй бол
NFS ба NIS-г удирдах нь тухай O'Reilly-н номыг үзнэ үү.
Дор хаяж нэг дотоод эрхийг (өөрөөр хэлбэл NIS-с импортолж аваагүй)
/etc/master.passwd файл дотор авч үлдэх хэрэгтэй.
Энэ данс wheel бүлгийн гишүүн байх ёстой. Хэрэв NIS дээр ямар нэг
асуудал гарлаа гэхэд энэ эрхээр алсаас нэвтрэн орж, root болоод
асуудлыг шийдвэрлэх болно.
NIS серверээс бүх бүлгүүдийг импортолж авахын тулд
дараах мөрийг /etc/group файлд нэмнэ:
+:*::
NIS клиентийг нэн даруй эхлүүлэхийн тулд дараах тушаалыг
супер хэрэглэгчийн эрхээр ажиллуулах хэрэгтэй:
&prompt.root; /etc/netstart
&prompt.root; /etc/rc.d/ypbind start
Үүний дараа, ypcat passwd тушаалыг өгч
NIS серверийн passwd буулгалтыг харж чадаж байх ёстой.
NIS-н Аюулгүй байдал
Ер нь ямар ч алсын хэрэглэгчийн хувьд өөрийн чинь
домэйн нэрийг мэдэж байвал RPC хүсэлтийг &man.ypserv.8;-д явуулж
NIS буулгалтыг харах боломжтой. Ийм төрлийн зөвшөөрөгдөөгүй
үйлдлээс сэргийлэхийн тулд &man.ypserv.8; нь зөвхөн зааж өгсөн хостуудаас
ирсэн хандалтыг зөвшөөрдөг securenets
гэсэн функцыг агуулж
байдаг. Систем анх ачаалахад, &man.ypserv.8; нь securenets-н мэдээллийг
/var/yp/securenets гэсэн файлаас ачаална.
Энэ замыг тохируулгаар зааж өгөх ба янз бүр байж болно.
Энэ файлд сүлжээг сүлжээний багийн хамт зайгаар тусгаарлан
оруулж өгсөн байна. #
тэмдгээр эхэлсэн мөрүүд нь тайлбар болно.
Жишээ securenets файл дараах байдалтай байна:
# allow connections from local host -- mandatory
127.0.0.1 255.255.255.255
# allow connections from any host
# on the 192.168.128.0 network
192.168.128.0 255.255.255.0
# allow connections from any host
# between 10.0.0.0 to 10.0.15.255
# this includes the machines in the testlab
10.0.0.0 255.255.240.0
Хэрэв &man.ypserv.8;-н хүсэлт хүлээж авсан хаяг
эдгээр дүрмүүдийн аль нэгэнд тохирч байвал хүсэлтийг
ердийн байдлаар боловсруулна. Хэрэв энэ хаяг ямар ч дүрмэнд
тохирохгүй байвал, хүсэлтийг үл анхаарах бөгөөд
анхааруулах бичлэгийг бүртгэлд нэмнэ. Хэрэв
/var/yp/securenets гэсэн файл байхгүй бол,
ypserv нь гаднаас ирсэн бүх хүсэлтийг хүлээн авна.
ypserv програм нь Wietse Venema-н TCP Wrapper багцыг
дэмждэг. Энэ нь администраторуудын хувьд /var/yp/securenets-ны оронд
TCP Wrapper-н тохиргооны файлыг хандалтыг хянахад хэрэглэх
боломжтой болгодог.
Хэдийгээр эдгээр хандалтыг хянах механизмууд нь
аюулгүй байдлыг адил түвшинд хангах боловч,
хоёул IP залилах
халдлагад өртөмтгий байдаг. NIS-тэй холбоотой
бүх урсгалыг галт хана дээрээ хааж өгөх хэрэгтэй.
/var/yp/securenets хэрэглэж байгаа серверүүд
хуучин TCP/IP дээр ажиллаж байгаа зүй ёсны NIS харилцагчид үйлчилж
чадахгүй байж магадгүй. Учир нь, тэдгээр нь өргөн цацалт хийхдээ
хост битүүдийг бүгдийг тэглэдэг ба өргөн цацалтын хаягийг тооцоолохдоо
дэд сүлжээний багийг таньж чаддаггүй болно. Хэдийгээр эдгээр асуудлуудыг
харилцагчийн тохиргоог өөрчилснөөр шийдэж болох боловч,
бусад асуудлууд нь харилцагчийн системийг цааш ашиглах боломжгүй эсвэл
/var/yp/securenets-г болиулах шаардлагатай болдог.
Ийм хуучин TCP/IP дээр ажилладаг сервер дээр
/var/yp/securenets-г хэрэглэх нь үнэхээр хэрэггүй бөгөөд
сүлжээний ихэнх хэсэгт NIS-г ашиглах боломжгүй байдаг.
TCP Wrapper-ууд
TCP Wrapper багцыг ашиглах нь
NIS серверийн хоцролтыг ихэсгэдэг. Энэ нэмэлт саатал нь
харилцагчийн програм дээр ялангуяа ачаалал ихтэй сүлжээнд,
эсвэл удаан NIS сервертэй бол хүлээх хугацаа дуусахад хүргэх талтай.
Хэрэв таны харилцагч систем чинь дээрх шинж тэмдгүүдийн аль нэгийг
агуулж байгаа бол та энэ харилцагч системээ NIS зарц сервер болгож өөрчлөн
хүчээр өөрөөсөө өөртөө холбогдохоор тохируулах хэрэгтэй.
Зарим хэрэглэгчдийн нэвтрэхийг хаах
Манай лабораторын жишээн дээр, basie нэртэй нэг
машин байгаа. Энэ машиныг зөвхөн багш нар хэрэглэх ёстой.
Бид энэ машиныг NIS домэйн дотроос гаргахыг хүсэхгүй байгаа, дээр нь
эзэн NIS сервер дээр байгаа passwd файл нь
багш нар болон оюутнуудын дансыг хоёуланг агуулж байгаа.
Бид одоо яах ёстой вэ?
NIS өгөгдлийн сан дотор бүртгэл нь байгаа ч, зарим
хэрэглэгчдийг тухайн машин руу нэвтрэхийг хаах нэг арга байна.
Үүний тулд -username гэсэн мөрийг
харилцагч машин дээр /etc/master.passwd файлын төгсгөлд нэмэх
хэрэгтэй. Энд username гэдэг нь
нэвтрэхийг нь хаах гэж байгаа хэрэглэгчийн нэр юм.
Дээрх үйлдлийг хийхдээ vipw-г ашиглахыг зөвлөж байна.
vipw нь /etc/master.passwd файл дотор хийгдсэн өөрчлөлтийг
хянах бөгөөд өөрчлөлт хийж дууссаны дараа нэвтрэх үгийн санг автоматаар
дахин үүсгэж өгдөг. Жишээ нь, хэрэв бид bill гэсэн хэрэглэгчийг
basie хост дээр нэвтрэхийг хаахыг хүсэж байгаа бол:
basie&prompt.root; vipw
[add -bill to the end, exit]
vipw: rebuilding the database...
vipw: done
basie&prompt.root; cat /etc/master.passwd
root:[password]:0:0::0:0:The super-user:/root:/bin/csh
toor:[password]:0:0::0:0:The other super-user:/root:/bin/sh
daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin
operator:*:2:5::0:0:System &:/:/sbin/nologin
bin:*:3:7::0:0:Binaries Commands and Source,,,:/:/sbin/nologin
tty:*:4:65533::0:0:Tty Sandbox:/:/sbin/nologin
kmem:*:5:65533::0:0:KMem Sandbox:/:/sbin/nologin
games:*:7:13::0:0:Games pseudo-user:/usr/games:/sbin/nologin
news:*:8:8::0:0:News Subsystem:/:/sbin/nologin
man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/sbin/nologin
bind:*:53:53::0:0:Bind Sandbox:/:/sbin/nologin
uucp:*:66:66::0:0:UUCP pseudo-user:/var/spool/uucppublic:/usr/libexec/uucp/uucico
xten:*:67:67::0:0:X-10 daemon:/usr/local/xten:/sbin/nologin
pop:*:68:6::0:0:Post Office Owner:/nonexistent:/sbin/nologin
nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/sbin/nologin
+:::::::::
-bill
basie&prompt.root;
Удо
Эрделхофф
Хувь нэмрээ оруулсан
Лодойсамбын
Баянзул
Орчуулсан
Netgroups-г Хэрэглэх нь
netgroups
Цөөхөн тооны машин эсвэл хэрэглэгчийн хувьд
тусгай дүрэм хэрэгтэй үед өмнөх хэсэгт дурдсан аргыг
хэрэглэх нь илүү тохиромжтой. Харин том сүлжээний хувьд
зарим хэрэглэгчийн чухал машин руу нэвтрэх эрхийг хаахаа мартах,
эсвэл бүх машиныг нэг бүрчлэн гараараа тохируулж өгөх, өөрөөр хэлбэл
NIS-н төвлөрсөн удирдлага гэсэн гол санааг ашиглаж чадахгүй байх
тохиолдлууд гарах болно.
NIS-г хөгжүүлэгчид энэ асуудлыг шийдэхийн тулд
netgroups буюу сүлжээний бүлгүүд гэсэн шинэ зүйлийг бий болгожээ.
Түүний зорилго болон семантикийг &unix; файл системийн
жирийн бүлэгтэй дүйцүүлж болох юм. Гол ялгаанууд нь гэвэл
тоон дугаар байхгүй, мөн сүлжээний бүлгийг тодорхойлж өгөхдөө
хэрэглэгч болон өөр сүлжээний бүлгийг оруулж болдог.
Сүлжээний бүлэг нь хэдэн зуун хэрэглэгч болон машинтай
том, төвөгтэй сүлжээтэй ажиллахад зориулж бүтээгдсэн юм.
Нэг талаар, хэрэв та үнэхээр тийм том сүлжээнд ажиллаж байгаа бол
энэ нь Сайн Зүйл юм. Харин нөгөө талаас, энэ байдал нь
жижигхэн сүлжээнд хялбар жишээн дээр сүлжээний бүлгийг тайлбарлах
бараг боломжгүй болгож байна. Энэ хэсгийн үлдсэн хэсэгт хэрэглэж
байгаа жишээн дээр энэ асуудлыг харуулахыг оролдлоо.
NIS-г лабораторидоо нэвтрүүлсэн тань танай удирдлагуудын
анхаарлыг татсан гэж бодьё. Одоо оюутны хотхон дотор байгаа
бусад машиныг NIS домэйнд оруулж өргөтгөх ажлыг хийхийг танд
даалгажээ. Дараах хоёр хүснэгтэнд шинээр нэмэх хэрэглэгч болон
машины нэрийг товч тайлбарын хамт үзүүллээ.
Хэрэглэгчийн нэр
Тайлбар
alpha, beta
IT хэлтсийн ердийн ажилчид
charlie, delta
IT хэлтсийн шинэ дагалдан
echo, foxtrott, golf, ...
бусад ердийн ажилчид
able, baker, ...
дадлагажигчид
Машины нэр
Тайлбар
war, death,
famine,
pollution
Таны хамгийн чухал серверүүд. Зөвхөн IT хэлтсийн
ажилчид л нэвтрэх эрхтэй.
pride, greed,
envy, wrath,
lust, sloth
Харьцангуй чухал биш серверүүд. IT хэлтэст харъяалагддаг бүх
хүмүүс нэвтрэх эрхтэй.
one, two,
three, four,
...
Ердийн ажлын машинууд. Зөвхөн үндсэн ажилчид
нэвтрэх эрхтэй.
trashcan
Чухал зүйл байхгүй маш хуучин машин.
Дадлагажигчид хүртэл нэвтрэх эрхтэй.
Хэрэв та дээрх хязгаарлалтуудыг
тус бүрд нь хэрэглэгчийг хаах замаар хийх гэж оролдвол
бүх машин дээр хаах хэрэглэгч тус бүрийн хувьд
-user мөрийг passwd
файл дотор нэмж өгөх ёстой болно. Хэрэв нэг л мөрийг
нэмэхээ мартвал асуудалд орно гэсэн үг.
Энэ байдалд сүлжээний бүлгийг ашиглах нь
нилээд олон давуу талтай. Хэрэглэгч бүрийг тус тусад нь
авч үзнэ; нэг хэрэглэгчийг нэг болон түүнээс дээш тооны
сүлжээний бүлэгт оноож, тухайн сүлжээний бүлгийн бүх гишүүдийн хувьд
нэвтрэхийг эсвэл зөвшөөрч эсвэл хаана. Хэрэв та шинэ машин нэмбэл,
зөвхөн сүлжээний бүлгүүдийн хувьд л нэвтрэх эрхийг зааж өгнө. Хэрэв шинэ
хэрэглэгч нэмбэл, тухайн хэрэглэгчийг нэг болон түүнээс дээш
тооны сүлжээний бүлэгт нэмэхэд л хангалттай. Эдгээр өөрчлөлтүүд нь нэг
нэгнээсээ хамааралгүй: хэрэглэгч ба машины бүх хувилбарт нэмэх...
шаардлагагүй болно. Хэрэв та NIS-г анхнаас нь бодлоготой хийх юм бол,
машинууд руу нэвтрэх эрхийг хянахдаа
зөвхөн ганцхан тохиргооны файлыг өөрчлөхөд хангалттай.
Хамгийн эхний алхам бол NIS сүлжээний бүлгийн буулгалтыг
эхлүүлэх юм. FreeBSD-н &man.ypinit.8; нь энэ буулгалтыг анхдагч байдлаар
үүсгэдэггүй, гэвч хэрэв нэгэнт үүсгэчихвэл түүний NIS-тэй ажиллах хэсэг нь
энэ буулгалт дээр ажиллах чадвартай. Хоосон буулгалт үүсгэхийн тулд:
ellington&prompt.root; vi /var/yp/netgroup
гэж бичээд дараах зүйлсийг нэмж бичнэ. Манай жишээний хувьд,
бидэнд дор хаяж дөрвөн сүлжээний бүлэг хэрэгтэй: IT ажилчид,
IT дагалдангууд, ердийн ажилчид болон дадлагажигчид.
IT_EMP (,alpha,test-domain) (,beta,test-domain)
IT_APP (,charlie,test-domain) (,delta,test-domain)
USERS (,echo,test-domain) (,foxtrott,test-domain) \
(,golf,test-domain)
INTERNS (,able,test-domain) (,baker,test-domain)
IT_EMP, IT_APP гэх мэт нь сүлжээний бүлгийн
нэр. Хаалтан дотор байгаа бүлэг нь хэрэглэгч нэмж байгаа нь. Бүлэг доторх
гурван талбар нь:
Дараах зүйлүүд хүчинтэй байх хостын нэр. Хэрэв хостын нэр зааж өгөхгүй бол,
бүх хостын хувьд хүчинтэй гэсэн үг. Хэрэв хостын нэр зааж өгвөл,
та үл ойлгогдох, толгой эргүүлсэн хачин зүйлстэй тулгарах болно.
Энэ сүлжээний бүлэгт хамаарах дансны нэр.
Тухайн дансны NIS домэйн. Хэрэв та нэгээс олон NIS
домэйнд харъяалагддаг азгүй залуусын нэг бол,
өөрийн сүлжээний бүлэгт өөр NIS домэйноос данс импортолж болно.
Эдгээр талбаруудын алинд ч орлуулагддаг тэмдэгт ашиглаж болно.
Дэлгэрэнгүй мэдээллийг &man.netgroup.5; заавар хуудаснаас үзнэ үү.
сүлжээний бүлгүүд
Сүлжээний бүлгүүдийн нэр 8-с дээш тэмдэгт байж
болохгүй, ялангуяа тухайн NIS домэйнд өөр үйлдлийн системтэй
машинууд ажиллаж байгаа бол. Нэрүүд нь том жижиг үсгийн ялгаатай;
сүлжээний бүлгийн нэрийг том үсгээр бичих нь
хэрэглэгчийн нэр, машины нэр болон сүлжээний бүлгийн нэрийг
хооронд нь ялгахад хялбар болгодог.
Зарим NIS харилцагчид (FreeBSD-с бусад) олон тооны гишүүдтэй
сүлжээний бүлэгтэй ажиллаж чаддаггүй. Жишээлбэл,
&sunos;-н зарим хуучин хувилбарууд сүлжээний бүлэг
15-с дээш тооны гишүүн-тэй бол асуудалтай байдаг.
Энэ хязгаарыг давахын тулд 15 ба түүнээс доош тооны хэрэглэгчтэй
дэд сүлжээний бүлгүүд үүсгээд, дараа нь эдгээр дэд сүлжээний бүлгүүдээс
тогтсон жинхэнэ сүлжээний бүлэг үүсгэх замаар үүсгэж болно:
BIGGRP1 (,joe1,domain) (,joe2,domain) (,joe3,domain) [...]
BIGGRP2 (,joe16,domain) (,joe17,domain) [...]
BIGGRP3 (,joe31,domain) (,joe32,domain)
BIGGROUP BIGGRP1 BIGGRP2 BIGGRP3
Хэрэв танд нэг сүлжээний бүлэгт 225-с дээш хэрэглэгч хэрэгтэй
бол, дээрх үйлдлийг давтах маягаар цааш үргэлжлүүлж болно.
Шинээр үүсгэсэн NIS буулгалтаа идэвхжүүлэх болон тараах нь амархан:
ellington&prompt.root; cd /var/yp
ellington&prompt.root; make
Ингэснээр netgroup,
netgroup.byhost ба
netgroup.byuser гэсэн гурван NIS буулгалт үүсэх болно.
Дээрх шинэ буулгалтууд идэвхтэй болсон эсэхийг &man.ypcat.1; ашиглан
шалгаарай:
ellington&prompt.user; ypcat -k netgroup
ellington&prompt.user; ypcat -k netgroup.byhost
ellington&prompt.user; ypcat -k netgroup.byuser
Эхний тушаалын үр дүн /var/yp/netgroup файл доторхтой
төстэй байх ёстой. Хэрэв та хостоор тусгайлан сүлжээний бүлэг үүсгээгүй бол
хоёр дахь тушаалын үр дүнд юу ч гарах ёсгүй. Гурав дахь тушаалын
тусламжтай тухайн хэрэглэгчийн сүлжээний бүлгүүдийн жагсаалтыг
харахад хэрэглэгдэнэ.
Харилцагчийг тохируулахад нилээд хялбар.
war нэртэй серверийг тохируулахын тулд, &man.vipw.8;-г
ажиллуулаад
+:::::::::
гэсэн мөрийг
+@IT_EMP:::::::::
гэсэн мөрөөр сольж бичих хэрэгтэй.
Ингэснээр, зөвхөн IT_EMP сүлжээний бүлэгт заагдсан
хэрэглэгчдийн мэдээлэл war-н нэвтрэх үгийн санд импортлогдож,
зөвхөн эдгээр хэрэглэгчид л энэ машин руу нэвтрэх эрхтэй боллоо.
Харамсалтай нь, энэ хязгаарлалт нь
бүрхүүлийн ~ функцад, мөн хэрэглэгчийн нэр ба тоон дугаарыг
хооронд нь хөрвүүлдэг бүх дэд програмуудад хамаатай. Өөрөөр хэлбэл,
cd ~user тушаал ажиллахгүй,
ls -l тушаал хэрэглэгчийн нэрийн оронд
түүний тоон дугаарыг харуулах ба find . -user joe -print тушаал
Тийм хэрэглэгч байхгүй гэсэн алдааны мэдээлэл өгч амжилтгүй
болох болно. Үүнийг засахын тулд, бүх хэрэглэгчдийн бүртгэлийг
сервер рүү нэвтрэх эрхгүйгээр импортлох хэрэгтэй болно.
Үүний тулд өөр нэг мөрийг /etc/master.passwd файлд нэмж өгөх хэрэгтэй.
Энэ мөр нь:
+:::::::::/sbin/nologin гэсэн бичлэгийг агуулж байх ёстой бөгөөд,
энэ нь бүх бүртгэлийг импортол, гэхдээ импортлогдож байгаа бүртгэлүүдийн
бүрхүүлийг /sbin/nologin-р соль
гэсэн утгатай. Үүнтэй адилаар
passwd файлын ямар ч талбарыг /etc/master.passwd файл дахь анхдагч
утгыг сольж бичсэнээр өөрчилж болно.
+:::::::::/sbin/nologin гэсэн мөр +@IT_EMP::::::::: гэсэн мөрийн
дараа бичигдсэн эсэхийг сайтар нягтлаарай. Үгүй бол, NIS-с импортлогдсон бүх
хэрэглэгчдийн бүрхүүл /sbin/nologin болчихно шүү.
Дээрх өөрчлөлтийг хийсний дараа,
хэрэв IT хэлтэст шинэ ажилчин орвол,
зөвхөн ганцхан NIS буулгалтыг өөрчлөх боллоо. Чухал бус бусад серверийн хувьд
ижилхэн арга хэрэглэж, тэдгээрийн өөрийн /etc/master.passwd файл дотор байгаа
хуучин +::::::::: мөрийг:
+@IT_EMP:::::::::
+@IT_APP:::::::::
+:::::::::/sbin/nologin
гэсэн мөрөөр сольж бичих хэрэгтэй. Ердийн ажлын машины хувьд:
+@IT_EMP:::::::::
+@USERS:::::::::
+:::::::::/sbin/nologin
байх ёстой. Ингээд бүх зүйл асуудалгүй ажиллах болно.
Гэтэл хэдэн долоо хоногийн дараа дүрэм, журманд өөрчлөлт орлоо:
IT хэлтэс дадлагажигч авч эхэллээ. IT хэлтсийн дадлагажигчид
ердийн ажлын машин болон чухал бус серверүүдэд нэвтрэх эрхтэй;
IT дагалдангууд гол сервер рүү нэвтрэх эрхтэй болжээ. Одоо IT_INTERN
гэсэн шинэ сүлжээний бүлэг нэмж, энэ бүлэгт шинэ IT дадлагажигчдийг
нэмээд, энэ өөрчлөлтийг бүх машины тохиргоонд оруулж эхлэх хэрэгтэй...
Бидний хэлж заншсанаар: Төвлөрсөн төлөвлөгөөн дээрх алдаа,
бүх юмыг орвонгоор нь эргүүлнэ
.
Энэ мэт тохиолдолуудад NIS-н
өөр сүлжээний бүлгээс шинэ сүлжээний бүлэг үүсгэх боломж нь тус болно.
Нэг боломж нь үүрэг дээр үндэслэсэн сүлжээний бүлэг юм.
Жишээ нь, чухал серверүүд рүү нэвтрэх эрхийг хянахын тулд
BIGSRV гэсэн нэртэй сүлжээний бүлэг үүсгэж болох ба,
чухал бус серверүүдийн хувьд өөр SMALLSRV гэсэн бүрэг үүсгэж,
USERBOX гэсэн гурав дахь бүлгийг ердийн ажлын машинуудад зориулж
үүсгэж болох юм. Эдгээр сүлжээний бүлэг тус бүр
дээрх гурван төрлийн машинд нэвтрэх эрхтэй
сүлжээний бүлгүүдийг агуулна. NIS сүлжээний бүлгийн буулгалт
дараах байдалтай байна:
BIGSRV IT_EMP IT_APP
SMALLSRV IT_EMP IT_APP ITINTERN
USERBOX IT_EMP ITINTERN USERS
Нэвтрэх эрхийг хязгаарлах энэ арга нь
ижил төрлийн хязгаарлалттай машинуудыг нэг бүлэг болговол илүү
үр дүнтэй ажиллана. Харамсалтай нь, заавал тийм байх албагүй.
Ихэнх тохиолдолд, машин тус бүрээр нэвтрэх эрхийг хязгаарлах
боломжтой байх шаардлага зайлшгүй тулгардаг.
Машин дээр үндэслэсэн сүлжээний бүлэг тодорхойлох нь
дээрх мэтийн дүрэм журамд өөрчлөлт ороход хэрэглэж болох
хоёр дахь боломж юм. Энэ тохиолдолд, машин бүрийн
/etc/master.passwd файл дотор +
-р эхэлсэн хоёр
мөр бичлэг байна. Эхнийх нь энэ машин руу нэвтрэх эрхтэй дансуудаас бүрдсэн
сүлжээний бүлгийг нэмж өгнө, хоёр дахь нь бусад дансуудыг
/sbin/nologin бүрхүүлтэйгээр нэмнэ. Сүлжээний бүлгийн нэрийг
машины нэрийг БҮХ ҮСГИЙГ ТОМООР
байхаар сонгож авах нь
тохиромжтой. Өөрөөр хэлбэл, мөрүүд дараах байдалтай харагдах ёстой:
+@BOXNAME:::::::::
+:::::::::/sbin/nologin
Бүх машины хувьд дээрх үйлдлийг хийж дууссаны дараа,
өөрийн /etc/master.passwd файлыг дахин өөрчлөх шаардлагагүй болно.
Бусад бүх өөрчлөлтүүдийг NIS буулгалтыг өөрчилснөөр шийдэх болно. Дээрх асуудалд
тохирох сүлжээний бүлгийн буулгалтыг зарим нэмэлт өөрчлөлтүүдийн хамт
дор жишээ болгож үзүүлэв:
# Define groups of users first
IT_EMP (,alpha,test-domain) (,beta,test-domain)
IT_APP (,charlie,test-domain) (,delta,test-domain)
DEPT1 (,echo,test-domain) (,foxtrott,test-domain)
DEPT2 (,golf,test-domain) (,hotel,test-domain)
DEPT3 (,india,test-domain) (,juliet,test-domain)
ITINTERN (,kilo,test-domain) (,lima,test-domain)
D_INTERNS (,able,test-domain) (,baker,test-domain)
#
# Now, define some groups based on roles
USERS DEPT1 DEPT2 DEPT3
BIGSRV IT_EMP IT_APP
SMALLSRV IT_EMP IT_APP ITINTERN
USERBOX IT_EMP ITINTERN USERS
#
# And a groups for a special tasks
# Allow echo and golf to access our anti-virus-machine
SECURITY IT_EMP (,echo,test-domain) (,golf,test-domain)
#
# machine-based netgroups
# Our main servers
WAR BIGSRV
FAMINE BIGSRV
# User india needs access to this server
POLLUTION BIGSRV (,india,test-domain)
#
# This one is really important and needs more access restrictions
DEATH IT_EMP
#
# The anti-virus-machine mentioned above
ONE SECURITY
#
# Restrict a machine to a single user
TWO (,hotel,test-domain)
# [...more groups to follow]
Хэрэв та хэрэглэгчдийнхээ дансыг удирдахын тулд
ямар нэг өгөгдлийн санг ашигладаг бол, дээрх буулгалтын эхний
хэсгийг өгөгдлийн сангийнхаа тайлан бэлтгэх багажуудыг
ашиглах үүсгэх боломжтой. Энэ замаар, шинэ хэрэглэгчид машинуудад
хандах эрхийг автоматаар олж авах болно.
Эцэст нь анхааруулж хэлэх нэг зүйл байна: Машин дээр үндэслэсэн
сүлжээний бүлгийг хэрэглэхийг байнга зөвлөхгүй. Хэрэв
оюутны лабораторид зориулсан, хэдэн арван эсвэл хэдэн зуун
нэг ижил машинтай ажиллаж байгаа бол, NIS буулгалтыг тодорхой хэмжээнд барьж
байхын тулд машин дээр үндэслэсэн сүлжээний бүлгийн оронд үүрэг дээр үндэслэсэн
сүлжээний бүлгийг хэрэглэх хэрэгтэй.
Санаж явах чухал зүйлс
NIS орчинд ороод, өөрөөр хийх ёстой хэд хэдэн зүйлс байна.
Лабораторид шинэ хэрэглэгч нэмэх бүрдээ
зөвхөн эзэн NIS серверт нэмэх ёстой,
ба NIS буулгалтыг заавал дахин үүсгэх ёстой.
Хэрэв ингэхээ мартвал, шинэ хэрэглэгч эзэн NIS серверээс
өөр хаашаа ч нэвтэрч чадахгүй болно. Жишээ нь,
бид jsmith гэсэн шинэ хэрэглэгчийг лабораторид нэмэх боллоо:
&prompt.root; pw useradd jsmith
&prompt.root; cd /var/yp
&prompt.root; make test-domain
pw useradd jsmith-н оронд adduser jsmith-г мөн хэрэглэж болно.
Администратор эрхтэй дансуудыг NIS буулгалтад оруулах ёсгүй.
Администратор эрхээр орох ёсгүй хэрэглэгчдийн машин дээр администратор эрхтэй
дансууд болон нэвтрэх үгүүдийг тараах хүсэлгүй байгаа биз дээ.
NIS эзэн болон зарц серверийн аюулгүй байдлыг хангаж,
ажиллахгүй байх хугацааг багасгах хэрэгтэй. Хэрэв хэн нэг нь
серверт нууцаар нэвтэрч, эсвэл унтрааж орхивол хүмүүсийг лабораторын машинууд руу
нэвтрэх боломжгүй болгож, саад болох болно.
Энэ нь ямар ч төвлөрсөн удирдах системийн
гол сул тал юм. Хэрэв та өөрийн NIS серверийг хамгаалахгүй бол,
та маш олон ууртай хэрэглэгчидтэй таарах болно шүү!
NIS v1 нийцтэй байдал
FreeBSD-н ypserv нь NIS v1 харилцагчдад үйлчлэх
зарим дэмжигчтэй ирдэг. FreeBSD-н NIS нь зөвхөн NIS v2 протоколыг хэрэглэдэг,
гэхдээ бусад нь хуучин системүүдтэй нийцтэй ажиллахын тулд
v1 протоколыг дэмждэг байхаар бүтээгдсэн байдаг.
Эдгээр системтэй хамт ирсэн ypbind дэмонууд
хэдийгээр үнэн хэрэг дээрээ хэзээ ч хэрэглэхгүй боловч
NIS v1 сервертэй холболт үүсгэхийг оролддог (ба
v2 серверээс хариу хүлээж авсан ч өргөн цацалт хийж
хайлтаа үргэлжлүүлдэг талтай). Хэдийгээр
ердийн харилцагчийн хүсэлтийг дэмждэг боловч,
ypserv-н энэ хувилбар v1 буулгалтыг зөөх хүсэлттэй ажиллаж чадахгүй;
иймээс, зөвхөн v1 протоколыг дэмждэг хуучин NIS серверүүдтэй
холбоотойгоор эзэн эсвэл зарц байдлаар ажиллаж чадахгүй.
Аз болоход, ийм серверийг одоо хэрэглэж байгаа газар байхгүй.
NIS Сервер мөртлөө NIS Харилцагч
Сервер машин нь мөн NIS харилцагч байдлаар ажилладаг
олон сервертэй домэйнд ypserv-г ажиллуулахдаа
анхааралтай байх хэрэгтэй. Ийм серверийг өргөн цацалт хийлгэж,
өөр нэг сервертэй холбоо тогтоохыг зөвшөөрөхийн оронд өөрөө өөртэй нь
хүчээр холбох нь ихэвчлэн дээр байдаг. Хэрэв нэг сервер унтарч, бусад
серверүүд түүнээс хамааралтай байх юм бол хачин алдаанууд гарч болзошгүй.
Эцэст нь бүх харилцагчдын хүлээх хугацаа дуусаж,
бүгд өөр сервертэй холбогдохыг оролдох болно. Хэдийгээр бүх серверүүд
холболтуудаа сэргээж буцаад хэвийн байдалдаа орсон ч, саатлаас болж
харилцагчид холбогдож чадахгүй хэвээр байх болно.
Хостыг ямар нэг сервертэй холбогдохыг
ypbind тушаалыг тугийн хамт ажиллуулж,
урдаас зааж өгч болно. Хэрэв NIS серверийг дахин ачаалах тоолонд энэ
тушаалыг гараар оруулах хүсэлгүй байгаа бол, дараах мөрүүдийг
өөрийн /etc/rc.conf файл дотор нэмээрэй:
nis_client_enable="YES" # run client stuff as well
nis_client_flags="-S NIS domain,server"
Дэлгэрэнгүй мэдээллийг &man.ypbind.8; заавар хуудаснаас үзнэ үү.
Нэвтрэх үгийн хэлбэр
NIS
нэвтрэх үгийн хэлбэр
NIS-г зохион байгуулах явцад ихэвчлэн тохиолддог асуудлуудын нэг бол
нэвтрэх үгийн хэлбэрийн нийцгүй байдал юм. Хэрэв таны NIS
сервер DES хувиргалттай нэвтрэх үгийг хэрэглэдэг бол,
зөвхөн DES хэрэглэдэг харилцагчид үйлчлэх чадвартай. Жишээлбэл,
хэрэв сүлжээнд чинь &solaris; NIS харилцагчид байгаа бол,
та бараг л DES хувиргалттай нэвтрэх үг хэрэглэх шаардлагатай гэсэн үг.
Таны сервер болон харилцагчид ямар хэлбэрийн нэвтрэх үг хэрэглэдгийг
шалгахдаа /etc/login.conf файлыг үзээрэй. Хэрэв тухайн хост
DES хувиргалттай нэвтрэх үг хэрэглэдэг бол, default буюу анхдагч ангилал
нь дараах мөрүүдийг агуулсан байх болно:
default:\
:passwd_format=des:\
:copyright=/etc/COPYRIGHT:\
[Further entries elided]
passwd_format нь өөр blf ба md5 гэсэн
утгуудыг авч болно (Blowfish болон MD5 хувиргалттай нэвтрэх үгийн хувьд).
Хэрэв та /etc/login.conf файлд өөрчлөлт хийсэн бол,
нэвтрэх чадварын санг дахин үүсгэх шаардлагатай. Үүний тулд дараах тушаалыг
root эрхээр өгөх хэрэгтэй:
&prompt.root; cap_mkdb /etc/login.conf
/etc/master.passwd файл дотор аль хэдийн үүссэн нэвтрэх үгийн
хэлбэр нь хэрэглэгч нэвтрэх чадварын сан дахин үүссэнээс хойш анх удаа нэвтрэх
үгээ солих хүртэл өөрчлөгдөхгүй.
Мөн, таны сонгосон хэлбэрээр нэвтрэх үгүүдэд
хувиргалт хийгддэг болгохын тулд,
/etc/auth.conf файл доторх crypt_default утга
таны сонгосон хэлбэрийг хамгийн түрүүнд оруулсан байгаа эсэхийг
шалгах хэрэгтэй. Жишээ нь, DES хувиргалттай нэвтрэх үгийг хэрэглэх үед:
crypt_default = des blf md5
&os; дээр тулгуурласан NIS сервер болон харилцагч бүр дээр дээрх
үйлдлүүдийг хийснээр, нэвтрэх үгийн хэлбэр бүгд таарч байгаа гэдэгт
санаа амар байж болно. Хэрэв NIS харилцагч дээр нэвтэрч ороход асуудал
гарвал, асуудлыг тодруулах нэг газар байна.
Хэрэв та холимог сүлжээний хувьд NIS сервер босгох гэж байгаа бол,
ихэнх систем дээр зайлшгүй байх хамгийн бага стандарт тул,
бүх системүүд дээрээ DES ашиглах хэрэгтэйг санаарай.
Грег
Саттер
Бичсэн
Лодойсамбын
Баянзул
Орчуулсан
Автомат Сүлжээний Тохиргоо (DHCP)
DHCP гэж юу вэ?
Динамик Хостын Тохиргооны Протокол
DHCP
Internet Systems Consortium (ISC)
DHCP, Dynamic Host Configuration Protocol буюу Динамик Хостын Тохиргооны Протокол нь
систем ямар байдлаар сүлжээнд холбогдох,
тухайн сүлжээнд харилцаанд орохын тулд шаардагдах
мэдээллийг хэрхэн олж авахыг зааж өгдөг. FreeBSD-н
6.0-с өмнөх хувилбарууд ISC (Internet Systems Consortium) DHCP харилцагчийг
(&man.dhclient.8;) хэрэглэдэг.
Хамгийн сүүлийн хувилбар дээр OpenBSD 3.7-с авсан
OpenBSD-н dhclient-г хэрэглэдэг. Энэ бүлэгт гарах
dhclient-р ISC ба OpenBSD DHCP харилцагчийг хоёуланг
нь төлөөлүүлсэн болно. DHCP серверийн хувьд ISC тархацын
серверийг авч үзэх болно.
Энэ хэсэгт авч үзэх зүйлс
Энэ хэсэгт ISC ба OpenBSD DHCP харилцагчийн харилцагч талыг бүтээж байгаа элементүүд,
болон ISC DHCP системийн сервер талыг бүтээж байгаа элементүүдийг хоёуланг нь
авч үзэх болно. Харилцагч талын програм, dhclient, нь
FreeBSD-тэй нэгдмэл байдлаар ирдэг бол, сервер талын хэсэг нь
net/isc-dhcp31-server портоос суулгах боломжтой байдлаар ирдэг.
&man.dhclient.8;, &man.dhcp-options.5;, ба &man.dhclient.conf.5; заавар хуудсууд болон доор өгөгдсөн зөвлөмжүүд
нь хэрэг болно.
Хэрхэн ажилладаг вэ?
UDP
Харилцагч машин дээр dhclient DHCP харилцагчийг
ажиллуулахад, тохиргооны мэдээллийг хүссэн хүсэлтийг цацаж эхэлнэ.
Анхдагч байдлаар, эдгээр хүсэлтүүд нь UDP 68-р портоос гарч, серверийн
UDP 67 порт руу илгээгдэнэ. Сервер харилцагчид IP хаяг болон сүлжээний баг,
чиглүүлэгч, DNS серверийн хаяг зэрэг хэрэгтэй мэдээллийг хариу илгээнэ.
Энэ бүх мэдээллийг DHCP түрээслэх
хэлбэрээр өгөх ба зөвхөн тодорхой
хугацааны туршид хүчинтэй байна (DHCP серверийг хариуцагч тохируулж өгсөн байна).
Ийм байдлаар, сүлжээнд холбогдохоо больсон харилцагчийн ашиглагдаагүй
IP хаягуудыг автоматаар буцааж авах боломжтой болно.
DHCP харилцагч серверээс өргөн мэдээллийг
авч чадна. Бүрэн жагсаалтыг &man.dhcp-options.5;-с олж үзэж болно.
FreeBSD-тэй нэгдмэл байдал
&os; нь ISC эсвэл OpenBSD DHCP харилцагч,
dhclient-г өөртэйгөө бүрэн нэгтгэсэн байдаг (&os; хувилбараас хамааран).
DHCP сервер ажиллаж байгаа сүлжээнд сүлжээний тохиргоог хийх нарийн
чимхлүүр ажлаас хөнгөвчлөх үүднээс, DHCP харилцагчийг систем суулгагч
болон үндсэн системийн аль алинд хамт оруулж өгсөн байдаг.
dhclient нь FreeBSD-н 3.2-с хойших бүх тархацуудад нэгтгэгдсэн байгаа.
sysinstall
sysinstall нь DHCP-г дэмждэг. sysinstall-р
сүлжээний интерфэйсийг тохируулахад асуудаг хоёр дахь асуулт бол:
Та энэ интерфэйсийг DHCP-р тохируулахыг хүсэж байна уу?
.
Зөвшөөрсөн хариулт өгсөн тохиолдолд dhclient-г ажиллуулах бөгөөд,
хэрэв амжилттай бол сүлжээний тохиргоо автоматаар хийгдэнэ.
Систем ачаалах үед DHCP ашигладаг болгохын тулд,
хоёр зүйлийг хийх хэрэгтэй:
DHCP
шаардлагууд
bpf төхөөрөмж цөмтэй хамт эмхэтгэгдсэн байх ёстой.
Үүний тулд, device bpf мөрийг цөмийн
тохиргооны файлд нэмж бичээд цөмийг дахин бүтээх
хэрэгтэй. Цөмийг бүтээх талаар дэлгэрэнгүй мэдээллийг
хэсгээс авна уу.
bpf төхөөрөмж нь FreeBSD-н GENERAL цөмийн нэг хэсэг
бөгөөд, DHCP-г ажиллуулахын тулд тусгайлан шинээр цөм бүтээх шаардлагагүй.
Аюулгүй байдлын талаар сэтгэл зовнидог хүмүүст зөвлөхөд,
bpf нь пакет шиншлэгчдийг зөв ажиллах боломжийг олгодог
төхөөрөмж болохыг анхааралдаа авна уу (хэдийгээр тэдгээр програм ажиллахын
тулд root эрх хэрэгтэй боловч). DHCP-г ашиглахын тулд
bpf заавал хэрэгтэй, гэвч хэрэв та аюулгүй байдлыг
маш ихээр анхааралдаа авдаг бол, зөвхөн хэзээ нэгэн цагт DHCP-г
ашиглахын тулд bpf-г цөмд нэмэх хэрэггүй.
/etc/rc.conf файлыг нээгээд дараах мөрийг нэмж бичнэ:
ifconfig_fxp0="DHCP"
-д тайлбарласан ёсоор,
fxp0-г динамикаар тохируулах гэж байгаа
интерфэйсийн нэрээр сольж бичнэ.
Хэрэв таны dhclient өөр газар байгаа бол, эсвэл
хэрэв та dhclient-г нэмэлт тугуудын хамт ажиллуулах хүсэлтэй бол,
дараах мөрүүдийг нэмж бичнэ үү (эсвэл шаардлагатай хэсгийг засаж бичнэ үү):
dhclient_program="/sbin/dhclient"
dhclient_flags=""
DHCP
сервер
DHCP сервер dhcpd нь портуудын цуглуулгад байгаа
net/isc-dhcp31-server портын нэг хэсэг байдлаар ирдэг. Энэ порт нь
ISC DHCP сервер болон түүний баримтуудыг агуулсан байдаг.
Файлууд
DHCP
тохиргооны файлууд
/etc/dhclient.conf
dhclient нь /etc/dhclient.conf гэсэн тохиргооны
файлыг шаарддаг. Ихэвчлэн энэ файл зөвхөн тайлбаруудаас бүрдэх ба
анхдагч утгууд нь харьцангуй өөрчлөх шаардлагагүйгээр өгөгдсөн байдаг.
Энэ тохиргооны файлыг &man.dhclient.conf.5; заавар хуудсанд тайлбарласан байгаа.
/sbin/dhclient
dhclient нь статикаар холбогдсон байх ба
/sbin дотор байрлана. &man.dhclient.8; хуудаснаас
dhclient-н талаар дэлгэрэнгүй мэдээллийг авна уу.
/sbin/dhclient-script
dhclient-script нь зөвхөн FreeBSD-д байдаг, DHCP харилцагчийг
тохируулах зориулалттай тусгай скрипт юм. Энэ скриптийг
&man.dhclient-script.8; заавар хуудсанд тайлбарласан байх ба, ажиллуулахын
тулд хэрэглэгч ямар нэг засвар хийх шаардлагагүй.
/var/db/dhclient.leases
DHCP харилцагч нь түрээсэлж авсан хаягуудаа агуулсан өгөгдлийн
санг энэ файлд хадгалах бөгөөд бүртгэл маягаар бичдэг. &man.dhclient.leases.5; хэсэгт
илүү дэлгэрэнгүй тайлбар бий.
Гүнзгийрүүлэн унших
DHCP протокол нь бүрэн хэмжээгээр RFC 2131-д
тодорхойлогдсон байдаг. Нэмэлт эх үүсвэрүүд -д мөн бий.
DHCP Серверийг Суулгах болон Тохируулах
Энэ хэсэгт авч үзэх зүйлс
Энэ хэсэгт ISC (Internet Systems Consortium) DHCP серверийг
ашиглан FreeBSD системийг хэрхэн DHCP сервер байдлаар ажиллуулах
талаар авч үзэх болно.
Сервер нь FreeBSD-н нэг хэсэг байдлаар ирдэггүй бөгөөд
ийм үйлчилгээ үзүүлэхийн тулд net/isc-dhcp31-server портыг
суулгах хэрэгтэй болдог. Портуудын цуглуулгын хэрхэн ашиглах талаар
хэсгээс дэлгэрэнгүй мэдээллийг авна уу.
DHCP Серверийг суулгах нь
DHCP
суулгах
FreeBSD системийг DHCP сервер байдлаар тохируулахын тулд,
&man.bpf.4; төхөөрөмж цөмд эмхэтгэгдсэн байх ёстой. Үүний тулд,
цөмийн тохиргооны файл дотор bpf төхөөрөмжийг нэмээд цөмийг дахин
бүтээх хэрэгтэй. Цөмийг бүтээх талаар дэлгэрэнгүй мэдээллийг
хэсгээс үзнэ үү.
bpf төхөөрөмж нь FreeBSD-н GENERAL цөмийн нэг хэсэг бөгөөд,
DHCP-г ажиллуулахын тулд
тусгайлан шинээр цөм бүтээх шаардлагагүй.
Аюулгүй байдлын талаар сэтгэл зовнидог хүмүүст зөвлөхөд,
bpf нь пакет шиншлэгчдийг зөв ажиллах боломжийг олгодог
төхөөрөмж болохыг анхааралдаа авна уу (хэдийгээр тэдгээр програм ажиллахын
тулд root эрх хэрэгтэй боловч). DHCP-г ашиглахын тулд
bpf заавал хэрэгтэй, гэвч хэрэв та аюулгүй байдлыг
маш ихээр анхааралдаа авдаг бол, зөвхөн хэзээ нэгэн цагт DHCP-г
ашиглахын тулд bpf-г цөмд нэмэх хэрэггүй.
Үүний дараа net/isc-dhcp31-server
порттой хамт ирсэн жишээ dhcpd.conf файлыг засах хэрэгтэй.
Анхдагч байдлаар, /usr/local/etc/dhcpd.conf.sample гэсэн файл байх ба
өөрчлөлт хийхийнхээ өмнө энэ файлыг /usr/local/etc/dhcpd.conf
нэртэйгээр хуулж тавих хэрэгтэй.
DHCP Серверийг тохируулах
DHCP
dhcpd.conf
dhcpd.conf нь
дэд сүлжээ болон хостуудтай холбоотой өгөгдөл зарлалтаас
бүрдэх ба жишээн дээр тайлбарлавал илүү амархан байх болов уу:
option domain-name "example.com";
option domain-name-servers 192.168.4.100;
option subnet-mask 255.255.255.0;
default-lease-time 3600;
max-lease-time 86400;
ddns-update-style none;
subnet 192.168.4.0 netmask 255.255.255.0 {
range 192.168.4.129 192.168.4.254;
option routers 192.168.4.1;
}
host mailhost {
hardware ethernet 02:03:04:05:06:07;
fixed-address mailhost.example.com;
}
Энэ тохируулга нь анхдагч хайлтын домэйн байдлаар
харилцагчид өгөх домэйныг заана. Энэ талаар дэлгэрэнгүй мэдээллийг
&man.resolv.conf.5; хэсгээс үзнэ үү.
Энэ тохируулга нь харилцагчийн хэрэглэх ёстой
DNS серверүүдийг таслалаар холбосон жагсаалт байна.
Хэрэглэгчид өгөх сүлжээний багийг заана.
Түрээслэлт (lease) хүчинтэй байх тийм тусгай хугацааг
харилцагч хүсэж болох юм. Хэрэв харилцагч хүсээгүй бол сервер энд заасан дуусах
хугацаагаар (секундээр) түрээс хийх болно.
Серверийн түрээслүүлэх хамгийн дээд хугацааг заана.
Харилцагч үүнээс урт хугацаагаар түрээслэх хүсэлт тавибал
хүсэлтийг хүлээж авах боловч зөвхөн max-lease-time секундын туршид
хүчинтэй байна.
Түрээслэх болон эргүүлж авахад DHCP сервер
DNS-г шинэчлэхийг оролдох шаардлагатай эсэхийг зааж өгнө.
ISC шийдлийн хувьд, энэ тохируулга заавал байх ёстой.
Харилцагчид оноох IP хаягуудын хүрээг заана. Энэ хүрээнд багтах
IP хаягуудыг харилцагчид өгөх болно.
Харилцагчид өгөх анхдагч гарцыг заана.
Хостын MAC хаягийг заана (ингэснээр DHCP сервер тухайн хостыг
хүсэлт тавихад таньж чадна).
Хостод тогтмол IP хаяг оноохыг заана.
Энд хостын нэрийг хэрэглэж болохыг тэмдэглэх хэрэгтэй.
DHCP сервер IP хаяг түрээслүүлэх
хариуг өгөхөөс өмнө хост нэрийг тайлах болно.
dhcpd.conf файлыг бичиж дууссаны дараа,
/etc/rc.conf файл дотор DHCP серверийг идэвхжүүлэх хэрэгтэй,
өөрөөр хэлбэл доорх мөрүүдийг нэмж бичих хэрэгтэй:
dhcpd_enable="YES"
dhcpd_ifaces="dc0"
dc0-г өөрийн тань DHCP сервер DHCP харилцагчдын хүсэлтийг
хүлээж авах ёстой интерфэйсийн нэрээр (эсвэл интерфэйсүүдийг зайгаар
тусгаарлан) сольж бичих хэрэгтэй.
Дараа нь, доорх тушаалыг өгөн серверийг ажиллуулах хэрэгтэй:
&prompt.root; /usr/local/etc/rc.d/isc-dhcpd start
Серверийнхээ тохиргооны файлд өөрчлөлт оруулах бүрдээ,
SIGHUP дохиог dhcpd-д өгөх нь бусад дэмонуудын
хувьд тохиргоог дахин дууддаг шиг биш харин тохиргоог дахин
ачаалахгүй болохыг анхаарах хэрэгтэй. Процессийг зогсоохын
тулд SIGTERM дохиог өгөх хэрэгтэй ба дээрх тушаалыг өгөн дахин эхлүүлэх хэрэгтэй.
Файлууд
DHCP
тохиргооны файлууд
/usr/local/sbin/dhcpd
dhcpd нь статикаар холбогдсон байх ба
/usr/local/sbin дотор байрлана. Порттой хамт суусан
&man.dhcpd.8; заавар хуудаснаас dhcpd-н талаар дэлгэрэнгүй мэдээллийг
авна уу.
/usr/local/etc/dhcpd.conf
dhcpd нь /usr/local/etc/dhcpd.conf гэсэн тохиргооны
файлыг шаарддаг. Энэ файл дотор харилцагчид өгөх бүх мэдээллээс гадна
серверийн өөрийн үйл ажиллагаатай холбоотой мэдээлэл байх ёстой. Энэ
тохиргооны файлыг портоос суусан &man.dhcpd.conf.5; заавар хуудсанд тайлбарласан байгаа.
/var/db/dhcpd.leases
DHCP сервер нь түрээслүүлсэн хаягуудаа агуулсан
өгөгдлийн санг энэ файлд хадгалах бөгөөд бүртгэл маягаар бичдэг.
Портоос суусан &man.dhcpd.leases.5; заавар хуудсанд илүү дэлгэрэнгүй
тайлбар бий.
/usr/local/sbin/dhcrelay
dhcrelay-г нэг DHCP сервер
харилцагчаас хүлээн авсан хүсэлтийг өөр сүлжээнд байгаа
нөгөө DHCP сервер рүү дамжуулдаг, нарийн бүтэцтэй орчинд хэрэглэнэ.
Хэрэв энэ функцыг ашиглах шаардлагатай бол,
net/isc-dhcp31-relay портыг суулгаарай.
Порттой хамт ирэх &man.dhcrelay.8; заавар хуудаснаас дэлгэрэнгүй
мэдээллийг авна уу.
Шерн
Лий
Хувь нэмрээ оруулсан
Том
Родес
Даниэл
Гэрзо
Лодойсамбын
Баянзул
Орчуулсан
Домэйн Нэрийн Систем (<acronym>DNS</acronym>)
Удиртгал
BIND
&os; анхдагч байдлаар DNS протоколын
хамгийн өргөн хэрэглэгддэг хэрэгжүүлэлт болох BIND (Berkeley
Internet Name Domain)-н аль нэг хувилбарыг агуулсан байдаг.
DNS нь нэрүүдийг IP хаягууд руу, мөн
эсрэгээр нь буулгахад хэрэглэгддэг протокол юм.
Жишээ нь, www.FreeBSD.org-г асуусан DNS асуулга явуулахад,
хариуд нь &os; Төсөлийн вэб серверийн IP хаяг ирэх бол,
ftp.FreeBSD.org-н хувьд асуулга явуулахад,
хариуд нь харгалзах FTP машины IP хаяг ирэх болно.
Яг үүнтэй адилаар эсрэгээр нь хийж болно. Ямар нэг IP-р асуулга
явуулахад түүний хост нэрийг олж болно. DNS хайлт хийхийн тулд
тухайн системд домэйн нэрийн сервер ажиллаж байх ёстой.
&os; нь одоо BIND9
DNS сервер програмын хамт ирдэг болсон.
Бидний суулгац нь файл системийн шинэчилсэн зохион байгуулалт,
автомат &man.chroot.8; тохиргоо зэрэг аюулгүй байдлыг дээд зэргээр
хангах функцүүдтэй ирдэг.
DNS
DNS бол Интернэт дээр тулгуурласан,
бүрэн эрхт root буюу эх сервер, Top Level Domain буюу Дээд Түвшний Домэйн (TLD)
сервер, болон домэйн тус бүрийн мэдээллийг агуулж байдаг
бусад жижиг нэрийн серверүүдээс бүтсэн нарийн төвөгтэй
систем юм.
BIND одоо
Internet Systems Consortium
-н мэдэлд байдаг.
Нэр Томъёо
Энэ баримтыг ойлгохын тулд, DNS-тэй холбоотой
зарим нэр томъёог ойлгосон байх шаардлагатай.
resolver
reverse DNS
root zone
Нэр
Тайлбар
Forward буюу Ердийн DNS
Хост нэрийг IP хаяг руу буулгана.
Origin буюу Үүсэл
Тухайн бүсийн файлд хамрагдаж байгаа домэйныг заана.
named, BIND
&os;-н BIND нэрийн серверийг нэрлэх түгээмэл нэршил.
Resolver буюу Тайлагч
Машин, бүсийн мэдээллийн талаар нэрийн серверээс асуулга
явуулахын тулд ашигладаг системийн процесс.
Reverse буюу Урвуу DNS
IP
хаягийг хост нэр рүү буулгана.
Root zone буюу Эх бүс
Интернэт бүсийн шатлалын эхлэл.
Файл системийн бүх файлууд эх санд харъяалагддаг шиг,
бүх бүсүүд эх бүсэд харъяалагдана.
Zone буюу Бүс
Нэг бүрэн эрхт газраар удирдуулж байгаа
домэйн, дэд домэйн, эсвэл DNS-н нэг хэсэг.
бүсүүд
жишээнүүд
Бүсүүдийн жишээ:
. нь баримтад ихэвчлэн эх бүс гэж заагддаг.
org. бол эх бүсийн доорх Top Level Domain буюу
Дээд Түвшний Домэйн (TLD).
example.org. бол org. TLD-н
доорх бүс.
1.168.192.in-addr.arpa бол 192.168.1.*
IP хаягийн хүрээнд багтаж байгаа бүх IP
хаягуудыг агуулсан бүс.
Хост нэр зүүн тал руугаа явах тусам илүү тодорхой
болж байгааг та бүхэн анзаарсан байх. Жишээлбэл, example.org.
нь org.-с илүү тодорхой, харин org. нь эх бүсээс
илүү тодорхой байна. Хост нэрийн зохион байгуулалт нь
файл системийнхтэй төстэй: /dev директор нь
эх директорт харъяалагдана, гэх мэт.
Нэрийн Сервер ажиллуулах Шалтгаанууд
Нэрийн Серверүүд ерөнхийдөө хоёр янз байна: authoritative буюу бүрэн эрхт нэрийн сервер,
ба caching буюу түр тогтоогч нэрийн сервер.
Бүрэн эрхт нэрийн сервер нь дараах тохиолдлуудад хэрэгтэй:
DNS мэдээллийг өөртөө агуулж, энэ мэдээллийг нийтэд зарлан,
ирсэн асуулгуудад бүрэн эрхтэйгээр хариулах хүсэлтэй үед.
Бүртгэлтэй домэйны хувьд, жишээлбэл example.org,
түүний дор орших хост нэрүүдэд IP хаяг оноож өгөх хэрэгтэй үед.
Бүлэг IP хаягуудад урвуу DNS мэдээлэл хэрэгтэй үед
(IP-с хост нэр рүү).
Нөөц эсвэл хоёрдогч нэрийн сервер, зарц гэж нэрлэнэ,
асуулгуудад хариулуулах шаардлагатай үед.
Түр тогтоогч нэрийн сервер дараах тохиолдлуудад хэрэгтэй:
Дотоод DNS сервер нь асуулгын хариуг
түр тогтоосноор гадаад нэрийн серверээс илүү хурдан хариу өгч
байгаа үед.
www.FreeBSD.org-р асуулга явуулсан үед, тайлагч ихэвчлэн
үйлчилгээ авдаг ISP-нхаа нэрийн серверээс асуугаад хариуг олж авна.
Дотоод, түр тогтоогч DNS сервер ажиллуулснаар,
асуулгыг гадаад интернэтээс зөвхөн ганц удаа явуулах бөгөөд,
хариуг тогтоож авна. Нэмэлт асуулгуудад түр тогтоогч нэрийн сервер
хариулах ба гадагшаа дахин асуулга явуулах шаардлага байхгүй.
Хэрхэн ажилладаг вэ?
&os;-д BIND дэмонг named гэж нэрлэнэ.
Файл
Тайлбар
&man.named.8;
BIND дэмон.
&man.rndc.8;
Нэрийн серверийг хянах хэрэгсэл.
/etc/namedb
BIND-н бүсийн мэдээлэл хадгалагдаж байгаа сан.
/etc/namedb/named.conf
дэмоны тохиргооны файл.
Тухайн бүс сервер дээр хэрхэн тохируулагдсанаас хамаарч
энэ бүстэй хамааралтай файлууд /etc/namedb
директорын master,
slave, эсвэл dynamic
гэсэн дэд сангуудад байрлана. Эдгээр файлуудад
гадны асуулгад хариу болгон өгөх DNS мэдээллүүд
байрлана.
BIND-г ажиллуулах нь
BIND
ажиллуулах
BIND нь анхдагч байдлаар суучихсан ирдэг тул тохируулахад
хялбар байдаг.
named-н анхдагч тохиргоо нь
&man.chroot.8; орчинд ажиллах, тайлагч нэрийн сервер байдлаар хийгдсэн байдаг
бөгөөд локал IPv4 loopback хаяг (127.0.0.1) дээр ажиллахаар
хязгаарлагдсан байдаг.
Энэ тохиргоогоор серверийг ажиллуулахын тулд дараах тушаалыг өгөх хэрэгтэй:
&prompt.root; /etc/rc.d/named onestart
named дэмонг систем ачаалах үед
ажиллуулдаг болгохын тулд /etc/rc.conf дотор дараах мөрүүдийг нэмэх
хэрэгтэй:
named_enable="YES"
Мэдээж /etc/namedb/named.conf файл дотор
өөр олон тохируулгууд байгаа боловч энэ баримтын мэдлээс халих
тул энд дурдсангүй. Хэрэв &os; дээрх named-н эхлэл
тохируулгуудын талаар сонирхож байгаа бол /etc/defaults/rc.conf
дотор байгаа named_* тугуудыг нэг ороод үзээрэй.
Мөн &man.rc.conf.5; заавар хуудаснаас тусламж авч болно.
хэсгийг уншихад илүүдэхгүй.
Тохиргооны файлууд
BIND
тохиргооны файлууд
named-н тохиргооны файлууд нь
/etc/namedb директор дотор байрлах ба
хэрэв хялбар тайлагчаас өөр түвшинд ажиллах хэрэгтэй бол
ажиллуулахаасаа өмнө тохиргооны файлд засвар хийх хэрэгтэй.
Ихэнх тохиргоог энэ сан дотор гүйцэтгэнэ.
<filename>/etc/namedb/named.conf</filename>
// $FreeBSD$
//
// Refer to the named.conf(5) and named(8) man pages, and the documentation
// in /usr/share/doc/bind9 for more details.
//
// If you are going to set up an authoritative server, make sure you
// understand the hairy details of how DNS works. Even with
// simple mistakes, you can break connectivity for affected parties,
// or cause huge amounts of useless Internet traffic.
options {
// Relative to the chroot directory, if any
directory "/etc/namedb";
pid-file "/var/run/named/pid";
dump-file "/var/dump/named_dump.db";
statistics-file "/var/stats/named.stats";
// If named is being used only as a local resolver, this is a safe default.
// For named to be accessible to the network, comment this option, specify
// the proper IP address, or delete this option.
listen-on { 127.0.0.1; };
// If you have IPv6 enabled on this system, uncomment this option for
// use as a local resolver. To give access to the network, specify
// an IPv6 address, or the keyword "any".
// listen-on-v6 { ::1; };
// These zones are already covered by the empty zones listed below.
// If you remove the related empty zones below, comment these lines out.
disable-empty-zone "255.255.255.255.IN-ADDR.ARPA";
disable-empty-zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA";
disable-empty-zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA";
// If you've got a DNS server around at your upstream provider, enter
// its IP address here, and enable the line below. This will make you
// benefit from its cache, thus reduce overall DNS traffic in the Internet.
/*
forwarders {
127.0.0.1;
};
*/
// If the 'forwarders' clause is not empty the default is to 'forward first'
// which will fall back to sending a query from your local server if the name
// servers in 'forwarders' do not have the answer. Alternatively you can
// force your name server to never initiate queries of its own by enabling the
// following line:
// forward only;
// If you wish to have forwarding configured automatically based on
// the entries in /etc/resolv.conf, uncomment the following line and
// set named_auto_forward=yes in /etc/rc.conf. You can also enable
// named_auto_forward_only (the effect of which is described above).
// include "/etc/namedb/auto_forward.conf";
Тайлбар дээр хэлсэнчлэн
дээд гарцын түр тогтоогчоос хүртэхийн тулд
forwarders-г идэвхжүүлж болох юм.
Энгийн үед, нэрийн сервер нь хариултыг олтлоо давталттай байдлаар
хэд хэдэн нэрийн серверүүдээр дамжин асууна.
Энэ тохируулгыг идэвхжүүлснээр, дээд гарцынхаа нэрийн серверээс
(эсвэл зааж өгсөн нэрийн сервер) хамгийн түрүүнд асууж, энэ серверийн
түр санах ойд байгаа мэдээллээс хүртэхийг эрмэлзэнэ.
Хэрэв дээд гарцын нэрийн сервер нь олон асуулгад хариулдаг, хурдан үйлчилдэг
сервер байвал дээрх тохируулгыг идэвхжүүлсний үр ашиг гарна.
127.0.0.1 энд ажиллахгүй. Энэ
IP хаягийг өөрийн дээд гарцын нэрийн серверээр сольж бичнэ үү.
/*
Modern versions of BIND use a random UDP port for each outgoing
query by default in order to dramatically reduce the possibility
of cache poisoning. All users are strongly encouraged to utilize
this feature, and to configure their firewalls to accommodate it.
AS A LAST RESORT in order to get around a restrictive firewall
policy you can try enabling the option below. Use of this option
will significantly reduce your ability to withstand cache poisoning
attacks, and should be avoided if at all possible.
Replace NNNNN in the example with a number between 49160 and 65530.
*/
// query-source address * port NNNNN;
};
// If you enable a local name server, don't forget to enter 127.0.0.1
// first in your /etc/resolv.conf so this server will be queried.
// Also, make sure to enable it in /etc/rc.conf.
// The traditional root hints mechanism. Use this, OR the slave zones below.
zone "." { type hint; file "named.root"; };
/* Slaving the following zones from the root name servers has some
significant advantages:
1. Faster local resolution for your users
2. No spurious traffic will be sent from your network to the roots
3. Greater resilience to any potential root server failure/DDoS
On the other hand, this method requires more monitoring than the
hints file to be sure that an unexpected failure mode has not
incapacitated your server. Name servers that are serving a lot
of clients will benefit more from this approach than individual
hosts. Use with caution.
To use this mechanism, uncomment the entries below, and comment
the hint zone above.
*/
/*
zone "." {
type slave;
file "slave/root.slave";
masters {
192.5.5.241; // F.ROOT-SERVERS.NET.
};
notify no;
};
zone "arpa" {
type slave;
file "slave/arpa.slave";
masters {
192.5.5.241; // F.ROOT-SERVERS.NET.
};
notify no;
};
zone "in-addr.arpa" {
type slave;
file "slave/in-addr.arpa.slave";
masters {
192.5.5.241; // F.ROOT-SERVERS.NET.
};
notify no;
};
*/
/* Serving the following zones locally will prevent any queries
for these zones leaving your network and going to the root
name servers. This has two significant advantages:
1. Faster local resolution for your users
2. No spurious traffic will be sent from your network to the roots
*/
// RFC 1912
zone "localhost" { type master; file "master/localhost-forward.db"; };
zone "127.in-addr.arpa" { type master; file "master/localhost-reverse.db"; };
zone "255.in-addr.arpa" { type master; file "master/empty.db"; };
// RFC 1912-style zone for IPv6 localhost address
zone "0.ip6.arpa" { type master; file "master/localhost-reverse.db"; };
// "This" Network (RFCs 1912 and 3330)
zone "0.in-addr.arpa" { type master; file "master/empty.db"; };
// Private Use Networks (RFC 1918)
zone "10.in-addr.arpa" { type master; file "master/empty.db"; };
zone "16.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "17.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "18.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "19.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "20.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "21.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "22.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "23.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "24.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "25.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "26.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "27.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "28.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "29.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "30.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "31.172.in-addr.arpa" { type master; file "master/empty.db"; };
zone "168.192.in-addr.arpa" { type master; file "master/empty.db"; };
// Link-local/APIPA (RFCs 3330 and 3927)
zone "254.169.in-addr.arpa" { type master; file "master/empty.db"; };
// TEST-NET for Documentation (RFC 3330)
zone "2.0.192.in-addr.arpa" { type master; file "master/empty.db"; };
// Router Benchmark Testing (RFC 3330)
zone "18.198.in-addr.arpa" { type master; file "master/empty.db"; };
zone "19.198.in-addr.arpa" { type master; file "master/empty.db"; };
// IANA Reserved - Old Class E Space
zone "240.in-addr.arpa" { type master; file "master/empty.db"; };
zone "241.in-addr.arpa" { type master; file "master/empty.db"; };
zone "242.in-addr.arpa" { type master; file "master/empty.db"; };
zone "243.in-addr.arpa" { type master; file "master/empty.db"; };
zone "244.in-addr.arpa" { type master; file "master/empty.db"; };
zone "245.in-addr.arpa" { type master; file "master/empty.db"; };
zone "246.in-addr.arpa" { type master; file "master/empty.db"; };
zone "247.in-addr.arpa" { type master; file "master/empty.db"; };
zone "248.in-addr.arpa" { type master; file "master/empty.db"; };
zone "249.in-addr.arpa" { type master; file "master/empty.db"; };
zone "250.in-addr.arpa" { type master; file "master/empty.db"; };
zone "251.in-addr.arpa" { type master; file "master/empty.db"; };
zone "252.in-addr.arpa" { type master; file "master/empty.db"; };
zone "253.in-addr.arpa" { type master; file "master/empty.db"; };
zone "254.in-addr.arpa" { type master; file "master/empty.db"; };
// IPv6 Unassigned Addresses (RFC 4291)
zone "1.ip6.arpa" { type master; file "master/empty.db"; };
zone "3.ip6.arpa" { type master; file "master/empty.db"; };
zone "4.ip6.arpa" { type master; file "master/empty.db"; };
zone "5.ip6.arpa" { type master; file "master/empty.db"; };
zone "6.ip6.arpa" { type master; file "master/empty.db"; };
zone "7.ip6.arpa" { type master; file "master/empty.db"; };
zone "8.ip6.arpa" { type master; file "master/empty.db"; };
zone "9.ip6.arpa" { type master; file "master/empty.db"; };
zone "a.ip6.arpa" { type master; file "master/empty.db"; };
zone "b.ip6.arpa" { type master; file "master/empty.db"; };
zone "c.ip6.arpa" { type master; file "master/empty.db"; };
zone "d.ip6.arpa" { type master; file "master/empty.db"; };
zone "e.ip6.arpa" { type master; file "master/empty.db"; };
zone "0.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "1.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "2.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "3.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "4.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "5.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "6.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "7.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "8.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "9.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "a.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "b.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "0.e.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "1.e.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "2.e.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "3.e.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "4.e.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "5.e.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "6.e.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "7.e.f.ip6.arpa" { type master; file "master/empty.db"; };
// IPv6 ULA (RFC 4193)
zone "c.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "d.f.ip6.arpa" { type master; file "master/empty.db"; };
// IPv6 Link Local (RFC 4291)
zone "8.e.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "9.e.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "a.e.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "b.e.f.ip6.arpa" { type master; file "master/empty.db"; };
// IPv6 Deprecated Site-Local Addresses (RFC 3879)
zone "c.e.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "d.e.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "e.e.f.ip6.arpa" { type master; file "master/empty.db"; };
zone "f.e.f.ip6.arpa" { type master; file "master/empty.db"; };
// IP6.INT is Deprecated (RFC 4159)
zone "ip6.int" { type master; file "master/empty.db"; };
// NB: Do not use the IP addresses below, they are faked, and only
// serve demonstration/documentation purposes!
//
// Example slave zone config entries. It can be convenient to become
// a slave at least for the zone your own domain is in. Ask
// your network administrator for the IP address of the responsible
// master name server.
//
// Do not forget to include the reverse lookup zone!
// This is named after the first bytes of the IP address, in reverse
// order, with ".IN-ADDR.ARPA" appended, or ".IP6.ARPA" for IPv6.
//
// Before starting to set up a master zone, make sure you fully
// understand how DNS and BIND work. There are sometimes
// non-obvious pitfalls. Setting up a slave zone is usually simpler.
//
// NB: Don't blindly enable the examples below. :-) Use actual names
// and addresses instead.
/* An example dynamic zone
key "exampleorgkey" {
algorithm hmac-md5;
secret "sf87HJqjkqh8ac87a02lla==";
};
zone "example.org" {
type master;
allow-update {
key "exampleorgkey";
};
file "dynamic/example.org";
};
*/
/* Example of a slave reverse zone
zone "1.168.192.in-addr.arpa" {
type slave;
file "slave/1.168.192.in-addr.arpa";
masters {
192.168.1.1;
};
};
*/
named.conf доторх эдгээр жишээнүүд нь
ердийн болон урвуу бүсийн зарц бүртгэлүүд болно.
Шинэ бүс нэмэхдээ, named.conf файл дотор шинэ бүртгэл
оруулах хэрэгтэй.
Жишээ нь, example.org домэйны хувьд
хамгийн хялбар бүртгэл дараах байдалтай байна:
zone "example.org" {
type master;
file "master/example.org";
};
Энэ бүс нь эзэн бүс болохыг илэрхийллээс харж болно.
Мөн бүсийн мэдээллийг /etc/namedb/master/example.org файл дотор агуулж байгааг
илэрхийллээс харж болно.
zone "example.org" {
type slave;
file "slave/example.org";
};
Зарц бүсийн хувьд, тухайн бүсийн хувьд бүсийн мэдээлэл
эзэн нэрийн серверээс зөөгдөж ирэх ба зааж өгсөн файлд хадгалагдана.
Эзэн сервер унтарсан эсвэл холбоо тогтоох боломжгүй болбол,
зарц нэрийн серверт бүсийн мэдээлэл байгаа тул асуулгуудад хариулах
чадвартай байна.
Бүсийн Файлууд
BIND
бүсийн файлууд
example.org домэйны хувьд жишээ эзэн бүсийн файлыг
дор үзүүлэв (/etc/namedb/master/example.org файл):
$TTL 3600 ; 1 hour default TTL
example.org. IN SOA ns1.example.org. admin.example.org. (
2006051501 ; Serial
10800 ; Refresh
3600 ; Retry
604800 ; Expire
300 ; Negative Reponse TTL
)
; DNS Servers
IN NS ns1.example.org.
IN NS ns2.example.org.
; MX Records
IN MX 10 mx.example.org.
IN MX 20 mail.example.org.
IN A 192.168.1.1
; Machine Names
localhost IN A 127.0.0.1
ns1 IN A 192.168.1.2
ns2 IN A 192.168.1.3
mx IN A 192.168.1.4
mail IN A 192.168.1.5
; Aliases
www IN CNAME example.org.
.
тэмдэгтээр төгссөн хост нэрүүд нь жинхэнэ хост нэрүүд бөгөөд
.
тэмдэгтээр төгсөөгүй нэрүүдэд үүсэл залгагдахыг анхаарна уу.
Жишээлбэл, ns1 нь ns1.example.org.-руу
хөрвүүлэгдэх болно.
Бүсийн файл дараах хэлбэртэй байна:
recordname IN recordtype value
DNS
бичлэгүүд
Хамгийн өргөн хэрэглэгддэг DNS бичлэгүүд:
SOA
start of zone authority буюу бүсийн бүрэн эрхт мэдээллийн эхлэл
NS
бүрэн эрхт нэрийн сервер
A
хостын хаяг
CNAME
хуурамч дүрд өгөх хүлээн зөвшөөрөгдсөн нэр
MX
захидал солилцогч
PTR
домэйн нэрийг заагч (урвуу DNS-д хэрэглэнэ)
example.org. IN SOA ns1.example.org. admin.example.org. (
2006051501 ; Serial
10800 ; Refresh after 3 hours
3600 ; Retry after 1 hour
604800 ; Expire after 1 week
300 ) ; Negative Reponse TTL
example.org.
домэйн нэр, мөн энэ бүсийн файлын хувьд үүсэл
болно.
ns1.example.org.
энэ бүсийн гол/бүрэн эрхт нэрийн
сервер.
admin.example.org.
энэ бүсийг хариуцагч хүн, @
тэмдэгтийг нь
орлуулсан цахим захидлын хаяг.
(admin@example.org нь admin.example.org болно)
2006051501
Файлын сериал дугаар. Бүсийн файлд өөрчлөлт оруулах болгонд
энэ дугаарыг нэмэгдүүлэх шаардлагатай. Одоо цагт ихэнх админууд энэ сериал дугаарыг
yyyymmddrr хэлбэрээр хэрэглэх болсон. 2006051501 гэдэг нь
хамгийн сүүлд 05/15/2006-нд засвар хийсэн, хамгийн сүүлийн 01 гэдэг нь
энэ өдөр хийгдсэн хамгийн анхны засвар гэдгийг илтгэнэ. Энэ сериал дугаар
нь зарц серверүүдэд бүсийн мэдээлэл өөрчлөгдсөн талаар мэдээлэл өгдөг тул их чухал зүйл
байгаа юм.
IN NS ns1.example.org.
Энэ бол NS бичлэг. Тухайн бүсийн хувьд бүрэн эрхт хариултыг
өгч чадах сервер бүрийн хувьд энэ бичлэг байх ёстой.
localhost IN A 127.0.0.1
ns1 IN A 192.168.1.2
ns2 IN A 192.168.1.3
mx IN A 192.168.1.4
mail IN A 192.168.1.5
A бичлэг нь машины нэрийг заана. Дээр үзүүлсэнчлэн,
ns1.example.org нь 192.168.1.2-руу буулгагдана.
IN A 192.168.1.1
Энэ мөр нь 192.168.1.1 гэсэн IP хаягийг
үүсэлд оноож байна, бидний жишээн дээр example.org.
www IN CNAME @
Хүлээн зөвшөөрөгдсөн нэрийн бичлэг нь машинд хуурамч дүр
өгөхөд хэрэглэгдэнэ. Энэ жишээн дээр, www нь
example.org (192.168.1.1) гэсэн домэйн нэртэй
master
машины хуурамч дүрийн нэр юм. CNAME-г тухайн хостын нэрийн хувьд
өөр төрлийн бичлэгтэй хэзээ ч цуг хэрэглэж болохгүй.
MX бичлэг
IN MX 10 mail.example.org.
MX бичлэг нь аль захидлын серверүүд тухайн бүсийн захидлыг
хүлээж авах үүрэгтэй болохыг зааж өгнө. mail.example.org
нь захидлын серверийн хост нэр бөгөөд 10 нь энэ захидлын серверийн
зэрэглэлийг зааж байна.
Нэг бүсэд 10, 20 гэх мэт ялгаатай зэрэглэлтэй
хэд хэдэн захидлын сервер байж болно. example.org
домэйн руу захидал явуулах гэж байгаа сервер эхлээд
хамгийн өндөр зэрэглэлтэй MX сервертэй (хамгийн бага зэрэглэлийн дугаартай), дараа нь дараагийн хамгийн өндөр зэрэглэлтэй
сервертэй гэх мэтчилэн захидлыг явуулж чадтал дарааллаар нь холбоо тогтооно.
in-addr.arpa бүсийн файл (урвуу DNS) нь ижил хэлбэртэй байна. Ганцхан ялгаа нь
A болон CNAME бичлэгийн оронд PTR бичлэгийг хэрэглэнэ.
$TTL 3600
1.168.192.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. (
2006051501 ; Serial
10800 ; Refresh
3600 ; Retry
604800 ; Expire
300 ) ; Negative Reponse TTL
IN NS ns1.example.org.
IN NS ns2.example.org.
1 IN PTR example.org.
2 IN PTR ns1.example.org.
3 IN PTR ns2.example.org.
4 IN PTR mx.example.org.
5 IN PTR mail.example.org.
Энэ файлд дээрх домэйны IP-с хост нэр рүү буулгасан
зохих шаардлагатай буулгалтуудыг үзүүлсэн байна.
PTR бичлэгийн баруун талын бүх нэрс төгссөн байх
ёстой (өөрөөр хэлбэл .
-ээр төгссөн
байна).
Түр тогтоогч Нэрийн Сервер (Caching Name Server)
BIND
түр тогтоогч нэрийн сервер
Түр тогтоогч нэрийн сервер гэдэг нь
рекурсив хүсэлтэд хариу өгөх гол үүрэгтэй нэрийн серверийг хэлнэ.
Ийм төрлийн сервер нь зөвхөн асуулга явуулах бөгөөд
хариултыг дараа хэрэглэхээр тогтоож авдаг.
Аюулгүй байдал
Хэдийгээр BIND нь хамгийн өргөн хэрэглэгддэг DNS сервер боловч,
аюулгүй байдалтай холбоотой асуудлууд байнга тулгардаг.
Гадны халдлагад өртөж болзошгүй аюулгүй байдлын цоорхой заримдаа
олддог.
Хэдийгээр &os; named-г автоматаар &man.chroot.8; орчинд
оруулдаг боловч; DNS халдлагад ашиглаж болохуйц
хэд хэдэн механизмууд байсаар байна.
CERT-с гаргадаг аюулгүй байдлын
санамжуудыг уншихыг зөвлөж байна. Мөн &a.security-notifications;-д бүртгүүлж,
шинээр гарч байгаа Интернэт болон &os;-н аюулгүй байдлын асуудлуудын
талаар мэдээлэлтэй байхыг зөвлөе.
Хэрэв ямар нэгэн асуудал тулгарвал
эхийг байнга шинэчилж, named-г шинээр бүтээх нь тусалж болох юм.
Гүнзгийрүүлэн унших
BIND/named заавар хуудсууд:
&man.rndc.8; &man.named.8; &man.named.conf.5;
ISC BIND-н Албан ёсны Хуудас
ISC BIND-н Албан ёсны Хэлэлцүүлэг
O'Reilly
"DNS ба BIND" 5 дахь Хэвлэлт
RFC1034
- Домэйн Нэрүүд - Зарчмууд болон Боломжууд
RFC1035
- Домэйн Нэрүүд - Хэрэгжүүлэлт болон Үзүүлэлтүүд
Мюррей
Стөүкли
Хувь нэмрээ оруулсан
Лодойсамбын
Баянзул
Орчуулсан
Apache HTTP Сервер
вэб серверүүд
зохион байгуулах
Apache
Удиртгал
Дэлхийн хамгийн их ачаалалтай ажилладаг
зарим вэб сайтууд &os; дээр ажилладаг. Интернэтэд ажиллаж байгаа
вэб серверүүдийн олонхи нь Apache HTTP Серверийг ашиглаж
байна. Apache програм хангамжийн багц таны FreeBSD суулгах дискэнд
орсон байгаа. Хэрэв та &os;-г анх суулгахдаа Apache-г хамт
суулгаагүй бол www/apache13 эсвэл www/apache20
портоос суулгаж болно.
Apache нэгэнт амжилттай суусан бол түүнийг тохируулах
шаардлагатай.
Apache HTTP Server-н 1.3.X хувилбар нь
&os;-д хамгийн өргөн хэрэглэгддэг тул бид энэ хэсэгт энэ хувилбарыг үзэх болно.
Apache 2.X-д олон шинэ технологи нэвтэрсэн боловч
бид энэ талаар энд үзэхгүй. Apache 2.X-н талаар
дэлгэрэнгүй мэдээллийг хаягаар орж үзнэ үү.
Тохиргоо
Apache
тохиргооны файл
&os; дээрх Apache HTTP Серверийн гол тохиргооны файл
бол /usr/local/etc/apache/httpd.conf юм. Энэ файлд,
&unix;-н текст тохиргооны файлын нэгэн адил тайлбар мөрүүдийн өмнө
# тэмдэгтийг хэрэглэдэг. Бүх боломжит тохируулгуудын
талаар дэлгэрүүлж тайлбарлах нь энэ номын хүрээнээс халих тул,
хамгийн их өөрчлөлт хийгддэг директивүүдийг энд авч үзье.
ServerRoot "/usr/local"
Энэ директив Apache суулгацын
анхдагч директор шатлалын эхийг зааж өгнө. Хоёртын файлууд
серверийн эх директорын
bin ба sbin дэд директоруудад,
тохиргооны файлууд etc/apache дэд директорт байрлана.
ServerAdmin you@your.address
Сервертэй холбоотой асуудлуудын талаар
илгээх цахим захидлын хаягийг заана. Энэ хаяг алдааны хуудсууд гэх зэрэг
сервер талаас автоматаар үүсгэгддэг зарим хуудсууд дээр
бичигдэх болно.
ServerName www.example.com
ServerName нь хост дээр тохируулагдсан хост нэрээс
өөр нэрийг сервертээ өгөх боломжийг танд олгоно (өөрөөр хэлбэл, хостын жинхэнэ
хост нэрийн оронд www-г хэрэглэх). Энэ нэрээр таны сервер харилцагч
нартай харилцах болно.
DocumentRoot "/usr/local/www/data"
DocumentRoot: Энэ директорт байгаа вэб баримтуудыг
харилцагч нарт үзүүлэх болно. Анхдагч байдлаар, бүх хүсэлтүүд энэ
директорт өгөгдөнө. Гэвч симбол холбоосууд болон хуурамч дүрүүдийг
ашиглан өөр газар руу зааж өгч болно.
Apache-н тохиргооны файлд ямар нэг
өөрчлөлт хийхээсээ өмнө нөөц хуулбарыг авч үлдэхээ мартуузай.
Тохиргоо хийж дууссан бол одоо Apache-г ажиллуулах
хэрэгтэй.
<application>Apache</application>-г ажиллуулах нь
Apache
эхлүүлэх ба зогсоох
Бусад олон сүлжээний орчны серверүүд
inetd супер серверээс ажилладаг бол,
Apache тэгдэггүй. Харилцагч вэб хөтчүүдээс
ирэх HTTP хүсэлтүүдэд хариулахдаа илүү өндөр үзүүлэлттэй ажиллуулахын тулд
түүнийг бие даан ажилладаг байхаар тохируулсан байдаг.
Эхлүүлэх, зогсоох болон дахин эхлүүлэх зэрэг үйлдлийг
аль болох хялбар болгохын тулд бүрхүүлийн скрипт хялбаршуулагч
хамт ирдэг. Apache-г анх удаа эхлүүлэхийн тулд, дараах
тушаалыг өгнө:
&prompt.root; /usr/local/sbin/apachectl start
Хүссэн үедээ серверийг дараах тушаалаар зогсооно:
&prompt.root; /usr/local/sbin/apachectl stop
Тохиргооны файлд өөрчлөлт оруулсны дараа,
серверийг дахин эхлүүлэх шаардлагатай:
&prompt.root; /usr/local/sbin/apachectl restart
Тогтсон холболтуудыг таслалгүйгээр Apache-г
дахин эхлүүлэхийн тулд дараах тушаалыг өгнө:
&prompt.root; /usr/local/sbin/apachectl graceful
Нэмэлт мэдээллийг &man.apachectl.8; заавар хуудаснаас авна уу.
Систем ачаалах үед Apache-г эхлүүлэхийн тулд
дараах мөрүүдийг /etc/rc.conf файлд нэмж бичнэ:
apache_enable="YES"
буюу эсвэл Apache 2.2-ийн хувьд:
apache22_enable="YES"
Хэрэв систем ачаалах үед эхэлдэг Apache
httpd програмд нэмэлт тушаалын мөрний тохируулгуудыг
оруулах хүсэлтэй бол, дараах мөрийг мөн rc.conf файлд
нэмэх хэрэгтэй:
apache_flags=""
Одоо таны вэб сервер ажиллаж байна.
Та өөрийн вэб сайтыг вэб хөтөч дээрээ http://localhost/
хаягийг оруулан харж болно. Энд гарах анхдагч вэб хуудас бол
/usr/local/www/data/index.html юм.
Давхар байршуулалт
Apache нь хоёр төрлийн давхар
байршуулах үйлчилгээг дэмждэг. Эхнийх нь
нэр дээр үндэслэсэн давхар байршуулалт юм.
Нэр дээр үндэслэсэн давхар байршуулалт дээр
хост нэрийг ялгаж мэдэхдээ харилцагчийн HTTP/1.1 толгойн хэсгийг ашигладаг.
Иим байдлаар олон өөр домэйнууд нэг IP хаягийг хуваан хэрэглэх
боломжтой болдог.
Apache дээр, нэр дээр үндэслэсэн
давхар байршуулалтыг хэрэглэхийн тулд
доор дурдсантай төстэй бүртгэлийг httpd.conf
файл дотор нэмж бичих хэрэгтэй:
NameVirtualHost *
Таны вэб серверийн нэр www.domain.tld
бөгөөд www.someotherdomain.tld нэртэй домэйныг
давхар байршуулах хүсэлтэй бол, та дараах бүртгэлийг
httpd.conf файлд нэмэх хэрэгтэй болно:
<VirtualHost *>
ServerName www.domain.tld
DocumentRoot /www/domain.tld
</VirtualHost>
<VirtualHost *>
ServerName www.someotherdomain.tld
DocumentRoot /www/someotherdomain.tld
</VirtualHost>
Дээрх хаягуудын оронд хэрэгтэй хаягуудыг, замуудын оронд
баримтууд байгаа зохих замуудыг сольж бичнэ үү.
Давхар хостуудыг зохион байгуулах талаар
дэлгэрэнгүй мэдээллийг Apache-н албан ёсны баримтжуулалт:
-с олж үзнэ үү.
Apache Модулиуд
Apache
модулиуд
Үндсэн серверийн үүрэг функцыг сайжруулахын
тулд бүтээгдсэн Apache-н олон модулиуд байдаг.
FreeBSD Портуудын Цуглуулга нь Apache-г түүний
өргөн хэрэглэгддэг зарим модулиудын хамт хялбар суулгах
боломжийг олгодог.
mod_ssl
вэб серверүүд
аюулгүй
SSL
криптограф
mod_ssl модуль нь Secure Sockets Layer (SSL v2/v3) ба
Transport Layer Security (TLS v1) протоколоор дамжуулан өндөр
нууцлалыг хангахын тулд OpenSSL санг ашигладаг.
Энэ модуль нь батламж олгодог итгэмжлэгдсэн байгууллагаас
батламж авахын тулд шаардлагатай бүх зүйлсээр хангадаг тул
та үүнийг ашиглан &os; дээр аюулгүй вэб сервер ажиллуулж чадна.
Хэрэв та Apache-г суулгаж амжаагүй бол,
mod_ssl модулийг агуулдаг
Apache-н 1.3.X хувилбарыг www/apache13-modssl
портоос суулгаж болох юм.
Apache 2.X-н хувьд SSL дэмжлэгийг www/apache22
портоос авч болно. SSL дэмжлэг автоматаар идэвхжсэн байдаг.
Хэлний холболтууд
Ихэнх гол скрипт хэлнүүдэд зориулсан Apache-ийн
модулиуд байдаг. Эдгээр модулиуд нь
Apache-ийн модулиудыг
бүхэлд нь скрипт хэл дээр бичих боломжийг ихэвчлэн
бүрдүүлдэг. Эдгээр нь бас гадаад тайлбарлагчийг эхлүүлэх нэмэлт
зардал болон димамик вэб сайтуудын хувьд байдаг эхлүүлэх
хугацааны алдагдлыг тойрон гарах, серверт багтааж хийгдсэн
байнгын тайлбарлагч болон дараагийн хэсэгт тайлбарлагдсан
шигээр ихэвчлэн ашиглагддаг.
Динамик вэб сайтууд
web servers
dynamic
Сүүлийн 10 жилд, өөрийн ашиг орлогыг нэмэгдүүлэх,
хүмүүст хүрэх зорилгоор илүү олон компаниуд
бизнесээ Интернэтээр явуулах болжээ. Энэ нь
динамик агуулгатай вэб хуудсууд төрөн гарах
хэрэгцээ шаардлагыг улам нэмэгдүүлсэн. µsoft; гэх мэт зарим компаниуд
ч өөрийн бүтээгдэхүүнүүдэд тэдгээрээс оруулах болсон хэдий ч,
нээлттэй эхийн нэгдэл энэ асуудалд хариу өгсөн юм. Динамик вэб агуулгыг
бий болгох орчин үеийн боломжууд бол Django, Ruby on Rails,
mod_perl болон
mod_php юм.
Django
Python
Django
Django нь өндөр ажиллагаатай, гоёмсог вэб програмыг
хурдан бичих боломжийг хөгжүүлэгчдэд олгохоор хийгдсэн,
BSD лицензтэй тогтолцоо юм. Энэ нь өгөгдлийн төрлүүд
Python обьект хэлбэрээр хөгжүүлэгддэг байхаар болгосон
обьектийн харилцааг оноогчтой бөгөөд тэдгээр обьектуудад зориулсан
хөгжүүлэгчдэд SQL бичих шаардлагагүй болгож өгдөг, баялаг
динамик өгөгдлийн сангийн хандалтын API-тай юм. Энэ нь бас
програмын логикийг HTML үзүүлбэрээс тусгаарлах боломжийг
бүрдүүлэх нэмэлт загварын системтэй байдаг.
Django нь mod_python,
Apache, болон таны сонгосон SQL өгөгдлийн
сангийн хөдөлгүүрээс хамаардаг. FreeBSD порт нь эдгээр бүх
хамаарлуудыг тохирсон сонголтуудтай нь танд суулгаж өгөх болно.
Django-г Apache2, mod_python3, болон PostgreSQL-тэй суулгах нь
&prompt.root; cd /usr/ports/www/py-django; make all install clean -DWITH_MOD_PYTHON3 -DWITH_POSTGRESQL
Django болон бусад хамаарлууд суулгагдсаны дараа та
Django төслийн санг үүсгэх хэрэгтэй бөгөөд өөрийн сайт дээрх
тухайн URL дээр өөрийн програмыг дуудахын тулд суулгагдсан
Python тайлбарлагчийг ашиглахаар болгож Apache-г тохируулах хэрэгтэй.
Django/mod_python-д зориулсан Apache-ийн тохиргоо
Та өөрийн вэб програм руу тодорхой URL-уудад зориулсан
хүсэлтүүдийг дамжуулахаар Apache-г тохируулахын тулд
apache-ийн httpd.conf файлд мөр
нэмэх шаардлагатай:
<Location "/">
SetHandler python-program
PythonPath "['/dir/to/your/django/packages/'] + sys.path"
PythonHandler django.core.handlers.modpython
SetEnv DJANGO_SETTINGS_MODULE mysite.settings
PythonAutoReload On
PythonDebug On
</Location>
Ruby on Rails
Ruby on Rails
Ruby on Rails нь бүрэн гүйцэд хөгжүүлэлтийн стекийн
боломжийг олгодог бөгөөд вэб хөгжүүлэгчдийг хүчирхэг
програмыг хурдан шуурхай, илүү үр бүтээлтэй бичдэг байхаар
оновчлогдсон, нээлттэй эхийн вэб тогтолцоо юм. Үүнийг портын
системээс хялбараар суулгаж болно.
&prompt.root; cd /usr/ports/www/rubygem-rails; make all install clean
mod_perl
mod_perl
Perl
Apache/Perl нэгтгэх төсөл
Perl програмчлалын хэл ба Apache HTTP Серверийн
бүх хүч чадлыг нэгтгэсэн юм. mod_perl модулийн
тусламжтай Apache модулиудыг тэр чигээр нь
Perl дээр бичих боломжтой. Дээр нь, серверт суулгасан
шургуу хөрвүүлэгч, гадны хөрвүүлэгч ашиглах илүү ажил болон
Perl эхлүүлэх хугацааны алдагдлаас зайлсхийж чадсан юм.
mod_perl-г хэд хэдэн янзаар хэрэглэж болно.
mod_perl-г хэрэглэж эхлэхээс өмнө
mod_perl 1.0 зөвхөн Apache 1.3-тай ажилладаг,
mod_perl 2.0 зөвхөн Apache 2.X-тэй ажилладаг гэдгийг
санаарай. mod_perl 1.0-г www/mod_perl портоос,
түүний статикаар эмхэтгэсэн хувилбарыг www/apache13-modperl
портоос суулгаж болно. mod_perl 2.0-г
www/mod_perl2 портоос суулгаж болно.
Том
Рөүдс
Бичсэн
Лодойсамбын
Баянзул
Орчуулсан
mod_php
mod_php
PHP
PHP буюу PHP:Hypertext Preprocessor
бол
вэб хөгжүүлэлтэд тусгайлан тохируулсан, энгийн хэрэглээний
скрипт хэл юм. HTML дотор суулгах боломжтой түүний
синтакс C, &java;, ба Perl-с гаралтай. Энэ нь вэб хөгжүүлэгчдэд
динамикаар үүсгэгдэх вэб хуудсыг хурдан бичих боломжтой болгох
үүднээс тэгсэн хэрэг.
Apache вэб серверийг
PHP5-г дэмждэг болгохын тулд, lang/php5
портыг суулгаж эхлэх хэрэгтэй.
Хэрэв lang/php5 портыг
анх удаа суулгаж байгаа бол, боломжит
ТОХИРУУЛГУУД автоматаар дэлгэцэн дээр гарч ирнэ.
Хэрэв цэс гарч ирэхгүй бол, өөрөөр хэлбэл
lang/php5 портыг өмнө нь хэзээ нэгэн цагт
суулгаж байсан бол, тохируулгуудын харилцах цонхыг гаргаж ирэхийн тулд
дараах тушаалыг:
&prompt.root; make config
порт директор дотор өгөх хэрэгтэй.
Тохируулгуудын харилцах цонхонд,
mod_php5-г Apache-н
ачаалах боломжтой модуль байдлаар бүтээхийн тулд
APACHE тохируулгыг идэвхжүүлнэ.
Олон сайтууд PHP4-г янз бүрийн шалтгааны улмаас
(өөрөөр хэлбэл, нийцтэй байдал эсвэл аль хэдийн үйлчилгээнд гаргачихсан
вэб програмууд) ашигласаар байна. Хэрэв
mod_php4-г mod_php5-н оронд ашиглах
шаардлагатай бол, lang/php4 портыг ашиглаарай.
lang/php4 порт нь lang/php5 портод
байдаг тохиргооны болон бүтээх үеийн олон тохируулгуудыг дэмждэг.
Энэ хэсэг код динамик PHP програмыг дэмждэг болгоход
шаардлагатай модулиудыг суулгаж тохируулах болно. Доорх мөрүүд
/usr/local/etc/apache/httpd.conf файл дотор нэмэгдсэн эсэхийг шалгаарай:
LoadModule php5_module libexec/apache/libphp5.so
AddModule mod_php5.c
<IfModule mod_php5.c>
DirectoryIndex index.php index.html
</IfModule>
<IfModule mod_php5.c>
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
</IfModule>
Үүний дараа, PHP модулийг ачаалахын тулд,
дараах тушаалыг өгч серверийг дахин ачаалах хэрэгтэй:
&prompt.root; apachectl graceful
Дараа, PHP-н хувилбарыг дээшлүүлэх үедээ,
make config тушаалыг өгөх шаардлагагүй;
идэвхжүүлсэн ТОХИРУУЛГУУД &os; Портуудын
тогтолцоонд автоматаар хадгалагдсан байгаа.
&os;-н PHP дэмжлэг нь дээд зэргээр
модульчлагдсан тул үндсэн суулгац нь маш хязгаарлагдмал
байдаг. lang/php5-extensions портыг ашиглан дэмжлэг
нэмэх нь үнэхээр амархан асуудал. PHP өргөтгөлийг суулгах явцад,
энэ порт танд цэсээс тогтсон интерфэйсийг санал болгоно. Өөрөөр,
өргөтгөлүүдийг нэг нэгээр нь харгалзах портуудаас суулгаж болно.
Жишээлбэл, PHP5-д MySQL өгөгдлийн
сангийн серверийн дэмжлэгийг нэмэхийн тулд, databases/php5-mysql
портыг суулгахад хангалттай.
Ямар нэг өргөтгөл суулгасны дараа,
тохиргооны өөрчлөлтийг хүчин төгөлдөр болгохын тулд Apache
серверийг дахин ачаалах шаардлагатайг анхаарна уу:
&prompt.root; apachectl graceful
Мюррей
Стөүкли
Хувь нэмрээ оруулсан
Файл Дамжуулах Протокол (FTP)
FTP серверүүд
Удиртгал
File Transfer Protocol буюу Файл Дамжуулах Протокол (FTP) нь хэрэглэгчдэд
FTP серверээс файлыг авах болон тавих хялбар
замыг бий болгодог. &os; үндсэн систем дотроо FTP
сервер програм ftpd-г агуулж байдаг. Энэ нь FreeBSD дээр
FTP серверийг босгох, удирдах ажлыг төвөггүй болгодог.
Тохиргоо
Тохиргоо хийхийн өмнөх хамгийн чухал алхам бол
ямар дансууд FTP серверт хандах эрхтэй байх вэ гэдгийг шийдэх байдаг.
Ердийн FreeBSD систем нь янз бүрийн дэмонуудад хэрэглэгддэг
олон тооны системийн дансуудтай байдаг ба гадны хэрэглэгчид
эдгээр дансыг ашиглан нэвтрэх ёсгүй. /etc/ftpusers файл дотор
FTP хандалт зөвшөөрөгдөөгүй хэрэглэгчдийн жагсаалтыг хадгална.
Анхдагч байдлаар, дээр дурдсан системийн дансууд энэ файлд байна.
FTP хандалтыг зөвшөөрөх ёсгүй өөр хэрэглэгчдийг ч мөн энэ файлд
нэмж болно.
Зарим хэрэглэгчдийн FTP хэрэглэхийг нь бүр болиулчихалгүйгээр,
зөвхөн зарим нэг эрхийг нь хязгаарлаж бас болно. Үүнийг
/etc/ftpchroot файлын тусламжтай гүйцэтгэж болно.
Энэ файл дотор FTP хандалтыг нь хязгаарлах хэрэглэгчид болон
бүлгүүдийн жагсаалт байна. &man.ftpchroot.5; заавар хуудсанд
бүх мэдээлэл байгаа тул энд дурдсангүй.
FTP
нийтийн
Хэрэв сервертээ нийтийн FTP хандалтыг зөвшөөрөх хүсэлтэй байгаа бол,
&os; систем дээрээ ftp нэртэй хэрэглэгч нэмэх хэрэгтэй.
Ингэснээр хэрэглэгчид таны FTP сервер рүү ftp эсвэл
anonymous гэсэн нэрээр ямар ч нэвтрэх үг шаардагдахгүйгээр
(тогтсон заншил ёсоор хэрэглэгч цахим шуудангийн хаягаа
нэвтрэх үгийн оронд хэрэглэх шаардлагатай) нэвтрэн орох болно.
Нийтийн хэрэглэгч системд орж ирэхэд FTP сервер түүний эрхийг
зөвхөн ftp хэрэглэгчийн гэрийн сан дотор
хязгаарлахын тулд &man.chroot.2;-г дуудна.
FTP харилцагчдад зориулсан мэндчилгээний үгнүүдийг
агуулсан хоёр текст файл байдаг. /etc/ftpwelcome файл
дотор байгааг нэвтрэлт хүлээх мөр гарахаас өмнө хэрэглэгчдэд дэлгэцэн дээр
хэвлэнэ. Амжилттай нэвтэрч орсны дараа /etc/ftpmotd файл
дотор байгааг дэлгэцэн дээр хэвлэнэ. Энэ файлын зам нь
нэвтэрч орсон орчинтой харьцангуйгаар авсан зам гэдгийг
анхаарна уу, тиймээс нийтийн хэрэглэгчдийн хувьд
~ftp/etc/ftpmotd файлыг хэвлэх болно.
FTP серверийн тохиргоог зохих ёсоор хийсний дараа,
/etc/inetd.conf файл дотор идэвхжүүлэх хэрэгтэй.
Үүний тулд, ftpd гэсэн мөрний өмнөх #
тэмдэгтийг арилгахад хангалттай:
ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l
хэсэгт тайлбарласан ёсоор
энэ тохиргооны файлд өөрчлөлт оруулсны дараа
inetd-г дахин ачаалах шаардлагатай. Өөрийн
систем дээр inetd-г идэвхжүүлэх талаар
дэлгэрэнгүйг -с үзнэ үү.
Мөн ftpd-ийг дангаар нь ажиллуулахаар
тохируулж болно. Энэ тохиолдолд /etc/rc.conf файлд
тохирох хувьсагчийг тохируулахад хангалттай байдаг:
ftpd_enable="YES"
Дээрх хувьсагчийг тохируулсны дараа сервер дараачийн ачаалалт хийхэд
ажиллах боломжтой болох бөгөөд эсвэл дараах тушаалыг root
эрхээр ажиллуулан эхлүүлж болно:
&prompt.root; /etc/rc.d/ftpd start
Одоо та дараах тушаалыг өгөн FTP сервер рүү нэвтрэн орж болно:
&prompt.user; ftp localhost
Арчилгаа
syslog
бүртгэлийн файлууд
FTP
ftpd дэмон бүртгэл хөтлөхдөө &man.syslog.3;-г ашигладаг.
Анхдагч байдлаар, системийн бүртгэлийн дэмон FTP-тэй холбоотой
зурвасуудыг /var/log/xferlog файлд бичнэ. FTP бүртгэлийн файлын
байршлыг өөрчлөхийн тулд /etc/syslog.conf файл дотор, дараах
мөрийг засах хэрэгтэй:
ftp.info /var/log/xferlog
FTP
нийтийн
Нийтийн FTP сервер ажиллуулахад тохиолдох
болзошгүй асуудлуудын талаар мэдлэгтэй байгаарай.
Ялангуяа, нийтийн хэрэглэгчдэд файл байршуулахыг
зөвшөөрөх тухайд сайн бодох хэрэгтэй. Таны FTP сайт
лицензгүй програм хангамжуудыг наймаалцдаг талбар болох, эсвэл түүнээс ч
муу зүйл тохиолдохыг үгүйсгэхгүй. Хэрэв нийтийн FTP байршуулалтыг
зөвшөөрөх шаардлагатай бол, файлуудыг нягталж үзэхээс нааш
бусад нийтийн хэрэглэгчид тэдгээр файлыг унших эрхгүй байхаар
тохируулж өгөх хэрэгтэй.
Мюррей
Стөүкли
Хувь нэмрээ оруулсан
Лодойсамбын
Баянзул
Орчуулсан
µsoft.windows; харилцагчдад зориулсан Файл болон Хэвлэх Үйлчилгээ (Samba)
Samba сервер
Microsoft Windows
файл сервер
Windows харилцагчид
хэвлэх сервер
Windows харилцагчид
Ерөнхий Агуулга
Samba бол µsoft.windows; харилцагчдад
файл болон хэвлэх үйлчилгээг үзүүлдэг, өргөн хэрэглэгддэг
нээлттэй эхийн програм хангамжийн багц юм. Ийм төрлийн харилцагчид
FreeBSD файлын орчинд холбогдож, файлуудыг өөрийн дискэн дээр байгаа юм шиг,
эсвэл FreeBSD хэвлэгчийг өөрийн дотоод хэвлэгч шиг хэрэглэх боломжтой болдог.
Samba програм хангамжийн багцууд таны FreeBSD суулгах
дискэнд орсон байгаа. Хэрэв та анх FreeBSD суулгахдаа
Samba-г хамт суулгаагүй бол, net/samba3
порт эсвэл багцаас суулгаж болно.
Тохиргоо
Samba-н анхдагч тохиргооны файл
/usr/local/share/examples/samba/smb.conf.default гэж суугдсан байдаг. Энэ файлыг /usr/local/etc/smb.conf
нэртэй хуулаад, Samba-г ашиглаж
эхлэхээсээ өмнө өөртөө тааруулан засварлах ёстой.
smb.conf файл нь &windows; харилцагчтай хуваалцах
хүсэлтэй файл системийн хэсэг
ба хэвлэгчийн тодорхойлолт гэх зэрэг
Samba-н ажиллах үеийн тохиргооны мэдээллийг агуулж байдаг.
Samba багц дотор smb.conf файл дээр ажиллах хялбар
арга замыг хангасан swat нэртэй вэб дээр суурилсан
хэрэгсэл хамт ирдэг.
Samba-г Вэбээр Удирдах Хэрэгсэл (SWAT)
Samba Web Administration Tool буюу Samba-г Вэбээр Удирдах Хэрэгсэл (SWAT)
нь inetd-н дэмон хэлбэрээр ажиллана.
Тиймээс, Samba-г swat
ашиглан тохируулахын өмнө /etc/inetd.conf доторх
дараах мөрийг ил гаргах шаардлагатай:
swat stream tcp nowait/400 root /usr/local/sbin/swat swat
хэсэгт тайлбарласан ёсоор,
энэ тохиргооны файлд өөрчлөлт оруулсны дараа
inetd-ийн тохиргоог дахин ачаалах шаардлагатай.
swat-г inetd.conf дотор идэвхжүүлсний
дараа, вэб хөтөч ашиглан хаяганд холбогдоно.
Та эхлээд системийн root дансаар нэвтэрч орох ёстой.
Samba-н тохиргооны үндсэн хуудсанд
амжилттай нэвтэрч орсон бол, системийн баримтуудаар аялах,
эсвэл Globals цэсэн дээр дарж тохиргоог хийх боломжтой болно.
Globals хэсэг /usr/local/etc/smb.conf файлын
[global] хэсэгт байгаа хувьсагчдад харгалзана.
Глобал тохиргоо
swat-г хэрэглэж байгаа эсвэл
/usr/local/etc/smb.conf-г гараараа засаж байгаа аль нь ч бай,
Samba-г тохируулах явцад тааралдах хамгийн эхний
директивууд бол:
workgroup
Энэ нь сервер рүү хандах компьютеруудын NT Домэйн-Нэр эсвэл
Ажлын бүлгийн-Нэр.
netbios name
NetBIOS
Энэ директив Samba серверийн NetBIOS нэрийг заана.
Анхдагч байдлаар, хостын DNS нэрийн эхний хэсэгтэй адил байна.
серверийн мөр
Энэ директив net view тушаалын хариуд
гарч ирэх эсвэл зарим сүлжээний хэрэгслүүд дээр энэ серверийг
төлөөлж гарах мөрийг заана.
Аюулгүй байдлын Тохиргоо
/usr/local/etc/smb.conf доторх
хамгийн чухал хоёр тохиргоо бол аюулгүй байдлын загвар,
болон харилцагчдын нэвтрэх үгийн арын шугамны хэлбэр юм.
Дараах директивүүд эдгээр тохируулгуудыг хянана:
security
Энд хамгийн элбэг хэрэглэгддэг хоёр сонголт бол
security = share ба security = user юм. Хэрэв танай харилцагч нар
&os; машин дээр хэрэглэдэг хэрэглэгчийн нэртэй ижил нэрийг ашигладаг бол,
user түвшний аюулгүй байдлыг сонгохыг хүсэж байж магадгүй. Энэ бол
аюулгүй байдлын анхдагч бодлого бөгөөд эх үүсвэрт хандахаас өмнө харилцагчийг
системд нэвтэрч орохыг шаардана.
share түвшний аюулгүй байдалд, харилцагчид эх үүсвэрт хандахаас өмнө
хүчин төгөлдөр хэрэглэгчийн нэр болон нэвтрэх үгээр сервер рүү нэвтрэн орох
шаардлагагүй байдаг. Энэ бол Samba-н хуучин хувилбаруудын хувьд
аюулгүй байдлын анхдагч загвар байсан.
passdb backend
NIS+
LDAP
SQL өгөгдлийн сан
Samba-д хэд хэдэн төрлийн
арын шугамны магадлах загварууд байдаг. Харилцагчдыг
LDAP, NIS+, SQL өгөгдлийн сан, эсвэл хувиргасан нэвтрэх үгийн файлаар
магадлаж болно. Анхдагч магадлах арга бол smbpasswd бөгөөд
бид зөвхөн энэ талаар авч үзэх болно.
Анхдагч smbpasswd арын шугамыг хэрэглэж байгаа гэж үзвэл,
Samba харилцагчдыг магадлахын тулд
/usr/local/private/smbpasswd файлыг эхлээд үүсгэх ёстой.
Хэрэв &unix; хэрэглэгчийн эрхээр &windows; харилцагчаас ханддаг байх шаардлагатай бол,
дараах тушаалыг хэрэглэнэ:
&prompt.root; smbpasswd -a username
Samba 3.0.23c-аас эхлээд нэвтрэлтийн
файлуудад зориулсан сан нь /usr/local/etc/samba
сан юм. Энэ үед санал болгодог арын мэдээллийн сан нь tdbsam бөгөөд
хэрэглэгчийн бүртгэлийг нэмэхийн тулд дараах тушаалыг ашиглах ёстой:
&prompt.root; pdbedit username
Тохируулгуудын талаар нэмэлт мэдээллийг
Албан ёсны Samba HOWTO-с олж авна уу.
Энд цухас дурдсан үндсэн мэдлэгтэйгээр Samba-г ажиллуулж
эхлэх чадвартай байх ёстой.
<application>Samba</application>-г Эхлүүлэх нь
net/samba3 портод Samba-г
удирдахад зориулсан шинэ эхлэл скрипт орсон байгаа. Энэ
скриптийг идэвхжүүлэхийн тулд, өөрөөр хэлбэл энэ скриптийг ашиглан
Samba-г эхлүүлэх, зогсоох болон дахин эхлүүлдэг болохын тулд,
/etc/rc.conf файл дотор дараах мөрийг нэмж бичих хэрэгтэй:
samba_enable="YES"
Эсвэл илүү нарийнаар доор дурдсан шиг тохируулж болно:
nmbd_enable="YES"
smbd_enable="YES"
Ингэснээр мөн Samba-г систем ачаалах үед автоматаар
эхлүүлдэг болгоно.
Үүний дараа хүссэн үедээ Samba-г эхлүүлэхийн тулд
дараах тушаалыг өгөхөд хангалттай:
&prompt.root; /usr/local/etc/rc.d/samba start
Starting SAMBA: removing stale tdbs :
Starting nmbd.
Starting smbd.
rc скриптийг ашиглах талаар дэлгэрэнгүй мэдээллийг
хэсгээс авна уу.
Samba нь үнэн хэрэгтээ гурван тусдаа дэмоноос
тогтоно. nmbd ба smbd дэмонууд
samba скриптээр эхлүүлдэг болохыг та анзаарах болно.
Хэрэв smb.conf дотор winbind нэр тайлах үйлчилгээг идэвхжүүлсэн бол
winbindd дэмон бас ажиллаж эхэлсэн болохыг харж болно.
Samba-г хүссэн үедээ зогсоохын тулд дараах тушаалыг өгөхөд
хангалттай:
&prompt.root; /usr/local/etc/rc.d/samba stop
Samba бол µsoft.windows; сүлжээтэй өргөн хүрээнд
нэгдмэл ажиллах боломжийг олгодог нарийн төвөгтэй програмын цогц юм.
Энд тайлбарласан үндсэн суулгацаас хальсан функцуудын талаар дэлгэрэнгүй
мэдээллийг хаягаар орж авна уу.
Том
Хөүкинс
Хувь нэмрээ оруулсан
Лодойсамбын
Баянзул
Орчуулсан
NTP-р Цаг Тааруулах нь
NTP
Ерөнхий Агуулга
Цаг хугацаа өнгөрөхөд компьютерийн цаг зөрөх хандлагатай байдаг.
Network Time Protocol буюу Сүлжээний Цагийн Протоколыг(NTP) цагийг зөв байлгах, зөв ажиллуулахад
хэрэглэдэг.
Олон тооны Интернэт үйлчилгээнүүд компьютерийн цагаас хамаарч,
эсвэл хүртэж ажилладаг. Жишээлбэл, вэб сервер тодорхой цагаас хойш
өөрчлөлт орсон файлуудыг илгээх хүсэлт хүлээн авсан байж болох юм. Дотоод сүлжээний
орчинд, нэг файл серверээр үйлчлүүлж байгаа компьютеруудын хувьд
файлын цагийн тамга дүйж байхын тулд тэдгээрийн цагууд хоорондоо
тохирч байх ёстой. &man.cron.8; зэрэг үйлчилгээнүүд тодорхой цагт тушаалыг
гүйцэтгэхийн тулд системийн цагт бүрэн найдаж ажилладаг.
NTP
ntpd
FreeBSD &man.ntpd.8; NTP серверийн хамт ирдэг.
&man.ntpd.8; NTP нь таны машины цагийг тааруулахын тулд
бусад NTP серверүүдээс асуух эсвэл бусдад цагийн
мэдээллийг түгээх үйлчилгээг үзүүлдэг.
Зохимжтой NTP Серверийг Сонгох нь
NTP
серверийг сонгох нь
Цагаа тааруулахын тулд, та нэг болон түүнээс дээш тооны
NTP серверийг хэрэглэх хэрэгтэй болно.
Танай сүлжээний администратор эсвэл ISP үүнд зориулсан
NTP сервертэй байж болох юм—тийм эсэхийг тэдний заавраас шалгана уу.
нийтэд зориулсан NTP серверүүдийн
онлайн жагсаалтыг ашиглан өөртөө ойрхон байгаа NTP серверийг
олно уу. Сонгож авсан серверийнхээ ашиглах журмыг судлаарай.
Мөн хэрэв шаардлагатай бол зөвшөөрөл аваарай.
Таны сонгосон сервер холбогдох боломжгүй,
эсвэл цаг нь бүрэн итгэж болохооргүй үе гарах тул,
хоорондоо хамааралгүй хэд хэдэн NTP серверүүдийг сонгох нь хамгийн зөв
сонголт болдог. &man.ntpd.8; бусад серверээс хүлээн авсан
хариултуудыг маш ухаалгаар хэрэглэдэг—итгэж болох серверүүдийг
илүү авч үздэг.
Өөрийн Машиныг Тохируулах нь
NTP
тохиргоо
Үндсэн Тохиргоо
ntpdate
Хэрэв та машин асахад цагаа тааруулах хүсэлтэй
байгаа бол, &man.ntpdate.8;-г ашиглаж болно. Энэ нь олон дахин тааруулах
шаардлагагүй, ойр ойрхон асааж унтраадаг ширээний компьютерийн
хувьд зохимжтой байж болох юм. Гэхдээ ихэнх машины хувьд
&man.ntpd.8;-г ажиллуулах нь зүйтэй.
Систем ачаалах үед &man.ntpdate.8;-г ашиглах нь
&man.ntpd.8; ажиллаж байгаа машинуудын хувьд зөв санаа юм.
Учир нь &man.ntpd.8; програм нь цагийг алгуур өөрчилдөг байхад,
&man.ntpdate.8; машины одоогийн цаг болон зөв цагын хооронд
хир их ялгаа байгааг үл хайхран цагийг тааруулдаг.
&man.ntpdate.8;-г систем ачаалах үед идэвхжүүлэхийн тулд,
ntpdate_enable="YES" гэсэн мөрийг /etc/rc.conf файлд
нэмэх хэрэгтэй. Мөн цаг авах гэж байгаа бүх серверүүд болон
&man.ntpdate.8;-д өгөх тугуудыг ntpdate_flags-д зааж өгөх хэрэгтэй.
NTP
ntp.conf
Ерөнхий Тохиргоо
NTP-г /etc/ntp.conf файлын тусламжтай,
&man.ntp.conf.5;-д заасан хэлбэрээр тохируулна. Доор хялбар жишээг
үзүүлэв:
server ntplocal.example.com prefer
server timeserver.example.org
server ntp2a.example.net
driftfile /var/db/ntp.drift
server тохируулгаар
ямар серверүүдийг ашиглахыг заана. Нэг мөрөнд нэг серверийг бичнэ.
Хэрэв аль нэг серверийг prefer гэсэн аргументаар
онцолсон бол, ntplocal.example.com шиг, тэр серверийг
бусдаас илүүд үзнэ. Илүүд үзсэн серверээс ирсэн хариу
бусад серверүүдийн хариунаас мэдэгдэхүйцээр
зөрж байгаа үед хариуг тоохгүй өнгөрөөнө. Түүнээс бусад тохиолдолд
бусад серверийн хариуг үл харгалзан тэр серверийн хариуг
хэрэглэх болно. prefer аргументийг ер нь
өндөр нарийвчлалтай, тусгай цаг хянадаг тоног төхөөрөмж дээр тулгуурласан NTP
серверийн хувьд хэрэглэнэ.
driftfile тохируулгаар
ямар файлд системийн цагийн алдах зөрүү утгыг хадгалж байгааг заана.
&man.ntpd.8; програм энэ утгыг ашиглан цагийн алдсан зөрүүг автоматаар нөхнө.
Ингэснээр цагийн бүх гадаад эх үүсвэрүүдтэй холбоо тогтоох боломжгүй болсон
үед, хэсэг хугацааны туршид ч гэсэн цагийг харьцангуй зөв ажиллуулах боломжийг
олгоно.
driftfile тохируулгаар ямар файлд таны зааж өгсөн
NTP серверүүдийн өмнөх хариунуудын тухай мэдээллийг
хадгалж байгааг заана. Энэ файлд NTP-н дотоод үйл ажиллагааны мэдээллийг
хадгалдаг. Энэ мэдээллийг өөр ямар ч процесс өөрчлөх ёсгүй.
Өөрийн Сервер рүү Хандах Хандалтыг Хянах нь
Анхдагч байдлаар, таны NTP сервер рүү Интернэтэд байгаа бүх хост
хандах боломжтой. /etc/ntp.conf файл дотор
restrict тохируулгаар ямар машинууд таны сервер рүү хандаж болохыг
хянаж болно.
Хэрэв та өөрийн NTP сервер рүү хэнийг ч хандуулахыг хүсэхгүй байгаа бол
/etc/ntp.conf файл дотор дараах мөрийг нэмэх хэрэгтэй:
restrict default ignore
Энэ нь таны серверээс өөрийн чинь локал тохиргоонд жагсаагдсан
аль ч сервер үрүү хандах боломжийг бас хаана.
Хэрэв та өөрийн NTP серверийг гадаад NTP сервертэй
синхрончлох хэрэгтэй бол ямар нэг серверийг зөвшөөрөх
ёстой. Дэлгэрэнгүй мэдээллийг &man.ntp.conf.5; гарын авлагаас
үзнэ үү.
Хэрэв та зөвхөн өөрийн сүлжээнд байгаа машинуудыг
таны сервертэй цагаа тааруулахыг зөвшөөрөөд, гэхдээ
таны серверийн тохиргоог өөрчлөх болон тэгш эрхтэй серверүүд шиг
цагийн мэдээллийг хуваахыг зөвшөөрөхгүй бол дээр дурдсаны оронд:
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
гэсэн мөрийг бичнэ үү. Энд 192.168.1.0 нь таны сүлжээний
IP хаяг, 255.255.255.0 нь таны сүлжээний баг болно.
/etc/ntp.conf дотор олон тооны restrict
тохируулгууд байж болно. Илүү дэлгэрэнгүй мэдээллийг &man.ntp.conf.5;-н
Хандалтыг Удирдах Дэмжлэг дэд хэсгээс үзнэ үү.
NTP Серверийг Ажиллуулах нь
NTP серверийг систем ачаалах үед эхлүүлэхийн тулд,
ntpd_enable="YES" гэсэн мөрийг /etc/rc.conf файлд нэмж бичих
хэрэгтэй. Хэрэв &man.ntpd.8;-д нэмэлт тугуудыг өгөх хүсэлтэй бол,
/etc/rc.conf файлд байгаа ntpd_flags параметрийг засах хэрэгтэй.
Машиныг дахин ачаалалгүйгээр серверийг эхлүүлэхийн тулд,
ntpd тушаалыг /etc/rc.conf-д заасан
ntpd_flags нэмэлт параметрүүдийн хамтаар өгөх хэрэгтэй. Жишээлбэл:
&prompt.root; ntpd -p /var/run/ntpd.pid
ntpd-г Түр зуурын Интернэт Холболттой үед Хэрэглэх нь
&man.ntpd.8; програм зөв ажиллахын тулд байнгын Интернэт
холболт шаардлагагүй. Гэхдээ, хэрэгцээтэй үедээ гадагшаа залгадаг
тийм төрлийн түр зуурын холболттой бол, NTP трафикийг
гадагшаа залгах болон холболтыг бариад байхаас сэргийлэх нь чухал.
Хэрэв та PPP хэрэглэдэг бол, /etc/ppp/ppp.conf файл дотор байгаа
filter директивийг ашиглаж болно. Жишээ нь:
set filter dial 0 deny udp src eq 123
# Prevent NTP traffic from initiating dial out
set filter dial 1 permit 0 0
set filter alive 0 deny udp src eq 123
# Prevent incoming NTP traffic from keeping the connection open
set filter alive 1 deny udp dst eq 123
# Prevent outgoing NTP traffic from keeping the connection open
set filter alive 2 permit 0/0 0/0
Дэлгэрэнгүй мэдээллийг &man.ppp.8;-н PACKET FILTERING
хэсгээс болон /usr/share/examples/ppp/-д байгаа жишээнүүдээс авч болно.
Зарим Интернэт үйлчилгээ үзүүлэгчид бага дугаартай портуудыг хаасан байдаг бөгөөд
ингэснээр хариу нь таны машинд хэзээ ч хүрэхгүй болж NTP ажиллахгүй болдог.
Цааших Мэдээлэл
NTP серверийн баримтжуулалтыг HTML хэлбэрээр
/usr/share/doc/ntp/-с олж үзэж болно.
Том
Рөүдс
Хувь нэмэр болгон оруулсан
<command>syslogd</command> ашиглан алсын хост руу бүртгэх нь
Системийн бүртгэлтэй ажиллах нь аюулгүй байдлын болоод системийг
удирдах ажиллагааны чухал асуудал юм. Хостууд дунд зэргийн эсвэл том
сүлжээнд тархсан эсвэл тэдгээр нь төрөл бүрийн олон янзын сүлжээний хэсэг
болсон байх тохиолдолд эдгээр олон хостын бүртгэлийн файлуудыг
монитор хийх нь ихээхэн төвөгтэй болдог. Энэ тохиолдолд алсаас бүртгэхийг
тохируулах нь бүх л процессийг илүү тухтай болгодог.
Тусгайлан заасан бүртгэх хост руу төвлөрүүлэн бүртгэх нь бүртгэлийн
файлын удирдлагатай холбоотой зарим хүндрэлүүдийг багасгаж чаддаг.
&man.syslogd.8; болон &man.newsyslog.8; зэрэг &os;-ийн эх хэрэгслүүдийг
ашиглан бүртгэлийн файлын цуглуулга, нийлүүлэлт болон багасгалтыг нэг газар тохируулж
болдог. Дараах жишээ тохиргоонд logserv.example.com
гэж нэрлэгдсэн хост A локал сүлжээнээс бүртгэлийн мэдээллийг
цуглуулах болно. logclient.example.com гэж
нэрлэгдсэн хост B бүртгэлийн мэдээллийг сервер систем рүү
дамжуулах болно. Жинхэнэ тохиргоонд эдгээр хостууд зохих дамжуулах болон буцах
DNS эсвэл /etc/hosts файлд
оруулгууд шаардана. Тэгэхгүй бол өгөгдлийг сервер хүлээн авахгүй татгалзах
болно.
Бүртгэлийн серверийн тохиргоо
Бүртгэлийн серверүүд нь алсын хостуудаас бүртгэлийн мэдээллийг хүлээн
авахаар тохируулагдсан машинууд юм. Ихэнх тохиолдолд энэ нь тохиргоог
хялбар болгох зорилготой бөгөөд зарим тохиолдолд энэ нь удирдлагыг арай
сайжруулж байгаа хэлбэр байж болох юм. Аль ч шалтгаан байсан гэсэн
үргэлжлүүлэхээсээ өмнө цөөн хэдэн шаардлагыг дурдъя.
Зөв тохируулсан бүртгэлийн сервер дараах хамгийн бага шаардлагыг хангасан
байх шаардлагатай:
Клиент болон сервер дээр 514-р порт руу
UDP-г дамжуулах боломжийг бүрдүүлэх галт хананы
дүрэм;
Клиент машинаас алсын мэдэгдлүүдийг хүлээн авахаар syslogd
тохируулагдсан байх;
syslogd сервер болон бүх клиент машинууд нь дамжуулах
болон буцах DNS-ийн хувьд зөв оруулгуудтай
эсвэл /etc/hosts файлд зөв тохируулсан
байх шаардлагатай.
Бүртгэлийн серверийг тохируулахын тулд клиент нь
/etc/syslog.conf-д нэмэгдсэн байх
ёстой бөгөөд бүртгэх боломжийг зааж өгсөн байх шаардлагатай:
+logclient.example.com
*.* /var/log/logclient.log
Төрөл бүрийн дэмжигдсэн, байгаа facility
буюу боломжуудын талаарх дэлгэрэнгүй мэдээллийг
&man.syslog.conf.5; гарын авлагын хуудаснаас олж болно.
Нэмсэний дараа бүх facility мэдэгдлүүд
өмнө заасан /var/log/logclient.log файл руу
бүртгэгдэх болно.
Сервер машин дараах тохиргоог бас /etc/rc.conf
файлдаа хийсэн байх шаардлагатай:
syslogd_enable="YES"
syslogd_flags="-a logclient.example.com -vv"
Эхний тохиргоо нь syslogd демоныг эхлүүлэхийг
заах бөгөөд хоёр дахь нь клиетийн өгөгдлийг энэ сервер дээр хүлээн авахыг
зөвшөөрнө. Сүүлийн хэсэг нь бүртгэж байгаа
мэдэгдлүүдийн гаралтыг илүү дэлгэрэнгүй болгоно. Энэ нь facility-г
тохируулахад ихээхэн ашигтай байдаг. Администраторууд ямар төрлийн
мэдэгдлүүд ямар facility-р бүртгэгдэж байгааг хянах боломжийг энэ нь
бүрдүүлдэг.
Олон клиентээс бүртгэлийг хүлээн авахын тулд олон
сонголтыг зааж өгч болно. IP хаягууд болон
бүхэл сүлжээний блокийг бас зааж өгч болох бөгөөд боломжит сонголтуудын
бүх жагсаалтыг &man.syslog.3; гарын авлагын хуудаснаас үзнэ үү.
Төгсгөлд нь бүртгэлийн файлыг үүсгэх хэрэгтэй. Хэрэглэгсэн арга нь
хамаагүй боловч &man.touch.1; үүнтэй адил тохиолдлуудад сайн
ажилладаг:
&prompt.root; touch /var/log/logclient.log
Энэ үед syslogd демоныг дахин
ажиллуулж шалгах ёстой:
&prompt.root; /etc/rc.d/syslogd restart
&prompt.root; pgrep syslog
Хэрэв PID буцаагдвал сервер нь амжилттай
дахин эхэлсэн гэсэн үг бөгөөд клиентийн тохиргоо ажиллаж эхэлнэ. Хэрэв
сервер дахин эхлээгүй бол ямар нэг зүйл болсон эсэхийг
/var/log/messages файл дахь мэдэгдлүүдээс
шалгаарай.
Клиентийн бүртгэлийн тохиргоо
Бүртгэл илгээгч клиент нь өөр дээрээ хуулбараа үлдээхээс гадна
бас бүртгэлийн сервер рүү бүртгэлийн мэдээллийг явуулдаг машин юм.
Бүртгэлийн серверүүдийн нэгэн адил клиентүүд нь бас хамгийн бага
шаардлагыг хангасан байх ёстой:
&man.syslogd.8; нь бүртгэлийн сервер хүлээн авах ёстой
заасан төрлийн мэдэгдлүүдийг бүртгэлийн сервер рүү илгээхээр
тохируулагдсан байх ёстой;
Галт хана UDP пакетуудыг
514-р порт руу зөвшөөрөх ёстой;
Дамжуулах болон буцах DNS
тохируулагдсан эсвэл /etc/hosts файл зохих
оруулгуудтай байх шаардлагатай.
Клиентийн тохиргоо нь серверийнхтэй харьцуулах юм бол арай зөөлөн
байдаг. Клиент машин нь /etc/rc.conf файлдаа
дараахийг нэмж өгсөн байх шаардлагатай байдаг:
syslogd_enable="YES"
syslogd_flags="-s -vv"
Өмнө дурдсаны адил эдгээр тохиргоонууд нь
syslogd демоныг ачаалж эхлэхэд эхлүүлэхийг
заах бөгөөд бүртгэх мэдэгдлүүдийг дэлгэрэнгүйгээр харуулах болно.
сонголт нь бусад хостуудаас бүртгэлийг энэ
клиент хүлээн авахаас сэргийлдэг.
Facility нь мэдэгдэл үүсгэгдэж байгаа тэр системийн хэсгийг
тайлбарладаг. Жишээ нь ftp болон
ipfw нь хоёулаа facility юм. Эдгээр хоёр
үйлчилгээний хувьд бүртгэлийн мэдэгдлүүд үүсэхэд ихэвчлэн дээрх
хоёр хэрэгслийг бүртгэлийн мэдэгдэл бүртээ агуулсан байдаг.
Facility нь бүртгэлийн мэдэгдэл ямар чухлыг тэмдэглэхэд хэрэглэгдэх
дараалал эсвэл түвшинтэй байдаг. Хамгийн түгээмэл нь
warning ба info юм.
Боломжит бүх facilty болон дарааллуудын жагсаалтыг
&man.syslog.3; гарын авлагын хуудаснаас үзнэ үү.
Бүртгэлийн серверийг клиентийн /etc/syslog.conf
файлд заасан байх шаардлагатай. Энэ жишээн дээр алсын сервер рүү
бүртгэлийн өгөгдлийг илгээхийн тулд @
тэмдгийг ашигласан бөгөөд доор дурдсан мөртэй төстэй
харагдана:
*.* @logserv.example.com
Нэмсэний дараа өөрчлөлтийг хүчинтэй болгохын тулд
syslogd-г дахин эхлүүлэх шаардлагатай:
&prompt.root; /etc/rc.d/syslogd restart
Сүлжээгээр бүртгэлийн мэдэгдлүүдийг илгээж байгаа эсэхийг
тест хийхийн тулд клиент дээр &man.logger.1;-г ашиглаж мэдэгдлийг
syslogd руу илгээнэ:
&prompt.root; logger "Test message from logclient"
Энэ мэдэгдэл клиент дээрх
/var/log/messages болон
сервер дээрх /var/log/logclient.log
файлд одоо орсон байх ёстой.
Бүртгэлийн серверүүдийг дибаг хийх
Зарим тохиолдолд хэрэв бүртгэлийн сервер дээр мэдэгдлүүд нь
хүлээн авагдаагүй бол дибаг хийх шаардлагатай байж болох юм.
Хэд хэдэн шалтгаанаас болж ийм байдалд хүрч болох юм. Хамгийн
түгээмэл хоёр нь сүлжээний холболтын болон DNS-тэй
холбоотой асуудлууд юм. Эдгээр тохиолдлуудыг тест хийхийн тулд
хоёр хост хоёулаа /etc/rc.conf файлд заагдсан
хостын нэрээрээ нэг нэгэн рүүгээ хүрч чадаж байгааг шалгах
хэрэгтэй. Хэрэв энэ зөв ажиллаж байгаа бол /etc/rc.conf
файлд syslogd_flags тохиргоог өөрчлөх
шаардлагатай болно.
Дараах жишээн дээр /var/log/logclient.log нь хоосон
бөгөөд /var/log/messages файл нь амжилтгүй болсон
шалтгааныг харуулна. Дибаг хийж байгаа гаралтыг илүү дэлгэрэнгүй харуулахын
тулд дараах жишээтэй төстэйгөөр syslogd_flags
тохируулгыг өөрчилж дахин ачаалах хэрэгтэй:
syslogd_flags="-d -a logclien.example.com -vv"
&prompt.root; /etc/rc.d/syslogd restart
Доор дурдсантай төстэй дибаг өгөгдөл дахин ачаалсны дараа
дэлгэц дээр хурдан гарч өнгөрнө:
logmsg: pri 56, flags 4, from logserv.example.com, msg syslogd: restart
syslogd: restarted
logmsg: pri 6, flags 4, from logserv.example.com, msg syslogd: kernel boot file is /boot/kernel/kernel
Logging to FILE /var/log/messages
syslogd: kernel boot file is /boot/kernel/kernel
cvthname(192.168.1.10)
validate: dgram from IP 192.168.1.10, port 514, name logclient.example.com;
rejected in rule 0 due to name mismatch.
Мэдэгдлүүд нэр зөрснөөс болоод дамжихгүй байгааг эндээс
харж болно. Тохиргоог алхам алхмаар дахин шалгасны дараа
/etc/rc.conf дахь дараах мөр
буруу бичигдсэн бөгөөд асуудалтай байгааг олж харна:
syslogd_flags="-d -a logclien.example.com -vv"
Энэ мөр logclien биш
logclient гэдгийг агуулсан байх ёстой.
Зөв болгож засан дахин ачаалсны дараа хүлээж байсан үр
дүнгээ харах болно:
&prompt.root; /etc/rc.d/syslogd restart
logmsg: pri 56, flags 4, from logserv.example.com, msg syslogd: restart
syslogd: restarted
logmsg: pri 6, flags 4, from logserv.example.com, msg syslogd: kernel boot file is /boot/kernel/kernel
syslogd: kernel boot file is /boot/kernel/kernel
logmsg: pri 166, flags 17, from logserv.example.com,
msg Dec 10 20:55:02 <syslog.err> logserv.example.com syslogd: exiting on signal 2
cvthname(192.168.1.10)
validate: dgram from IP 192.168.1.10, port 514, name logclient.example.com;
accepted in rule 0.
logmsg: pri 15, flags 0, from logclient.example.com, msg Dec 11 02:01:28 trhodes: Test message 2
Logging to FILE /var/log/logclient.log
Logging to FILE /var/log/messages
Энэ үед мэдэгдлүүдийг зөв хүлээн аван зөв
файлд бичих болно.
Аюулгүй байдлын хувьд бодолцох зүйлс
Сүлжээний аль ч үйлчилгээний нэгэн адил энэ тохиргоог
хийхээсээ өмнө аюулгүй байдлын шаардлагуудыг бодолцох ёстой. Заримдаа
бүртгэлийн файлууд нь локал хост дээр идэвхжүүлсэн үйлчилгээнүүд,
хэрэглэгчдийн бүртгэл болон тохиргооны өгөгдлийн талаарх эмзэг
өгөгдлүүдийг агуулсан байж болох юм. Клиентээс сервер рүү илгээсэн
сүлжээний өгөгдөл нь шифрлэгдээгүй эсвэл нууц үгээр хамгаалагдаагүй
байдаг. Хэрэв шифрлэх шаардлагатай бол өгөгдлийг шифрлэсэн хоолойгоор
дамжуулах security/stunnel
хэрэгслийг ашиглаж болох юм.
Локал аюулгүй байдал нь бас л асуудал юм. Бүртгэлийн файлууд нь
хэрэглэж байхад юм уу эсвэл бүртгэлийн багасгах үед шифрлэгддэггүй.
Локал хэрэглэгчид эдгээр файлуудад хандаж системийн тохиргооны талаар
нэмэлт мэдээлэл олж авч болох юм. Ийм тохиолдолд эдгээр файлууд дээр
зөв зөвшөөрлүүдийг тавих нь чухал юм. &man.newsyslog.8; хэрэгсэл нь
шинээр үүсгэгдсэн болон багасгагдсан бүртгэлийн файлууд дээр зөвшөөрөл
тавихыг дэмждэг. Бүртгэлийн файлууд дээр 600
горимыг тавьснаар хүсээгүй локал хэрэглэгчид тэдгээрийг шиншлэх
боломжийг хаах юм.