diff --git a/zh_CN.GB2312/books/handbook/advanced-networking/chapter.sgml b/zh_CN.GB2312/books/handbook/advanced-networking/chapter.sgml index ed84ec9b24..1d96d1ffa4 100644 --- a/zh_CN.GB2312/books/handbook/advanced-networking/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/advanced-networking/chapter.sgml @@ -1,5167 +1,5185 @@ 高级网络 概述 本章将就一系列与网络有关的高级话题进行讨论。 读完这章,您将了解: 关于网关和路由的基础知识。 - 如何配置 IEEE 802.11 和 蓝牙(&bluetooth;) 设备。 + 如何配置 &ieee; 802.11 和 &bluetooth; 设备。 如何用 FreeBSD 做网桥。 如何为无盘机上配置网络启动。 如何配置网络地址转换 (NAT)。 如何使用 PLIP 连接两台计算机。 如何在运行 FreeBSD 的计算机上配置 IPv6。 如何配置 ATM。 如何利用 CARP, &os; 支持的 Common Access Redundancy Protocol (共用地址冗余协议) 在读这章之前, 您应: 理解 /etc/rc 脚本的基本知识。 熟悉基本的网络术语。 了解如何配置和安装新的 FreeBSD 内核 ()。 了解如何安装第三方软件 ()。 Coranth Gryphon 贡献者: 雪平 中文翻译:
zxpmyth@yahoo.com.cn
 苏义 网关和路由 路由 网关 子网 要让网络上的两台计算机能够相互通讯, 就必须有一种能够描述如何从一台计算机到另一台计算机的机制, 这一机制称作 路由选择(routing)路由项 是一对预先定义的地址: 目的地(destination)网关(gateway)。 这个地址对所表达的意义是, 通过 网关 能够完成与 目的地 的通信。 有三种类型的目的地址: 单个主机、 子网、 以及 默认。 如果没有可用的其它路由, 就会使用 默认路由, 有关默认路由的内容, 将在稍后的章节中进行讨论。 网关也有三种类型: 单个主机, 网络接口 (也叫 链路 (links)) 和以太网硬件地址 (MAC 地址)。 实例 为了说明路由选择的各个部分, 首先来看看下面的例子。 这是 netstat 命令的输出: &prompt.user; netstat -r Routing tables Destination Gateway Flags Refs Use Netif Expire default outside-gw UGSc 37 418 ppp0 localhost localhost UH 0 181 lo0 test0 0:e0:b5:36:cf:4f UHLW 5 63288 ed0 77 10.20.30.255 link#1 UHLW 1 2421 example.com link#1 UC 0 0 host1 0:e0:a8:37:8:1e UHLW 3 4601 lo0 host2 0:e0:a8:37:8:1e UHLW 0 5 lo0 => host2.example.com link#1 UC 0 0 224 link#1 UC 0 0 默认路由 头两行给出了当前配置中的默认路由 (将在 下一节 中进行介绍) 和 localhost (本机) 路由。 回环设备 这里的路由表中给出的用于 localhost 的接口 (Netif 列) 是 lo0, 也就是大家熟知的 回环设备。 它表示所有以此为 目的地 的通信都留在本机, 而不通过 LAN 发出, 因为这些流量最终会回到起点。 以太网 MAC 地址 接着出现的是以 0:e0: 开头的地址。这些是以太网硬件地址,也称为 MAC 地址。 FreeBSD 会自动识别在同一个以太网中的任何主机 (如 test0), 并为其新增一个路由, 并通过那个以太网接口 — ed0 直接与它通讯 (译者注:那台主机)。与这类路由表相关的也有一个超时项 (Expire列),当我们在指定时间内没有收到从那个主机发来的信息, 这项就派上用场了。这种情况下,到这个主机的路由就会被自动删除。 这些主机被使用一种叫做RIP(路由信息协议--Routing Information Protocol)的机制所识别,这种机制利用基于最短路径选择 (shortest path determination)的办法计算出到本地主机的路由。 子网 FreeBSD 也会为本地子网添加子网路由(10.20.30.255 是子网 10.20.30 的广播地址,而 example.com 是这个子网相联的域名)。 名称 link#1 代表主机上的第一块以太网卡。 您会发现,对于它们没有指定另外的接口。 这两个组(本地网络主机和本地子网)的路由是由守护进程 routed 自动配置的。如果它没有运行, 那就只有被静态定义 (例如,明确输入的) 的路由才存在了。 host1 行代表我们的主机,它通过以太网地址来识别。 因为我们是发送端,FreeBSD知道使用回环接口 (lo0) 而不是通过以太网接口来进行发送。 两个 host2 行是我们使用 &man.ifconfig.8; 别名 (请看关于以太网的那部分就会知道我们为什么这么做) 时产生的一个实例。在 lo0 接口之后的 => 符号表明我们不仅使用了回环 (因为这个地址也涉及了本地主机),而且明确指出它是个别名。 这类路由只有在支持别名的主机上才能显现出来。 所有本地网上的其它的主机对于这类路由只会简单拥有 link#1 最后一行 (目标子网224) 用于处理多播——它会覆盖到其它的区域。 最后,每个路由的不同属性可以在 Flags 列中看到。下边是个关于这些标志和它们的含义的一个简表: U Up: 路由处于活动状态。 H Host: 路由目标是单个主机。 G Gateway: 所有发到目的地的网络传到这一远程系统上, 并由它决定最后发到哪里。 S Static: 这个路由是手工配置的,不是由系统自动生成的。 C Clone: 生成一个新的路由, 通过这个路由我们可以连接上这些机子。 这种类型的路由通常用于本地网络。 W WasCloned: 指明一个路由——它是基于本地区域网络 (克隆) 路由自动配置的。 L Link: 路由涉及到了以太网硬件。 默认路由 默认路由 当本地系统需要与远程主机建立连接时, 它会检查路由表以决定是否有已知的路径存在。 如果远程主机属于一个我们已知如何到达 (克隆的路由) 的子网内,那么系统会检查看沿着那个接口是否能够连接。 如果所有已知路径都失败,系统还有最后一个选择: 默认路由。这个路由是特殊类型的网关路由 (通常只有一个存在于系统里),并且总是在标志栏使用一个 c来进行标识。对于本地区域网络里的主机, 这个网关被设置到任何与外界有直接连接的机子里 (无论是通过 PPP、DSL、cable modem、T1 或其它的网络接口连接)。 如果您正为某台本身就做为网关连接外界的机子配置默认路由的话, 那么该默认路由应该是您的互联网服务商 (ISP)那方的网关机子。 让我们来看一个关于默认路由的例子。这是个很普遍的配置: [Local2] <--ether--> [Local1] <--PPP--> [ISP-Serv] <--ether--> [T1-GW] 主机 Local1Local2 在您那边。Local1 通过 PPP 拨号连接到了 ISP。这个 PPP 服务器通过一个局域网连接到另一台网关机子——它又通过一个外部接口连接到 ISP 提供的互联网上。 您的每一台机子的默认路由应该是: Host Default Gateway Interface Local2 Local1 Ethernet Local1 T1-GW PPP 一个常见的问题是我们为什么 (或怎样) 能将 T1-GW 设置成为 Local1 默认网关,而不是它所连接 ISP 服务器? 记住,因为 PPP 接口使用的一个地址是在 ISP 的局域网里的,用于您那边的连接,对于 ISP 的局域网里的其它机子,其路由会自动产生。 因此,您就已经知道了如何到达机子 T1-GW, 那么也就没必要中那一步了——发送通信给 ISP 服务器。 通常使用地址 X.X.X.1 做为一个局域网的网关。 因此 (使用相同的例子),如果您本地的 C 类地址空间是 10.20.30,而您的 ISP 使用的是 10.9.9, 那么默认路由表将是: Host Default Route Local2 (10.20.30.2) Local1 (10.20.30.1) Local1 (10.20.30.1, 10.9.9.30) T1-GW (10.9.9.1) 您可以很轻易地通过 /etc/rc.conf 文件设定默认路由。在我们的实例里,在主机 Local2 里,我们在文件 /etc/rc.conf 里增加了下边内容: defaultrouter="10.20.30.1" 也可以直接在命令行使用 &man.route.8; 命令: &prompt.root; route add default 10.20.30.1 要了解关于如何手工维护网络路由表的进一步细节, 请参考 &man.route.8; 联机手册。 重宿主机(Dual Homed Hosts) 重宿 主机 还有一种其它的类型的配置是我们要提及的, 这就是一个主机处于两个不同的网络。技术上,任何作为网关 (上边的实例中,使用了 PPP 连接) 的机子就算作是重宿主机。 但这个词实际上仅用来指那种处于两个局域网之中的机子。 有一种情形,一台机子有两个网卡, 对于各个子网都有各自的一个地址。另一种情况, 这台机子仅有一张网卡,但使用 &man.ifconfig.8; 做了别名。如果有两个独立的以太网在使用的情形就使用前者, 如果只有一个物理网段,但逻辑上分成了两个独立的子网, 就使用后者。 每种情况都要设置路由表以便两子网都知道这台主机是到其它子网的网关——入站路由 (inbound route)。将一台主机配置成两个子网间的路由器, 这种配置经常在我们需要实现单向或双向的包过滤或防火墙时被用到。 如果想让主机在两个接口间转发数据包,您需要激活 FreBSD 的这项功能。至于怎么做,请看下一部分了解更多。 建立路由器 路由器 网络路由器只是一个将数据包从一个接口转发到另一个接口的系统。 互联网标准和良好的工程实践阻止了 FreeBSD 计划在 FreeBSD 中把它置成默认值。您在可以在 &man.rc.conf.5; 中改变下列变量的值为 YES,使这个功能生效: gateway_enable=YES # Set to YES if this host will be a gateway 这个选项会把&man.sysctl.8; 变量——net.inet.ip.forwarding 设置成 1。如果您要临时地停止路由, 您可以把它重设为 0 BGP RIP OSPF 新的路由器需要有路由才知道将数据传向何处。 如果网络够简单,您可以使用静态路由。FreeBSD 也自带一个标准的BSD路由选择守护进程 &man.routed.8;, 称之为 RIP ( version 1和 version 2) 和 IRDP。对 BGP v4,OSPF v2 和其它复杂路由选择协议的支持可以从 net/zebra 包中得到。 像 &gated; 一样的商业产品也提供了更复杂的网络路由解决方案。 Coranth Gryphon 贡献者: 雪平 中文翻译:
zxpmyth@yahoo.com.cn
 苏义 设置静态路由 手动配置 假设如下这样一个网络: INTERNET | (10.0.0.1/24) Default Router to Internet | |Interface xl0 |10.0.0.10/24 +------+ | | RouterA | | (FreeBSD gateway) +------+ | Interface xl1 | 192.168.1.1/24 | +--------------------------------+ Internal Net 1 | 192.168.1.2/24 | +------+ | | RouterB | | +------+ | 192.168.2.1/24 | Internal Net 2 在这里,RouterA 是我们的 &os; 机子,它充当连接到互联网其它部分的路由器的角色。 默认路由设置为10.0.0.1, 它就允许与外界连接。我们假定已经正确配置了 RouterB,并且知道如何连接到想去的任何地方。 (在这个图里很简单。只须在 RouterB 上增加默认路由,使用 192.168.1.1 做为网关。) 如果我们查看一下RouterA的路由表, 我们就会看到如下一些内容: &prompt.user; netstat -nr Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 10.0.0.1 UGS 0 49378 xl0 127.0.0.1 127.0.0.1 UH 0 6 lo0 10.0.0/24 link#1 UC 0 0 xl0 192.168.1/24 link#2 UC 0 0 xl1 使用当前的路由表,RouterA 是不能到达我们的内网——Internal Net 2 的。它没有到 192.168.2.0/24 的路由。 一种可以接受的方法是手工增加这条路由。以下的命令会把 Internal Net 2 网络加入到 RouterA 的路由表中,使用192.168.1.2 做为下一个跳跃: &prompt.root; route add -net 192.168.2.0/24 192.168.1.2 现在 RouterA 就可以到达 192.168.2.0/24 网络上的任何主机了。 永久配置 上面的实例对于运行着的系统来说配置静态路由是相当不错了。 只是,有一个问题——如果您重启您的 &os; 机子,路由信息就会消失。 处理附加的静态路由的方法是把它放到您的 /etc/rc.conf 文件里去。 # Add Internal Net 2 as a static route static_routes="internalnet2" route_internalnet2="-net 192.168.2.0/24 192.168.1.2" 配置变量 static_routes 是一串以空格格开的字符串。每一串表示一个路由名字。 在上面的例子中我们中有一个串在 static_routes 里。这个字符串中 internalnet2。 然后我们新增一个配置变量 route_internalnet2, 这里我们把所有传给 &man.route.8;命令的参数拿了过来。 在上面的实例中的我使用的命令是: &prompt.root; route add -net 192.168.2.0/24 192.168.1.2 因此,我们需要的是 "-net 192.168.2.0/24 192.168.1.2" 前边已经提到, 可以把多个静态路由的名称, 放到 static_routes 里边。 接着我们就来建立多个静态路由。 下面几行所展示的, 是在一个假想的路由器上增加 192.168.0.0/24192.168.1.0/24 之间静态路由的例子: static_routes="net1 net2" route_net1="-net 192.168.0.0/24 192.168.0.1" route_net2="-net 192.168.1.0/24 192.168.1.1" 路由传播 路由 传播 我们已经讨论了如何定义通向外界的路由, 但未谈及外界是如何找到我们的。 我们已经知道可以设置路由表, 这样任何指向特定地址空间 (在我们的例子中是一个 C 类子网) 的数据都会被送往网络上特定的主机, 然后由这台主机向地址空间内部转发数据。 当您得到一个分配给您的网络的地址空间时, ISP(网络服务商)会设置它们的路由表, 这样指向您子网的数据就会通过 PPP 连接下传到您的网络。 但是其它跨越国界的网络是如何知道将数据传给您的 ISP 的呢? 有一个系统(很像分布式 DNS 信息系统), 它一直跟踪被分配的地址空间, 并说明它们连接到互联网骨干(Internet backbone)的点。 骨干(Backbone) 指的是负责全世界和跨国的传输的主要干线。 每一台骨干主机(backbone machine)有一份主要表集的副本, 它将发送给特定网络的数据导向相应的骨干载体上(backbone carrier), 从结点往下遍历服务提供商链,直到数据到达您的网络。 服务提供商的任务是向骨干网络广播,以声明它们就是通向您的网点的连接结点 (以及进入的路径)。这就是路由传播。 问题解答 traceroute 有时候,路由传播会有一个问题,一些网络无法与您连接。 或许能帮您找出路由是在哪里中断的最有用的命令就是 &man.traceroute.8;了。当您无法与远程主机连接时, 这个命令一样有用(例如 &man.ping.8; 失败)。 &man.traceroute.8; 命令将以您想连接的主机的名字作为参数执行。 不管是到达了目标,还是因为没有连接而终止, 它都会显示所经过的所有网关主机。 想了解更多的信息,查看 &man.traceroute.8; 的手册。 多播路由 多播路由 内核选项 MROUTING FreeBSD 一开始就支持多播应用软件和多播路由选择。 多播程序并不要求FreeBSD的任何特殊的配置, 就可以工作得很好。多播路由需要支持被编译入内核: options MROUTING 另外,多播路由守护进程——&man.mrouted.8; 必须通过 /etc/mrouted.conf 配置来开启通道和 DVMRP。 更多关于多播路由配置的信息可以在 &man.mrouted.8; 的手册里找到。 &os; 7.0 开始 &man.mrouted.8; 多播路由守护进程已从基本系统中移除。 实现 DVMRP 多播路由协议的程序主要由 &man.pim.4; 取代。相关的 &man.map-mbone.8; 和 &man.mrinfo.8 工具也被移除了。 这些程序能在 &os; 的 Ports Collection net/mrouted 中找到。 陈福康 Marc Fonvieille Murray Stokely 无线网络 wireless networking (无线网络) 802.11 wireless networking (无线网络) 无线网络基础 - 绝大多数无线网络都采用了 IEEE 802.11 + 绝大多数无线网络都采用了 &ieee; 802.11 标准。 基本的无线网络中, 都包含多个以 2.4GHz 或 5GHz 频段的无线电波广播的站点 (不过, 随所处地域的不同, 或者为了能够更好地进行通讯, 具体的频率会在 2.3GHz 和 4.9GHz 的范围内变化)。 802.11 网络有两种组织方式: 在 infrastructure 模式 中, 一个通讯站作为主站, 其他通讯站都与其关联; 这种网络称为 BSS, 而主站则成为无线访问点 (AP)。 在 BSS 中, 所有的通讯都是通过 AP 来完成的; 即使通讯站之间要相互通讯, 也必须将消息发给 AP。 在第二种形式的网络中, 并不存在主站, 通讯站之间是直接通讯的。 这种网络形式称作 IBSS, 通常也叫做 ad-hoc 网络 802.11 网络最初在 2.4GHz 频段上部署, - 并采用了由 IEEE 802.11 和 802.11b + 并采用了由 &ieee; 802.11 和 802.11b 标准所定义的协议。 这些标准定义了采用的操作频率、 包括分帧和传输速率 (通讯过程中可以使用不同的速率) 在内的 MAC 层特性等。 稍后的 802.11a 标准定义了使用 5GHz 频段进行操作, 以及不同的信号机制和更高的传输速率。 其后定义的 802.11g 标准启用了在 2.4GHz 上如何使用 802.11a 信号和传输机制, 以提供对较早的 802.11b 网络的向前兼容。 802.11 网络中采用的各类底层传输机制提供了不同类型的安全机制。 最初的 802.11 标准定义了一种称为 WEP 的简单安全协议。 这个协议采用固定的预发布密钥, 并使用 RC4 加密算法来对在网络上传输的数据进行编码。 全部通讯站都必须采用同样的固定密钥才能通讯。 这一格局已经被证明很容易被攻破, 因此目前已经很少使用了, 采用这种方法只能让那些接入网络的用户迅速断开。 最新的安全实践是由 - IEEE 802.11i 标准给出的, 它定义了新的加密算法, + &ieee; 802.11i 标准给出的, 它定义了新的加密算法, 并通过一种附加的协议来让通讯站向无线访问点验证身份, 并交换用于进行数据通讯的密钥。 更进一步, 用于加密的密钥会定期地刷新, 而且有机制能够监测入侵的尝试 (并阻止这种尝试)。 无线网络中另一种常用的安全协议标准是 WPA。 这是在 802.11i 之前由业界组织定义的一种过渡性标准。 WPA 定义了在 802.11i 中所规定的要求的子集, 并被设计用来在旧式硬件上实施。 特别地, WPA 要求只使用由最初 WEP 所采用的算法派生的 TKIP 加密算法。 802.11i 则不但允许使用 TKIP, 而且还要求支持更强的加密算法 AES-CCM 来用于加密数据。 (在 WPA 中并没有要求使用 AES 加密算法, 因为在旧式硬件上实施这种算法时所需的计算复杂性太高。) 除了前面介绍的那些协议标准之外, 还有一种需要介绍的标准是 802.11e。 它定义了用于在 802.11 网络上运行多媒体应用, 如视频流和使用 IP 传送的语音 (VoIP) 的协议。 与 802.11i 类似, 802.11e 也有一个前身标准, 通常称作 WME (后改名为 WMM), 它也是由业界组织定义的 802.11e 的子集, 以便能够在旧式硬件中使用多媒体应用。 关于 802.11e 与 WME/WMM 之间的另一项重要区别是, 前者允许对流量通过服务品质 (QoS) 协议和增强媒体访问协议来安排优先级。 对于这些协议的正确实现, 能够实现高速突发数据和流量分级。 从 6.0 版本开始, &os; 支持采用 802.11a, 802.11b 和 802.11g 的网络。 类似地, 它也支持 WPA 和 802.11i 安全协议 (与 11a、 11b 和 11g 配合), 而 WME/WMM 所需要的 QoS 和流量分级, 则在部分无线设备上提供了支持。 基本安装 内核配置 要使用无线网络, 您需要一块无线网卡, 并适当地配置内核令其提供无线网络支持。 后者被分成了多个模块, 因此您只需配置使用您所需要的软件就可以了。 首先您需要的是一个无线设备。 最为常用的一种无线配件是 Atheros 生产的。 这些设备由 &man.ath.4; 驱动程序提供支持, 您需要把下面的配置加入到 /boot/loader.conf 文件中: if_ath_load="YES" Atheros 驱动分为三个部分: 驱动部分 (&man.ath.4;)、 用于处理芯片专有功能的支持层 (&man.ath.hal.4;), 以及一组用以选择传输帧速率的算法 (ath_rate_sample here)。 当以模块方式加载这一支持时, 所需的其它模块会自动加载。 如果您使用的不是 Atheros 设备, 则应选择对应的模块; 例如: if_wi_load="YES" 表示使用基于 Intersil Prism 产品的无线设备 (&man.wi.4; 驱动)。 在这篇文挡余下的部分中, 我们将使用一张 &man.ath.4; 卡作示范, 如果您要套用这些配置的话, 就必须根据实际的配置情况来替换设备名。 在联机手册 &man.wlan.4; 的开头部分给出了一份可用的驱动列表。 如果您的无线设备没有专用于 &os; 的驱动程序, 也可以尝试使用 NDIS 驱动封装机制来直接使用 &windows; 驱动。 在配置好设备驱动之后, 您还需要引入驱动程序所需要的 802.11 网络支持。 对于 &man.ath.4; 驱动而言, 至少需要 &man.wlan.4; wlan_scan_apwlan_scan_sta 模块; &man.wlan.4; 模块会自动随无线设备驱动一同加载, 剩下的模块必须要在系统引导时加载, 就需要在 /boot/loader.conf 中加入下面的配置: wlan_scan_ap_load="YES" wlan_scan_sta_load="YES" 除此之外, 您还需要提供您希望使用的安全协议所需的加密支持模块。 这些模块是设计来让 &man.wlan.4; 模块根据需要自动加载的, 但目前还必须手工进行配置。 您可以使用下面这些模块: &man.wlan.wep.4;、 &man.wlan.ccmp.4; 和 &man.wlan.tkip.4;。 &man.wlan.ccmp.4; 和 &man.wlan.tkip.4; 这两个驱动都只有在您希望采用 WPA 和/或 802.11i 安全协议时才需要。 如果您的网络是完全开放的 (也就是不加密) 则甚至连 &man.wlan.wep.4; 支持也是不需要的。 要在系统引导时加载这些模块, 就需要在 /boot/loader.conf 中加入下面的配置: wlan_wep_load="YES" wlan_ccmp_load="YES" wlan_tkip_load="YES" 通过系统引导配置文件 (也就是 /boot/loader.conf) 中的这些信息生效, 您必须重新启动运行 &os; 的计算机。 如果不想立刻重新启动, 也可以使用 &man.kldload.8; 来手工加载。 如果不想加载模块, 也可以将这些驱动编译到内核中, 方法是在内核的编译配置文件中加入下面的配置: device ath # Atheros IEEE 802.11 wireless network driver device ath_hal # Atheros Hardware Access Layer device ath_rate_sample # John Bicket's SampleRate control algorithm. device wlan # 802.11 support (Required) device wlan_scan_ap # 802.11 AP mode scanning device wlan_scan_sta # 802.11 STA mode scanning device wlan_wep # WEP crypto support for 802.11 devices device wlan_ccmp # AES-CCMP crypto support for 802.11 devices device wlan_tkip # TKIP and Michael crypto support for 802.11 devices 将这些信息写到内核编译配置文件中之后, 您需要重新编译内核, 并重新启动运行 &os; 的计算机。 在系统启动之后, 您会在引导时给出的信息中, 找到类似下面这样的关于无线设备的信息: ath0: <Atheros 5212> mem 0xff9f0000-0xff9fffff irq 17 at device 2.0 on pci2 ath0: Ethernet address: 00:11:95:d5:43:62 ath0: mac 7.9 phy 4.5 radio 5.6 Infrastructure 模式 通常的情形中使用的是 infrastructure 模式或称 BSS 模式。 在这种模式中, 有一系列无线访问点接入了有线网络。 每个无线网都会有自己的名字, 这个名字称作网络的 SSID。 无线客户端都通过无线访问点来完成接入。 &os; 客户机 如何查找无线访问点 您可以通过使用 ifconfig 命令来扫描网络。 由于系统需要在操作过程中切换不同的无线频率并探测可用的无线访问点, 这种请求可能需要数分钟才能完成。 只有超级用户才能启动这种扫描: &prompt.root; ifconfig ath0 up scan SSID BSSID CHAN RATE S:N INT CAPS dlinkap 00:13:46:49:41:76 6 54M 29:3 100 EPS WPA WME freebsdap 00:11:95:c3:0d:ac 1 54M 22:1 100 EPS WPA 在开始扫描之前, 必须将网络接口设为 。 后续的扫描请求就不需要再将网络接口设为 up 了。 扫描会列出所请求到的所有 BSS/IBSS 网络列表。 除了网络的名字 SSID 之外, 我们还会看到 BSSID 即无线访问点的 MAC 地址。 而 CAPS 字段则给出了网络类型及其提供的功能, 其中包括: E Extended Service Set (ESS)。 表示通讯站是 infrastructure 网络 (相对于 IBSS/ad-hoc 网络) 的成员。 I IBSS/ad-hoc 网络。 表示通讯站是 ad-hoc 网络 (相对于 ESS 网络) 的成员。 P 私密。 在 BSS 中交换的全部数据帧均需保证数据保密性。 这表示 BSS 需要通讯站使用加密算法, 例如 WEP、 TKIP 或 AES-CCMP 来加密/解密与其他通讯站交换的数据帧。 S 短前导码 (Short Preamble)。 表示网络采用的是短前导码 (由 802.11b High Rate/DSSS PHY 定义, 短前导码采用 56-位 同步字段, 而不是在长前导码模式中所采用的 128-位 字段)。 s 短碰撞槽时间 (Short slot time)。 表示由于不存在旧式 (802.11b) 通讯站, 802.11g 网络正使用短碰撞槽时间。 要显示目前已知的网络, 可以使用下面的命令: &prompt.root; ifconfig ath0 list scan 这些信息可能会由无线适配器自动更新, 也可使用 手动更新。 快取缓存中的旧数据会自动删除, 因此除非进行更多扫描, 这个列表会逐渐缩小。 基本配置 在这一节中我们将展示一个简单的例子来介绍如何让无线网络适配器在 &os; 中以不加密的方式工作。 在您熟悉了这些概念之后, 我们强烈建议您在实际的使用中采用 WPA 来配置网络。 配置无线网络的过程可分为三个基本步骤: 选择无线访问点、 验证您的通讯站身份, 以及配置 IP 地址。 下面的几节中将分步骤地介绍它们。 选择无线访问点 多数时候让系统以内建的探测方式选择无线访问点就可以了。 这是在您将网络接口置为 up 或在 /etc/rc.conf 中配置 IP 地址时的默认方式, 例如: ifconfig_ath0="DHCP" 如果存在多个无线访问点, 而您希望从中选择具体的一个, 则可以通过指定 SSID 来实现: ifconfig_ath0="ssid your_ssid_here DHCP" 在某些环境中, 多个访问点可能会使用同样的 SSID (通常, 这样做的目的是简化漫游), 这时可能就需要与某个具体的设备关联了。 这种情况下, 您还应指定无线访问点的 BSSID (这时可以不指定 SSID): ifconfig_ath0="ssid your_ssid_here bssid xx:xx:xx:xx:xx:xx DHCP" 除此之外, 还有一些其它的方法能够约束查找无线访问点的范围, 例如限制系统扫描的频段, 等等。 如果您的无线网卡支持多个频段, 这样做可能会非常有用, 因为扫描全部可用频段是一个十分耗时的过程。 要将操作限制在某个具体的频段, 可以使用 参数; 例如: ifconfig_ath0="mode 11g ssid your_ssid_here DHCP" 就会强制卡使用采用 2.4GHz 的 802.11g, 这样在扫描的时候, 就不会考虑那些 5GHz 的频段了。 除此之外, 还可以通过 参数来将操作锁定在特定频率, 以及通过 参数来指定扫描的频段列表。 关于这些参数的进一步信息, 可以在联机手册 &man.ifconfig.8; 中找到。 验证身份 一旦您选定了无线访问点, 您的通讯站就需要完成身份验证, 以便开始发送和接收数据。 身份验证可以通过许多方式进行, 最常用的一种方式称为开放式验证, 它允许任意通讯站加入网络并相互通信。 这种验证方式只应在您第一次配置无线网络进行测试时使用。 其它的验证方式则需要在进行数据通讯之前, 首先进行密钥协商握手; 这些方式要么使用预先分发的密钥或密码, 要么是用更复杂一些的后台服务, 如 RADIUS。 绝大多数用户会使用默认的开放式验证, 而第二多的则是 WPA-PSK, 它也称为个人 WPA, 在 下面 的章节中将进行介绍。 如果您使用 &apple; &airport; Extreme 基站作为无线访问点, 则可能需要同时在两端配置 WEP 共享密钥验证。 这可以通过在 /etc/rc.conf 文件中进行设置, 或使用 &man.wpa.supplicant.8; 程序来手工完成。 如果您只有一个 &airport; 基站, 则可以用类似下面的方法来配置: ifconfig_ath0="authmode shared wepmode on weptxkey 1 wepkey 01234567 DHCP" 一般而言, 应尽量避免使用共享密钥这种验证方法, 因为它以非常受限的方式使用 WEP 密钥, 使得攻击者能够很容易地破解密钥。 如果必须使用 WEP (例如, 为了兼容旧式的设备) 最好使用 WEP 配合 open 验证方式。 关于 WEP 的更多资料请参见 通过 DHCP 获取 IP 地址 在您选定了无线访问点, 并配置了验证参数之后, 还必须获得 IP 地址才能真正开始通讯。 多数时候, 您会通过 DHCP 来获得无线 IP 地址。 要达到这个目的, 只需简单地编辑 /etc/rc.conf 并在配置中加入 DHCP ifconfig_ath0="DHCP" 现在您已经完成了启用无线网络接口的全部准备工作了, 下面的操作将启用它: &prompt.root; /etc/rc.d/netif start 一旦网络接口开始运行, 就可以使用 ifconfig 来查看网络接口 ath0 的状态了: &prompt.root; ifconfig ath0 ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 inet 192.168.1.100 netmask 0xffffff00 broadcast 192.168.1.255 ether 00:11:95:d5:43:62 media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/54Mbps) status: associated ssid dlinkap channel 6 bssid 00:13:46:49:41:76 authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100 这里的 status: associated 表示您已经连接到了无线网络 (在这个例子中, 这个网络的名字是 dlinkap)。 bssid 00:13:46:49:41:76 是指您所用无线访问点的 MAC 地址; authmode 这行指出您所做的通讯将不进行加密 (OPEN)。 静态 IP 地址 如果无法从某个 DHCP 服务器获得 IP 地址, 则可以配置一个静态 IP 地址, 方法是将前面的 DHCP 关键字替换为地址信息。 请务必保持其他用于连接无线访问点的参数: ifconfig_ath0="ssid your_ssid_here inet 192.168.1.100 netmask 255.255.255.0" WPA WPA (Wi-Fi 保护访问) 是一种与 802.11 网络配合使用的安全协议, 其目的是消除 WEP 中缺少身份验证能力的问题, 以及一些其它的安全弱点。 WPA 采用了 802.1X 认证协议, 并采用从多种与 WEP 不同的加密算法中选择一种来保证数据保密性。 WPA 支持的唯一一种加密算法是 TKIP (临时密钥完整性协议), 这是一种对 WEP 所采用的基本 RC4 加密算法的扩展, 除此之外还提供了对检测到的入侵的响应机制。 TKIP 被设计用来与旧式硬件一同工作, 只需要进行部分软件修改; 它提供了一种改善安全性的折衷方案, 但仍有可能受到攻击。 WPA 也指定了 AES-CCMP 加密作为 TKIP 的替代品, 在可能时倾向于使用这种加密; 表达这一规范的常用术语是 WPA2 (或 RSN)。 WPA 定义了验证和加密协议。 验证通常是使用两种方法之一来完成的: 通过 802.1X 或类似 RADIUS 这样的后端验证服务, 或通过在通讯站和无线访问点之间通过事先分发的密码来进行最小握手。 前一种通常称作企业 WPA, 而后者通常也叫做个人 WPA。 因为多数人不会为无线网络配置 RADIUS 后端服务器, 因此 WPA-PSK 是在 WPA 中最为常见的一种。 对无线连接的控制和身份验证工作 (密钥协商或通过服务器验证) 是通过 &man.wpa.supplicant.8; 工具来完成的。 这个程序运行时需要一个配置文件, /etc/wpa_supplicant.conf。 关于这个文件的更多信息, 请参考联机手册 &man.wpa.supplicant.conf.5;。 WPA-PSK WPA-PSK 也称作 个人-WPA, 它基于预先分发的密钥 (PSK), 这个密钥是根据作为无线网络上使用的主密钥的密码生成的。 这表示每个无线用户都会使用同样的密钥。 WPA-PSK 主要用于小型网络, 在这种网络中, 通常不需要或没有办法架设验证服务器。 无论何时, 都应使用足够长, 且包括尽可能多字母和数字的强口令, 以免被猜出和/或攻击。 第一步是修改配置文件 /etc/wpa_supplicant.conf, 并在其中加入在您网络上使用的 SSID 和事先分发的密钥: network={ ssid="freebsdap" psk="freebsdmall" } 接下来, 在 /etc/rc.conf 中, 我们将指定无线设备的配置, 令其采用 WPA, 并通过 DHCP 来获取 IP 地址: ifconfig_ath0="WPA DHCP" 下面, 启用无线网络接口: &prompt.root; /etc/rc.d/netif start Starting wpa_supplicant. DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 5 DHCPDISCOVER on ath0 to 255.255.255.255 port 67 interval 6 DHCPOFFER from 192.168.0.1 DHCPREQUEST on ath0 to 255.255.255.255 port 67 DHCPACK from 192.168.0.1 bound to 192.168.0.254 -- renewal in 300 seconds. ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 ether 00:11:95:d5:43:62 media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/36Mbps) status: associated ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36 protmode CTS roaming MANUAL bintval 100 除此之外, 您也可以手动地使用 above 中那份 /etc/wpa_supplicant.conf 来配置, 方法是执行: &prompt.root; wpa_supplicant -i ath0 -c /etc/wpa_supplicant.conf Trying to associate with 00:11:95:c3:0d:ac (SSID='freebsdap' freq=2412 MHz) Associated with 00:11:95:c3:0d:ac WPA: Key negotiation completed with 00:11:95:c3:0d:ac [PTK=TKIP GTK=TKIP] 接下来的操作, 是运行 dhclient 命令来从 DHCP 服务器获取 IP: &prompt.root; dhclient ath0 DHCPREQUEST on ath0 to 255.255.255.255 port 67 DHCPACK from 192.168.0.1 bound to 192.168.0.254 -- renewal in 300 seconds. &prompt.root; ifconfig ath0 ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 ether 00:11:95:d5:43:62 media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/48Mbps) status: associated ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36 protmode CTS roaming MANUAL bintval 100 如果 /etc/rc.conf 的配置中, 使用了 ifconfig_ath0="DHCP", 就不需要手工运行 dhclient 命令了, 因为 dhclient 将在 wpa_supplicant 探测到密钥之后执行。 在这个例子中, DHCP 并不可用, 您可以在 wpa_supplicant 为通讯站完成了身份认证之后, 指定静态 IP 地址: &prompt.root; ifconfig ath0 inet 192.168.0.100 netmask 255.255.255.0 &prompt.root; ifconfig ath0 ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255 ether 00:11:95:d5:43:62 media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/36Mbps) status: associated ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac authmode WPA privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36 protmode CTS roaming MANUAL bintval 100 如果没有使用 DHCP, 还需要手工配置默认网关, 以及域名服务器: &prompt.root; route add default your_default_router &prompt.root; echo "nameserver your_DNS_server" >> /etc/resolv.conf 使用 EAP-TLS 的 WPA 使用 WPA 的第二种方式是使用 802.1X 后端验证服务器, 在这个例子中, WPA 也称作 企业-WPA, 以便与安全性较差、 采用事先分发密钥的 个人-WPA 区分开来。 在 企业-WPA 中, 验证操作是采用 EAP 完成的 (可扩展认证协议)。 EAP 并未附带加密方法, 因此设计者决定将 EAP 放在加密信道中进行传送。 为此设计了许多 EAP 验证方法, 最常用的方法是 EAP-TLS、 EAP-TTLS 和 EAP-PEAP。 EAP-TLS (带 传输层安全 的 EAP) 是一种在无线世界中得到了广泛支持的验证协议, 因为它是 Wi-Fi 联盟 核准的第一个 EAP 方法。 EAP-TLS 需要使用三个证书: CA 证书 (在所有计算机上安装)、 用以向您证明服务器身份的服务器证书, 以及每个无线客户端用于证明身份的客户机证书。 在这种 EAP 方式中, 验证服务器和无线客户端均通过自己的证书向对方证明身份, 它们均验证对方的证书是本机构的证书发证机构 (CA) 签发的。 与之前介绍的方法类似, 配置也是通过 /etc/wpa_supplicant.conf 来完成的: network={ ssid="freebsdap" proto=RSN key_mgmt=WPA-EAP eap=TLS identity="loader" ca_cert="/etc/certs/cacert.pem" client_cert="/etc/certs/clientcert.pem" private_key="/etc/certs/clientkey.pem" private_key_passwd="freebsdmallclient" } 这个字段表示网络名 (SSID)。 - 这里, 我们使用 RSN (IEEE 802.11i) 协议, 也就是 + 这里, 我们使用 RSN (&ieee; 802.11i) 协议, 也就是 WPA2。 key_mgmt 这行表示所用的密钥管理协议。 在我们的例子中, 它是使用 EAP 验证的 WPA: WPA-EAP 这个字段中, 提到了我们的连接采用 EAP 方式。 identity 字段包含了 EAP 的实体串。 ca_cert 字段给出了 CA 证书文件的路径名。 在验证服务器证书时, 这个文件是必需的。 client_cert 这行给出了客户机证书的路径名。 对每个无线客户端而言, 这个证书都是在全网范围内唯一的。 private_key 字段是客户机证书私钥文件的路径名。 private_key_passwd 字段是私钥的口令字。 接着, 把下面的配置加入到 /etc/rc.conf ifconfig_ath0="WPA DHCP" 下一步是使用 rc.d 机制来启用网络接口: &prompt.root; /etc/rc.d/netif start Starting wpa_supplicant. DHCPREQUEST on ath0 to 255.255.255.255 port 67 DHCPREQUEST on ath0 to 255.255.255.255 port 67 DHCPACK from 192.168.0.20 bound to 192.168.0.254 -- renewal in 300 seconds. ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 ether 00:11:95:d5:43:62 media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps) status: associated ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36 protmode CTS roaming MANUAL bintval 100 如前面提到的那样, 也可以手工通过 wpa_supplicantifconfig 命令达到类似的目的。 使用 EAP-TTLS 的 WPA 在使用 EAP-TLS 时, 参与验证过程的服务器和客户机都需要证书, 而在使用 EAP-TTLS (带传输层安全隧道的 EAP) 时, 客户机证书则是可选的。 这种方式与某些安全 web 站点更为接近, 即使访问者没有客户端证书, 这些 web 服务器也能建立安全的 SSL 隧道。 EAP-TTLS 会使用加密的 TLS 隧道来传送验证信息。 对于它的配置, 同样是通过 /etc/wpa_supplicant.conf 文件来进行的: network={ ssid="freebsdap" proto=RSN key_mgmt=WPA-EAP eap=TTLS identity="test" password="test" ca_cert="/etc/certs/cacert.pem" phase2="auth=MD5" } 这个字段是我们的连接所采用的 EAP 方式。 identity 字段中是在加密 TLS 隧道中用于 EAP 验证的身份串。 password 字段中是用于 EAP 验证的口令字。 ca_cert 字段给出了 CA 证书文件的路径名。 在验证服务器证书时, 这个文件是必需的。 这个字段中给出了加密 TLS 隧道中使用的验证方式。 在这个例子中, 我们使用的是带 MD5-加密口令 的 EAP。 inner authentication (译注:内部鉴定) 通常也叫 phase2 您还必须把下面的配置加入到 /etc/rc.conf ifconfig_ath0="WPA DHCP" 下一步是启用网络接口: &prompt.root; /etc/rc.d/netif start Starting wpa_supplicant. DHCPREQUEST on ath0 to 255.255.255.255 port 67 DHCPREQUEST on ath0 to 255.255.255.255 port 67 DHCPREQUEST on ath0 to 255.255.255.255 port 67 DHCPACK from 192.168.0.20 bound to 192.168.0.254 -- renewal in 300 seconds. ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 ether 00:11:95:d5:43:62 media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps) status: associated ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36 protmode CTS roaming MANUAL bintval 100 使用 EAP-PEAP 的 WPA PEAP (受保护的 EAP) 被设计用以替代 EAP-TTLS。 有两种类型的 PEAP 方法, 最常用的是 PEAPv0/EAP-MSCHAPv2。 在这篇文档余下的部分中, 术语 PEAP 是指这种 EAP 方法。 PEAP 是在 EAP-TLS 之后最为常用的 EAP 标准, 换言之, 如果您的网络中有多种不同的操作系统, PEAP 将是仅次于 EAP-TLS 的支持最广的标准。 PEAP 与 EAP-TTLS 很像: 它使用服务器端证书, 通过在客户端与验证服务器之间建立加密的 TLS 隧道来向用户验证身份, 这保护了验证信息的交换过程。 在安全方面, EAP-TTLS 与 PEAP 的区别是 PEAP 会以明文广播用户名, 只有口令是通过加密 TLS 隧道传送的。 而 EAP-TTLS 在传送用户名和口令时, 都使用 TLS 隧道。 我们需要编辑 /etc/wpa_supplicant.conf 文件, 并加入与 EAP-PEAP 有关的配置: network={ ssid="freebsdap" proto=RSN key_mgmt=WPA-EAP eap=PEAP identity="test" password="test" ca_cert="/etc/certs/cacert.pem" phase1="peaplabel=0" phase2="auth=MSCHAPV2" } 这个字段的内容是用于连接的 EAP 方式。 identity 字段中是在加密 TLS 隧道中用于 EAP 验证的身份串。 password 字段中是用于 EAP 验证的口令字。 ca_cert 字段给出了 CA 证书文件的路径名。 在验证服务器证书时, 这个文件是必需的。 这个字段包含了第一阶段验证 (TLS 隧道) 的参数。 随您使用的验证服务器的不同, 您需要指定验证的标签。 多数时候, 标签应该是 客户端 EAP 加密, 这可以通过使用 peaplabel=0 来指定。 更多信息可以在联机手册 &man.wpa.supplicant.conf.5; 中找到。 这个字段的内容是验证协议在加密的 TLS 隧道中使用的信息。 对 PEAP 而言, 这是 auth=MSCHAPV2 您还必须把下面的配置加入到 /etc/rc.conf ifconfig_ath0="WPA DHCP" 下一步是启用网络接口: &prompt.root; /etc/rc.d/netif start Starting wpa_supplicant. DHCPREQUEST on ath0 to 255.255.255.255 port 67 DHCPREQUEST on ath0 to 255.255.255.255 port 67 DHCPREQUEST on ath0 to 255.255.255.255 port 67 DHCPACK from 192.168.0.20 bound to 192.168.0.254 -- renewal in 300 seconds. ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255 ether 00:11:95:d5:43:62 media: IEEE 802.11 Wireless Ethernet autoselect (DS/11Mbps) status: associated ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac authmode WPA2/802.11i privacy ON deftxkey UNDEF TKIP 2:128-bit txpowmax 36 protmode CTS roaming MANUAL bintval 100 WEP WEP (有线等效协议) 是最初 802.11 标准的一部分。 其中没有提供身份验证机制, 只提供了弱访问控制, 而且很容易破解。 WEP 可以通过 ifconfig 配置: &prompt.root; ifconfig ath0 ssid my_net wepmode on weptxkey 3 wepkey 3:0x3456789012 \ inet 192.168.1.100 netmask 255.255.255.0 weptxkey 指明了使用哪个 WEP 密钥来进行数据传输。 这里我们使用第三个密钥。 它必须与无线接入点的配置一致。 如果你不清楚你的无线接入点, 你应该尝试用 1 (就是说第一个密钥)来设置这个变量。 wepkey 表示设置所选的 WEP 密钥。 其格式应为 index:key, 如果没有给出 index 值, 则默认为 1。 因此, 如果需要设置的密钥不是第一个, 就必需指定 index 了。 您需要将 0x3456789012 改为在无线接入点上配置的那个。 我们建议您阅读联机手册 &man.ifconfig.8; 来了解进一步的信息。 wpa_supplicant 机制也可以用来配置您的无线网卡使用 WEP。 前面的例子也可以通过在 /etc/wpa_supplicant.conf 中加入下述设置来实现: network={ ssid="my_net" key_mgmt=NONE wep_key3=3456789012 wep_tx_keyidx=3 } 接着: &prompt.root; wpa_supplicant -i ath0 -c /etc/wpa_supplicant.conf Trying to associate with 00:13:46:49:41:76 (SSID='dlinkap' freq=2437 MHz) Associated with 00:13:46:49:41:76 Ad-hoc 模式 IBSS 模式, 也称为 ad-hoc 模式, 是为点对点连接设计的。 例如, 如果希望在计算机 AB 之间建立 ad-hoc 网络, 我们只需选择两个 IP 地址和一个 SSID 就可以了。 在计算机 A 上: &prompt.root; ifconfig ath0 ssid freebsdap mediaopt adhoc inet 192.168.0.1 netmask 255.255.255.0 &prompt.root; ifconfig ath0 ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4 ether 00:11:95:c3:0d:ac media: IEEE 802.11 Wireless Ethernet autoselect <adhoc> (autoselect <adhoc>) status: associated ssid freebsdap channel 2 bssid 02:11:95:c3:0d:ac authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100 此处的 adhoc 参数表示无线网络接口应以 IBSS 模式运转。 此时, 在 B 上应该能够检测到 A 的存在了: &prompt.root; ifconfig ath0 up scan SSID BSSID CHAN RATE S:N INT CAPS freebsdap 02:11:95:c3:0d:ac 2 54M 19:3 100 IS 在输出中的 I 再次确认了 A 机是以 ad-hoc 模式运行的。 我们只需给 B 配置一不同的 IP 地址: &prompt.root; ifconfig ath0 ssid freebsdap mediaopt adhoc inet 192.168.0.2 netmask 255.255.255.0 &prompt.root; ifconfig ath0 ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255 ether 00:11:95:d5:43:62 media: IEEE 802.11 Wireless Ethernet autoselect <adhoc> (autoselect <adhoc>) status: associated ssid freebsdap channel 2 bssid 02:11:95:c3:0d:ac authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100 这样, AB 就可以交换信息了。 &os; 基于主机的(无线)访问接入点 &os; 可以作为一个(无线)访问接入点(AP), 这样可以不必再去买一个硬件 AP 或者使用 ad-hoc 模式的网络。 当你的 &os; 机器作为网关连接到另外一个网络的时候将非常有用。 基本配置 在把你的 &os; 机器配置成一个 AP 以前, 你首先需要先在内核配置好对你的无线网卡的无线网络支持。 当然你还需要加上你想用的安全协议。想获得更详细的信息, 请参阅 目前还不支持使用 &windows; 驱动和 NDIS 驱动包装的网卡做为 AP 使用。只有 &os; 原生的无线驱动能够支持 AP 模式。 一旦装载了无线网络的支持, 你就可以检查一下看看你的无线设备是否支持基于主机的无线访问接入模式 (通常也被称为 hostap 模式): &prompt.root; ifconfig ath0 list caps ath0=783ed0f<WEP,TKIP,AES,AES_CCM,IBSS,HOSTAP,AHDEMO,TXPMGT,SHSLOT,SHPREAMBLE,MONITOR,TKIPMIC,WPA1,WPA2,BURST,WME> 这段输出显示了网卡所支持的各种功能; 其中的关键字 HOSTAP 表示这块无线网卡能作为一个(无线)访问接入点使用。 同时也提到了各种加密算法: WEP,TKIP,WPA2,等等, 这些信息对于知道在访问接入点上使用何种安全协议非常重要。 现在这块无线设备在配置了正确的 SSID 和 IP 地址后进入 hostap 模式了。 &prompt.root; ifconfig ath0 ssid freebsdap mode 11g mediaopt hostap inet 192.168.0.1 netmask 255.255.255.0 再一次用 ifconfig 查看一下 ath0 网络接口的状态: &prompt.root; ifconfig ath0 ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4 ether 00:11:95:c3:0d:ac media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap> status: associated ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac authmode OPEN privacy OFF txpowmax 38 bmiss 7 protmode CTS burst dtimperiod 1 bintval 100 hostap 参数说明这个网络接口目前正运行在基于主机的接入访问模式。 也可以在 /etc/rc.conf 中加入以下这行使得网络界面的配置能够在机器启动的时候自动完成: ifconfig_ath0="ssid freebsdap mode 11g mediaopt hostap inet 192.168.0.1 netmask 255.255.255.0" 不使用认证或加密的(无线)访问接入点 尽管我们不推荐运行一个不使用任何认证或加密的 AP, 但这是一个非常简单的检测 AP 是否正常工作的方法。 这样配置对于调试客户端问题也非常重要。 一旦 AP 被配置成了我们前面所展示的那样, 就可以在另外一台无线机器上初始化一次扫描来找到这个 AP: &prompt.root; ifconfig ath0 up scan SSID BSSID CHAN RATE S:N INT CAPS freebsdap 00:11:95:c3:0d:ac 1 54M 22:1 100 ES 在客户机上能看到已经连接上了(无线)访问接入点: &prompt.root; ifconfig ath0 ssid freebsdap inet 192.168.0.2 netmask 255.255.255.0 &prompt.root; ifconfig ath0 ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet6 fe80::211:95ff:fed5:4362%ath0 prefixlen 64 scopeid 0x1 inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255 ether 00:11:95:d5:43:62 media: IEEE 802.11 Wireless Ethernet autoselect (OFDM/54Mbps) status: associated ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac authmode OPEN privacy OFF txpowmax 36 protmode CTS bintval 100 使用 WPA 的(无线)访问接入点 这一段将注重介绍在 &os; (无线)访问接入点上配置使用 WPA 安全协议。 更多有关 WPA 和配置基于 WPA 无线客户端的细节 请参阅 hostapd 守护进程将被用于处理与客户端的认证和在启用 WPA (无线)访问接入点上的密钥管理。 接下来,所有的配置操作都将在作为 AP 的 &os; 机器上完成。 一旦 AP 能够正确的工作了,便把如下这行加入 /etc/rc.conf 使得 hostapd 能在机器启动的时候自动运行: hostapd_enable="YES" 在配置 hostapd 以前, 请确保你已经完成了基本配置中所介绍的步骤 WPA-PSK WPA-PSK 旨在为没有认证服务器的小型网络而设计的。 配置文件为 /etc/hostapd.conf file: interface=ath0 debug=1 ctrl_interface=/var/run/hostapd ctrl_interface_group=wheel ssid=freebsdap wpa=1 wpa_passphrase=freebsdmall wpa_key_mgmt=WPA-PSK wpa_pairwise=CCMP TKIP 这一项标明了访问接入点所使用的无线接口。 这一项设置了执行 hostapd 时候显示相关信息的详细程度。 1 表示最小的级别。 ctrl_interface 这项给出了 hostapd 存储与其他外部程序(比如 &man.hostapd.cli.8;) 通信的域套接口文件路径。这里使用了默认值。 ctrl_interface_group 这行设置了允许访问控制界面文件的组属性 (这里我们使用了 wheel 组)。 这一项是设置网络的名称。 wpa 这项表示启用了 WPA 而且指明要使用何种 WPA 认证协议。 值 1 表示 AP 将使用 WPA-PSK。 wpa_passphrase 这项包含用于 WPA 认证的 ASCII 密码。 通常使用从丰富的字母表生成足够长度的强壮密码, 以不至于被轻易的猜测或攻击到。 wpa_key_mgmt 这行表明了我们所使用的密钥管理协议。 在这个例子中是 WPA-PSK。 wpa_pairwise 这项表示(无线)访问接入点所接受的加密算法。 在这个例子中,TKIP(WPA) 和 CCMP(WPA2) 密码都会被接受。 CCMP 密码是除 TKIP 外的另一种选择, CCMP 一般作为首选密码; 仅有在 CCMP 不能被使用的环境中选择 TKIP。 接下来的一步就是运行 hostapd &prompt.root /etc/rc.d/hostapd forcestart &prompt.root; ifconfig ath0 ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 2290 inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4 ether 00:11:95:c3:0d:ac media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap> status: associated ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac authmode WPA2/802.11i privacy MIXED deftxkey 2 TKIP 2:128-bit txpowmax 36 protmode CTS dtimperiod 1 bintval 100 现在客户端能够连接上运行的(无线)访问接入点了, 更多细节可以参阅 。 查看有哪些客户连接上了 AP 可以运行命令 ifconfig ath0 list sta 使用 WEP 的(无线)访问接入点 我们不推荐使用 WEP 来设置一个(无线)访问接入点, 因为没有认证的机制并容易被破解。 一些历史遗留下的无线网卡仅支持 WEP 作为安全协议, 这些网卡仅允许搭建不含认证或 WEP 协议的 AP。 在设置了正确的 SSID 和 IP 地址后,无线设备就可以进入 hostap 模式了: &prompt.root; ifconfig ath0 ssid freebsdap wepmode on weptxkey 3 wepkey 3:0x3456789012 mode 11g mediaopt hostap \ inet 192.168.0.1 netmask 255.255.255.0 weptxkey 表示传输中使用哪一个 WEP 密钥。 这个例子中用了第3把密钥(请注意密钥的编号从 1开始)。 这个参数必须设置以用来加密数据。 wepkey 表示设置所使用的 WEP 密钥。 它应该符合 index:key 这样的格式。 如果没有指定 index,那么默认值为 1。 这就是说如果我们使用了除第一把以外的密钥, 那么就需要指定 index。 再使用一次 ifconfig 命令查看 ath0 接口的状态: &prompt.root; ifconfig ath0 ath0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 inet6 fe80::211:95ff:fec3:dac%ath0 prefixlen 64 scopeid 0x4 ether 00:11:95:c3:0d:ac media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap> status: associated ssid freebsdap channel 1 bssid 00:11:95:c3:0d:ac authmode OPEN privacy ON deftxkey 3 wepkey 3:40-bit txpowmax 36 protmode CTS dtimperiod 1 bintval 100 现在可以从另外一台无线机器上初始化一次扫描来找到这个 AP 了: &prompt.root; ifconfig ath0 up scan SSID BSSID CHAN RATE S:N INT CAPS freebsdap 00:11:95:c3:0d:ac 1 54M 22:1 100 EPS 现在客户机能够使用正确的参数(密钥等) 找到并连上(无线)访问接入点了, 更多细节请参阅 故障排除 如果您在使用无线网络时遇到了麻烦, 此处提供了一系列用以帮助排除故障的步骤。 如果您在列表中找不到无线访问点, 请确认您没有将无线设备配置为使用有限的一组频段。 如果您无法关联到无线访问点, 请确认您的通讯站配置与无线访问点的配置一致。 这包括认证模式以及安全协议。 尽可能简化您的配置。 如果您正使用类似 WPA 或 WEP 这样的安全协议, 请将无线访问点配置为开放验证和不采用安全措施, 并检查是否数据能够通过。 一旦您能够关联到无线访问点之后, 就可以使用简单的工具如 &man.ping.8; 来诊断安全配置了。 wpa_supplicant 提供了许多调试支持; 尝试手工运行它, 在启动时指定 选项, 并察看输出结果。 除此之外还有许多其它的底层调试工具。 您可以使用 /usr/src/tools/tools/net80211 中的 wlandebug 命令来启用 802.11 协议支持层的调试功能。 例如: &prompt.root; wlandebug -i ath0 +scan+auth+debug+assoc net.wlan.0.debug: 0 => 0xc80000<assoc,auth,scan> 可以用来启用与扫描无线访问点和 802.11 协议在安排通讯时与握手有关的控制台信息。 还有许多有用的统计信息是由 802.11 层维护的; wlanstats 工具可以显示这些信息。 这些统计数据能够指出由 802.11 层识别出来的错误。 请注意某些错误可能是由设备驱动在 802.11 层之下识别出来的, 因此这些错误可能并不显示。 要诊断与设备有关的问题, 您需要参考设备驱动程序的文档。 如果上述信息没能帮助您找到具体的问题所在, 请提交问题报告, 并在其中附上这些工具的输出。 Pav Lucistnik 作者:
pav@FreeBSD.org
 雪平 中文翻译:
zxpmyth@yahoo.com.cn
 苏义 蓝牙 蓝牙 简介 Bluetooth (蓝牙) 是一项无线技术, 用于建立带宽为 2.4GHZ,波长为 10 米的私有网络。 网络一般是由便携式设备,比加手机 (cellular phone), 掌上电脑 (handhelds) 和膝上电脑 (laptops)) 以 ad-hoc 形式组成。不象其它流行的无线技术——Wi-Fi,Bluetooth 提供了更高级的服务层面,像类 FTP 的文件服务、文件推送 (file pushing)、语音传送、串行线模拟等等。 在 &os; 里,蓝牙栈 (Bluetooth stack) 通过使用 Netgraph 框架 (请看 &man.netgraph.4;) 来的实现。 大量的"Bluetooth USB dongle"由 &man.ng.ubt.4; 驱动程序支持。 基于 Broadcom BCM2033 芯片组的 Bluetooth 设备可以通过 &man.ubtbcmfw.4; 和 &man.ng.ubt.4; 驱动程序支持。 3Com Bluetooth PC 卡 3CRWB60-A 由 &man.ng.bt3c.4; 驱动程序支持。 基于 Serial 和 UART 的蓝牙设备由 &man.sio.4;、&man.ng.h4.4; 和 &man.hcseriald.8;。本节介绍 USB Bluetooth dongle 的使用。 插入设备 默认的 Bluetooth 设备驱动程序已存在于内核模块里。 接入设备前,您需要将驱动程序加载入内核: &prompt.root; kldload ng_ubt 如果系统启动时 Bluetooth 设备已经存在于系统里, 那么从 /boot/loader.conf 里加载这个模块: ng_ubt_load="YES" 插入USB dongle。控制台(console)(或syslog中)会出现类似如下的信息: ubt0: vendor 0x0a12 product 0x0001, rev 1.10/5.25, addr 2 ubt0: Interface 0 endpoints: interrupt=0x81, bulk-in=0x82, bulk-out=0x2 ubt0: Interface 1 (alt.config 5) endpoints: isoc-in=0x83, isoc-out=0x3, wMaxPacketSize=49, nframes=6, buffer size=294 脚本 /etc/rc.d/bluetooth 是用来启动和停止 Bluetooth stack (蓝牙栈)的。 最好在拔出设备前停止 stack(stack),当然也不是非做不可。 启动 stack (栈) 时,会得到如下的输出: &prompt.root; /etc/rc.d/bluetooth start ubt0 BD_ADDR: 00:02:72:00:d4:1a Features: 0xff 0xff 0xf 00 00 00 00 00 <3-Slot> <5-Slot> <Encryption> <Slot offset> <Timing accuracy> <Switch> <Hold mode> <Sniff mode> <Park mode> <RSSI> <Channel quality> <SCO link> <HV2 packets> <HV3 packets> <u-law log> <A-law log> <CVSD> <Paging scheme> <Power control> <Transparent SCO data> Max. ACL packet size: 192 bytes Number of ACL packets: 8 Max. SCO packet size: 64 bytes Number of SCO packets: 8 HCI 主控制器接口 (HCI) 主控制器接口 (HCI) 提供了通向基带控制器和连接管理器的命令接口及访问硬件状态字和控制寄存器的通道。 这个接口提供了访问蓝牙基带 (Bluetooth baseband) 功能的统一方式。 主机上的 HCI 层与蓝牙硬件上的 HCI 固件交换数据和命令。 主控制器的传输层 (如物理总线) 驱动程序提供两个 HCI 层交换信息的能力。 为每个蓝牙 (Bluetooth) 设备创建一个 hci 类型的 Netgraph 结点。 HCI 结点一般连接蓝牙设备的驱动结点 (下行流) 和 L2CAP 结点 (上行流)。 所有的HCI操作必须在 HCI 结点上进行而不是设备驱动结点。HCI 结点的默认名是 devicehci。更多细节请参考 &man.ng.hci.4; 的联机手册。 最常见的任务是发现在 RF proximity 中的蓝牙 (Bluetooth) 设备。这个就叫做 质询(inquiry)。质询及 HCI 相关的操作可以由 &man.hccontrol.8; 工具来完成。 以下的例子展示如何找出范围内的蓝牙设备。 在几秒钟内您应该得到一张设备列表。 注意远程主机只有被置于 discoverable(可发现) 模式才能答应质询。 &prompt.user; hccontrol -n ubt0hci inquiry Inquiry result, num_responses=1 Inquiry result #0 BD_ADDR: 00:80:37:29:19:a4 Page Scan Rep. Mode: 0x1 Page Scan Period Mode: 00 Page Scan Mode: 00 Class: 52:02:04 Clock offset: 0x78ef Inquiry complete. Status: No error [00] BD_ADDR 是蓝牙设备的特定地址, 类似于网卡的 MAC 地址。需要用此地址与某个设备进一步地通信。 可以为 BD_ADDR 分配由人可读的名字 (human readable name)。 文件 /etc/bluetooth/hosts 包含已知蓝牙主机的信息。 下面的例子展示如何获得分配给远程设备的可读名。 &prompt.user; hccontrol -n ubt0hci remote_name_request 00:80:37:29:19:a4 BD_ADDR: 00:80:37:29:19:a4 Name: Pav's T39 如果在远程蓝牙上运行质询,您会发现您的计算机是 your.host.name (ubt0)。 分配给本地设备的名字可随时改变。 蓝牙系统提供点对点连接 (只有两个蓝牙设备参与) 和点对多点连接。在点对多点连接中,连接由多个蓝牙设备共享。 以下的例子展示如何取得本地设备的活动基带 (baseband) 连接列表。 &prompt.user; hccontrol -n ubt0hci read_connection_list Remote BD_ADDR Handle Type Mode Role Encrypt Pending Queue State 00:80:37:29:19:a4 41 ACL 0 MAST NONE 0 0 OPEN connection handle(连接柄) 在需要终止基带连接时有用。注意:一般不需要手动完成。 栈 (stack) 会自动终止不活动的基带连接。 &prompt.root; hccontrol -n ubt0hci disconnect 41 Connection handle: 41 Reason: Connection terminated by local host [0x16] 参考 hccontrol help 获取完整的 HCI 命令列表。大部分 HCI 命令不需要超级用户权限。 L2CAP 逻辑连接控制和适配协议(L2CAP) 逻辑连接控制和适配协议 (L2CAP) 为上层协议提供面向连接和无连接的数据服务, 并提供多协议功能和分割重组操作。L2CAP 充许上层协议和应用软件传输和接收最大长度为 64K 的 L2CAP 数据包。 L2CAP 基于 通道(channel) 的概念。 通道 (Channel) 是位于基带 (baseband) 连接之上的逻辑连接。 每个通道以多对一的方式绑定一个单一协议 (single protocol)。 多个通道可以绑定同一个协议,但一个通道不可以绑定多个协议。 每个在通道里接收到的 L2CAP 数据包被传到相应的上层协议。 多个通道可共享同一个基带连接。 为每个蓝牙 (Bluetooth) 设备创建一个 l2cap 类型的 Netgraph 结点。 L2CAP 结点一般连接 HCI 结点(下行流)和蓝牙设备的驱动结点(上行流)。 L2CAP 结点的默认名是 devicel2cap。 更多细节请参考 &man.ng.l2cap.4; 的联机手册。 一个有用的命令是 &man.l2ping.8;, 它可以用来 ping 其它设备。 一些蓝牙实现可能不会返回所有发送给它们的数据, 所以下例中的 0 bytes 是正常的。 &prompt.root; l2ping -a 00:80:37:29:19:a4 0 bytes from 0:80:37:29:19:a4 seq_no=0 time=48.633 ms result=0 0 bytes from 0:80:37:29:19:a4 seq_no=1 time=37.551 ms result=0 0 bytes from 0:80:37:29:19:a4 seq_no=2 time=28.324 ms result=0 0 bytes from 0:80:37:29:19:a4 seq_no=3 time=46.150 ms result=0 &man.l2control.8; 工具用于在 L2CAP 上进行多种操作。 以下这个例子展示如何取得本地设备的逻辑连接 (通道) 和基带连接的列表: &prompt.user; l2control -a 00:02:72:00:d4:1a read_channel_list L2CAP channels: Remote BD_ADDR SCID/ DCID PSM IMTU/ OMTU State 00:07:e0:00:0b:ca 66/ 64 3 132/ 672 OPEN &prompt.user; l2control -a 00:02:72:00:d4:1a read_connection_list L2CAP connections: Remote BD_ADDR Handle Flags Pending State 00:07:e0:00:0b:ca 41 O 0 OPEN 另一个诊断工具是 &man.btsockstat.1;。 它完成与 &man.netstat.1; 类似的操作, 只是用了蓝牙网络相关的数据结构。 以下这个例子显示与 &man.l2control.8; 相同的逻辑连接。 &prompt.user; btsockstat Active L2CAP sockets PCB Recv-Q Send-Q Local address/PSM Foreign address CID State c2afe900 0 0 00:02:72:00:d4:1a/3 00:07:e0:00:0b:ca 66 OPEN Active RFCOMM sessions L2PCB PCB Flag MTU Out-Q DLCs State c2afe900 c2b53380 1 127 0 Yes OPEN Active RFCOMM sockets PCB Recv-Q Send-Q Local address Foreign address Chan DLCI State c2e8bc80 0 250 00:02:72:00:d4:1a 00:07:e0:00:0b:ca 3 6 OPEN RFCOMM RFCOMM 协议 RFCOMM 协议提供基于 L2CAP 协议的串行端口模拟。 该协议基于 ETSI TS 07.10 标准。RFCOMM 是一个简单的传输协议, 附加了摸拟 9 针 RS-232(EIATIA-232-E) 串行端口的定义。 RFCOMM 协议最多支持 60 个并发连接 (RFCOMM通道)。 为了实现 RFCOMM, 运行于不同设备上的应用程序建立起一条关于它们之间通信段的通信路径。 RFCOMM实际上适用于使用串行端口的应用软件。 通信段是一个设备到另一个设备的蓝牙连接 (直接连接)。 RFCOMM 关心的只是直接连接设备之间的连接, 或在网络里一个设备与 modem 之间的连接。RFCOMM 能支持其它的配置, 比如在一端通过蓝牙无线技术通讯而在另一端使用有线接口。 在&os;,RFCOMM 协议在蓝牙套接字层 (Bluetooth sockets layer) 实现。 结对 设备的结对(Pairing of Devices) 默认情况下,蓝牙通信是不需要验证的, 任何设备可与其它任何设备对话。一个蓝牙设备 (比如手机) 可以选择通过验证以提供某种特殊服务 (比如拨号服务)。 蓝牙验证一般使用 PIN码(PIN codes)。 一个 PIN 码是最长为 16 个字符的 ASCII 字符串。 用户需要在两个设备中输入相同的PIN码。用户输入了 PIN 码后, 两个设备会生成一个 连接密匙(link key)。 接着连接密钥可以存储在设备或存储器中。 连接时两个设备会使用先前生成的连接密钥。 以上介绍的过程被称为 结对(pairing)。 注意如果任何一方丢失了连接密钥,必须重新进行结对。 守护进程 &man.hcsecd.8; 负责处理所有蓝牙验证请求。 默认的配置文件是 /etc/bluetooth/hcsecd.conf。 下面的例子显示一个手机的 PIN 码被预设为1234 device { bdaddr 00:80:37:29:19:a4; name "Pav's T39"; key nokey; pin "1234"; } PIN 码没有限制(除了长度)。有些设备 (例如蓝牙耳机) 会有一个预置的 PIN 码。 开关强制 &man.hcsecd.8; 守护进程处于前台,因此很容易看清发生了什么。 设置远端设备准备接收结对 (pairing),然后启动蓝牙连接到远端设备。 远端设备应该回应接收了结对并请求PIN码。输入与 hcsecd.conf 中一样的 PIN 码。 现在您的个人计算机已经与远程设备结对了。 另外您也可以在远程设备上初始结点。 在 &os; 5.5、 6.1 以及更新版本上, 可以通过在 /etc/rc.conf 文件中增加下面的行, 以便让 hcsecd 在系统启动时自动运行: hcsecd_enable="YES" 以下是简单的 hcsecd 服务输出样本: hcsecd[16484]: Got Link_Key_Request event from 'ubt0hci', remote bdaddr 0:80:37:29:19:a4 hcsecd[16484]: Found matching entry, remote bdaddr 0:80:37:29:19:a4, name 'Pav's T39', link key doesn't exist hcsecd[16484]: Sending Link_Key_Negative_Reply to 'ubt0hci' for remote bdaddr 0:80:37:29:19:a4 hcsecd[16484]: Got PIN_Code_Request event from 'ubt0hci', remote bdaddr 0:80:37:29:19:a4 hcsecd[16484]: Found matching entry, remote bdaddr 0:80:37:29:19:a4, name 'Pav's T39', PIN code exists hcsecd[16484]: Sending PIN_Code_Reply to 'ubt0hci' for remote bdaddr 0:80:37:29:19:a4 SDP 服务发现协议 (SDP) 服务发现协议 (SDP) 提供给客户端软件一种方法, 它能发现由服务器软件提供的服务及属性。 服务的属性包括所提供服务的类型或类别, 使用该服务所需要的机制或协议。 SDP 包括 SDP 服务器和 SDP 客户端之间的通信。 服务器维护一张服务记录列表,它介绍服务器上服务的特性。 每个服务记录包含关于单个服务的信息。通过发出 SDP 请求, 客户端会得到服务记录列表的信息。如果客户端 (或者客户端上的应用软件) 决定使用一个服务,为了使用这个服务它必须与服务提供都建立一个独立的连接。 SDP 提供了发现服务及其属性的机制,但它并不提供使用这些服务的机制。 一般地,SDP客户端按照服务的某种期望特征来搜索服务。 但是,即使没有任何关于由 SDP 服务端提供的服务的预设信息, 有时也能令人满意地发现它的服务记录里所描述的是哪种服务类型。 这种发现所提供服务的过程称为 浏览(browsing) 蓝牙 SDP 服务端 &man.sdpd.8; 和命令行客户端 &man.sdpcontrol.8; 都包括在了标准的 &os; 安装里。 下面的例子展示如何进行 SDP 浏览查询。 &prompt.user; sdpcontrol -a 00:01:03:fc:6e:ec browse Record Handle: 00000000 Service Class ID List: Service Discovery Server (0x1000) Protocol Descriptor List: L2CAP (0x0100) Protocol specific parameter #1: u/int/uuid16 1 Protocol specific parameter #2: u/int/uuid16 1 Record Handle: 0x00000001 Service Class ID List: Browse Group Descriptor (0x1001) Record Handle: 0x00000002 Service Class ID List: LAN Access Using PPP (0x1102) Protocol Descriptor List: L2CAP (0x0100) RFCOMM (0x0003) Protocol specific parameter #1: u/int8/bool 1 Bluetooth Profile Descriptor List: LAN Access Using PPP (0x1102) ver. 1.0 ...等等。注意每个服务有一个属性 (比如 RFCOMM 通道)列表。 根据服务您可能需要为一些属性做个注释。 有些蓝牙实现 (Bluetooth implementation)不支持服务浏览, 可能会返回一个空列表。这种情况,可以搜索指定的服务。 下面的例子展示如何搜索 OBEX Object Push (OPUSH) 服务: &prompt.user; sdpcontrol -a 00:01:03:fc:6e:ec search OPUSH 要在 &os; 里为蓝牙客户端提供服务,可以使用 &man.sdpd.8; 服务。 在 &os; 5.5、 6.1 和更新版本之上, 可以通过在 /etc/rc.conf 中加入下面的行: sdpd_enable="YES" 接下来使用下面的命令来启动 sdpd 服务: &prompt.root; /etc/rc.d/sdpd start 需要为远端提供蓝牙服务的本地的服务程序会使用本地 SDP 进程注册服务。像这样的程序就有 &man.rfcomm.pppd.8;。 一旦启动它,就会使用本地 SDP 进程注册蓝牙 LAN 服务。 使用本地 SDP 进程注册的服务列表,可以通过本地控制通道发出 SDP 浏览查询获得: &prompt.root; sdpcontrol -l browse 拨号网络 (DUN) 和使用 PPP(LAN) 层面的网络接入 拨号网络 (DUN) 配置通常与 modem 和手机一起使用。 如下是这一配置所涉及的内容: 计算机使用手机或 modem 作为无线 modem 来连接拨号因特网连入服务器, 或者使用其它的拨号服务; 计算机使用手机或 modem 接收数据请求。 使用 PPP(LAN) 层面的网络接入常使用在如下情形: 单个蓝牙设备的局域网连入; 多个蓝牙设备的局域网接入; PC 到 PC (使用基于串行线模拟的 PPP 网络)。 在 &os; 中,两个层面使用 &man.ppp.8; 和 &man.rfcomm.pppd.8; (一种封装器,可以将 RFCOMM 蓝牙连接转换为 PPP 可操作的东西) 来实现。 在使用任何层面之前,一个新的 PPP 标识必须在 /etc/ppp/ppp.conf 中建立。 想要实例请参考 &man.rfcomm.pppd.8;。 在下面的例子中,&man.rfcomm.pppd.8; 用来在 NUN RFCOMM 通道上打开一个到 BD_ADDR 为 00:80:37:29:19:a4 的设备的 RFCOMM 连接。具体的 RFCOMM 通道号要通过 SDP 从远端设备获得。也可以手动指定通 RFCOMM,这种情况下 &man.rfcomm.pppd.8; 将不能执行 SDP 查询。使用 &man.sdpcontrol.8; 来查找远端设备上的 RFCOMM 通道。 &prompt.root; rfcomm_pppd -a 00:80:37:29:19:a4 -c -C dun -l rfcomm-dialup 为了提供 PPP(LAN) 网络接入服务,必须运行 &man.sdpd.8; 服务。一个新的 LAN 客户端条目必须在 /etc/ppp/ppp.conf 文件中建立。 想要实例请参考 &man.rfcomm.pppd.8;。 最后,在有效地通道号上开始 RFCOMM PPP 服务。 RFCOMM PPP 服务会使用本地 SDP 进程自动注册蓝牙 LAN 服务。下面的例子展示如何启动 RFCOMM PPP 服务。 &prompt.root; rfcomm_pppd -s -C 7 -l rfcomm-server OBEX OBEX 对象推送 (OBEX Object Push - OPUSH) 层面 OBEX协议被广泛地用于移动设备之间简单的文件传输。 它的主要用处是在红外线通信领域, 被用于笔记本或手持设备之间的一般文件传输。 OBEX 服务器和客户端由第三方软件包 obexapp实现,它可以从 comms/obexapp port 安装。 OBEX 客户端用于向 OBEX 服务器推入或接出对象。 一个对像可以是(举个例子)商业卡片或约会。 OBEX 客户能通过 SDP 从远程设备取得 RFCOMM 通道号。这可以通过指定服务名代替 RFCOMM 通道号来完成。支持的服务名是有:IrMC、FTRN 和 OPUSH。 也可以用数字来指定 RFCOMM 通道号。下面是一个 OBEX 会话的例子,一个设备信息对像从手机中被拉出, 一个新的对像被推入手机的目录。 &prompt.user; obexapp -a 00:80:37:29:19:a4 -C IrMC obex> get telecom/devinfo.txt devinfo-t39.txt Success, response: OK, Success (0x20) obex> put new.vcf Success, response: OK, Success (0x20) obex> di Success, response: OK, Success (0x20) 为了提供 OBEX 推入服务,&man.sdpd.8; 必须处于运行状态。必须创建一个根目录用于存放所有进入的对象。 根文件夹的默认路径是 /var/spool/obex。 最后,在有效的 RFCOMM 通道号上开始 OBEX 服务。OBEX 服务会使用 SDP 进程自动注册 OBEX 对象推送 (OBEX Object Push) 服务。 下面的例子展示如何启动 OBEX 服务。 &prompt.root; obexapp -s -C 10 串口(SP)层面 串口(SP)层面允许蓝牙设备完成 RS232 (或类似) 串口线的仿真。 这个层面所涉及到情形是, 通过虚拟串口使用蓝牙代替线缆来处理以前的程序。 工具 &man.rfcomm.sppd.1; 来实现串口层。 Pseudo tty 用来作为虚拟的串口。 下面的例子展示如何连接远程设备的串口服务。 注意您不必指定 RFCOMM 通道——&man.rfcomm.sppd.1; 能够通过 SDP 从远端设备那里获得。 如果您想代替它的话,可以在命令行里指定 RFCOMM 通道来实现: &prompt.root; rfcomm_sppd -a 00:07:E0:00:0B:CA -t /dev/ttyp6 rfcomm_sppd[94692]: Starting on /dev/ttyp6... 一旦连接上,pseudo tty就可以充当串口了: &prompt.root; cu -l ttyp6 问题解答 不能连接远端设备 一些较老的蓝牙设备并不支持角色转换 (role switching)。默认情况下,&os; 接受一个新的连接时, 它会尝试进行角色转换并成为主控端 (master)。 不支持角色转换的设备将无法连接。 注意角色转换是在新连接建立时运行的, 因此如果远程设备不支持角色转换,就不可能向它发出请求。 一个 HCI 选项用来在本地端禁用角色转换。 &prompt.root; hccontrol -n ubt0hci write_node_role_switch 0 如果有错, 能否知道到底正在发生什么? 可以。 需要借助第三方软件包 hcidump, 它可以通过 comms/hcidump port 来安装。 hcidump 工具和 &man.tcpdump.1; 非常相像。 它可以用来显示蓝牙数据包的内容, 并将其记录到文件中。 Andrew Thompson 原作 桥接 简介 IP 子网 桥接 有时, 会有需要将一个物理网络分成两个独立的网段, 而不是创建新的 IP 子网, 并将其通过路由器相连。 以这种方式连接两个网络的设备称为 网桥 (bridge)。 有两个网络接口的 FreeBSD 系统可以作为网桥来使用。 网桥通过学习每个网络接口上的 MAC 层地址 (以太网地址) 工作。 只当数据包的源地址和目标地址处于不同的网络时, 网桥才进行转发。 在很多方面,网桥就像一个带有很少端口的以太网交换机。 适合桥接的情况 适合使用网桥的, 有许多种不同的情况。 使多个网络相互联通 网桥的基本操作是将两个或多个网段连接在一起。 由于各式各样的原因, 人们会希望使用一台真正的计算机, 而不是网络设备来充任网桥的角色, 常见的原因包括线缆的限制、 需要进行防火墙, 或为虚拟机网络接口连接虚拟网络。 网桥也可以将无线网卡以 hostap 模式接入有线网络。 过滤/数据整形防火墙 防火墙 NAT 使用防火墙的常见情形是无需进行路由或网络地址转换的情况 (NAT)。 举例来说, 一家通过 DSL 或 ISDN 连接到 ISP 的小公司, 拥有 13 个 ISP 分配的全局 IP 地址和 10 台 PC。 在这种情况下, 由于划分子网的问题, 采用路由来实现防火墙会比较困难。 路由器 DSL ISDN 基于网桥的防火墙可以串接在 DSL/ISDN 路由器的后面, 而无需考虑 IP 编制的问题。 网络监视 网桥可以用于连接两个不同的网段, 并用于监视往返的以太网帧。 这可以通过在网桥接口上使用 &man.bpf.4;/&man.tcpdump.1;, 或通过将全部以太网帧复制到另一个网络接口 (span 口) 来实现。 2层 VPN 通过 IP 连接的网桥, 可以利用 EtherIP 隧道或基于 &man.tap.4; 的解决方案, 如 OpenVPN 可以将两个以太网连接到一起。 2层 冗余 网络可以通过多条链路连接在一起, 并使用生成树协议 (Spanning Tree Protocol) 来阻止多余的通路。 为使以太网能够正确工作, 两个设备之间应该只有一条激活通路, 而生成树能够检测环路, 并将多余的链路置为阻断状态。 当激活通路断开时, 协议能够计算另外一棵树, 并重新激活阻断的通路, 以恢复到网络各点的连通性。 内核配置 这一节主要介绍 &man.if.bridge.4; 网桥实现。 除此之外, 还有一个基于 netgraph 的网桥实现, 如欲了解进一步细节, 请参见联机手册 &man.ng.bridge.4;。 网桥驱动是一个内核模块, 并会随使用 &man.ifconfig.8; 创建网桥接口时自动加载。 您也可以将 device if_bridge 加入到内核配置文件中, 以便将其静态联编进内核。 包过滤可以通过使用了 &man.pfil.9; 框架的任意一种防火墙软件包来完成。 这些防火墙可以以模块形式加载, 也可以静态联编进内核。 通过配合 &man.altq.4; 和 &man.dummynet.4;, 网桥也可以用于流量控制。 启用网桥 网桥是通过接口复制来创建的。 您可以使用 &man.ifconfig.8; 来创建网桥接口, 如果内核不包括网桥驱动, 则它会自动将其载入。 &prompt.root; ifconfig bridge create bridge0 &prompt.root; ifconfig bridge0 bridge0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500 ether 96:3d:4b:f1:79:7a id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15 maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200 root id 00:00:00:00:00:00 priority 0 ifcost 0 port 0 如此就建立了一个网桥接口, 并为其随机分配了以太网地址。 maxaddrtimeout 参数能够控制网桥在转发表中保存多少个 MAC 地址, 以及表项中主机的过期时间。 其他参数控制生成树的运转方式。 将成员网络接口加入网桥。 为了让网桥能够为所有网桥成员接口转发包, 网桥接口和所有成员接口都需要处于启用状态: &prompt.root; ifconfig bridge0 addm fxp0 addm fxp1 up &prompt.root; ifconfig fxp0 up &prompt.root; ifconfig fxp1 up 网桥现在会在 fxp0fxp1 之间转发以太网帧。 等效的 /etc/rc.conf 配置如下, 如此配置将在系统启动时创建同样的网桥。 cloned_interfaces="bridge0" ifconfig_bridge0="addm fxp0 addm fxp1 up" ifconfig_fxp0="up" ifconfig_fxp1="up" 如果网桥主机需要 IP 地址, 则应将其绑在网桥设备本身, 而不是某个成员设备上。 这可以通过静态设置或 DHCP 来完成: &prompt.root; ifconfig bridge0 inet 192.168.0.1/24 除此之外, 也可以为网桥接口指定 IPv6 地址。 防火墙 firewall (防火墙) 当启用包过滤时, 通过网桥的包可以分别在进入的网络接口、 网桥接口和发出的网络接口上进行过滤。 这些阶段均可禁用。 当包的流向很重要时, 最好在成员接口而非网桥接口上配置防火墙。 网桥上可以进行许多配置以决定非 IP 及 ARP 包能否通过, 以及通过 IPFW 实现二层防火墙。 请参见 &man.if.bridge.4; 联机手册以了解进一步的细节。 生成树 网桥驱动实现了快速生成树协议 (RSTP 或 802.1w), 并与较早的生成树协议 (STP) 兼容。 生成树可以用来在网络拓扑中检测并消除环路。 RSTP 提供了比传统 STP 更快的生成树覆盖速度, 这种协议会在相邻的交换机之间交换信息, 以迅速进入转发状态, 而不会产生环路。 下表展示了支持的运行模式: OS 版本 STP 模式 默认模式 &os; 5.4—&os; 6.2 STP STP &os; 6.3+ RSTP 或 STP STP &os; 7.0+ RSTP 或 STP RSTP 使用 stp 命令可以在成员接口上启用生成树。 对包含 fxp0fxp1 的网桥, 可以用下列命令启用 STP: &prompt.root; ifconfig bridge0 stp fxp0 stp fxp1 bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 ether d6:cf:d5:a0:94:6d id 00:01:02:4b:d4:50 priority 32768 hellotime 2 fwddelay 15 maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200 root id 00:01:02:4b:d4:50 priority 32768 ifcost 0 port 0 member: fxp0 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP> port 3 priority 128 path cost 200000 proto rstp role designated state forwarding member: fxp1 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP> port 4 priority 128 path cost 200000 proto rstp role designated state forwarding 网桥的生成树 ID 为 00:01:02:4b:d4:50 而优先级为 32768。 其中 root id 与生成树相同, 表示这是作为生成树根的网桥。 另一个网桥也启用了生成树: bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 ether 96:3d:4b:f1:79:7a id 00:13:d4:9a:06:7a priority 32768 hellotime 2 fwddelay 15 maxage 20 holdcnt 6 proto rstp maxaddr 100 timeout 1200 root id 00:01:02:4b:d4:50 priority 32768 ifcost 400000 port 4 member: fxp0 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP> port 4 priority 128 path cost 200000 proto rstp role root state forwarding member: fxp1 flags=1c7<LEARNING,DISCOVER,STP,AUTOEDGE,PTP,AUTOPTP> port 5 priority 128 path cost 200000 proto rstp role designated state forwarding 这里的 root id 00:01:02:4b:d4:50 priority 32768 ifcost 400000 port 4 表示根网桥是前面的 00:01:02:4b:d4:50, 而从此网桥出发的通路代价为 400000, 此通路到根网桥是通过 port 4fxp0 连接的。 网桥的高级用法 重建流量流 网桥支持监视模式, 在 &man.bpf.4; 处理之后会将包丢弃, 而不是继续处理或转发。 这可以用于将两个或多个接口上的输入转化为一个 &man.bpf.4; 流。 在将两个独立的接口上的传输的 RX/TX 信号重整为一个时, 这会非常有用。 如果希望将四个网络接口上的输入转成一个流: &prompt.root; ifconfig bridge0 addm fxp0 addm fxp1 addm fxp2 addm fxp3 monitor up &prompt.root; tcpdump -i bridge0 镜像口 (Span port) 网桥收到的每个以太网帧都可以发到镜像口上。 网桥上的镜像口数量没有限制, 如果一个接口已经被配置为镜像口, 则它就不能再作为网桥的成员口来使用。 这种用法主要是为与网桥镜像口相连的监听机配合使用。 如果希望将所有帧发到名为 fxp4 的接口上: &prompt.root; ifconfig bridge0 span fxp4 专用接口 (Private interface) 专用接口不会转发流量到除专用接口之外的其他端口。 这些流量会无条件地阻断, 因此包括 ARP 在内的以太网帧均不会被转发。 如果需要选择性地阻断流量, 则应使用防火墙。 自学习接口 (Sticky Interfaces) 如果网桥的成员接口标记为自学习, 则动态学习的地址项一旦进入转发快取缓存, 即被认为是静态项。 自学习项不会从快取缓存中过期或替换掉, 即使地址在另一接口上出现也是如此。 这使得不必事先发布转发表, 也能根据学习结果得到静态项的有点, 但在这些网段被网桥看到的客户机, 就不能漫游至另一网段了。 另一种用法是将网桥与 VLAN 功能连用, 这样客户网络会被隔离在一边, 而不会浪费 IP 地址空间。 考虑 CustomerAvlan100 上, 而 CustomerB 则在 vlan101 上。 网桥地址为 192.168.0.1, 同时作为 internet 路由器使用。 &prompt.root; ifconfig bridge0 addm vlan100 sticky vlan100 addm vlan101 sticky vlan101 &prompt.root; ifconfig bridge0 inet 192.168.0.1/24 两台客户机均将 192.168.0.1 作为默认网关, 由于网桥快取缓存是自学习的, 因而它们无法伪造 MAC 地址来截取其他客户机的网络流量。 在 VLAN 之间的通讯可以通过专用接口 (或防火墙) 来阻断: &prompt.root; ifconfig bridge0 private vlan100 private vlan101 这样这些客户机就完全相互隔离了。 可以使用整个的 /24 地址空间, 而无需划分子网。 地址限制 接口后的源 MAC 地址数量是可以控制的。 一旦到达了限制未知源地址的包将会被丢弃, 直至现有缓存中的一项过期或被移除。 下面的例子是设置 CustomerAvlan100 上可连接的以太网设备最大值为 10。 &prompt.root; ifconfig bridge0 ifmaxaddr vlan100 10 SNMP 管理 网桥接口和 STP 参数能够由 &os; 基本系统的 SNMP 守护进程进行管理。导出的网桥 MIB 符和 IETF 标准, 所以任何 SNMP 客户端或管理包都可以被用来接收数据。 在网桥机器上从/etc/snmp.config 文件中去掉以下这行的注释 begemotSnmpdModulePath."bridge" = "/usr/lib/snmp_bridge.so" 并启动 bsnmpd 守护进程。 其他的配置选项诸如 community names 和 access lists 可能也许也需要修改。 参阅 &man.bsnmpd.1; 和 &man.snmp.bridge.3; 获取更多信息。 以下的例子中使用了 Net-SNMP 软件 (net-mgmt/net-snmp) 来查询一个网桥,当然同样也能够使用port net-mgmt/bsnmptools。 在 SNMP 客户端 Net-SNMP 的配置文件 $HOME/.snmp/snmp.conf 中 加入以下几行来导入网桥的 MIB 定义: mibdirs +/usr/share/snmp/mibs mibs +BRIDGE-MIB:RSTP-MIB:BEGEMOT-MIB:BEGEMOT-BRIDGE-MIB 通过 IETF BRIDGE-MIB(RFC4188) 监测一个单独的网桥 &prompt.user; snmpwalk -v 2c -c public bridge1.example.com mib-2.dot1dBridge BRIDGE-MIB::dot1dBaseBridgeAddress.0 = STRING: 66:fb:9b:6e:5c:44 BRIDGE-MIB::dot1dBaseNumPorts.0 = INTEGER: 1 ports BRIDGE-MIB::dot1dStpTimeSinceTopologyChange.0 = Timeticks: (189959) 0:31:39.59 centi-seconds BRIDGE-MIB::dot1dStpTopChanges.0 = Counter32: 2 BRIDGE-MIB::dot1dStpDesignatedRoot.0 = Hex-STRING: 80 00 00 01 02 4B D4 50 ... BRIDGE-MIB::dot1dStpPortState.3 = INTEGER: forwarding(5) BRIDGE-MIB::dot1dStpPortEnable.3 = INTEGER: enabled(1) BRIDGE-MIB::dot1dStpPortPathCost.3 = INTEGER: 200000 BRIDGE-MIB::dot1dStpPortDesignatedRoot.3 = Hex-STRING: 80 00 00 01 02 4B D4 50 BRIDGE-MIB::dot1dStpPortDesignatedCost.3 = INTEGER: 0 BRIDGE-MIB::dot1dStpPortDesignatedBridge.3 = Hex-STRING: 80 00 00 01 02 4B D4 50 BRIDGE-MIB::dot1dStpPortDesignatedPort.3 = Hex-STRING: 03 80 BRIDGE-MIB::dot1dStpPortForwardTransitions.3 = Counter32: 1 RSTP-MIB::dot1dStpVersion.0 = INTEGER: rstp(2) dot1dStpTopChanges.0的值为2 意味着 STP 网桥拓扑改变了2次,拓扑的改变表示1个或多个 网络中的连接改变或失效并且有一个新树生成。 dot1dStpTimeSinceTopologyChange.0 的值则能够显示这是何时改变的。 监测多个网桥接口可以使用 private BEGEMOT-BRIDGE-MIB: &prompt.user; snmpwalk -v 2c -c public bridge1.example.com enterprises.fokus.begemot.begemotBridge BEGEMOT-BRIDGE-MIB::begemotBridgeBaseName."bridge0" = STRING: bridge0 BEGEMOT-BRIDGE-MIB::begemotBridgeBaseName."bridge2" = STRING: bridge2 BEGEMOT-BRIDGE-MIB::begemotBridgeBaseAddress."bridge0" = STRING: e:ce:3b:5a:9e:13 BEGEMOT-BRIDGE-MIB::begemotBridgeBaseAddress."bridge2" = STRING: 12:5e:4d:74:d:fc BEGEMOT-BRIDGE-MIB::begemotBridgeBaseNumPorts."bridge0" = INTEGER: 1 BEGEMOT-BRIDGE-MIB::begemotBridgeBaseNumPorts."bridge2" = INTEGER: 1 ... BEGEMOT-BRIDGE-MIB::begemotBridgeStpTimeSinceTopologyChange."bridge0" = Timeticks: (116927) 0:19:29.27 centi-seconds BEGEMOT-BRIDGE-MIB::begemotBridgeStpTimeSinceTopologyChange."bridge2" = Timeticks: (82773) 0:13:47.73 centi-seconds BEGEMOT-BRIDGE-MIB::begemotBridgeStpTopChanges."bridge0" = Counter32: 1 BEGEMOT-BRIDGE-MIB::begemotBridgeStpTopChanges."bridge2" = Counter32: 1 BEGEMOT-BRIDGE-MIB::begemotBridgeStpDesignatedRoot."bridge0" = Hex-STRING: 80 00 00 40 95 30 5E 31 BEGEMOT-BRIDGE-MIB::begemotBridgeStpDesignatedRoot."bridge2" = Hex-STRING: 80 00 00 50 8B B8 C6 A9 通过 mib-2.dot1dBridge 子树改变正在被监测的网桥接口: &prompt.user; snmpset -v 2c -c private bridge1.example.com BEGEMOT-BRIDGE-MIB::begemotBridgeDefaultBridgeIf.0 s bridge2 Andrew Thompson Written by 链路聚合与故障转移 lagg failover (故障转移) fec lacp loadbalance (负载均衡) roundrobin (轮转) 介绍 使用 &man.lagg.4; 接口, 能够将多个网络接口聚合为一个虚拟接口, 以提供容灾和高速连接的能力。 运行模式 - failover (故障转移) + Failover (故障转移) 只通过主网口收发数据。 如果主网口不可用, 则使用下一个激活的网口。 您在这里加入的第一个网口便会被视为主网口; 此后加入的其他网口, 则会被视为故障转移的备用网口。 - fec + &cisco; Fast ðerchannel; - 用以支持 Cisco EtherChannel。 这是一种静态配置, + &cisco; Fast ðerchannel; (FEC) 是一种静态配置, 并不进行节点间协商或交换以太网帧来监控链路情况。 如果交换机支持 LACP, 则应使用后者而非这种配置。 - 这种做法是将输出流量在激活的网口之间以协议头散列信息为依据分拆, + FEC 将输出流量在激活的网口之间以协议头散列信息为依据分拆, 并接收来自任意激活网口的入流量。 散列信息包含以太网源地址、 目的地址, 以及 (如果有的话) VLAN tag 和 IPv4/IPv6 源地址及目的地址信息。 - lacp + LACP - 支持 IEEE 802.3ad 链路聚合控制协议 + 支持 &ieee; 802.3ad 链路聚合控制协议 (LACP) 和标记协议。 LACP 能够在节点与若干链路聚合组之间协商链路。 每一个链路聚合组 (LAG) 由一组相同速度、 以全双工模式运行的网口组成。 流量在 LAG 中的网口之间, 会以总速度最大的原则进行分摊。 当物理链路发生变化时, 链路聚合会迅速适应变动形成新的配置。 - 这种做法也是将输出流量在激活的网口之间以协议头散列信息为依据分拆, + LACP 也是将输出流量在激活的网口之间以协议头散列信息为依据分拆, 并接收来自任意激活网口的入流量。 散列信息包含以太网源地址、 目的地址, 以及 (如果有的话) VLAN tag 和 IPv4/IPv6 源地址及目的地址信息。 - loadbalance (负载均衡) + Loadbalance (负载均衡) - 这是 fec 模式的别名。 + 这是 FEC 模式的别名。 - roundrobin (轮转) + Round-robin (轮转) 将输出流量以轮转方式在所有激活端口之间调度, 并从任意激活端口接收进入流量。 这种模式违反了以太网帧排序规则, 因此应小心使用。 例子 - 与 Cisco 交换机配合完成 LACP 链路聚合 + 与 &cisco; 交换机配合完成 LACP 链路聚合 在这个例子中, 我们将 &os; 的两个网口作为一个负载均衡和故障转移链路聚合组接到交换机上。 在此基础上, 还可以增加更多的网口, 以提高吞吐量和故障容灾能力。 由于以太网链路上两节点间的帧序是强制性的, 因此两个节点之间的连接速度, 会取决于一块网卡的最大速度。 传输算法会尽量采用更多的信息, 以便将不同的网络流量分摊到不同的网络接口上, 并平衡不同网口的负载。 - 在 Cisco 交换机上将网口添加到通道组 (channel group) 中。 + 在 &cisco; 交换机上将 + FastEthernet0/1 和 + FastEthernet0/2 这两个网口添加到 + channel-group 1 - interface FastEthernet0/1 - channel-group 1 mode active - channel-protocol lacp + interface FastEthernet0/1 + channel-group 1 mode active + channel-protocol lacp ! -interface FastEthernet0/2 - channel-group 1 mode active - channel-protocol lacp -! - - 在 &os; 机器上创建 lagg 接口。 - - &prompt.root; ifconfig lagg0 create -&prompt.root; ifconfig lagg0 up laggproto lacp laggport fxp0 laggport fxp1 - - 从 ifconfig 查看接口状态: 标记为 - ACTIVE 的接口属于激活的聚合组, - 并且已经完成了与交换机的协商过程, 能够收发网络流量了。 - 您可以利用 &man.ifconfig.8; - 的输出细节来检视 LAG 标识。 +interface FastEthernet0/2 + channel-group 1 mode active + channel-protocol lacp + + 在 &os; 使用 + fxp0 和 + fxp1 创建 &man.lagg.4; 接口: + + &prompt.root; ifconfig lagg0 create +&prompt.root; ifconfig lagg0 up laggproto lacp laggport fxp0 laggport fxp1 + + 用下面的命令查看接口状态: + + &prompt.root; ifconfig lagg0 + + 标记为 + ACTIVE 的接口是激活据合组的部分, + 这表示它们已经完成了与远程交换机的协商, + 同时, 流量将通过这些接口来收发。 在 &man.ifconfig.8; + 的详细输出中会给出 LAG 的标识。 lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=8<VLAN_MTU> ether 00:05:5d:71:8d:b8 media: Ethernet autoselect status: active laggproto lacp laggport: fxp1 flags=1c<ACTIVE,COLLECTING,DISTRIBUTING> laggport: fxp0 flags=1c<ACTIVE,COLLECTING,DISTRIBUTING> - 交换机上会显示哪些端口是激活的。 如果需要了解更多细节, 则可以使用 - show lacp neighbor detail + 如果需要查看交换机上的端口状态, 则应使用 show + lacp neighbor 命令: switch# show lacp neighbor Flags: S - Device is requesting Slow LACPDUs F - Device is requesting Fast LACPDUs A - Device is in Active mode P - Device is in Passive mode Channel group 1 neighbors Partner's information: LACP port Oper Port Port Port Flags Priority Dev ID Age Key Number State Fa0/1 SA 32768 0005.5d71.8db8 29s 0x146 0x3 0x3D Fa0/2 SA 32768 0005.5d71.8db8 29s 0x146 0x4 0x3D + 如欲查看进一步的详情, 则需要使用 show lacp neighbor + detail 命令。 故障转移模式 - 故障转移模式可以用于在主端口连接中断时切换到备用端口。 + 故障转移模式中, 当首选链路发生问题时, + 会自动切换到备用端口。 下面的命令会创建 + lagg0 接口, 并使用 + fxp0 作为首选接口, 而 + fxp1 作为备用接口: - &prompt.root; ifconfig lagg0 create -&prompt.root; ifconfig lagg0 up laggproto failover laggport fxp0 laggport fxp1 + &prompt.root; ifconfig lagg0 create +&prompt.root; ifconfig lagg0 up laggproto failover laggport fxp0 laggport fxp1 - lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 + 创建成功之后, 接口状态会是类似下面这样, + 主要的区别是 MAC 地址和设备名: + + &prompt.root; ifconfig lagg0 +lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=8<VLAN_MTU> ether 00:05:5d:71:8d:b8 media: Ethernet autoselect status: active laggproto failover laggport: fxp1 flags=0<> laggport: fxp0 flags=5<MASTER,ACTIVE> 系统将在 - fxp0 上进行流量的收发。 如果 - fxp0 的连接中断, 则 fxp1 + fxp0 上进行流量的收发。 如果 + fxp0 的连接中断, 则 fxp1 会自动成为激活连接。 如果主端口的连接恢复, 则它又会成为激活连接。 Jean-François Dockès 更新: Alex Dupre 重新组织及增强: 雪平 中文翻译:
zxpmyth@yahoo.com.cn
 苏义 无盘操作 无盘工作站 无盘操作 FreeBSD 主机可以从网络启动而无需本地磁盘就可操作, 使用的是从 NFS 服务器装载的文件系统。 除了标准的配置文件,无需任何的系统修改。 很容易设置这样的系统因为所有必要的元素都很容易得到: 至少有两种可能的方法从网络加载内核: PXE:&intel; 的先启动执行环境 (Preboot eXecution Environment) 系统是一种灵活的引导 ROM 模式,这个 ROM 内建在一些网卡或主板的中。查看 &man.pxeboot.8; 以获取更多细节。 Etherboot port (net/etherboot) 产生通过网络加载内核的可 ROM 代码。这些代码可以烧入网卡上的 PROM 上,或从本地软盘 (或硬盘) 驱动器加载,或从运行着的 &ms-dos; 系统加载。它支持多种网卡。 一个样板脚本 (/usr/share/examples/diskless/clone_root) 简化了对服务器上的工作站根文件系统的创建和维护。 这个脚本需要少量的自定义,但您能很快的熟悉它。 /etc 存在标准的系统启动文件用于侦测和支持无盘的系统启动。 可以向 NFS 文件或本地磁盘进行交换(如果需要的话)。 设置无盘工作站有许多方法。 有很多相关的元素大部分可以自定义以适合本地情况。 以下将介绍一个完整系统的安装,强调的是简单性和与标准 FreeBSD 启动脚本的兼容。介绍的系统有以下特性: 无盘工作站使用一个共享的只读 / 文件系统和一个共享的只读/usr root 文件系统是一份标准的 FreeBSD 根文件系统 (一般是服务器的),只是一些配置文件被特定于无盘操作的配置文件覆盖。 root 文件系统必须可写的部分被 &man.md.4; 文件系统覆盖。 任何的改写在重启后都会丢失。 内核由 etherbootPXE 传送和加载, 有些情况可能会指定使用其中之一。 如上所述,这个系统是不安全的。 它应该处于网络的受保护区域并不被其它主机信任。 这部分所有的信息均在 5.2.1-RELEASE 上测试过。 背景信息 设置无盘工作站相对要简单而又易出错。 有时分析一些原因是很难的。例如: 编译时选项在运行时可能产生不同的行为。 出错信息经常是加密了的或根本就没有。 在这里, 涉及到的一些背景知识对于可能出现的问题的解决是很有帮助的。 要成功地引导系统还有些操作需要做。 机子需要获取初始的参数,如它的 IP 地址、执行文件、服务器名、根路径。这个可以使用 或 BOOTP 协议来完成。 DHCP 是 BOOTP 的兼容扩展, 并使用相同的端口和基本包格式。 只使用 BOOTP 来配置系统也是可行的。 &man.bootpd.8; 服务程序被包含在基本的 &os; 系统里。 不过,DHCP 相比 BOOTP 有几个好处 (更好的配置文件,使用 PXE 的可能性,以及许多其它并不直接相关的无盘操作), 接着我们会要描述一个 DHCP 配置, 可能的话会利用与使用 &man.bootpd.8; 相同的例子。这个样板配置会使用ISC DHCP 软件包 (3.0.1.r12 发行版安装在测试服务器上)。 机子需要传送一个或多个程序到本地内存。 TFTPNFS 会被使用。选择TFTP 还是 NFS 需要在几个地方的编译时间选项里设置。 通常的错误源是为文件名指定了错误的协议:TFTP 通常从服务器里的一个单一目录传送所有文件,并需要相对这个目录的文件名。 NFS 需要的是绝对文件路径。 介于启动程序和内核之间的可能的部分需要被初始化并执行。 在这部分有几个重要的变量: PXE 会装入 &man.pxeboot.8;——它是 &os; 第三阶段装载器的修改版。 &man.loader.8; 会获得许多参数用于系统启动, 并在传送控制之前把它们留在内核环境里。 在这种情况下,使用 GENERIC 内核就可能了。 Etherboot 会做很少的准备直接装载内核。 您要使用指定的选项建立 (build) 内核。 PXEEtherboot 工作得一样的好。 不过, 因为一般情况下内核希望 &man.loader.8; 做了更多的事情, PXE 是推荐的方法。 如果您的 BIOS 和网卡都支持 PXE, 就应该使用它。 最后,机子需要访问它的文件系统。 NFS 使用在所有的情况下。 查看 &man.diskless.8; 手册页。 安装说明 配置使用<application>ISC DHCP</application> DHCP 无盘操作 ISC DHCP 服务器可以回应 BOOTP 和 DHCP 的请求。 ISC DHCP 3.0 并不属于基本系统。首先您需要安装 net/isc-dhcp30-server port 或相应的 一旦安装了 ISC DHCP, 还需要一个配置文件才能运行 (通常名叫 /usr/local/etc/dhcpd.conf)。 这里有个注释过的例子,里边主机 margaux 使用 Etherboot, 而主机corbieres 使用 PXE default-lease-time 600; max-lease-time 7200; authoritative; option domain-name "example.com"; option domain-name-servers 192.168.4.1; option routers 192.168.4.1; subnet 192.168.4.0 netmask 255.255.255.0 { use-host-decl-names on; option subnet-mask 255.255.255.0; option broadcast-address 192.168.4.255; host margaux { hardware ethernet 01:23:45:67:89:ab; fixed-address margaux.example.com; next-server 192.168.4.4; filename "/data/misc/kernel.diskless"; option root-path "192.168.4.4:/data/misc/diskless"; } host corbieres { hardware ethernet 00:02:b3:27:62:df; fixed-address corbieres.example.com; next-server 192.168.4.4; filename "pxeboot"; option root-path "192.168.4.4:/data/misc/diskless"; } } 这个选项告诉 dhcpd 发送host 里声明的用于无盘主机的主机名的值。 另外可能会增加一个 option host-name margauxhost 声明里。 next-server 正式指定 TFTPNFS 服务用于载入装载器或内核文件 (默认使用的是相同的主机作为DHCP 服务器)。 filename 正式定义这样的文件——etherbootPXE 为执行下一步将装载它。 根据使用的传输方式,它必须要指定。 Etherboot 可以被编译来使用 NFSTFTP。 &os; port 默认配置了NFSPXE 使用 TFTP, 这就是为什么在这里使用相对文件名 (这可能依赖于 TFTP 服务器配置,不过会相当典型)。 同样,PXE 会装载 pxeboot, 而不是内核。另外有几个很有意思的可能,如从 &os; CD-ROM 的 /boot 目录装载 pxeboot (因为 &man.pxeboot.8; 能够装载 GENERIC 内核,这就使得可以使用 PXE 从远程的 CD-ROM 里启动)。 root-path 选项定义到根 (root) 文件系统的路径,通常是 NFS 符号。当使用 PXE 时,只要您不启用内核里的 BOOTP 选项,可以不管主机的IP。NFS 服务器然后就如同 TFTP 一样。 配置使用BOOTP BOOTP 无盘操作 这里紧跟的是一个等效的 bootpd 配置 (减少到一个客户端)。这个可以在 /etc/bootptab 里找到。 请注意:为了使用BOOTP,etherboot 必须使用非默认选项 NO_DHCP_SUPPORT 来进行编译,而且 PXE 需要 DHCPbootpd 的唯一可见的好处是它存在于基本系统中。 .def100:\ :hn:ht=1:sa=192.168.4.4:vm=rfc1048:\ :sm=255.255.255.0:\ :ds=192.168.4.1:\ :gw=192.168.4.1:\ :hd="/tftpboot":\ :bf="/kernel.diskless":\ :rp="192.168.4.4:/data/misc/diskless": margaux:ha=0123456789ab:tc=.def100 使用<application>Etherboot</application>准备启动程序 Etherboot Etherboot 的网站 包含有更多的文档 ——主要瞄准的是 Linux 系统,但无疑包含有有用的信息。 如下列出的是关于在 FreeBSD 系统里使用 Etherboot 首先您必须安装net/etherboot 包或 port。 您可以改变 Etherboot 的配置 (如使用 TFTP 来代替 NFS), 方法是修改 Config 文件——在 Etherboot 源目录里。 对于我们的设置,我们要使用一张启动软盘。 对于其它的方法(PROM,或 &ms-dos;程序), 请参考 Etherboot 文档。 想要使用启动软盘,先插入一张软盘到安装有 Etherboot 的机器的驱动器里, 然后把当前路径改到 src 目录——在 Etherboot 树下, 接着输入: &prompt.root; gmake bin32/devicetype.fd0 devicetype 依赖于无盘工作站上的以太网卡的类型。 参考在同一个目录下的 NIC 文件确认正确的 devicetype 使用<acronym>PXE</acronym>启动 默认地,&man.pxeboot.8; 装载器通过 NFS 装载内核。它可以编译来使用 TFTP——通过在文件 /etc/make.conf 里指定 LOADER_TFTP_SUPPORT 选项来代替。 请参见 /usr/share/examples/etc/make.conf 里的注释 了解如何配置。 除此之外还有两个未说明的 make.conf 选项——它可能对于设置一系列控制台无盘机器会有用: BOOT_PXELDR_PROBE_KEYBOARDBOOT_PXELDR_ALWAYS_SERIAL 当机器启动里,要使用 PXE, 通常需要选择 Boot from network 选项——在 BIOS 设置里, 或者在 PC 初始化的时候输入一个功能键 (function key)。 配置 <acronym>TFTP</acronym> 和 <acronym>NFS</acronym> 服务器 TFTP 无盘操作 NFS 无盘操作 如果您正在使用 PXEEtherboot——配置使用了 TFTP,那么您需要在文件服务器上启用 tftpd 建立一个目录——从那里 tftpd 可以提供文件服务,如 /tftpboot 把这一行加入到 /etc/inetd.conf里: tftp dgram udp wait root /usr/libexec/tftpd tftpd -l -s /tftpboot 好像有一些版本的 PXE 需要 TCP 版本的 TFTP。 在这种情况下,加入第二行,使用 stream tcp 来代替 dgram udp inetd 重读其配置文件。 要正确执行这个命令, 在 /etc/rc.conf 文件中必须加入 &prompt.root; /etc/rc.d/inetd restart 您可把 tftpboot 目录放到服务器上的什何地方。 确定这个位置设置在 inetd.confdhcpd.conf 里。 在所有的情况下,您都需要启用 NFS, 并且 NFS 服务器上导出相应的文件系统。 把这一行加入到/etc/rc.conf里: nfs_server_enable="YES" 通过往 /etc/exports 里加入下面几行(调整载入点列, 并且使用无盘工作站的名字替换 margaux corbieres), 导出文件系统——无盘根目录存在于此: /data/misc -alldirs -ro margaux corbieres mountd 重读它的配置文件。如果您真的需要启用第一步的 /etc/rc.confNFS, 您可能就要重启系统了。 &prompt.root; /etc/rc.d/mountd restart 建立无盘内核 无盘操作 内核配置 如果您在使用 Etherboot, 您需要为无盘客户端建立内核配置文件, 使用如下选项(除了常使用的外): options BOOTP # Use BOOTP to obtain IP address/hostname options BOOTP_NFSROOT # NFS mount root filesystem using BOOTP info 您可能也想使用 BOOTP_NFSV3BOOT_COMPATBOOTP_WIRED_TO (参考 NOTES 文件)。 这些名字具有历史性,并且有些有些误导, 因为它们实际上启用了内核里 (它可能强制限制 BOOTP 或 DHCP 的使用),与 DHCP 和 BOOTP 的无关的应用。 编译内核(参考), 然后将它复制到 dhcpd.conf 里指定的地方。 当使用 PXE 里, 使用以上选项建立内核并不做严格要求(尽管建议这样做)。 启用它们会在内核启动时引起更多的 DHCP 提及过的请求,带来的小小的风险是在有些特殊情况下新值和由 &man.pxeboot.8; 取回的值之间的不一致性。 使用它们的好处是主机名会被附带设置。否则, 您就需要使用其它的方法来设置主机名,如在客户端指定的 rc.conf 文件里。 为了使带有 Etherboot 的内核可引导,就需要把设备提示 (device hint) 编译进去。通常要在配置文件(查看 NOTES 配置注释文件) 里设置下列选项: hints "GENERIC.hints" 准备根(root)文件系统 根文件系统 无盘操作 您需要为无盘工作站建立根文件系统, 它就是 dhcpd.conf 里的 root-path 所指定的目录。 使用 <command>make world</command> 来复制根文件系统 这种方法可以迅速安装一个彻底干净的系统 (不仅仅是根文件系统) 到 DESTDIR。 您要做的就是简单地执行下面的脚本: #!/bin/sh export DESTDIR=/data/misc/diskless mkdir -p ${DESTDIR} cd /usr/src; make buildworld && make buildkernel cd /usr/src/etc; make distribution 一旦完成,您可能需要定制 /etc/rc.conf/etc/fstab——根据您的需要放到 DESTDIR里。 配置 swap(交换) 如果需要,位于服务器上的交换文件可以通过 NFS 来访问。 <acronym>NFS</acronym> 交换区 内核并不支持在引导时启用 NFS 交换区。 交换区必须通过启动脚本启用, 其过程是挂接一个可写的文件系统, 并在其上创建并启用交换文件。 要建立尺寸合适的交换文件, 可以这样做: &prompt.root; dd if=/dev/zero of=/path/to/swapfile bs=1k count=1 oseek=100000 要启用它,您须要把下面几行加到 rc.conf里: swapfile=/path/to/swapfile 杂项问题 运行时 <filename>/usr</filename> 是只读在 无盘操作 只读的 /usr 如果无盘工作站是配置来支持 X, 那么您就必须调整 XDM 配置文件,因为它默认把错误信息写到 /usr 使用非 FreeBSD 服务器 当用作根文件系统的服务器运行的是不 FreeBSD,您须要在 FreeBSD 机器上建立根文件系统, 然后把它复制到它的目的地,使用的命令可以是 tarcpio 在这种情况下,有时对于 /dev 里的一些特殊的文件会有问题,原因就是不同的 最大/最小整数大小。 一种解决的方法就是从非 FreeBSD 服务里导出一个目录, 并把它载入 FreeBSD 到机子上, 并使用 &man.devfs.5; 来为用户透明地分派设备节点。 ISDN ISDN 关于 ISDN 技术和硬件的一个好的资源是Dan Kegel 的 ISDN 主页 一个快速简单的到 ISDN 的路线图如下: 如果您住在欧洲,您可能要查看一下 ISDN 卡部分。 如果您正计划首要地使用 ISDN 基于拨号非专用线路连接到带有提供商的互联网, 您可能要了解一下终端适配器。如果您更改提供商的话, 这会给您带来最大的灵活性、最小的麻烦。 如果您连接了两个局域网 (LAN),或使用了专用的 ISDN 连线连接到互联网,您可能要考虑选择单独的路由器/网桥。 在决定选择哪一种方案的时候,价格是个很关键的因素。 下面列有从不算贵到最贵的选择: Hellmuth Michaelis 贡献者: 雪平 中文翻译:
zxpmyth@yahoo.com.cn
 ISDN 卡 ISDN FreeBSD 的 ISDN 工具通过被动卡 (passive card) 仅支持 DSS1/Q.931(或 Euro-ISDN) 标准。 此外也支持一些 active card, 它们的固件也支持其它信号协议, 这其中包括最先得到支持的 Primary Rate (PRI) ISDN卡。 isdn4bsd 软件允许连接到其它 ISDN 路由器,使用的是原始的 HDLC 上的 IP 或利用同步 PPP:使用带有 isppp (一个修改过的 &man.sppp.4; 驱动程序)的 PPP 内核,或使用用户区 (userland) &man.ppp.8;。通过使用 userland &man.ppp.8;,两个或更多 ISDN 的 B 通道联结变得可能。 除了许多如 300 波特 (Baud) 的软 modem 一样的工具外, 还可以实现电话应答机应用。 在 FreeBSD 里,正有更多的 PC ISDN 卡被支持; 报告显示在整个欧洲及世界的其它许多地区可以成功使用。 被支持的主动型 ISDN 卡主要是带有 Infineon (以前的 Siemens) ISAC/HSCX/IPAC ISDN 芯片组,另外还有带有 Cologne (只有 ISA 总线) 芯片的 ISDN 卡、带有 Winbond W6692 芯片的 PCI 卡、一部分带有 Tiger300/320/ISAC 芯片组的卡以及带有一些商家专有的芯片组的卡 (如 AVM Fritz!Card PCI V.1.0 和 the AVM Fritz!Card PnP)。 当前积极的支持的 ISDN 卡有 AVM B1 (ISA 和 PCI) BRI 卡和 AVM T1 PCI PRI 卡。 关于 isdn4bsd 的文档,请查看 FreeBSD 系统里的 /usr/share/examples/isdn/ 目录或查看 isdn4bsd的主页, 那里也有提示、勘误表以及更多的文档 (如 isdn4bsd手册)。 要是您有兴趣增加对不同 ISDN 协议的支持,对当前还不支持的 ISDN PC 卡的支持或想增强 isdn4bsd 的性能,请联系 &a.hm;。 对于安装、配置以及 isdn4bsd 故障排除的问题,可以利用 &a.isdn.name; 邮件列表。 ISDN 终端适配器 终端适配器 (TA) 对于 ISDN 就好比 modem 对于常规电话线。 modem 许多 TA 使用标准的 Hayes modem AT 命令集,并且可以降级来代替 modem。 TA 基本的运作同 modem 一样,不同之处是连接和整个速度更比老 modem 更快。同 modem 的安装一样,您也需要配置 PPP。确认您的串口速度已足够高。 PPP 使用 TA 连接互联网提供商的主要好处是您可以做动态的 PPP。 由于 IP 地址空间变得越来越紧张,许多提供商都不愿再提供静态 IP。许多的独立的路由器是不支持动态 IP 分配的。 TA 完全依赖于您在运行的 PPP 进程, 以完成它们的功能和稳定的连接。这可以让您在 FreeBSD 机子里轻易地从使用 modem 升级到 ISDN,要是您已经安装了 PPP 的话。只是,在您使用 PPP 程序时所体验到任何问题同时也存在。 如果您想要最大的稳定性,请使用 PPP 内核选项,而不要使用 userland PPP。 下面的 TA 就可以同 FreeBSD 一起工作: Motorola BitSurfer 和 Bitsurfer Pro Adtran 大部分其它的 TA 也可能工作,TA 提供商试图让他们的产品可以接受大部分的标准 modem AT 命令集。 对于外置 TA 的实际问题是:象 modem 要一样,您机子需要有一个好的串行卡。 想要更深入地理解串行设备以及异步和同步串口这间的不同点, 您就要读读 FreeBSD 串行硬件教程了。 TA 将标准的 PC 串口 (同步的) 限制到了 115.2 Kbs,即使您有 128 Kbs 的连接。 想要完全利用 ISDN 有能力达到的 128 Kbs,您就需要把 TA 移到同步串行卡上。 当心被骗去买一个内置的 TA 以及自认为可以避免同步/异步问题。内置的 TA 只是简单地将一张标准 PC 串口芯片内建在里边。 所做的这些只是让您省去买另一根串行线以及省去寻找另一个空的插孔。 带有 TA 的同步卡至少和一个独立的路由器同一样快地, 而且仅使用一个简单的 386 FreeBSD 盒驱动它。 选择同步卡/TA 还是独立的路由器,是个要高度谨慎的问题。 在邮件列表里有些相关的讨论。我们建议您去搜索一下关于完整讨论的记录 单独的 ISDN 桥/路由器 ISDN 单独的 桥/路由器 ISDN 桥或路由器根本就没有指定要 FreeBSD 或其它任何的操作系统。更多完整的关于路由和桥接技术的描述, 请参考网络指南的书籍。 这部分的内容里,路由器和桥接这两个词汇将会交替地使用。 随着 ISDN 路由器/桥的价格下滑,对它们的选择也会变得越来越流行。 ISDN 路由器是一个小盒子,可以直接地接入您的本地以太网, 并且自我管理到其它桥/路由器的连接。它有个内建的软件用于与通信——通过 PPP 和其它流行的协议。 路由器有比标准 TA 更快的吞吐量,因为它会使用完全同步的 ISDN 连接。 使用 ISDN 路由器和桥的主要问题是两个生产商之间的协同性仍存在问题。 如果您计划连接到互联网提供商,您应该跟他们进行交涉。 如果您计划连接两个局域网网段,如您的家庭网和办公网, 这将是最简单最低维护的解决方案。因为您买的设备是用于连接两边的, 可以保证这种连接一定会成功。 例如连接到家里的计算机,或者是办公网里的一个分支连接到办公主网, 那么下面的设置就可能用到: 办公室局部或家庭网 10 base 2 网络使用基于总线拓扑的 10 base 2 以太网 (瘦网(thinnet))。如果有必要,用网线连接路由器和 AUI/10BT 收发器。 ---Sun workstation | ---FreeBSD box | ---Windows 95 | Stand-alone router | ISDN BRI line 10 Base 2 Ethernet 如果您的家里或办公室支部里只有一台计算机, 您可以使用一根交叉的双绞线直接连接那台独立路由器。 主办公室或其它网络 10 base T 网络使用的是星形拓扑的 10 base T 以太网(双绞线)。 -------Novell Server | H | | ---Sun | | | U ---FreeBSD | | | ---Windows 95 | B | |___---Stand-alone router | ISDN BRI line ISDN Network Diagram 大部分路由器/网桥有一大好处就是,它们允许您在 同一 时间,有两个 分开独立的 PPP 连接到两个分开的点上。这点在许多的 TA 上是不支持的, 除非带有两个串口的特定模式(通常都很贵)。请不要把它与通道连接、MPP 等相混淆。 这是个非常有用的功能,例如,如果在您的办公室里您有个专有的 ISDN 连接,而且您想接入到里边,但休想让另一根 ISDN 线也能工作。 办公室里的路由器能够管理专有的B通道连接到互联网 (64 Kbps) 以及使用另一个通道 B 来完成单独的数据连接。 第二个 B 通道可以用于拨进、拨出或动态与第一个B通道进行连接 (MPP等),以获取更大宽带。 IPX/SPX 以太网桥也允许您传输的不仅仅是 IP 通信。您也可以发送 IPX/SPX 或其它任何您所使用的协议。 Chern Lee 作者: 译者:
delphij@FreeBSD.org.cn
 网络地址转换 概要 natd FreeBSD 的网络地址转换服务, 通常也被叫做 &man.natd.8;, 是一个能够接收连入的未处理 IP 包, 将源地址修改为本级地址然后重新将这些包注入到发出 IP 包流中。 &man.natd.8; 同时修改源地址和端口, 当接收到响应数据时,它作逆向转换以便把数据发回原先的请求者。 Internet 连接共享 NAT NAT 最常见的用途是为人们所熟知的 Internet 连接共享。 安装 随着 IPv4 的 IP 地址空间的日益枯竭, 以及使用如 DSL 和电缆等高速连接的用户的逐渐增多, 越来越多的人开始需要 Internet 连接共享这样的解决方案。 由于能够将许多计算机通过一个对外的 IP 地址进行接入, &man.natd.8; 成为了一个理想的选择。 更为常见的情况, 一个用户通过电缆或者 DSL 线路 接入,并拥有一个 IP 地址,同时,希望通过这台接入 Internet 的计算机来为 LAN 上更多的计算机提供接入服务。 为了完成这一任务, 接入 Internet 的 FreeBSD 机器必须扮演网关的角色。 这台网关必须有两块网卡 — 一块用于连接 Internet 路由器, 另一块用来连接 LAN。 所有 LAN 上的机器通过 Hub 或交换机进行连接。 有多种方法能够通过 &os; 网关将 LAN 接入 Internet。 这个例子只介绍了有至少两块网卡的网关。 _______ __________ ________ | | | | | | | Hub |-----| Client B |-----| Router |----- Internet |_______| |__________| |________| | ____|_____ | | | Client A | |__________| Network Layout 上述配置被广泛地用于共享 Internet 连接。 LAN 中的一台机器连接到 Internet 中。 其余的计算机则通过那台 网关 机来连接 Internet。 内核 配置 配置 下面这些选项必须放到内核配置文件中: options IPFIREWALL options IPDIVERT 此外,下列是一些可选的选项: options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_VERBOSE 这些配置必须放到 /etc/rc.conf 中: gateway_enable="YES" firewall_enable="YES" firewall_type="OPEN" natd_enable="YES" natd_interface="fxp0" natd_flags="" 将机器配置为网关。 执行 sysctl net.inet.ip.forwarding=1 效果相同。 在启动时启用 /etc/rc.firewall 中的防火墙规则。 指定一个预定义的允许所有包进入的防火墙规则集。 参见 /etc/rc.firewall 以了解其他类型的规则集。 指定通过哪个网络接口转发包 (接入 Internet 的那一个)。 其他希望在启动时传递给 &man.natd.8; 的参数。 /etc/rc.conf 中加入上述选项将在系统启动时运行 natd -interface fxp0。 这一工作也可以手工完成。 当有太多选项要传递时,也可以使用一个 &man.natd.8; 的配置文件来完成。这种情况下,这个配置文件必须通过在 /etc/rc.conf 里增加下面内容来定义: natd_flags="-f /etc/natd.conf" /etc/natd.conf 文件会包含一个配置选项列表, 每行一个。在紧跟部分的例子里将使用下面的文件: redirect_port tcp 192.168.0.2:6667 6667 redirect_port tcp 192.168.0.3:80 80 关于配置文件的更多信息,参考 &man.natd.8; 手册页中关于 选项那一部分。 在LAN后面的每一台机子和接口应该被分配私有地址空间(由RFC 1918定义) 里的 IP 地址,并且默认网关设成 natd 机子的内连 IP 地址。 例如:客户端 AB 在 LAN 后面,IP 地址是 192.168.0.2192.168.0.3,同时 natd 机子的 LAN 接口上的 IP 地址是 192.168.0.1。客户端 AB 的默认网关必须要设成 natd 机子的 IP——192.168.0.1natd 机子外连,或互联网接口不需要为了 &man.natd.8; 而做任何特别的修改就可工作。 端口重定向 使用 &man.natd.8; 的缺点就是 LAN 客户不能从互联网访问。LAN 上的客户可以进行到外面的连接,而不能接收进来的连接。如果想在 LAN 的客户端机子上运行互联网服务,这就会有问题。 对此的一种简单方法是在 natd 机子上重定向选定的互联网端口到 LAN 客户端。 例如:在客户端 A 上运行 IRC 服务,而在客户端 B 上运行 web 服务。 想要正确的工作,在端口 6667 (IRC) 和 80 (web) 上接收到的连接就必须重定向到相应的机子上。 需要使用适当的选项传送给 &man.natd.8;。语法如下: -redirect_port proto targetIP:targetPORT[-targetPORT] [aliasIP:]aliasPORT[-aliasPORT] [remoteIP[:remotePORT[-remotePORT]]] 在上面的例子中,参数应该是: -redirect_port tcp 192.168.0.2:6667 6667 -redirect_port tcp 192.168.0.3:80 80 这就会重定向适当的 tcp 端口到 LAN 上的客户端机子。 参数可以用来指出端口范围来代替单个端口。例如, tcp 192.168.0.2:2000-3000 2000-3000 就会把所有在端口 2000 到 3000 上接收到的连接重定向到主机 A 上的端口 2000 到 3000。 当直接运行 &man.natd.8; 时,就可以使用这些选项, 把它们放到 /etc/rc.conf 里的 natd_flags="" 选项上, 或通过一个配置文件进行传送。 想要更多配置选项,请参考 &man.natd.8;。 地址重定向 地址重定向 如果有几个 IP 地址提供,那么地址重定向就会很有用, 然而他们必须在一个机子上。使用它,&man.natd.8; 就可以分配给每一个 LAN 客户端它们自己的外部 IP 地址。&man.natd.8; 然后会使用适当的处部 IP 地址重写从 LAN 客户端外出的数据包, 以及重定向所有进来的数据包——一定的 IP 地址回到特定的 LAN 客户端。这也叫做静态 NAT。例如,IP 地址 128.1.1.1128.1.1.2128.1.1.3 属于 natd 网关机子。 128.1.1.1 可以用来作 natd 网关机子的外连 IP 地址,而 128.1.1.2128.1.1.3 用来转发回 LAN 客户端 AB 语法如下: -redirect_address localIP publicIP localIP LAN 客户端的内部 IP 地址。 publicIP 相应 LAN 客户端的外部 IP 地址。 在这个例子里,参数是: -redirect_address 192.168.0.2 128.1.1.2 -redirect_address 192.168.0.3 128.1.1.3 一样,这些参数也是放在 /etc/rc.conf 里的 natd_flags="" 选项上, 或通过一个配置文件传送给它。使用地址重定向, 就没有必要用端口重定向了,因为所有在某个 IP 地址上收到的数据都被重定向了。 natd 机子上的外部 IP 地址必须激活并且别名到 (aliased) 外连接口。要这做就看看 &man.rc.conf.5;。 并口电缆 IP (PLIP) PLIP 并口电缆 IP PLIP PLIP 允许我们在两个并口间运行 TCP/IP。 在使用笔记本电脑, 或没有网卡的计算机时, 这会非常有用。 这一节中, 我们将讨论: 制作用于并口的 (laplink) 线缆。 使用 PLIP 连接两台计算机。 制作并口电缆。 您可以在许多计算机供应店里买到并口电缆。 如果买不到, 或者希望自行制作, 则可以参阅下面的表格, 它介绍了如何利用普通的打印机并口电缆来改制: 用于网络连接的并口电缆接线方式A-name A 端 B 端 描述 Post/BitDATA0 -ERROR 2 15 15 2 数据 0/0x01 1/0x08DATA1 +SLCT 3 13 13 3 数据 0/0x02 1/0x10DATA2 +PE 4 12 12 4 数据 0/0x04 1/0x20DATA3 -ACK 5 10 10 5 脉冲 (Strobe) 0/0x08 1/0x40DATA4 BUSY 6 11 11 6 数据 0/0x10 1/0x80GND 18-25 18-25 GND -
 设置 PLIP 首先,您需要一根 laplink 线。然后, 确认两台计算机的内核都有对 &man.lpt.4; 驱动程序的支持: &prompt.root; grep lp /var/run/dmesg.boot lpt0: <Printer> on ppbus0 lpt0: Interrupt-driven port 并口必须是一个中断驱动的端口, 您应在 /boot/device.hints 文件中配置: hint.ppc.0.at="isa" hint.ppc.0.irq="7" 然后检查内核配置文件中是否有一行 device plip 或加载了 plip.ko 内核模块。 这两种情况下, 在使用 &man.ifconfig.8; 命令时都会显示并口对应的网络接口, 类似这样: &prompt.root; ifconfig plip0 plip0: flags=8810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500 用 laplink 线接通两台计算机的并口。 在两边以 root 身份配置通讯参数。 例如, 如果你希望将 host1 通过另一台机器 host2 连接: host1 <-----> host2 IP Address 10.0.0.1 10.0.0.2 配置 host1 上的网络接口,照此做: &prompt.root; ifconfig plip0 10.0.0.1 10.0.0.2 配置 host2 上的网络接口,照此做: &prompt.root; ifconfig plip0 10.0.0.2 10.0.0.1 您现在应该有个工作的连接了。想要更详细的信息, 请阅读 &man.lp.4; 和 &man.lpt.4; 手册页。 您还应该增加两个主机到 /etc/hosts 127.0.0.1 localhost.my.domain localhost 10.0.0.1 host1.my.domain host1 10.0.0.2 host2.my.domain host2 要确认连接是否工作,可以到每一台机子上,然后 ping 另外一台。例如,在 host1 上: &prompt.root; ifconfig plip0 plip0: flags=8851<UP,POINTOPOINT,RUNNING,SIMPLEX,MULTICAST> mtu 1500 inet 10.0.0.1 --> 10.0.0.2 netmask 0xff000000 &prompt.root; netstat -r Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire host2 host1 UH 0 0 plip0 &prompt.root; ping -c 4 host2 PING host2 (10.0.0.2): 56 data bytes 64 bytes from 10.0.0.2: icmp_seq=0 ttl=255 time=2.774 ms 64 bytes from 10.0.0.2: icmp_seq=1 ttl=255 time=2.530 ms 64 bytes from 10.0.0.2: icmp_seq=2 ttl=255 time=2.556 ms 64 bytes from 10.0.0.2: icmp_seq=3 ttl=255 time=2.714 ms --- host2 ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 2.530/2.643/2.774/0.103 ms Aaron Kaplan 原始作者: Tom Rhodes 重新组织和增加: 雪平 中文翻译:
zxpmyth@yahoo.com.cn
 Brad Davis Extended by IPv6 IPv6 (也被称作 IPng 下一代 IP) 是众所周知的 IP 协议 (也叫 IPv4) 的新版本。 和其他现代的 *BSD 系统一样, FreeBSD 包含了 KAME 的 IPv6 参考实现。 因此, 您的 FreeBSD 系统包含了尝试 IPv6 所需要的所有工具。 这一节主要集中讨论如何配置和使用 IPv6。 在 1990 年代早期, 人们开始担心可用的 IPv4 地址空间在不断地缩小。 随着 Internet 的爆炸式发展, 主要的两个担心是: 用尽所有的地址。 当然现在这个问题已经不再那样尖锐, 因为 RFC1918 私有地址空间 (10.0.0.0/8172.16.0.0/12, 以及 192.168.0.0/16) 和网络地址转换 (NAT) 技术已经被广泛采用。 路由表条目变得太大。这点今天仍然是焦点。 IPv6 解决这些和其它许多的问题: 128 位地址空间。换句话,理论上有 340,282,366,920,938,463,463,374,607,431,768,211,456 个地址可以使用。这意味着在我们的星球上每平方米大约有 6.67 * 10^27 个 IPv6 地址。 路由器仅在它们的路由表里存放网络地址集, 这就减少路由表的平均空间到 8192 个条目。 IPv6 还有其它许多有用的功能,如: 地址自动配置 (RFC2462) Anycast (任意播) 地址(一对多) 强制的多播地址 IPsec (IP 安全) 简单的头结构 移动的 (Mobile) IP IPv6 到 IPv4 的转换机制 要更多信息,请查看: IPv6 概观,在 playground.sun.com KAME.net 关于 IPv6 地址的背景知识 有几种不同类型的 IPv6 地址:Unicast,Anycast 和 Multicast。 Unicast 地址是为人们所熟知的地址。一个被发送到 unicast 地址的包实际上会到达属于这个地址的接口。 Anycast 地址语义上与 unicast 地址没有差别, 只是它们强调一组接口。指定为 anycast 地址的包会到达最近的 (以路由为单位) 接口。Anycast 地址可能只被路由器使用。 Multicast 地址标识一组接口。指定为 multicast 地址的包会到达属于 multicast 组的所有的接口。 IPv4 广播地址 (通常为 xxx.xxx.xxx.255) 由 IPv6 的 multicast 地址来表示。 保留的 IPv6 地址 IPv6 地址 预定长度 (bits) 描述 备注 :: 128 bits 未指定 类似 IPv4 中的 0.0.0.0 ::1 128 bits 环回地址 类似 IPv4 中的 127.0.0.1 ::00:xx:xx:xx:xx 96 bits 嵌入的 IPv4 低 32 bits 是 IPv4 地址。这也称作 IPv4 兼容 IPv6 地址 ::ff:xx:xx:xx:xx 96 bits IPv4 影射的 IPv6 地址 低的 32 bits 是 IPv4 地址。 用于那些不支持 IPv6 的主机。 fe80:: - feb:: 10 bits 链路环回 类似 IPv4 的环回地址。 fec0:: - fef:: 10 bits 站点环回   ff:: 8 bits 多播   001 (base 2) 3 bits 全球多播 所有的全球多播地址都指定到这个地址池中。前三个二进制位是 001
IPv6 地址的读法 规范形式被描述为:x:x:x:x:x:x:x:x, 每一个x就是一个 16 位的 16 进制值。当然, 每个十六进制块以三个0开始头的也可以省略。如 FEBC:A574:382B:23C1:AA49:4592:4EFE:9982 通常一个地址会有很长的子串全部为零, 因此每个地址的这种子串常被简写为::。 例如:fe80::1 对应的规范形式是 fe80:0000:0000:0000:0000:0000:0000:0001 第三种形式是以众所周知的用点.作为分隔符的十进制 IPv4 形式,写出最后 32 Bit 的部分。例如 2002::10.0.0.1 对应的十进制正规表达方式是 2002:0000:0000:0000:0000:0000:0a00:0001 它也相当于写成 2002::a00:1. 到现在,读者应该能理解下面的内容了: &prompt.root; ifconfig rl0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500 inet 10.0.0.10 netmask 0xffffff00 broadcast 10.0.0.255 inet6 fe80::200:21ff:fe03:8e1%rl0 prefixlen 64 scopeid 0x1 ether 00:00:21:03:08:e1 media: Ethernet autoselect (100baseTX ) status: active fe80::200:21ff:fe03:8e1%rl0 是一个自动配置的链路环回地址。它作为自动配置的一部分由 MAC 生成。 关于 IPv6 地址的结构的更多信息,请参看 RFC3513 进行连接 目前,有四种方式可以连接到其它 IPv6 主机和网络: 咨询你的互联网服务提供商是否提供 IPv6。 SixXS 向全球范围提供通道。 使用 6-to-4 通道 (RFC3068) 如果您使用的是拨号连接, 则可以使用 net/freenet6 port。 IPv6 世界里的 DNS 对于 IPv6 有两种类型的 DNS 记录:IETF 已经宣布 A6 是过时标准;现行的标准是 AAAA 记录。 使用AAAA记录是很简单的。通过增加下面内容, 给您的主机分配置您刚才接收到的新的 IPv6 地址: MYHOSTNAME AAAA MYIPv6ADDR 到您的主域 DNS 文件里,就可以完成。要是您自已没有 DNS 域服务,您可以询问您的 DNS 提供商。目前的 bind 版本 (version 8.3 与 9) 和 dns/djbdns(含IPv6补丁) 支持 AAAA 记录。 在 <filename>/etc/rc.conf</filename> 中进行所需的修改 IPv6 客户机设置 这些设置将帮助您把一台您 LAN 上的机器配置为一台客户机, 而不是路由器。 要让 &man.rtsol.8; 在启动时自动配置您的网卡, 只需添加: ipv6_enable="YES" 要自动地静态指定 IP 地址, 例如 2001:471:1f11:251:290:27ff:fee0:2093, 到 fxp0 上, 则写上: ipv6_ifconfig_fxp0="2001:471:1f11:251:290:27ff:fee0:2093" 要指定 2001:471:1f11:251::1 作为默认路由, 需要在 /etc/rc.conf 中加入: ipv6_defaultrouter="2001:471:1f11:251::1" IPv6 路由器/网关配置 这将帮助您从隧道提供商那里取得必要的资料, 并将这些资料转化为在重启时能够保持住的设置。 要在启动时恢复您的隧道, 需要在 /etc/rc.conf 中增加: 列出要配置的通用隧道接口, 例如 gif0 gif_interfaces="gif0" 配置该接口使用本地端地址 MY_IPv4_ADDR 和远程端地址 REMOTE_IPv4_ADDR gifconfig_gif0="MY_IPv4_ADDR REMOTE_IPv4_ADDR" 应用分配给您用于 IPv6 隧道远端的 IPv6 地址, 需要增加: ipv6_ifconfig_gif0="MY_ASSIGNED_IPv6_TUNNEL_ENDPOINT_ADDR" 此后十设置 IPv6 的默认路由。 这是 IPv6 隧道的另一端: ipv6_defaultrouter="MY_IPv6_REMOTE_TUNNEL_ENDPOINT_ADDR" IPv6 隧道配置 如果服务器将您的网络通过 IPv6 路由到世界的其他角落, 您需要在 /etc/rc.conf 中添加下面的配置: ipv6_gateway_enable="YES" 路由宣告和主机自动配置 这节将帮助您配置 &man.rtadvd.8; 来宣示默认的 IPv6 路由。 要启用 &man.rtadvd.8; 您需要在 /etc/rc.conf 中添加: rtadvd_enable="YES" 指定由哪个网络接口来完成 IPv6 路由请求非常重要。 举例来说, 让 &man.rtadvd.8; 使用 fxp0 rtadvd_interfaces="fxp0" 接下来我们需要创建配置文件, /etc/rtadvd.conf。 示例如下: fxp0:\ :addrs#1:addr="2001:471:1f11:246::":prefixlen#64:tc=ether: fxp0 改为您打算使用的接口名。 接下来, 将 2001:471:1f11:246:: 改为分配给您的地址前缀。 如果您拥有专用的 /64 子网, 则不需要修改其他设置。 反之, 您需要把 prefixlen# 改为正确的值。 Harti Brandt 贡献者: 雪平 中文翻译:
zxpmyth@yahoo.com.cn
 异步传输模式 (ATM) 配置 classical IP over ATM (PVCs) Classical IP over ATM (CLIP) 是一种最简单的使用带 IP 的 ATM 的方法。 这种方法可以用在交换式连接 (SVC) 和永久连接 (PVC) 上。这部分描述的就是配置基于 PVC 的网络。 完全互连的配置 第一种使用PVC来设置 CLIP 的方式就是通过专用的 PVC 让网络里的每一台机子都互连在一起。 尽管这样配置起来很简单,但对于数量更多一点的机子来说就有些不切实际了。 例如我们有四台机子在网络里,每一台都使用一张 ATM 适配器卡连接到 ATM 网络。第一步就是规划 IP 地址和机子间的 ATM 连接。我们使用下面的: 主机 IP 地址 hostA 192.168.173.1 hostB 192.168.173.2 hostC 192.168.173.3 hostD 192.168.173.4 为了建造完全交错的网络,我们需要在第一对机子间有一个 ATM 连接: 机器 VPI.VCI 对 hostA - hostB 0.100 hostA - hostC 0.101 hostA - hostD 0.102 hostB - hostC 0.103 hostB - hostD 0.104 hostC - hostD 0.105 在每一个连接端 VPI 和 VCI 的值都可能会不同, 只是为了简单起见,我们假定它们是一样的。 下一步我们需要配置每一个主机上的 ATM 接口: hostA&prompt.root; ifconfig hatm0 192.168.173.1 up hostB&prompt.root; ifconfig hatm0 192.168.173.2 up hostC&prompt.root; ifconfig hatm0 192.168.173.3 up hostD&prompt.root; ifconfig hatm0 192.168.173.4 up 假定所有主机上的 ATM 接口都是 hatm0。 现在 PVC 需要配置到 hostA 上 (我们假定它们都已经配置在了 ATM 交换机上,至于怎么做的, 您就需要参考一下该交换机的手册了)。 hostA&prompt.root; atmconfig natm add 192.168.173.2 hatm0 0 100 llc/snap ubr hostA&prompt.root; atmconfig natm add 192.168.173.3 hatm0 0 101 llc/snap ubr hostA&prompt.root; atmconfig natm add 192.168.173.4 hatm0 0 102 llc/snap ubr hostB&prompt.root; atmconfig natm add 192.168.173.1 hatm0 0 100 llc/snap ubr hostB&prompt.root; atmconfig natm add 192.168.173.3 hatm0 0 103 llc/snap ubr hostB&prompt.root; atmconfig natm add 192.168.173.4 hatm0 0 104 llc/snap ubr hostC&prompt.root; atmconfig natm add 192.168.173.1 hatm0 0 101 llc/snap ubr hostC&prompt.root; atmconfig natm add 192.168.173.2 hatm0 0 103 llc/snap ubr hostC&prompt.root; atmconfig natm add 192.168.173.4 hatm0 0 105 llc/snap ubr hostD&prompt.root; atmconfig natm add 192.168.173.1 hatm0 0 102 llc/snap ubr hostD&prompt.root; atmconfig natm add 192.168.173.2 hatm0 0 104 llc/snap ubr hostD&prompt.root; atmconfig natm add 192.168.173.3 hatm0 0 105 llc/snap ubr 当然,除 UBR 外其它的通信协定也可让 ATM 适配器支持这些。 此种情况下,通信协定的名字要跟人通信参数后边。工具 &man.atmconfig.8; 的帮助可以这样得到: &prompt.root; atmconfig help natm add 或者在 &man.atmconfig.8; 手册页里得到。 相同的配置也可以通过 /etc/rc.conf 来完成。对于 hostA,看起来就象这样: network_interfaces="lo0 hatm0" ifconfig_hatm0="inet 192.168.173.1 up" natm_static_routes="hostB hostC hostD" route_hostB="192.168.173.2 hatm0 0 100 llc/snap ubr" route_hostC="192.168.173.3 hatm0 0 101 llc/snap ubr" route_hostD="192.168.173.4 hatm0 0 102 llc/snap ubr" 所有 CLIP 路由的当前状态可以使用如下命令获得: hostA&prompt.root; atmconfig natm show Tom Rhodes 原作 Common Access Redundancy Protocol (CARP, 共用地址冗余协议) CARP Common Access Redundancy Protocol, 共用地址冗余协议 Common Access Redundancy Protocol, 或简称 CARP 能够使多台主机共享同一 IP 地址。 在某些配置中, 这样做可以提高可用性, 或实现负载均衡。 下面的例子中, 这些主机也可以同时使用其他的不同的 IP 地址。 要启用 CARP 支持, 必须在 &os; 内核配置中增加下列选项, 并重新联编内核: device carp 这样就可以使用 CARP 功能了, 一些具体的参数, 可以通过一系列 sysctl OID 来调整。 OID 描述 net.inet.carp.allow 接受进来的 CARP 包。 默认启用。 net.inet.carp.preempt 当主机中有一个 CARP 网络接口失去响应时, 这个选项将停止这台主机上所有的 CARP 接口。 默认禁用。 net.inet.carp.log 当值为 0 表示禁止记录所有日志。 值为 1 表示记录损坏的 CARP 包。任何大于 1 表示记录 CARP 网络接口的状态变化。默认值为 1 net.inet.carp.arpbalance 使用 ARP 均衡本地网络流量。 默认禁用。 net.inet.carp.suppress_preempt 此只读 OID 显示抑制抢占的状态。 如果一个接口上的连接失去响应, 则抢占会被抑制。 当这个变量的值为 0 时,表示抢占未被抑制。 任何问题都会使 OID 递增。 CARP 设备可以通过 ifconfig 命令来创建。 &prompt.root; ifconfig carp0 create 在真实环境中, 这些接口需要一个称作 VHID 的标识编号。 这个 VHID 或 Virtual Host Identification (虚拟主机标识) 用于在网络上区分主机。 使用 CARP 来改善服务的可用性 (CARP) 如前面提到的那样, CARP 的作用之一是改善服务的可用性。 这个例子中, 将为三台主机提供故障转移服务, 这三台服务器各自有独立的 IP 地址, 并提供完全一样的 web 内容。 三台机器以 DNS 轮询的方式提供服务。 用于故障转移的机器有两个 CARP 接口, 分别配置另外两台服务器的 IP 地址。 当有服务器发生故障时, 这台机器会自动得到故障机的 IP 地址。 这样以来, 用户就完全感觉不到发生了故障。 故障转移的服务器提供的内容和服务, 应与其为之提供热备份的服务器一致。 两台机器的配置, 除了主机名和 VHID 之外应完全一致。 在我们的例子中, 这两台机器的主机名分别是 hosta.example.orghostb.example.org。 首先, 需要将 CARP 配置加入到 rc.conf。 对于 hosta.example.org 而言, rc.conf 文件中应包含下列配置: hostname="hosta.example.org" ifconfig_fxp0="inet 192.168.1.3 netmask 255.255.255.0" cloned_interfaces="carp0" ifconfig_carp0="vhid 1 pass testpass 192.168.1.50/24" hostb.example.org 上, 对应的 rc.conf 配置则是: hostname="hostb.example.org" ifconfig_fxp0="inet 192.168.1.4 netmask 255.255.255.0" cloned_interfaces="carp0" ifconfig_carp0="vhid 2 pass testpass 192.168.1.51/24" 在两台机器上由 ifconfig 选项指定的密码必须是一致的, 这一点非常重要。 carp 设备只会监听和接受来自持有正确密码的机器的公告。 此外, 不同虚拟主机的 VHID 必须不同。 第三台机器, provider.example.org 需要进行配置, 以便在另外两台机器出现问题时接管。 这台机器需要两个 carp 设备, 分别处理两个机器。 对应的 rc.conf 配置类似下面这样: hostname="provider.example.org" ifconfig_fxp0="inet 192.168.1.5 netmask 255.255.255.0" cloned_interfaces="carp0 carp1" ifconfig_carp0="vhid 1 advskew 100 pass testpass 192.168.1.50/24" ifconfig_carp1="vhid 2 advskew 100 pass testpass 192.168.1.51/24" 配置两个 carp 设备, 能够让 provider.example.org 在两台机器中的任何一个停止响应时, 立即接管其 IP 地址。 默认的 &os; 内核 可能 启用了主机间抢占。 如果是这样的话, provider.example.org 可能在正式的内容服务器恢复时不释放 IP 地址。 此时, 管理员必须手工强制 IP 回到原来内容服务器。 具体做法是在 provider.example.org 上使用下面的命令: &prompt.root; ifconfig carp0 down && ifconfig carp0 up 这个操作需要在与出现问题的主机对应的那个 carp 接口上进行。 现在您已经完成了 CARP 的配置, 并可以开始测试了。 测试过程中, 可以随时重启或切断两台机器的网络。 如欲了解更多细节, 请参见 &man.carp.4; 联机手册。 diff --git a/zh_CN.GB2312/books/handbook/book.sgml b/zh_CN.GB2312/books/handbook/book.sgml index dfa40d27bf..3af207f334 100644 --- a/zh_CN.GB2312/books/handbook/book.sgml +++ b/zh_CN.GB2312/books/handbook/book.sgml @@ -1,337 +1,339 @@ %books.ent; %chapters; %txtfiles; %pgpkeys; ]> FreeBSD 使用手册 The FreeBSD Documentation Project 1999 年 2 月 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 + 2009 The FreeBSD Documentation Project &cnproj.freebsd.org; 2005 年 12 月 2003 2004 2005 2006 2007 2008 + 2009 &cnproj.freebsd.org; &bookinfo.legalnotice; &tm-attrib.freebsd; &tm-attrib.3com; &tm-attrib.3ware; &tm-attrib.arm; &tm-attrib.adaptec; &tm-attrib.adobe; &tm-attrib.apple; &tm-attrib.corel; &tm-attrib.creative; &tm-attrib.cvsup; &tm-attrib.heidelberger; &tm-attrib.ibm; &tm-attrib.ieee; &tm-attrib.intel; &tm-attrib.intuit; &tm-attrib.linux; &tm-attrib.lsilogic; &tm-attrib.m-systems; &tm-attrib.macromedia; &tm-attrib.microsoft; &tm-attrib.netscape; &tm-attrib.nexthop; &tm-attrib.opengroup; &tm-attrib.oracle; &tm-attrib.powerquest; &tm-attrib.realnetworks; &tm-attrib.redhat; &tm-attrib.sap; &tm-attrib.sun; &tm-attrib.symantec; &tm-attrib.themathworks; &tm-attrib.thomson; &tm-attrib.usrobotics; &tm-attrib.vmware; &tm-attrib.waterloomaple; &tm-attrib.wolframresearch; &tm-attrib.xfree86; &tm-attrib.xiph; &tm-attrib.general; 欢迎使用 FreeBSD! 本手册适用于安装 FreeBSD &rel2.current;-RELEASEFreeBSD &rel.current;-RELEASE 以及它们的日常使用。 这个手册目前由很多人 持续地 维护。 其中的内容需要不断地更新。 如果您有兴趣参加这个项目,请发邮件到 &a.doc;。此文档最新的英文原始版本可以从 FreeBSD Web站点 上获得 (这本手册的较早期版本可以在 找到), 由 &cnproj.freebsd.org; 维护的最新译本可以在 &cnproj.freebsd.org; 快照 Web 站点&cnproj.freebsd.org; 文档快照 处获得, 这一译本会不断向主站同步。 此外, 您也可以从 FreeBSD 的 FTP 服务器 或众多的 镜像站点 得到这份文档的各种其他格式以及压缩形式的版本。 如果您更希望得到一份印刷版本的手册, 可以从 FreeBSD Mall 购买。 您还可以 搜索手册 &chap.preface; 起步 手册的以下章节主要是针对刚开始使用 FreeBSD 的用户及管理员: FreeBSD 入门。 安装过程向导。 教您 &unix; 基本知识和基本原理。 展示如何在 FreeBSD 上安装大量的第三方应用程序。 介绍使用 X,&unix; 窗口系统,以及为一些生产环境配置桌面环境的细节。 我们尝试用最少的页数来保持前言的索引,以至于可以用最少翻页次数将该手册从头至尾读过。 常见的任务 前面已经介绍了必要的基础知识, 手册的这一部分将讨论 FreeBSD 的一些最常用的功能。 这些章节包括: 向您介绍流行和实用的桌面应用程序: 浏览器、产品工具、文档察看程序,等等。 向您介绍一系列可以在 FreeBSD 上使用的多媒体工具。 介绍构建定制的 FreeBSD 内核以启用附加功能的方法。 详细介绍包括桌面和网络打印机在内的打印系统设置。 向您展示如何在 FreeBSD 上运行 Linux 应用程序。 某些章节希望您首先阅读过其他部分,在这些章的开头部分也会给出类似的提示。 系统管理 FreeBSD 手册中其余章节的内容都是关于系统管理。每一章节都从描述开始,由浅入深。 这些章节被设计成很多相对完整的部分,如果您需要了解某部分内容,直接阅读这部分内容即可,无需按照顺序,也不用在您使用 FreeBSD 的时候需要先读一遍。 网络通讯 FreeBSD 是目前以高性能网络服务为目的而部署范围最广的操作系统之一。 讨论这些话题的章节包括: 串口通讯 PPP 和以太网上的 PPP 电子邮件 运行网络服务 防火墙 其他高级网络话题 这些章节主要供您在需要时参考。 不需要以特定的顺序来阅读它们, 此外, 您开始在网络中使用 FreeBSD 之前也不必把它们都读完。 附录 &chap.colophon; diff --git a/zh_CN.GB2312/books/handbook/boot/chapter.sgml b/zh_CN.GB2312/books/handbook/boot/chapter.sgml index 0c910142c0..aa79182894 100644 --- a/zh_CN.GB2312/books/handbook/boot/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/boot/chapter.sgml @@ -1,874 +1,876 @@ FreeBSD 引导过程 概述 引导 启动电脑以及加载操作系统的过程被称为引导过程, 或者简称为引导。 FreeBSD 的引导过程给用户自定义启动提供了很大的伸缩性, 您可以选择启动不同的操作系统,或者是同一系统的不同版本及内核。 本章将详细介绍您能在 FreeBSD 引导过程中设置的配置选项。 这包括了引导内核、探测设备并启动 &man.init.8; 等等之前所发生的所有事情。 这些事项一般发生在文本由白变灰时。 读完这章您将会知道: FreeBSD 引导系统里的各项组件, 以及它们之间的交互方式. 在 FreeBSD 引导时给各组件配置选项以控制引导过程。 &man.device.hints.5;的基本知识。 只适用于x86 本章只描述了运行于 Intel x86 体系之上的 FreeBSD 的引导过程。 引导问题 启动电脑及启动和引导操作系统构成了一个有趣的两难境地。 按照定义在操作系统被启动之前计算机是无法完成任何任务的,包括运行磁盘上的程序。 如果计算机在没有操作系统的情况下不能运行来自于磁盘上的程序而操作系统又是放在磁盘上的, 那操作系统是如何启动的呢? Munchausen男爵历险记 (The Adventures of Baron Munchausen) 这本书中有一个和这个过程类似的故事, 一个人掉到了下水管道里, 然后靠着拉自己的靴襻 (bootstrap) 克服重重困难爬了出来。 在早期文献中, 多以术语 bootstrap 来指代操作系统的加载机制, 如今它逐渐被简写为 booting BIOS 基本输入/输出系统BIOS 在 x86 硬件体系中,基本输入/输出系统 (BIOS) 负责加载操作系统, 为了做到这一点,BIOS 在磁盘上寻找主引导记录 (MBR),而 MBR 必须在放置的磁盘的特定位置。BIOS 有足够的能力来读入和运行 MBR, 且假使地认为 MBR 能完成加载操作系统的剩余任务, MBR可能需要BIOS的帮助。 Master Boot Record (MBR) Boot Manager Boot Loader 在MBR中的代码通常被提为引导管理器, 尤其是与用户交互的那类。这一类引导器通常有更多代码位于磁盘第一 轨道或在操作系统的文件系统中。 (引导管理器有时也被称为boot loader, 但是FreeBSD对后面的引导阶段才使用这个术语。) 流行的引导管理器包括boot0(亦称Boot Easy,标准的 &os; 引导管理器)、 GrubGAG,以及 LILO。 (只有boot0能装得进MBR。) 如果您只安装了一个操作系统,那么一个标准的 MBR 就足够了。 这个 MBR 先在磁盘上搜索可引导的(亦称“活动的”)分区, 然后运行分区上的代码以加载操作系统的其它部分。 MBR由&man.fdisk.8;安装,是一个缺省的MBR。相关文件为 /boot/mbr 如果您在磁盘上安装了多个操作系统那么您可以安装一个不同的 引导管理器,它能显示一张操作系统的列表,您能从中选择启动哪个。 这样的两种引导器将在下一小节中讨论。 启动系统的剩余部分被分为三个阶段。第一阶段由 MBR 执行,它只是使计算机进入特定的状态然后执行第二阶段。 第二阶段稍微干得多一些。第三阶段完成加载操作系统的任务。 工作被分为三个阶段是因为 PC 标准对第一第二阶段执行的程序的大小有所限制。 把这些任务连在一起使得 FreeBSD 可以提供更大伸缩性的加载器 (loader)。 内核 init 然后内核启动,它开始探测设备并初始化它们。 一旦内核引导进程完成任务,内核将控制权交给用户进程 &man.init.8;, 它确认磁盘是否处于可用状态。&man.init.8; 然后开始用户级资源配置: 加载文件系统启动网卡,及粗略地启动所有 FreeBSD 系统加载时经常运行的进程。 引导管理器和各引导阶段 Boot Manager The Boot Manager 主引导记录 (MBR) 在MBR或引导管理器中的代码有时被提为引导过程的 阶段0。这一小节便是前面提到引导器中的两种: boot0LILO <application>boot0</application>引导管理器: 由 FreeBSD 的安装程序以及 boot0cfg(8) 所安装的 MBR, 默认基于 /boot/boot0。 (程序boot0非常简单, 由于在MBR中的程序只能有446字节长, 分区表和MBR末端的0x55AA标识也要挤占一些空间。) 如果你已经安装boot0 并且有多个操作系统在你的硬盘上, 那么你如果您安装了 FreeBSD MBR 而且安装了多个操作系统, 则会在系统启动时看到类似下面的提示: <filename>boot0</filename> 截屏 F1 DOS F2 FreeBSD F3 Linux F4 ?? F5 Drive 1 Default: F2 目前已经知道一些其它操作系统,特别是 &windows; , 会以自己的 MBR 覆盖现有 MBR。 如果发生了这种事情, 或者您想用 FreeBSD 的 MBR 覆盖现有的 MBR,您可以使用以下的命令: &prompt.root; fdisk -B -b /boot/boot0 device device 是要写入 MBR 的设备名,比如 ad0 代表第一个 IDE 磁盘,ad2 代表第二个 IDE 控制器上的第一个 IDE 磁盘, da0 代表第一个 SCSI 磁盘,等等。 抑或,如果你需要一个自行配置的MBR,请使用&man.boot0cfg.8;。 The LILO Boot Manager: 要想安装这个引导管理器并也用来引导FreeBSD, 首先启动Linux,并将以下选项加入到已有的配置文件 /etc/lilo.conf other=/dev/hdXY table=/dev/hdX loader=/boot/chain.b label=FreeBSD 在上面的内容里,使用Linux的标示符指定了FreeBSD的主分区和驱动器, 将X替换为Linux驱动器字母, 将Y替换为Linux主分区号。 如果您使用的是 SCSI 驱动器,您需要将 /dev/hd 改成 /dev/sd, 这里再次使用了 XY 的语法。 如果您安装的两个系统在同一驱动器上, 选项可以去掉。现在您可以执行 /sbin/lilo -v 使修改生效;应检查屏幕上的消息确认修改。 第一阶段,<filename>/boot/boot1</filename>,和第二阶段, <filename>/boot/boot2</filename> 概念上,第一,第二阶段同属于一个程序,处于磁盘的相同区域。但由于空间限制, 它们被分为两部分。可是您总是会一起安装它们。它们由安装器或 bsdlabel(见下文)复制自被组合而成的 /boot/boot 它们位于文件系统外,引导分区的第一轨道,从第一扇区开始。在这里boot0,或者任何其它引导管理器, 期望找到一个程序运行,继续引导进程。 所使用的扇区数可由/boot/boot的大小确定。 boot1 非常简单,因为它再多也只能有 512 字节, 只能识别储存着分区信息的 bsdlabel, 及寻找执行 boot2 boot2 稍微有点加强,能够理解 FreeBSD 的文件系统以便于寻找里面的文件, 能提供选择内核和加载器的简单界面。 因为 loader 有着更强的功能, 提供了一套易于使用的引导配置,boot2 一般都执行 loader, 但以前它的任务是直接运行内核。 <filename>boot2</filename> 的屏幕输出 >> FreeBSD/i386 BOOT Default: 0:ad(0,a)/boot/loader boot: 如果您要更改已安装的 boot1boot2,请使用命令 &man.bsdlabel.8;。 &prompt.root; bsdlabel -B diskslice diskslice 是用于引导的磁盘和分区, 比如 ad0s1 代表第一个 IDE 磁盘上的第一个分区。 dangerously dedicated 如果您在 &man.bsdlabel.8; 命令中只使用了磁盘名,比如 ad0,就会破坏磁盘上的所有分区。 这当然不是您所希望的,所以在按下 回车 之前 一定要对命令进行多次确认。 第三阶段,<filename>/boot/loader</filename> boot-loader 加载器 (loader) 是三个阶段中的最后阶段, 且是放置在文件系统之中的,一般是文件 /boot/loader loader 被作为一种友好的配置方式,使用了一组内建且易用的命令集。 这些命令由一个强大的多的解释器支持构建,其本身带有复杂得多的命令集。 Loader 程序流程 初始时,loader 会探测控制台和磁盘,识别是从哪块盘引导的。 它会根据这些信息设置变量, 启动解释器以接受通过脚本或交互方式传来的用户命令。 loader loader 配置 loader 然后会读取并运行 /boot/loader.rc, 默认地读取 /boot/defaults/loader.conf 以设置可靠的默认变量,读取 /boot/loader.conf 对这些变量作本地修改。loader.rc 依据这些变量进行动作,加载任何被选择的模块和内核。 最后,默认地,loader 会停留 10 秒等待按键, 若没有发生中断,就开始引导内核。如果被中断,用户会得到一个命令行提示符, 在这里用户得更改变量、卸载所有模块、加载模块、最后引导 或重新引导。 Loader 内建的命令 这些是最常用的 loader 命令.对所有可用命令的解释请参见 &man.loader.8;。 autobootseconds 在给定的时间内如果没有中断发生就引导内核。它显示一个倒数计时, 默认的时间范围是 10 秒。 boot -options kernelname - 立即按照给定的选项 (如果有的话) 和内核名 - (如果是内核的) 引导内核。 + 立即按指定的选项启动指定名字的内核 (如果有指定的话)。 + 只有首先执行过 unload + 命令之后指定的内核名字才会生效, + 否则, 启动的将是先前已经加载的内核。 boot-conf 基于变量对各种模块进行自动配置 (和引导内核时发生的一样)。 您只须记住要先使用 unload 命令, 然后修改一些变量,比如 kernel help topic 显示从文件 /boot/loader.help 读取的帮助信息。如果给定的主题是 index, 那么列出来的是所有可用的主题。 include filename 通过给定的文件名处理文件。文件被读入,然后被一行一行地解释。 任何错误都会立即中止 include 命令。 load type filename 加载内核、内核模块,或者是给定类型的文件 (通过给定的文件名)。 任何在文件名后面的参数都会被传给文件。 ls path 显示给定路径或者是根目录 (如果路径没有指定) 下面的文件列表。 如果指定了 选项,文件大小也会显示。 lsdev 列出所有可以加载模块的设备。 如果指定了 选项,会显示出更多的细节。 lsmod 显示已被加载的模块。如果指明了 选项, 会显示更多的细节。 more filename 显示指定的文件,每隔 LINES 停顿一次。 reboot 立即重启系统。 set variable set variable=value 设置 loader 的环境变量。 unload 移除所有已被加载的模块。 Loader 示例 这里有一些实际中 loader 用法的示例 single-user mode 只是简单的引导默认内核,不同的是进入单用户模式: boot -s 卸载默认内核和模块,然后加载旧的 (或者其它) 的内核: kernel.old unload load kernel.old 您可以使用被称为通用内核的 kernel.GENERIC, 或者您以前安装的内核 kernel.old (当您升级或配置了您自己的内核等时候)。 使用以下命令加载常用的模块和另一个内核: unload set kernel="kernel.old" boot-conf 加载内核配置脚本: load -t userconfig_script /boot/kernel.conf Joseph J. Barbish Contributed by 启动时的 Splash 图像 在启动时出现的 splash 图像比起原本的启动信息更加可视话。 这个图像将被始终显示在屏幕上直到出现控制台的登录提示或者 X 显示管理器提供了登录画面。 在 &os; 系统中有两个基本的环境。 第一个是默认传统的控制台命令行环境。 在系统启动之后, 会在控制台上出现一个登录提示。 第二个环境是 X11 桌面图形环境。 在安装了 X11 和一种图形 桌面环境, 比如 GNOMEKDE, 或者 XFce, X11 桌面可以用 startx 命令运行。 比起传统基于字符的登录提示,有些用户可能更喜欢 X11 图形化的登录界面。 图形化的登录管理器像 &xorg; 的 XDMGNOMEgdmKDEkdm (还有其他 Port Collection 中的) 基本上都提供了一个图形化的登录界面代替控制台上的登录提示符。 在成功登录之后, 它们展现给用户一个图形化的桌面。 在命令行环境, splash 图像将在显示登录提示符之前隐藏所有启动时的监测与任务启动的消息。 在 X11 环境, 用户将会获得一个视觉上更加清爽启动体验, 类似于某些像 (µsoft; &windows; 或者非 &unix; 类型的系统) 用户所希望体验到的。 Splash 图像功能 目前的 splash 图像的功能仅限于支持 256 色的位图 (.bmp) 或者 ZSoft PCX (.pcx) 文件。 此外, splash 图像文件的分辨率必须是 320x200 像素或者更少, 才够能在标准 VGA 适配器上使用。 要使用尺寸更大的图像, 达到最大分辨率 1024x768 像素, 则需开启 &os; 的 VESA 支持。 这可以通过在系统启动时加载 VESA 模块完成, 或者在内核配置文件中加入 VESA 选项并编译 (参阅 )。 VESA 支持给予了用户显示覆盖整个显示器的启动画面能力。 在启动的时候 splash 图像就会被显示在屏幕上, 它可以在任何时候都按任意键关闭。 Splash 图像同样也会是 X11 之外默认的屏幕保护。 在一段时间的闲置后,屏幕便会转为周期性的变换显示 splash 图像, 从明亮至暗淡, 周而复始。 默认的 splash 图像 (屏幕保护) 可由 /etc/rc.conf 中的 saver= 选项控制。 saver= 选项有一些内置的屏幕保护可供选择, 完整的列表可以再 &man.splash.4; 手册页中找到。 默认的屏幕保护被称为 warp。 请注意在 /etc/rc.conf 中所指定 saver= 选项仅限应用于虚拟控制台。 对于 X11 图形化的登录管理器无效。 一些有关启动引导器的信息, - 包括启动选项菜单和一个定时倒数提示符都会在启动是显示, + 包括启动选项菜单和一个定时倒数提示符都会在启动时显示, 即是开启了 splash 图像功能。 - splash 图像文件样本可以从 - 下载。 - 安装了 sysutils/bsd-splash-changer - port 之后, 每次启动的时候便能从集合中随机选择 - slash 图像。 - + splash 图像文件样本可以从 http://artwork.freebsdgr.org 下载。 + 安装了 sysutils/bsd-splash-changer + port 之后, 每次启动的时候便能从集合中随机选择 + splash 图像。 开启 Splash 图像功能 Splash 图像 (.bmp) 或者 (.pcx) 文件必须放置在 root 分区上, 比如 /boot 目录。 对于默认的显示分辨率 (256 色,320x200 像素或更少) 编辑 /boot/lodaer.conf, 添加如下的设置: splash_bmp_load="YES" bitmap_load="YES" bitmap_name="/boot/splash.bmp" 对于更高的分辨率,最大至 1024x768 像素, 编辑 /boot/lodaer.conf, 添加如下的设置: vesa_load="YES" splash_bmp_load="YES" bitmap_load="YES" bitmap_name="/boot/splash.bmp" 以上这些设置假设 /boot/splash.bmp 为需要被使用的 splash 图像。 当需要使用 PCX 文件的时候, 添加入下列设置, 根据分辨率的高低添加 vesa_load="YES" splash_pcx_load="YES" bitmap_load="YES" bitmap_name="/boot/splash.pcx" 文件名并不限于以上例子中的 splash。 它可以是任何名称,只要是 BMP 或者 PCX 类型的文件, 比如 splash_640x400.bmp 或者 blue_wave.pcx. 一些有趣的 loader.conf 选项: beastie_disable="YES" 这将关闭显示启动选项菜单, 但是倒数记时仍然会出现。 即是在启动菜单选项被禁用的时候, 在倒数记时段键入相应的启动选项仍然有效。 loader_logo="beastie" 这将替换启动选项菜单右侧默认显示的 &os; 为彩色的小魔鬼标志, 就像以往的发行版那样。 请参阅 &man.splash.4;, &man.loader.conf.5; 和 &man.vga.4; 手册页获取更多详细信息。 内核在引导时的交互 内核 引导交互 一旦内核被 loader (一般情况下) 或者 boot2 (越过 loader) 加载, 它将检查引导标志,如果有的话,就会进行必要的动作调整。 内核 引导标志 内核引导标志 这里是一些常用的引导标志: 在内核初始化时,询问作为根加载的设备。 从 CDROM 引导。 运行 UserConfig (引导时的内核配置器) 引导进入单用户模式 在内核引导过程中显示更有的信息 还有更多的引导标志,阅读 &man.boot.8; 以获取有关它们的信息。 Tom Rhodes Contributed by device.hints Device Hints 这是 FreeBSD 5.0 及其以后版本的组件, 不存在于早前的版本中。 在初始化系统启动时,&man.loader.8; 会读取 &man.device.hints.5; 文件。这个文件以变量的形式储存着内核引导信息, 有时被称为 device hints。 设备驱动程序用device hints 对设备进行配置。 Device hints 也可以在 第三阶段的boot loader 的命令行提示符中指定。变量可以用 set 命令添加,unset 命令删除, show 命令查看。在文件 /boot/device.hints 设置的变量亦可以在这里被覆盖。键入 boot loader 中的变量不是永久性的,在下次启动时就会被忘记。 一旦系统引导成功,&man.kenv.1; 命令可以用来清楚所有的变量。 文件 /boot/device.hints 的语法是一行一个变量, 使用#作为注释标记。 每行是按照如下方式组织的: hint.driver.unit.keyword="value" 第三阶段 boot loader 的语法是: set hint.driver.unit.keyword=value driver 是设备驱动程序名,unit 是设备驱动程序单位名,keyword 是 hint 关键字。 关键字可以由以下选项组成: at:指明设备所绑定的总线 port:指明所使用 I/O 的起始地址。 irq:指明所使用的中断请求号。 drq:指明 DMA channel 号。 maddr:指明设备占用的物理内存地址。 flags:给设备设置各种标志位。 disabled:如果设成 1, 设备被禁用。 设备驱动程序能够接受更多的 hints,推荐您参看它们的联机手册。参看 &man.device.hints.5;、&man.kenv.1;、&man.loader.conf.5; 和 &man.loader.8; 联机手册以获取更多的信息。 init Init:进程控制及初始化 一旦内核完成引导,它就把控制权交给了用户进程 &man.init.8;,它放置在 /sbin/init, 或者 init_path 变量指定的程序路径中。 这个变量是在 loader 里面设置的。 自动重启过程 自动重启过程会确认系统中可用的文件系统处于健康的状态。 如果不是, 而且使用 &man.fsck.8; 也无法修复这些问题, &man.init.8; 会进入 单用户模式 以便系统管理员直接修正这些问题。 单用户模式 单用户模式 控制台 此模式可以通过 自动重启过程 或者通过带有 选项的用户引导或通过在 loader 里设置 boot_single 变量等多种方式来达到。 也可以在多用户模式下调动无重启 () 选项和停机 () 选项的 &man.shutdown.8; 命令来进入单用户模式。 如果系统 控制台 在文件 /etc/ttys 中被设置为 不安全(insecure), 在初始化单用户模式前会出现要求输入 root 密码的命令行提示符。 在 <filename>/etc/ttys</filename> 文件中的不安全控制台 # name getty type status comments # # If console is marked "insecure", then init will ask for the root password # when going to single-user mode. console none unknown off insecure 把控制台设置成 不安全 (insecure) 使只知道 root 密码的人才能进入单用户模式, 因为您认为控制台在物理上是不安全的。因此如果您考虑到安全性, 请选择 不安全 (insecure),而非 安全 (secure) 多用户模式 多用户模式 如果 &man.init.8; 发现您的文件系统一切正常,又或者用户在单用户模式完成了工作, 系统就会进入多用户模式,开始系统的资源配置。 rc 文件 资源配置 (rc) 资源配置分别从文件 /etc/defaults/rc.conf/etc/rc.conf 中读取默认配置和细节配置, 然后加载在文件 /etc/fstab 中提及的文件系统、 启动网络服务、启动各种系统守护进程,最后启动本地安装包的启动脚本。 &man.rc.8; 联机手册是关于资源配置的很好的参考。 关机 (shutdown) 过程 shutdown 由命令 &man.shutdown.8; 的发起的关机过程中, &man.init.8; 会试着运行 /etc/rc.shutdown 脚本, 给所有进程发送 TERM 信号, 最后给不按时停止的进程发送 KILL 信号。 在支持电源管理的平台上关闭 FreeBSD 系统的电源, 只要简单地使用命令 shutdown -p now 即可。 此外, 可以用命令 shutdown -r now 来重启 FreeBSD。 要执行 &man.shutdown.8; 您必须是 root 用户或 operator 组的成员。 也可以使用 &man.halt.8; 和 &man.reboot.8; 命令来关闭系统, 请参看它们的联机手册以获得更多的信息。 电源管理需要支持, 这要求内核支持 &man.acpi.4; 或以模块形式加载它。 diff --git a/zh_CN.GB2312/books/handbook/cutting-edge/chapter.sgml b/zh_CN.GB2312/books/handbook/cutting-edge/chapter.sgml index 51ad128bc3..9540d7d53a 100644 --- a/zh_CN.GB2312/books/handbook/cutting-edge/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/cutting-edge/chapter.sgml @@ -1,1997 +1,2555 @@ Jim Mock 重新组织和部分更新,由 Jordan Hubbard 原创: Poul-Henning Kamp John Polstra Nik Clayton 雪平 中文翻译: 更新与升级 &os; 概述 &os; 在发行版之间始终是持续开发的。 一些人喜欢使用官方发行的版本, 另一些喜欢与最新的开发保持同步。 然而, 即使是官方的发行版本也常常需要安全补丁和重大修正方面的更新。 不论你使用了何种版本, &os; 都提供了所有更新系统所需的工具, 让你轻松的在不同版本间升级。 这一章节将帮助你决定是跟踪开发系统还是坚持使用某个发行的版本。 同时还列出了一些保持系统更新所需的基本工具。 读了本章后,您将了解到: 使用哪些工具来更新系统与 Ports Collection。 如何使用 freebsd-update, CVSup, CVS, or CTM 让你的系统保持更新。 如何比较已安装的系统与原来已知拷贝的状态。 + + 如何使用 + CVSup 来更新本地的文档。 + + 两个开发分支 &os.stable; 和 &os.current; 的区别。 如何通过 make buildworld 重新编译安装整个基本系统(等等)。 在读本章这前,您应该了解的: 正确设置网络连接 ()。 知道怎样安装附加的第三方软件()。 整个这一章中,cvsup 命令都被用来获取 &os; 源代码的更新。 你需要安装一个像 net/cvsup-without-gui 这样的 port 或者二进制包。 如果你使用的是 &os; 6.2-RELEASE 或之后的版本, 你可以使用 &man.csup.1; 代替, 现在它已经是基本系统的一部分了。 Tom Rhodes Written by Colin Percival Based on notes provided by FreeBSD 更新 Updating and Upgrading freebsd-update updating-upgrading 打安全补丁是对于维护计算机软件的一个重要部分, 特别是对于操作系统。对于 &os; 来说, 很长的一段时间以来这都不是一件容易的事情。 补丁打在源代码上,代码需要被重新编译为二进制, 然后再重新安装编译后的程序。 &os; 引入了 freebsd-update 工具之后这便不再是问题了。这个工具提供了 2 种功能。 第一,它可以把二进制的安全和勘误更新直接应用于 &os; 的基本系统,而不需要重新编译和安装。第二, 这个工具还支持主要跟次要的发行版的升级。 由安全小组支持的各种体系结构和发行版都可使用二进制更新。 然而有些特性,比如升级 &os; 操作系统需要最近的 &man.freebsd-update.8; 和 &os; 6.3。在升级到一个新的发行版本之前, 应先阅读一下当前发行版的声明, 因为他们可能包含有关于你期望升级版本的重要消息。 这些发行声明可以通过以下链接查阅: 如果 crontab 中存在有用到 freebsd-update 特性的部分, 那么这些在开始以下操作前必须先被禁止。 - + 配置文件 有些用户可能希望调整配置文件来更好的控制升级过程。 可用参数的文档非常齐全, 但下面的这些可能需要进一步的解释: # Components of the base system which should be kept updated. Components src world kernel 这个参数是控制 &os; 的哪一部分将被保持更新。 默认的是更新源代码,整个基本系统还有内核。 这些部件跟安装时的那些相同,举例来说, 在这里加入 “world/games” 就会允许打入游戏相关的补丁。 使用 “src/bin” 则是允许更新 src/bin 目录中的源代码。 最好的选择是把这个选项保留为默认值, 因为如果要修改它去包含一些指定的选项, 就需要用户列出每一个想要更新的项目。 这可能会引起可怕的后果, 因为部分的源代码和二进制程序得不到同步。 # Paths which start with anything matching an entry in an IgnorePaths # statement will be ignored. IgnorePaths 添加路径,比如 /bin 或者 /sbin 让这些指定的目录在更新过程中不被修改。 这个选项能够防止本地的修改被 freebsd-update 覆盖。 # Paths which start with anything matching an entry in an UpdateIfUnmodified # statement will only be updated if the contents of the file have not been # modified by the user (unless changes are merged; see below). UpdateIfUnmodified /etc/ /var/ /root/ /.cshrc /.profile 更新指定目录中的未被修改的配置文件。 用户的任何修改都会使这些文件的自动更新失效。 还有另外一个选项, KeepModifiedMetadata, 这个能让 freebsd-update 在合并时保存修改。 # When upgrading to a new &os; release, files which match MergeChanges # will have any local changes merged into the version from the new release. MergeChanges /etc/ /var/named/etc/ 一个 freebsd-update 应该尝试合并的配置文件的列表。文件合并的过程是 一系列的 &man.diff.1; 补丁类似于更少选项的 &man.mergemaster.8; 合并的选项是接受,打开一个文本编辑器,或者 freebsd-update 会被中止。 在不能确定的时候,请先备份 /etc 然后接受合并。更多关于 mergemaster 的信息请参阅 # Directory in which to store downloaded updates and temporary # files used by &os; Update. # WorkDir /var/db/freebsd-update 这个目录是放置所有补丁和临时文件的。 用户做一个版本升级的话,请确认此处至少有 1 GB 的可用磁盘空间。 # When upgrading between releases, should the list of Components be # read strictly (StrictComponents yes) or merely as a list of components # which *might* be installed of which &os; Update should figure out # which actually are installed and upgrade those (StrictComponents no)? # StrictComponents no 当设置成 yes 时, - freebsd-udpate 将假设这个 + freebsd-update 将假设这个 Components 列表时完整的, 并且对此列表以外的项目不会修改。实际上就是 freebsd-update 会尝试更新 Componets 列表里的每一个文件。 - + 安全补丁 安全补丁存储在远程的机器上, 可以使用如下的命令下载并安装: &prompt.root; freebsd-update fetch &prompt.root; freebsd-update install 如果给内核打了补丁,那么系统需要重新启动。 如果一切都进展顺利,系统就应该被打好了补丁而且 freebsd-update 可由夜间 &man.cron.8; 执行。在 /etc/crontab 中加入以下条目足以完成这项任务: @daily root freebsd-update cron 这条记录是说明每天运行一次 freebsd-update。用这种方法, 使用了 参数, freebsd-update 仅检查是否存在更新。 如果有了新的补丁,就会自动下载到本地的磁盘, 但不会自动给系统打上。root 会收到一封电子邮件告知需手动安装补丁。 如果出现了错误,可以使用下面的 freebsd-update 命令回退到上一次的修改: &prompt.root; freebsd-update rollback 完成以后如果内核或任何的内核模块被修改的话, 就需要重新启动系统。这将使 &os; 装载新的二进制程序进内存。 + freebsd-update 工具只能自动更新 GENERIC 内核。 + 如果您使用自行联编的内核, 则在 freebsd-update + 安装完更新的其余部分之后需要手工重新联编和安装内核。 不过, + freebsd-update 会检测并更新位于 /boot/GENERIC (如果存在) 中的 + GENERIC 内核, 即使它不是当前 (正在运行的) + 系统的内核。 + - freebsd-update 只能应用于 - GENERIC 内核。如果对 - GENERIC - 做了任何修改或者安装了一个自行编译的内核, - freebsd-update - 就无法完成升级 — 如前一个范例那样失败后 - 产生一条错误信息。 + 保存一份 GENERIC 内核的副本到 /boot/GENERIC 是一个明智的主意。 + 在诊断许多问题, 以及在 + 中介绍的使用 + freebsd-update 更新系统时会很有用。 + + + 除非修改位于 + /etc/freebsd-update.conf 中的配置, + freebsd-update 会随其他安装一起对内核的源代码进行更新。 + 重新联编并安装定制的内核可以以通常的方式来进行。 + + + 通过 freebsd-update 发布的更新有时并不会涉及内核。 + 如果在执行 + freebsd-update install 的过程中内核代码没有进行变动, + 就没有必要重新联编内核了。 不过, 由于 + freebsd-update 每次都会更新 + /usr/src/sys/conf/newvers.sh 文件, + 而修订版本 (uname -r 报告的 + -p 数字) 来自这个文件, 因此, + 即使内核没有发生变化, 重新联编内核也可以让 &man.uname.1; 报告准确的修订版本。 + 在维护许多系统时这样做会比较有帮助, + 因为这一信息可以迅速反映机器上安装的软件更新情况。 - + 重大和次要的更新 这个过程会删除旧的目标文件和库, 这将使大部分的第三方应用程序无法删除。 建议将所有安装的 ports 先删除然后重新安装,或者稍后使用 ports-mgmt/portupgrade 工具升级。 大多数用户将会使用如下命令尝试编译: &prompt.root; portupgrade -af 这将确保所有的东西都会被正确的重新安装。 请注意环境变量 BATCH 设置成 yes 的话将在整个过程中对所有询问回答 yes,这会帮助在编译过程中免去人工的介入。 + 如果正在使用的是定制的内核, 则升级操作会复杂一些。 + 您会需要将一份 GENERIC 内核的副本放到 /boot/GENERIC。 如果系统中没有 + GENERIC 内核, 可以用以下两种方法之一来安装: + + + + 如果只联编过一次内核, 则位于 + /boot/kernel.old 中的内核, + 就是 GENERIC 的那一个。 只需将这个目录改名为 + /boot/GENERIC 即可。 + + + + 假如能够直接接触机器, 则可以通过 CD-ROM 介质来安装 GENERIC + 内核。 将安装盘插入光驱, 并执行下列命令: + + &prompt.root; mount /cdrom +&prompt.root; cd /cdrom/X.Y-RELEASE/kernels +&prompt.root; ./install.sh GENERIC + + 您需要将 X.Y-RELEASE + 替换为您正在使用的版本。 + GENERIC 内核默认情况下会安装到 /boot/GENERIC + + + + 如果前面的方法都不可用, 还可以使用源代码来重新联编和安装 GENERIC + 内核: + + &prompt.root; cd /usr/src +&prompt.root; env DESTDIR=/boot/GENERIC make kernel +&prompt.root; mv /boot/GENERIC/boot/kernel/* /boot/GENERIC +&prompt.root; rm -rf /boot/GENERIC/boot + + 如果希望 freebsd-update 能够正确地将内核识别为 + GENERIC, 您必须确保没有对 + GENERIC 配置文件进行过任何变动。 + 此外, 建议您取消任何其他特殊的编译选项 (例如使用空的 + /etc/make.conf)。 + + + + 上述步骤并不需要使用这个 GENERIC 内核来引导系统。 + 重大和次要的更新可以由 freebsd-update 命令后指定一个发行版本来执行, - 举例来说,下面的命令将帮助你升级到 &os; 6.3: + 举例来说,下面的命令将帮助你升级到 &os; 6.4: - &prompt.root; freebsd-update -r 6.3-RELEASE upgrade + &prompt.root; freebsd-update -r 6.4-RELEASE upgrade 在这个命令被执行后,freebsd-update 将会先解析配置文件和评估当前的系统以获得更新系统所需的必要信息。 然后便会显示出一个包含了已检测到与未检测到的组件列表。 例如: Looking up update.FreeBSD.org mirrors... 1 mirrors found. -Fetching metadata signature for 6.3-BETA1 from update1.FreeBSD.org... done. +Fetching metadata signature for 6.3-RELEASE from update1.FreeBSD.org... done. Fetching metadata index... done. Inspecting system... done. The following components of FreeBSD seem to be installed: kernel/smp src/base src/bin src/contrib src/crypto src/etc src/games src/gnu src/include src/krb5 src/lib src/libexec src/release src/rescue src/sbin src/secure src/share src/sys src/tools src/ubin src/usbin world/base world/info world/lib32 world/manpages The following components of FreeBSD do not seem to be installed: kernel/generic world/catpages world/dict world/doc world/games world/proflibs Does this look reasonable (y/n)? y 此时,freebsd-update 将会尝试下载所有升级所需的文件。在某些情况下, 用户可能被问及需安装些什么和如何进行之类的问题。 - 下载完所有的补丁之后,它们很快就会被打上。 - 这个过程可能会持续一段时间,取决与机器的速度和当前的负载情况。 - 配置文件将会被合并 — 这一部分需要用户的参与, - 因为文件可能被合并或者屏幕上弹出了一个文本编辑器用来手工合并。 - 在处理过程中,每一个成功的合并都会给用户显示出来。 - 失败或者被忽略的合并则会引起合并程序的中止。 - 用户可能想要备份一下 /etc - 之后手工合并重要的文件,比如 - master.passwd 或 - group + 当使用定制内核时, 前面的步骤会产生类似下面的警告: + + WARNING: This system is running a "MYKERNEL" kernel, which is not a +kernel configuration distributed as part of FreeBSD 6.3-RELEASE. +This kernel will not be updated: you MUST update the kernel manually +before running "/usr/sbin/freebsd-update install" + + 此时您可以暂时安全地无视这个警告。 更新的 + GENERIC 内核将在升级过程的中间步骤中使用。 + + 在下载完针对本地系统的补丁之后, 这些补丁会被应用到系统上。 + 这个过程需要消耗的时间取决于机器的速度和其负载。 + 这个过程中将会对配置文件所做的变动进行合并 — 这一部分需要用户的参与, + 文件可能会自动合并, 屏幕上也可能会给出一个编辑器, 用于手工完成合并操作。 + 在处理过程中, 合并成功的结果会显示给用户。 失败或被忽略的合并, + 则会导致这一过程的终止。 用户可能会希望备份一份 + /etc 并在这之后手工合并重要的文件, + 例如 master.passwd + 和 group 系统至此还没有被修改,所有的补丁和合并都在另外一个目录中进行。 当所有的补丁都被成功的打上了以后,所有的配置文件都被合并后, 我们就已经完成了整个升级过程中最困难的部分, 下面就需要用户来安装这些变更了。 一旦这个步骤完成后,使用如下的命令将升级后的文件安装到磁盘上。 &prompt.root; freebsd-update install - 内核与内核模块会先被打上补丁。此时机器必须要重新启动。 - 使用下面的命令重启机器,这样新的内核将载入内存: + 内核和内核模块会首先被打上补丁。 此时必须重新启动计算机。 + 如果您使用的是定制的内核, 请使用 &man.nextboot.8; + 命令来将下一次用于引导系统的内核 /boot/GENERIC (它会被更新): + + &prompt.root; nextboot -k GENERIC + + + 在使用 GENERIC 内核启动之前, + 请确信它包含了用于引导系统所需的全部驱动程序 (如果您是在远程进行升级操作, + 还应确信网卡驱动也是存在的)。 特别要注意的情形是, + 如果之前的内核中静态联编了通常以内核模块形式存在的驱动程序, 一定要通过 + /boot/loader.conf 机制来将这些模块加载到 + GENERIC 内核的基础上。 此外, + 您可能也希望临时取消不重要的服务、 + 磁盘和网络挂载等等, 直到升级过程完成为止。 + + + 现在可以用更新后的内核引导系统了: &prompt.root; shutdown -r now 在系统重新上线后,需要再次运行 freebsd-update。 升级的状态被保存着,这样 freebsd-update 就无需重头开始,但是会删除所有旧的共享库和目标文件。 执行如下命令继续这个阶段的升级: &prompt.root; freebsd-update install 取决与是否有库的版本更新,通常只有 2 个而不是 3 个安装阶段。 现在需要重新编译和安装第三方软件。 这么做的原因是某些已安装的软件可能依赖于在升级过程中已删除的库。 可使用 ports-mgmt/portupgrade 自动化这个步骤,以如下的命令开始: &prompt.root; portupgrade -f ruby &prompt.root; rm /var/db/pkg/pkgdb.db &prompt.root; portupgrade -f ruby18-bdb &prompt.root; rm /var/db/pkg/pkgdb.db /usr/ports/INDEX-*.db &prompt.root; portupgrade -af 一旦这个完成了以后,再最后一次运行 freebsd-update 来结束升级过程。 执行如下命令处理升级中的所有细节: &prompt.root; freebsd-update install + 如果您临时用过 GENERIC 内核来引导系统, + 现在是按照通常的方法重新联编并安装新的定制内核的时候了。 + 重新启动机器进入新版本的 &os; 升级过程至此就完成了。 - + 系统状态对照 freebsd-update 工具也可被用来对着一个已知完好的 &os; 拷贝测试当前的版本。 这个选项评估当前的系统工具,库和配置文件。 使用以下的命令开始对照: &prompt.root; freebsd-update IDS >> outfile.ids 这个命令的名称是 IDS, 它并不是一个像 security/snort 这样的入侵检测系统的替代品。因为 freebsd-update 在磁盘上存储数据, 很显然它们有被篡改的可能。 当然也可以使用一些方法来降低被篡改的可能性,比如设置 kern.securelevel 和不使用时把 freebsd-update 数据放在只读文件系统上,例如 DVD 或 安全存放的外置 USB 磁盘上。 现在系统将会被检查,生成一份包含了文件和它们的 &man.sha256.1; 哈希值的清单,已知发行版中的值与当前系统中安装的值将会被打印到屏幕上。 这就是为什么输出被送到了 outfile.ids 文件。 它滚动的太块无法用肉眼对照,而且会很快填满控制台的缓冲区。 这个文件中有非常长的行,但输出的格式很容易分析。 举例来说,要获得一份与发行版中不同哈希值的文件列表, 已可使用如下的命令: &prompt.root; cat outfile.ids | awk '{ print $1 }' | more /etc/master.passwd /etc/motd /etc/passwd /etc/pf.conf 这份输出时删节缩短后的,其实是有更多的文件。 其中有些文件并非人为修改,比如 /etc/passwd 被修改是因为添加了用户进系统。在某些情况下, 还有另外的一些文件,诸如内核模块与 freebsd-update 的不同是因为它们被更新过了。 为了指定的文件或目录排除在外,把它们加到 /etc/freebsd-update.confIDSIgnorePaths 选项中。 除了前面讨论过的部分之外, 这也能被当作是对升级方法的详细补充。 Tom Rhodes Written by Colin Percival Based on notes provided by Portsnap: 一个 Ports Collection 更新工具 Updating and Upgrading Portsnap Updating and Upgrading &os; 基本系统也包括了一个更新 Ports Collection 的工具: &man.portsnap.8;。在运行之后,它会连上一个远程网站, 校验安全密钥,然后下载一份 Ports Collection 的拷贝。 密钥是用来校验所有下载文件的完整性,确保它们在传输是未被修改。 使用以下的命令下载最新的 Ports Collection: &prompt.root; portsnap fetch Looking up portsnap.FreeBSD.org mirrors... 3 mirrors found. Fetching snapshot tag from portsnap1.FreeBSD.org... done. Fetching snapshot metadata... done. Updating from Wed Aug 6 18:00:22 EDT 2008 to Sat Aug 30 20:24:11 EDT 2008. Fetching 3 metadata patches.. done. Applying metadata patches... done. Fetching 3 metadata files... done. Fetching 90 patches.....10....20....30....40....50....60....70....80....90. done. Applying patches... done. Fetching 133 new ports or files... done. 这个例子展示的是 &man.portsnap.8; 发现并校验了几个用于当前 ports 的补丁。这还表明以前运行过, 如果是第一次运行的话,那么仅仅只会下载 Ports Collection。 在 &man.portsnap.8; 成功完成一次 fetch 操作后,而且本地系统上的 Ports Collection 和随之而来的补丁通过校验以后。键入以下命令安装更新文件: &prompt.root; portsnap extract /usr/ports/.cvsignore /usr/ports/CHANGES /usr/ports/COPYRIGHT /usr/ports/GIDs /usr/ports/KNOBS /usr/ports/LEGAL /usr/ports/MOVED /usr/ports/Makefile /usr/ports/Mk/bsd.apache.mk /usr/ports/Mk/bsd.autotools.mk /usr/ports/Mk/bsd.cmake.mk ... 至此更新就完成了,然后便可以使用更新后的 Ports Collection 来安装或升级应用程序。 可以使用如下的命令让这个过程连续的运行: &prompt.root; portsnap fetch update + + 更新系统附带的文档 + + 更新和升级 + + + 文档 + 更新和升级 + + + 除了基本系统和 Ports 套件之外, 文档也是 &os; 操作系统的一个组成部分。 + 尽管您总是可以通过 &os; 网站 来访问最新的 &os; + 文档, 一些用户的网络连接可能很慢, 甚至完全没有网络连接。 + 幸运的是, 有很多方法可以用来更新随发行版本附带的 &os; 文档的本地副本。 + + + 使用 CVSup 来更新文档 + + &os; 文档的源代码和安装版本都可以通过 CVSup + 来以与基本系统 (参考 ) 类似的方法来升级。 + 这一节中将会介绍: + + + + 如何安装联编文档所需的工具集, 用于从源代码来联编 &os; + 文档所需的那些工具。 + + + + 如何使用 CVSup + 将文档下载到 /usr/doc + + + + 如何从源代码联编 &os; 文档, + 并将其安装到 /usr/share/doc + + + + 联编文档的过程中支持的一些编译选项, + 例如只联编某些语言的版本, 或只联编特定的输出格式。 + + + + + + 安装 CVSup 和文档工具集 + + 从源代码联编 &os; 文档需要大量的工具。 + 这些工具并不是 &os; 基本系统的一部分, + 因为这些工具需要占用大量的磁盘空间, + 而且并不是对所有 &os; 用户都有用; + 只有活跃地撰写 &os; 新文档, + 或经常从源代码更新文档的用户才需要这些工具。 + + 全部所需的工具, 均可通过 Ports + 套件来安装。 textproc/docproj port 是由 + &os; 文档计划开发的方便安装和更新这些工具的主 + port。 + + + 如果不需要 &postscript; 或 PDF 文档的话, + 也可以考虑安装 textproc/docproj-nojadetex port。 + 这套文档工具集包含除了 teTeX + typesetting 引擎之外的其他全部工具。 teTeX + 是一个很大的工具集, 因此如果不需要 PDF 输出的话, + 排除它会节省很多时间和磁盘空间。 + + + 如欲了解关于安装和使用 + CVSup 的进一步信息, 请参阅 使用 CVSup。 + + + + 更新文档源代码 + + CVSup 工具能够下载文档源代码的原始副本, + 您可使用 /usr/share/examples/cvsup/doc-supfile + 文件作为配置模板来修改。 在 doc-supfile + 中的默认主机名是一个无效的占位主机名, + 但 &man.cvsup.1; 能够通过命令行来指定主机名, + 因此文档源代码可以使用下面的命令从 + CVSup 服务器获得: + + &prompt.root; cvsup -h cvsup.FreeBSD.org -g -L 2 /usr/share/examples/cvsup/doc-supfile + + 您应将 cvsup.FreeBSD.org + 改为最近的 CVSup 服务器。 参见 关于镜像站点的完整列表。 + + 初始的文档源代码下载需要一些时间, + 您需要耐心等待它完成。 + + 后续的更新可以用同样的命令来进行。 + 由于 CVSup 工具只下载上次运行之后所发生过的更新, + 因此在首次运行之后再运行 CVSup 应该是很快的。 + + 在签出源代码之后, 还可以使用另一种由 /usr/doc 目录中的 + Makefile 支持的方法来更新它。 通过在 + /etc/make.conf 中配置 + SUP_UPDATESUPHOST 和 + DOCSUPFILE, 可以通过运行: + + &prompt.root; cd /usr/doc +&prompt.root; make update + + 来完成更新。 典型的 /etc/make.conf + 中的 &man.make.1; 选项是: + + SUP_UPDATE= yes +SUPHOST?= cvsup.freebsd.org +DOCSUPFILE?= /usr/share/examples/cvsup/doc-supfile + + + SUPHOST + 和 DOCSUPFILE 的值使用 ?= + 来指定的好处是使 make 命令行能够覆盖这些选项。 + 在向 make.conf 中增加选项时推荐这样做, + 以避免在测试时反复修改这个文件。 + + + + + 文档源代码中可调的选项 + + &os; 文档的更新和联编系统支持一些方便只更新一部分文档, + 或只联编特定格式及译文的选项。 + 这些选项可以在 /etc/make.conf 文件中配置, + 也可以通过 &man.make.1; 工具来指定。 + + 这些选项包括: + + + + DOC_LANG + + + 准备联编和安装的语言列表。 + 例如, 指定为 en_US.ISO8859-1 表示只联编英文版的文档。 + + + + + FORMATS + + + 准备输出的格式列表。 目前, + 系统支持 html、 + html-splittxt、 + pspdf、 + 和 rtf + + + + + SUPHOST + + + 用于用来更新的 CVSup + 服务器的主机名。 + + + + + DOCDIR + + + 用于安装文档的目录。 默认为 + /usr/share/doc + + + + + 如欲了解 &os; 中其他可供配置的全局 make 变量, 请参阅 &man.make.conf.5;。 + + 关于 &os; 文档联编系统的其他详情, 请参阅 &os; + 文档计划入门之新手必读部分 + + + + 从源代码安装 &os; 文档 + + /usr/doc + 中下载了最新的文档源代码快照之后, + 就可以开始动手联编文档了。 + + 要更新全部 DOC_LANG 中定义的语言的文档, + 需要执行下面的命令: + + &prompt.root; cd /usr/doc +&prompt.root; make install clean + + 如果在 make.conf 中配置了正确的 + DOCSUPFILESUPHOST + 和 SUP_UPDATE 选项, + 则可以将更新源代码和安装一步完成: + + &prompt.root; cd /usr/doc +&prompt.root; make update install clean + + 如果只需要更新某个特定语言的文档, 可以在 + /usr/doc 中与之对应的目录中运行 + &man.make.1;: + + &prompt.root; cd /usr/doc/en_US.ISO8859-1 +&prompt.root; make update install clean + + 此外, 还可以透过 make 变量 FORMATS 来控制输出格式, + 例如: + + &prompt.root; cd /usr/doc +&prompt.root; make FORMATS='html html-split' install clean + + + + + + + + Pav + Lucistnik + Based on information provided by + + + + + Using Docsnap + + Updating and Upgrading + + + Docsnap + Updating and Upgrading + + + Docsnap is an &man.rsync.1; + repository for updating installed &os; Documentation in a + relatively easy and fast way. A + Docsnap server tracks + the documentation sources, and builds them in HTML format every + hour. The textproc/docproj + is unneeded with Docsnap as only + patches to the built documentation exist. + + The only requirement for using this technique is + the net/rsync port or + package. To add it, use the following command: + + &prompt.root; pkg_add -r rsync + + + Docsnap has been originally + developed for updating documentation installed + to /usr/share/doc, but + the following examples could be adapted for other directories + as well. For user directories, it does not require + root privileges. + + + To update the documentation set, issue the following + command: + + &prompt.root; rsync -rltvz docsnap.sk.FreeBSD.org::docsnap /usr/share/doc + + + There is only one Docsnap + server at the moment; + the docsnap.sk.FreeBSD.org shown + above. + + + Do not use the flag here as there + are some items installed + into /usr/share/doc + during make installworld, which would + accidentally be removed. To clean up, use this command + instead: + + &prompt.root; rsync -rltvz --delete docsnap.sk.FreeBSD.org::docsnap/??_??\.\* /usr/share/doc + + If a subset of documentation needs to be updated, for + example, the English documentation only, the following command + should be used: + + &prompt.root; rsync -rltvz docsnap.sk.FreeBSD.org::docsnap/en_US.ISO8859-1 /usr/share/doc + +]]> + + - 追踪开发分支/title> + <title>追踪开发分支 -CURRENT -STABLE FreeBSD 有两个开发分支: &os.current; 和 &os.stable;。 这一章节将对每个分支作相应介绍与如何保持你的系统更新。 我们将先介绍 &os.current; 然后是 &os.stable;。 使用最新的 &os; CURRENT 这里再次强调, &os.current; 是 &os; 开发的 最前沿。 &os.current; 用户要有较高的技术能力, 并且应该有能力自已解决困难的系统问题。 如果您是个 &os; 新手, 那么在安装之前最好三思。 &os.current; 是什么? 快照 &os.current; 是 &os; 的发展前沿。 包括了在下一个官方发行的软件中可能存在, 也可能不存在的发展、 试验性改动、 以及过渡性的机制。 尽管许多 &os; 开发者每天都会编译 &os.current; 源代码, 但有时这些代码仍然会是不能编译的。 虽然这些问题会很快解决, 但 &os.current; 是带来破坏还是您正希望的功能性改善, 很可能完全取决于您获取源代码的的时机! 谁需要 &os.current;? &os.current; 适合下边三种主要兴趣团体: &os; 社区的成员: 积极工作在源码树的某部分的人和为保持 最新 为绝对需求的人。 &os; 社区的成员: 为促使 &os.current; 保持尽可能的健全而愿花时间去解决问题的积极的测试者; 以及那些愿意提出关于 &os; 变化和总体方向的建设性建议并且提供补丁实现它们的人们。 那些只是想关注或为了参考目的使用当前 (current) 源码的人们 (如,为了阅读,而不是执行)。 这些人也偶尔做做注释或贡献代码。 &os.current; <emphasis>不是</emphasis>什么? 追求最新功能, 您听说里面有一些很酷的新功能, 并希望成为您周围的人中第一个尝试它们的人。 尽管您能够因此首先了解到最新的功能, 但这也意味着在出现新的 bug 时您也首当其冲。 修复错漏的快捷方式。任何 &os.current 的既定版本在修复已知错漏的同时又可能会产生新的错漏。 无所不在的官方支持。 我们尽最大努力在3个合法的 &os.current; 组之一真诚给人们提供帮助,但是我们 没有时间提供技术支持。 这并不是因为我们是那种不喜欢帮助人解困的无耻之徒 (如果我们是的话,就不会制作 &os; 了)。 我们不能每天简单地回复上百的消息,而且 我们继续发展 FreeBSD! 在改善 &os; 和回复大量关于实验代码的问题之间如果要做个选择的话, 开发人员会选择前者。 使用 &os.current; 当前版 使用 加入 &a.current.name; 和 &a.svn-src-head.name; 列表。 这个不仅仅是个好主意,而且很 重要。如果您不去 &a.current.name;, 您就不会看到人们所做的关于系统当前状态的说明, 这样您就有可能在别人已经发现并解决了的一大堆问题面前难倒。 更重要的是您会错过一些重要的公告---对于您的系统安全可能是至关重要的。 &a.svn-src-head.name; 列表允许您看到每个变化的提交记录, 因为这些记录与其它相关信息是同步的。 要加入这些列表,或其它可能的列表,请访问 &a.mailman.lists.link; ,并且点击您想订阅的列项。 关于其它步骤的说明那里有提供。 如果你有兴趣追踪整个原代码树的变更记录, 我们建议你订阅 &a.svn-src-all.name; 邮件列表。 从&os; 镜像站点 获取源码。 您有两种方式选择: cvsup cron 当前 使用 CVSup 同步 与称作 standard-supfilesupfile 一起使用 cvsup,这个可以从 /usr/share/examples/cvsup得到。 这是最被推荐的方式,因为它允许您一次获取整个集合, 以后就只取更改过的部分。许多人从 cron 运行 cvsup,以保持他们的源码自动更新。 您须要定制上边的 supfile 样本,并且配置 cvsup 以适应您的环境。 standard-supfile 例子是为追踪指定的 &os; 安全分支而指定的, 而不是 &os.current;。 你需要编辑这个文件并把如下这行: *default release=cvs tag=RELENG_X_Y 替换为: *default release=cvs tag=. 可以参阅手册中的 CVS Tags 章节获得更多可用 tag 的详细说明。 当前的 使用 CTM 同步 使用工具 CTM。 如果您的连接性能不太好(高价连接或只能通过电子邮件存取), CTM 是个选择。 但这也颇有争议并且常常得到到坏文件。因此很少使用它, 这也注定了不能长期用它来工作。对于使用 9600 bps 或更快连接的人,我们推荐使用 CVSup 如果您获取源码是用于运行,而不只是看看,那么就获取 整个 &os.current;,不要选部分。 这样做的原因是源码的大部分都依赖于其他部分, 要是您试着只编译其中一部分的话,保证您会陷入麻烦。 当前版 编译 在编译 &os.current; 之前,请仔细阅读 /usr/src 里的 Makefile 文件。 尽管是部分的升级过程,您至少也要首先安装新的内核和重建系统。阅读 &a.current; 邮件列表和 /usr/src/UPDATING, 会让您在其它循序渐进的过程中保持最新, 这对于我们向下一个发行版转移是很有必要的。 热心一点!如果您正运行 &os.current;, 我们很想知道您关于它的一些想法, 尤其是关于错漏修复或增进的建议。 非常欢迎带有代码的建议! 使用最新的 &os; STABLE &os.stable; 是什么? 稳定版 &os.stable; 是我们的发展分支,我们的主要发行版就由此而来。 这个分支会以不同速度变化,并且假定这些是第一次进入 &os.current; 进行测试。然而,这 仍然 是个发展中的分支,这意味着在一定的时候,&os.stable; 源码可能或不可能满足一些特殊的要求。 它只不过是另一个工程发展途径,并不是终端用户的资源。 谁需要 &os.stable;? 如果您有兴趣追随 FreeBSD 的开发过程或为其做点贡献, 尤其是和下一个 非计划 的 FreeBSD 发行版有关时, 您应该考虑采用 &os.stable;。 尽管安全更新也会进入 &os.stable; 分支,但您并不 必须 使用 &os.stable; 来达到这样的目的。 每一个 FreeBSD 的安全公告都会解释如何修复受到影响的发行版中的问题 这也不总是正确。我们不可能永远支持 FreeBSD 的旧发行版, 尽管我们会在发布之后支持他们数年之久。 关于 FreeBSD 目前对于旧发行版的支持政策的完整描述, 请参见 http://www.FreeBSD.org/security/ ,而因为安全原因而去采用一个开发分支显然可能会同时引入一些不希望的修改。 尽管我们尽力确保 &os.stable; 分支在任何时候都能够正确编译和运行, 但没有人能够担保它在任何时候都总可以。 此外, 尽管代码在进入 &os.stable; 之前都是在 &os.current; 上完成开发, 但使用 &os.stable; 的人要比使用 &os.current; 的更多。 有证据显示, 犄角旮旯里的各种问题有些时候仍然会由于在 &os.current; 不那么明显 而在 &os.stable; 暴露出来。 基于这些原因, 推荐您盲目地追随 &os.stable;, 并且, 在粗略地测试过代码之前不要更新任何生产服务器到 &os.stable; 也非常重要。 如果您没有用于完成这些工作的资源, 我们推荐您使用最新的 FreeBSD 发行版, 并使用发行版提供的二进制更新机制来在发行版之间完成迁移。 使用&os.stable; 稳定版 使用 加入 &a.stable.name; 列表。让您随时了解可能出现在 &os.stable; 里的build 依赖性或其它需要特别注意的问题。 当开发员正在考虑某些有争议的修复或更新时, 他们就会在这个邮件列表里发表声明,给用户机会回应, 看他们对于提出的变化是否还有什么问题。 加入相关的 SVN 列表来追踪你所关心的分支。比如,如果你在追踪 7-STABLE 分支,加入 &a.svn-src-stable-7.name; 列表。 这样每次这个分支上有改动的时候就能让你看到提交记录, 还包括了修改可能引起的副作用之类的相关信息。 要加入这些列表或其他可用的,访问 &a.mailman.lists.link; 并点击您希望订阅的列表。关于其它步骤的说明可以在那里看到。 如果你有兴趣追踪整个原代码树的变更记录, 我们建议你订阅 &a.svn-src-all.name; 邮件列表。 如果您正安装一个新系统, 并希望它运行每月从 &os.stable; 编译的快照, 请察看 Snapshots 网页以了解更多信息。 另外, 也可以从 镜像站点 安装最新的 &os.stable; 发行版, 并按照其中的说明将系统更新到最新的 &os.stable; 源代码。 如果您已经在运行较早的 &os; 版本, 并希望通过源代码方式升级, 则可以通过 &os; 镜像站点 来完成。 这可以通过两种方式来进行: cvsup cron 稳定版 使用CVSup同步 与称作 stable-supfilesupfile 一起使用 cvsup,这个可以从 /usr/share/examples/cvsup 得到。 这是最被推荐的方式,因为它允许您一次获取整个集合, 以后就只取更改过的部分。许多人从 cron 运行 cvsup,以保持他们的源码自动更新。 您须要定制上边的 supfile 样本,并且配置 cvsup 以适应您的环境。 当前的 使用 CTM 同步 使用工具 CTM。 如果您的连接性能不太好(高价连接或只能通过电子邮件存取), CTM 是个选择。 但这也颇有争议并且常常得到到坏文件。因此很少使用它, 这也注定了不能长期用它来工作。对于使用 9600 bps 或更快连接的人,我们推荐使用 CVSup 本质上说,如果您需要快速存取源码并且不计较通信宽带的话,可以使用 cvsupftp。否则,就使用 CTM 稳定版 编译 在编译 &os.stable; 之前,请仔细阅读 /usr/src 里的 Makefile。 您至少应该安装一个新的内核并重建系统, 首先做为升级过程的一部分。阅读 &a.stable; 邮件列表和 /usr/src/UPDATING, 可能让您在其它循序渐进的过程中保持更新, 这在我们向下一发行版转移时是很有必要的。 同步您的源码 有许多方式通过互联网(或电子邮件)与 &os; 项目源码特定领域或所有领域保持更新,主要依赖于您的兴趣。 我们提供的主要服务是匿名 CVS、 CVSup,和 CTM。 虽然只更新源码树中的部分是可能的, 唯一被支持的更新过程是更新整个树、并且重编译用户区 (如:在用户空间运行的所有程序,像 /bin/sbin下边的)和内核源码。 只更新源码树中的部分,或只有内核,或只有用户区 (userland) 通常会出现错误。这些问题包括有编译错误、内核崩溃 (kernel panics)、数据出错。 CVS 匿名 匿名 CVSCVSup 使用 下拉(pull) 模式来更新源代码。 在 CVSup 中, 用户 (或者 cron 脚本) 会调用 cvsup 程序, 后者会同某一个 cvsupd 服务进行交互, 以更新您的文件。 您接到的更新是更新时刻最新的, 并且您只会收到那些需要的更新。 您可以很容易地限制更新的范围, 只更新那些您需要的文件。 服务器端会根据您手头已经有的文件即时地生成更新内容。 匿名 CVS 相对于 CVSup 而言要简单一些, 因为它只是对 CVS 的一种扩展, 让您可以从远程的 CVS 代码库得到更新。 CVSup 相对而言, 要比 匿名 CVS 更有效率, 然而后者却更容易使用。 CTM 另一种方法是 CTM。 这种方法并不能将您手头的代码与中央代码库中的版本进行比较, 也不能下载它们。 在主 CTM 服务器上运行的脚本会每天执行多次, 每次运行都能够自动地识别所有文件自上次运行以来所发生的变化, 如果发现有文件发生了变动, 就会压缩、 标上一个序列号, 并进行便于使用电子邮件进行传送的编码操作 (其中只包括可打印的 ASCII 字符)。 一旦接收到, 这些CTM deltas就会被传送给 &man.ctm.rmail.1; 工具---可以自动进行解码、校验和应用这些变化到用户的复制的源码里。 这个过程比 CVSup 更为有效, 而且更少占用我们的服务器资源,因为它不仅仅采用 下拉(pull) 模式,还采用 上推(push) 模式。 当然, 这样做也会带来一些不便。 如果您不经意删除了您的压缩包的部分内容, CVSup 会检测到并为您重建破坏的部分。 CTM 是不会这样做的, 如果您删除了您的源码树中的某部分(并已不能恢复), 那么您就必须从破坏处 (从最新的CVS base delta) 开始,使用 CTM匿名 CVS 进行重建,仅仅删除坏的数据并再同步。 重新编译 <quote>world</quote> 重新编译 world 只要您根据一定版本的 &os; (&os.stable;、&os.current; 等等), 已经同步了您本地的源码树,那么您就可以使用这些源码树来重建系统。 做好备份 无需强调在行动 之前 备份整个系统是多么的重要。 尽管重新编译系统是 (如果您按照文档的指示做的话) 一件很容易完成的工作, 但出错也是在所难免的, 另外, 别人在源码里面引入的错误也可能造成系统无法引导。 请确信自己已经做过备份, 并且在手边有恢复软盘或可以引导的光盘。 您可能永远也不会用到它, 但安全第一嘛! 订阅恰当的邮件列表 邮件列表 &os.stable; 和 &os.current; 分支自然是 发展中的。为 &os; 做贡献的都是人,偶尔也会犯错误。 有时这些错误没什么危害,只是引起您的系统生成新的诊断警告。 有时是灾难性的,并导致您的系统不能启动或破坏您的文件系统 (甚至更糟)。 如果出现了类似的问题, 贴一封小心(heads up)帖到相关的邮件列表里, 讲清问题的本质以及受影响的系统。在问题解决后,再贴封解除(all clear)声明。 如果使用 &os.stable; 或 &os.current; 而又不阅读 &a.stable; 和 &a.current; 各自的邮件列表, 那么您是自找麻烦。 不要使用 <command>make world</command> 许多较早的文档推荐使用 make world 来完成这项工作。 这样做会跳过一些必要的步骤, 因此只有在您知道自己在做什么的时候才可以这样做。 几乎所有的情况下 make world 都是不应该做的事情, 您应该使用这里描述的方法。 - - 更新系统的规范途径 + + 更新系统的规范方法 + + 在更新系统时, 一定要首先查看 + /usr/src/UPDATING 文件, 以便了解在 buildworld + 之前需要进行的操作, 然后按照下面列出的步骤进行操作: + + 这些更新步骤假定您使用的是包含旧编译器、 内核以及用户态工具及配置的旧版 + &os;。 我们使用 world 来表示系统中的核心执行文件、 + 函数库和程序文件。 编译器是 world 的一部分, + 但有其特殊性。 + + 此外, 我们还假定您已经获得了较新版本操作系统的源代码。 + 如果您正更新的系统中的源代码也是旧版系统所附带的, + 您还需要参阅 来把代码同步到较新的版本。 + + 从源代码更新系统, 有时会比初看上去的时候更麻烦一些, + 另一方面, &os; 的开发人员有时会不得不修改推荐的更新步骤, + 特别是当出现了一些无法避免的依赖关系的时候。 这一节余下的部分, + 将介绍目前推荐的更新步骤背后的原理。 + + 成功的更新操作必须解决下面的这些问题: + + + + 旧的编译器可能无法编译新的内核。 (另一方面, + 旧的编译器很可能有 bug。) 因此, 新的内核应该以新的编译器编译。 + 更具体地说, 新的编译器应在新内核开始联编之前已经完成了联编步骤。 + 请注意, 新的编译器并不一定需要在联编新内核之前 + 安装 到系统中。 + + + + 新的 world 有可能依赖一些新的内核特性。 + 因此, 新内核必须在新的 world 之前安装。 + + + + 这两个问题就是为什么我们将在后面的章节中介绍的, + 需要按照 buildworld、 + buildkernel、 + installkernel、 + installworld 的顺序来更新系统的原因。 + 这并不是您需要遵守推荐的更新操作的全部原因, + 除了这两个最重要的理由之外, 还有一些并不那么显而易见的原因: + + + + 旧的 world 可能无法配合新的内核正常工作, + 因此, 您在安装完新内核之后, 应尽快将 world 也随之更新。 + + + + 有些配置文件的变动必须在安装新的 world 之前完成, + 而另一些配置文件的变动则有可能导致旧 world 工作不正常。 + 因此, 通常而言会需要两次不同的配置文件更新步骤。 + + + + 多数情况下, 更新步骤只会替换或增加文件; + 换言之, 现有的旧文件并不会被删除。 有时, + 这可能会导致一些其他问题。 因此, 有时安装操作会指明, + 必须在某些操作之前手工删除一些文件。 这些在未来可能会被自动化, + 也可能不会自动化。 + + + + 由于有这些考虑, 因此一般情况下我们建议使用下列更新步骤。 + 请注意, 具体的更新操作中可能会需要一些附加的步骤, + 但核心的过程应该是不会轻易发生变化的: + + + + make buildworld + + 这步操作会联编新的编译器, 以及少量相关工具, + 并在随后使用新的编译器来联编 + world。 联编的结果会存放在 /usr/obj + + + + make buildkernel + + 与旧式的、 使用 &man.config.8; 和 + &man.make.1; 的方法不同, + 这种做法会使用存放于 /usr/obj + 中的 新的 编译器。 + 这种做法使得您免去了由于编译器与内核源代码不一致导致的问题。 + + + + make installkernel + + 安装新的内核及其模块, + 使系统能够以更新后的内核启动。 + + + + 重启系统并进入单用户模式。 + + 单用户模式使得更新正在运行的软件可能导致的问题减到最少。 + 此外, 它也使配合新内核运行旧 world 可能出现的问题减到最少。 + + + + mergemaster + + 这步操作会进行完成安装新的 world 所需的配置文件更新操作。 + 例如, 它可能会在系统的密码数据库中添加新的用户组或用户。 + 这些操作通常在上次更新之后增加了新的用户组或特殊系统用户之后是需要的, + 因为 installworld 这步操作会需要这些用户或组才能顺利完成。 + + + + make installworld + + /usr/obj 中复制 world。 + 这步操作之后, 您在盘上的系统, 包括内核和 world 就都是新的了。 + + + + mergemaster + + 更新余下的配置文件, + 因为您的 world 已经更新完成了。 + + + + 重启系统。 + + 这步操作将加在新的内核, 以及新的 world 和更新过的配置文件。 + + + + 注意, 如果您正从同一 &os; 版本分支升级, 例如, 从 7.0 到 + 7.1, 则上述过程可能没有那么必要, 因为您不太可能遇到严重的编译器、 + 内核源代码、 用户态程序源代码或配置文件不匹配的情形。 + 旧式的 make world + 然后再联编新内核的升级方法, 很可能有机会能够正常运作而完成升级工作。 + + 但是, 在大版本升级的过程中, 不按照前面所介绍的操作来进行升级时, + 便很可能遇到一些问题。 + + 此外, 还需要注意的是, 有些时候升级的过程中 + (例如从 4.X 到 5.0) 可能会需要一些额外的步骤 + (例如在 installworld 之前更名或删除一些文件)。 请仔细阅读 + /usr/src/UPDATING 这个文件, + 特别是它的结尾部分所介绍的推荐的升级操作顺序。 + + 由于开发人员发现不可能完全避免一些不匹配方面的问题, + 这个过程一直在演化过程中。 不过幸运的是, 目前推荐的这个升级步骤, + 应该能够在很长一段时间内不需要做任何调整。 + + + 从 &os; 3.X 或更早的版本进行升级, + 是一件非常麻烦的事情; 请务必仔细阅读 UPDATING + 之后再开始这类升级。 + - 要更新系统, 就一定要首先查看 - /usr/src/UPDATING 文件, 以了解 - buildworld 之前需要完成的步骤, - 然后使用下面的过程: + 总结一下, 目前推荐的从源代码升级 &os; + 的方法是: &prompt.root; cd /usr/src &prompt.root; make buildworld &prompt.root; make buildkernel &prompt.root; make installkernel &prompt.root; shutdown -r now 有时, 可能需要额外地执行一次 mergemaster -p 才能够完成 buildworld 步骤。 这些要求, 会在 UPDATING 中进行描述。 一般而言, 您可以简单地跳过这一步, 只要进行的不是大跨度的 &os; 版本升级。 installkernel 成功完成之后, 您需要引导到单用户模式 (举例而言, 可以在加载器提示后输入 boot -s)。 接下来执行: - &prompt.root; mount -a -t ufs + &prompt.root; adjkerntz -i +&prompt.root; mount -a -t ufs &prompt.root; mergemaster -p &prompt.root; cd /usr/src &prompt.root; make installworld &prompt.root; mergemaster &prompt.root; reboot 阅读进一步的说明 前面所给出的, 只是帮助您开始工作的简要说明。 要清楚地理解每一步, 特别是如果打算自行定制内核配置, 就应阅读下面的内容。 - + 阅读 <filename>/usr/src/UPDATING</filename> 在您做其它事之前,请阅读 /usr/src/UPDATING (或在您的源码里的等效的文件)。 这个文件要包含有关于您可能遇到的问题的重要信息, 或指定了您可能使用到的命令的执行顺序。如果 UPDATING 与您这里读到相矛盾,那就先依据 UPDATING 正如先前所述,阅读 UPDATING 并不能替代订阅正确的邮件列表。两都是互补的,并不彼此排斥。 - + 检查 <filename>/etc/make.conf</filename> make.conf 检查 /usr/share/examples/etc/make.conf 以及 /etc/make.conf。 第一个文件包含了一些默认的定义 – 它们中的绝大多数都注释掉了。 为了在重新编译系统时能够使用它们, 请把这些选项加入到 /etc/make.conf。 请注意在 /etc/make.conf 中的任何设置同时也会影响每次运行 make 的结果, 因此设置一些适合自己系统的选项是一个好习惯。 一般的用户通常会从 /usr/share/examples/etc/make.conf 复制 CFLAGSNO_PROFILE 这样的设置到 /etc/make.conf 中并令它们生效。 请考虑其他的一些选项 (例如 COPTFLAGSNOPORTDOCS 等等), 看看是否合用。 - - 更新 <filename>/etc</filename> 里边的文件 + + 更新 <filename>/etc</filename> 里的文件 /etc 目录包含有除了您的系统启动时执行的脚本外大部分的系统配置信息。 有些脚本随 FreeBSD 的版本而不同。 有些配置文件在天天运行的系统里也是要使用到的。尤其是 /etc/group 偶尔, 作为安装过程的一部分, make installworld 会要求事先创建某些特定的用户或组。 在进行升级时, 它们可能并不存在。 这会给升级造成问题。 有时, make buildworld 会检查它们是否已经存在。 最近就有个这样的例子, 当时新增了 smmsp 用户。 当用户尝试完成安装操作时, 在 &man.mtree.8; 尝试建立 /var/spool/clientmqueue 时失败了。 解决办法是通过使用 选项以构建前 (pre-buildworld) 模式运行 &man.mergemaster.8;。 这表示只对比那些对于成功执行 buildworldinstallworld 起关键作用的文件。 在第一次这样做时, 如果使用的是早期的不支持 mergemaster 版本的话, 使用源码中的新版本即可。 &prompt.root; cd /usr/src/usr.sbin/mergemaster &prompt.root; ./mergemaster.sh -p 如果您是个偏执狂 (paranoid), 您可以检查您的系统看看哪个文件属于您已更名或删除了的那个组。 &prompt.root; find / -group GID -print 将显示所有 GID 组 (可以是组名也可以是数字地组 ID)所有的文件。 改为单用户模式 单用户 模式 您可能想在单用户模式下编译系统。 除了对更快处理事情显然有好处外, 重装系统将触及许多重要的系统文件, 包括所有标准系统二进制文件、库文件、包含 (include) 文件等等。 在正运行的系统 (尤其是在有活跃的用户的时候) 中更改这些文件是自寻烦恼。 多用户模式 另一种模式是在多用户模式下编译系统,然后转换到单用户模式下安装。 如果您喜欢这种方式,只需在建立 (build) 完成后才执行下边的步骤。 您推迟转换到单用户模式下直到您必须 installkernelinstallworld 从运行的系统里,以超级用户方式执行: &prompt.root; shutdown now 这样就会转换到单用户模式。 除此之外, 也可以重启系统, 并在启动菜单处选择 single user(单用户) 选项。 这样系统将以单用户模式启动。 接着, 在 shell 提示符处执行: &prompt.root; fsck -p &prompt.root; mount -u / &prompt.root; mount -a -t ufs &prompt.root; swapon -a 这会检查文件系统,重新将 / 以读/写模式挂接, 参考 /etc/fstab 挂接其它所有的 UFS 文件系统,然后启用交换区。 如果您的 CMOS 时钟是设置为本地时间,而不是 GMT (如果 &man.date.1; 命令输出不能显示正确的时间和地区也确有其事), 您可能也需要执行下边的命令: &prompt.root; adjkerntz -i 这样可以确定您正确的本地时区设置—不这样做, 您以后可能会碰到一些问题。 - + 删除 <filename>/usr/obj</filename> 随着重新构建系统的进行, 编译结果会放到 (默认情况下) /usr/obj 下。 这些目录会映射到 /usr/src 通过删除这个目录, 可以加速 make buildworld 的过程, 并避免相互依赖关系等复杂的问题。 /usr/obj 中的某些文件可能设置了不可改标记 (详情参见 &man.chflags.1;), 需要首先去掉这些标志。 &prompt.root; cd /usr/obj &prompt.root; chflags -R noschg * &prompt.root; rm -rf * 重新编译基本系统 保存输出 建议把执行 &man.make.1; 后得到的输出存成一个文件。 如果什么地方出了错,您就会有个错误信息的备份。 尽管这样不能帮您分析哪里出了错, 但如果您把您的问题贴到某个邮件列表里就能帮助其他的人。 这样做最简单的办法是使用 &man.script.1; 命令,同是带上参数指定存放输出的文件名。 您应在重建系统之前立即这样做,然后在过程完成时输入 exit &prompt.root; script /var/tmp/mw.out Script started, output file is /var/tmp/mw.out &prompt.root; make TARGET … compile, compile, compile … &prompt.root; exit Script done, … 如果您这样做,就 不要 把文件存到 /tmp 里边。下次启动时,这个目录就会被清除掉。 存放的最好地方是 /var/tmp (如上个实例)或 root 的主目录。 编译基本系统 您必须在/usr/src目录里边: &prompt.root; cd /usr/src (当然,除非您的源码是在其它地方,真是这样的话更换成那个目录就行了)。 make 使用 &man.make.1; 命令重建系统。这个命令会从 Makefile (描述组成 &os; 的程序应该怎样被重建, 以什么样的顺序建立等等) 里读取指令。 输入的一般命令格式如下: &prompt.root; make -x -DVARIABLE target 这个例子里, 是会传递给 &man.make.1; 的一个选项。查看 &man.make.1; 手册有您可用的选项例子。 传递一个变量给 Makefile。这些变量控制了 Makefile 的行为。这些同 /etc/make.conf 设置的变量一样, 只是提供了另一种设置它们的方法。 &prompt.root; make -DNO_PROFILE target 是另一种指定不被建立 (built) 的先定库 (profiled libraries) 的方式,协同 /etc/make.conf 里的 NO_PROFILE= true # 避免编译性能分析库 一起使用。 目标 (target) 告诉 &man.make.1; 什么该做。每个 Makefile 定义了一定数量不同的目标 (targets), 然后您选择的目标就决定了什么会发生。 有些目标列在 Makefile 里的,但并不意味着您要执行。相反,建立过程 (build process) 利用它们把重建系统的一些必要的步骤分割成几个子步骤。 大部分的时间不需要向 &man.make.1; 传递参数,因此您的命令看起来可能象这样: &prompt.root; make target 此处 target 表示的是若干编译选项。 多数情况下, 第一个 target 都应该是 buildworld 正如名字所暗示的,buildworld/usr/obj 下边建立了一个全新的树, 然后使用另一个 target, installworld 在当前的机器里安装它。 将这些选项分开有两个优点。 首先, 它允许您安全地完成建立 (build), 而不对正在运行的系统的组件产生影响。 构建过程是 自主的 (self hosted)。 因为这样, 您可以安全地在以多用户模式运行的机器里执行 buildworld ,而不用当心不良影响。 但是依然推荐您在单用户模式时运行 installworld 第二,允许您使用 NFS 挂接 (NFS mounts) 升级您网络里的多台计算机。如果您有三台 ABC 想进行升级,在A 执行 make buildworldmake installworld。 然后将 A 上的 /usr/src/usr/obj 通过 NFS 挂接到 BC 上, 接下来, 只需在 BC 上使用 make installworld 来安装构建的结果就可以了。 尽管 world target 仍然存在,强烈建议您不要用它。 运行 &prompt.root; make buildworld 我们提供了一个试验性的功能, 可以在构建过程中为 make 指定 参数, 令其在构建过程中同时启动多个并发的进程。 对于多 CPU 的机器而言, 这样做有助于发挥其性能。 不过, 由于编译过程中的瓶颈主要是在 IO 而不是 CPU 上, 因此它也会对单 CPU 的机器带来好处。 对典型的单 CPU 机器, 可以使用: &prompt.root; make -j4 buildworld 这样, &man.make.1; 会最多同时启动 4 个进程。 从发到邮件列表中的经验看, 这样做能带来最佳的性能。 如果您使用的机器有多颗 CPU, 并且配置了 SMP 的内核, 也可以试试看 6 到 10 的数值, 并观察是否能带来构建性能上的改善。 耗时 rebuilding world timings 联编基本系统所需的时间会受到很多因素的影响, 不过, 较新的机器应该都能在一两个小时之内完成 &os.stable; 源代码的构建, 而无须任何技巧或捷径。 完成 &os.current; 源代码的联编, 则通常需要更长一些的时间。 - + 编译和安装新内核 内核 编译 要充分利用您的新系统,您应该重新编译内核。 这是很有必要的,因为特定的内存结构已经发生了改变,像 &man.ps.1; 和 &man.top.1; 这样的程序会不能工作, 除非内核同源码树的版本是一样的。 最简单、最安全的方式是 build 并安装一个基于 GENERIC 的内核。虽然 GENERIC 可能没有适合您的系统的所有必要的设备, 但它包括了启动您的系统到单用户模式所必需的内容。 这是个不错的检测新系统是否工作正常的测试。在从 GENERIC 启动、核实系统可以工作后, 您就可以建立 (build) 一个基于您的正常内核配置文件的新的内核了。 在 &os; 中, 首先完成 build world 然后再编译新内核非常重要。 如果您想建立一个定制内核,而且已经有了配置文件, 只需象这样使用 KERNCONF=MYKERNEL &prompt.root; cd /usr/src &prompt.root; make buildkernel KERNCONF=MYKERNEL &prompt.root; make installkernel KERNCONF=MYKERNEL 注意,如果您已把 内核安全级别(kern.securelevel) 调高到了 1 以上,而且还设置了 noschg 或相似的标识到了您的内核二进制里边,您可能会发现转换到单用户模式里使用 installkernel 是很有必要的。 如果您没有设置它, 则应该也能毫无问题地在多用户模式执行这两个命令。 请参考 &man.init.8; 以了解更多关于 内核安全级(kern.securelevel) 的信息;查看 &man.chflags.1; 了解更多关于不同文件标识的信息。 - + 重启到单用户模式 单用户模式 您应该单用户模式测试新内核。照处的说明去做。 安装编译好的新系统 如果您正建立一个足以使用 make buildworld 的 &os; 版本,那么您现在应该使用 installworld 来安装新的系统二进制。 执行 &prompt.root; cd /usr/src &prompt.root; make installworld 如果在 make buildworld 的命令行指定了变量,您就必须在 make installworld 命令行里指定同样的变量。 对于其它的选项并不是必需的,如, 就不能同 installworld 一起使用。 举例,您执行了: &prompt.root; make -DNO_PROFILE buildworld 您就必须使用: &prompt.root; make -DNO_PROFILE installworld 来安装结果,否则就要试着安装先定 (profiled) 的在 make buildworld 阶段没有建立 (built) 的二进制文件。 - + 不是由 <command>make installworld</command> 更新的更新文件 重新编译整个系统不会使用新的或改过的配置文件更新某些目录 (尤其像 /etc/var/usr) 更新这些文件最简单的方式就是使用 &man.mergemaster.8;,手工去做也是可以的,只要您愿意。 不管您选择哪一种,一定记得备份 /etc 以防出错。 Tom Rhodes 贡献者: <command>mergemaster</command> mergemaster &man.mergemaster.8; 工具是个 Bourne 脚本,用于检测 /etc/usr/src/etc 源码树里边的配置文件的不同点。 这是保持系统配置文件同源码树里的一起更新的推荐方式。 在提示符里简单地输入 mergemaster 就可以开始,并观看它的开始过程。mergemaster 会建立一个临时的根(root)环境,在 / 下, 放置各种系统配置文件。这些文件然后同当前安装到您系统里的进行比较。 此时,不同的文件会以 &man.diff.1; 格式进行显示,使用 符号标识增加或修改的行, 标识将完全删除的行或将被替换成新行。查看 &man.diff.1; 手册可以得到更多关于 &man.diff.1; 语法和文件不同点怎样显示的信息。 &man.mergemaster.8; 会给您显示每个文件的不同处, 这样您就可以选择是删除新文件 (相对临时文件), 是以未改状态安装临时文件,是以当前安装的文件合并临时文件, 还是再看一次 &man.diff.1; 结果。 选择删除临时文件将使 &man.mergemaster.8; 知道我们希望保留我们当前的文件不改,并删除新的。 并不推荐这个选择,除非您没有更改当前文件的理由。任何时候在 &man.mergemaster.8; 提示符里输入 ?,您就会得到帮助。 如果选择跳过文件,将在其它文件处理完后再次进行。 选择安装未修改临时文件将会使新文件替换当前的。 对大部分未改的文件,这是个最好的选择。 选择合并文件将为您打开一个文本编辑器, 里边是两个文件的内容。您现在就可以一边合并它们, 一边在屏幕里查看,同时从两者中选取部分生成最终文件。 当两个文件一起比较时,l 键会选择左边的内容, r 会选择右边的。最终的输出是由两个部分组成的一个文件, 用它就可以安装了。这个选项通常用于用户修改了设置的文件。 选择再次查看 &man.diff.1; 结果将会在提供给选择之前, 显示文件的不同处,就象 &man.mergemaster.8; 所做的一样。 在 &man.mergemaster.8; 完成了对系统文件的处理后, 您会得到其它的选项。&man.mergemaster.8; 可能会问您是否要重建密码文件, 并在最后提示您是否要删除余下的临时文件。 手动更新 如果想要手工更新,但不要只是从 /usr/src/etc 把文件复制到 /etc 就了事。有些文件是必须先安装的。 这是因为 /usr/src/etc 目录并 不是 想像的那样是 /etc 目录的一个复制。事实上,有些是文件是 /etc 有的,而 /usr/src/etc 里边没有。 如果您使用 &man.mergemaster.8; (作为推荐),您可以向前跳到 下一节。 手工做最简单的方式是安装这些文件到一个新的目录,完成后再来查找不同处。 备份您已有的 <filename>/etc</filename> 虽然,理论上,没有什么会自动访问这个目录, 事情还是做稳操胜当一点。复制已有 /etc 到一个安全的地方,如: &prompt.root; cp -Rp /etc /etc.old 完成递归复制 (译者注:即可以复制目录以下的所有内容), 保留文件的时间、所属等等。 您需要建立一个虚目录 (a dummy set of directories) 来安装新的 /etc 和其它文件。 /var/tmp/root 是个不错的选择, 除此之外,还有一些子目录是需要的。 &prompt.root; mkdir /var/tmp/root &prompt.root; cd /usr/src/etc &prompt.root; make DESTDIR=/var/tmp/root distrib-dirs distribution 这样就建好了需要的目录结构,然后安装文件。在 /var/tmp/root 下建立的大部分子目录是空的, 而且要删除掉。最简单的方式是: &prompt.root; cd /var/tmp/root &prompt.root; find -d . -type d | xargs rmdir 2>/dev/null 这样会删除所有的空目录。(标准的错误信息被重定向到了 /dev/null,以防止关于非空目录的警告。) /var/tmp/root 现在包含了应放在 / 下某个位置的所有文件。 您现在必须仔细检查每一个文件,检测它们与您已有的文件有多大不同。 注意,有些已经安装在 /var/tmp/root 下的文件有个.在开头。在写的时候,像这样唯一的文件是 /var/tmp/root//var/tmp/root/root/ 里 shell 启动文件,尽管可能有其它的(依赖于您什么时候读取这个)。 确信使用 ls -a 可以看到它们。 最简单的方式是使用 &man.diff.1; 去比较两个文件: &prompt.root; diff /etc/shells /var/tmp/root/etc/shells 这会显示出 /etc/shells 文件和新的 /var/tmp/root/etc/shells 文件的不同处。 用这些来决定是合并您已做的变化还是复制您的旧文件过来。 使用日戳 (Time Stamp) 命名新的 Root(根)目录(<filename>/var/tmp/root</filename>),这样您可以轻松地比较两个版本的不同 频繁重建系统意味着必须频繁更新 /etc,而这可能会有点烦琐。 在合并到 /etc 的文件里, 最新更改的您可以做个复制,由此加快这个(指更新)过程。 下边就给出了一个怎样做的主意。 像平常一样建立系统 (Make the world)。当您想更新 /etc 和其它目录里, 给目标目录一个含有当前日期的名字。假如您是 1998 年 2 月 14 日做的,您可以执行下边的: &prompt.root; mkdir /var/tmp/root-19980214 &prompt.root; cd /usr/src/etc &prompt.root; make DESTDIR=/var/tmp/root-19980214 \ distrib-dirs distribution 如上边列出的,从这个目录合并变化。 在您完成后,不要 删除 /var/tmp/root-19980214 目录。 在您下载了最新版的源码并改过后,执行第一步。 这样将得到一个新的目录,可能叫做 /var/tmp/root-19980221 (如果等了一周做的升级)。 您现在能看到两个目录间的不同了---在隔周的时间里使用 &man.diff.1; 建立递归 diff 产生的不同: &prompt.root; cd /var/tmp &prompt.root; diff -r root-19980214 root-19980221 一般情况下,这两种间的不同处比 /var/tmp/root-19980221/etc/etc 之间的不同要小很多。 因为不同点更小,也就更容易把这些变化移到您的 /etc 目录里边。 您现在可以删除早先的两个 /var/tmp/root-* 目录: &prompt.root; rm -rf /var/tmp/root-19980214 每次您需要合并这些变化到 /etc 里,就重复这个流程。 您可以使用 &man.date.1; 自动产生目录的名称: &prompt.root; mkdir /var/tmp/root-`date "+%Y%m%d"` 重启 现在完成了。在您检查所有内容都放置正确后, 您可以重启系统了。只是简单的 &man.shutdown.8; 可以这样做: &prompt.root; shutdown -r now 结束 恭喜!您现在成功升级了您的 &os; 系统。 如果还有轻微的错误,可以轻易地重建系统的选定部分。 例如,在部分升级或合并 /etc 时,您不小心删除了 /etc/magic,&man.file.1; 命令就会停止工作。这种情况下,执行下边进行修复: &prompt.root; cd /usr/src/usr.bin/file &prompt.root; make all install - + 问题 每个变化您都须要重建系统吗? 这个不好说,因为要看变化的情况。如,如果您刚运行了 CVSup,并得到下边更新的文件: src/games/cribbage/instr.c src/games/sail/pl_main.c src/release/sysinstall/config.c src/release/sysinstall/media.c src/share/mk/bsd.port.mk 这就不必重建整个系统。您只需到相关的子目录里执行 make all install,仅此而已。 但是,如果有重大变化,如 src/lib/libc/stdlib, 那么您就要重建系统或至少静态连接的那些部分 (除了您增加的部分都是静态连接的)。 在这天后,就是您的事了。要是说每两个星期重建一下系统的话, 您可能会高兴。或者您可能只想重做改变过的部分, 确信您能找出所有依赖关系。 当然,所有这些依赖于您想升级的频率,和您是否想跟踪 &os.stable; 或 &os.current;。 我的编译失败,并伴随有许多 11 (或其它的数字信息) 号错误。是怎么回事呀? 信号 11 这个通常表示硬件错误。 (重)建系统是个强压测试系统硬件的有效地方式, 并且常常产生内存错误。 这些正好表示它们自已做为编译器离奇地死于收到的奇怪信息。 一个确信的指示器是如果重新开始 make,并且整个过程中会死在不同的点上。 对于这种情况,您没有什么可做的,除了更换机器里的部件,看是哪一个坏了。 我完成后可以删除 /usr/obj 吗? 简短地说,可以。 /usr/obj 包含了所有在编译阶段生成的目标文件。通常, 在 make buildworld 过程中第一步之一就是删除这个目录重新开始。 这种情况下,在您完成后,保留 /usr/obj 没有多大意义,还可释放一大堆磁盘空间(通常在 340 MB 左右)。 只是,如果您清楚您在干什么,您可以让 make buildworld 跳过这一步。 这会让后继的 build 执行得更快,因为大部分的源码都不必再进行编译了。 这个的另一面就在于敏感的依赖问题可以潜在, 并以奇怪的方式引起 build 的失败。这在 &os; 邮件列表里经常引起沸腾, 当有人抱怨他们 build 失败时,并没意识到这是因为自已是想抄近路 (意思是说少了些必要的步骤)。 中断的 build 可以被恢复吗? 依赖于您在您找到问题之前整个过程进行了多远。 一般而言 (当然这并不是硬性规定), make buildworld 的过程中将会首先构建新版的基本构建工具 (例如 &man.gcc.1;, 以及 &man.make.1;) 和系统库。 随后会安装这些工具和库。 这些新版本的工具和库在随后将被用于重新编译和连接它们本身。 整个系统 (现在包括了常规的用户程序, 例如 &man.ls.1; 或 &man.grep.1;) 会同新版的系统文件一起被重新构建。 如果您正处于最后一个阶段, 并且了解它 (因为您已经看过了所保存的输出) 则可以 (相当安全地) 做: … 问题修复 … &prompt.root; cd /usr/src &prompt.root; make -DNO_CLEAN all 这样就不会取消先前的 make buildworld 所做的工作了。 make buildworld的输出中如果看到如下信息: -------------------------------------------------------------- Building everything.. -------------------------------------------------------------- 出现在 make buildworld 的输出中, 则这样做应该不会有什么问题。 如果没有看到这样的信息, 或者您不确定, 则从头开始构建将是万无一失的做法。 我怎样加快建立系统的速度? 以单用户模式运行 /usr/src/usr/obj 目录放到不同磁盘里的独立文件系统里。如果可能,这些磁盘在不同的磁盘控制器里。 更好的,是把这些文件系统放置到多个使用 &man.ccd.4; (连接磁盘驱动器--concatenated disk driver)设备的磁盘里。 关掉 profiling (在 /etc/make.conf 里设置 NO_PROFILE=true)。您差不多用不了它。 /etc/make.conf 里也为 CFLAGS 设置上 。 最佳优化 会更慢,而且 之间的优化差别基本上可以忽略。 让编译器使用管道而不用临时文件进行通信, 这样可以减少磁盘存取 (以内存作为代价)。 传递 选项给 &man.make.1; 以便并发运行多个进程。 这样就不会考虑您的是否是单个或多个处理器机器。 存放 /usr/src 的文件系统可以使用 选项来挂接 (或重新挂接)。 这样会防止文件系统记录文件的存取时间。 您可能并不需要这些信息。 &prompt.root; mount -u -o noatime /usr/src 这个例子里假定 /usr/src 是在它自已的文件系统里。如果不是 (例如假设它是 /usr 的部分),那么您就需要那个文件系统挂接点, 而不是 /usr/src 存放 /usr/obj 的文件系统可以使用 选项被挂接 (或重新挂接)。 这样做将启用异步写盘。 换句话说, 对应用程序而言写会立即完成, 而数据则延迟几秒才会写到盘里。 这样做能够成批地写下数据, 从而极大地改善性能。 注意, 这个选项会使您的文件系统变得脆弱。 使用这个选项会提高在电源断掉或机器非正常重启时, 文件系统进入不可恢复状态的概率。 如果在这个文件系统里 /usr/obj 是很关键的,这不是问题。如果您有其它有价值的数据在同一个文件系统, 那么在您使用这个选项这前,确认备份一下。 &prompt.root; mount -u -o async /usr/obj 同上,如果 /usr/obj 不在自已的文件系统里,使用相关挂接点的名字把它从例子里边替换掉。 如果出现了错误我该怎么办? 绝对确信您的环境没有先前 build 留下的残余。这点够简单。 &prompt.root; chflags -R noschg /usr/obj/usr &prompt.root; rm -rf /usr/obj/usr &prompt.root; cd /usr/src &prompt.root; make cleandir &prompt.root; make cleandir 不错,make cleandir 真的要执行两次。 然后重新开始整个过程,使用 make buildworld 开始。 如果您还有问题,就把错误和 uname -a 的输出发送到 &a.questions; 邮件列表。准备回答其它关于您的设置的问题! Mike Meyer 贡献者 跟踪多台机器 NFS 安装多台机器 如果您有多台机器想跟踪同样的源码树, 那么让它们都下载源码并重建所有东西,看起有点浪费资源: 磁盘空间、网络带宽以及 CPU 周期。 解决的办法是让一台机器处理大部分的工作,而其它的机器通过 NFS 挂接 (mount) 这些工作。这部分列举了一种这样做的方法。 准备 首先,确定一批机器,运行的二进制代码是同一套---我们称作 构建集群 (build set)。 每台机器可以使用不同的定制内核, 但它们运行的是相同的用户区二进制文件(userland binaries)。 从这批机器中选择一台机器做为 构建机器(build machine)。 这将是用于构建(build)系统和内核的机器。想像一下,它应该是一台快速的机器, 有足够的空余的 CPU 来执行make buildworld。 您也想要选一台机器做为 测试机器(test machine), 这个将用于软件的更新生成产品之前对他们进行测试。这个 必须 是一台您能提供的平时也可使用的机器。 它可以是构建机器,但没这个必要。 在这个构建集群里的所有机器需要从同一台机器、 同一个点上挂接 /usr/obj/usr/src。理想地, 它们在构建机器上的两个不同的驱动器里, 但是在那台机器上可以进行 NFS 挂接。如果您有多个构建集群/usr/src 应该在某个构建机器上, 而在其它机器上进行 NFS 挂接。 最后,确认构建集群里所有机器上的 /etc/make.conf/etc/src.conf构建机器里的相同。 这意味着构建机器必须构建部分基本系统用于 构建集群里所有机器的安装。同样, 每台构建机器要有它自已的内核名字,使用 /etc/make.conf 里的 KERNCONF 进行设置,并且每台构建机器应该把它们列在 KERNCONF 里,同时把自已的内核列在最前。 构建机器/usr/src/sys/arch/conf 里一定要有每台机器的内核配置文件,如果它想构建它们的内核的话。 - + 基本系统 既然所有的妥当了,就准备构建所有的东西。如中描述的一样在构建机器上构建内核和系统, 但是什么也不安装。在构建结束后,转到测试机器上, 安装您刚构建的内核。如果这台机器通过 NFS 挂接了 /usr/src/usr/obj, 在您重启到单用户模式里,您需要启动网络然后挂接他们。 最简单的方式是启动到多用户模式下,然后执行 shutdown now 转到单用户模式。一旦进入,您就可以安装新的内核和系统,并执行 mergemaster,就像平常一样。完成后, 重启返回到一般多用户模式操作这台机器。 在您确信所有在 测试机里都工作正常后, 就使用相同的过程在 构建集群里的其它机器里安装新的软件。 - + Ports 类似的想法是使用 ports 树。 第一个关键的步骤是从同一台计算机上挂接 /usr/ports构建集群 里的全部计算机。 然后正确设置 /etc/make.conf 共享 distfiles。您应把 DISTDIR 设置到一个共享的目录里, 那里可以被任何一个 root 用户写入, 并且是由您的 NFS 挂接映射的。 设置每一台机器的 WRKDIRPREFIX 到一个本地构建 (build) 目录。最后,如果您要构建和发布包 (packages),那么您应该设置 PACKAGES 到一个类似于 DISTDIR 的目录。 diff --git a/zh_CN.GB2312/books/handbook/desktop/chapter.sgml b/zh_CN.GB2312/books/handbook/desktop/chapter.sgml index 4a0a753327..331182050a 100644 --- a/zh_CN.GB2312/books/handbook/desktop/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/desktop/chapter.sgml @@ -1,1042 +1,1042 @@ Christophe Juniet Contributed by 桌面应用 概述 FreeBSD 可以运行种类繁多的桌面应用程序, 这包括像浏览器和字处理这样的软件。 绝大多数这样的程序都可以通过 package 来安装, 或者从 Ports Collection 自动地构建。 许多新用户希望能够在它们的系统中找到这样的应用程序。 这一章将向您展示如何轻松地使用 package 或者 Ports Collection 中安装这样的软件。 需要注意的是从 ports 安装意味着要编译源码。 根据编译的 ports 和电脑速度的不同, 这可能需要花费相当长的时间。 若是您觉得编译源码太过耗时的话, 绝大多数 ports 也有预编译的版本可供安装。 因为 FreeBSD 提供的二进制兼容 Linux 的特性, 许多原本为 Linux 开发的程序都可以直接用在您的桌面。 在安装任何的 Linux 应用程序之前, 强烈的推荐您阅读 。 当您在寻找特定的 ports 时, 可以使用 &man.whereis.1;。 一般来说, 许多利用 Linux 二进制兼容特性的 ports 都以linux-开头。 在下面的介绍中,都假设安装 Linux 应用程序前已经开启了 Linux 二进制兼容功能。 本章涵盖以下种类应用程序: 浏览器 (例如 FirefoxOperaKonqueror) 办公、图象处理 (例如 KOfficeAbiWordGIMPOpenOffice.org) 文档查看 (例如 &acrobat.reader;gvXpdfGQview) 财务 (例如 GnuCashGnumericAbacus) 阅读这章之前,您应该: 知道如何安装额外的第三方软件()。 知道如何安装 Linux 软件()。 想要获得更多的有关多媒体环境的信息,请阅读 。如果您想要建立和使用电子邮件, 请参考 浏览器 浏览器 web FreeBSD并没有预先安装特定的浏览器。然而,在 ports 的目录 www 有许多浏览器可以安装。如果您没有时间一一编译它们 (有些时候这可能需要花费相当长的时间) 大部分都有 package 可用。 KDEGNOME 已经提供 HTML 浏览器。 请参考得到更多完整的有关设定这些桌面环境的信息。 如果您要找小型的浏览器, 可以试试看 www/dillowww/linkswww/w3m 这一节涉及如下程序: 程序名称 资源需求 安装时间 主要依赖 Firefox 中等 Gtk+ Opera 轻松 同时有可用的 FreeBSD 和 Linux 版本。 Linux 版本需要使用 Linux 二进制兼容模块和 linux-openmotif Firefox 中等 Gtk+ Konqueror 中等 需要 KDE Firefox Firefox Firefox 是一个现代, 自由, 开放源代码稳定的浏览器, 并完全移植到了 &os; 上: 它的特性包括有一个非常标准的 HTML 显示引擎, 标签式浏览, 弹出窗口阻止, 扩展插件, 改进的安全性, 等等。 Firefox 是基于 Mozilla 的代码。 您可以通过输入下面的命令来安装预编译的包: &prompt.root; pkg_add -r firefox 这将会安装 Firefox 2.X, 如果你希望运行 Firefox 3.X, 则执行如下的命令: &prompt.root; pkg_add -r firefox3 如果你希望从源代码编译的话, 可以通过 Ports Collection 安装: &prompt.root; cd /usr/ports/www/firefox &prompt.root; make install clean For Firefox 3.X, in the previous command replace firefox with firefox3. Firefox 与 &java; 插件 在这一节和下一节中, 我们均假定您已经安装了 Firefox &os; 基金会拥有来自 Sun Microsystems 的关于发布针对 &os; 的预编译版本的 Java 运行环境 (&jre;) 和 Java 开发包 (&jdk;) 的授权。 用于 &os; 的预编译版本可以在 &os; 基金会 网站上找到。 要为 Firefox 添加 &java; 支持,您必须首先安装 java/javavmwrapper port。 接下来, 从 下载 Diablo &jre; 软件包, 并使用 &man.pkg.add.1; 来安装它。 启动浏览器, 并在地址栏中输入 about:plugins 然后按 Enter。 浏览器将给出一个页面, 其中会显示已经安装的插件, 您应在这个列表中找到 &java; 插件。 如果不是这样的话, 则需要以 root 身份执行下列命令: &prompt.root; ln -s /usr/local/diablo-jre1.6.0/plugin/i386/ns7/libjavaplugin_oji.so \ /usr/local/lib/browser_plugins/ 然后重新启动浏览器。 Firefox 与 ¯omedia; &flash; 插件 Flash ¯omedia; &flash; 插件并没有直接提供其 &os; 版本。 不过, 我们有一个软件层 (wrapper) 可以用来运行 Linux 版本的插件。 这个 wrapper 也支持 &adobe; &acrobat;、 RealPlayer 和很多其他插件。 以下的章节涵盖了在近期 -STABLE 分支, &os; 7.1-RELEASE 及以上的版本安装 &flash; 9.X。 如果你正在使用一个旧版本的 &os; 或者遇到了问题, 你应该安装 www/linux-flashplugin7 并跳过 &man.linprocfs.5; 的部分。 应安装 www/nspluginwrapper port, 这个 port 需要依赖一个很大的 port emulators/linux_base 下一步是安装 www/linux-flashplugin9 port。 一旦装好了这个插件,需要用户运行一下 nspluginwrapper 命令: &prompt.user; nspluginwrapper -v -a -i 如果希望播放 &flash; 动画的话,&linux; 的进程文件系统, &man.linprocfs.5; 必须挂载于 /usr/compat/linux/proc。 可以通过以下的命令实现: - &prompt.user; mount -t linprocfs linproc /usr/compat/linux/proc + &prompt.root; mount -t linprocfs linproc /usr/compat/linux/proc 这也可以在机器启动时自动挂载, 把以下这行加入 /etc/fstab linproc /usr/compat/linux/proc linprocfs rw 0 0 然后就可以打开浏览器, 并在地址栏中输入 about:plugins 然后按下 Enter。 这将显示目前可用的插件列表。 Firefox and Swfdec &flash; Plugin Swfdec 是一个用以解码和渲染 &flash; 动画的库。 Swfdec-Mozilla 是一个使用了 Swfdec 库让 Firefox 能播放 SWF 文件的插件。它目前仍处于开发状态。 如果你不能或者不想编译安装,可以通过网络安装二进制包: &prompt.root; pkg_add -r swfdec-plugin 如果二进制包还不可用,你可以通过 Ports Collection 编译安装: &prompt.root; cd /usr/ports/www/swfdec-plugin &prompt.root; make install clean 然后重启你的浏览器使得这个插件生效。 Opera Opera Opera 是一个功能齐全, 并符合标准的浏览器。 它还提供了内建的邮件和新闻阅读器、 IRC 客户端, RSS/Atom feed 阅读器以及更多功能。 除此之外, Opera 是一个比较轻量的浏览器, 其速度很快。 它提供了两种不同的版本: native FreeBSD 版本, 以及通过 Linux 模拟运行的版本。 要使用 Opera 的 FreeBSD 版本来浏览网页,安装以下的 package: &prompt.root; pkg_add -r opera 有些 FTP 站点没有所有版本的 package, 但仍然可以通过 Ports 套件来安装 Opera &prompt.root; cd /usr/ports/www/opera &prompt.root; make install clean 要安装 Linux 版本的 Opera,将上面例子中的 opera 替换为 linux-opera。Linux 版本在某些情况下非常有用,象是使用只有 Linux 版本的插件,例如 Adobe &acrobat.reader;。就其它方面来说, FreeBSD 和 Linux 版本的功能是完全一样的。 Konqueror Konqueror KonquerorKDE 的一部分,不过也可以通过安装 x11/kdebase3 在非 KDE 环境下使用。 Konqueror 不止是一个浏览器, 也是一个文件管理器和多媒体播放器。 也有种类丰富的插件能够配合 Konqueror 一起使用, 您可以通过 misc/konq-plugins 来安装它们。 Konqueror 也支持 &flash;; 关于如何获得用于 Konqueror&flash; 支持的 How To 文档 可以在 找到。 办公、图象处理 当需要进行办公或者进行图象处理时, 新用户通常都会找一些好用的办公套件或者字处理软件。 尽管目前有一些 桌面环境, 如 KDE 已经提供了办公套件, 但目前这还没有一定之规。 无论您使用那种桌面环境, FreeBSD 都能提供您需要的软件。 这节涉及如下程序: 软件名称 资源需求 安装时间 主要依赖 KOffice KDE AbiWord Gtk+GNOME The Gimp Gtk+ OpenOffice.org &jdk; 1.4Mozilla KOffice KOffice 办公套件 KOffice KDE 社区提供了一套办公套件, 它能用在桌面环境。它包含四个标准的组件,这些组件可以在其它办公套件中找到。 KWord 是字处理程序、 KSpread 是电子表格程序、 KPresenter 是演示文档制作管理程序、 Kontour是矢量绘图软件。 安装最新的 KOffice 之前,先确定您是否安装了最新版的 KDE 使用 package 来安装 KOffice,安装细节如下: &prompt.root; pkg_add -r koffice 如果没有可用的 package,您可以使用 Ports Collection 安装。 安装 KDE3KOffice 版本,如下: &prompt.root; cd /usr/ports/editors/koffice-kde3 &prompt.root; make install clean AbiWord AbiWord AbiWord 是一个免费的字处理程序,它看起来和 µsoft; Word 的感觉很相似。 它适合用来打印文件、信函、报告、备忘录等等, 它非常快且包含许多特性,并且非常容易使用。 AbiWord 可以导入或输出很多文件格式, 包括一些象 µsoft; .doc 这类专有格式的文件。 AbiWord 也有 package 的安装方式。您可以用以下方法安装: &prompt.root; pkg_add -r abiword 如果没有可用的 package,它也可以从 Ports Collection 编译。ports collection 应该是最新的。它的安装方式如下: &prompt.root; cd /usr/ports/editors/abiword &prompt.root; make install clean GIMP GIMP 对图象的编辑或者加工, GIMP 是一个非常精通图象处理的软件。 它可以被用来当作简单的绘图程序或者一个专业的照片处理套件。 它支持大量的插件和具有脚本界面的特性。 GIMP 可以读写众多的文件格式, 支持扫描仪和手写板。 您可以用下列命令安装: &prompt.root; pkg_add -r gimp 如果您在 FTP 站点没有找到这个 package,您也可以使用 Ports Collection 的方法安装。ports 的 graphics 目录也包含有 Gimp 手册。 以下是安装它们的方法: &prompt.root; cd /usr/ports/graphics/gimp &prompt.root; make install clean &prompt.root; cd /usr/ports/graphics/gimp-manual-pdf &prompt.root; make install clean Ports 中的 graphics 目录也有开发中的 GIMP 版本 graphics/gimp-devel。 HTML 版本的 Gimp 手册 可以在 graphics/gimp-manual-html 找到。 OpenOffice.org OpenOffice.org 办公套件 OpenOffice.org OpenOffice.org 包括一套完整的办公套件: 字处理程序、 电子表格程序、 演示文档管理程序和绘图程序。 它和其它的办公套件的特征非常相似,它可以导入输出不同的流行的文件格式。 它支持许多种语言 — 国际化已经渗透到了其界面、 拼写检查和字典等各个层面。 OpenOffice.org 的字处理程序使用 XML 文件格式使它增加了可移植性和灵活性。 电子表格程序支持宏语言和使用外来的数据库界面。 OpenOffice.org 已经可以平稳的运行在 &windows;、&solaris;、Linux、FreeBSD 和 &macos; X 等各种操作系统下。 更多的有关 OpenOffice.org 的信息可以在 OpenOffice.org 网页 找到。 对于特定的 FreeBSD 版本的信息,您可以在直接在 FreeBSD OpenOffice 移植团队的页面下载。 安装 OpenOffice.org 方法如下: &prompt.root; pkg_add -r openoffice.org 如果您正在使用 &os; 的 -RELEASE 版本, 一般来说这样做是没问题的。 如果不是这样, 您就可能需要看一看 &os; OpenOffice.org 移植小组的网站, 并使用 &man.pkg.add.1; 从那里下载并安装合适的软件包。 最新的发布版本和开发版本都可以在那里找到。 装好 package 之后, 您只需输入下面的命令就能运行 OpenOffice.org 了: &prompt.user; openoffice.org 在第一次运行时, 将询问您一些问题, 并在您的主目录中建立一个 .openoffice.org2 目录。 如果没有可用的 OpenOffice.org package,您仍旧可以选择编译 port。然而, 您必须记住它的要求以及大量的磁盘空间和相当长的时间编译。 &prompt.root; cd /usr/ports/editors/openoffice.org-2 &prompt.root; make install clean 如果希望联编一套进行过本地化的版本, 将前述命令行改为: &prompt.root; make LOCALIZED_LANG=your_language install clean 您需要将 your_language 改为正确的 ISO-代码。 所支持的语言代码可以在 files/Makefile.localized 文件中找到, 这个文件位于 port 的目录。 一旦完成上述操作, 就可以通过下面的命令来运行 OpenOffice.org 了: &prompt.user; openoffice.org 文档查看器 &unix; 系统出现以来, 一些新的文档格式开始流行起来; 它们所需要的标准查看器可能不一定在系统内。 本节中, 我们将了解如何安装它们。 这节涵盖如下应用程序: 软件名称 资源需求 安装时间 主要依赖 &acrobat.reader; Linux二进制兼容 gv Xaw3d Xpdf FreeType GQview Gtk+GNOME &acrobat.reader; Acrobat Reader PDF 查看器 现在许多文档都用 PDF 格式, 根据轻便小巧文档格式的定义。一个被建议使用的查看器是 &acrobat.reader;,由 Adobe 所发行的 Linux 版本。因为 FreeBSD 能够运行 Linux 二进制文件, 所以它也可以用在 FreeBSD 中。 要从 Ports collection 安装 &acrobat.reader; 7, 只需: &prompt.root; cd /usr/ports/print/acroread7 &prompt.root; make install clean 由于授权的限制, 我们不提供预编译的版本。 gv gv PDF 查看器 PostScript 查看器 gv 是 &postscript; 和 PDF 文件格式查看器。它源自 ghostview 因为使用 Xaw3d 函数库让它看起来更美观。 它很快而且界面很干净。gv 有很多特性比如象纸张大小、刻度或者抗锯齿。 大部分操作都可以只用键盘或鼠标完成。 安装 gv package,如下: &prompt.root; pkg_add -r gv 如果您无法获取预编译的包, 则可以使用 Ports collection: &prompt.root; cd /usr/ports/print/gv &prompt.root; make install clean Xpdf Xpdf PDF 查看器 如果您想要一个小型的 FreeBSD PDF 查看器, Xpdf 是一个小巧并且高效的查看器。 它只需要很少的资源而且非常稳定。它使用标准的 X 字体并且不需要 &motif; 或者其它的 X 工具包。 安装 Xpdf package,使用如下命令: &prompt.root; pkg_add -r xpdf 如果 package 不可用或者您宁愿使用 Ports Collection,如下: &prompt.root; cd /usr/ports/graphics/xpdf &prompt.root; make install clean 一旦安装完成,您就可以启动 Xpdf 并且使用鼠标右键来使用菜单。 GQview GQview GQview 是一个图片管理器。 您可以单击鼠标来观看一个文件、开启一个外部编辑器、 使用预览和更多的功能。它也有幻灯片播放模式和一些基本的文件操作。 您可以管理采集的图片并且很容易找到重复的。 GQview 可以全屏幕观看并且支持国际化。 如果您想要安装 GQview package,如下: &prompt.root; pkg_add -r gqview 如果您没有可用的 package 或者您宁愿使用 Ports Collection,如下: &prompt.root; cd /usr/ports/graphics/gqview &prompt.root; make install clean 财务 假如,基于任何的理由,您想要在 FreeBSD Desktop 管理您个人的财政,有一些强大并且易于使用的软件可以被您选择安装。 它们中的一些与流行的文件格式兼容象 QuickenExcel 文件。 本节涵盖如下程序: 软件名称 资源需求 安装时间 主要依赖 GnuCash GNOME Gnumeric GNOME Abacus Tcl/Tk KMyMoney KDE GnuCash GnuCash GnuCashGNOME 的一部分,GNOME 致力于为最终用户提供用户友好且功能强大的软件。使用 GnuCash,您可以关注您的收入和开支、您的银行帐户, 或者您的股票。它的界面特性看起来非常的专业。 GnuCash 提供一个智能化的注册、帐户分级系统、 很多键盘快捷方式和自动完成方式。它能分开一个单个的处理到几个详细的部分。 GnuCash 能导入和合并 Quicken QIF 文件格式。 它也支持大部分的国际日期和流行的格式。 在您的系统中安装 GnuCash 所需的命令如下: &prompt.root; pkg_add -r gnucash 如果 package 不可用,您可以使用 Ports Collection 安装: &prompt.root; cd /usr/ports/finance/gnucash &prompt.root; make install clean Gnumeric Gnumeric 电子表格 Gnumeric Gnumeric 是一个电子表格程序, GNOME 桌面环境的一部分。 它以通过元素格式和许多片断的自动填充系统来方便的自动猜测用户输入而著称。 它能导入一些流行的文件格式,比如象 ExcelLotus 1-2-3Quattro ProGnumeric 凭借 math/guppi 支持图表。 它有大量的嵌入函数和允许所有通常比如象、数字、货币、日期、 时间等等的一些单元格式。 以 package 方式安装 Gnumeric 的方法如下: &prompt.root; pkg_add -r gnumeric 如果 package 不可用,您可以使用 Ports Collection 安装: &prompt.root; cd /usr/ports/math/gnumeric &prompt.root; make install clean Abacus Abacus spreadsheet Abacus Abacus 是一个小巧易用的电子表格程序。 它包含许多嵌入函数在一些领域如统计学、财务和数学方面很有帮助。 它能导入和输出 Excel 文件格式。 Abacus 可以产生 &postscript; 输出。 以 package 的方式安装 Abacus 的方法如下: &prompt.root; pkg_add -r abacus 如果 package 不可用,您可以使用 Ports Collection 安装: &prompt.root; cd /usr/ports/deskutils/abacus &prompt.root; make install clean KMyMoney KMyMoney spreadsheet KMyMoney KMyMoney 是一个 KDE环境下的个人财务管理软件。 KMyMoney 旨在提供并融合各种商业财务管理软件所有的重要特性。 它也同样注重易用性和特有的复式记帐功能。 KMyMoney 能从标准的 Quicken Interchange Format (QIF) 文件导入数据, 追踪投资,处理多种货币并能提供一个财务报告。 另有可用的插件支持导入 OFX 格式的数据。 以 package 的方式安装 KMyMoney 的方法如下: &prompt.root; pkg_add -r kmymoney2 如果 package 不可用,您可以使用 Ports Collection 安装: &prompt.root; cd /usr/ports/finance/kmymoney2 &prompt.root; make install clean 总结 尽管 FreeBSD 由于其高性能和可靠性而获得了许多 ISP 的信赖, 但它也完全可以用于桌面环境。 拥有数以千计的 packagesports 能够帮您迅速建立完美的桌面环境。 下面是本章涉及到的所有的软件的简要回顾: 软件名称 Package 名称 Ports 名称 Opera opera www/opera Firefox firefox www/firefox KOffice koffice-kde3 editors/koffice-kde3 AbiWord abiword editors/abiword The GIMP gimp graphics/gimp OpenOffice.org openoffice editors/openoffice-1.1 &acrobat.reader; acroread print/acroread7 gv gv print/gv Xpdf xpdf graphics/xpdf GQview gqview graphics/gqview GnuCash gnucash finance/gnucash Gnumeric gnumeric math/gnumeric Abacus abacus deskutils/abacus KMyMoney kmymoney2 finance/kmymoney2 diff --git a/zh_CN.GB2312/books/handbook/eresources/chapter.sgml b/zh_CN.GB2312/books/handbook/eresources/chapter.sgml index 7f2601bb73..71c56f5d01 100644 --- a/zh_CN.GB2312/books/handbook/eresources/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/eresources/chapter.sgml @@ -1,1772 +1,1792 @@ Internet上的资源 发展迅猛的FreeBSD使得现有的印刷、平面媒体跟不上它的发展进度! 而电子版的也许是最好的,通常是唯一一个可以跟上最新发展方向的。FreeBSD来自于志愿者的成果, 用户社区通常也扮演着是“技术支持部门”的角色。通过电子邮, Web 论坛件和 USENET 新闻组可以很快的找到他们。 以下列出了尽量多的联系FreeBSD用户社区的方式。如果您发现有其他的资源没有被包括在这儿, 请告诉&a.doc;,以便将它们加入到这里。 邮件列表 邮件列表通常是提问或是发起有关 FreeBSD 某一方面的专项技术讨论最直接的途径。 有多种针对于不同 FreeBSD 话题的邮件列表。 把你的问题发送到最合适的邮件列表通常能获得更加快速准确的回复。 本文的最后给出了各个不同的邮件列表的使用规则。 在订阅其中任何一个列表之前,请先阅读使用条文。 现在订阅这些邮件列表的人每天都会收到上百封关于FreeBSD的信件。 设立列表的使用条文有助于维护讨论质量。否则这些讨论计划的列表将失去其意义。 如果你想要尝试发送一封邮件到 &os; 邮件列表,你可以把邮件发往 &a.test.name;。 请不要往其他的列表发送测试邮件。 如果不知道哪个邮件列表适合于发送您的问题, 请参见 如何从 FreeBSD-questions 邮件列表中更快地得到答案 在列表中发送任何问题之前, 请首先学习使用邮件列表的最佳方式, 例如如何通过阅读 邮件列表常见问题回答集 (FAQ) 文档, 来避免经常重复的讨论。 全部的邮件列表记录都可以在FreeBSD World Wide Web服务器上找到。此服务器提供了很棒的关键词搜寻功能,可让您找到FAQ的解答。 而在邮件列表上提问之前,请先搜寻是否已有答案。 请注意这意味着所有发往 FreeBSD 邮件列表的消息都会被永久归档保存。 当涉及到隐私保护的话, 可以考虑使用一个可使用后丢弃的电子邮件地址并只发送公开的信息。 列表摘要 一般性的列表: 以下的列表都是一般性的, 而且可以自由地加入,鼓励大家加入他们: 目录 用途 &a.advocacy.name; FreeBSD鼓吹者 &a.announce.name; 重要的事件和里程碑 &a.arch.name; 架构和设计的讨论 &a.bugbusters.name; 与FreeBSD问题报告数据库和有关工具维护相关的讨论 &a.bugs.name; 报告FreeBSD的Bug &a.chat.name; 和技术无关的FreeBSD讨论区 &a.current.name; 讨论使用 &os.current; 有关的一些问题 &a.isp.name; ISP使用FreeBSD的讨论 &a.jobs.name; 与FreeBSD有关的工作机会 &a.policy.name; FreeBSD核心团队方针讨论。低流量并且只读的 &a.questions.name; 用户问题和技术支持 &a.security-notifications.name; 安全通知 &a.stable.name; 讨论使用 &os.stable; 有关的一些问题 &a.test.name; 在真正发送一个邮件到邮件列表之前可以先发送到这里测试 技术性的邮件列表: 以下的邮件列表是用来讨论技术性问题的。 在加入订阅及讨论之前请务必认真阅读每个列表主题,因为他们讨论的内容都是严格地被限制着的。 目录 用途 &a.acpi.name; ACPI 和电源管理的开发 &a.afs.name; 将 AFS 移植到 FreeBSD &a.aic7xxx.name; 为 &adaptec; AIC 7xxx 开发驱动 &a.alpha.name; 将 FreeBSD 移植到 Alpha 工作站 &a.amd64.name; 将 FreeBSD 移植到 AMD64 系统 &a.apache.name; 关于与 Apache 有关的 ports 的讨论 &a.arm.name; 将 FreeBSD 移植到 &arm; 处理器 &a.atm.name; 在 FreeBSD 上使用 ATM 网络 &a.audit.name; 源代码审核 &a.binup.name; 二进制更新系统的设计和开发 &a.bluetooth.name; 在 FreeBSD 上使用 &bluetooth; 技术 &a.cluster.name; 在集群环境中使用 FreeBSD &a.cvsweb.name; CVSweb 维护 &a.database.name; 讨论 FreeBSD 下开发和使用数据库 &a.doc.name; 创建 FreeBSD 相关文档 &a.drivers.name; 为 &os; 撰写驱动 &a.eclipse.name; &os; 上的 Eclipse IDE、工具、 富客户应用, 以及 ports 的用户讨论。 &a.embedded.name; 在嵌入式应用中使用 FreeBSD &a.eol.name; 关于与 FreeBSD 有关, 但已不再为 FreeBSD Project 所维护的软件的互助支持。 &a.emulation.name; 在 FreeBSD 上模拟其它系统, 如 Linux/&ms-dos;/&windows; &a.firewire.name; FreeBSD 的 &firewire; (iLink, IEEE 1394) 技术讨论 &a.fs.name; 文件系统 &a.geom.name; 针对 GEOM 的讨论和实现 &a.gnome.name; 移植 GNOMEGNOME应用程序 &a.hackers.name; 一般性的技术讨论 &a.hardware.name; 一般性的支持 FreeBSD 的硬件的讨论 &a.i18n.name; FreeBSD 的国际化 &a.ia32.name; 在 IA-32 (&intel; x86) 平台上运行 FreeBSD &a.ia64.name; 将 FreeBSD 移植到 &intel; 即将推出的 IA64 系统 &a.ipfw.name; 关于 IP 防火墙代码再设计的技术性讨论 &a.isdn.name; ISDN开发人员 &a.jail.name; 关于 &man.jail.8; 机制的讨论 &a.java.name; &java; 开发人员以及移植 &jdk;s 到 FreeBSD 的人们 &a.kde.name; 移植 KDEKDE 应用程序 &a.lfs.name; 移植 LFS 到FreeBSD上 &a.libh.name; 第二代的安装和 package 系统 &a.mips.name; 移植 FreeBSD 到 &mips; &a.mobile.name; 关于便携式计算机的讨论 + + &a.mono.name; + FreeBSD 上的 Mono 和 C# 应用 + + &a.mozilla.name; 移植 Mozilla 到 FreeBSD 上 &a.multimedia.name; 多媒体应用程序 &a.newbus.name; 技术讨论关于总线架构 &a.net.name; 网络子系统和 TCP/IP 源代码的讨论 &a.openoffice.name; 移植 OpenOffice.org&staroffice; 到 FreeBSD 上 &a.performance.name; 高性能、负载下安装后的性能调整问题 &a.perl.name; 许多与 perl 相关的 ports 的维护 &a.pf.name; 关于 packet filter 防火墙系统的讨论 &a.platforms.name; 关于向非 &intel; 架构的平台上移植的讨论 &a.ports.name; 关于 Ports Collection 的讨论 &a.ports-bugs.name; ports bugs/PRs讨论 &a.ppc.name; 移植 FreeBSD 到 &powerpc; &a.proliant.name; 关于 FreeBSD 在 HP ProLiant 服务器平台上的技术讨论 &a.python.name; FreeBSD 专属的 Python 问题 &a.qa.name; 质量保证(QA)讨论, 通常在未发布之前 &a.rc.name; 关于 rc.d 系统及其开发的讨论 &a.realtime.name; FreeBSD 实时扩展的开发 &a.ruby.name; 关于 FreeBSD 上 Ruby 的讨论 &a.scsi.name; SCSI 子系统 &a.security.name; 系统安全 &a.small.name; 在嵌入式系统上使用 FreeBSD (已过时; 请使用 &a.embedded.name; 代替) &a.smp.name; 有关对称多处理器的设计讨论 &a.sparc.name; 移植 FreeBSD 到 &sparc; 系统 &a.standards.name; 让 FreeBSD 顺应 C99 以及 &posix; 标准 &a.sun4v.name; 将 FreeBSD 移植到基于 &ultrasparc; T1 的系统上 &a.threads.name; 线程 &a.testing.name; FreeBSD 性能和稳定性测试 &a.tokenring.name; 在 FreeBSD 中支持 Token Ring &a.usb.name; 关于 &os; 的 USB 支持的讨论 &a.virtualization.name; 讨论各种 &os; 支持的虚拟化技术 &a.vuxml.name; 关于 VuXML 的问题讨论 &a.x11.name; 维护和支持在 FreeBSD 上运行的 X11 &a.xen.name; 讨论 &os; &xen; 上的移植 — 实现和使用 限制订阅的列表: 以下的列表是针对某些特定的读者而设的, 而且并不适合被当成是一般公开讨论区。您最好在某一技术讨论区参与讨论后再选择订阅这些 限制订阅的邮件列表,因为这样您可以了解到在这些讨论区发言所需要的礼仪。 目录 用途 &a.hubs.name; 运行镜象站点的成员(支持基本服务) &a.usergroups.name; 用户组调整 &a.vendors.name; 商家在发布之前的调整 &a.wip-status.name; FreeBSD 项目进度状态 &a.www.name; www.FreeBSD.org的维护 分类列表: 所有以上的列表在一个分类格式里面是可利用的。 一旦订阅了一个列表,您可以在您的账号选项里面设置您的分类选项。 CVS 和 SVN 列表: 以下的邮件是给对FreeBSD源代码的变更记录有兴趣的人看的, 而且它们是只读的邮件列表,您不能发Email给他们。 列表 源位置 描述 &a.cvsall.name; /usr/(CVSROOT|doc|ports) 所有对源代码的改变纪录 (其他 CVS commit 列表的超集) &a.cvs-doc.name; /usr/(doc|www) 所有对 doc 和 www 源代码的改变记录 &a.cvs-ports.name; /usr/ports 所有对 ports 源代码的改变记录 &a.cvs-projects.name; /usr/projects 所有对 projects 源代码的改变记录 &a.cvs-src.name; /usr/src 所有对 src 源代码的改变记录 (由 svn-to-cvs 提交导入程序生成) &a.svn-src-all.name; /usr/src 所有对 Subversion 仓库的改变记录 (除了 userprojects) &a.svn-src-head.name; /usr/src 所有对 Subversion 仓库 head 分支的改变记录 (&os;-CURRENT 分支) &a.svn-src-projects.name; /usr/projects 所有对 Subversion 源码仓库中有关 projects 部分的改变记录 &a.svn-src-release.name; /usr/src 所有对 Subversion 源码仓库中有关 releases 部分的改变记录 &a.svn-src-releng.name; /usr/src 所有对 Subversion 源码仓库中有关 releng 部分的改变记录 (security / release engineering 分支) &a.svn-src-stable.name; /usr/src 所有对 Subversion 源码仓库中有关 stable 分支的改变记录 &a.svn-src-stable-6.name; /usr/src 所有对 Subversion 源码仓库中有关 stable/6 分支的改变记录 &a.svn-src-stable-7.name; /usr/src 所有对 Subversion 源码仓库中有关 stable/7 分支的改变记录 &a.svn-src-stable-other.name; /usr/src 所有对 Subversion 源码仓库中早期 stable 分支的改变记录 &a.svn-src-svnadmin.name; /usr/src 所有对 Subversion 源码仓库中管理用脚本, hook 和其他配置数据的改变记录 &a.svn-src-user.name; /usr/src 所有对 Subversion 源码仓库中有关 user 部分的改变记录 &a.svn-src-vendor.name; /usr/src 所有对 Subversion 源码仓库中有关 vender 部分的改变记录 如何订阅 订阅一个列表,点击上面的列表名字或到 &a.mailman.lists.link; 并点击进入您感兴趣的列表,这个列表的页面包含了所必需的订阅操作指南。 其实您只需发送邮件到 列表名@FreeBSD.org。 它将被再次转发到全世界的这个邮件列表的成员。 点击上面的 URL,在列表的底部可以从订阅的列表中退出。 也可以发送一个电子邮件到 列表名-unsubscribe@FreeBSD.org 来退订。 此外,我们要求您必须保持在技术性的邮件列表中只是讨论技术。 如果您只是对一些重要的公告感兴趣,建议您加入 &a.announce;, 它的通信量比较低。 列表规章 所有 FreeBSD 的邮件列表都有同样的基本规则, 所有人必须按照规则来做。 违反这些规则时, FreeBSD Postmaster postmaster@FreeBSD.org 会在前两次发送警告, 如果第三次违反, FreeBSD Postmaster 将从所有 FreeBSD 的邮件列表中删除这样的人, 并过滤来自发信人之后的所有邮件。 我们很遗憾必须要遵守这样的规则, 但今天的互联网是一个很混乱的环境, 它上面的很多约束机制, 都相当脆弱。 具体规则: 任何发表的主题都应当附合基本的列表概况。例如,如果列表是有关技术问题的, 那您发表的文章包含技术讨论。不要把不相关的讨论放在一起。 对于没有主题的自由形式的讨论,可以使用 FreeBSD-chat freebsd-chat@FreeBSD.org 不要将同一个问题发送到超过两个的邮件列表上,当有一个清晰和明显的必须要 发表到两个列表的要求时,也只能是两个。对于大多数的列表,已经有相当多的订户了, 除了一些比较深奥的问题(如-stable & -scsi) ,没有必要同时将一个问题发到多个列表上。 如果一个信息以这种方式(多个邮件列表在Cc行出现)被发送给您, 那Cc行在把它再发送出去之前也将被整理。 无论谁是最初发表者,都会导致您自己的交叉发送。 不容许进行人身攻击和亵渎(在前后的争论中),包括用户和开发人员。 应当遵守最起码的网络礼节,象需要征得同意才可以引用或张贴私人邮件等。 然而,也有非常少的情况下,这样的内容会符合列表规章, 因此,它会在最初给予警告(或禁止)。 严格的禁止非FreeBSD相关产品或服务的广告,一旦发现将马上取缔。 单独的列表规章: &a.acpi.name; ACPI和电源管理开发 &a.afs.name; Andrew文件系统 这个列表是用来讨论porting和从CMU/Transarc使用AFS。 &a.announce.name; 重要事件/里程碑 这是一个发布FreeBSD重大事件的邮件列表。这包括有关snapshots和其他版本的公告, 新的FreeBSD的性能的公告,还可以用于指派志愿者等等。这个列表比较小。 &a.arch.name; 架构和设计讨论 这个列表是讨论FreeBSD的架构。本质上应保证内容的纯技术性。例如主题是: 如何重新创建系统使其同时有几个自己构造的系统运行。 需要什么才能修复VFS来使Heidemann层工作。 我们怎么改变设备驱动程序接口以便能够在多种总线和体系结构上使用同样的驱动程序。 如何写一个网络驱动。 &a.audit.name; 源代码审核计划 这个是针对FreeBSD源代码审核计划的邮件列表, 虽然这最初是针对安全方面代码修正的讨论,现在它已经扩展到任何代码修正的讨论。 这个列表涉及补丁方面的问题比较多,可能普通的FreeBSD用户对此不感兴趣。 不与一个特定的代码修正相关的安全讨论将放在freebsd-security中。相反的, 所有的开发人员都被鼓励把他们的补丁发到这儿来, 特别是如果他们发现有一个错误可能会影响系统的完整性时。 &a.binup.name; FreeBSD二进制升级计划 这个列表主要是讨论二进制升级binup系统。 设计问题,执行细节,补丁,错误报告,状态报告,特性要求, 提交日志,和所有其他与 binup相关的东西都可以。 &a.bluetooth.name; FreeBSD 上的 &bluetooth; 这是一个 FreeBSD 的 &bluetooth; 用户聚集的讨论区。 这里欢迎关于设计问题、 实现细节、 补丁、 问题报告、 开发进度报告, 功能需求以及其他与 &bluetooth; 相关的讨论。 &a.bugbusters.name; 同等问题报告处理结果 这个列表的目的是作为一个调整和讨论论坛来服务于Bug列表的成员,Bugbuster列表成员 和其他任何的对PR数据库真正的有兴趣的成员。这个列表不是为了讨论关于Bug细节,补丁或PRs。 &a.bugs.name; Bug报告 这是一个报告FreeBSD的Bug的邮件列表。可以随时通过 &man.send-pr.1; 命令或WEB页面来提交Bug。 &a.chat.name; 与FreeBSD社区相关的非技术性项目 这个列表超出了其他有关非技术、社会信息的内容。 包括谈论Jordan看起来是否像一个机敏的侦探,是否句首的字母要大写, 谁喝了很多咖啡, 哪儿的啤酒酿造的最好,谁在他们的地下室里酿造了啤酒等等。对于偶然宣布重大的事件 (例如:将要举行的聚会,婚礼,生日,新工作等等)也能使用这种技术列表,除上述列举之外 任何事情都可以发布在-chat列表上。 &a.core.name; FreeBSD核心团队 这是一个只供核心成员内部使用的邮件列表,只有当一个与FreeBSD相关的严重的事情需要裁决或严格审核时, 才能发送消息到这个邮件列表。 &a.current.name; 关于使用&os.current;版的讨论 这是一个针对&os.current;用户的邮件列表。 它包括一些可能影响用户的新特性的警告,使用FreeBSD-current的一些指导。 任何运行CURRENT的人必须同意这个列表,这是一个纯技术的邮件列表。 &a.cvsweb.name; FreeBSD CVSweb计划 关于FreeBSD-CVSweb的使用,开发和维护的技术性讨论。 &a.doc.name; 文档计划 这个邮件列表是与FreeBSD创建的文档的出版和计划的讨论。 这个邮件列表的成员都会提交到The FreeBSD Documentation Project。 它是一个开放的列表,可以自由地加入和做贡献! &a.drivers.name; 为 &os; 撰写设备驱动 这是关于 &os; 上的设备驱动的技术论坛。 它主要供编写设备驱动的开发人员提出关于如何使用 &os; 内核提供的 API 来编写设备驱动程序的问题。 &a.eclipse.name; &os; 上的 Eclipse IDE、工具、 富客户应用, 以及 ports 的用户讨论。 这个邮件列表的目的, 是为在 &os; 平台上选择、 安装、 使用、 开发和维护 Eclipse IDE、 工具、 富客户应用的用户, 提供互助式支持, 以及为将 Eclipse IDE 和插件移植到 &os; 环境中提供帮助。 另一个目的是建立一个在 Eclipse 社区和 &os; 社区之间的交流管道, 以达到互惠互利。 尽管这个列表主要关注的是 Eclipse 用户的诉求, 它也为使用 Eclipse 框架开发 &os; 专用的应用提供了论坛。 &a.embedded.name; 在嵌入式应用中使用 FreeBSD 这个列表讨论关于在嵌入式系统中如何使用 FreeBSD 的话题。 这是一个技术性的邮件列表, 其主要内容是技术讨论。 针对这一邮件列表, 我们将嵌入式系统定义为那些不作为桌面系统、 只完成某些单一任务的计算设备。 这些实例包括路由器交换机和 PBX 这样的网络设备、 远程测量设备、 PDA、 PoS 系统,等等。 &a.emulation.name; 模拟其他系统, 例如 Linux/&ms-dos;/&windows; 这是一个讨论关于如何在 &os; 上运行为其他操作系统所撰写的程序的论坛。 &a.eol.name; 关于与 FreeBSD 有关, 但已不再为 FreeBSD Project 所维护的软件的互助支持。 这个邮件列表主要用于那些有兴趣提供或使用针对已不再为 FreeBSD Project 官方所支持 (例如, 以安全更新或补丁的形式) 的 FreeBSD 相关软件的用户或公司讨论。 &a.firewire.name; &firewire; (iLink, IEEE 1394) 这个邮件列表是关于FreeBSD子系统&firewire; (aka IEEE 1394 aka iLink)的设计和执行。相关特定的主题包括标准,总线设计和他们的协议, 适配器板/卡/芯片设置,及他们的正确的代码的结构和实施。 &a.fs.name; 文件系统 关于FreeBSD文件系统的讨论。这是一个纯技术的邮件列表。 &a.geom.name; GEOM 针对GEOM和相关执行的讨论。这是一个纯技术的邮件列表。 &a.gnome.name; GNOME 讨论关于在FreeBSD系统上的GNOME桌面环境 这是一个纯技术的邮件列表。 &a.ipfw.name; IP防火墙 这是关于在FreeBSD里重新设计IP防火墙代码的技术讨论论坛。 &a.ia64.name; 移植FreeBSD到IA64 这是一个有关将FreeBSD移植到&intel; IA64架构上的技术讨论列表, 讨论一些相关的问题与解决方案。也欢迎对这些问题感兴趣的个别讨论者。 &a.isdn.name; ISDN通信 这是一个FreeBSD支持的ISDN系统开发的邮件列表。 &a.java.name; &java;开发 这是一个讨论&java; 应用开发和 &jdk;s的porting与维护的邮件列表。 &a.jobs.name; 工作的提供和寻找 这个论坛是针对与 &os; 相关的雇佣信息和个人简历, 比如: 如果您想找一个与 &os; 相关的工作或有一个工作需要 &os; 这是一个让您来广告的好地方。 这 是对一般性雇佣问题的邮件列表, 对这个问题已经有了足够多的论坛。 注意这个列表,像其他的 FreeBSD.org 邮件列表一样是会分发给全世界的订阅者的。 因此,您需要明白关于位置和地域问题,确定之间是容易联系和可合作的。 Email最好应该使用 —纯文本格式,不过基本的PDF,HTML和 很少其他的能被更多读者接受的格式也是可以的。µsoft; Word (.doc) 格式是被邮件列表服务器拒绝的。 &a.kde.name; KDE 讨论关于在FreeBSD系统上使用KDE。 这是一个纯技术的邮件列表。 &a.hackers.name; 技术讨论 这是一个与FreeBSD相关的技术讨论论坛,是一个主要的技术性邮件列表。 他是针对个别的工作在FreeBSD上的人来提出问题或讨论相关的解决方案, 也欢迎对这些问题感兴趣的个别的讨论者。这是一个纯技术的邮件列表。 &a.hardware.name; FreeBSD硬件的普通讨论 有关FreeBSD运行的硬件类型的普通讨论,包括是否该买的一些问题和建议。 &a.hubs.name; 镜象站点 人们运行FreeBSD的镜象站点的公告和讨论。 &a.isp.name; ISP供应商问题 这是一个讨论使用FreeBSD的ISP供应商的邮件列表。这是一个纯技术的邮件列表。 + + &a.mono.name; + + + FreeBSD 上的 + Mono 和 C# 应用 + + 这是一个讨论 &os; 上的 Mono + 开发框架的邮件列表。 这是一个纯技术的邮件列表。 + 它是为将 Mono 或 C# 应用移植到 &os;, + 以及提出问题及讨论其他解决方案的人准备的。 + 此外, 也欢迎有兴趣参与讨论的其他人。 + + + &a.openoffice.name; OpenOffice.org 关于OpenOffice.org&staroffice;. 的移植和维护。 &a.performance.name; 讨论关于调整及高速运行FreeBSD 这个邮件列表提供了一个为黑客,管理员和有关的团体去讨论与FreeBSD性能相关的主题的空间。 可以在这里进行讨论的包括在任意高负载下,体验版下或者是有限制的条件下安装FreeBSD。 非常鼓励自愿地为了改进FreeBSD性能的相关团体去订阅这个列表。 这是个高技术含量的列表理论上说适合有丰富经验的FreeBSD用户,黑客,或对FreeBSD的速度、性能 、升级感兴趣的管理员。这不是一个问答式的列表,关于这些应该去读相关文档,但他是 一个可以投稿的地方,或者了解关于待解决的与性能相关的主题。 &a.pf.name; 关于 packet filter 防火墙系统的问题和讨论 关于 FreeBSD 环境下 packet filter (pf) 防火墙系统的讨论。 这里欢迎技术讨论, 以及一般的应用问题。 此外, 这里也是讨论 ALTQ QoS 框架的合适场所。 &a.platforms.name; 移植到非 &intel; 平台上 跨平台的 FreeBSD 问题, 关于非 &intel; FreeBSD 移植版本的讨论和提议。 这是一个纯技术性的邮件列表, 其讨论内容严格限制为技术。 &a.policy.name; 核心团队策略的决定 这是一个很小的只读的有关核心团队策略决定的邮件列表。 &a.ports.name; ports的讨论 关于FreeBSD的ports collection (/usr/ports)的讨论, ports的基础构造和调整过的ports结构。这是一个纯技术的邮件列表。 &a.ports-bugs.name; ports bugs的讨论 讨论关于FreeBSD的ports collection (/usr/ports),问题报告 ports建议,或者ports的修正。这是一个纯技术的邮件列表。 &a.proliant.name; 关于 FreeBSD 在 HP ProLiant 服务器平台上的技术讨论 这个邮件列表用来讨论在 HP ProLiant 服务器上使用 FreeBSD, 包括讨论 ProLiant 专用的驱动、 管理软件、 配置工具, 以及 BIOS 更新等。 同样地, 这里也是讨论 hpasmd、 hpasmcli, 以及 hpacucli 模块的主要场所。 &a.python.name; FreeBSD 上的 Python 这是一个讨论关于如何在 FreeBSD 上改善 Python 支持的邮件列表。 这是一个纯技术的邮件列表。 它是为那些移植 Python、 其第三方模块, 以及 Zope 相关软件到 FreeBSD 上的人准备的。 这里也欢迎参与技术讨论的人。 &a.questions.name; 用户问题 这是一个有关FreeBSD问题的邮件列表。您不应当发送how to 问题给技术列表,除非您认为这个问题是非常可爱的技术问题。 &a.ruby.name; 有关 FreeBSD 上 Ruby 的讨论 这是一个讨论关于 Ruby 在 FreeBSD 上支持的邮件列表。 这是一个纯技术的邮件列表。它是为那些移植 Ruby、第三方库以及 各种 framework 准备的。 这里也欢迎参与技术讨论的人。 &a.scsi.name; SCSI子系统 这是一个讨论FreeBSD的SCSI子系统的邮件列表。这是一个纯技术的列表。 &a.security.name; 安全问题 FreeBSD的计算机安全问题(DES,Kerberos,已知的安全漏洞和修复等)。 这是一个纯技术的邮件列表。注意:这不是一个问和答的列表,但是同时给出 问题和答案到FAQ是欢迎的。 &a.security-notifications.name; 安全通知 FreeBSD安全问题和修复的通知。这不是一个讨论列表,讨论的列表应当是FreeBSD-security &a.small.name; 在嵌入式应用程序中使用FreeBSD 这个列表讨论了与极小的和嵌入的FreeBSD安装的讨论主题。 这是一个纯技术的列表。 这一列表已被 &a.embedded.name; 代替。 &a.stable.name; 讨论关于&os.stable;版的使用 这是一个&os.stable;用户的邮件列表。它包括-STABLE的新特性可能会影响用户的警告。 任何运行STABLE的人应当经常关注这个列表。这是一个纯技术的列表。 &a.standards.name; C99 & POSIX一致 这是关于FreeBSD顺应C99和POSIX标准的技术讨论论坛。 &a.usb.name; 讨论 &os; 的 USB 支持 这个邮件列表是关于 &os; 上的 USB 支持的技术性讨论。 &a.usergroups.name; 用户组调整列表 这个邮件列表为协调从各地的使用群体到彼此相互讨论问题和 从核心团队中指定个人。这个邮件列表应被限制到大纲和协调用户组 计划的范围之内。 &a.vendors.name; 商家 讨论FreeBSD计划和FreeBSD软硬件商家的协调。 &a.virtualization.name; 讨论各种 &os; 支持的虚拟化技术 讨论 &os; 所支持的各种虚拟化技术的邮件列表。 在注重实现基本功能,加入新特性的同时, 也为用户提供了一个寻求帮助和讨论他们的使用经验的场所。 &a.wip-status.name; &os; 项目进度状态 这个邮件列表是用来发布 &os; 相关项目的创建和工作进度的。 发至这个列表的消息将会先被审核。通常建议把消息用 "To:" 发给一个更典型的 &os; 列表,而只仅仅 "BCC:" 给这个列表。 这样你的工作进度就能在典型的列表上讨论, 因为这个列表是不允许讨论问题的。 查看一下归档中合适的消息作为例子。 可能每隔几个月, 会从这个列表中的消息中提取出一个评论性的消息摘要发到 &os; 网站做为状态报告的一部分 。 你也能从那里找到更多的例子和以往的报告。 &a.xen.name; 讨论 &os; 有关 &xen; 上的移植 — 实现和使用 这个邮件列表集中讨论 &os; 的 &xen; 移植。 预期的流量会很小,所以这个列表旨在同时为 设计与实现细节的技术讨论和管理部属问题 提供一个讨论的场所。 过滤邮件列表 &os;邮件列表是使用了多种过滤方法去消除垃圾邮件、病毒和其他没用的电子邮件。 这部分所描述的并不包括所有常用的保护邮件列表的消除方法。 邮件列表只包含一些允许的附件类型。所有在列表中有MIME类型的附件的电子邮件在 邮件列表中被转发之前将被过滤掉。 application/octet-stream application/pdf application/pgp-signature application/x-pkcs7-signature message/rfc822 multipart/alternative multipart/related multipart/signed text/html text/plain text/x-diff text/x-patch 一些邮件列表可以允许附件为其他MIME类型,但是以上列出的 应该被多数的邮件列表所采用。 如果一个电子邮件包含HTML和纯文本形式,HTML的形式将被删除。 如果一个电子邮件内容只是HTML形式,他将被转换为纯文本格式。 Usenet新闻组 除了FreeBSD两个特殊的新闻组,还有很多讨论FreeBSD或与FreeBSD用户相关的其他讨论组。 一些新闻组的关键词搜索档案是可以使用的, 有什么问题可以与Warren Toomey wkt@cs.adfa.edu.au联系。 BSD特殊的新闻组 comp.unix.bsd.freebsd.announce comp.unix.bsd.freebsd.misc de.comp.os.unix.bsd (德语) fr.comp.os.bsd (法语) it.comp.os.freebsd (意大利语) tw.bbs.comp.386bsd (繁体中文) Internet上其他的&unix;新闻组 comp.unix comp.unix.questions comp.unix.admin comp.unix.programmer comp.unix.shell comp.unix.user-friendly comp.security.unix comp.sources.unix comp.unix.advocacy comp.unix.misc comp.bugs.4bsd comp.bugs.4bsd.ucb-fixes comp.unix.bsd X Window系统 comp.windows.x.i386unix comp.windows.x comp.windows.x.apps comp.windows.x.announce comp.windows.x.intrinsics comp.windows.x.motif comp.windows.x.pex comp.emulators.ms-windows.wine World Wide Web服务器 论坛, 部落格, 社会性网络 The FreeBSD Forums 提供了一个基于 web 的论坛用以讨论 FreeBSD 相关问题与技术。 Planet FreeBSD 提供了众多由 FreeBSD 开发者部落格摘要的集合。 很多的开发者都在上面发表有关他们工作简要的笔记, 新的补丁和工作进度。 The BSDConferences YouTube Channel 提供了一组世界各地 BSD 峰会的高质量视频。 这个是一个不错的观看重要开发者展示最新 FreeBSD 有关成果的方法。 Official Mirrors &chap.eresources.www.inc; Email地址 下面的用户组提供了与FreeBSD相关的邮件地址。如果他被滥用的话, 这个列表的管理员有收回的权利。 工具 用户组 管理员 ukug.uk.FreeBSD.org Forwarding only ukfreebsd@uk.FreeBSD.org Lee Johnston lee@uk.FreeBSD.org diff --git a/zh_CN.GB2312/books/handbook/introduction/chapter.sgml b/zh_CN.GB2312/books/handbook/introduction/chapter.sgml index 5982913295..d66788ccb0 100644 --- a/zh_CN.GB2312/books/handbook/introduction/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/introduction/chapter.sgml @@ -1,924 +1,921 @@ Jim Mock Restructured, reorganized, and parts rewritten by 介绍 概述 非常感谢您对 &os; 感兴趣! 下面的章节涵盖了 &os; 项目的各个方面, 比如它的历史、目标、开发模式,等等。 阅读完这章,您将了解: &os; 与其它计算机操作系统的关系。 &os; 项目的历史。 &os; 项目的目标。 &os; 开放源代码开发模式的基础。 当然还有:&os; 这个名称的由来。 欢迎来到 &os; 的世界! 4.4BSD-Lite &os; 是一个支持 Intel (x86 和 &itanium;),AMD64,Alpha,Sun &ultrasparc; 计算机的基于 4.4BSD-Lite 的操作系统。 到其他体系结构的移植也在进行中。 您也可以阅读 &os; 的历史, 或者最新的发行版本。 如果您有意捐助(代码, 硬件,基金),请看为 &os; 提供帮助这篇文章。 &os; 能做些什么? &os; 有许多非凡的特性。其中一些是: 抢占式多任务 抢占式多任务与动态优先级调整确保在应用程序和用户之间平滑公正的分享计算机资源, 即使工作在最大的负载之下。 多用户设备 多用户设备 使得许多用户能够同时使用同一 &os; 系统做各种事情。 比如, 像打印机和磁带驱动器这样的系统外设, 可以完全地在系统或者网络上的所有用户之间共享, 可以对用户或者用户组进行个别的资源限制, 以保护临界系统资源不被滥用。 TCP/IP 网络 符合业界标准的强大 TCP/IP 网络 支持, 例如 SCTP、 DHCP、 NFS、 NIS、 PPP, SLIP, IPsec 以及 IPv6。 这意味着您的 &os; 主机可以很容易地和其他系统互联, 也可以作为企业的服务器,提供重要的功能, 比如 NFS(远程文件访问)以及 email 服务, 或将您的组织接入 Internet 并提供 WWW,FTP,路由和防火墙(安全)服务。 内存保护 内存保护确保应用程序(或者用户)不会相互干扰。 一个应用程序崩溃不会以任何方式影响其他程序。 &os; 是一个 32 位操作系统 (在 Alpha,&itanium;,AMD64,和 &ultrasparc; 上是64 位), 并且从开始就是如此设计的。 X Window 系统 XFree86 业界标准的 X Window 系统 (X11R7)为便宜的常见 VGA 显示卡和监视器提供了一个图形化的用户界面(GUI), 并且完全开放代码。 二进制代码兼容性 Linux 二进制代码兼容性 SCO 二进制代码兼容性 SVR4 二进制代码兼容性 BSD/OS 二进制代码兼容性 NetBSD 和许多 Linux,SCO,SVR4,BSDI 和 NetBSD 程序的二进制代码兼容性 数以千计的 ready-to-run 应用程序可以从 &os; portspackages 套件中找到。 您可以顺利地从这里找到, 何须搜索网络? 可以在 Internet 上找到成千上万其它 easy-to-port 的应用程序。 &os; 和大多数流行的商业 &unix; 代码级兼容, 因此大多数应用程序不需要或者只要很少的改动就可以编译。 虚拟内存 页式请求虚拟内存集成的 VM/buffer 缓存设计有效地满足了应用程序巨大的内存需求并依然保持其他用户的交互式响应。 对称多处理器(SMP) SMP 提供对多处理器的支持。 编译器 C 编译器 C++ 编译器 FORTRAN 内建了完整的 CC++Fortran 开发工具。 许多附加的用于高级研究和开发的程序语言, 也可以在通过 ports 和 packages 套件获得。 源代码 完整的系统源代码意味着您对您环境的最大程度的控制。 当您拥有了一个真正的开放系统时, 为什么还要受困于私有的解决方案, 任商业公司摆布呢? 丰富的在线文档 不仅如此! 4.4BSD-Lite 计算机系统研究组(CSRG) U.C. Berkeley &os; 基于加州大学伯克利分校计算机系统研究组 (CSRG) 发布的 4.4BSD-Lite, 继承了 BSD 系统开发的优良传统。 除了 CSRG 优秀的工作之外, &os; 项目花费了非常多的时间来优化调整系统, 使其在真实负载情况下拥有最好的性能和可靠性。 在现今, 许多商业巨人正为给 PC 操作系统增加新功能、 提升和改善其可靠性, 以便在其上展开激烈竞争的同时, &os; 现在 已经能够提供所有这一切了! &os; 可以提供的应用事实上仅局限于您的想象力。 从软件开发到工厂自动化,从存货控制到遥远的人造卫星天线方位控制, 如果商业的 &unix; 产品可以做到, 那么就非常有可能您也可以用 &os; 来做! &os; 也极大地受益于全世界的研究中心和大学开发的数以千计的高质量的应用程序, 这些程序通常只需要很少的花费甚至免费。 可用的商业应用程序, 每天也都在大量地增加。 因为 &os; 自身的源代码是完全公开的, 所以对于特定的应用程序或项目,可以对系统进行最大限度的定制。 这对于大多数主流的商业生产商的操作系统来说几乎是不可能的。 以下是当前人们应用 &os; 的某些程序的例子: Internet 服务: &os; 内建的强大的 TCP/IP 网络使它得以成为各种 Internet 服务的理想平台, 比如: FTP 服务器 FTP 服务器 web 服务器 World Wide Web 服务器(标准的或者安全的 [SSL]) IPv4 and IPv6 路由 防火墙 NAT 防火墙和 NAT(IP 伪装) 网关 电子邮件 email email 电子邮件服务器 USENET USENET 新闻组和电子布告栏系统 还有许多... 使用 &os;, 您可以容易地从便宜的 386 类 PC 起步,并随着您的企业成长,一路升级到带有 RAID 存储的四路 Xeon 服务器。 教育: 您是一名计算机科学或者相关工程领域的学生吗? 学习操作系统,计算机体系结构和网络没有比在 &os; 可提供的体验下动手实践更好的办法了。许多可自由使用的 CAD、数学和图形设计包也使它对于那些主要兴趣是在计算机上完成 其他工作的人非常有帮助。 研究: 有完整的系统源代码,&os; 对于操作系统研究以及其他计算机科学分支都是一个极好的平台。 &os; 可自由获得的本性, 同样可以使处在不同地方的开发团队在开放的论坛上讨论问题、 交流想法与合作开发成为可能, 且不必担心特别的版权协定或者限制。 路由 DNS 服务器 网络:需要一个新的路由器? 一台域名服务器 (DNS)? 一个隔离您的内部网络的防火墙? &os; 可以容易的把丢弃在角落不用的 386 或者 486 PC 变成一台完善的带包过滤能力的高级路由器。 X Window 系统 XFree86 X Window 系统 Accelerated-X X Window 工作站: &os; 是廉价 X 终端的一种绝佳解决方案, 您可以选择使用免费的 X11 服务器。 与 X 终端不同,如果需要的话 &os; 能够在本地直接运行程序, 因而减少了中央服务器的负担。 &os; 甚至能够在 无盘 环境下启动, 这使得终端更为便宜和易于管理。 GNU Compiler Collection 软件开发: 基本的 &os; 系统带有包括著名的 GNU C/C++ 编译器和调试工具在内的一整套开发工具。 &os; 可以通过 CD-ROM、DVD, 以及匿名 FTP 以源代码和二进制方式获得。请查看 了解获取 &os; 的更多细节。 - + 谁在使用 &os;? 用户 运行 &os; 的大型站点 &os; 被世界上最大的 IT 公司用作设备和产品的平台, 包括: Apple Apple Cisco Cisco Juniper - Juniper + Juniper NetApp NetApp &os; 也被用来支持 Internet 上一些最大的站点, 包括: Yahoo! Yahoo! Yandex Yandex Apache Apache Rambler Rambler - Sina + 新浪网 - Sina + 新浪网 Pair Networks Pair Networks Sony Japan Sony Japan Netcraft Netcraft Weathernews Weathernews TELEHOUSE America TELEHOUSE America 等等许多。 关于 &os; 项目 下面的章节提供了项目的一些背景信息, 包括简要的历史、项目目标、以及项目开发模式。 Jordan Hubbard Contributed by &os; 的简要历史 386BSD Patchkit Hubbard, Jordan Williams, Nate Grimes, Rod FreeBSD 项目 历史 &os; 项目起源于 1993 年早期, 部分作为 Unofficial 386BSD Patchkit 的副产物,patchkit 的最后 3 个协调维护人是:Nate Williams,Rod Grimes 和我。 386BSD 我们最初的目标是做出一份 386BSD 的测试版以修正一些 Patchkit 机制无法解决的错误(bug)。 很多人可能还记得早期的项目名称叫做 386BSD 0.5 或者 386BSD Interim 就是这个原因。 Jolitz, Bill 386BSD 是 Bill Jolitz 的操作系统, 到那时已被严重地忽视了一年之久。 由于 Patchkit 在过去的每一天里都在急剧膨胀, 使得对其进行消化吸收变得越来越困难, 因此我们一致同意应该做些事情并决定通过提供这个临时的 cleanup 版本来帮助 Bill。 然而,Bill 却在事先没有指出这个项目应该如何开展下去的情况下, 突然决定退出这个项目,最终这个计划只好被迫停止。 Greenman, David Walnut Creek CDROM 没过多久, 我们认为即便没有 Bill 的支持, 项目仍有保留的价值, 因此,我们采用了 David Greenman 的意见,给其命名为 &os;。在和当时的几个用户商量后, 我们提出了最初的目标, 而这件事明朗化后, 这个项目就走上了正轨,甚至可能成为现实。 为了拓展 &os; 的发行渠道,我抱着试试看的心态, 联系了光盘商 Walnut Creek CDROM, 以便那些上网不方便的用户得到 &os;。 Walnut Creek CDROM 不仅支持发行 &os; 光盘版的想法, 还为这个计划提供了所需的计算机和高速网络接入。 在那时, 若没有 Walnut Creek CDROM 对一个完全未知的项目的空前信任, &os; 不太可能像它今天这样,影响如此深远, 发展如此快速。 4.3BSD-Lite Net/2 U.C. Berkeley 386BSD Free Software Foundation 第一个 CD-ROM (以及在整个互联网范围内发行的) 发行版本是 &os; 1.0,于 1993 年 10 月发布。这个版本基于 U.C. Berkeley 的 4.3BSD-Lite(Net/2)磁带, 也有许多组件是 386BSD 和自由软件基金会提供的。 对于第一次发行,这算是相当成功了。 在 1994 年 5 月,我们发布了更加成功的 &os; 1.1 版。 Novell U.C. Berkeley Net/2 AT&T - 然而此后不久,发生了一些意外的情况。 - Novell 和 U.C. Berkeley 决定就 Berkeley Net/2 - 磁带的归属权问题打的那场马拉松式的官司达成和解。 - 判决的结果是, - U.C. Berkeley 承认 Net/2 很大一部分代码是 - 侵占来的 - 且这些代码归 Novell 公司所拥有。这些代码是 Novell 不久前从 - AT&T 买来的。 - Berkeley 得到了来自 Novell 的 祝福: - 4.4BSD-Lite 发行后,将不认为是侵权, - 且要求现存的 Net/2 的用户更换新版。 - 这也包括 &os;,我们的项目被要求在 1994 年 6 月底停止发行基于 - Net/2 的产品。在此协议允许的时间内, - 本项目被允许发行最后一版,也就是 &os; 1.1.5.1。 - - 于是 &os; 开始艰苦的从全新的而且不完整的 4.4BSD-Lite - 中重新整合自己。Lite 版本是不完整的, - 因为 Berkeley 的 CSRG 已经删除了大量的构建可启动运行的系统所需要的代码 - (因为各种各样的版权问题),事实上 4.4 的 Intel port 是非常不完整的。 - 直到 1994 年 11 月项目才完成这个转换,这个时候才把 - &os; 2.0 通过网络和 CD-ROM(在 12 月)发布出来。 - 尽管系统很多地方还很粗糙,这个版本还是取得了重大的成功, - 接下来在 1995 年 6 月发布了更强大和容易安装的 &os; 2.0.5 - 版本。 + 在这段时间, 发生了一些意外的情况。 Novell 和 U.C. Berkeley 就 Berkeley Net/2 + 磁带知识产权的马拉松式的官司达成了和解。 和解中的一部分是 U.C. Berkeley + 作出的让步, 令 Net/2 中的一大部分内容成为 受限的 (encumbered) + 和属于 Novell 知识产权的代码, 而后者在不久前刚刚从 + AT&T 收购了这些产权; 作为回报, Berkeley 得到了来自 + Novell 的 许诺, 在 4.4BSD-Lite 版本正式发布时, + 可以声明为不受限的 (unencumbered), 现有的 Net/2 用户则强烈建议转移到这个版本。 + 这包括了 &os;, 而我们的项目则被允许在 + 1994 年 6 月底之前继续发行基于 Net/2 的产品。 + 根据和解协议, 在最后期限之前我们发布了一个最终版本, + 这个版本是 &os; 1.1.5.1。 + + 接下来, &os; 开始了艰苦的从全新的、 不太完整的 4.4BSD-Lite + 重新编写自己的过程。 Lite 版本中, Berkeley 的 + CSRG 删除了用于让系统能够引导的一大部分代码 + (由于各种各样的法律需求), 而当时 4.4 在 Intel + 平台的移植版本还有很多工作没有完成。 直到 1994 年 11 月, + 我们的项目才完成了这项过渡, 并通过网络以及 CD-ROM (在 12 月底) + 上发布了 &os; 2.0。 尽管系统中还有很多比较粗糙的地方, + 这个版本还是取得了巨大的成功, + 并在 1995 年 6 月发布了更强大和易于安装的 &os; 2.0.5 版本。 我们于 1996 年 8 月发布了 &os; 2.1.5 版本, 它在 ISP 和商业团体中非常流行。 随后, 2.1-STABLE 分支的另一个版本应运而生,它就是 &os; 2.1.7.1,在 1997 年 2 月发布并停止了 2.1-STABLE 的主流开发。现在,它处于维护状态, 仅仅提供安全性的增强和其他严重的错误修补的维护(RELENG_2_1_0)。 &os; 2.2 版作为 RELENG_2_2 分支,于 1996 年 11 月从开发主线 (-CURRENT)分出来。 它的第一个完整版(2.2.1)于 1997 年 4 月发布出来。 97 年夏秋之间,顺着 2.2 分支的更进一步的版本在开发。 其最后一版(2.2.8)于 1998 年 11 月发布出来。 第一个官方的 3.0 版本出现在 1998 年 10 月, 意味着 2.2 分支结束的开始。 1999 年 1 月 20 日又出现了新的分支,就是 4.0-CURRENT 和 3.X-STABLE 分支。从 3.X-STABLE 起,3.1 在 1999 年 2 月 15 日发行,3.2 在1999 年 5 月 15 日,3.3 在 1999 年 9 月 16 日,3.4 在 1999 年 12 月 20 日,3.5 在 2000 年 6 月 24 日,接下来几天后发布了很少的修补升级至 3.5.1,加入了对 Kerberos 安全性方面的修补。 这是 3.X 分支最后一个发行版本。 随后在 2000 年 3 月 13 日出现了一个新的分支, 也就是 4.X-STABLE。 这之后发布了许多的发行版本: 4.0-RELEASE 于 2000 年 3月发布, 而最后的 4.11-RELEASE 则是在 2005 年 1 月发布的。 期待已久的 5.0-RELEASE 于 2003 年 1 月 19 日正式发布。 这是将近三年的开发的巅峰之作, 同时也标志了 FreeBSD 在先进的多处理器和应用程序线程支持的巨大成就, 并引入了对于 &ultrasparc; 和 ia64 平台的支持。 之后于 2003 年 6 月发布了 5.1。 最后一个从 -CURRENT 分支的 5.X 版本是 5.2.1-RELEASE, 它在 2004 年 2 月正式发布。 RELENG_5 于 2004 年 8 月正式创建, 紧随其后的是 5.3-RELEASE, 它是 5-STABLE 分支的标志性发行版。 最新的 5.5-RELEASE 是在 &rel2.current.date; 发布的。 RELENG_5 分支不会有后续的发行版了。 其后在 2005 年 7 月又建立了 RELENG_6 分支。 而 6.X 分支上的第一个版本, 即 6.0-RELEASE, 则是在 2005 年 11 月发布的。 最新的 &rel2.current;-RELEASE 发布于 &rel2.current.date;。 - 我们还将继续从 RELENG_6 发布新的版本。 + 这很可能是我们发布的最后一个 RELENG_6 的发行版本。 RELENG_7 分支于 2007 年 10 月创建。 - 这个分支最新的发布版本是 &rel.current.date; - 的 &rel.current;-RELEASE。 RELENG_7 - 分支将会有其他后继发布版本。 + 第一个这个分支的发行版是 7.0-RELEASE, 这个版本是 2008 年 2 月发布的。 + 最新的 &rel.current;-RELEASE 是在 &rel.current.date; 发布的。 + RELENG_7 还将会有其它后续的发布版本。 目前, 中长期的开发项目继续在 8.X-CURRENT (主干, trunk) 分支中进行, 而 8.X 的 CD-ROM (当然, 也包括网络) 快照版本可以在 快照服务器 找到。 Jordan Hubbard Contributed by &os; 项目目标 FreeBSD Project goals &os; 项目的目标是无附加条件地提供能够用于任何目的的软件。 我们中的许多人对代码 (以及项目本身) 都有非常大的投入, 因此当然不介意偶尔有一些资金上的补偿, 但我们并没打算坚决地要求得到这类资助。 我们认为我们的首要 使命 是为任何人提供代码, 不管他们打算用这些代码做什么, 因为这样代码将能够被更广泛地使用, 从而最大限度地发挥其价值。 我认为这是自由软件最基本的, 同时也是为我们所倡导的一个目标。 GNU General Public License (GPL) GNU Lesser General Public License (LGPL) BSD Copyright 我们源代码树中, 以 GNU 公共许可证 (GPL) 或者 GNU 函数库公共许可证 (LGPL) 发布的那些代码带有少许的附加限制, 还好只是强制性的要求开放代码而不是别的。 由于使用 GPL 的软件在商业用途上会增加若干复杂性, 因此,如果可以选择的话, 我们更偏好使用限制相对更宽松的 BSD 版权来发布软件。 Satoshi Asami 撰写者 &os; 开发模式 FreeBSD Project 开发模式 &os; 的开发是一个非常开放且有有伸缩性的过程, 就像从我们的 贡献者列表里看到的,它是完全由来自全世界的数以百计的贡献者发展起来的。 &os; 的开发基础结构允许数以百计的开发者通过互联网协同工作。 我们也经常关注着那些对我们的计划感兴趣的新开发者和新的创意, 那些有兴趣更进一步参与项目的人只需要在 &a.hackers; 联系我们。 &a.announce; 对那些希望了解我们工作所涉及到哪些领域的人也是有用的。 无论是独立地工作或者封闭式的团队工作, 了解 &os; 计划和它的开发过程都是有益的: SVN 和 CVS 代码库 CVS 代码库 并行版本系统 CVS SVN 代码库 Subversion SVN 在过去的几年中 &os; 的中央源代码树是由 CVS (并行版本控制系统)来维护的,CVS 是一个与 &os; 捆绑的可自由获得的源代码控制工具。自 2008 年六月起, 这个项目开始转为使用SVN (Subversion)。 这次转换被认为是非常必要的,因为 CVS 的对于快速扩展源代码树和历史记录的限制越趋明显。现在主源码库使用 SVN,客户端的工具像 CVSupcsup 这些依赖于旧的 CVS 基础结构依然可以使用 — 因为对于 SVN 源码库的修改会被导回进 CVS。 目前只有中央原代码树是由 SVN 控制的。文档,万维网和 Ports 库还仍旧使用着 CVS。 The primary repository resides on a machine in Santa Clara CA, USA 主 CVS 代码库放置在美国加利福尼亚州圣克拉拉的一台机器上, 它被复制到全世界的大量镜像站上。包含 -CURRENT 和 -STABLE 的 SVN 树也同样能非常容易的你的机器上。 请参阅 同步你的源码树 获得更多的相关信息。 committer 列表 committers committer 是那些对 CVS 树有权限的人, 他们被授权修改 &os; 的源代码 (术语 committer 来自于 &man.cvs.1; 的 commit 命令,这个命令用来把新的修改提交给 CVS 代码库)。提交修正的最好方法是使用 &man.send-pr.1; 命令。如果您发现在系统中出现了一些问题的话, 您也可以通过邮件将它们发送至 &a.committers;。 FreeBSD 核心团队 core team 如果把 &os; 项目看作一家公司,那么 &os; 核心团队就相当于董事会。 核心团队的主要任务是提出总体上的发展计划,然后确定一个正确的方向。 邀请那些富有献身精神和可靠的开发者加入到 committer 队伍中来也是核心团队的工作之一, 这些新的成员将作为新核心团队成员和其他人一起继续前进。 当前的核心团队是 2006 年 7 月从 committer 中选举产生的。选举每两年一次。 一些核心团队的成员还负责特定的责任范围, 也就是说他们必须尽力确保某个子系统能工作正常。 &os; 开发者的完整列表和他们的责任范围,请参见 贡献者列表 核心团队的大部分成员加入 &os; 开发的时候都是志愿的, 并没有从项目中获得任何财政上的资助, 所以承诺不应该被理解为支持保证。 前面所述董事会的类推并不十分准确, 或许更好的说法是,他们是一群愿意放弃他们的生活, 投身于 &os; 项目而非选择其个人更好的生活的人! 外围贡献者 contributors 事实上,最大的开发团队正是为我们提供反馈和错误修补的用户自己。 &os; 的非集中式的开发者保持联系的主要方式就是预订 &a.hackers;,很多事情在那里讨论。查看了解众多 &os; 邮件列表的更多信息。 &os; 贡献者列表 很长并在不断增长, 为什么不加入它来为 FreeBSD 做贡献呢? 提供代码不是为这个计划做贡献的唯一方式; 有一个更完整的需要做的事情的列表,可以参见 &os; 项目网站 总的来说,我们的开发模式好像是一组没有拘束的同心圆。 这种集中式的开发模式,主要是考虑到 &os; 用户的方便, 同时让他们能很容易地维护同一份软件, 而不会把潜在的贡献者排除在外! 我们的目标是提供一个包含有大量具有一致性 应用程序的稳定的操作系统, 以利于用户的安装和使用,— 这种模式在完成目标的过程中工作得非常有效。 我们对于那些想要加入,成为 &os; 开发者的期待是: 具有如同当前其他人一样的投入,来确保持续的成功! 最新的 &os; 发行版本 NetBSD OpenBSD 386BSD Free Software Foundation U.C. Berkeley Computer Systems Research Group (CSRG) &os; 是一个免费使用且带有完整源代码的基于 4.4BSD-Lite 的系统, 它广泛运行于 Intel &i386;、&i486;、&pentium;、 &pentium; Pro、 &celeron;、 &pentium; II、 &pentium; III、 &pentium; 4(或者兼容系统)、 &xeon;、DEC Alpha 和 Sun &ultrasparc; 的计算机系统上。 它主要以 加州大学伯克利分校 的 CSRG 研究小组的软件为基础,并加入了 NetBSD、OpenBSD、386BSD 以及来自 自由软件基金会 的一些东西。 自从 1994 年末我们的 &os; 2.0 发行以来, &os; 的性能,可定制性,稳定性都有了令人注目的提高。 最大的变化是通过整合虚拟内存/文件系统中的高速缓存改进的虚拟内存系统, 它不仅提升了性能,而且减少了 &os; 对内存的需要, 使得 5 MB 内存成为可接受的最小配置。 其他的改进包括完整的 NIS 客户端和服务器端的支持, 事务式 TCP 协议支持,按需拨号的 PPP,集成的 DHCP 支持,改进的 SCSI 子系统, ISDN 的支持,ATM,FDDI,快速 Gigabit 以太网(1000 Mbit)支持, 提升了最新的 Adaptec 控制器的支持和修补了很多的错误。 除了最基本的系统软件,&os; 还提供了一个拥有成千上万广受欢迎的程序组成的软件的 Ports Collection。 到本书付印时,已有超过 &os.numports; 个 ports (ports 包括从 http(WWW) 服务器到游戏、程序设计语言、编辑器以及您能想到的几乎所有的东西)。 完整的 Ports Collection 大约需要 &ports.size; 的存储空间。所有的只提供对原始代码的 修正。这使得我们能够容易地更新软件, 而且减少了老旧的 1.0 Ports Collection 对硬盘空间的浪费。 要编译一个 port,您只要切换到您想要安装的程序的目录, 输入 make install,然后让系统去做剩下的事情。 您要编译的每一个程序完整的原始代码可以从 CD-ROM 或本地 FTP 获得,所以您只需要编译您想要软件的足够的磁盘空间。 几乎大多数的软件都提供了事先编译好的 package 以方便安装,对于那些不希望从源代码编译他们自己的 ports 的人只要使用一个简单的命令 (pkg_add)就可以安装。 有关 package 和 ports 的更多信息可以在中找到。 您可以在最近的 &os; 主机的 /usr/share/doc 目录下找到许多有用的文件来帮助您安装及使用 &os;。 您也可以用一个 HTML 浏览器来查阅本地安装的手册, 使用下面的 URL: FreeBSD 使用手册 /usr/share/doc/handbook/index.html FreeBSD FAQ /usr/share/doc/faq/index.html 您也可以查看在 的主站上的副本。 diff --git a/zh_CN.GB2312/books/handbook/jails/chapter.sgml b/zh_CN.GB2312/books/handbook/jails/chapter.sgml index 9df9769db8..ca014ce8a3 100644 --- a/zh_CN.GB2312/books/handbook/jails/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/jails/chapter.sgml @@ -1,819 +1,819 @@ Matteo Riondato 原作 Jails jails 概述 这一章将为您介绍 &os; jail 是什么, 以及如何使用它们。 Jail, 有时也被认为是对 chroot 环境 的一种增强型替代品, 对于管理员而言是非常强大的工具, 同时, 它的一些基本用法, 对高级用户而言也相当有用。 读完这章, 您将了解: jail 是什么, 以及它在您安装的 &os; 中所能发挥的作用。 如何联编、 启动和停止 jail。 如何从 jail 内部或主机上进行管理的一些基础知识。 其他一些能够为您提供关于 jail 的有用信息的地方还有: &man.jail.8; 联机手册。 这是关于 jail — 用于在 &os; 中启动、 停止和控制 &os; jails — 工具的完整说明书。 邮件列表及其存档。 由 &a.mailman.lists; 提供的 &a.questions; 和其他邮件列表的存档, 已经包含了一系列关于 jails 的有价值的信息。 通常搜索存档或询问 &a.questions.name; 邮件列表能够给您带来很多有用的信息。 与 Jail 相关的一些术语 为了帮助您更好地理解与 jail 有关的 &os; 系统知识, 以及它们如何与 &os; 的其它部分相互作用, 您应理解下列术语: &man.chroot.2; (命令) &os; 的一个系统调用, 其作用是改变进程及其衍生进程所能看到的根目录。 &man.chroot.2; (环境) chroot 中运行的进程环境。 这包括类似文件系统中的可见部分、 可用的用户及用户组 ID、 网络接口以及其他 IPC 机制等资源。 &man.jail.8; (命令) 用以在 jail 环境中运行进程的系统管理工具。 宿主 (系统、 进程、 用户等等) 能够控制 jail 环境的系统。 宿主系统能够访问全部可用的硬件资源, 并能够控制 jail 环境内外的进程。 宿主系统与 jail 的一项重要区别是, 在宿主系统中的超级用户进程, 并不像在 jail 中那样受到一系列限制。 hosted (系统、 进程、 用户等等) 可访问资源受 &os; jail 限制的进程、 用户或其他实体。 介绍 由于系统管理是一项困难而又令人费解的任务, 因此人们开发了一系列强大的工具, 来让管理员的工作变得更加简单。 这些改进通常是让系统能够以更简单的方式安装、 配置, 并毫无问题地持续运转。 这其中, 许多管理员希望能够为系统正确地进行安全方面的配置, 使其能够用于真正的用途, 而阻止安全方面的风险。 &os; 系统提供的一项用于改善安全的工具就是 jail。 jail 是在 &os; 4.X 中由 &a.phk; 引入的, 它在 &os; 5.X 中又进行了一系列改进, 使得它成为了一个强大而灵活的系统。 目前仍然在对其进行持续的开发, 以提高其可用性、 性能和安全性。 Jail 是什么 BSD-类的操作系统从 4.2BSD 开始即提供了 &man.chroot.8;。 &man.chroot.2; 工具能够改变一组进程的根目录的位置, 从而建立一个与系统中其他部分相隔离的安全环境: 在 chroot 环境中的进程, 将无法访问其外的文件或其他资源。 正是由于这种能力, 即使攻击者攻破了某一个运行于 chroot 环境的服务, 也不能攻破整个系统。 - &man.chroot.8; 对于哪些不需要很多灵活性或复杂的高级功能的简单应用而言相当好用。 + &man.chroot.8; 对于那些不需要很多灵活性或复杂的高级功能的简单应用而言相当好用。 另外, 在引入 chroot 概念的过程中, 曾经发现过许多跳出 chroot 环境的方法, 尽管这些问题在较新的 &os; 版本中已经修正, 但很明显地, &man.chroot.8; 并不是一项用于加固服务安全的理想解决方案。 因此, 必须实现一个新的子系统来解决这些问题。 这就是为什么要开发 jail 最主要的原因。 Jail 以多种方式改进了传统的 &man.chroot.2; 环境概念。 在传统的 &man.chroot.2; 环境中, 只限制了进程能够访问文件系统的哪些部分。 其他部分的系统资源 (例如系统用户、 正在运行的进程, 以及网络子系统) 是由 chroot 进程与宿主系统中的其他进程共享的。 jail 扩展了这个模型, 它不仅将文件系统的访问虚拟化, 而且还将用户、 &os; 的网络子系统, 以及一些其他系统资源虚拟化。 关于这些精细控制以及调整 jail 环境访问能力的更具体的介绍, 可参见 jail 具有以下四项特点: 目录子树 — 进入 jail 的起点。 一旦进入了 jail, 进程就不再被允许访问这棵子树以外的对象。 传统上影响到最初 &man.chroot.2; 设计的安全问题不会影响 &os; jail。 主机名 — 将用于 jail 的主机名。 jail 主要用于存放网络服务, 因此在每个 mail 上能够标注一个有意义的主机名, 能够在很大程度上简化系统管理员的工作。 IP 地址 — 这个地址是指定给 jail 的, 在 jail 的生命周期内都无法改变。 通常 jail 的 IP 地址是某一个网络接口上的别名地址, 但这并不是必需的。 命令 — 准备在 jail 中执行的可执行文件的完整路径名。 这个命令是相对于 jail 环境的根目录的, 随 jail 环境的类型不同, 可能会有很多不同之处。 除了这些之外, jail 也可以拥有自己的用户和自己的 root 用户。 自然, 这里的 root 用户的权力会受限于 jail 环境, 并且, 从宿主系统的观点看来, jail root 用户并不是一个无所不能的用户。 此外, jail 中的 root 用户不能执行除了其对应 &man.jail.8; 环境之外的系统中的一些关键操作。 关于 root 用户的能力和限制, 在后面的 中将加以介绍。 建立和控制 jail 一些系统管理员喜欢将 jail 分为两类: 完整的 jail, 通常包含真正的 &os; 系统, 以及 服务 jail, 专用于执行一个可能使用特权的应用或服务。 这只是一种概念上的区分, 并不影响如何建立 jail 的过程。 在联机手册 &man.jail.8; 中对如何创建 jail 进行了清晰的阐述: &prompt.root; setenv D /here/is/the/jail &prompt.root; mkdir -p $D &prompt.root; cd /usr/src &prompt.root; make world DESTDIR=$D &prompt.root; cd etc/ 在 &os; 6.0 及 之后的版本中不必须进行这个步骤。 &prompt.root; make distribution DESTDIR=$D &prompt.root; mount -t devfs devfs $D/dev 第一步就是为 jail 选择一个位置。 这个路径是在宿主系统中 jail 的物理位置。 一种常用的选择是 /usr/jail/jailname, 此处 jailname 是 jail 的主机名。 /usr/ 文件系统通常会有足够的空间来保存 jail 文件系统, 对于 完整 的 jail 而言, 它通常包含了 &os; 默认安装的基本系统中每个文件的副本。 这个命令将在 jail 目录中安装所需的可执行文件、 函数库以及联机手册等。 这些是以传统的 &os; 风格的方式完成的 — 首先联编所有的文件, 然后将其安装到目标路径。 distribution 这个 make target 将安装全部配置文件, 或者换句话说, 就是将 /usr/src/etc/ 复制到 jail 环境中的 /etc$D/etc/ 在 jail 中不是必须要挂接 &man.devfs.8; 文件系统。 而另一方面, 几乎所有的应用程序都会需要访问至少一个设备, 这主要取决于应用程序的性质和目的。 控制 jail 中能够访问的设备非常重要, 因为不正确的配置, 很可能允许攻击者在 jail 中进行一些恶意的操作。 通过 &man.devfs.8; 实施的控制, 可以通过由联机手册 &man.devfs.8; 和 &man.devfs.conf.5; 介绍的规则集配置来实现。 一旦装好了 jail, 就可以使用 &man.jail.8; 工具来安装它了。 &man.jail.8; 工具需要四个必填参数, 这些参数在 中进行了介绍。 除了这四个参数之外, 您还可以指定一些其他参数, 例如, 以特定用户身份来在 jail 中运行程序等等。 这里, 参数取决于您希望建立的 jail 的类型; 对于 虚拟系统, 可以选择 /etc/rc, 因为它会完成真正的 &os; 系统启动所需的操作。 对于 服务 jail, 执行的命令取决于将在 jail 中运行的应用程序。 Jail 通常应在系统启动时启动, 因此, &os; rc 机制提供了一些很方便的机制来简化这些工作。 在引导时需要启动的 jail 列表应写入 &man.rc.conf.5; 文件: jail_enable="YES" # 如果设为 NO 则表示不自动启动 jail jail_list="www" # 以空格分隔的 jail 名字列表 对于 jail_list 中列出的 jail, 还应指定一系列对应的 &man.rc.conf.5; 设置, 用以描述具体的 jail: jail_www_rootdir="/usr/jail/www" # jail 的根目录 jail_www_hostname="www.example.org" # jail 的主机名 jail_www_ip="192.168.0.10" # jail 的 IP 地址 jail_www_devfs_enable="YES" # 在 jail 中挂接 devfs jail_www_devfs_ruleset="www_ruleset" # 在 jail 中应用的devfs 规则集 默认情况下, 在 &man.rc.conf.5; 中配置启动的 jail 会执行其中的 /etc/rc 脚本, 也就是说, 默认情况下将 jail 作为虚拟系统方式来启动。 对于服务 jail, 您应另外指定启动命令, 方法是设置对应的 jail_jailname_exec_start 配置。 如欲了解全部可用的选项, 请参阅联机手册 &man.rc.conf.5;。 /etc/rc.d/jail 脚本也可以用于手工启动或停止 rc.conf 中配置的 jail: &prompt.root; /etc/rc.d/jail start www &prompt.root; /etc/rc.d/jail stop www 目前, 尚没有一种方法来很干净地关闭 &man.jail.8;。 这是因为通常用于正常关闭系统的命令, 目前尚不能在 jail 中使用。 目前, 关闭 jail 最好的方式, 是在 jail 外通过 &man.jexec.8; 工具, 在 jail 中执行下列命令: &prompt.root; sh /etc/rc.shutdown 更进一步的详细说明, 请参见联机手册 &man.jail.8;。 微调和管理 您可以为 jail 设置许多不同的选项, 并让 &os; 宿主系统以不同的方式与 jail 交互, 以支持更高级别的应用。 这一节将介绍: 一些用于微调 jail 行为和安全限制的选项。 一些可以通过 &os; Ports 套件安装的高级 jail 管理应用程序, 这些程序可以用于实现一般的基于 jail 的解决方案。 &os; 提供的用于微调 jail 的系统工具 对于 jail 的配置微调, 基本上都是通过设置 &man.sysctl.8; 变量来完成的。 系统提供了一个特殊的 sysctl 子树, 全部相关的选项均在这棵子树中; 这就是 &os; 内核的 security.jail.* 选项子树。 下面是与 jail 有关的主要 sysctl, 以及这些变量的默认值。 这些名字都比较容易理解, 如欲了解进一步的详情, 请参阅联机手册 &man.jail.8; 和 &man.sysctl.8;。 security.jail.set_hostname_allowed: 1 security.jail.socket_unixiproute_only: 1 security.jail.sysvipc_allowed: 0 security.jail.enforce_statfs: 2 security.jail.allow_raw_sockets: 0 security.jail.chflags_allowed: 0 security.jail.jailed: 0 系统管理员可以在 宿主系统 中, 透过设置这些变量的值来默认为 root 用户增加或取消限制。 需要注意的是, 某些限制是不能够取消的。 在 &man.jail.8; 中的 root 用户, 无法挂载或卸下文件系统, 此外在 jail 中的 root 用户也不能加载或卸载 &man.devfs.8; 规则集、 配置防火墙规则, 或执行其他需要修改内核数据的管理操作, 例如设置内核的 securelevel 等等。 &os; 的基本系统包含一系列用于查看目前在使用的 jail 信息, 以及接入 jail 并执行管理命令所需的基本工具。 &man.jls.8; 和 &man.jexec.8; 命令都是 &os; 基本系统的一部分, 并可用于执行简单的任务: 列出在用的 jail 以及对应的 jail 标识 (JID)、 IP 地址、 主机名和路径。 从宿主系统中接入正在运行的 jail, 并在其中执行命令, 以完成一系列 jail 管理任务。 这在 root 希望干净地关闭 jail 时非常有用。 &man.jexec.8; 工具也可以用于在 jail 中启动 shell 以便对其进行管理; 例如: &prompt.root; jexec 1 tcsh 由 &os; Ports 套件提供的高级管理工具 在众多第三方 jail 管理工具中, sysutils/jailutils 是最完整和好用的。 它是一系列方便 &man.jail.8; 管理的小工具。 请参见其网站以了解进一步的详情。 Jail 的应用 Daniel Gerzo 原作 服务 Jail 这一节主要基于 &a.simon; 的 中的思路, 以及由 Ken Tom locals@gmail.com 更新的文档。 这一节中描述了如何配置 &os; 系统的 &man.jail.8; 功能为其增加一个安全层次。 这部分假定您运行 RELENG_6_0 或更新版本, 并理解本章之前部分的内容。 设计 jail 的一个主要问题是如何对它们进行升级和管理。 由于每个 jail 都是从头联编的, 对于单个 jail 而言升级也许还不是个很严重的问题, 因为升级不会太过麻烦, 而对于多个 jail 而言, 升级不仅会耗费大量时间, 并且是十分乏味的过程。 这个配置过程需要您对 &os; 有较多的配置和使用经验。 如果这些过程显得太过复杂, 您应考虑使用较简单的系统, 例如 sysutils/ezjail, 它提供了更简单的管理 &os; jail 的方法。 基本的想法是, 在不同的 jail 中尽可能多地以安全的方式使用共享的资源 — 使用只读的 &man.mount.nullfs.8; 挂接, 这会让升级简单许多, 从而使为每个服务建立不同的 jail 这种方案变得更加可行。 另外, 它也为增加、删除以及升级 jail 提供了更为便捷的方法。 在这里服务的常见例子包括: HTTP 服务、 DNS 服务、 SMTP 服务等等, 诸如此类。 这节介绍的配置的目的包括: 建立简单并易于理解的 jail 结构。 也就是说 不必 为每个 jail 执行完整的 installworld 操作。 使增删 jail 更容易。 使更新或升级 jail 更容易。 使运行自订的 &os; 分支成为可能。 对安全的更偏执的追求, 尽可能减少被攻陷的可能。 尽可能节省空间和 inode。 如前面提到的那样, 这个设计极大程度上依赖于将一份只读的主模板 (known as nullfs) 挂接到每一个 jail 中, 并为每个 jail 配置一个可读写的设备。 这种设备可以是物理磁盘、 分区, 或以 vnode 为后端的 &man.md.4; 设备。 在这个例子中, 我们将使用可读写的 nullfs 挂接。 下面的表中描述了文件系统格局: 每个 jail 挂接到 /home/j 目录下的一个目录。 /home/j/mroot 是每个 jail 共用的模板, 对于所有的 jail 而言都是只读的。 /home/j 目录中, 每个 jail 有一个对应的空目录。 每个 jail 中都有一个 /s 目录, 这个目录将连接到系统中的可读写部分。 每个 jail 应基于 /home/j/skel 建立其可读写空间。 每个 jailspace (jail 中的可读写部分) 应创建到 /home/js 这假定所有的 jail 都放置于 /home 分区中。 当然, 您可以根据需要将这个配置改为需要的任何样子, 但在接下来的例子中, 也应相应地加以变动。 建立模板 这一节将介绍创建 jail 所需的只读主模板所需的步骤。 一般来说, 您应将系统升级到最新的 &os; -RELEASE 分支, 具体做法请参见本手册的相关 章节。 当更新不可行时, 则需要完成 buildworld 过程, 另外, 您还需要 sysutils/cpdup 软件包。 我们将使用 &man.portsnap.8; 工具来下载 &os; Ports 套件。 在使用手册的 Portsnap 章节 中, 提供了针对初学者的介绍。 首先, 需要为将要存放只读的 &os; 执行文件的文件系统建立一个目录, 接着进入 &os; 源代码的目录, 并在其中安装 jail 模板: &prompt.root; mkdir /home/j /home/j/mroot &prompt.root; cd /usr/src &prompt.root; make installworld DESTDIR=/home/j/mroot 接着, 准备一份 &os; Ports 套件, 以及用于执行 mergemaster 的 &os; 源代码: &prompt.root; cd /home/j/mroot &prompt.root; mkdir usr/ports &prompt.root; portsnap -p /home/j/mroot/usr/ports fetch extract &prompt.root; cpdup /usr/src /home/j/mroot/usr/src 创建系统中可读写部分的骨架: &prompt.root; mkdir /home/j/skel /home/j/skel/home /home/j/skel/usr-X11R6 /home/j/skel/distfiles &prompt.root; mv etc /home/j/skel &prompt.root; mv usr/local /home/j/skel/usr-local &prompt.root; mv tmp /home/j/skel &prompt.root; mv var /home/j/skel &prompt.root; mv root /home/j/skel 使用 mergemaster 安装缺失的配置文件。 接下来, 删除 mergemaster 创建的多余目录: &prompt.root; mergemaster -t /home/j/skel/var/tmp/temproot -D /home/j/skel -i &prompt.root; cd /home/j/skel &prompt.root; rm -R bin boot lib libexec mnt proc rescue sbin sys usr dev 现在, 将可读写文件系统连接到只读文件系统中。 请确保您在 s/ 目录中建立了适当的符号连接。 如果没有建立目录或建立的位置不正确, 可能会导致安装失败。 &prompt.root; cd /home/j/mroot &prompt.root; mkdir s &prompt.root; ln -s s/etc etc &prompt.root; ln -s s/home home &prompt.root; ln -s s/root root &prompt.root; ln -s ../s/usr-local usr/local &prompt.root; ln -s ../s/usr-X11R6 usr/X11R6 &prompt.root; ln -s ../../s/distfiles usr/ports/distfiles &prompt.root; ln -s s/tmp tmp &prompt.root; ln -s s/var var 最后, 创建一个默认的包含下列配置的 /home/j/skel/etc/make.conf WRKDIRPREFIX?= /s/portbuild 配置 WRKDIRPREFIX 使得在每个 jail 中分别编译 &os; 成为可能。 请注意 ports 目录是只读系统的一部分。 而自订的 WRKDIRPREFIX 则使得联编过程得以在 jail 中的可读写部分完成。 建立 Jail 现在我们已经有了完整的 &os; jail 模板, 可以在 /etc/rc.conf 中安装并配置它们了。 这个例子中演示了建立 3 个 jail: NSMAILWWW /etc/fstab 文件中加入下列配置, 以便让系统自动挂接 jail 的只读模板和读写空间: /home/j/mroot /home/j/ns nullfs ro 0 0 /home/j/mroot /home/j/mail nullfs ro 0 0 /home/j/mroot /home/j/www nullfs ro 0 0 /home/js/ns /home/j/ns/s nullfs rw 0 0 /home/js/mail /home/j/mail/s nullfs rw 0 0 /home/js/www /home/j/www/s nullfs rw 0 0 扫描批次号 (pass number) 为 0 的分区不会在启动时使用 &man.fsck.8; 进行检查, 而转存批次号 (dump number) 为 0 的分区则不会在 &man.dump.8; 时备份。 我们不希望 fsck 检查 nullfs 挂接, 或让 dump 备份 jail 中的只读 nullfs 挂接。 这就是为什么在每个 fstab 条目的最后两列是 0 0 的原因。 /etc/rc.conf 中配置 jail: jail_enable="YES" jail_set_hostname_allow="NO" jail_list="ns mail www" jail_ns_hostname="ns.example.org" jail_ns_ip="192.168.3.17" jail_ns_rootdir="/usr/home/j/ns" jail_ns_devfs_enable="YES" jail_mail_hostname="mail.example.org" jail_mail_ip="192.168.3.18" jail_mail_rootdir="/usr/home/j/mail" jail_mail_devfs_enable="YES" jail_www_hostname="www.example.org" jail_www_ip="62.123.43.14" jail_www_rootdir="/usr/home/j/www" jail_www_devfs_enable="YES" 应把 jail_name_rootdir 变量设置成 /usr/home 而不是 /home 的原因是 /home 目录在默认安装的 &os; 上是指向 /usr/home 的一个符号连接。 而 jail_name_rootdir 变量必须是一个 包含符号连接的路径, 否则 jail 将拒绝启动。 可以使用 &man.realpath.1; 工具来决定这一变量应被赋予一个什么样的值。 更详细的信息请参阅安全公告 &os;-SA-07:01.jail 为每个 jail 创建所需的只读文件系统挂接点: &prompt.root; mkdir /home/j/ns /home/j/mail /home/j/www 在 jail 中安装可读写的模板。 注意您需要使用 sysutils/cpdup, 它能够帮助您确保每个目录都是正确地复制的: &prompt.root; mkdir /home/js &prompt.root; cpdup /home/j/skel /home/js/ns &prompt.root; cpdup /home/j/skel /home/js/mail &prompt.root; cpdup /home/j/skel /home/js/www 这样, 就完成了 jail 的制作, 可以运行了。 首先为 jail 挂接文件系统, 然后使用 /etc/rc.d/jail 脚本来启动它们: &prompt.root; mount -a &prompt.root; /etc/rc.d/jail start 现在 jail 应该就启动起来了。 要检查它们是否运行正常, 可以使用 &man.jls.8; 命令。 它的输出应该类似这样: &prompt.root; jls JID IP Address Hostname Path 3 192.168.3.17 ns.example.org /home/j/ns 2 192.168.3.18 mail.example.org /home/j/mail 1 62.123.43.14 www.example.org /home/j/www 这时, 就可以登入 jail 并增加用户和配置服务了。 JID 列给出了正在运行的 jail 的标识编号。 您可以使用下面的命令来在 JID 编号为 3 的 jail 中执行管理任务: &prompt.root; jexec 3 tcsh 升级 有时, 由于安全问题, 或新增功能有用, 会希望将系统升级到一个新版本的 &os;。 这种安装方式的设计使得升级现有 jail 变得很容易。 另外, 它也能最大限度地减小停机时间, 因为 jail 只在最后时刻才需要关闭。 另外, 它也提供了简单的回退到先前版本的方法。 第一步是按通常的方法升级主机的系统。 接着, 在 /home/j/mroot2 中建立一个新的临时模板: &prompt.root; mkdir /home/j/mroot2 &prompt.root; cd /usr/src &prompt.root; make installworld DESTDIR=/home/j/mroot2 &prompt.root; cd /home/j/mroot2 &prompt.root; cpdup /usr/src usr/src &prompt.root; mkdir s 在运行 installworld 时会创建一些不需要的目录, 应将它们删除: &prompt.root; chflags -R 0 var &prompt.root; rm -R etc var root usr/local tmp 重建到主系统中的可读写符号连接: &prompt.root; ln -s s/etc etc &prompt.root; ln -s s/root root &prompt.root; ln -s s/home home &prompt.root; ln -s ../s/usr-local usr/local &prompt.root; ln -s ../s/usr-X11R6 usr/X11R6 &prompt.root; ln -s s/tmp tmp &prompt.root; ln -s s/var var 现在是时候关闭 jail 了: &prompt.root; /etc/rc.d/jail stop 卸下原先的文件系统: &prompt.root; umount /home/j/ns/s &prompt.root; umount /home/j/ns &prompt.root; umount /home/j/mail/s &prompt.root; umount /home/j/mail &prompt.root; umount /home/j/www/s &prompt.root; umount /home/j/www 可读写的文件系统 (/s) 会在只读系统之后挂接, 因此应首先卸载。 将先前的只读文件系统挪走, 换成新的系统。 这样做也同时保留了先前系统的备份, 从而可以在出现问题时从中恢复。 这里我们根据新系统的创建时间来命名。 此外我们把先前的 &os; Ports 套件直接移动到新的文件系统中, 以节省磁盘空间和 inode: &prompt.root; cd /home/j &prompt.root; mv mroot mroot.20060601 &prompt.root; mv mroot2 mroot &prompt.root; mv mroot.20060601/usr/ports mroot/usr 现在新的只读模板就可以用了, 剩下的事情是重新挂接文件系统并启动 jails: &prompt.root; mount -a &prompt.root; /etc/rc.d/jail start 最后用 &man.jls.8; 检查 jail 启动是否正常。 不要忘记在 jail 中运行 mergemaster。 配置文件和 rc.d 脚本在升级时应进行更新。 diff --git a/zh_CN.GB2312/books/handbook/l10n/chapter.sgml b/zh_CN.GB2312/books/handbook/l10n/chapter.sgml index 2526d4d70f..d92911f56e 100644 --- a/zh_CN.GB2312/books/handbook/l10n/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/l10n/chapter.sgml @@ -1,849 +1,862 @@ Andrey Chernov Contributed by Michael C. Wu Rewritten by 本地化-I18N/L10N使用和设置 概述 FreeBSD是一个由分布于全世界的用户和贡献者支持的项目。 这章将讨论FreeBSD的国际化和本地化的问题,允许非英语用户也能使用FreeBSD很好地工作。 - 在系统和应用水平上,主要是通过执行i18N标准来实现的,所以这里我们将为读者提供详细的介绍。 - + 在系统和应用水平上,主要是通过执行i18N标准来实现的,所以这里我们将为读者提供详细的介绍。 - 读完这一章,您将了解到: + 读完这一章,您将了解: 不同的语言和地域是如何在现代操作系统上进行编码的。 如何为您的登入shell设置本地化。 如何配置您的控制台为非英语语言。 languages. 如何使用不同的语言来有效地使用X Windows。 在哪里可以找到更多有关开发符合i18N标准的应用程序的信息。 阅读这章之前,您应当了解: 怎样安装额外的第三方程序()。 基础知识 I18N/L10N 是什么? 国际化 本地化 本地化 开发人员把internationalization简写成I18N,中间的数字是前后两个字母间的字母个数。 L10N依据localization 使用同样的命名规则。 I18N/L10N方法、协议和应用结合在一起,允许用户使用他们自己所选择的语言。 I18N应用程序使用I18N工具来编程。它允许开发人员写一个简单的文件, 就可以将显示的菜单和文本翻译成本地语言。我们非常鼓励程序员遵循这种规则。 为什么要使用I18N/L10N? I18N/L10N标准能够很好地支持您查看、输入或处理非英语语言。 I18N支持哪些语言? I18N和L10N不是FreeBSD特有的。当前,它能支持世界上绝大部分主力语言, 包括但不限于:中文,德文,日文,朝鲜文,法文,俄文,越南文等等。 使用本地化语言 I18N不是FreeBSD特有的,它是一个规则。我们鼓励您帮助FreeBSD完善这一规则。 locale 本地化设置需要具备三个条件:语言代码 (Language Code)、 国家代码 (Country Code) 和编码(Encoding)。 本地名字可以用下面这些部分来构造: 语言代码_国家代码.编码 语言和国家代码 语言代码 国家代码 为了用特殊的语言来对FreeBSD系统进行本地化(或其他类&unix;系统), 用户必须要知道相应的国家和语言代码(国家代码告诉应用程序使用哪一种语言规范)。 此外,WEB浏览器,SMTP/POP服务器,web服务器等都是以这个为基础的。下面就是一个国家和语言代码的例子: 语言/国家代码 描述 en_US 美国英语 ru_RU 俄语 zh_CN 简体中文 编码 编码 ASCII 一些语言不使用 ASCII 编码,它们使用8-位, 宽或多字节的字符, 更多的信息请参考 &man.multibyte.3;。 比较老的应用程序可能会无法识别它们, 并误认为是控制字符。 比较新的应用程序通常会认出 8-位字符。 随实现的不同, 用户可能不得不将宽或多字节字符支持编入应用程序, 或进行一些额外的配置, 才能够正常使用它们。 要输入和处理宽或多字节字符, FreeBSD Ports Collection 已经为每种语言提供了不同的程序。 请参考各个 FreeBSD Port 中的 I18N 文档。 特别需要指出的是, 用户可能需要查看应用程序的文档, 以确定如何正确地配置它, 或需要为 configure/Makefile/编译器 指定什么样的参数。 记住下面这些: 特定语言的简单C字符集 (参见 &man.multibyte.3;),例如 ISO8859-1, ISO8859-15, KOI8-R, CP437。 宽字节或多字节编码,如EUC, Big5。 您可以在IANA Registry检查一下现行的字符集列表。 与此不同的是, &os; 使用与 X11-兼容的本地编码模式。 I18N应用程序 在FreeBSD Ports和Package系统里面,I18N应用程序已经使用I18N 来命名。然而它们不是总支持需要的语言。 本地化设置 通常只要在登入shell里面设置LANG为本地化, 一般通过设置用户的 ~/.login_conf 或用户shell的启动文件(~/.profile~/.bashrc, ~/.cshrc)。没有必要设置 LC_CTYPELC_CTIME。 更多的信息请参考特定语言的FreeBSD文档。 您应当在您的配置文件中设置下面两个变量: POSIX LANG 为&posix;设置本地化语言功能。 MIME MM_CHARSET应用程序的MIME字符集。 这包括用户的shell配置,特定的应用配置和X11配置。 设置本地化的方法 本地化 登入分类 有两种方法来设置本地化,接下来都会描述。 第一种 (推荐) 就是在 登入分类里面指定环境变量。 第二种方法是把环境变量加到shell的启动文件里面。 登入分类方法 这种方法允许把本地化名称和MIME字符集的环境变量赋给可能的shell, 而不是加到每个特定shell的启动文件里面。 用户级设置 Level Setup 允许普通用户自己完成这个设置,而管理员级设置需要超级用户权限。 用户级设置 这有一个设置用户根目录文件.login_conf的小例子, 它为上述两个变量设置了Latin-1编码。 me:\ :charset=ISO-8859-1:\ :lang=de_DE.ISO8859-1: 繁体中文BIG-5编码 这是一个为.login_conf设置繁体中文的BIG-5编码的例子。应该设置下面的大部分变量, 因为很多软件都没有为中文,日文和韩文设置正确的本地化变量。 #Users who do not wish to use monetary units or time formats #of Taiwan can manually change each variable me:\ :lang=zh_TW.Big5:\ :setenv=LC_ALL=zh_TW.Big:\ :setenv=LC_COLLATE=zh_TW.Big5:\ :setenv=LC_CTYPE=zh_TW.Big5:\ :setenv=LC_MESSAGES=zh_TW.Big5:\ :setenv=LC_MONETARY=zh_TW.Big5:\ :setenv=LC_NUMERIC=zh_TW.Big5:\ :setenv=LC_TIME=zh_TW.Big5:\ :charset=big5:\ :xmodifiers="@im=gcin": #Set gcin as the XIM Input Server 更多的信息参考管理员级设置和&man.login.conf.5; 管理员级设置 检查用户的登入分类在 /etc/login.conf里面是否设置了正确的语言。主要确定下面的几个设置: language_name:accounts_title:\ :charset=MIME_charset:\ :lang=locale_name:\ :tc=default: 再次使用前面的Latin-1编码的例子: german:German Users Accounts:\ :charset=ISO-8859-1:\ :lang=de_DE.ISO8859-1:\ :tc=default: 在修改用户的登入类型之前, 应首先执行下面的命令: &prompt.root; cap_mkdb /etc/login.conf 以便使在 /etc/login.conf 中新增的配置生效。 使用 &man.vipw.8; 改变登入类型。 vipw 使用vipw添加新用户,看起来像下面这样: user:password:1111:11:language:0:0:User Name:/home/user:/bin/sh 用&man.adduser.8;改变登入类型。 adduser 登入分类 adduser添加新用户看起来像下面这样: /etc/adduser.conf里面设置defaultclass = 语言。应该记住,您必须为使用其它语言的所有用户设置 缺省类别。 每一次使用&man.adduser.8;的时候,一个特定语言的可选择性回答会像下面这样给出: Enter login class: default []: 如果您打算给每一个用户使用另外一种语言,您应该这样: &prompt.root; adduser -class language 使用&man.pw.8;改变登入类型。 pw 如果您使用&man.pw.8;来添加新用户,应该这样使用: &prompt.root; pw useradd user_name -L language Shell启动文件方法 不推荐使用这种方法,因为它需要给每一个可能的shell程序一个不同的启动文件。 应该用登入分类方法来代替这种方法。 MIME locale 为了设置本地化名称和MIME字符集,只要在/etc/profile/etc/csh.login启动文件里面设置这两个变量。下面我们使用德语做例子: /etc/profile里面: LANG=de_DE.ISO8859-1; export LANG MM_CHARSET=ISO-8859-1; export MM_CHARSET 或在/etc/csh.login里面: setenv LANG de_DE.ISO8859-1 setenv MM_CHARSET ISO-8859-1 另外,您可以把上面的设置添加到/usr/share/skel/dot.profile (和前面的/etc/profile一样),或者/usr/share/skel/dot.login (和前面的/etc/csh.login一样)。 对于X11: $HOME/.xinitrc里面: LANG=de_DE.ISO8859-1; export LANG 或者: setenv LANG de_DE.ISO8859-1 依赖您的shell(看上面)。 控制台设置 对于所有的简单C字符集,在/etc/rc.conf中用正在讨论的语言设置正确的控制台字符: font8x16=font_name font8x14=font_name font8x8=font_name 这儿的font_name来自于/usr/share/syscons/fonts目录, 不带.fnt后缀。 sysinstall keymap screenmap 您还需要确定正确地为您的 C 字符集配置了 keymap 和 screenmap, 这一工作可以通过 sysinstall (在 &os; 5.2 之前的版本是 /stand/sysinstall) 来完成。。 进入 sysinstall 之后, 选择 ConfigureConsole。 此外, 您也可以将下面的设置加入 /etc/rc.conf scrnmap=screenmap_name keymap=keymap_name keychange="fkey_number sequence" 这儿的screenmap_name是来自/usr/share/syscons/scrnmaps目录, 不带.scm后缀。 一个带影射字体的屏幕布局通常被作为一个工作区, 用来在VGA适配器字体矩阵上扩展8位到9位。 如果屏幕字体是使用一个8位的排列,要移动这些字母离开这些区域。 如果您在/etc/rc.conf里面启用了moused daemon: moused_enable="YES" 那么需要在下一段检查鼠标指针信息。 moused 默认情况下, &man.syscons.4;驱动程序的鼠标指针在字符集中占用0xd0-0xd3的范围。 如果您的语言使用这个范围,您必须把指针范围移出这个范围。 要绕过这个问题, 需要在 /etc/rc.conf 中加入: mousechar_start=3 这里, keymap_name 来自于 /usr/share/syscons/keymaps 目录, 但去掉了 .kbd 后缀。 如果不确定应该使用哪一个键盘布局, 则可以使用 &man.kbdmap.1; 来测试, 而无需反复重启。 通常, keychange 是设定功能键时, 匹配选定的终端类型来说是必需的, 因为功能键序列无法在键盘布局中定义。 此外您还应该检查并确认在 /etc/ttys 中已经为所有的 ttyv* 项配置了正确的终端类型。 目前, 相关的默认定义是: 字符集设置 终端类型 ISO8859-1 or ISO8859-15 cons25l1 ISO8859-2 cons25l2 ISO8859-7 cons25l7 KOI8-R cons25r KOI8-U cons25u CP437 (VGA default) cons25 US-ASCII cons25w 对于多字节字符语言,可以您的在 /usr/ports/language 目录中使用正确的FreeBSD port。一些port以控制台出现, 而系统把它作为串行vtty终端,因此, 必须为 X11 和伪串行控制台准备足够的vtty终端。 下面是在控制台中使用其他语言的应用程序的部分列表: 语言 特定区域 Traditional Chinese (BIG-5) chinese/big5con Japanese japanese/kon2-16dot or japanese/mule-freewnn Korean korean/han X11设置 虽然X11不是FreeBSD计划的一部分, 但我们已经为FreeBSD用户包含了一些信息。 具体细节可以参考&xorg; Web 站点 或是您使用的 X11 Server 的网站。 ~/.Xresources里面,您可以适当调整特定应用程序的I18N设置(如字体,菜单等)。 显示字体 X11 True Type 字体服务器 安装 &xorg; 服务器 (x11-servers/xorg-server) 或 &xfree86; 服务器 (x11-servers/XFree86-4-Server), 然后安装对应语言的 &truetype; 字体。 请设置正确的地区信息, 这将让您能够在菜单和其它地方看到所选择的语言。 输入非英语字符 X11输入方法(XIM) X11输入方法(XIM)协议是所有X11客户端的一个新标准。 所有将作为XIM客户端来写的X11应用程序从XIM输入服务器输入。 不同的语言有几种XIM服务器可用。 打印机设置 一些简单的C字符集通常是用硬编码来编码进打印机的。更宽或多位的字符集需要特定的设置, 我们推荐使用apsfilter。您也可以使用特定语言转换器把文档转换为 &postscript;或PDF格式。 内核和文件系统 FreeBSD 的快速文件系统 (FFS) 是完全支持 8-位 字符的, 因此它可以被用于任何简单的 C 字符集 (参见 &man.multibyte.3;), 但在文件系统中不会保存字符集的名字; 也就是说, 它不加修改地保存 8-位信息, 而并不知道如何编码。 正式说来, FFS 目前还不支持任何形式的宽或多字节字符集。 不过, 某些宽或多字符集提供了独立的针对 FFS 的补丁来帮助启用关于它们的支持。 目前这些要么是无法移植的, 要么过于粗糙, 因此我们不打算把它们加入到源代码中。 请参考相关语言的 Web 站点, 以了解关于这些补丁的进一步情况。 DOS Unicode FreeBSD &ms-dos;已经能够配置成用在&ms-dos;上,Unicode字符集和可选的FreeBSD文件系统字符集的更多信息, 请参考 &man.mount.msdosfs.8; 联机手册。 编译I18N程序 许多FreeBSD Ports已经支持I18N了。他们中的一些都用-I18N作标记。 这些和其他很多程序已经内建I18N的支持,不需要考虑其他的事项了。 MySQL 然而一些像MySQL这样的应用程序需要重新配置字符集,可在 Makefile里面设置,或者直接把参数传递给configure 本地化FreeBSD Andrey Chernov Originally contributed by 俄语(KOI8-R编码) 本地化 俄语 关于KOI8-R编码的更多信息请查阅KOI8-R参考(Russian Net Character Set) 本地设置 把下面的行加入到您的~/.login_conf文件: me:My Account:\ :charset=KOI8-R:\ :lang=ru_RU.KOI8-R: 参看前面的设置本地化的例子。 控制台设置 把下面一行加到 /etc/rc.conf mousechar_start=3 并在 /etc/rc.conf 里面增加如下设置: keymap="ru.koi8-r" scrnmap="koi8-r2cp866" font8x16="cp866b-8x16" font8x14="cp866-8x14" font8x8="cp866-8x8" 对于/etc/ttys里面的ttyv*记录,要使用 cons25r作为终端类型。 参看前面的设置控制台的例子。 打印机设置 打印机 既然绝大多数带俄语字符的打印机遵循CP866的标准, 那么需要一个针对KOI8-R到CP866转换的特定输出过滤器。这样的一个过滤器默认的安装在 /usr/libexec/lpr/ru/koi2alt。 一个支持俄语的打印机的/etc/printcap记录看起来是这样的: lp|Russian local line printer:\ :sh:of=/usr/libexec/lpr/ru/koi2alt:\ :lp=/dev/lpt0:sd=/var/spool/output/lpd:lf=/var/log/lpd-errs: 更多信息参考&man.printcap.5;手册页。 &ms-dos;文件系统和俄语文件名 下面的例子是在挂上&ms-dos; 文件系统后,启用对俄语文件名支持的&man.fstab.5;记录: /dev/ad0s2 /dos/c msdos rw,-Wkoi2dos,-Lru_RU.KOI8-R 0 0 选项 用于选择地区名称, 而 则用于设置字符转换表。 要使用 选项, 则一定要首先挂接 /usr, 然后再挂接 &ms-dos; 分区, 因为转换表是放在 /usr/libdata/msdosfs 的。 要了解进一步的细节, 请参考 &man.mount.msdosfs.8; 联机手册。 X11设置 首先请进行前面介绍的 非-X 的本地化设置。 如果您正使用 &xorg;, 请安装 x11-fonts/xorg-fonts-cyrillic package。 检查您 /etc/X11/xorg.conf 文件中的 "Files" 小节。 下面的行, 应加到任何其它 FontPath 项之前: FontPath "/usr/X11R6/lib/X11/fonts/cyrillic/misc" FontPath "/usr/X11R6/lib/X11/fonts/cyrillic/75dpi" FontPath "/usr/X11R6/lib/X11/fonts/cyrillic/100dpi" 如果希望使用高分辨率的现实模式, 则应把 100 dpi 的配置行放在 75 dpi 前面。 请查看 ports 中的其它西里尔字体。 要激活俄语键盘, 需要在 xorg.conf 文件的 "Keyboard" 小节中加入下列内容: Option "XkbLayout" "us,ru" Option "XkbOptions" "grp:toggle" 要确信XkbDisable 已经关闭 (注释掉) 了。 RUS/LAT的切换用CapsLock。老的CapsLock功能可以通过 ShiftCapsLock 来模拟(只有在LAT模式的时候)。 - 使用 grp:caps_toggle + 使用 grp:toggle 时, RUS/LAT 切换键将是 右 Alt, 而使用 grp:ctrl_shift_toggle 则表示切换键是 CtrlShift。 + 使用 grp:caps_toggle + 时, RUS/LAT 切换键则是 CapsLock。 旧的 CapsLock 功能仍可通过 ShiftCapsLock (只对 LAT - 模式有效)。 对于 grp:toggle - 而言 RUS/LAT 开关则是 Right Alt。 由于不明原因, + 模式有效)。 由于不明原因, grp:caps_toggle&xorg; 中无法使用。 如果您的键盘上有 &windows; 键, 但发现 RUS 模式下, 某些非字母键映射不正常, 则应在您的 xorg.conf 文件中加入下面这行: Option "XkbVariant" ",winkeys" 俄语的 XKB 键盘可能并不为某些不具备本地化功能的应用程序所支持。 本地化程序最低限度应在程序启动时调用 XtSetLanguageProc (NULL, NULL, NULL); 函数。 参见 KOI8-R for X Window 以获得关于对 X11 应用进行本地化的指导。 设置繁体中文 本地化 繁体中文 FreeBSD-Taiwan计划有一个使用很多中文ports的中文化指南在 。 目前, FreeBSD 中文化指南 的维护人员是 沈俊兴 statue@freebsd.sinica.edu.tw 沈俊兴 statue@freebsd.sinica.edu.tw 利用 FreeBSD-Taiwan 的 zh-L10N-tut建立了 Chinese FreeBSD Collection (CFC)。 相关的 packages 和脚本等可以在 找到。 德语本地化(适合所有的ISO 8859-1语言) 本地化 德语 - Slaven Rezic eserte at cs.tu-berlin.de - 写了一个在FreeBSD机器下如何使用日尔曼语言的德语指南。 这份德语教程可以在 + Slaven Rezic eserte@cs.tu-berlin.de + 写了一个在 FreeBSD 机器下如何使用日尔曼语言的德语指南。 这份德语教程可以在 找到。 + + 希腊语本地化 + + + localization (本地化) + Greek (希腊语) + + Nikos Kokkalis nickkokkalis@gmail.com + 撰写了关于在 &os; 上支持希腊语的完整文章, 在 http://www.freebsd.org/doc/el_GR.ISO8859-7/articles/greek-language-support/index.html。 + 请注意这篇文章 只有 希腊语的版本。 + + 日语和韩语本地化 本地化 日语 本地化 韩语 日语本地化请参考,韩语参考 非英语的FreeBSD文档 - 一些FreeBSD的贡献者已经将部分FreeBSD文档翻译成了其他语言。 - 可以通过主站 或者 - /usr/share/doc 查到。 + 一些 FreeBSD 的贡献者已经将部分 FreeBSD 文档翻译成了其他语言。 + 您可在 主站 以及 + /usr/share/doc 找到。 diff --git a/zh_CN.GB2312/books/handbook/mirrors/chapter.sgml b/zh_CN.GB2312/books/handbook/mirrors/chapter.sgml index 198a07d11c..aa1b7e3f5c 100644 --- a/zh_CN.GB2312/books/handbook/mirrors/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/mirrors/chapter.sgml @@ -1,3052 +1,3053 @@ 获取 FreeBSD CDROM 和 DVD 发行商 零售盒装产品 可以从下面几个零售商那里买到 FreeBSD 的盒装产品(FreeBSD CD, 附加软件,印刷文档):
CompUSA WWW:
Frys Electronics WWW:
CD 和 DVD 光盘 FreeBSD CD 和 DVD 光盘可以从许多在线零售商那里买到:
FreeBSD Mall, Inc. 700 Harvest Park Ste F Brentwood, CA 94513 USA Phone: +1 925 240-6652 Fax: +1 925 674-0821 Email: info@freebsdmall.com WWW:
Dr. Hinner EDV St. Augustinus-Str. 10 D-81825 München Germany Phone: (089) 428 419 WWW:
Ikarios 22-24 rue Voltaire 92000 Nanterre France WWW:
JMC Software Ireland Phone: 353 1 6291282 WWW:
The Linux Emporium Hilliard House, Lester Way Wallingford OX10 9TA United Kingdom Phone: +44 1491 837010 Fax: +44 1491 837016 WWW:
Linux+ DVD Magazine Lewartowskiego 6 Warsaw 00-190 Poland Phone: +48 22 860 18 18 Email: editors@lpmagazine.org WWW:
Linux System Labs Australia 21 Ray Drive Balwyn North VIC - 3104 Australia Phone: +61 3 9857 5918 Fax: +61 3 9857 8974 WWW:
LinuxCenter.Ru Galernaya Street, 55 Saint-Petersburg 190000 Russia Phone: +7-812-3125208 Email: info@linuxcenter.ru WWW:
发行人 如果您是销售商并且想销售 FreeBSD CDROM 产品, 请和发行人联系:
Cylogistics 809B Cuesta Dr., #2149 Mountain View, CA 94040 USA Phone: +1 650 694-4949 Fax: +1 650 694-4953 Email: sales@cylogistics.com WWW:
Ingram Micro 1600 E. St. Andrew Place Santa Ana, CA 92705-4926 USA Phone: 1 (800) 456-8000 WWW:
Kudzu, LLC 7375 Washington Ave. S. Edina, MN 55439 USA Phone: +1 952 947-0822 Fax: +1 952 947-0876 Email: sales@kudzuenterprises.com
LinuxCenter.Ru Galernaya Street, 55 Saint-Petersburg 190000 Russia Phone: +7-812-3125208 Email: info@linuxcenter.ru WWW:
Navarre Corp 7400 49th Ave South New Hope, MN 55428 USA Phone: +1 763 535-8333 Fax: +1 763 535-0341 WWW:
FTP 站点 官方的 FreeBSD 源代码可以从遍布全球的镜像站点 通过匿名 FTP 下载。 站点 有着良好的网络连接并且允许大量的并发连接, 但是 您或许更想找一个 更近的 镜像站点 (特别是当您想进行某种形式的镜像的时候)。 FreeBSD 镜像 站点数据库要比使用手册中的镜像列表更加精确, 因为它从 DNS 中获取信息而不依赖于静态的主机列表。 FreeBSD 可以从下面这些镜像站点通过匿名 FTP 下载。如果您选择了通过匿名 FTP 获取 FreeBSD, 请尽量使用离您比较近的站点。被列为 主镜像站点 的镜像站点一般都有完整的 FreeBSD 文件 (针对每种体系结构的所有当前可用的版本), 您或许从您所在的国家或地区的站点下载会得到更快的下载速度。 每个站点提供了最流行的体系结构的最近的版本而有可能不提供完整的 FreeBSD 存档。所有的站点都提供匿名 FTP 访问而有些站点也提供其他的访问方式。对每个站点可用的访问方式 在其主机名后有所说明。 &chap.mirrors.ftp.inc; BitTorrent BitTorrent 基本发行版 CD 的 ISO 镜像也可以通过 BitTorrent 获得。 用户下载镜像的 torrent 文件能够在这里找到 http://torrents.freebsd.org:8080 BitTorrent 客户端软件可以从这个 port net-p2p/py-bittorrent 或预编译的二进制包安装。 在通过 BitTorrent 下载了 ISO 镜像之后, 你可以照着 burncd 中的所描述的方法烧录到 CD 或 DVD 介质上。 匿名 CVS <anchor id="anoncvs-intro">概述 CVS 匿名 匿名 CVS(或人们常说的 anoncvs)是由和 FreeBSD 附带的 CVS 实用工具提供的用于和远程的 CVS 代码库同步的一种特性。 尤其是, 它允许 FreeBSD 用户不需要特殊的权限对任何一台 FreeBSD 项目的官方 anoncvs 服务器执行只读的 CVS 操作。 要使用它,简单的设置 CVSROOT 环境变量指向适当的 anoncvs 服务器, 输入 cvs login 命令 并提供广为人知的密码anoncvs,然后使用 &man.cvs.1; 命令像访问任何本地仓库一样来访问它。 cvs login 命令把用来登录 CVS 服务器的密码储存在您的 HOME 目录中一个叫 .cvspass 的文件里。 如果这个文件不存在, 第一次使用 cvs login 的时候可能会出错。 请创建一个空的 .cvspass 文件,然后试试重新登录。 也可以这么说 CVSup 和 anoncvs 服务本质上提供了同样的功能,但是有各种各样 不同的场合可以影响用户对同步方式的选择。简单来说, CVSup 在网络资源利用方面 更加有效,而且是到目前为止在两者之中技术上更成熟的 除了成本方面。要使用 CVSup,在下载任何东西之前 必须首先安装配置特定的客户端, 而且只能用于下载相当大块的 CVSup 称作 collections 相比之下,anoncvs 可以通过 CVS 模块名来从单个文件里检出任何东西并赋给特定的程序 (比如 ls 或者 grep)。 当然,anoncvs 也只适用于对 CVS 仓库的只读操作,所以如果您是想用和 FreeBSD 项目共享的仓库提供本地开发的话, CVSup 几乎是您唯一的选择。 <anchor id="anoncvs-usage">使用匿名 CVS 配置 &man.cvs.1; 使用匿名 CVS 仓库可以简单的设定 CVSROOT 环境变量指向 FreeBSD 项目的 anoncvs 服务器之一。到此书写作为止, 下面的服务器都是可用的: 法国: :pserver:anoncvs@anoncvs.fr.FreeBSD.org:/home/ncvs (pserver (口令是 anoncvs), ssh (没有口令)) 日本: :pserver:anoncvs@anoncvs.jp.FreeBSD.org:/home/ncvs (使用 cvs login 并在提示输入口令时输入 anoncvs.) 台湾地区: :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs (pserver (使用 cvs login 并在提示输入口令时, 输入任意口令。), ssh (无口令)) SSH2 HostKey: 1024 e8:3b:29:7b:ca:9f:ac:e9:45:cb:c8:17:ae:9b:eb:55 /etc/ssh/ssh_host_dsa_key.pub 美国: freebsdanoncvs@anoncvs.FreeBSD.org:/home/ncvs (仅 ssh - 无口令) SSH HostKey: 1024 a1:e7:46:de:fb:56:ef:05:bc:73:aa:91:09:da:f7:f4 root@sanmateo.ecn.purdue.edu SSH2 HostKey: 1024 52:02:38:1a:2f:a8:71:d3:f5:83:93:8d:aa:00:6f:65 ssh_host_dsa_key.pub USA: anoncvs@anoncvs1.FreeBSD.org:/home/ncvs (仅限 ssh2 - 无口令) SSH2 HostKey: 2048 53:1f:15:a3:72:5c:43:f6:44:0e:6a:e9:bb:f8:01:62 /etc/ssh/ssh_host_dsa_key.pub 因为 CVS 实际上允许 检出 曾经存在的 (或者,某种情况下将会存在) FreeBSD 源代码的任意版本, 您需要熟悉 &man.cvs.1; 的版本 () 参数, 以及在 FreeBSD 代码库中可用的值。 有两种标签,修订标签和分支标签。 修订标签特指一个特定的修订版本。含义始终是不变的。 分支标签,另一方面, 指代给定时间给定开发分支的最新修订, 因为分支标签不涉及特定的修订版本, 它明天所代表的含义就可能和今天的不同。 包括了用户可能感兴趣的 修订标签。 请注意, 这些标签并不适用于 Ports Collection, 因为它并不包含多个开发分支。 当您指定一个分支标签,您通常会得到那个开发分支的文件的最新版本。 如果您希望得到一些旧的版本,您可以用 标记制定一个日期。 察看 &man.cvs.1; 手册页了解更多细节。 示例 在这之前强烈建议您通读 &man.cvs.1; 的手册页, 这里有一些简单的例子来展示如何使用匿名 CVS: 从 -CURRENT 检出些东西 (&man.ls.1;): &prompt.user; setenv CVSROOT :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs &prompt.user; cvs login >在提示符处,输入任意密码 password. &prompt.user; cvs co ls 通过 SSH 检出整个 <filename>src/</filename> 代码树: &prompt.user; cvs -d freebsdanoncvs@anoncvs.FreeBSD.org:/home/ncvs co src The authenticity of host 'anoncvs.freebsd.org (128.46.156.46)' can't be established. DSA key fingerprint is 52:02:38:1a:2f:a8:71:d3:f5:83:93:8d:aa:00:6f:65. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'anoncvs.freebsd.org' (DSA) to the list of known hosts. 检出 6-STABLE 分支中的 &man.ls.1; 版本: &prompt.user; setenv CVSROOT :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs &prompt.user; cvs login 在提示符处,输入任意密码 password。 &prompt.user; cvs co -rRELENG_6 ls 创建 &man.ls.1; 的变化列表(用标准的 diff) &prompt.user; setenv CVSROOT :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs &prompt.user; cvs login 在提示符处,输入任意密码 password。 &prompt.user; cvs rdiff -u -rRELENG_5_3_0_RELEASE -rRELENG_5_4_0_RELEASE ls 找出可以使用的其它的模块名: &prompt.user; setenv CVSROOT :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs &prompt.user; cvs login 在提示符处,输入任意密码 password。 &prompt.user; cvs co modules &prompt.user; more modules/modules 其他资源 下面附加的资源可能对学习 CVS 有帮助: CVS 指南 来自 Cal Poly。 CVS 主页, CVS 开发和支持社区。 CVSweb 是 FreeBSD 项目的 CVS web 界面。 使用 CTM CTM CTM 是保持远程目录树和中央服务器目录树同步的一种方法。 它被开发用于 FreeBSD 的源代码树,虽然其他人随着时间推移会发现它可以用于其他目的。 当前几乎没有,也或者只有很少的文档讲述创建 deltas 的步骤, 所以如果您希望使用 CTM 去做其它事情, 请联系 &a.ctm-users.name; 邮件列表了解更多信息。 为什么我该使用 <application>CTM</application>? CTM 会给您一份 FreeBSD 源代码树的本地副本。 代码树有很多的 flavors 可用。不管您是希望跟踪完整的 CVS 树还是只是一个分支, CTM 都会给您提供信息。 如果您是 FreeBSD 上的一个活跃的开发者,但是缺乏或者不存在 TCP/IP 连接,或者只是希望把变化自动发送给您, CTM 就是适合您的。对于最积极的分支 您将会每天获得三个以上的 deltas。 然而,您应该考虑通过邮件来自动发送。 升级的大小总是保证尽可能的小。 通常小于 5K,也偶然(十分之一可能)会有 10-50K,也不时地有个大的 100K+ 甚至更大的。 您也需要让自己了解直接和开发代码而不是预发行版本打交道的各种警告。这种情况会很显著, 如果您选择了 current 代码的话。强烈建议您阅读和 FreeBSD 保持同步。 使用 <application>CTM</application> 我需要做什么? 您需要两样东西:CTM 程序,还有初始的 deltas 来 feed it(达到 current 级别)。 CTM 程序从版本 2.0 发布以来 已经是 FreeBSD 的一部分了,如果您安装了源代码副本的话, 它位于 /usr/src/usr.sbin/ctm 您喂给 CTMdeltas 可以有两种方式,FTP 或者 email。 如果您有普通的访问 Internet 的 FTP 权限, 那么下面的 FTP 站点支持访问 CTM 或者看看这一小节镜像。 FTP 访问相关的目录并取得 README 文件,从那里开始。 如果您希望通过 email 得到您的 deltas: 订阅一个 CTM 分发列表。 &a.ctm-cvs-cur.name; 支持完整的 CVS 树。 &a.ctm-src-cur.name; 支持最新的开发分支。 &a.ctm-src-4.name; 支持 4.X 发行分支, 等等。。(如果您不知道如何订阅邮件列表, 点击上面的列表名或者到 &a.mailman.lists.link; 点击您希望订阅的列表。 列表页包含了所有必要的订阅指导。) 当您开始接收到您邮件中的 CTM 升级时,您可以使用 ctm_rmail 程序来解压并应用它们。 事实上如果您想要让进程以全自动的形式运行的话,您可以通过在 /etc/aliases 中设置直接使用 ctm_rmail 程序。 查看 ctm_rmail 手册页了解更多细节。 不管您使用什么方法得到 CTM deltas,您都应该订阅 &a.ctm-announce.name; 邮件列表。 以后会有单独的地方提交有关 CTM 系统的操作的公告。 点击上面的邮件列表名并按照指示订阅邮件列表。 第一次使用 <application>CTM</application> 在您开始使用 CTM delta 之前,您需要获得一个起始点。 首先您应该确定您已经有了什么。每个人都可以从一个目录开始。 您必须用一个初始的 空的 delta 来开始您的 CTM 支持树。曾经为了您的便利这些 起始 deltas 被有意的通过 CD 来发行, 然而现在已经不这样做了。 因为代码树有数十兆字节,您应该更喜欢从手头上已经有的东西开始。如果您有一张 -RELEASE CD 光盘,您可以从里面复制或者解压缩一份初始代码出来。 这会节省非常多的数据传输量。 您会发现这些初始的 deltas 名字的数字后面都有个 X (比如 src-cur.3210XEmpty.gz)。 后面加一个 X 的设计符合您的初始 seed 的由来。 Empty 是一个空目录。通常一个基本的从 Empty 开始的转换由 100 个 deltas 构成。顺便说一下,他们都很大!70 到 80 兆字节的 gzip 压缩的数据对于 XEmpty deltas 是很平常的。 一旦您已经选定了一个基本的 delta 开始,您就需要比这个数高的所有的 delta。 在您的日常生活中使用 <application>CTM</application> 要应用 deltas,简单的键入: &prompt.root; cd /where/ever/you/want/the/stuff &prompt.root; ctm -v -v /where/you/store/your/deltas/src-xxx.* CTM 能够理解被 gzip 压缩的 deltas,所以您不需要先 gunzip 他们,这可以节省磁盘空间。 除非觉得整个过程非常可靠, CTM 不会涉及到您的代码树的。您也可以使用 标记来校验 delta, 这样 CTM 就不会涉及代码树; 它会只校验 delta 的完整性看看是否可以安全的用于您的当前代码树。 CTM 还有其他的一些参数, 查看手册页或者源代码了解更多信息。 这真的就是全部的事情了。每次得到一个新的 delta,就通过 CTM 运行它来保证您的代码是最新的。 如果这些 deltas 很难重新下载的话不要删除它们。 有些东西坏掉的时候您会想到保留它们的。 即使您只有软盘,也请考虑使用 fdwrite 来做一份副本。 维持您本地的变动 作为一名开发者喜欢实验,改动代码树中的文件。 CTM 用一种受限的方式支持本地修改:再检查文件 foo 存在之前,首先查找 foo.ctm。如果这个文件存在, CTM 会对它操作而不是 foo 这种行为给我们提供了一种简单的方式来维持本地的改动: 只要复制您计划修改的文件并用 .ctm 的后缀重新命名。 然后就可以自由的修改代码了,CTM 会更新 .ctm 文件到最新版本。 其他有趣的 <application>CTM</application> 选项 正确的找出哪些将被更新 您可以确定变动列表, CTM 可以做到,在您的代码库上使用 CTM 选项。 这很有用如果您想要保存改动的日志, pre- 或者 post- 用各种风格处理修改的文件的纪录, 或者仅仅是想感受一下孩子般的疯狂。 在升级前制作备份 有时您可能想备份将要被 CTM 升级所改动的所有文件。 指定 选项会导致 CTM 备份将要被给定的 CTM delta 改动的所有文件到 backup-file 限定受升级影响的文件 有时您可能对限定一个给定的 CTM 升级的范围感兴趣,也有可能想知道怎样从一列 deltas 中解压缩一部分文件。 您可以通过使用 选项指定过滤规则表达式来控制 CTM 即将对之操作的文件列表。 例如,要从您保存的CTM deltas 集里解压缩出一个最新的 lib/libc/Makefile 文件,运行这个命令: &prompt.root; cd /where/ever/you/want/to/extract/it/ &prompt.root; ctm -e '^lib/libc/Makefile' ~ctm/src-xxx.* 对于每一个在 CTM delta 中指定的文件, 选项按照命令行给定的顺序应用。 文件只有在所有的 被应用之后标记为合格之后 才能被 CTM 操作。 <application>CTM</application> 未来的计划 其中几项: CTM 中使用一些认证方式, 这样来允许察觉冒充的 CTM 补丁。 整理 CTM 的选项, 它们变得杂乱而违反直觉了。 杂项 也有一系列的 ports collection 的 deltas,但是人们对它的兴致还没有那么高。 CTM 镜像 CTM/FreeBSD 可以在下面的镜像站点通过匿名 FTP 下载。如果您选择通过匿名 FTP 获取 CTM, 请试着使用一个离您较近的站点。 如果有问题,请联系 &a.ctm-users.name; 邮件列表。 加利福尼亚州,海湾地区,官方源代码 南非,旧的 deltas 的备份服务器 中国台湾 如果您在您附近找不到镜像或者镜像不完整, 试着使用搜索引擎比如 alltheweb. 使用 CVSup 概述 CVSup 是一个用于从远程服务器主机上的主 CVS 仓库发布和升级源代码树的软件包。 FreeBSD 的源代码维护在加利福尼亚州一台主开发服务器的 CVS 仓库里。 有了 CVSup,FreeBSD 用户可以很容易的保持他们自己的源代码树更新。 CVSup 使用所谓的升级 pull 模式。在 pull 模式下,客户端在需要的时候向服务器端请求更新。 服务器被动的等待客户端的升级请求。 因此所有的升级都是客户端发起的。 服务器决不会发送未请求的升级。用户必须手动运行 CVSup 客户端获取更新, 或者设置一个 cron 作业来让它以固定的规律自动运行。 术语 CVSup用大写字母写正是表示, 代表了完整的软件包。 它的主要组件是运行在每个用户机器上的客户端 cvsup, 和运行在每个 FreeBSD 镜像站点上的服务器端 cvsupd 当您阅读 FreeBSD 文档和邮件列表时,您可能会看见 supSupCVSup 的前身,有着相似的目的。 CVSup 使用很多和 sup 相同的方式, 而且, 它还是用使用和 sup 的兼容的配置文件。 Sup 已经不再被 FreeBSD 项目使用了, 因为 CVSup 既快又有更好的灵活性。 csup 是用 C 语言对 CVSup 软件的重写。 它最大的好处是, 这个程序更快一些, 并且也不需要依赖于 Modula-3 语言, 因此也就不需要安装后者。 另外, 如果您使用 &os; 6.2 或更新版本, 就可以直接使用, 因为它成为了基本系统的一部分。 较早的 &os; 版本的基本系统中并不包含 &man.csup.1;, 但可以通过 net/csup port 或预编译包来安装。 不过需要注意的是, csup 工具并不支持 CVS 模式。 如果您希望对代码库做完整的镜像, 则还是需要使用 CVSup。 假如您决定使用 csup, 则可以跳过安装 CVSup 这一步, 并在文章中余下部分提到的 CVSup 改为 csup 安装 安装 CVSup 最简单的方式就是使用 FreeBSD packages collection 中预编译的 net/cvsup 包。 如果您想从源代码构建 CVSup, 您可以使用 net/cvsup port。但是预先警告一下: net/cvsup port 依赖于 Modula-3 系统,会花费相当的时间和磁盘空间来下载编译。 如果想在没有安装 &xfree86;&xorg; 的计算机, 例如服务器上使用 CVSup, 则只能使用不包含 CVSup GUInet/cvsup-without-gui 如果希望在 &os; 6.1 或更早版本中安装 csup, 则可以从 FreeBSD 的 packages collection 中安装预编译的 net/csup 包; 如果希望自行从源代码编译 csup, 也可以用 net/csup port 来安装。 CVSup 配置 CVSup 的操作被一个叫做 supfile 的配置文件所控制。 在目录 /usr/share/examples/cvsup/ 下面有一些示例的 supfiles supfile 中的信息解答了 CVSup 下面的几个问题: 您想接收 哪些文件? 您想要它们的 哪个版本? 您想从哪里 获取它们? 您想把它们 放在您自己机器的什么地方? 您想把 您的状态文件放在哪? 在下面的章节里,我们通过依次回答这些问题来创建一个典型的 supfile 文件。首先,我们描述一下 supfile 的整体构成。 supfile 是个文本文件。注释用 # 开头,至行尾有效。 空行和只包含注释的行会被忽略。 每个保留行描述一批用户希望接收的文件。 每行以 collection, 由服务器端定义的合理的文件分组,的名字开头。 collection 的名字告诉服务器您想要的文件。 collection 名字结束或者有更多的字段,用空格分隔。 这些字段回答了上面列出的问题。 字段类型有两种:标记字段和值字段。 标记字段由独立的关键字组成,比如, delete 或者 compress。值字段也用关键字开头, 关键字后面跟 = 和第二个词而没有空格。 例如,release=cvs 是一个值字段。 一个典型的 supfile 往往接收多于一个的 collection。创建 supfile 的一种方式是明确的为每一个 collection 指定相关的字段。然而,这样使得 supfile 的行变得特别长,很不方便, 因为 supfile 中的所有 collection 的大部分 字段都是相同的。 CVSup 提供了一个默认机制来避免 这些问题。用特定的伪 collection 名 *default 开头的行可以被用来设置标记和值为 supfile 中随后的 collection 中的默认值。 默认值可以通过为这个 collection 自身指定不同的值来对单个的 collection 覆盖设置, 也可以在 mid-supfile 中通过附加的 *default 行改变或扩充。 知道了这些,我们现在就可以开始创建一个 用于接收和升级 FreeBSD-CURRENT 主源代码树的 supfile 文件了。 您想接收哪些文件? 通过 CVSup 可用的文件组织成叫做 collections 的名称组。 这些可用的 collection 在 随后的章节 中描述。 在这个例子里, 我们希望接收 FreeBSD 系统的完整的主代码树。 有一个单独的大的 collection src-all 让我们完成这个。 创建我们的 supfile 的第一步, 我们简单的列出这些 collection,每个一行(在这个例子里, 只有一行): src-all 您想要他们的 哪个版本? 通过 CVSup,您实际上可以接收 曾经存在的源代码的任何版本。 这是有可能的,因为 cvsupd 服务器直接通过 CVS 仓库工作,那包含了所有的版本。您可以 用 tag= 值字段 指定一个您想要的版本。 仔细的正确指定任何 tag= 字段。有一些 tag 只对特定的 collection 文件合法。 如果您指定了一个不正确的或者 拼写错误的 tag,CVSup 会删除您可能不想删除的文件。 特别地,对 ports-* collection 使用 tag=. tag= 字段在仓库中表示为一个符号标签。 有两种标签,修订标签和分支标签。 修订标签代表一个特定的修订版本。 它的含义是一成不变的。 分支标签,另一方面,代表给定开发线上给定时间的最新修订。 因为分支标签不代表一个特定的修订版本, 它明天的含义就可能和今天的有所不同。 包含了用户可能感兴趣的分支标签。 当在 CVSup 的配置文件中指定标签的时候,必须用 tag= 开头 (RELENG_4 会变成 tag=RELENG_4)。 记住只有 tag=. 可以用于 Ports Collection。 注意像看到的那样正确的输入标签名。 CVSup 不能辨别合法和不合法标签。 如果您拼写错了标签名, CVSup 会像您指定了一个没有任何文件的合法标签一样工作, 那会删除您已经存在的代码。 当您指定一个分支标签的时候,您通常会收到开发线上文件的最新版本。 如果您希望接收一些过时的版本,您可以通过用 值字段指定一个日期来做到。 &man.cvsup.1; 手册页解释了如何来做。 对于我们的示例来说,我们希望接收 FreeBSD-CURRENT。 我们在我们的 supfile 的开头添加这行: *default tag=. 有一个重要的特例, 如果您既没指定 tag= 字段也没指定 date= 字段的情况。这种情况下, 您会收到直接来自于服务器 CVS 仓库的真实的 RCS 文件, 而不是某一特定版本。 开发人员一般喜欢这种操作模式。 通过在他们的系统上维护一份仓库自身的副本, 他们可以浏览修订历史以及检查文件过去的版本。 然而,这个好处是以大量的磁盘空间为代价的。 您想从哪里获取他们? 我们使用 host= 字段来告诉 cvsup 从哪里获取更新。 任何一个 CVSup 镜像站点都可以, 虽然您应该选择一个离您比较近的站点。 在这个例子里我们将使用一个虚拟的 FreeBSD 发布站点, cvsup99.FreeBSD.org *default host=cvsup99.FreeBSD.org 您需要在运行 CVSup 之前把这个改成一个实际存在的站点。 在任何 cvsup 运行的特定时刻, 您都可以在命令行上使用 选项来覆盖主机设置。 您想把它们放在 您自己机器的什么地方? prefix= 字段告诉 cvsup 把接收的文件放在哪里。 在这个例子里,我们把源代码文件直接放进我们的主源代码树, /usr/srcsrc 目录已经隐含在我们选择接收的 collection 里了, 所以正确的写法是: *default prefix=/usr cvsup 在哪里维护它的状态文件? CVSup 客户端在被叫做 base 的目录里维护了几个状态文件。 这些文件帮助 CVSup 更有效的工作, 通过跟踪您已经接收到哪些更新的方式。 我们将使用标准的 base 目录, /var/db *default base=/var/db 如果您的 base 目录还不存在,现在最好创建它。 如果 base 目录不存在,cvsup 客户端会拒绝工作。 其他的 supfile 设置: supfile 中有一些其他选项需要介绍一下: *default release=cvs delete use-rel-suffix compress release=cvs 显示服务器应该从 FreeBSD 的主 CVS 仓库中获取信息。 事实上总是这样的,但是也有可能会超出这个讨论的范围。 deleteCVSup 权限删除文件。 您应该总是指定这个,这样 CVSup 可以保证您的源代码树完全更新。CVSup 很小心的只删除那些不再依赖的文件。 您拥有的任何额外的文件会被严格的保留。 use-rel-suffix 是 ... 不可思议的。 如果您真的想了解它,查看 &man.cvsup.1; 手册页。 否则,就指定而不用担心这个。 compress 启用 gzip 风格的信道压缩。 如果您的网络连接是 T1 或者更快, 您可能不想使用压缩。 否则,它非常有帮助。 把它们放在一起: 这是我们的示例的完整 supfile 文件: *default tag=. *default host=cvsup99.FreeBSD.org *default prefix=/usr *default base=/var/db *default release=cvs delete use-rel-suffix compress src-all <filename>refuse</filename> 文件 像上面提到的,CVSup 使用一种 pull 方法。基本上,这意味着您要连接到 CVSup 服务器,服务器说, 这有些您能下载的东西 ...,然后您的客户端反应好,我要这个, 这个,这个,还有这个。在默认的配置中, CVSup 客户端会取回您在配置文件中选定的 collection 和标签的每个文件。 然而,并不总是您想要的, 尤其是您在同步 docports,或者 www 树 — 大部分人都不能阅读四种或者五种 语言,因此他们不需要下载特定语言的文件。 如果您在 CVSup Ports Collection,您 可以通过单独指定每个 collection 来避免这个 (比如,ports-astrologyports-biology,等等取代简单的说明 ports-all)。然而,因为 docwww 树没有特定语言的 collection,您必须 使用 CVSup 许多极好的特性之一: refuse 文件。 refuse 文件本质上是告诉 CVSup 它不应该从 collection 中取得某些文件;换句话说,它告诉客户端 拒绝 来自服务器的特定的文件。 refuse 文件可以在 base/sup/ 中找到(或者,如果您没有,应该创建一个)。 base 在您的 supfile 中定义; 默认情况下,base 就是 /var/db, 这意味着默认的 refuse 文件就是 /var/db/sup/refuse refuse 文件的格式很简单; 它仅仅包含您不希望下载的文件和目录名。 例如,如果您除了英语和德语之外不会讲其他语言, 而且也不打算阅读德文的文档翻译版本, 则可以把下面这些放在您的 refuse 文件里: doc/bn_* doc/da_* doc/de_* doc/el_* doc/es_* doc/fr_* doc/hu_* doc/it_* doc/ja_* doc/mn_* doc/nl_* doc/no_* doc/pl_* doc/pt_* doc/ru_* doc/sr_* doc/tr_* doc/zh_* 等等其他语言(您可以通过浏览 FreeBSD CVS 仓库找到完整的列表)。 有这个非常有用的特性,那些慢速连接或者要为他们的 Internet 连接按时付费的用户就可以节省宝贵的时间因为他们不再需要 下载那些从来不用的文件。要了解 refuse 文件的更多信息以及其它 CVSup 的优雅的特性,请浏览它的 手册页。 运行 <application>CVSup</application> 您现在准备尝试升级了。命令很简单: &prompt.root; cvsup supfile supfile 的位置当然就是您刚刚创建的 supfile 文件名啦。 如果您在 X11 下面运行,cvsup 会显示一个有一些可以做平常事情的按钮的 GUI 窗口。 按 go 按钮,然后看着它运行。 在这个例子里您将要升级您目前的 /usr/src 树,您将需要 用 root 来运行程序,这样 cvsup 有需要的权限来更新您的文件。 刚刚创建了您的配置文件,又从来没有使用过这个程序, 紧张不安是可以理解的。有一个简单的方法不改变您当前的文件 来做一次试验性的运行。只要在方便的地方创建一个 空目录,并在命令行上作为一个额外的参数说明: &prompt.root; mkdir /var/tmp/dest &prompt.root; cvsup supfile /var/tmp/dest 您指定的目录会作为所有文件更新的目的路径。 CVSup 会检查您在 /usr/src 中的文件,但是不会修改或 删除。任何文件更新都会被放到 /var/tmp/dest/usr/src 里了。 在这种方式下运行 CVSup 也会把它的 base 目录状态文件保持原样。这些文件的新版本 会被写到指定的目录。 因为您有 /usr/src 目录的读权限,所以执行这种试验性的运行 甚至不需要使用 root 用户。 如果您没有运行 X11 或者不喜欢 GUI, 当您运行 cvsup 的时候需要在命令行添加 两个选项: &prompt.root; cvsup -g -L 2 supfile 告诉 CVSup 不要使用 GUI。如果您 没在运行 X11 这个是自动的,否则您必须指定它。 告诉 CVSup 输出所有正在升级的文件的细节。 有三个等级可以选择,从 。默认是 0,意味着除了错误消息 什么都不输出。 还有许多其它的选项可用。想要一个简短的列表, 输入 cvsup -H。要查看更详细的描述, 请查看手册页。 一旦您对升级工作的方式满意了,您就 可以使用 &man.cron.8; 来安排规则的运行 CVSup。 很显然的,您不应该让 CVSup 通过 &man.cron.8; 运行的时候使用它的 GUI。 <application>CVSup</application> 文件 collection CVSup 可用的文件 collection 是分级组织的。 有几个大的 collection,然后它们有分成更小的子 collection。接收一个大的 collection 等同于 接收它的每一个子 collection。 collection 的等级关系在下面列表中通过缩进的使用 反映出来。 最常用的 collection 是 src-all,和 ports-all。其它的 collection 只被有着特定 目的的小部分人使用, 有些站点可能不全部支持。 cvs-all release=cvs FreeBSD 主 CVS 仓库,包含 密码系统的代码。 distrib release=cvs FreeBSD 发行版本和镜像相关的 文件。 doc-all release=cvs FreeBSD 使用手册和其它文档的源代码。 其中不包含 FreeBSD web 站点的文件。 ports-all release=cvs FreeBSD Ports Collection。 如果您不想升级全部的 ports-all(整个 ports 树), 而只是使用下面列出的一个子集, 请确保您总是升级了 ports-base 子 collection! 无论何时在 ports 构建下层构造有所改变的时候都会通过 ports-base 表现出来,事实上某些 改变会很快的被实际的 ports 使用,因此,如果您只升级了 实际的 ports 而他们使用了一些新的特性, 就有极大的可能编译会因一些神秘的错误信息而失败。 这种情况下非常快速的要做的事情 就是确保您的 ports-base 子 collection 更新到 最新。 要自行构建 ports/INDEX, 您 必须 接受 ports-all (完整的 ports tree)。 在部分 ports tree 上构建 ports/INDEX 是不被支持的。 请参见 FAQ ports-accessibility release=cvs 用以帮助残疾用户的软件。 ports-arabic release=cvs 阿拉伯语支持。 ports-archivers release=cvs 存档工具。 ports-astro release=cvs 天文相关的 ports。 ports-audio release=cvs 声音支持。 ports-base release=cvs Ports Collection 构建下部构造 - 位于 /usr/portsMk/Tools/ 子目录的 各种各样的文件。 请查看 重要警告:您应该 总是更新这个 子 collection,无论您更新 FreeBSD Ports Collection 的任何部分的时候! ports-benchmarks release=cvs 基准。 ports-biology release=cvs 生物学。 ports-cad release=cvs 计算机辅助设计工具。 ports-chinese release=cvs 中文语言支持。 ports-comms release=cvs 通信软件。 ports-converters release=cvs 字符编码转换。 ports-databases release=cvs 数据库 ports-deskutils release=cvs 计算机发明前常出现在桌面上的东西。 ports-devel release=cvs 开发工具。 ports-dns release=cvs DNS 相关软件。 ports-editors release=cvs 编辑器 ports-emulators release=cvs 其它操作系统的模拟器 ports-finance release=cvs 货币,金融相关应用程序。 ports-ftp release=cvs FTP 客户端和服务器端工具。 ports-games release=cvs 游戏 ports-german release=cvs 德语支持。 ports-graphics release=cvs 图形图像工具。 ports-hebrew release=cvs 希伯来语支持。 ports-hungarian release=cvs 匈牙利语言支持。 ports-irc release=cvs Internet 多线交谈(IRC)工具。 ports-japanese release=cvs 日语支持。 ports-java release=cvs &java; 工具。 ports-korean release=cvs 韩国语言支持。 ports-lang release=cvs 编程语言。 ports-mail release=cvs 邮件软件。 ports-math release=cvs 数值计算软件。 ports-mbone release=cvs MBone 应用程序。 ports-misc release=cvs 杂样工具。 ports-multimedia release=cvs 多媒体软件。 ports-net release=cvs 网络软件。 ports-net-im release=cvs 即时消息软件。 ports-net-mgmt release=cvs 网管软件。 ports-net-p2p release=cvs 对等网 (peer to peer network) 应用。 ports-news release=cvs USENET 新闻软件。 ports-palm release=cvs Palm 系列软件支持。 ports-polish release=cvs 波兰语支持。 ports-ports-mgmt release=cvs 用于管理 ports 和预编译包的工具。 ports-portuguese release=cvs 葡萄牙语支持。 ports-print release=cvs 打印软件。 ports-russian release=cvs 俄语支持。 ports-science release=cvs 科学计算。 ports-security release=cvs 安全工具。 ports-shells release=cvs 命令行 shell。 ports-sysutils release=cvs 系统实用工具。 ports-textproc release=cvs 文本处理工具(不 包含桌面出版)。 ports-ukrainian release=cvs 乌克兰语支持。 ports-vietnamese release=cvs 越南语支持。 ports-www release=cvs 万维网(WWW)相关软件。 ports-x11 release=cvs 支持 X window 系统的 ports。 ports-x11-clocks release=cvs X11 时钟。 ports-x11-drivers release=cvs X11 驱动程序。 ports-x11-fm release=cvs X11 文件管理器。 ports-x11-fonts release=cvs X11 字体和字体工具。 ports-x11-toolkits release=cvs X11 工具包。 ports-x11-servers release=cvs X11 服务器。 ports-x11-themes release=cvs X11 主题。 ports-x11-wm release=cvs X11 窗口管理器。 projects-all release=cvs FreeBSD 内部项目的代码库。 src-all release=cvs FreeBSD 主代码,包含密码系统的代码。 src-base release=cvs /usr/src 顶层的各式各样的文件。 src-bin release=cvs 但用户模式下可能用到的用户工具 (/usr/src/bin)。 src-cddl release=cvs 采用了 CDDL 授权的实用工具和函数库 (/usr/src/cddl)。 src-contrib release=cvs FreeBSD 项目之外的工具和库,通常在 FreeBSD 中不作修改 (/usr/src/contrib)。 src-crypto release=cvs FreeBSD 项目之外的 密码系统工具和库,通常在 FreeBSD 中不作修改 (/usr/src/crypto)。 src-eBones release=cvs Kerberos 和 DES (/usr/src/eBones)。 没有在当前的 FreeBSD 发行中使用。 src-etc release=cvs 系统配置文件 (/usr/src/etc)。 src-games release=cvs 游戏 (/usr/src/games)。 src-gnu release=cvs GNU 公共许可协议的工具 (/usr/src/gnu)。 src-include release=cvs 头文件 (/usr/src/include)。 src-kerberos5 release=cvs Kerberos5 安全包 (/usr/src/kerberos5)。 src-kerberosIV release=cvs KerberosIV 安全包 (/usr/src/kerberosIV)。 src-lib release=cvs 库 (/usr/src/lib)。 src-libexec release=cvs 通常被其它程序调用的系统程序 (/usr/src/libexec)。 src-release release=cvs 生成 FreeBSD 版本必需的文件 (/usr/src/release)。 src-rescue release=cvs 用于紧急修复的静态联编的程序; 请参见 &man.rescue.8; (/usr/src/rescue)。 src-sbin release=cvs 但用户模式的系统工具 (/usr/src/sbin)。 src-secure release=cvs 密码相关库和命令 (/usr/src/secure)。 src-share release=cvs 跨多个平台的共享的文件 (/usr/src/share)。 src-sys release=cvs 内核 (/usr/src/sys)。 src-sys-crypto release=cvs 内核密码系统代码 (/usr/src/sys/crypto)。 src-tools release=cvs 维护 FreeBSD 的各种各样的工具 (/usr/src/tools)。 src-usrbin release=cvs 用户工具 (/usr/src/usr.bin)。 src-usrsbin release=cvs 系统工具 (/usr/src/usr.sbin)。 www release=cvs FreeBSD WWW 站点的源代码。 distrib release=self CVSup 服务器的 配置文件。用于 CVSup 镜像站点。 gnats release=current GNATS bug 跟踪数据库。 mail-archive release=current FreeBSD 邮件列表存档。 www release=current 预处理过的 FreeBSD WWW 站点文件(不是源文件)。 用于 WWW 镜像站点。 更多信息 CVSup FAQ 以及关于 CVSup 的其他信息, 请查看 CVSup 主页 多数与 FreeBSD 有关的 CVSup 讨论会在 &a.hackers; 进行。 这个软件的新版本会在那里和 &a.announce; 公布。 如果对于 CVSup 有任何问题, 或希望提交 bug 报告, 请参阅 CVSup FAQ CVSup 站点 FreeBSD 的 CVSup 服务器运行于 下列站点: &chap.mirrors.cvsup.inc; CVS 标签 当使用 cvs 或者 CVSup 获取和升级源代码的时候,必须指定一个修订标签。 修订标签代表 &os; 开发的一个特定分支, 或者一个特定的时间点。第一种叫做 分支标签,第二种叫做 版本标签 分支标签 所有这些,除了 HEAD (这个总是 合法标签)以外,只适用于 src/ 树。ports/doc/,和 www/ 树没有分支。 HEAD 主线的符号名,或者说 FreeBSD-CURRENT。 当没有指定修订版本的时候也是默认的。 CVSup 里,这个标签通过 一个 . 来反映出来(不是标点,而是一个 . 字符)。 在 CVS 里,当没有修订标签指定时这是默认的。 在一台 STABLE 机器上检出或者升级到 CURRENT 源代码 通常不是 一个好主意,除非这是您的本意。 RELENG_7 这是 FreeBSD-7.X 的开发分支, 也被称作 FreeBSD 7-STABLE。 + + RELENG_7_1 + + + FreeBSD-7.1 的发行版分支, 只用于安全公告, + 以及其他重要更新。 + + + RELENG_7_0 FreeBSD-7.0 的发行版分支, 只用于安全公告, 以及其他重要更新。 RELENG_6 这是 FreeBSD-6.X 的开发分支, 也被称作 FreeBSD 6-STABLE。 RELENG_6_4 FreeBSD-6.4 的发行版分支, 只用于安全公告, 以及其他重要更新。 RELENG_6_3 FreeBSD-6.3 的发行版分支, 只用于安全公告, 以及其他重要更新。 RELENG_6_2 FreeBSD-6.2 的发行版分支, 只用于安全公告, 以及其他重要更新。 RELENG_6_1 FreeBSD-6.1 的发行版分支, 只用于安全公告, 以及其他重要更新。 RELENG_6_0 FreeBSD-6.0 的发行版分支, 只用于安全公告, 以及其他重要更新。 RELENG_5 这是 FreeBSD-5.X 的开发分支, 也被称作 FreeBSD 5-STABLE。 RELENG_5_5 FreeBSD-5.5 安全分支。 只被安全公告和其它重要更新使用。 RELENG_5_4 FreeBSD-5.4 安全分支。 只被安全公告和其它重要更新使用。 RELENG_5_3 FreeBSD-5.3 安全分支。 只被安全公告和其它重要更新使用。 RELENG_5_2 针对 FreeBSD-5.2 和 FreeBSD-5.2.1 的发行版本分支,只做 安全咨询和其它紧急的修正。 RELENG_5_1 针对 FreeBSD-5.1 的发行版本分支,只做 安全咨询和其它紧急的修正。 RELENG_5_0 针对 FreeBSD-5.0 的发行版本分支,只做 安全咨询和其它紧急的修正。 RELENG_4 FreeBSD-4.X 开发线,也被叫做 FreeBSD-STABLE。 RELENG_4_11 FreeBSD-4.11 发行版, 只被安全公告和其它重要更新使用。 RELENG_4_10 针对 FreeBSD-4.10 的发行版本分支,只做 安全咨询和其它紧急的修正。 RELENG_4_9 针对 FreeBSD-4.9 的发行版本分支,只做 安全咨询和其它紧急的修正。 RELENG_4_8 针对 FreeBSD-4.8 的发行版本分支,只做 安全咨询和其它紧急的修正。 RELENG_4_7 针对 FreeBSD-4.7 的发行版本分支,只做 安全咨询和其它紧急的修正。 RELENG_4_6 针对 FreeBSD-4.6 和 FreeBSD-4.6.2 的发行版本分支,只做 安全咨询和其它紧急的修正。 RELENG_4_5 针对 FreeBSD-4.5 的发行版本分支,只做 安全咨询和其它紧急的修正。 RELENG_4_4 针对 FreeBSD-4.4 的发行版本分支,只做 安全咨询和其它紧急的修正。 RELENG_4_3 针对 FreeBSD-4.3 的发行版本分支,只做 安全咨询和其它紧急的修正。 RELENG_3 FreeBSD-3.X 的开发线,也被叫做 3.X-STABLE。 RELENG_2_2 FreeBSD-2.2.X 的开发线,也被叫做 2.2-STABLE。这个分支过于陈旧了。 版本标签 当一个特定的 &os; 版本发行时, 这些标签代表了一个指定的时间点。发布工程进程在 Release Engineering InformationRelease Process 文档中被详细描述。 src 树使用以 RELENG_ 开头的标签。 portsdoc 树使用以 RELEASE 开头的标签。 最后, www 树上不会有任何特定发行版的标签。 + + RELENG_7_1_0_RELEASE + + + FreeBSD 7.1 + + + RELENG_7_0_0_RELEASE FreeBSD 7.0 RELENG_6_4_0_RELEASE FreeBSD 6.4 RELENG_6_3_0_RELEASE FreeBSD 6.3 RELENG_6_2_0_RELEASE FreeBSD 6.2 RELENG_6_1_0_RELEASE FreeBSD 6.1 RELENG_6_0_0_RELEASE FreeBSD 6.0 RELENG_5_5_0_RELEASE FreeBSD 5.5 RELENG_5_4_0_RELEASE FreeBSD 5.4 RELENG_4_11_0_RELEASE FreeBSD 4.11 RELENG_5_3_0_RELEASE FreeBSD 5.3 RELENG_4_10_0_RELEASE FreeBSD 4.10 RELENG_5_2_1_RELEASE FreeBSD 5.2.1 RELENG_5_2_0_RELEASE FreeBSD 5.2 RELENG_4_9_0_RELEASE FreeBSD 4.9 RELENG_5_1_0_RELEASE FreeBSD 5.1 RELENG_4_8_0_RELEASE FreeBSD 4.8 RELENG_5_0_0_RELEASE FreeBSD 5.0 RELENG_4_7_0_RELEASE FreeBSD 4.7 RELENG_4_6_2_RELEASE FreeBSD 4.6.2 RELENG_4_6_1_RELEASE FreeBSD 4.6.1 RELENG_4_6_0_RELEASE FreeBSD 4.6 RELENG_4_5_0_RELEASE FreeBSD 4.5 RELENG_4_4_0_RELEASE FreeBSD 4.4 RELENG_4_3_0_RELEASE FreeBSD 4.3 RELENG_4_2_0_RELEASE FreeBSD 4.2 RELENG_4_1_1_RELEASE FreeBSD 4.1.1 RELENG_4_1_0_RELEASE FreeBSD 4.1 RELENG_4_0_0_RELEASE FreeBSD 4.0 RELENG_3_5_0_RELEASE FreeBSD-3.5 RELENG_3_4_0_RELEASE FreeBSD-3.4 RELENG_3_3_0_RELEASE FreeBSD-3.3 RELENG_3_2_0_RELEASE FreeBSD-3.2 RELENG_3_1_0_RELEASE FreeBSD-3.1 RELENG_3_0_0_RELEASE FreeBSD-3.0 RELENG_2_2_8_RELEASE FreeBSD-2.2.8 RELENG_2_2_7_RELEASE FreeBSD-2.2.7 RELENG_2_2_6_RELEASE FreeBSD-2.2.6 RELENG_2_2_5_RELEASE FreeBSD-2.2.5 RELENG_2_2_2_RELEASE FreeBSD-2.2.2 RELENG_2_2_1_RELEASE FreeBSD-2.2.1 RELENG_2_2_0_RELEASE FreeBSD-2.2.0 AFS 站点 FreeBSD 的 AFS 服务器运行于下面的站点: 瑞典 文件的路径是: /afs/stacken.kth.se/ftp/pub/FreeBSD/ stacken.kth.se # Stacken Computer Club, KTH, Sweden 130.237.234.43 #hot.stacken.kth.se 130.237.237.230 #fishburger.stacken.kth.se 130.237.234.3 #milko.stacken.kth.se 维护者 ftp@stacken.kth.se rsync 站点 下面的站点让 FreeBSD 可以通过 rsync 协议下载。 rsync 实用程序和 &man.rcp.1; 的工作方式很相像, 但是有更多的选项,使用 rsync 远程更新协议只传输 两份文件的不同之处, 因此能够大幅度的提高网络同步速率。 如果您是 FreeBSD FTP 服务器或者 CVS 仓库的镜像站点, 这一点非常有用。 rsync 套件可以工作在许多种 操作系统上,在 FreeBSD 上,查看 net/rsync port 或者使用 package。 捷克共和国 rsync://ftp.cz.FreeBSD.org/ 可用的 collection: ftp:FreeBSD FTP 服务器的 部分镜像。 FreeBSD:FreeBSD FTP 服务器的 完整镜像。 - - 德国 - - - rsync://grappa.unix-ag.uni-kl.de/ - - 可用的 collection: - - freebsd-cvs:完整的 FreeBSD - CVS 仓库。 - - 这台服务器也镜像 NetBSD 和 OpenBSD 项目, - 还有其他的一些项目的 CVS 仓库。 - - - 荷兰 rsync://ftp.nl.FreeBSD.org/ 可用的 collection: vol/4/freebsd-core: 对于 FreeBSD FTP 服务器的完整镜像。 俄罗斯 rsync://cvsup4.ru.FreeBSD.org/ 可用的 collections: FreeBSD-gnats: GNATS bug 跟踪数据库。 台湾地区 (中国) rsync://ftp.tw.FreeBSD.org/ rsync://ftp2.tw.FreeBSD.org/ rsync://ftp6.tw.FreeBSD.org/ 可用的 collection: FreeBSD: FreeBSD FTP 服务器的完整镜像。 英国 rsync://rsync.mirror.ac.uk/ 可用的 collection: ftp.FreeBSD.org: FreeBSD FTP 服务器 的完整镜像。 美国 rsync://ftp-master.FreeBSD.org/ 服务器只供 FreeBSD 主镜像站点使用。 可用的 collection: FreeBSD:FreeBSD FTP 服务器的主要存档。 acl:FreeBSD 主 ACL 列表。 rsync://ftp13.FreeBSD.org/ 可用的 collection: FreeBSD:FreeBSD FTP 服务器的完整 镜像。 diff --git a/zh_CN.GB2312/books/handbook/network-servers/chapter.sgml b/zh_CN.GB2312/books/handbook/network-servers/chapter.sgml index 08bb52ee63..6aef0019b9 100644 --- a/zh_CN.GB2312/books/handbook/network-servers/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/network-servers/chapter.sgml @@ -1,4714 +1,4732 @@ Murray Stokely Reorganized by 网络服务器 概要 本章将覆盖某些在 &unix; 系统上常用的网络服务。话题将会涉及 如何安装、配置、测试和维护多种不同类型的网络服务。本章节中将提 供大量配置文件的样例,期望能够对您有所裨益。 在读完本章之后,您将会知道: 如何管理 inetd 如何设置运行一个网络文件系统。 如何配置一个网络信息服务器以共享用户帐号。 如何通过DHCP自动配置网络。 如何配置一个域名服务器。 如何设置Apache HTTP 服务器。 如何设置文件传输(FTP)服务器。 如何使用Samba为 &windows; 客户端设置文件和打印服务。 如何同步时间和日期,以及如何设置使用NTP协议的时间服务器。 如何配置标准的日志守护进程, syslogd, 接受远程主机的日志。 在阅读此章节之前,您应当: 理解有关/etc/rc中脚本的基本知识。 熟悉基本网络术语。 懂得如何安装额外的第三方软件()。 Chern Lee Contributed by 为 &os; 6.1-RELEASE 进行了更新, 由 The &os; Documentation Project <application>inetd</application> <quote>超级服务器</quote> 总览 &man.inetd.8; 有时也被称作 Internet 超级服务器, 因为它可以为多种服务管理连接。 当 inetd 收到连接时, 它能够确定连接所需的程序, 启动相应的进程, 并把 socket 交给它 (服务 socket 会作为程序的标准输入、 输出和错误输出描述符)。 使用 inetd 来运行那些负载不重的服务有助于降低系统负载, 因为它不需要为每个服务都启动独立的服务程序。 一般说来, inetd 主要用于启动其它服务程序, 但它也有能力直接处理某些简单的服务, 例如 chargenauth, 以及 daytime 这一节将介绍关于如何通过命令行选项, 以及配置文件 /etc/inetd.conf 来对 inetd 进行配置的一些基础知识。 设置 inetd 是通过 &man.rc.8; 系统启动的。 inetd_enable 选项默认设为 NO, 但可以在安装系统时, 由用户根据需要通过 sysinstall 来打开。 将: inetd_enable="YES" inetd_enable="NO" 写入 /etc/rc.conf 可以启用或禁用系统启动时 inetd 的自动启动。 命令: &prompt.root; /etc/rc.d/inetd rcvar 可以显示目前的设置。 此外, 您还可以通过 inetd_flags 参数来向 inetd 传递额外的其它参数。 命令行选项 与多数服务程序类似, inetd 也提供了为数众多的用以控制其行为的参数。 完整的参数列表如下: inetd 这些参数都可以通过 /etc/rc.confinetd_flags 选项来传给 inetd。 默认情况下, inetd_flags 设为 -wW -C 60, 者表示希望为 inetd 的服务启用 TCP wrapping, 并阻止来自同一 IP 每分钟超过 60 次的请求。 初学的用户可能会很高兴地发现这些选项通常并不需要进行修改, 前面提到的速率限制选项在您的服务器收到过量请求的连接时, 则会有效地发挥作用。 完整的参数列表, 可以在 &man.inetd.8; 联机手册中找到。 -c maximum 指定单个服务的最大并发访问数量,默认为不限。 也可以在此服务的具体配置里面通过改掉。 -C rate 指定单个服务一分钟内能被单个IP地址调用的最大次数, 默认不限。也可以在此服务的具体配置里面通过 改掉。 -R rate 指定单个服务一分钟内能被调用的最大次数,默认为256。 设为0 则允许不限次数调用。 -s maximum 指定同一 IP 同时请求同一服务时允许的最大值; 默认值为不限制。 您可以通过 参数来以服务为单位进行限制。 <filename>inetd.conf</filename> 对于 inetd 的配置, 是通过 /etc/inetd.conf 文件来完成的。 在修改了 /etc/inetd.conf 之后, 可以使用下面的命令来强制 inetd 重新读取配置文件: 重新加载 <application>inetd</application> 配置文件 &prompt.root; /etc/rc.d/inetd reload 配置文件中的每一行都是一个独立的服务程序。 在这个文件中, 前面有 # 的内容被认为是注释。 /etc/inetd.conf 文件的格式如下: service-name socket-type protocol {wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]] user[:group][/login-class] server-program server-program-arguments 下面是针对 IPv4 的 &man.ftpd.8; 服务的例子: ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l service-name 指明各个服务的服务名。其服务名必须与/etc/services中列出的一致。 这将决定inetd会监听哪个port。 一旦有新的服务需要添加,必须先在/etc/services里面添加。 socket-type 可以是streamdgramraw或者 seqpacketstream 用于基于连接的 TCP 服务;而 dgram 则用于使用 UDP 协议的服务。 protocol 下列之一: 协议 说明 tcp, tcp4 TCP IPv4 udp, udp4 UDP IPv4 tcp6 TCP IPv6 udp6 UDP IPv6 tcp46 Both TCP IPv4 and v6 udp46 Both UDP IPv4 and v6 {wait|nowait}[/max-child[/max-connections-per-ip-per-minute[/max-child-per-ip]]] 指明从inetd 里头调用的服务是否可以自己处理socket. socket类型必须使用, 而stream socket daemons, 由于通常使用多线程方式,应当使用 . 通常把多个 socket 丢给单个服务进程, 而 则 会为每个新的 socket 生成一个子进程。 选项能够配置 inetd 能为本服务派生出的最大子进程数量。 如果某特定服务需要限定最高10个实例, 把/10 放到后头就可以了。 指定 /0 表示不限制子进程的数量。 除了 之外, 还有两个选项可以限制来自同一位置到特定服务的最大连接数。 可以限制特定 IP 地址每分钟的总连接数, 例如, 限制任何 IP 地址每分钟最多连接十次。 则可以限制为某一 IP 地址在任何时候所启动的子进程数量。 这些选项对于防止针对服务器有意或无意的资源耗竭和拒绝服务 (DoS) 攻击十分有用。 这个字段中, 必须指定 两者之一。 而 则是可选项。 流式多线程服务, 并且不配置任何 限制时, 其配置为: nowait 同一个服务, 但希望将服务启动的数量限制为十个时, 则是: nowait/10 同样配置, 限制每个 IP 地址每分钟最多连接二十次, 而同时启动的子进程最多十个, 应写作: nowait/10/20 下面是 &man.fingerd.8; 服务的默认配置: finger stream tcp nowait/3/10 nobody /usr/libexec/fingerd fingerd -s 最后这个例子中, 将子进程数限制为 100 个, 而任意 IP 最多同时建立 5 个连接: nowait/100/0/5 user 该开关指定服务将以什么用户身份运行。一般而言,服务运行身份是 root。基于安全目的,可以看到有些服务以 daemon身份,或者是最小特权的 nobody身份运行。 server-program 当连接到来时,执行服务程序的全路径。如果服务是由 inetd内置提供的,以代替。 server-program-arguments 调用到时,该开关 的值通过argv[0]通过传递给服务而工作。 如果命令行为:mydaemon -d,则 mydaemon -d 开关的值。同样的,如果服务是由inetd 内置提供的,这里还是 Security 随安装时所选的模式不同, 许多 inetd 的服务可能已经默认启用。 如果确实不需要某个特定的服务, 则应考虑禁用它。 在 /etc/inetd.conf 中, 将对应服务的那行前面加上 #, 然后 重新加载 inetd 配置 就可以了。 某些服务, 例如 fingerd, 可能是完全不需要的, 因为它们提供的信息可能对攻击者有用。 某些服务在设计时是缺少安全意识的, 或者有过长或压根没有连接请求的超时机制。 这使得攻击者能够通过缓慢地对这些服务发起连接, 并耗尽可用的资源。 对于这种情况, 设置 限制, 来制约服务的行为是个好办法。 默认情况下,TCP wrapping 是打开的。参考 &man.hosts.access.5; 手册,以获得更多关于在各种 inetd 调用的服务上设置TCP限制的信息。 杂项 daytimetimeechodiscardchargen, 以及 auth 都是由 inetd 提供的内建服务。 auth 服务提供了网络身份服务, 它可以配置为提供不同级别的服务, 而其它服务则通常只能简单的打开或关闭。 参考 &man.inetd.8; 手册获得更多信息。 Tom Rhodes Reorganized and enhanced by Bill Swingle Written by 网络文件系统(NFS) NFS 网络文件系统是FreeBSD支持的文件系统中的一种, 也被称为 NFSNFS允许一个系统在网络上与它人共享目录和文件。通过使用NFS,用户和程序可以象访问本地文件 一样访问远端系统上的文件。 以下是NFS最显而易见的好处: 本地工作站使用更少的磁盘空间,因为通常的数据可以存放在一 台机器上而且可以通过网络访问到。 用户不必在每个网络上机器里头都有一个home目录。Home目录 可以被放在NFS服务器上并且在网络上处处可用。 诸如软驱,CDROM,和 &iomegazip; 之类的存储设备可以在网络上面被别的机器使用。 这可以减少整个网络上的可移动介质设备的数量。 <acronym>NFS</acronym>是如何工作的 NFS 至少包括两个主要的部分: 一台服务器, 以及至少一台客户机, 客户机远程地访问保存在服务器上的数据。 要让这一切运转起来, 需要配置并运行几个程序。 服务器必须运行以下服务: NFS server (服务) 文件服务器 UNIX 客户机 rpcbind mountd nfsd 服务 描述 nfsd NFS,为来自NFS客户端的 请求服务。 mountd NFS挂载服务,处理&man.nfsd.8;递交过来的请求。 rpcbind 此服务允许 NFS 客户程序查询正在被 NFS 服务使用的端口。 客户端同样运行一些进程,比如 nfsiodnfsiod处理来自NFS的请求。 这是可选的,而且可以提高性能,对于普通和正确的操作来说并不是必须的。 参考&man.nfsiod.8;手册获得更多信息。 配置<acronym>NFS</acronym> NFS configuration NFS的配置过程相对简单。这个过程只需要 对/etc/rc.conf文件作一些简单修改。 NFS服务器这端,确认/etc/rc.conf 文件里头以下开关都配上了: rpcbind_enable="YES" nfs_server_enable="YES" mountd_flags="-r" 只要NFS服务被置为enable,mountd 就能自动运行。 在客户端一侧,确认下面这个开关出现在 /etc/rc.conf里头: nfs_client_enable="YES" /etc/exports文件指定了哪个文件系统 NFS应该输出(有时被称为共享)。 /etc/exports里面每行指定一个输出的文件系统和 哪些机器可以访问该文件系统。在指定机器访问权限的同时,访问选项 开关也可以被指定。有很多开关可以被用在这个文件里头,不过不会在这 里详细谈。您可以通过阅读&man.exports.5; 手册来发现这些开关。 以下是一些/etc/exports的例子: NFS export examples 下面是一个输出文件系统的例子, 不过这种配置与您所处的网络环境及其配置密切相关。 例如, 如果要把 /cdrom 输出给与服务器域名相同的三台计算机 (因此例子中只有机器名, 而没有给出这些计算机的域名), 或在 /etc/hosts 文件中进行了这种配置。 标志表示把输出的文件系统置为只读。 由于使用了这个标志, 远程系统在输出的文件系统上就不能写入任何变动了。 /cdrom -ro host1 host2 host3 下面的例子可以输出/home给三个以IP地址方式表示的主机。 对于在没有配置DNS服务器的私有网络里头,这很有用。 此外, /etc/hosts 文件也可以用以配置主机名;参看 &man.hosts.5; 。 标记允许子目录被作为挂载点。 也就是说,客户端可以根据需要挂载需要的目录。 /home -alldirs 10.0.0.2 10.0.0.3 10.0.0.4 下面几行输出 /a ,以便两个来自不同域的客户端可以访问文件系统。 标记授权远端系统上的 root 用户在被输出的文件系统上以root身份进行读写。 如果没有特别指定 -maproot=root 标记, 则即使用户在远端系统上是 root 身份, 也不能修改被输出文件系统上的文件。 /a -maproot=root host.example.com box.example.org 为了能够访问到被输出的文件系统,客户端必须被授权。 请确认客户端在您的 /etc/exports 被列出。 /etc/exports 里头,每一行里面,输出信息和文件系统一一对应。 一个远程主机每次只能对应一个文件系统。而且只能有一个默认入口。比如,假设 /usr 是独立的文件系统。这个 /etc/exports 就是无效的: # Invalid when /usr is one file system /usr/src client /usr/ports client 一个文件系统,/usr, 有两行指定输出到同一主机, client. 解决这一问题的正确的格式是: /usr/src /usr/ports client 在同一文件系统中, 输出到指定客户机的所有目录, 都必须写到同一行上。 没有指定客户机的行会被认为是单一主机。 这限制了你可以怎样输出的文件系统, 但对绝大多数人来说这不是问题。 下面是一个有效输出列表的例子, /usr/exports 是本地文件系统: # Export src and ports to client01 and client02, but only # client01 has root privileges on it /usr/src /usr/ports -maproot=root client01 /usr/src /usr/ports client02 # The client machines have root and can mount anywhere # on /exports. Anyone in the world can mount /exports/obj read-only /exports -alldirs -maproot=root client01 client02 /exports/obj -ro 在修改了 /etc/exports 文件之后, 就必须让 mountd 服务重新检查它, 以便使修改生效。 一种方法是通过给正在运行的服务程序发送 HUP 信号来完成: &prompt.root; kill -HUP `cat /var/run/mountd.pid` 或指定适当的参数来运行 mountd &man.rc.8; 脚本: &prompt.root; /etc/rc.d/mountd onereload 关于使用 rc 脚本的细节, 请参见 另外, 系统重启动可以让 FreeBSD 把一切都弄好。 尽管如此, 重启不是必须的。 以 root 身份执行下面的命令可以搞定一切。 NFS 服务器端: &prompt.root; rpcbind &prompt.root; nfsd -u -t -n 4 &prompt.root; mountd -r NFS 客户端: &prompt.root; nfsiod -n 4 现在每件事情都应该就绪,以备挂载一个远端文件系统。 在这些例子里头, 服务器名字将是:server ,而客户端的名字将是: client。 如果您只打算临时挂载一个远端文件系统或者只是打算作测试配置正确与否, 只要在客户端以 root 身份执行下面的命令: NFS mounting &prompt.root; mount server:/home /mnt 这条命令会把服务端的 /home 目录挂载到客户端的 /mnt 上。 如果配置正确,您应该可以进入客户端的 /mnt 目录并且看到所有服务端的文件。 如果您打算让系统每次在重启动的时候都自动挂载远端的文件系统,把那个文件系统加到 /etc/fstab 文件里头去。下面是例子: server:/home /mnt nfs rw 0 0 &man.fstab.5; 手册里有所有可用的开关。 某些应用程序 (例如 mutt) 需要文件上锁支持才能正常运行。 在使用 NFS 时, 可以用 rpc.lockd 来支持文件上锁功能。 要启用它, 需要在服务器和客户机的 /etc/rc.conf 中加入 (假定两端均已配好了 NFS): rpc_lockd_enable="YES" rpc_statd_enable="YES" 然后使用下述命令启动该程序: &prompt.root; /etc/rc.d/lockd start &prompt.root; /etc/rc.d/statd start 如果并不需要真的在 NFS 客户机和 NFS 服务器间确保上锁的语义, 可以让 NFS 客户机在本地上锁, 方法是使用 &man.mount.nfs.8; 时指定 参数。 请参见 &man.mount.nfs.8; 联机手册以了解更多细节。 实际应用 NFS 有很多实际应用。下面是比较常见的一些: NFS uses 多个机器共享一台CDROM或者其他设备。这对于在多台机器中安装软件来说更加便宜跟方便。 在大型网络中,配置一台中心 NFS 服务器用来放置所有用户的home目录可能会带来便利。 这些目录能被输出到网络以便用户不管在哪台工作站上登录,总能得到相同的home目录。 几台机器可以有通用的/usr/ports/distfiles 目录。 这样的话,当您需要在几台机器上安装port时,您可以无需在每台设备上下载而快速访问源码。 Wylie Stilwell Contributed by Chern Lee Rewritten by 通过 <application>amd</application> 自动地挂接 amd 自动挂接服务 &man.amd.8; (自动挂接服务) 能够自动地在访问时挂接远程的文件系统。 如果文件系统在一段时间之内没有活动, 则会被 amd 自动卸下。 通过使用 amd, 能够提供一个持久挂接以外的选择, 而后者往往需要列入 /etc/fstab amd 通过将自己以 NFS 服务器的形式, 附加到 /host/net 目录上来工作。 当访问这些目录中的文件时, amd 将查找相应的远程挂接点, 并自动地挂接。 /net 用于挂接远程 IP 地址上导出的文件系统, 而 /host 则用于挂接远程主机名上的文件系统。 访问 /host/foobar/usr 中的文件, 相当于告诉 amd 尝试挂接在主机 foobar 上导出的 /usr 通过 <application>amd</application> 来挂接导出的文件系统 您可以通过使用 showmount 命令来查看远程主机上导出的文件系统。 例如, 要查看 foobar 上导出的文件系统, 可以用: &prompt.user; showmount -e foobar Exports list on foobar: /usr 10.10.10.0 /a 10.10.10.0 &prompt.user; cd /host/foobar/usr 如同在前面例子中所看到的, showmount 显示了导出的 /usr。 当进入 /host/foobar/usr 这个目录时, amd 将尝试解析主机名 foobar 并自动地挂接需要的文件系统导出。 amd 可以通过启动脚本来启动, 方法是在 /etc/rc.conf 中加入: amd_enable="YES" 除此之外, 还可以给 amd 通过 amd_flags 选项来传递额外的参数。 默认情况下, amd_flags 为: amd_flags="-a /.amd_mnt -l syslog /host /etc/amd.map /net /etc/amd.map" /etc/amd.map 文件定义了挂接导出文件系统时所使用的默认选项。 /etc/amd.conf 文件, 则定义了更多关于 amd 的高级功能选项。 请参考 &man.amd.8; 和 &man.amd.conf.5; 联机手册, 以了解进一步的情况。 John Lind Contributed by 与其他系统集成时的常见问题 某些特定的 ISA PC 系统上的以太网适配器上有一些限制, 这些限制可能会导致严重的网络问题, 特别是与 NFS 配合使用时。 这些问题并非 FreeBSD 所特有的, 但 FreeBSD 系统会受到这些问题的影响。 这样的问题, 几乎总是在当 (FreeBSD) PC 系统与高性能的工作站, 例如 Silicon Graphics, Inc., 和 Sun Microsystems, Inc. 的工作站联网时发生。 NFS 挂接能够正常工作, 而且一些操作也可能成功, 但服务器会很快变得对客户机不太理会, 虽然对其他客户机的请求仍然能够正常处理。 这种情况通常发生在客户端, 无论它是一个 FreeBSD 系统或是终端。 在许多系统上, 一旦发生了这样的问题, 通常没办法正常地关闭客户机。 唯一的办法通常是让终端复位, 因为这一 NFS 状况没有办法被解决。 尽管 正确的 解决办法, 是为 FreeBSD 系统配备一块高性能的、 适用的以太网适配器, 然而也有办法绕过问题并得到相对满意的结果。 如果 FreeBSD 系统是 服务器, 则在客户机挂接时, 应该指定 。 如果 FreeBSD 系统是 客户机, 则应加入 参数。 这些选项可以通过在对应的 fstab 的第四个字段加入, 以便让客户机能够自动地挂接, 或者通过 &man.mount.8; 的 参数在手工挂接时指定。 还需要注意的是另一个问题, 有时会被误认为是和上面一样的问题。 这个问题多见于 NFS 服务器和客户机在不同的网络上时。 如果是这种情况, 一定要 确定 您的路由器确实把必需的 UDP 信息路由到了目的地, 否则您将什么也做不了。 下面的例子中, fastws 是主机 (接口) 的名字, 它是一台高性能的终端, 而 freebox 是另一台主机 (接口) 的名字, 它是一个使用较低性能的以太网适配器的 FreeBSD 系统。 同时, /sharedfs 将被导出成为 NFS 文件系统 (参见 &man.exports.5;), 而 /project 将是客户机上挂接这一导出文件系统的挂接点。 所有的应用场景中, 请注意附加选项, 例如 以及 可能是您的应用所需要的。 关于 FreeBSD 系统 (freebox) 作为客户机的示范 /etc/fstab 文件, 见于 freebox 之上: fastws:/sharedfs /project nfs rw,-r=1024 0 0 freebox 上手工挂接: &prompt.root; mount -t nfs -o -r=1024 fastws:/sharedfs /project 以 FreeBSD 系统作为服务器的例子, 是 fastws 上的 /etc/fstab freebox:/sharedfs /project nfs rw,-w=1024 0 0 fastws 上手工挂接的命令是: &prompt.root; mount -t nfs -o -w=1024 freebox:/sharedfs /project 几乎所有的 16-位 以太网控制器, 都能够在没有上述读写尺寸限制的情况下正常工作。 对于那些关心到底是什么问题的人, 下面是失败如何发生的解释, 同时这也说明了为什么这是一个无法恢复的问题。 典型情况下, NFS 会使用一个 为单位进行操作, 其尺寸是 8 K (虽然它可能会将操作分成更小尺寸的分片)。 由于最大的以太网包尺寸大约是 1500 字节, 因此 NFS 会分成多个以太网包, 虽然在更高层的代码看来它仍然是一个完整的单元, 并在接收方重新组装, 作为一个整体来 确认。 高性能的工作站, 可以将构成 NFS 单元的包迅速发出, 其节奏会快到标准允许的最大限度。 在容量较小的卡上, 后来的包会冲掉同一单元内的较早的包, 因而整个单元无法被重建或确认。 其结果是, 工作站将超时并重试, 但仍然是完整的 8 K 单元, 这一过程将无休止地重复下去。 如果将单元尺寸限制在以太网包尺寸之下, 我们就能够确保每一个以太网包都能够被独立地接收和确认, 从而避免了上面的死锁情形。 溢出在高性能工作站将数据库投向 PC 系统时仍会发生, 但在更好的网卡上, 能够保证这类溢出不会在每一个 NFS 单元 上都发生。 当出现溢出时, 被影响的单元被重传, 因而此时有很大的机会它将被正确接收、 重组, 并确认。 Bill Swingle Written by Eric Ogren Enhanced by Udo Erdelhoff 网络信息服务 (NIS/YP) 它是什么? NIS Solaris HP-UX AIX Linux NetBSD OpenBSD NIS, 表示网络信息服务 (Network Information Services), 最初由 Sun Microsystems 开发, 用于 &unix; (最初是 &sunos;) 系统的集中管理。 目前, 它基本上已经成为了业界标准; 所有主流的类 &unix; 系统 (&solaris;, HP-UX, &aix;, Linux, NetBSD, OpenBSD, FreeBSD, 等等) 都支持 NIS 黄页 (yellow pages)NIS NIS 也就是人们所熟知的黄页(Yellow Pages), 但由于商标的问题, Sun 将其改名为现在的名字。 旧的术语 (以及 yp), 仍然经常可以看到, 并被广泛使用。 NIS 这是一个基于 RPC 的客户机/服务器系统, 它允许在一个 NIS 域中的一组机器共享一系列配置文件。 这样, 系统管理员就可以配置只包含最基本配置数据的 NIS 客户机系统, 并在单点上增加、 删除或修改配置数据。 Windows NT 尽管实现的内部细节截然不同, 这和 &windowsnt; 域系统非常类似, 以至于可以将两者的基本功能相互类比。 您应该知道的术语和进程 有一系列术语和重要的用户进程将在您在 FreeBSD 上实现 NIS 时用到, 无论是在创建 NIS 服务器, 或作为 NIS 客户机: rpcbind portmap 术语 说明 NIS 域名 NIS 主服务器和所有其客户机 (包括从服务器) 会使用同一 NIS 域名。 和 &windowsnt; 域名类似, NIS 域名与 DNS 无关。 rpcbind 必须运行这个程序, 才能够启用 RPC (远程过程调用, NIS 用到的一种网络协议)。 如果没有运行 rpcbind, 则没有办法运行 NIS 服务器, 或作为 NIS 客户机。 ypbind 绑定(bind) NIS 客户机到它的 NIS 服务器上。 这样, 它将从系统中获取 NIS 域名, 并使用 RPC 连接到服务器上。 ypbind 是 NIS 环境中, 客户机-服务器通讯的核心; 如果客户机上的 ypbind 死掉的话, 它将无法访问 NIS 服务器。 ypserv 只应在 NIS 服务器上运行它; 这是 NIS 的服务器进程。 如果 &man.ypserv.8; 死掉的话, 则服务器将不再具有响应 NIS 请求的能力 (此时, 如果有从服务器的话, 则会接管操作)。 有一些 NIS 的实现 (但不是 FreeBSD 的这个) 的客户机上, 如果之前用过一个服务器, 而那台服务器死掉的话, 并不尝试重新连接到另一个服务器。 通常, 发生这种情况时, 唯一的办法就是重新启动服务器进程 (或者, 甚至重新启动服务器) 或客户机上的 ypbind 进程。 rpc.yppasswdd 另一个只应在 NIS 主服务器上运行的进程; 这是一个服务程序, 其作用是允许 NIS 客户机改变它们的 NIS 口令。 如果没有运行这个服务, 用户将必须登录到 NIS 主服务器上, 并在那里修改口令。 它是如何工作的? 在 NIS 环境中, 有三种类型的主机: 主服务器, 从服务器, 以及客户机。 服务器的作用是充当主机配置信息的中央数据库。 主服务器上保存着这些信息的权威副本, 而从服务器则是保存这些信息的冗余副本。 客户机依赖于服务器向它们提供这些信息。 许多文件的信息可以通过这种方式来共享。 通常情况下, master.passwdgroup, 以及 hosts 是通过 NIS 分发的。 无论什么时候, 如果客户机上的某个进程请求这些本应在本地的文件中的资料的时候, 它都会向所绑定的 NIS 服务器发出请求, 而不使用本地的版本。 机器类型 NIS 主服务器 一台 NIS 主服务器。 这台服务器, 和 &windowsnt; 域控制器类似, 会维护所有 NIS 客户机所使用的文件。 passwdgroup, 以及许多其他 NIS 客户机所使用的文件, 都被存放到主服务器上。 可以将一台 NIS 主服务器用在多个 NIS 域中。 然而, 本书不打算对这种配置进行介绍, 因为这种配置, 通常只出现在小规模的 NIS 环境中。 NIS 从服务器 NIS 从服务器。 这一概念, 与 &windowsnt; 的备份域控制器类似。 NIS 从服务器, 用于维护 NIS 主服务器的数据文件副本。 NIS 从服务器提供了一种冗余, 这在许多重要的环境中是必需的。 此外, 它也帮助减轻了主服务器的负荷: NIS 客户机总是挂接到最先响应它们的 NIS 服务器上, 而这也包括来自从服务器的响应。 NIS 客户机 NIS 客户机。 NIS 客户机, 和多数 &windowsnt; 工作站类似, 通过 NIS 服务器 (或对于 &windowsnt; 工作站, 则是 &windowsnt; 域控制器) 来完成登录时的身份验证过程。 使用 NIS/YP 这一节将通过实例介绍如何配置 NIS 环境。 规划 假定您正在管理大学中的一个小型实验室。 在这个实验室中, 有 15 台 FreeBSD 机器, 目前尚没有集中的管理点; 每一台机器上有自己的 /etc/passwd/etc/master.passwd。 这些文件通过人工干预的方法来保持与其他机器上版本的同步; 目前, 如果您在实验室中增加一个用户, 将不得不在所有 15 台机器上手工执行 adduser 命令。 毋庸置疑, 这一现状必须改变, 因此您决定将整个实验室转为使用 NIS, 并使用两台机器作为服务器。 因此, 实验室的配置应该是这样的: 机器名 IP 地址 机器的角色 ellington 10.0.0.2 NIS 主服务器 coltrane 10.0.0.3 NIS 从服务器 basie 10.0.0.4 教员工作站 bird 10.0.0.5 客户机 cli[1-11] 10.0.0.[6-17] 其他客户机 如果您是首次配置 NIS, 仔细思考如何进行规划就十分重要。 无论您的网络的大小如何, 都必须进行几个决策。 选择 NIS 域名 NIS 域名 这可能不是您过去使用的 域名(domainname)。 它的规范的叫法, 应该是 NIS 域名。 当客户机广播对此信息的请求时, 它会将 NIS 域的名字作为请求的一部分发出。 这样, 统一网络上的多个服务器, 就能够知道谁应该回应请求。 您可以把 NIS 域名想象成以某种方式相关的一组主机的名字。 一些机构会选择使用它们的 Internet 域名来作为 NIS 域名。 并不推荐这样做, 因为在调试网络问题时, 这可能会导致不必要的困扰。 NIS 域名应该是在您网络上唯一的, 并且有助于了解它所描述的到底是哪一组机器。 例如对于 Acme 公司的美工部门, 可以考虑使用 acme-art 这样的 NIS 域名。 在这个例子中, 您使用的域名是 test-domain SunOS 然而, 某些操作系统 (最著名的是 &sunos;) 会使用其 NIS 域名作为 Internet 域名。 如果您的网络上存在包含这类限制的机器, 就 必须 使用 Internet 域名来作为您的 NIS 域名。 服务器的物理要求 选择 NIS 服务器时, 需要时刻牢记一些东西。 NIS 的一个不太好的特性就是其客户机对于服务器的依赖程度。 如果客户机无法与其 NIS 域的服务器联系, 则这台机器通常会陷于不可用的状态。 缺少用户和组信息, 会使绝大多数系统进入短暂的冻结状态。 基于这样的考虑, 您需要选择一台不经常重新启动, 或用于开发的机器来承担其责任。 如果您的网络不太忙, 也可以使用运行着其他服务的机器来安放 NIS 服务, 只是需要注意, 一旦 NIS 服务器不可用, 则 所有 的 NIS 客户机都会受到影响。 NIS 服务器 所有的 NIS 信息的正规版本, 都被保存在一台单独的称作 NIS 主服务器的机器上。 用于保存这些信息的数据库, 称为 NIS 映射(map)。 在 FreeBSD 中, 这些映射被保存在 /var/yp/[domainname] 里, 其中 [domainname] 是提供服务的 NIS 域的名字。 一台 NIS 服务器, 可以同时支持多个域, 因此可以建立很多这样的目录, 所支撑一个域对应一个。 每一个域都会有一组独立的映射。 NIS 主和从服务器, 通过 ypserv 服务程序来处理所有的 NIS 请求。 ypserv 有责任接收来自 NIS 客户机的请求, 翻译请求的域, 并将名字映射为相关的数据库文件的路径, 然后将来自数据库的数据传回客户机。 配置 NIS 主服务器 NIS 服务器配置 配置主 NIS 服务器相对而言十分的简单, 而其具体步骤则取决于您的需要。 FreeBSD 提供了一步到位的 NIS 支持。 您需要做的全部事情, 只是在 /etc/rc.conf 中加入一些配置, 其他工作会由 FreeBSD 完成。 nisdomainname="test-domain" 这一行将在网络启动 (例如重新启动) 时, 把 NIS 域名配置为 test-domain nis_server_enable="YES" 这将要求 FreeBSD 在网络子系统启动之后立即启动 NIS 服务进程。 nis_yppasswdd_enable="YES" 这将启用 rpc.yppasswdd 服务程序, 如前面提到的, 它允许用户在客户机上修改自己的 NIS 口令。 随 NIS 配置的不同, 可能还需要增加其他一些项目。 请参见 关于 NIS 服务器同时充当 NIS 客户机 这一节, 以了解进一步的情况。 现在, 所需要做的最后的工作是以超级用户身份执行 /etc/netstart 命令。 这将依据 /etc/rc.conf 为您配置好所有的东西。 初始化 NIS 映射 NIS 映射 NIS 映射 是一些数据库文件, 它们位于 /var/yp 目录中。 这些文件基本上都是根据 NIS 主服务器的 /etc 目录自动生成的, 唯一的例外是: /etc/master.passwd 文件。 一般来说, 您会有非常充分的理由不将 root 以及其他管理帐号的口令发到所有 NIS 域上的服务器上。 因此, 在开始初始化 NIS 映射之前, 我们应该: &prompt.root; cp /etc/master.passwd /var/yp/master.passwd &prompt.root; cd /var/yp &prompt.root; vi master.passwd 这里, 删除掉和系统有关的帐号对应的项 (binttykmemgames, 等等), 以及其他不希望被扩散到 NIS 客户机的帐号 (例如 root 和任何其他 UID 0 (超级用户) 的帐号)。 确认 /var/yp/master.passwd 这个文件是同组用户, 以及其他用户不可读的 (模式 600)! 如果需要的话, 用 chmod 命令来改它。 Tru64 UNIX 完成这些工作之后, 就可以初始化 NIS 映射了! FreeBSD 提供了一个名为 ypinit 的脚本来帮助您完成这项工作 (详细信息, 请见其联机手册)。 请注意, 这个脚本在绝大多数 &unix; 操作系统上都可以找到, 但并不是所有操作系统的都提供。 在 Digital UNIX/Compaq Tru64 UNIX 上它的名字是 ypsetup。 由于我们正在生成的是 NIS 主服务器的映射, 因此应该使用 ypinit 参数。 如果已经完成了上述步骤, 要生成 NIS 映射, 只需执行: ellington&prompt.root; ypinit -m test-domain Server Type: MASTER Domain: test-domain Creating an YP server will require that you answer a few questions. Questions will all be asked at the beginning of the procedure. Do you want this procedure to quit on non-fatal errors? [y/n: n] n Ok, please remember to go back and redo manually whatever fails. If you don't, something might not work. At this point, we have to construct a list of this domains YP servers. rod.darktech.org is already known as master server. Please continue to add any slave servers, one per line. When you are done with the list, type a <control D>. master server : ellington next host to add: coltrane next host to add: ^D The current list of NIS servers looks like this: ellington coltrane Is this correct? [y/n: y] y [..output from map generation..] NIS Map update completed. ellington has been setup as an YP master server without any errors. ypinit 应该会根据 /var/yp/Makefile.dist 来创建 /var/yp/Makefile 文件。 创建完之后, 这个文件会假定您正在操作只有 FreeBSD 机器的单服务器 NIS 环境。 由于 test-domain 还有一个从服务器, 您必须编辑 /var/yp/Makefile ellington&prompt.root; vi /var/yp/Makefile 应该能够看到这样一行, 其内容是 NOPUSH = "True" (如果还没有注释掉的话)。 配置 NIS 从服务器 NIS 从服务器 配置 NIS 从服务器, 甚至比配置主服务器还要简单。 登录到从服务器上, 并按照前面的方法, 编辑 /etc/rc.conf 文件。 唯一的区别是, 在运行 ypinit 时需要使用 参数。 这里的 选项, 同时要求提供 NIS 主服务器的名字, 因此我们的命令行应该是: coltrane&prompt.root; ypinit -s ellington test-domain Server Type: SLAVE Domain: test-domain Master: ellington Creating an YP server will require that you answer a few questions. Questions will all be asked at the beginning of the procedure. Do you want this procedure to quit on non-fatal errors? [y/n: n] n Ok, please remember to go back and redo manually whatever fails. If you don't, something might not work. There will be no further questions. The remainder of the procedure should take a few minutes, to copy the databases from ellington. Transferring netgroup... ypxfr: Exiting: Map successfully transferred Transferring netgroup.byuser... ypxfr: Exiting: Map successfully transferred Transferring netgroup.byhost... ypxfr: Exiting: Map successfully transferred Transferring master.passwd.byuid... ypxfr: Exiting: Map successfully transferred Transferring passwd.byuid... ypxfr: Exiting: Map successfully transferred Transferring passwd.byname... ypxfr: Exiting: Map successfully transferred Transferring group.bygid... ypxfr: Exiting: Map successfully transferred Transferring group.byname... ypxfr: Exiting: Map successfully transferred Transferring services.byname... ypxfr: Exiting: Map successfully transferred Transferring rpc.bynumber... ypxfr: Exiting: Map successfully transferred Transferring rpc.byname... ypxfr: Exiting: Map successfully transferred Transferring protocols.byname... ypxfr: Exiting: Map successfully transferred Transferring master.passwd.byname... ypxfr: Exiting: Map successfully transferred Transferring networks.byname... ypxfr: Exiting: Map successfully transferred Transferring networks.byaddr... ypxfr: Exiting: Map successfully transferred Transferring netid.byname... ypxfr: Exiting: Map successfully transferred Transferring hosts.byaddr... ypxfr: Exiting: Map successfully transferred Transferring protocols.bynumber... ypxfr: Exiting: Map successfully transferred Transferring ypservers... ypxfr: Exiting: Map successfully transferred Transferring hosts.byname... ypxfr: Exiting: Map successfully transferred coltrane has been setup as an YP slave server without any errors. Don't forget to update map ypservers on ellington. 现在应该会有一个叫做 /var/yp/test-domain 的目录。 在这个目录中, 应该保存 NIS 主服务器上的映射的副本。 接下来需要确定这些文件都及时地同步更新了。 在从服务器上, 下面的 /etc/crontab 项将帮助您确保这一点: 20 * * * * root /usr/libexec/ypxfr passwd.byname 21 * * * * root /usr/libexec/ypxfr passwd.byuid 这两行将强制从服务器将映射与主服务器同步。 由于主服务器会尝试确保所有其 NIS 映射的变动都知会从服务器, 因此这些项并不是绝对必需的, 尽管如此, 强制更新能够保证这些对依赖于服务器的系统至关重要的口令信息及时地同步。 同时, 在繁忙的网络上, 有时也会出现映射同步更新不完全的情况。 现在, 在从服务器上执行 /etc/netstart, 就可以启动 NIS 服务了。 NIS 客户机 NIS 客户机会通过 ypbind 服务程序来与特定的 NIS 服务器建立一种称作绑定的联系。 ypbind 会检查系统的默认域 (这是通过 domainname 命令来设置的), 并开始在本地网络上广播 RPC 请求。 这些请求会指定 ypbind 尝试绑定的域名。 如果已经配置了服务器, 并且这些服务器接到了广播, 它将回应 ypbind, 后者则记录服务器的地址。 如果有多个可用的服务器 (例如一个主服务器, 加上多个从服务器), ypbind 将使用第一个响应的地址。 从这一时刻开始, 客户机会把所有的 NIS 请求直接发给那个服务器。 ypbind 偶尔会 ping 服务器以确认其仍然在正常运行。 如果在合理的时间内没有得到响应, 则 ypbind 会把域标记为未绑定, 并再次发起广播, 以期找到另一台服务器。 设置 NIS 客户机 NIS 客户机配置 配置一台 FreeBSD 机器作为 NIS 客户机是非常简单的。 编辑 /etc/rc.conf 文件, 并在其中加上下面几行, 以设置 NIS 域名, 并在网络启动时启动 ypbind nisdomainname="test-domain" nis_client_enable="YES" 要从 NIS 服务器导入所有的口令项, 需要从您的 /etc/master.passwd 文件中删除所有用户, 并使用 vipw 在这个文件的最后一行加入: +::::::::: 这一行将让 NFS 服务器的口令映射中的帐号能够登录。 也有很多修改这一行来配置 NIS 客户机的办法。 请参见稍后的 netgroups 小节 以了解进一步的情况。 要了解更多信息, 可以参阅 O'Reilly 的 Managing NFS and NIS 这本书。 需要至少保留一个本地帐号 (也就是不通过 NIS 导入) 在您的 /etc/master.passwd 文件中, 而这个帐号应该是 wheel 组的成员。 如果 NIS 发生不测, 这个帐号可以用来远程登录, 成为 root, 并修正问题。 要从 NIS 服务器上导入组信息, 需要在 /etc/group 文件末尾加入: +:*:: 完成这些步骤之后, 就应该可以通过运行 ypcat passwd 来看到 NIS 服务器的口令映射了。 NIS 的安全性 基本上, 任何远程用户都可以发起一个 RPC 到 &man.ypserv.8; 并获得您的 NIS 映射的内容, 如果远程用户了解您的域名的话。 要避免这类未经授权的访问, &man.ypserv.8; 支持一个称为 securenets 的特性, 用以将访问限制在一组特定的机器上。 在启动过程中, &man.ypserv.8; 会尝试从 /var/yp/securenets 中加载 securenet 信息。 这个路径随 参数改变。 这个文件包含了一些项, 每一项中包含了一个网络标识和子网掩码, 中间用空格分开。 以 # 开头的行会被认为是注释。 示范的 securenets 文件如下所示: # allow connections from local host -- mandatory 127.0.0.1 255.255.255.255 # allow connections from any host # on the 192.168.128.0 network 192.168.128.0 255.255.255.0 # allow connections from any host # between 10.0.0.0 to 10.0.15.255 # this includes the machines in the testlab 10.0.0.0 255.255.240.0 如果 &man.ypserv.8; 接到了来自匹配上述任一规则的地址的请求, 则它会正常处理请求。 反之, 则请求将被忽略, 并记录一条警告信息。 如果 /var/yp/securenets 文件不存在, 则 ypserv 会允许来自任意主机的请求。 ypserv 程序也支持 Wietse Venema 的 TCP Wrapper 软件包。 这样, 管理员就能够使用 TCP Wrapper 的配置文件来代替 /var/yp/securenets 完成访问控制。 尽管这两种访问控制机制都能够提供某种程度的安全, 但是, 和特权端口检查一样, 它们无法避免 IP 伪造 攻击。 您的防火墙应该阻止所有与 NIS 有关的访问。 使用 /var/yp/securenets 的服务器, 可能会无法为某些使用陈旧的 TCP/IP 实现的 NIS 客户机服务。 这些实现可能会在广播时, 将主机位都设置为 0, 或在计算广播地址时忽略子网掩码。 尽管这些问题可以通过修改客户机的配置来解决, 其他一些问题也可能导致不得不淘汰那些客户机系统, 或者不使用 /var/yp/securenets 在使用陈旧的 TCP/IP 实现的系统上, 使用 /var/yp/securenets 是一个非常糟糕的做法, 因为这将导致您的网络上的 NIS 丧失大部分功能。 TCP Wrappers 使用 TCP Wrapper 软件包, 会导致您的 NIS 服务器的响应延迟增加。 而增加的延迟, 则可能会导致客户端程序超时, 特别是在繁忙的网络或者很慢的 NIS 服务器上。 如果您的某个客户机因此而产生一些异常, 则应将这些客户机变为 NIS 从服务器, 并强制其绑定自己。 不允许某些用户登录 在我们的实验室中, basie 这台机器, 是一台教员专用的工作站。 我们不希望将这台机器拿出 NIS 域, 而主 NIS 服务器上的 passwd 文件, 则同时包含了教员和学生的帐号。 这时应该怎么做? 有一种办法来禁止特定的用户登录机器, 即使他们身处 NIS 数据库之中。 要完成这一工作, 只需要在客户机的 /etc/master.passwd 文件中加入一些 -username 这样的项, 其中, username 是希望禁止登录的用户名。 一般推荐使用 vipw 来完成这个工作, 因为 vipw 会对您在 /etc/master.passwd 文件上所作的修改进行合法性检查, 并在编辑结束时重新构建口令数据库。 例如, 如果希望禁止用户 bill 登录 basie, 我们应该: basie&prompt.root; vipw [在末尾加入 -bill, 并退出] vipw: rebuilding the database... vipw: done basie&prompt.root; cat /etc/master.passwd root:[password]:0:0::0:0:The super-user:/root:/bin/csh toor:[password]:0:0::0:0:The other super-user:/root:/bin/sh daemon:*:1:1::0:0:Owner of many system processes:/root:/sbin/nologin operator:*:2:5::0:0:System &:/:/sbin/nologin bin:*:3:7::0:0:Binaries Commands and Source,,,:/:/sbin/nologin tty:*:4:65533::0:0:Tty Sandbox:/:/sbin/nologin kmem:*:5:65533::0:0:KMem Sandbox:/:/sbin/nologin games:*:7:13::0:0:Games pseudo-user:/usr/games:/sbin/nologin news:*:8:8::0:0:News Subsystem:/:/sbin/nologin man:*:9:9::0:0:Mister Man Pages:/usr/share/man:/sbin/nologin bind:*:53:53::0:0:Bind Sandbox:/:/sbin/nologin uucp:*:66:66::0:0:UUCP pseudo-user:/var/spool/uucppublic:/usr/libexec/uucp/uucico xten:*:67:67::0:0:X-10 daemon:/usr/local/xten:/sbin/nologin pop:*:68:6::0:0:Post Office Owner:/nonexistent:/sbin/nologin nobody:*:65534:65534::0:0:Unprivileged user:/nonexistent:/sbin/nologin +::::::::: -bill basie&prompt.root; Udo Erdelhoff Contributed by 使用 Netgroups netgroups 前一节介绍的方法, 在您需要为非常少的用户和/或机器进行特殊的规则配置时还算凑合。 在更大的网络上, 您 一定会 忘记禁止某些用户登录到敏感的机器上, 或者, 甚至必须单独地修改每一台机器的配置, 因而丢掉了 NIS 最重要的优越性: 集中式 管理。 NIS 开发人员为这个问题提供的解决方案, 被称作 netgroups。 它们的作用和语义, 基本上可以等同于 &unix; 文件系统上使用的组。 主要的区别是它们没有数字化的 ID, 以及可以在 netgroup 中同时包含用户和其他 netgroup。 Netgroups 被设计用来处理大的、 复杂的包含数百用户和机器的网络。 一方面, 在您不得不处理这类情形时, 这是一个很有用的东西。 而另一方面, 它的复杂性又使得通过非常简单的例子很难解释 netgroup 到底是什么。 这一节的其余部分的例子将展示这个问题。 假设您在实验室中成功地部署 NIS 引起了上司的兴趣。 您接下来的任务是将 NIS 域扩展, 以覆盖校园中的一些其他的机器。 下面两个表格中包括了新用户和新机器, 及其简要说明。 用户名 说明 alpha, beta IT 部门的普通雇员 charlie, delta IT 部门的学徒 echo, foxtrott, golf, ... 普通雇员 able, baker, ... 目前的实习生 机器名 说明 war, death, famine, pollution 最重要的服务器。 只有 IT 部门的雇员才允许登录这些机器。 pride, greed, envy, wrath, lust, sloth 不太重要的服务器, 所有 IT 部门的成员, 都可以登录这些机器。 one, two, three, four, ... 普通工作站。 只有 真正的 雇员才允许登录这些机器。 trashcan 一台不包含关键数据的旧机器。 即使是实习生, 也允许登录它。 如果您尝试通过一个一个地阻止用户来实现这些限制, 就需要在每一个系统的 passwd 文件中, 为每一个不允许登录该系统的用户添加对应的 -user 行。 如果忘记了任何一个, 就可能会造成问题。 在进行初始配置时, 正确地配置也许不是什么问题, 但随着日复一日地添加新用户, 总有一天 您会忘记为新用户添加某个行。 毕竟, Murphy 是一个乐观的人。 使用 netgroups 来处理这一状况可以带来许多好处。 不需要单独地处理每一个用户; 您可以赋予用户一个或多个 netgroups 身份, 并允许或禁止某一个 netgroup 的所有成员登录。 如果添加了新的机器, 只需要定义 netgroup 的登录限制。 如果增加了新用户, 也只需要将用户加入一个或多个 netgroup。 这些变化是相互独立的: 不再需要 对每一个用户和机器执行 ……。 如果您的 NIS 配置经过了谨慎的规划, 就只需要修改一个中央的配置文件, 就能够允许或禁止访问某台机器的权限了。 第一步是初始化 NIS 映射 netgroup。 FreeBSD 的 &man.ypinit.8; 默认情况下并不创建这个映射, 但它的 NIS 实现能够在创建这个映射之后立即对其提供支持。 要创建空映射, 简单地输入 ellington&prompt.root; vi /var/yp/netgroup 并开始增加内容。 在我们的例子中, 至少需要四个 nergruop: IT 雇员, IT 学徒, 普通雇员和实习生。 IT_EMP (,alpha,test-domain) (,beta,test-domain) IT_APP (,charlie,test-domain) (,delta,test-domain) USERS (,echo,test-domain) (,foxtrott,test-domain) \ (,golf,test-domain) INTERNS (,able,test-domain) (,baker,test-domain) IT_EMP, IT_APP 等等, 是 netgroup 的名字。 每一个括号中的组中, 都有一些用户帐号。 组中的三个字段是: 在哪些机器上能够使用这些项。 如果不指定主机名, 则项在所有机器上都有效。 如果指定了主机, 则很容易造成混淆。 属于这个 netgroup 的帐号。 帐号的 NIS 域。 您可以从其他 NIS 域中把帐号导入到您的 netgroup 中, 如果您管理多个 NIS 域的话。 每一个字段都可以包括通配符。 参见 &man.netgroup.5; 了解更多细节。 netgroups Netgroup 的名字一般来说不应超过 8 个字符, 特别是当您的 NIS 域中有机器打算运行其它操作系统的时候。 名字是区分大小写的; 使用大写字母作为 netgroup 的名字, 能够让您更容易地区分用户、 机器和 netgroup 的名字。 某些 NIS 客户程序 (FreeBSD 以外的那些) 可能无法处理含有大量项的 netgroup。 例如, 某些早期版本的 &sunos; 会在 netgroup 中包含多于 15 个 时出现问题。 要绕过这个问题, 可以创建多个 子netgroup,每一个中包含少于 15 个用户, 以及一个包含所有 子netgroup 的真正的 netgroup: BIGGRP1 (,joe1,domain) (,joe2,domain) (,joe3,domain) [...] BIGGRP2 (,joe16,domain) (,joe17,domain) [...] BIGGRP3 (,joe31,domain) (,joe32,domain) BIGGROUP BIGGRP1 BIGGRP2 BIGGRP3 如果需要超过 225 个用户, 可以继续重复上面的过程。 激活并分发新的 NIS 映射非常简单: ellington&prompt.root; cd /var/yp ellington&prompt.root; make 这个操作会生成三个 NIS 映射, 即 netgroupnetgroup.byhostnetgroup.byuser。 用 &man.ypcat.1; 可以检查这些 NIS 映射是否可用了: ellington&prompt.user; ypcat -k netgroup ellington&prompt.user; ypcat -k netgroup.byhost ellington&prompt.user; ypcat -k netgroup.byuser 第一个命令的输出, 应该与 /var/yp/netgroup 的内容相近。 第二个命令, 如果没有指定本机专有的 netgroup, 则应该没有输出。 第三个命令, 则用于显示某个用户对应的 netgroup 列表。 客户机的设置也很简单。 要配置服务器 war, 只需进入 &man.vipw.8; 并把 +::::::::: 改为 +@IT_EMP::::::::: 现在, 只有 netgroup IT_EMP 中定义的用户会被导入到 war 的口令数据库中, 因此只有这些用户能够登录。 不过, 这个限制也会作用于 shell 的 ~, 以及所有在用户名和数字用户 ID 之间实施转换的函数的功能。 换言之, cd ~user 将不会正常工作, 而 ls -l 也将显示数字的 ID 而不是用户名, 并且 find . -user joe -print 将失败, 并给出 No such user 的错误信息。 要修正这个问题, 您需要导入所有的用户项, 而 不允许他们登录服务器 这可以通过在 /etc/master.passwd 加入另一行来完成。 这行的内容是: +:::::::::/sbin/nologin, 意思是 导入所有的项, 但导入项的 shell 则替换为 /sbin/nologin。 通过在 /etc/master.passwd 中增加默认值, 可以替换掉 passwd 中的任意字段。 务必确认 +:::::::::/sbin/nologin 这一行出现在 +@IT_EMP::::::::: 之后。 否则, 所有从 NIS 导入的用户帐号将以 /sbin/nologin 作为登录 shell。 完成上面的修改之后, 在 IT 部门有了新员工时, 只需修改一个 NIS 映射就足够了。 您也可以用类似的方法, 在不太重要的服务器上, 把先前本地版本的 /etc/master.passwd 中的 +::::::::: 改为: +@IT_EMP::::::::: +@IT_APP::::::::: +:::::::::/sbin/nologin 相关的用于普通工作站的配置则应是: +@IT_EMP::::::::: +@USERS::::::::: +:::::::::/sbin/nologin 一切平安无事, 直到数周后, 有一天策略发生了变化: IT 部门也开始招收实习生了。 IT 实习生允许使用普通的终端, 以及不太重要的服务器; 而 IT 学徒, 则可以登录主服务器。 您增加了新的 netgroup IT_INTERN, 以及新的 IT 实习生到这个 netgroup 并开始修改每一台机器上的配置…… 老话说得好:牵一发, 动全身 NIS 通过 netgroup 来建立 netgroup 的能力, 正可以避免这样的情形。 一种可能的方法是建立基于角色的 netgroup。 例如, 您可以创建称为 BIGSRV 的 netgroup, 用于定义最重要的服务器上的登录限制, 以及另一个成为 SMALLSRV 的 netgroup, 用以定义次重要的服务器, 以及第三个, 用于普通工作站的 netgroup USERBOX。 这三个 netgroup 中的每一个, 都包含了允许登录到这些机器上的所有 netgroup。 您的 NIS 映射中的新项如下所示: BIGSRV IT_EMP IT_APP SMALLSRV IT_EMP IT_APP ITINTERN USERBOX IT_EMP ITINTERN USERS 这种定义登录限制的方法, 在您能够将机器分组并加以限制的时候可以工作的相当好。 不幸的是, 这是种例外, 而非常规情况。 多数时候, 需要按机器去定义登录限制。 与机器相关的 netgroup 定义, 是处理上述策略改动的另一种可能的方法。 此时, 每台机器的 /etc/master.passwd 中, 都包含两个 + 开头的行。 第一个用于添加允许登录的 netgroup 帐号, 而第二个则用于增加其它帐号, 并把 shell 设置为 /sbin/nologin。 使用 全大写 的机器名作为 netgroup 名是个好主意。 换言之, 这些行应该类似于: +@BOXNAME::::::::: +:::::::::/sbin/nologin 一旦在所有机器上都完成了这样的修改, 就再也不需要修改本地的 /etc/master.passwd 了。 所有未来的修改都可以在 NIS 映射中进行。 这里是一个例子, 其中展示了在这一应用情景中所需要的 netgroup 映射, 以及其它一些常用的技巧: # Define groups of users first IT_EMP (,alpha,test-domain) (,beta,test-domain) IT_APP (,charlie,test-domain) (,delta,test-domain) DEPT1 (,echo,test-domain) (,foxtrott,test-domain) DEPT2 (,golf,test-domain) (,hotel,test-domain) DEPT3 (,india,test-domain) (,juliet,test-domain) ITINTERN (,kilo,test-domain) (,lima,test-domain) D_INTERNS (,able,test-domain) (,baker,test-domain) # # Now, define some groups based on roles USERS DEPT1 DEPT2 DEPT3 BIGSRV IT_EMP IT_APP SMALLSRV IT_EMP IT_APP ITINTERN USERBOX IT_EMP ITINTERN USERS # # And a groups for a special tasks # Allow echo and golf to access our anti-virus-machine SECURITY IT_EMP (,echo,test-domain) (,golf,test-domain) # # machine-based netgroups # Our main servers WAR BIGSRV FAMINE BIGSRV # User india needs access to this server POLLUTION BIGSRV (,india,test-domain) # # This one is really important and needs more access restrictions DEATH IT_EMP # # The anti-virus-machine mentioned above ONE SECURITY # # Restrict a machine to a single user TWO (,hotel,test-domain) # [...more groups to follow] 如果您正使用某种数据库来管理帐号, 应该可以使用您的数据库的报告工具来创建映射的第一部分。 这样, 新用户就自动地可以访问这些机器了。 最后的提醒: 使用基于机器的 netgroup 并不总是适用的。 如果正在为学生实验室部署数十台甚至上百台同样的机器, 您应该使用基于角色的 netgroup, 而不是基于机器的 netgroup, 以便把 NIS 映射的尺寸保持在一个合理的范围内。 需要牢记的事项 这里是一些其它在使用 NIS 环境时需要注意的地方。 每次需要在实验室中增加新用户时, 必须 在 NIS 服务器上加入用户, 而且 一定要记得重建 NIS 映射。 如果您忘记了这样做, 新用户将无法登录除 NIS 主服务器之外的任何其它机器。 例如, 如果要在实验室增加新用户 jsmith, 我们需要: &prompt.root; pw useradd jsmith &prompt.root; cd /var/yp &prompt.root; make test-domain 也可以运行 adduser jsmith 而不是 pw useradd jsmith. 将管理用的帐号排除在 NIS 映射之外。 一般来说, 您不希望这些管理帐号和口令被扩散到那些包含不应使用它们的用户的机器上。 确保 NIS 主和从服务器的安全, 并尽可能减少其停机时间。 如果有人攻入或简单地关闭这些机器, 则整个实验室的任也就无法登录了。 这是集中式管理系统中最薄弱的环节。 如果没有保护好 NIS 服务器, 您就有大批愤怒的用户需要对付了! NIS v1 兼容性 FreeBSD 的 ypserv 提供了某些为 NIS v1 客户提供服务的支持能力。 FreeBSD 的 NIS 实现, 只使用 NIS v2 协议, 但其它实现可能会包含 v1 协议, 以提供对旧系统的向下兼容能力。 随这些系统提供的 ypbind 服务将首先尝试绑定 NIS v1 服务器, 即使它们并不真的需要它 (有些甚至可能会一直广播搜索请求, 即使已经从某台 v2 服务器得到了回应也是如此)。 注意, 尽管支持一般的客户机调用, 这个版本的 ypserv 并不能处理 v1 的映射传送请求; 因而, 它就不能与较早的支持 v1 协议的 NIS 服务器配合使用, 无论是作为主服务器还是从服务器。 幸运的是, 现今应该已经没有仍然在用的这样的服务器了。 同时作为 NIS 客户机的 NIS 服务器 在多服务器域的环境中, 如果服务器同时作为 NIS 客户, 在运行 ypserv 时要特别小心。 一般来说, 强制服务器绑定自己要比允许它们广播绑定请求要好, 因为这种情况下它们可能会相互绑定。 某些怪异的故障, 很可能是由于某一台服务器停机, 而其它服务器都依赖其服务所导致的。 最终, 所有的客户机都会超时并绑定到其它服务器, 但这个延迟可能会相当可观, 而且恢复之后仍然存在再次发生此类问题的隐患。 您可以强制一台机器绑定到特定的服务器, 这是通过 ypbind 参数来完成的。 如果不希望每次启动 NIS 服务器时都手工完成这项工作, 可以在 /etc/rc.conf 中加入: nis_client_enable="YES" # run client stuff as well nis_client_flags="-S NIS domain,server" 参见 &man.ypbind.8; 以了解更多情况。 口令格式 NIS 口令格式 在实现 NIS 时, 口令格式的兼容性问题是一种最为常见的问题。 假如您的 NIS 服务器使用 DES 加密口令, 则它只能支持使用 DES 的客户机。 例如, 如果您的网络上有 &solaris; NIS 客户机, 则几乎肯定需要使用 DES 加密口令。 要检查您的服务器和客户机使用的口令格式, 需要查看 /etc/login.conf。 如果主机被配置为使用 DES 加密的口令, 则 default class 将包含类似这样的项: default:\ :passwd_format=des:\ :copyright=/etc/COPYRIGHT:\ [Further entries elided] 其他一些可能的 passwd_format 包括 blfmd5 (分别对应于 Blowfish 和 MD5 加密口令)。 如果修改了 /etc/login.conf, 就必须重建登录性能数据库, 这是通过以 root 身份运行下面的程序来完成的: &prompt.root; cap_mkdb /etc/login.conf 已经在 /etc/master.passwd 中的口令的格式不会被更新, 直到用户在登录性能数据库重建 之后 首次修改口令为止。 接下来, 为了确保所有的口令都按照您选择的格式加密了, 还需要检查 /etc/auth.confcrypt_default 给出的优先选择的口令格式。 要完成此工作, 将您选择的格式放到列表的第一项。 例如, 当使用 DES 加密的口令时, 对应项应为: crypt_default = des blf md5 在每一台基于 &os; 的 NIS 服务器和客户机上完成上述工作之后, 就可以肯定您的网络上它们都在使用同样的口令格式了。 如果在 NIS 客户机上做身份验证时发生问题, 这也是第一个可能出现问题的地方。 注意: 如果您希望在混合的网络上部署 NIS 服务器, 可能就需要在所有系统上都使用 DES, 因为这是所有系统都能够支持的最低限度的公共标准。 Greg Sutter Written by 网络自动配置 (DHCP) 什么是 DHCP? 动态主机配置协议 DHCP Internet Software Consortium (ISC) DHCP, 动态主机配置协议, 是一种让系统得以连接到网络上, 并获取所需要的配置参数手段。 FreeBSD 6.0 之前的版本, 采用的是 ISC (Internet Software Consortium) 的 DHCP 客户端 (&man.dhclient.8;) 实现。 更高版本使用的则是来自 OpenBSD 3.7 的 OpenBSD dhclient。 这里提供的所有关于 dhclient 的信息, 都是以 ISC 或 OpenBSD DHCP 客户端程序为准的。 DHCP 服务器是 ISC 软件包的一部分。 这一节都介绍哪些内容 这一节描述了 ISC 和 DHCP 系统中的客户端, 以及和 ISC DHCP 系统中的服务器端的组件。 客户端程序, dhclient, 是随 FreeBSD 作为它的一部分提供的; 而服务器部分, 则可以通过 net/isc-dhcp3-server port 得到。 &man.dhclient.8;、 &man.dhcp-options.5;、 以及 &man.dhclient.conf.5; 联机手册, 加上下面所介绍的参考文献, 都是非常有用的资源。 它如何工作 UDP 当 DHCP 客户程序, dhclient 在客户机上运行时, 它会开始广播请求配置信息的消息。 默认情况下, 这些请求是在 UDP 端口 68 上。 服务器通过 UDP 67 给出响应, 向客户机提供一个 IP 地址, 以及其他有关的配置参数, 例如子网掩码、 路由器, 以及 DNS 服务器。 所有这些信息都会以 DHCP lease 的形式给出, 并且只在一段特定的时间内有效 (这是由 DHCP 服务器的维护者配置的)。 这样, 那些已经断开网络的客户机使用的陈旧的 IP 地址就能被自动地回收了。 DHCP 客户程序可以从服务器端获取大量的信息。 关于能获得的信息的详细列表, 请参考 &man.dhcp-options.5;。 FreeBSD 集成 FreeBSD 完全地集成了 ISC 或 OpenBSD 的 DHCP 客户端, dhclient (取决于您运行的 &os; 版本)。 DHCP 客户端被安装程序直接支持, 并且是基本系统的一部分。 这使得您不再需要去了解那些已经运行了 DHCP 服务器的网络的具体配置参数。 从 FreeBSD 3.2 开始, 每一个发行版中均包含 dhclient sysinstall sysinstall 能够支持 DHCP。 在 sysinstall 中配置网络接口时, 它询问的第二个问题便是: Do you want to try DHCP configuration of the interface? (您是否希望在此接口上尝试 DHCP 配置?)。 如果做肯定的回答, 则将运行 dhclient, 一旦成功, 则将自动地填写网络配置信息。 要在系统启动时使用 DHCP, 您必须做两件事: DHCP 需求 您的内核中, 必须包含 bpf 设备。 如果需要这样做, 需要将 device bpf 添加到内核的编译配置文件中, 并重新编译内核。 要了解关于编译内核的进一步信息, 请参见 bpf 设备已经是 FreeBSD 发行版中默认的 GENERIC 内核的一部分了, 因此如果您没有对内核进行定制, 则不用创建一份新的内核配置文件, DHCP 就能工作了。 对于那些安全意识很强的人来说, 您应该知道 bpf 也是包侦听工具能够正确工作的条件之一 (当然, 它们还需要以 root 身份运行才行)。 bpf 使用 DHCP 所必须的, 但如果您对安全非常敏感, 则很可能会有理由不把 bpf 加入到您的内核配置中, 直到您真的需要使用 DHCP 为止。 编辑您的 /etc/rc.conf 并加入下面的设置: ifconfig_fxp0="DHCP" 务必将 fxp0 替换为您希望自动配置的网络接口的名字, 您可以在 找到更进一步的介绍。 如果您希望使用另一位置的 dhclient, 或者需要给 dhclient 传递其他参数, 还可以添加下面的配置 (根据需要进行修改): dhclient_program="/sbin/dhclient" dhclient_flags="" DHCP 服务器 DHCP 服务器, dhcpd, 是作为 net/isc-dhcp3-server port 的一部分提供的。 这个 port 包括了 ISC DHCP 服务器及其文档。 文件 DHCP 配置文件 /etc/dhclient.conf dhclient 需要一个配置文件, /etc/dhclient.conf。 一般说来, 这个文件中只包括注释, 而默认值基本上都是合理的。 这个配置文件在 &man.dhclient.conf.5; 联机手册中进行了进一步的阐述。 /sbin/dhclient dhclient 是一个静态连编的, 它被安装到 /sbin 中。 &man.dhclient.8; 联机手册给出了关于 dhclient 的进一步细节。 /sbin/dhclient-script dhclient-script 是一个 FreeBSD 专用的 DHCP 客户端配置脚本。 在 &man.dhclient-script.8; 中对它进行了描述, 但一般来说, 用户不需要对其进行任何修改, 就能够让一切正常运转了。 /var/db/dhclient.leases DHCP 客户程序会维护一个数据库来保存有效的 lease, 它们被以日志的形式保存到这个文件中。 &man.dhclient.leases.5; 给出了更为细致的介绍。 进阶读物 DHCP 协议的完整描述是 RFC 2131。 关于它的其他信息资源的站点 也提供了详尽的资料。 安装和配置 DHCP 服务器 这一章包含哪些内容 这一章提供了关于如何在 FreeBSD 系统上使用 ISC (Internet 软件协会) 的 DHCP 实现套件来架设 DHCP 服务器的信息。 DHCP 套件中的服务器部分并没有作为 FreeBSD 的一部分来提供, 因此您需要安装 net/isc-dhcp3-server port 才能提供这个服务。 请参见 以了解关于如何使用 Ports Collection 的进一步详情。 安装 DHCP 服务器 DHCP 安装 为了在您的 FreeBSD 系统上进行配置以便作为 DHCP 服务器来使用, 需要把 &man.bpf.4; 设备编译进内核。 要完成这项工作, 需要将 device bpf 加入到您的内核配置文件中, 并重新联编内核。 要得到关于如何联编内核的进一步信息, 请参见 bpf 设备是 FreeBSD 所附带的 GENERIC 内核中已经联入的组件, 因此您并不需要为了让 DHCP 正常工作而特别地定制内核。 如果您有较强的安全意识, 应该注意 bpf 同时也是让听包程序能够正确工作的设备 (尽管这类程序仍然需要以特权用户身份运行)。 bpf 使用 DHCP 所必需的, 但如果您对安全非常敏感, 您可能会不希望将 bpf 放进内核, 直到您真的认为 DHCP 是必需的为止。 接下来要做的是编辑示范的 dhcpd.conf, 它由 net/isc-dhcp3-server port 安装。 默认情况下, 它的名字应该是 /usr/local/etc/dhcpd.conf.sample, 在开始修改之前, 您需要把它复制为 /usr/local/etc/dhcpd.conf 配置 DHCP 服务器 DHCP dhcpd.conf dhcpd.conf 包含了一系列关于子网和主机的定义, 下面的例子可以帮助您理解它: option domain-name "example.com"; option domain-name-servers 192.168.4.100; option subnet-mask 255.255.255.0; default-lease-time 3600; max-lease-time 86400; ddns-update-style none; subnet 192.168.4.0 netmask 255.255.255.0 { range 192.168.4.129 192.168.4.254; option routers 192.168.4.1; } host mailhost { hardware ethernet 02:03:04:05:06:07; fixed-address mailhost.example.com; } 这个选项指定了提供给客户机作为默认搜索域的域名。 请参考 &man.resolv.conf.5; 以了解关于这一概念的详情。 这个选项用于指定一组客户机使用的 DNS 服务器, 它们之间以逗号分隔。 提供给客户机的子网掩码。 客户机可以请求租约的有效期, 而如果没有, 则服务器将指定一个租约有效期, 也就是这个值 (单位是秒)。 这是服务器允许租出地址的最大时长。 如果客户机请求了更长的租期, 则它将得到一个地址, 但其租期仅限于 max-lease-time 秒。 这个选项用于指定 DHCP 服务器在一个地址被接受或释放时是否应对应尝试更新 DNS。 在 ISC 实现中, 这一选项是 必须指定的 指定地址池中可以用来分配给客户机的 IP 地址范围。 在这个范围之间, 以及其边界的 IP 地址将分配给客户机。 定义客户机的默认网关。 主机的硬件 MAC 地址 (这样 DHCP 服务器就能够在接到请求时知道请求的主机身份)。 指定总是得到同一 IP 地址的主机。 请注意在此处使用主机名是对的, 因为 DHCP 服务器会在返回租借地址信息之前自行解析主机名。 在配制好 dhcpd.conf 之后, 应在 /etc/rc.conf 中启用 DHCP 服务器, 也就是增加: dhcpd_enable="YES" dhcpd_ifaces="dc0" 此处的 dc0 接口名应改为 DHCP 服务器需要监听 DHCP 客户端请求的接口 (如果有多个, 则用空格分开)。 接下来, 可以用下面的命令来启动服务: &prompt.root; /usr/local/etc/rc.d/isc-dhcpd.sh start 如果未来您需要修改服务器的配置, 请务必牢记发送 SIGHUP 信号给 dhcpd不会 导致配置文件的重新加载, 而这在其他服务程序中则是比较普遍的约定。 您需要发送 SIGTERM 信号来停止进程, 然后使用上面的命令来重新启动它。 文件 DHCP 配置文件 /usr/local/sbin/dhcpd dhcpd 是静态连接的, 并安装到 /usr/local/sbin 中。 随 port 安装的 &man.dhcpd.8; 联机手册提供了关于 dhcpd 更为详尽的信息。 /usr/local/etc/dhcpd.conf dhcpd 需要配置文件, 即 /usr/local/etc/dhcpd.conf 才能够向客户机提供服务。 这个文件需要包括应提供给客户机的所有信息, 以及关于服务器运行的其他信息。 此配置文件的详细描述可以在随 port 安装的 &man.dhcpd.conf.5; 联机手册上找到。 /var/db/dhcpd.leases DHCP 服务器会维护一个它签发的租用地址数据库, 并保存在这个文件中, 这个文件是以日志的形式保存的。 随 port 安装的 &man.dhcpd.leases.5; 联机手册提供了更详细的描述。 /usr/local/sbin/dhcrelay dhcrelay 在更为复杂的环境中, 可以用来支持使用 DHCP 服务器转发请求给另一个独立网络上的 DHCP 服务器。 如果您需要这个功能, 需要安装 net/isc-dhcp3-relay port。 &man.dhcrelay.8; 联机手册提供了更为详尽的介绍。 Chern Lee Contributed by Tom Rhodes Daniel Gerzo 域名系统 (<acronym>DNS</acronym>) 纵览 BIND &os; 在默认情况下使用一个版本的 BIND (Berkeley Internet Name Domain), 这是目前最为流行的 DNS 协议实现。 DNS 是一种协议, 可以通过它将域名同 IP 地址相互对应。 例如, 查询 www.FreeBSD.org 将得到 &os; Project 的 web 服务器的 IP 地址, 而查询 ftp.FreeBSD.org 则将得到响应的 FTP 机器的 IP 地址。 类似地, 也可以做相反的事情。 查询 IP 地址可以得到其主机名。 当然, 完成 DNS 查询并不需要在系统中运行域名服务器。 目前, 默认情况下&os; 使用的是 BIND9 DNS 服务软件。 我们内建于系统中的版本提供了增强的安全特性、 新的文件目录结构, 以及自动的 &man.chroot.8; 配置。 DNS 在 Internet 上的 DNS 是通过一套较为复杂的权威根域名系统, 顶级域名 (TLD), 以及一系列小规模的, 提供少量域名解析服务并对域名信息进行缓存的域名服务器组成的。 目前, BIND 由 Internet Software Consortium 维护。 术语 要理解这份文档, 需要首先了解一些相关的 DNS 术语。 resolver (解析器) reverse DNS (反向 DNS) root zone (根域) 术语 定义 正向 DNS 将域名映射到 IP 地址 原点 (Origin) 表示特定域文件所在的域 named, BIND, 域名服务器 在 &os; 中 BIND 域名服务器软件包的常见叫法。 解析器 (Resolver) 计算机用以向域名服务器查询域名信息的一个系统进程 反向 DNS 与正向 DNS 相对; 将 IP 地址映射为主机名 根域 Internet 域层次的起点。 所有的域都在根域之下, 类似文件系统中, 文件都在根目录之下那样。 域 (Zone) 独立的域, 子域, 或者由同一机构管理的 DNS 的一部分。 例子 域的例子: . 是根域。 org. 是根域之下的一个顶级域名 (TLD)。 example.org. 是在 org. TLD 之下的一个域。 1.168.192.in-addr.arpa 是一个表示所有 192.168.1.* IP 地址空间中 IP 地址的域。 如您所见, 域名中越细节的部分会越靠左出现。 例如, example.org. 就比 org. 范围更小, 类似地 org. 又比根域更小。 域名各个部分的格局与文件系统十分类似: /dev 目录在根目录之下, 等等。 运行域名服务器的理由 域名服务器通常会有两种形式: 权威域名服务器, 以及缓存域名服务器。 下列情况需要有权威域名服务器: 想要向全世界提供 DNS 信息, 并对请求给出权威应答。 注册了类似 example.org 的域, 而需要将 IP 指定到其下的主机名上。 某个 IP 地址块需要反向 DNS 项 (IP 到主机名)。 备份服务器, 或常说的从 (slave) 服务器, 会在主服务器出现问题或无法访问时来应答查询请求。 下列情况需要有缓存域名服务器: 本地的 DNS 服务器能够缓存, 并比直接向外界的域名服务器请求更快地得到应答。 当有人查询 www.FreeBSD.org 时,解析器通常会向上级 ISP 的域名服务器发出请求, 并获得回应。 如果有本地的缓存 DNS 服务器, 查询只有在第一次被缓存 DNS 服务器发到外部世界。 其他的查询不会发向局域网外, 因为它们已经有在本地的缓存了。 DNS 如何运作 在 &os; 中, BIND 服务程序被称为 named, 其原因显而易见。 文件 描述 &man.named.8; BIND 服务程序 &man.rndc.8; 域名服务控制程序 /etc/namedb BIND 存放域名信息的位置。 /etc/namedb/named.conf 域名服务配置文件 随在服务器上配置的域的性质不同, 域的定义文件一般会存放到 /etc/namedb 目录中的 masterslave, 或 dynamic 子目录中。 这些文件中提供了域名服务器在响应查询时所需要的 DNS 信息。 启动 BIND BIND starting (启动) 由于 BIND 是默认安装的, 因此配置它相对而言很简单。 - 默认的 named 配置是在 + 默认的 named 配置, 是在 &man.chroot.8; 环境中提供基本的域名解析服务。 - 如果希望启动一下这种配置, 可以执行下面的命令: + 如果希望启动这一配置, 可以使用下面的命令: &prompt.root; /etc/rc.d/named forcestart 如果希望 named 服务在每次启动的时候都能够启动, 需要在 /etc/rc.conf 中加入: named_enable="YES" 当然, 除了这份文档所介绍的配置选项之外, 在 /etc/namedb/named.conf 中还有很多其它的选项。 不过, 如果您需要了解 &os; 中用于启动 named 的那些选项的话, 则可以查看 /etc/defaults/rc.conf 中的 named_* 参数, 并参考 &man.rc.conf.5; 联机手册。 除此之外, 也是一个不错的起点。 配置文件 BIND configuration files (配置文件) 目前, named 的配置文件存放于 /etc/namedb 目录, 在使用前应根据需要进行修改, 除非您只打算让它完成简单的域名解析服务。 这个目录同时也是您进行绝大多数配置的地方。 使用 <command>make-localhost</command> 要为 localhost 配置权威域, 需要进入 /etc/namedb 目录, 并运行下面的命令: &prompt.root; sh make-localhost 如果一切正常的话, 在 master 子目录中会增加一组文件。 本地域名对应的文件是 localhost.rev, 而 IPv6 对应的配置则是 localhost-v6.rev。 作为默认配置, 所需的信息已经放到了 named.conf 文件中。 <filename>/etc/namedb/named.conf</filename> // $FreeBSD$ // // Refer to the named.conf(5) and named(8) man pages, and the documentation // in /usr/share/doc/bind9 for more details. // // If you are going to set up an authoritative server, make sure you // understand the hairy details of how DNS works. Even with // simple mistakes, you can break connectivity for affected parties, // or cause huge amounts of useless Internet traffic. options { directory "/etc/namedb"; pid-file "/var/run/named/pid"; dump-file "/var/dump/named_dump.db"; statistics-file "/var/stats/named.stats"; // If named is being used only as a local resolver, this is a safe default. // For named to be accessible to the network, comment this option, specify // the proper IP address, or delete this option. listen-on { 127.0.0.1; }; // If you have IPv6 enabled on this system, uncomment this option for // use as a local resolver. To give access to the network, specify // an IPv6 address, or the keyword "any". // listen-on-v6 { ::1; }; // In addition to the "forwarders" clause, you can force your name // server to never initiate queries of its own, but always ask its // forwarders only, by enabling the following line: // // forward only; // If you've got a DNS server around at your upstream provider, enter // its IP address here, and enable the line below. This will make you // benefit from its cache, thus reduce overall DNS traffic in the Internet. /* forwarders { 127.0.0.1; }; */ 正如注释所言, 如果希望从上级缓存中受益, 可以在此处启用 forwarders。 正常情况下, 域名服务器会逐级地查询 Internet 来找到特定的域名服务器, 直到得到答案为止。 这个选项将让它首先查询上级域名服务器 (或另外提供的域名服务器), 从而从它们的缓存中得到结果。 如果上级域名服务器是一个繁忙的高速域名服务器, 则启用它将有助于改善服务品质。 127.0.0.1 不会 正常工作。 一定要把地址改为您上级服务器的 IP 地址。 /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND versions 8 and later * use a pseudo-random unprivileged UDP port by default. */ // query-source address * port 53; }; // If you enable a local name server, don't forget to enter 127.0.0.1 // first in your /etc/resolv.conf so this server will be queried. // Also, make sure to enable it in /etc/rc.conf. zone "." { type hint; file "named.root"; }; zone "0.0.127.IN-ADDR.ARPA" { type master; file "master/localhost.rev"; }; // RFC 3152 zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA" { type master; file "master/localhost-v6.rev"; }; // NB: Do not use the IP addresses below, they are faked, and only // serve demonstration/documentation purposes! // // Example slave zone config entries. It can be convenient to become // a slave at least for the zone your own domain is in. Ask // your network administrator for the IP address of the responsible // primary. // // Never forget to include the reverse lookup (IN-ADDR.ARPA) zone! // (This is named after the first bytes of the IP address, in reverse // order, with ".IN-ADDR.ARPA" appended.) // // Before starting to set up a primary zone, make sure you fully // understand how DNS and BIND works. There are sometimes // non-obvious pitfalls. Setting up a slave zone is simpler. // // NB: Don't blindly enable the examples below. :-) Use actual names // and addresses instead. /* An example master zone zone "example.net" { type master; file "master/example.net"; }; */ /* An example dynamic zone key "exampleorgkey" { algorithm hmac-md5; secret "sf87HJqjkqh8ac87a02lla=="; }; zone "example.org" { type master; allow-update { key "exampleorgkey"; }; file "dynamic/example.org"; }; */ /* Examples of forward and reverse slave zones zone "example.com" { type slave; file "slave/example.com"; masters { 192.168.1.1; }; }; zone "1.168.192.in-addr.arpa" { type slave; file "slave/1.168.192.in-addr.arpa"; masters { 192.168.1.1; }; }; */ named.conf 中, 还给出了从域、转发域和反解析域的例子。 如果新增了域, 就必需在 named.conf 中加入对应的项目。 例如, 用于 example.org 的域文件的描述类似下面这样: zone "example.org" { type master; file "master/example.org"; }; 语句所标示的那样, 这是一个主域, 其信息保存在 /etc/namedb/master/example.org 中, 如 语句所示。 zone "example.org" { type slave; file "slave/example.org"; }; 在从域的情形中, 所指定的域的信息会从主域名服务器传递过来, 并保存到对应的文件中。 当主域服务器发生问题或不可达时, 从域名服务器就有一份可用的域名信息, 从而能够对外提供服务。 域文件 BIND zone files (域文件) 下面的例子展示了用于 example.org 的主域文件 (存放于 /etc/namedb/master/example.org): $TTL 3600 ; 1 hour example.org. IN SOA ns1.example.org. admin.example.org. ( 2006051501 ; Serial 10800 ; Refresh 3600 ; Retry 604800 ; Expire 86400 ; Minimum TTL ) ; DNS Servers IN NS ns1.example.org. IN NS ns2.example.org. ; MX Records IN MX 10 mx.example.org. IN MX 20 mail.example.org. IN A 192.168.1.1 ; Machine Names localhost IN A 127.0.0.1 ns1 IN A 192.168.1.2 ns2 IN A 192.168.1.3 mx IN A 192.168.1.4 mail IN A 192.168.1.5 ; Aliases www IN CNAME @ 请注意以 . 结尾的主机名是全称主机名, 而结尾没有 . 的则是相对于原点的主机名。 例如, www 将被转换为 www.原点. 在这个假想的域信息文件中, 我们的原点是 example.org., 因此 www 将被当作 www.example.org. 域信息文件的格式如下: 记录名 IN 记录类型 值 DNS 记录 最常用的 DNS 记录: SOA 域权威开始 NS 权威域名服务器 A 主机地址 CNAME 别名对应的正规名称 MX 邮件传递服务器 PTR 域名指针 (用于反向 DNS) example.org. IN SOA ns1.example.org. admin.example.org. ( 2006051501 ; Serial 10800 ; Refresh after 3 hours 3600 ; Retry after 1 hour 604800 ; Expire after 1 week 86400 ) ; Minimum TTL of 1 day example.org. 域名, 同时也是这个域信息文件的原点。 ns1.example.org. 该域的主/权威域名服务器。 admin.example.org. 此域的负责人的电子邮件地址, 其中 @ 被换掉了。 (admin@example.org 对应 admin.example.org) 2006051501 文件的序号。 每次修改域文件时都必须增加这个数字。 现今, 许多管理员会考虑使用 yyyymmddrr 这样的格式来表示序号。 2006051501 通常表示上次修改于 05/15/2006, 而后面的 01 则表示在那天的第一次修改。 序号非常重要, 它用于通知从域服务器更新数据。 IN NS ns1.example.org. 这是一个 NS 项。 每个准备提供权威应答的服务器都必须有一个对应项。 localhost IN A 127.0.0.1 ns1 IN A 192.168.1.2 ns2 IN A 192.168.1.3 mx IN A 192.168.1.4 mail IN A 192.168.1.5 A 记录指明了机器名。 正如在前面所按倒的, ns1.example.org 将解析为 192.168.1.2 IN A 192.168.1.1 这一行把当前原点 example.org 指定为使用 IP 地址 192.168.1.1 www IN CNAME @ 正规名 (CNAME) 记录通常用于为某台机器指定别名。 在这个例子中, 将 www 指定成了 机器的一个别名, 后者的名字与域名 example.org 相同 (192.168.1.1)。 CNAME 也可以用来提供主机别名, 或将一个主机名以轮转 (round robin) 方式指定到多台服务器。 MX 记录 IN MX 10 mail.example.org. MX 记录表示哪个邮件服务器负责接收发到这个域的邮件。 mail.example.org 是邮件服务器的主机名, 而 10 则是它的优先级。 可以有多台邮件服务器, 其优先级分别是 10、 20 等等。 尝试向 example.org 投递邮件的服务器, 会首先尝试优先级最高的 MX (优先级数值最低的记录)、 接着尝试次高的, 并重复这一过程直到邮件递送到达为止。 对于 in-addr.arpa 域名信息文件 (反向 DNS), 使用了同样的格式, 只是 PTR 项代替了 A 或 CNAME 的位置。 $TTL 3600 1.168.192.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. ( 2006051501 ; Serial 10800 ; Refresh 3600 ; Retry 604800 ; Expire 3600 ) ; Minimum IN NS ns1.example.org. IN NS ns2.example.org. 1 IN PTR example.org. 2 IN PTR ns1.example.org. 3 IN PTR ns2.example.org. 4 IN PTR mx.example.org. 5 IN PTR mail.example.org. 这个文件给出了上述假想域中 IP 地址到域名的映射关系。 缓存域名服务器 BIND 缓存域名服务器 缓存域名服务器是对任何域都不提供权威解析的域名服务器。 它自己简单地完成查询, 并记住这些查询以备后续使用。 要建立这样的服务器, 只需像平时一样配置一个域名服务器, 而不配置域就可以了。 安全 尽管 BIND 是最为常用的 DNS 实现, 但它总是有一些安全问题。 时常会有人发现一些可能的甚至可以利用的安全漏洞。 尽管 &os; 会自动将 named 放到 &man.chroot.8; 环境中运行, 但仍有一些其它可用的安全机制来帮助您规避潜在的针对 DNS 服务的攻击。 阅读 CERT 的安全公告, 并订阅 the &a.security-notifications; 是一个有助于帮助您了解最新 Internet 及 &os; 安全问题的好习惯。 如果发现了问题, 确保源代码是最新的, 并重新联编一份 named 不会给您带来任何麻烦。 进一步阅读 BIND/named 联机手册: &man.rndc.8; &man.named.8; &man.named.conf.5; 官方的 ISC BIND 页面 Official ISC BIND Forum BIND9 FAQ O'Reilly DNS 和 BIND 第 5 版 RFC1034 - 域名 - 概念和工具 RFC1035 - 域名 - 实现及其标准 Murray Stokely Contributed by Apache HTTP 服务器 web 服务器 配置 Apache 纵览 &os; 被用于运行许多全球最为繁忙的 web 站点。 大多数 Internet 上的 web 服务器, 都使用 Apache HTTP 服务器Apache 软件包可以在您的 FreeBSD 安装盘上找到。 如果没有在首次安装时附带安装 Apache, 则可以通过 www/apache13www/apache22 port 来安装。 一旦成功地安装了 Apache, 就必须对其进行配置。 这一节介绍了 1.3.X 版本的 Apache HTTP 服务器 的配置, 因为它是随 &os; 一同使用的最多的版本。 Apache 2.X 引入了很多新技术, 但在此并不讨论。 要了解关于 Apache 2.X 的更多资料, 请参见 配置 Apache 配置文件 主要的 Apache HTTP Server 配置文件, 在 &os; 上会安装为 /usr/local/etc/apache/httpd.conf。 这是一个典型的 &unix; 文本配置文件, 它使用 # 作为注释符。 关于全部配置选项的详尽介绍超出了本书的范围, 这里将只介绍最常被修改的那些。 ServerRoot "/usr/local" 这指定了 Apache 安装的顶级目录。 执行文件被放到服务器根目录 (server root) 的 binsbin 子目录中, 而配置文件则位于 etc/apache ServerAdmin you@your.address 这个地址是在服务器发生问题时应发送电子邮件的地址, 它会出现在服务器生成的页面上, 例如错误页面。 ServerName www.example.com ServerName 允许您配置发送回客户端的主机名, 如果您的服务器被用户以别的名字访问 (例如, 使用 www 而不是主机本身的真实名字)。 DocumentRoot "/usr/local/www/data" DocumentRoot: 这个目录是您的文档所在的目录。 默认情况下, 所有的请求都会从这个位置去获取, 但也可以通过符号连接和别名指定其它的位置。 在修改配置之前备份 Apache 的配置文件永远是一个好习惯。 一旦对初始配置满意了, 就可以开始运行 Apache 了。 运行 <application>Apache</application> Apache 启动和停止 与许多其它网络服务不同, Apache 并不依赖 inetd 超级服务器来运行。 一般情况下会把它配置为一个独立的服务器, 以期在客户的 web 浏览器连入 HTTP 请求时, 能够获得更好的性能。 它提供了一个 shell 脚本来使启动、 停止和重新启动服务器变得尽可能地简单。 首次启动 Apache, 只需执行: &prompt.root; /usr/local/sbin/apachectl start 可以在任何时候使用下面的命令来停止服务: &prompt.root; /usr/local/sbin/apachectl stop 当由于某种原因修改了配置文件之后, 需要重启服务器: &prompt.root; /usr/local/sbin/apachectl restart 要在重启 Apache 服务器时不中断当前的连接, 则应运行: &prompt.root; /usr/local/sbin/apachectl graceful 更多的信息, 可以在 &man.apachectl.8; 联机手册中找到。 要在系统启动时启动 Apache, 则应在 /etc/rc.conf 中加入: apache_enable="YES" 或者对于Apache 2.2: apache22_enable="YES" 如果您希望在系统引导时启动 Apache httpd 程序并指定其它一些选项, 则可以把下面的行加到 rc.conf apache_flags="" 现在 web 服务器就开始运行了, 您可以使用 web 浏览器打开 http://localhost/。 默认显示的 web 页面是 /usr/local/www/data/index.html 虚拟主机 Apache 支持两种不同类型的虚拟主机。 第一种方法是基于名字的虚拟主机。 基于名字的虚拟主机使用客户机发来的 HTTP/1.1 头来辨别主机名。 这使得不同的域得以共享同一个 IP 地址。 要配置 Apache 来使用基于名字的虚拟主机, 需要把类似下面的项加到您的 httpd.conf 中: NameVirtualHost * 如果您的 web 服务器的名字是 www.domain.tld, 而您希望建立一个 www.someotherdomain.tld 的虚拟域, 则应在 httpd.conf 中加入: <VirtualHost *> ServerName www.domain.tld DocumentRoot /www/domain.tld </VirtualHost> <VirtualHost *> ServerName www.someotherdomain.tld DocumentRoot /www/someotherdomain.tld </VirtualHost> 您需要把上面的地址和文档路径改为所使用的那些。 要了解关于虚拟主机的更多信息, 请参考官方的 Apache 文档, 这些文档可以在 找到。 Apache 模块 Apache 模块 有许多不同的 Apache 模块, 它们可以在基本的服务器基础上提供许多附加的功能。 FreeBSD 的 Ports Collection 为安装 Apache 和常用的附加模块提供了非常方便的方法。 mod_ssl web 服务器 安全 SSL 密码学 mod_ssl 这个模块使用 OpenSSL 库, 来提供通过 安全套接字层 (SSL v2/v3) 和 传输层安全 (TLS v1) 协议的强加密能力。 这个模块提供了从某一受信的证书签署机构申请签名证书所需的所有工具, 您可以藉此在 &os; 上运行安全的 web 服务器。 如果您未曾安装 Apache, 也可以直接安装一份包含了 mod_ssl 的版本的 Apache 1.3.X, 其方法是通过 www/apache13-modssl port 来进行。 SSL 支持已经作为 Apache 2.X 的一部分提供, 您可以通过 www/apache22 port 来安装后者。 语言绑定 Apache对于一些主要的脚本语言都有相应的模块。 这些模块使得完全使用某种脚本语言来写 Apache 模块成为可能。 他们通常也被嵌入到服务器作为一个常驻内存的解释器, 以避免启动一个外部解释器对于下一节将描述的动态网站所需时间和资源上的开销。 动态网站 web servers dynamic 在过去的十年里,越来越多的企业为了增加收益和暴光率而转向了互联网。 这也同时增进了对于互动网页内容的需求。有些公司,比如 µsoft; 推出了基于他们专有产品的解决方案,开源社区也做出了积极的回应。 比较时尚的选择包括 Django,Ruby on Rails, mod_perl, and mod_php. Django Python Django Django 是一个以 BSD 许可证发布的 framework, 能让开发者快速写出高性能高品质的 web 应用程序。 它提供给一个对象关系映射组件,数据类型可以被当 Python 中的对象,和一组丰富的动态数据库访问 API, 使开发者避免了写 SQL 语句。它同时还提供了可扩展的模板系统, 让应用程序的逻辑部分与 HTML 的表现层分离。 Django 依赖与 mod_pythonApache, 和一个可选的 SQL 数据库引擎。 在设置了一些恰当的标志后,FreeBSD 的 Port 系统将会帮助你安装这些必需的依赖库。 安装 Django,Apache2, mod_python3,和 PostgreSQL &prompt.root; cd /usr/ports/www/py-django; make all install clean -DWITH_MOD_PYTHON3 -DWITH_POSTGRESQL 在安装了 Django 和那些依赖的软件之后, 你需要创建一个 Django 项目的目录,然后配置 Apache,当有对于你网站上应用程序的某些指定的 URL 时调用内嵌的 Python 解释器。 Django/mod_python 有关 Apache 部分的配置 你需要在 Apache 的配置文件 httpd.conf 加入以下这几行, 把对某些 URL 的请求传给你的 web 应用程序: <Location "/"> SetHandler python-program PythonPath "['/dir/to/your/django/packages/'] + sys.path" PythonHandler django.core.handlers.modpython SetEnv DJANGO_SETTINGS_MODULE mysite.settings PythonAutoReload On PythonDebug On </Location> Ruby on Rails Ruby on Rails Ruby on Rails 是另外一个开源的 web framework, 提供了一个全面的开发框架,能帮助 web 开发者工作更有成效和快速写出强大的应用。 它能非常容易的从 posts 系统安装。 &prompt.root; cd /usr/ports/www/rubygem-rails; make all install clean mod_perl mod_perl Perl Apache/Perl 集成计划, 将 Perl 程序设计语言的强大功能, 与 Apache HTTP 服务器 紧密地结合到了一起。 通过 mod_perl 模块, 可以完全使用 Perl 来撰写 Apache 模块。 此外, 服务器中嵌入的持久性解释器, 消除了由于启动外部的解释器为 Perl 脚本的启动所造成的性能损失。 mod_perl 通过多种方式提供。 要使用 mod_perl, 应该注意 mod_perl 1.0 只能配合 Apache 1.3 而 mod_perl 2.0 只能配合 Apache 2.X 使用。 mod_perl 1.0 可以通过 www/mod_perl 安装, 而以静态方式联编的版本, 则可以通过 www/apache13-modperl 来安装。 mod_perl 2.0 则可以通过 www/mod_perl2 安装。 Tom Rhodes Written by mod_php mod_php PHP PHP, 也称为 PHP: Hypertext Preprocessor, 是一种特别适合于 Web 开发的通用脚本语言。 它能够很容易地嵌入到 HTML 之中, 其语法接近于 C、 &java;, 以及 Perl, 以期让 web 开发人员的一迅速撰写动态生成的页面。 要获得用于 Apache web 服务器的 PHP5 支持, 可以从安装 lang/php5 port 开始。 在首次安装 lang/php5 port 的时候, 系统会自动显示可用的一系列 OPTIONS (配置选项)。 如果您没有看到菜单, 例如由于过去曾经安装过 lang/php5 port 等等, 可以用下面的命令再次显示配置菜单, 在 port 的目录中执行: &prompt.root; make config 在配置选项对话框中, 选中 APACHE 这一项, 就可以联编出用于与 Apache web 服务器配合使用的可动态加载的 mod_php5 模块了。 由于各式各样的原因 (例如, 出于已经部署的 web 应用的兼容性考虑), 许多网站仍在使用 PHP4。 如果您需要 mod_php4 而不是 mod_php5, 请使用 lang/php4 port。 lang/php4 port 也支持许多 lang/php5 port 提供的配置和编译时选项。 前面我们已经成功地安装并配置了用于支持动态 PHP 应用所需的模块。 请检查并确认您已将下述配置加入到了 /usr/local/etc/apache/httpd.conf 中: LoadModule php5_module libexec/apache/libphp5.so AddModule mod_php5.c <IfModule mod_php5.c> DirectoryIndex index.php index.html </IfModule> <IfModule mod_php5.c> AddType application/x-httpd-php .php AddType application/x-httpd-php-source .phps </IfModule> 这些工作完成之后, 还需要使用 apachectl 命令来完成一次 graceful restart 以便加载 PHP 模块: &prompt.root; apachectl graceful 在未来您升级 PHP 时, make config 这步操作就不再是必需的了; 您所选择的 OPTIONS 会由 &os; 的 Ports 框架自动保存。 在 &os; 中的 PHP 支持是高度模块化的, 因此基本安装的功能十分有限。 增加其他功能的支持非常简单, 只需通过 lang/php5-extensions port 即可完成。 这个 port 提供了一个菜单驱动的界面来帮助完成 PHP 扩展的安装。 另外, 也可以通过对应的 port 来单独安装扩展。 例如, 要将对于 MySQL 数据库服务器的支持加入 PHP5, 只需简单地安装 databases/php5-mysql port。 安装完扩展之后, 必须重新启动 Apache 服务器, 来令其适应新的配置变更: &prompt.root; apachectl graceful Murray Stokely Contributed by 文件传输协议 (FTP) FTP 服务器 纵览 文件传输协议 (FTP) 为用户提供了一个简单的, 与 FTP 服务器交换文件的方法。 &os; 系统中包含了 FTP 服务软件, ftpd。 这使得在 &os; 上建立和管理 FTP 服务器变得非常简单。 配置 最重要的配置步骤是决定允许哪些帐号访问 FTP 服务器。 一般的 &os; 系统包含了一系列系统帐号分别用于执行不同的服务程序, 但未知的用户不应被允许登录并使用这些帐号。 /etc/ftpusers 文件中, 列出了不允许通过 FTP 访问的用户。 默认情况下, 这包含了前述的系统帐号, 但也可以在这里加入其它不应通过 FTP 访问的用户。 您可能会希望限制通过 FTP 登录的某些用户, 而不是完全阻止他们使用 FTP。 这可以通过 /etc/ftpchroot 文件来完成。 这一文件列出了希望对 FTP 访问进行限制的用户和组的表。 而在 &man.ftpchroot.5; 联机手册中, 已经对此进行了详尽的介绍, 故而不再赘述。 FTP 匿名 如果您想要在服务器上启用匿名的 FTP 访问, 则必须建立一个名为 ftp 的 &os; 用户。 这样, 用户就可以使用 ftpanonymous 和任意的口令 (习惯上, 应该是以那个用户的邮件地址作为口令) 来登录和访问您的 FTP 服务器。 FTP 服务器将在匿名用户登录时调用 &man.chroot.2;, 以便将其访问限制在 ftp 用户的主目录中。 有两个文本文件可以用来指定显示在 FTP 客户程序中的欢迎文字。 /etc/ftpwelcome 文件中的内容将在用户连接上之后, 在登录提示之前显示。 在成功的登录之后, 将显示 /etc/ftpmotd 文件中的内容。 请注意后者是相对于登录环境的, 因此对于匿名用户而言, 将显示 ~ftp/etc/ftpmotd 一旦正确地配置了 FTP 服务器, 就必须在 /etc/inetd.conf 中启用它。 这里需要做的全部工作就是将注释符 # 从已有的 ftpd 行之前去掉: ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l 所介绍的那样, 修改这个文件之后, 必须让 inetd 重新加载它, 才能使新的设置生效。请参阅 以获取更多有关如何在你系统上启用 inetd 的详细信息。 ftpd 也可以作为一个独立的服务启动。 这样的话就需要在 /etc/rc.conf 中设置如下的变量: ftpd_enable="YES" 在设置了上述变量之后,独立的服务将在下次系统重启的时候启动, 或者通过以 root 身份手动执行如下的命令启动: &prompt.root; /etc/rc.d/ftpd start 现在可以通过输入下面的命令来登录您的 FTP 服务器了: &prompt.user; ftp localhost 维护 syslog 日志文件 FTP ftpd 服务程序使用 &man.syslog.3; 来记录消息。 默认情况下, 系统日志将把和 FTP 相关的消息记录到 /var/log/xferlog 文件中。 FTP 日志的位置, 可以通过修改 /etc/syslog.conf 中如下所示的行来修改: ftp.info /var/log/xferlog FTP 匿名 一定要小心对待在匿名 FTP 服务器中可能遇到的潜在问题。 一般而言, 允许匿名用户上传文件应三思。 您可能发现自己的 FTP 站点成为了交易未经授权的商业软件的论坛, 或发生更糟糕的情况。 如果不需要匿名的 FTP 上传, 可以在文件上配置权限, 使得您能够在其它匿名用户能够下载这些文件之前复查它们。 Murray Stokely Contributed by 为 µsoft.windows; 客户机提供文件和打印服务 (Samba) Samba 服务器 Microsoft Windows 文件服务器 Windows 客户机 打印服务器 Windows 客户机 纵览 Samba 是一个流行的开源软件包, 它提供了针对 µsoft.windows; 客户机的文件和打印服务。 这类客户机可以连接并使用 FreeBSD 系统上的文件空间, 就如同使用本地的磁盘一样, 或者像使用本地打印机一样使用 FreeBSD 上的打印机。 Samba 软件包可以在您的 FreeBSD 安装盘上找到。 如果您没有在初次安装 FreeBSD 时安装 Samba, 则可以通过 net/samba3 port 或 package 来安装。 配置 默认的 Samba 配置文件会以 /usr/local/share/examples/samba/smb.conf.default 的名字安装。这个文件必须复制为 /usr/local/etc/smb.conf 并进行定制, 才能开始使用 Samba smb.conf 文件中包含了 Samba 的运行时配置信息, 例如对于打印机的定义, 以及希望共享给 &windows; 客户机的 共享文件系统Samba 软件包包含了一个称为 swat 的 web 管理工具, 后者提供了配置 smb.conf 文件的简单方法。 使用 Samba Web 管理工具 (SWAT) Samba Web 管理工具 (SWAT) 是一个通过 inetd 运行的服务程序。 因此, 需要把 /etc/inetd.conf 中下面几行的注释去掉, 才能够使用 swat 来配置 Samba swat stream tcp nowait/400 root /usr/local/sbin/swat swat 中所介绍的那样, 在修改了这个配置文件之后, 必须让 inetd 重新加载配置, 才能使其生效。 一旦在 inetd.conf 中启用了 swat, 就可以用浏览器访问 connect to 了。 您将首先使用系统的 root 帐号登录。 只要成功地登录进了 Samba 配置页面, 就可以浏览系统的文档, 或从 Globals(全局) 选项卡开始配置了。 Globals 小节对应于 [global] 小节中的变量, 前者位于 /usr/local/etc/smb.conf 中。 全局配置 无论是使用 swat, 还是直接编辑 /usr/local/etc/smb.conf, 通常首先要配置的 Samba 选项都是: workgroup NT 域名或工作组名, 其他计算机将通过这些名字来找到服务器。 netbios name NetBIOS 这个选项用于设置 Samba 服务器的 NetBIOS 名字。 默认情况下, 这是所在主机的 DNS 名字的第一部分。 server string 这个选项用于设置通过 net view 命令, 以及某些其他网络工具可以查看到的关于服务器的说明性文字。 安全配置 /usr/local/etc/smb.conf 中的两个最重要的配置, 是选定的安全模型, 以及客户机上用户的口令存放后端。 下面的语句控制这些选项: security 最常见的选项形式是 security = sharesecurity = user。 如果您的客户机使用用户名, 并且这些用户名与您的 &os; 机器一致, 一般应选择用户级 (user) 安全。 这是默认的安全策略, 它要求客户机首先登录, 然后才能访问共享的资源。 如果采用共享级 (share) 安全, 则客户机不需要用有效的用户名和口令登录服务器, 就能够连接共享的资源。 这是较早版本的 Samba 中的默认值。 passdb backend NIS+ LDAP SQL 数据库 Samba 提供了若干种不同的验证后端模型。 您可以通过 LDAP、 NIS+、 SQL 数据库, 或经过修改的口令文件, 来完成客户端的身份验证。 默认的验证模式是 smbpasswd, 这也是本章将介绍的全部内容。 假设您使用的是默认的 smbpasswd 后端, 则必须首先创建一个 /usr/local/private/smbpasswd 文件, 来允许 Samba 对客户进行身份验证。 如果您打算让 &unix; 用户帐号能够从 &windows; 客户机上登录, 可以使用下面的命令: &prompt.root; smbpasswd -a username Samba 3.0.23c 开始, 用于存在验证文件的实际目录变成了 /usr/local/etc/samba。 目前推荐使用的后端是 tdbsam, 您应使用下面的命令来添加用户帐号: &prompt.root; pdbedit username 请参考 官方的 Samba HOWTO 以了解关于配置选项的进一步信息。 按照前面给出的基本描述, 您应该已经可以启动 Samba 了。 启动 <application>Samba</application> net/samba3 port 会增加一个新的用于控制 Samba 的启动脚本。 要启用这个脚本, 以便用它来完成启动、 停止或重启 Samba 的任务, 需要在 /etc/rc.conf 文件中加入: samba_enable="YES" 此外, 也可以进行更细粒度的控制: nmbd_enable="YES" smbd_enable="YES" 这也同时配置了在系统引导时启动 Samba 配置好之后, 就可以在任何时候通过下面的命令来启动 Samba 了: &prompt.root; /usr/local/etc/rc.d/samba start Starting SAMBA: removing stale tdbs : Starting nmbd. Starting smbd. 请参见 以了解关于使用 rc 脚本的进一步信息。 Samba 事实上包含了三个相互独立的服务程序。 您应该能够看到 nmbdsmbd 两个服务程序都是通过 samba 脚本启动的。 如果在 smb.conf 中启用了 winbind 名字解析服务, 则应该可以看到 winbindd 服务被启动起来。 可以在任何时候通过下面的命令来停止运行 Samba &prompt.root; /usr/local/etc/rc.d/samba stop Samba 是一个复杂的软件包, 它提供了用于与 µsoft.windows; 网络进行集成的各式各样的功能。 要了解关于这里所介绍的基本安装以外的其它功能, 请访问 Tom Hukins Contributed by 通过 NTP 进行时钟同步 NTP 纵览 随着时间的推移, 计算机的时钟会倾向于漂移。 网络时间协议 (NTP) 是一种确保您的时钟保持准确的方法。 许多 Internet 服务依赖、 或极大地受益于本地计算机时钟的准确性。 例如, web 服务器可能会接收到一个请求, 要求如果文件在某一时刻之后修改过才发送它。 在局域网环境中, 共享文件的计算机之间的时钟是否同步至关重要, 因为这样才能使时间戳保持一致。 类似 &man.cron.8; 这样的程序, 也依赖于正确的系统时钟, 才能够准确地执行操作。 NTP ntpd FreeBSD 附带了 &man.ntpd.8; NTP 服务器, 它可以用于查询其它的 NTP 服务器, 并配置本地计算机的时钟, 或者为其它机器提供服务。 选择合适的 NTP 服务器 NTP 选择服务器 为了同步您的系统时钟, 需要首先找到至少一个 NTP 服务器以供使用。 网络管理员, 或 ISP 都可能会提供用于这样目的的 NTP 服务器—请查看他们的文档以了解是否是这样。 另外, 也有一个在线的 公开的 NTP 服务器列表, 您可以从中选一个较近的 NTP 服务器。 请确认您选择的服务器的访问策略, 如果需要的话, 申请一下所需的许可。 选择多个相互不连接的 NTP 服务器是一个好主意, 这样在某个服务器不可达, 或者时钟不可靠时就可以有别的选择。 这是因为, &man.ntpd.8; 会智能地选择它收到的响应—它会更倾向于使用可靠的服务器。 配置您的机器 NTP 配置 基本配置 ntpdate 如果只想在系统启动时同步时钟, 则可以使用 &man.ntpdate.8;。 对于经常重新启动, 并且不需要经常同步的桌面系统来说这比较适合, 但绝大多数机器都应该运行 &man.ntpd.8;。 在引导时使用 &man.ntpdate.8; 来配合运行 &man.ntpd.8; 也是一个好主意。 &man.ntpd.8; 渐进地修正时钟, 而 &man.ntpdate.8; 则直接设置时钟, 无论机器的当前时间和正确时间有多大的偏差。 要启用引导时的 &man.ntpdate.8;, 需要把 ntpdate_enable="YES" 加到 /etc/rc.conf 中。 此外, 还需要通过 ntpdate_flags 来设置同步的服务器和选项, 它们将传递给 &man.ntpdate.8;。 NTP ntp.conf 一般配置 NTP 是通过 /etc/ntp.conf 文件来进行配置的, 其格式在 &man.ntp.conf.5; 中进行了描述。 下面是一个例子: server ntplocal.example.com prefer server timeserver.example.org server ntp2a.example.net driftfile /var/db/ntp.drift 这里, server 选项指定了使用哪一个服务器, 每一个服务器都独立一行。 如果某一台服务器上指定了 prefer (偏好) 参数, 如上面的 ntplocal.example.com, 则会优先选择这个服务器。 如果偏好的服务器和其他服务器的响应存在显著的差别, 则丢弃它的响应, 否则将使用来自它的响应, 而不理会其他服务器。 一般来说, prefer 参数应该标注在非常精确的 NTP 时源, 例如那些包含特殊的时间监控硬件的服务器上。 driftfile 选项, 则指定了用来保存系统时钟频率偏差的文件。 &man.ntpd.8; 程序使用它来自动地补偿时钟的自然漂移, 从而使时钟即使在切断了外来时源的情况下, 仍能保持相当的准确度。 另外, driftfile 选项也保存上一次响应所使用的 NTP 服务器的信息。 这个文件包含了 NTP 的内部信息, 它不应被任何其他进程修改。 控制您的服务器的访问 默认情况下, NTP 服务器可以被整个 Internet 上的主机访问。 如果在 /etc/ntp.conf 中指定 restrict 参数, 则可以控制允许哪些机器访问您的服务器。 如果希望拒绝所有的机器访问您的 NTP 服务器, 只需在 /etc/ntp.conf 中加入: restrict default ignore 这样做会禁止您的服务器访问在本地配置中列出的服务器。 如果您需要令 NTP 服务器与外界的 NTP 服务器同步时间, 则应允许指定服务器。 请参见联机手册 &man.ntp.conf.5; 以了解进一步的细节。 如果只希望子网内的机器通过您的服务器同步时钟, 而不允许它们配置为服务器, 或作为同步时钟的节点来时用, 则加入 restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap 这里, 需要把 192.168.1.0 改为您网络上的 IP 地址, 并把 255.255.255.0 改为您的子网掩码。 /etc/ntp.conf 可能包含多个 restrict 选项。 要了解进一步的细节, 请参见 &man.ntp.conf.5; 的 Access Control Support(访问控制支持) 小节。 运行 NTP 服务器 要让 NTP 服务器在系统启动时随之开启, 需要把 ntpd_enable="YES" 加入到 /etc/rc.conf 中。 如果希望向 &man.ntpd.8; 传递更多参数, 需要编辑 /etc/rc.conf 中的 ntpd_flags 要在不重新启动机器的前提下启动服务器, 需要手工运行 ntpd, 并带上 /etc/rc.conf 中的 ntpd_flags 所指定的参数。 例如: &prompt.root; ntpd -p /var/run/ntpd.pid 在临时性的 Internet 连接上使用 ntpd &man.ntpd.8; 程序的正常工作并不需要永久性的 Internet 连接。 然而, 如果您的临时性连接是配置为按需拨号的, 那么防止 NTP 通讯频繁触发拨号, 或保持连接就有必要了。 如果您使用用户级 PPP, 可以使用 filter 语句, 在 /etc/ppp/ppp.conf 中进行必要的设置。 例如: set filter dial 0 deny udp src eq 123 # Prevent NTP traffic from initiating dial out set filter dial 1 permit 0 0 set filter alive 0 deny udp src eq 123 # Prevent incoming NTP traffic from keeping the connection open set filter alive 1 deny udp dst eq 123 # Prevent outgoing NTP traffic from keeping the connection open set filter alive 2 permit 0/0 0/0 要了解进一步的信息, 请参考 &man.ppp.8; 的 PACKET FILTERING(包过滤) 小节, 以及 /usr/share/examples/ppp/ 中的例子。 某些 Internet 访问提供商会阻止低编号的端口, 这会导致 NTP 无法正常工作, 因为响应无法到达您的机器。 进一步的信息 关于 NTP 服务器的文档, 可以在 /usr/share/doc/ntp/ 找到 HTML 格式的版本。 Tom Rhodes Contributed by 使用 <command>syslogd</command> 记录远程主机的日志 处理系统日志对于系统安全和管理是一个重要方面。 当有多台分布在中型或大型网络的机器,再或者是处于各种不同类型的网络中, 监视他们上面的日志文件则显得非常难以操作, 在这种情况下, 配置远程日志记录能使整个处理过程变得更加轻松。 集中记录日志到一台指定的机器能够减轻一些日志文件管理的负担。 日志文件的收集, 合并与循环可以在一处配置, 使用 &os; 原生的工具, 比如 &man.syslogd.8; 和 &man.newsyslog.8;。 在以下的配置示例中, 主机 A, 命名为 logserv.example.com, 将用来收集本地网络的日志信息。 主机 B, 命名为 logclient.example.com 将把日志信息传送给服务器。 在现实中, 这两个主机都需要配置正确的正向和反向的 DNS 或者在 /etc/hosts 中记录。 否则, 数据将被服务器拒收。 日志服务器的配置 日志服务器是配置成用来接收远程主机日志信息的机器。 在大多数的情况下这是为了方便配置, 或者是为了更好的管理。 不论是何原因, 在继续深入之前需要提一些必需条件。 一个正确配置的日志服务器必须符合以下几个最基本的条件: 服务器和客户端的防火墙规则允许 514 端口上的 UDP 报文通过。 syslogd 被配置成接受从远程客户发来的消息。 syslogd 服务器和所有的客户端都必须有配有正确的正向和反向 DNS, 或者在 /etc/hosts 中有相应配置。 配置日志服务器, 客户端必须在 /etc/syslog.conf 中列出, 并指定日志的 facility: +logclient.example.com *.* /var/log/logclient.log 更多关于各种被支持并可用的 facility 能在 &man.syslog.conf.5; 手册页中找到。 一旦加入以后, 所有此类 facility 消息都会被记录到先前指定的文件 /var/log/logclient.log + 提供服务的机器还需要在其 + /etc/rc.conf 中配置: + + syslogd_enable="YES" +syslogd_flags="-a logclient.example.com -vv" + + 第一个选项表示在系统启动时启用 syslogd + 服务, 第二个选项表示允许服务器接收来自指定日志源客户端的数据。 + 第二行配置中最后的部分, 使用 , + 表示增加日志消息的详细程度。 在调整 facility 配置的时候, + 这个配置非常有用, 因为管理员能够看到哪些消息将作为哪个 + facility 的内容来记录。 + + 可以同时指定多个 选项来允许多个客户机。 + 此外, 还可以指定 IP + 地址或网段, 请参阅 + &man.syslog.3; 联机手册以了解可用配置的完整列表。 + 最后, 日志文件应该被创建。 不论你用何种方法创建, 比如 &man.touch.1; 能很好的完成此类任务: &prompt.root; touch /var/log/logclient.log 此时, 应该重启并确认一下 syslogd 守护进程: &prompt.root; /etc/rc.d/syslogd restart &prompt.root; pgrep syslog 如果返回了一个 PIC 的话, 服务端应该被成功重启了, 并继续开始配置客户端。 如果服务端没有重启的话, 请在 /var/log/messages 日志中查阅相关输出。 日志客户端配置 日志客户端是一台发送日志信息到日志服务器的机器, 并在本地保存拷贝。 - 类似于日志服务器, 客户端也必须满足一些最基本的条件。 + 类似于日志服务器, 客户端也必须满足一些最基本的条件: &man.syslogd.8; 必须被配置成发送指定类型的消息到能接收他们的日志服务器。 - 防火墙必须允许 512 端口上的 UDP 包通过。 + 防火墙必须允许 514 端口上的 UDP 包通过; 必须配置正向与反向 DNS, 或者在 /etc/hosts 中有正确的记录。 相比服务器来说配置客户端更轻松一些。 客户端的机器在 /etc/rc.conf 中做如下的设置: syslogd_enable="YES" -syslogd_flags="-a logclient.example.com -vv" +syslogd_flags="-s -vv" - 第一个选项将在机器启动的时候启用 syslogd - 守护进程, 第二行允许在这台服务器上接收从客户端发送来的数据。 - 后面的部分, 使用 增加日志消息的冗长程度。 - 这对于调整 facility 非常有用, - 因为管理能够看见何种消息被发送至哪一级 facility。 + 和前面类似, 这些选项会在系统启动过程中启用 + syslogd 服务, 并增加日志消息的详细程度。 + 而 + 选项则表示禁止服务接收来自其他主机的日志。 Facility 是描述某个消息由系统的哪部分生成的。 举例来说, ftpipfw 都是 facility。 当这两项服务生成日志消息时, 它们通常在日志消息中包含了这两种工具。 Facility 通常带有一个优先级或等级, 就是用来标记一个日志消息的重要程度。 最普通的为 warninginfo。 请参阅 &man.syslog.3; 手册页以获得一个完整可用的 facility 与优先级列表。 日志服务器必须在客户端的 /etc/syslog.conf 中指明。 在此例中, @ 符号被用来表示发送日志数据到远程的服务器, 看上去差不多如下这样: *.* @logserv.example.com 添加后, 必须重启 syslogd 使得上述修改生效: &prompt.root; /etc/rc.d/syslogd restart 测试日志消息是否能通过网络发送, - 使用 &man.logger.1; 发送一段消息至 - syslogd + 在准备发出消息的客户机上用 &man.logger.1; 来向 + syslogd 发出信息: &prompt.root; logger "Test message from logclient" - 这段消息现在应该出现在客户和服务端上的 - /var/log/messages + 这段消息现在应该同时出现在客户机的 + /var/log/messages 以及日志服务器的 + /var/log/logclient.log 中。 调试日志服务器 在某些情况下, 如果日志服务器没有收到消息的话就需要调试一番了。 有几个可能的原因, 最常见的两个是网络连接的问题和 DNS 的问题。 为了测试这些问题, 请确认两边的机器都能使用 /etc/rc.conf 中所设定的主机名访问到对方。 如果这个能正常工作的话, 那么就需要对 /etc/rc.conf 中的 syslogd_flags 选项做些修改了。 在以下的示例中, /var/log/logclient.log 是空的, /var/log/message 中也没有表明任何失败的原因。 为了增加调试的输出, 修改 ayalogd_flags 选项至类似于如下的示例, 并重启服务: syslogd_flags="-d -a logclien.example.com -vv" &prompt.root; /etc/rc.d/syslogd restart 在重启服务之后, 屏幕上将立刻闪现类似这样的调试数据: logmsg: pri 56, flags 4, from logserv.example.com, msg syslogd: restart syslogd: restarted logmsg: pri 6, flags 4, from logserv.example.com, msg syslogd: kernel boot file is /boot/kernel/kernel Logging to FILE /var/log/messages syslogd: kernel boot file is /boot/kernel/kernel cvthname(192.168.1.10) validate: dgram from IP 192.168.1.10, port 514, name logclient.example.com; rejected in rule 0 due to name mismatch. 很明显,消息是由于主机名不匹配而被拒收的。 在一点一点的检查了配置文件之后, 发现了 /etc/rc.conf 中如下这行有输入错误: syslogd_flags="-d -a logclien.example.com -vv" 这行应该包涵有 logclient, 而不是 logclien。 在做了正确的修改并重启之后便能见到预期的效果了: &prompt.root; /etc/rc.d/syslogd restart logmsg: pri 56, flags 4, from logserv.example.com, msg syslogd: restart syslogd: restarted logmsg: pri 6, flags 4, from logserv.example.com, msg syslogd: kernel boot file is /boot/kernel/kernel syslogd: kernel boot file is /boot/kernel/kernel logmsg: pri 166, flags 17, from logserv.example.com, msg Dec 10 20:55:02 <syslog.err> logserv.example.com syslogd: exiting on signal 2 cvthname(192.168.1.10) validate: dgram from IP 192.168.1.10, port 514, name logclient.example.com; accepted in rule 0. logmsg: pri 15, flags 0, from logclient.example.com, msg Dec 11 02:01:28 trhodes: Test message 2 Logging to FILE /var/log/logclient.log Logging to FILE /var/log/messages 此刻, 消息能够被正确接收并保存入文件了。 安全性方面的思考 就像其他的网络服务一样, 在实现配置之前需要考虑安全性。 有时日志文件也包含了敏感信息, 比如本地主机上所启用的服务, 用户帐号和配置数据。 从客户端发出的数据经过网络到达服务器, 这期间既没有加密也没有密码保护。 如果有加密需要的话, 可以使用 security/stunnel, 它将在一个加密的隧道中传输数据。 本地安全也同样是个问题。 日志文件在使用中或循环转后都没有被加密。 本地用户可能读取这些文件以获得对系统更深入的了解。 对于这类情况, 给这些文件设置正确的权限是非常有必要的。 &man.newsyslog.8; 工具支持给新创建和循环的日志设置权限。 把日志文件的权限设置为 600 能阻止本地用户不必要的窥探。 diff --git a/zh_CN.GB2312/books/handbook/ports/chapter.sgml b/zh_CN.GB2312/books/handbook/ports/chapter.sgml index 8dc1ce9278..21a021ef24 100644 --- a/zh_CN.GB2312/books/handbook/ports/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/ports/chapter.sgml @@ -1,1391 +1,1372 @@ 安装应用程序: Packages 和 Ports 概述 ports packages FreeBSD 将许多系统工具捆绑作为基本系统的一部分。 然而, 要完成实际的工作, 可能还需要安装更多的第三方应用。 FreeBSD 提供了两种补充的技术, 用以在您的系统中安装第三方软件: FreeBSD Ports 套件 (用于从源代码安装), 以及 packages (用以从预编译的二进制版本安装)。 这两种方法都可以用于从本地介质, 或从网上直接安装您喜欢的应用程序的最新版本。 读完这章,您将了解到: 如何安装第三方的二进制软件包。 如何使用 ports 套件从源代码构建第三方软件。 如何删除先前安装的软件包。 如何改动Ports Collection里面的一些参数,定制软件使用。 如何找到您需要的软件包。 如何升级您的应用软件。 软件安装预览 如果您以前使用过 &unix; 系统,那典型的第三方软件安装的步骤是像下面描述的: 下载这个软件,软件的发行版可能是源代码格式,或是一个二进制包。 解开软件(其中代表性的是用 &man.compress.1;, &man.gzip.1;, 或 &man.bzip2.1; 压缩过的tar包)。 阅读相关文档,了解如何安装。 (多半一个文件名是INSTALLREADME, 或在doc/ 目录下的一些文档) 如果软件是以源代码形式发布的,那就需要编译它。可能需要编辑一个 Makefile文件, 或运行 configure脚本,和其他的一些工作。 测试和安装软件。 如果一切顺利的话,就这么简单。如果您在安装一个软件包时发生一些错误, 您可能需要编辑一下它的代码,以使它能正常工作。 您可以继续使用 传统的方式安装软件。 然而, FreeBSD 提供了两种技术: packages 和 ports。 就在写这篇文章的时候, 已经有超过 &os.numports; 个第三方的应用程序可以使用了。 对于任意一个应用程序包,是一个可以下载的FreeBSD package文件。这个 FreeBSD package包含了编译好的的副本, 还有一些配置文件或文档。 一个下载的包文件可以用 FreeBSD 的包管理命令来操作, 例如 &man.pkg.add.1;,&man.pkg.delete.1;, &man.pkg.info.1; 等等。 可以使用一个简单的命令安装一个新的应用程序。 一个FreeBSD的port是一个可以自动从源代码编译成应用程序的文件集合。 记住,如果您自己来编译的话,需要执行很多步的操作 (解压, 补丁, 编译, 安装)。 这些整理 port 的文件集合包含了系统需要完成这个工作的必需信息。 您可以运行一些简单的命令, 那些源代码就可以自动地下载, 解开, 打补丁, 编译, 直至安装完成。 实际上,ports 系统也能做出被 pkg_add 的程序包和不久就要讲到的其他包管理命令来安装的软件包。 Packages 和 ports 是互相 依赖 的。 假设您想安装一个依赖于已经安装的特定库的应用程序。 应用程序和那个库都已经应用于 FreeBSD ports 和 packages。 如果您使用 命令或 ports 系统来添加应用程序, 两个都必须注意库是否被安装, 如果没有, 它会自动先安装库。 这里给出的两种技术是很相似的,您可能会奇怪为什么 FreeBSD 会弄出这两种技术。 其实, packages 和 ports 都有它们自己的长处, 使用哪一种完全取决于您自己的喜好。 Package Benefits 一个压缩的 package 通常要比一个压缩的包含源代码的应用程序小得多。 package 不需要进行额外的编译。 对于大型应用程序如 MozillaKDEGNOME 来说这显得尤为重要, 特别是在您的系统资源比较差的情况下。 package不需要您知道如何在FreeBSD上编译软件的详细过程。 Ports Benefits package 在编译时通常使用比较保守的选项, 这是为了保证它们能够运行在大多数的系统上。 通过从 port 安装, 您可以细微调整编译选项来产生适合于处理器的代码 (针对于 Pentium 4 或 AMD 的 Athlon CPU)。 一些软件包已经把与它们相关的能做和不能做的事情的选项都编译进去了。 例如, Apache 可能就配置了很多的选项。 从 port 中安装时, 您不一定要接受默认的选项, 可以自己来设置。 在一些例子中,一个软件有不同的配置存在多个package。 例如, Ghostscript存在 ghostscript package 和 ghostscript-nox11 package两个配置package, 这取决于您是否安装了X11服务器。 这样的调整对package是可能的, 但如果一个应用程序有超过一个或两个不同的编译时间选项时, 就不行了。 一些软件的许可条件禁止采用二进制形式发行。 它们必须带上源代码。 一些人不信任二进制发行形式。 至少有了源代码, (理论上) 可以亲自阅读它,寻找潜在的问题。 如果您要自己对软件打补丁,您就需要有源代码。 一些人喜欢整天围着源代码转, 所以他们喜欢亲自阅读源代码, 修改源代码等等。 保持更新 ports, 订阅邮件列表 &a.ports; 和递交错误报告 &a.ports-bugs;。 安装任何应用程序之前, 应首先检查 上是否有关于您所安装的应用程序的安全问题报告。 您也可以安装 ports-mgmt/portaudit, 它能够自动地检查已经安装的应用程序的漏洞; 此外, 在您安装程序之前它也会首先检查是否存在已知的漏洞。 另外, 您也可以使用 portaudit -F -a 这个命令在安装了某个软件包之后作出检查。 这章的其余部分将介绍在 FreeBSD 上如何使用 packages 和 ports 来安装和管理第三方软件。 寻找您要的应用程序 在您安装任何应用程序之前,需要知道您需要什么,那个应用程序叫什么。 FreeBSD中可用的应用程序正在不断地增长着。幸运的是, 有许多方法可以找到您所需要的程序: FreeBSD站点上有一个可以搜索到的当前所有可用的应用程序列表,在 http://www.FreeBSD.org/ports/。 它分很多种类,您既可以通过程序的名称来搜索(如果您知道名字), 也可以在分类中列出所有可用的应用程序。 FreshPorts Dan Langille 维护着网站 FreshPorts,在 。 FreshPort时刻 追踪 着在 ports 中应用程序的变化。当有任何程序被升级时,他们就会发 email 提醒您。 FreshMeat 如果您不知道您想要的应用程序的名字,可以通过 () 网站来查找, 如果找到了应用程序, 您可以回 FreeBSD 的主站去看一下这个应用程序是否已经被 port 进去了。 如果您知道一个port的准确名字, 但需要知道在哪个类别里面能找到它,您可以使用 &man.whereis.1; 这个命令。简单地输入 whereis filefile 就是您想安装的程序名字。 如果系统找到了它, 您将被告知在它在哪里, 例如: &prompt.root; whereis lsof lsof: /usr/ports/sysutils/lsof 结果告诉我们这个命令lsof (一个系统配置程序)可以在 /usr/ports/sysutils/lsof目录中找到。 你可以使用简单的 &man.echo.1; 语句来查找某个 port 是否存在于 ports 树中。 例如: &prompt.root; echo /usr/ports/*/*lsof* /usr/ports/sysutils/lsof Note that this will return any matched files downloaded into the /usr/ports/distfiles directory. 请注意这条命令将会返回下载到 /usr/ports/distfiles 目录中所有符合条件的文件。 还有另外的一个寻找您需要的port的方法--是用ports collecton 内嵌的搜索机制。要使用这个搜索, 您需要先到 /usr/ports目录下面。 在那个目录里面, 运行make search name=program-nameprogram-name 就是您想寻找的程序名字。 举个例子, 如果您想找 lsof &prompt.root; cd /usr/ports &prompt.root; make search name=lsof Port: lsof-4.56.4 Path: /usr/ports/sysutils/lsof Info: Lists information about open files (similar to fstat(1)) Maint: obrien@FreeBSD.org Index: sysutils B-deps: R-deps: 在输出的内容里面您要特别注意包含 Path: 的这行将告诉您在哪里可以找到这个 port。 如果要安装此 port, 那其他输出的信息不是必须的, 但是还是显示输出了。 为了更深入的搜索,您还可以用 make search key=stringstring就是您想搜索的部分内容。 它将搜索port的名字、 注释, 描述和从属关系, 如果您不知道您想搜索的程序名字, 可以利用它搜索一些关键主题来找到您需要的。 上面说的这些方法, 搜索的关键字没有大小写区分的。 搜索 LSOF的结果将和搜索lsof的结果一样。 Chern Lee Contributed by 使用 Package 系统 在 FreeBSD 系统上有几种不同的工具用来管理 package: - sysinstall - 能够在一个运行的系统上被调用来安装, 删除和列出已安装的 package。 - 请参阅 安装后的配置获取更多详细信息。 - 以下章节将介绍基于命令行的 package 管理工具。 + sysinstall 工具可以在正在运行的系统上运行, + 以完成安装、 删除和列出可用的以及已经安装的预编译软件包的任务。 如欲了解进一步信息, + 请参阅 + 这一节余下的部分将介绍用于管理预编译软件包的命令行工具。 一个 package 的安装 packages installing pkg_add 您可以用 &man.pkg.add.1; 这个命令从本地文件或网络上的服务器来安装一个 FreeBSD 软件包。 在本地手动下载一个package,并安装它 &prompt.root; ftp -a ftp2.FreeBSD.org Connected to ftp2.FreeBSD.org. 220 ftp2.FreeBSD.org FTP server (Version 6.00LS) ready. 331 Guest login ok, send your email address as password. 230- 230- This machine is in Vienna, VA, USA, hosted by Verio. 230- Questions? E-mail freebsd@vienna.verio.net. 230- 230- 230 Guest login ok, access restrictions apply. Remote system type is UNIX. Using binary mode to transfer files. ftp> cd /pub/FreeBSD/ports/packages/sysutils/ 250 CWD command successful. ftp> get lsof-4.56.4.tgz local: lsof-4.56.4.tgz remote: lsof-4.56.4.tgz 200 PORT command successful. 150 Opening BINARY mode data connection for 'lsof-4.56.4.tgz' (92375 bytes). 100% |**************************************************| 92375 00:00 ETA 226 Transfer complete. 92375 bytes received in 5.60 seconds (16.11 KB/s) ftp> exit &prompt.root; pkg_add lsof-4.56.4.tgz 如果您没有本地package的安装盘 (如 FreeBSD CD-ROM), 可以执行 &man.pkg.add.1; 命令并加上 选项。 这将迫使程序自动决定目标文件的正确格式和版本, 然后自动从一个 FTP 站点寻找和安装 package。 pkg_add &prompt.root; pkg_add -r lsof 上面的例子将下载正确的package, 而不需要用户的干预就可以安装。 如果您想指定 FreeBSD package 的镜像站点, 替换主站点, 就必须相应地设置 PACKAGESITE 这个环境变量, 覆盖原来的设置。 &man.pkg.add.1; 使用 &man.fetch.3; 下载文件, 可以使用多种环境变量, 包含 FTP_PASSIVE_MODEFTP_PROXY, 和 FTP_PASSWORD。 如果您使用 FTP/HTTP 代理或在防火墙后面, 您可能需要设置这些环境变量。 详细的列表请参考 &man.fetch.3;。上述例子中用 lsof 替代了 lsof-4.56.4。 当使用远程安装 Package 的时候软件名字不需要包含版本号。 &man.pkg.add.1; 将自动的找到这个软件最新的版本。 如果您使用 &os.current; 或 &os.stable;版本的FreeBSD, &man.pkg.add.1; 将下载您的应用软件的最新版本。 如果您使用 -RELEASE 版本的 FreeBSD, 它将会获得与您的版本相应的软件包版本。 您可以通过修改环境变量 PACKAGESITE 来改变这一行为。 例如, 如果您运行 &os; 5.4-RELEASE 系统, 默认情况下 &man.pkg.add.1; 将尝试从 ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-5.4-release/Latest/ 下载预编译的软件包。 如果您希望强制 &man.pkg.add.1; 下载 &os; 5-STABLE 的软件包, 则可以将 PACKAGESITE 设置为 ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-5-stable/Latest/ 软件包采用 .tgz.tbz 两种格式。您可以在 下面或从 FreeBSD 的发行光盘找到, 它在每一个 4CD 的 FreeBSD 发行版的 /packages目录中。 软件包的设计规划与 /usr/ports 树一致。 每个分类都有自己的目录, 所有的软件包可以在目录 All中找到。 软件包系统的目录结构与ports的设计规划一致; 它们共同构成了整个 package/port。 软件包的管理 packages managing &man.pkg.info.1; 是用于列出已安装的所有软件包列表和描述的程序。 pkg_info &prompt.root; pkg_info cvsup-16.1 A general network file distribution system optimized for CV docbook-1.2 Meta-port for the different versions of the DocBook DTD ... &man.pkg.version.1;是一个用来统计所有安装的软件包版本的工具。 它可以用来比较本地 package 的版本与 ports 目录中的当前版本是否一致。 pkg_version &prompt.root; pkg_version cvsup = docbook = ... 在第二列的符号指出了安装版本的相关时间和本地ports目录树中可用的版本。 符号 含义 = 在本地ports树中与已安装的软件包版本相匹配。 < 已安装的版本要比在ports树中的版本旧。 >已安装的版本要比在ports树中的版本新 (本地的port树可能没有更新)。 ? 已安装的软件包无法在ports索引中找到。 (可能发生这种事情,举个例子, 您早先安装的一个 port 从 port 树中移出或改名了) *软件包有很多版本。 !已安装的软件包在索引中存有记录, 但是由于某些原因 pkg_version 无法比较已安装的软件包与索引中相对应的版本号。 删除一个软件包 pkg_delete packages deleting 要删除先前安装的软件package,只要使用&man.pkg.delete.1; 工具。 &prompt.root; pkg_delete xchat-1.7.1 需要注意的是, &man.pkg.delete.1; 需要提供完整的包名; 如果您只是指定了类似 xchat 而不是 xchat-1.7.1 这样的名字, 则它将拒绝执行操作。 不过, 您可以使用 &man.pkg.version.1; 来了解安装的 package 的版本。 除此之外, 也可以使用通配符: &prompt.root; pkg_delete xchat\* 这时, 所有名字以 xchat 开头的 package 都会被删掉。 其它 所有已安装的 package 信息都保存在 /var/db/pkg 目录下。 安装文件的列表和每个 package 的内容和描述都能在这个目录的相关文件中找到。 使用Ports Collection 下面的几个小节中, 给出了关于如何使用 Ports 套件来在您的系统中安装或卸载程序的介绍。 关于可用的 make targets 以及环境变量的介绍, 可以在 &man.ports.7; 中找到。 获得Ports Collection 在您能使用 ports 之前, 您必须先获得 Ports Collection — 本质上是 /usr/ports 目录下的一堆 Makefile、 补丁和描述文件。 在您安装 FreeBSD 系统的时候, sysinstall 会询问您是否需要安装 Ports Collection。 如果您选择 no, 那您可以用下面的指令来安装 Ports Collection: CVSup 方法 保持您本地 Ports 套件最新的一种快捷的方法, 是使用 CVSup 协议来进行更新。 如果您希望了解更多关于 CVSup 的细节, 请参见 使用 CVSup。 在 &os; 系统里对 CVSup 的实现叫作 csup。 它首次出现在 &os; 6.2中。 对于旧版本的 &os; 用户而言可以通过 port/package 安装 net/csup 在首次运行 csup 之前, 务必确认 /usr/ports 是空的! 如果您之前已经用其他地方安装了一份 Ports 套件, 则 csup 可能不会自动删除已经在上游服务器上删除掉的补丁文件。 运行 csup: &prompt.root; csup -L 2 -h cvsup.FreeBSD.org /usr/share/examples/cvsup/ports-supfile cvsup.FreeBSD.org 改为离您较近的 CVSup 服务器。 请参见 CVSup 镜像 () 中的镜像站点完整列表。 有时可能希望使用自己的 ports-supfile, 比如说, 不想每次都通过命令行来指定所使用的 CVSup 服务器。 这种情况下, 需要以 root 身份将 /usr/share/examples/cvsup/ports-supfile 复制到新的位置, 例如 /root 或您的主目录。 编辑 ports-supfile CHANGE_THIS.FreeBSD.org 修改成离您较近的 CVSup 服务器。 可以参考 CVSup 镜像 () 中的镜像站点完整列表。 接下来按如下的方式运行 csup &prompt.root; csup -L 2 /root/ports-supfile 此后运行 &man.csup.1; 命令将下载最近所进行的改动, 并将它们应用到您的 Ports Collection 上, 不过这一过程并不重新联编您系统上的 ports。 Portsnap 方式 - Portsnap 是另一种用于发布 - Ports 套件的方法。 它最早从 &os; 6.0 开始引入。 - 在较早的系统中, 您可以通过 ports-mgmt/portsnap package 来安装它: - - &prompt.root; pkg_add -r portsnap - - 请参见 使用 Portsnap - 以了解关于全部 Portsnap - 功能的详细描述。 - - - 如果您使用 &os; 6.1-RELEASE, - 或通过 port 或 package 安装了较新版本的 Portsnap - 的话, 可以直接跳过这一步。 /usr/ports 将在首次使用 &man.portsnap.8; - 命令时自动创建。 而如果您使用的是较早期版本的 - Portsnap, - 就只能手工创建空的 /usr/ports 目录了。 - - &prompt.root; mkdir /usr/ports - + Portsnap 是用于发布 Ports 套件的另一套系统。 + 请参阅 使用 Portsnap + 以了解关于 Portsnap + 功能更详细的介绍。 下载压缩的 Ports 套件快照到 /var/db/portsnap。 您可以根据需要在这之后关闭 Internet 连接。 &prompt.root; portsnap fetch 假如您是首次运行 Portsnap, 则需要将快照释放到 /usr/ports &prompt.root; portsnap extract 如果您已经有装好的 /usr/ports 而您只想更新, 则应执行下面的命令: &prompt.root; portsnap update Sysinstall 方式 这种方法需要使用 sysinstall 从安装介质上安装 Ports 套件。 注意, 安装的将是发布发行版时的旧版 Ports 套件。 如果您能访问 Internet, 应使用前面介绍的方法之一。 root 身份运行 sysinstall (对 &os; 5.2 之前的版本, 应执行 /stand/sysinstall): &prompt.root; sysinstall 用光标向下选择 Configure, 并按 Enter 向下并选择 Distributions, 按 Enter 选择 ports, 并按 Space 选择 Exit, 并按 Enter 选择所希望的安装介质, 例如 CDROM、 FTP, 等等。 选择 Exit 并按 Enter X 退出 sysinstall 安装 Ports ports 安装 当提到 Ports Collection 时, 第一个要说明的就是何谓 skeleton。 简单地说, port skeleton 是让一个程序在 FreeBSD 上简洁地编译并安装的所需文件的最小组合。 每个 port skeleton 包含: 一个 MakefileMakefile 包括好几个部分, 指出应用程序是如何编译以及将被安装在系统的哪些地方。 一个 distinfo 文件。这个文件包括这些信息: 这些文件用来对下载后的文件校验和进行检查 (使用 &man.md5.1; 和 &man.sha256.1;), 来确保在下载过程中文件没有被破坏。 一个 files 目录。 这个目录包括在 FreeBSD 系统上编译和安装程序需要用到的补丁。 这些补丁基本上都是些小文件, 指出特定文件作了哪些修正。 它们都是纯文本的的格式,基本上是这样的 删除第 10 行将第 26 行改为这样 ..., 补丁文件也被称作 diffs, 他们由 &man.diff.1; 程序生成。 这个目录也包含了在编译 port 时要用到的其它文件。 一个 pkg-descr 文件。 这是一个提供更多细节,有软件的多行描述。 一个 pkg-plist 文件。 这是即将被安装的所有文件的列表。它告诉 ports 系统在卸载时需要删除哪些文件。 一些ports还有些其它的文件, 例如 pkg-message。 ports 系统在一些特殊情况下会用到这些文件。 如果您想知道这些文件更多的细节以及 ports 的概要, 请参阅 FreeBSD Porter's Handbook port里面包含着如何编译源代码的指令, 但不包含真正的源代码。 您可以在网上或 CD-ROM 上获得源代码。 源代码可能被开发者发布成任何格式。 一般来说应该是一个被 tar 和 gzip 过的文件, 或者是被一些其他的工具压缩或未压缩的文件。 ports中这个程序源代码标示文件叫 distfile, 安装 &os; port的方法还不止这两种。 您必须使用 root 用户登录后安装 ports。 在安装任何 port 之前, 应该首先确保已经更新到了最新的 Ports Collection, 并检查 中是否有与那个 port 有关的安全问题。 在安装应用程序之前, 可以使用 portaudit 来自动地检查是否存在已知的安全问题。 这个工具同样可以在 Ports Collection (ports-mgmt/portaudit) 中找到。 在安装新的 port 之前, 可以考虑先运行一下 portaudit -F 来抓取最新的漏洞数据库。 在每天的周期性系统安全检察时, 数据库会被自动更新, 并且会在这之后实施安全审计。 欲了解进一步的情况,请参阅 &man.portaudit.1; 和 &man.periodic.8;。 Ports 套件假定您有可用的 Internet 连接。 如果您没有, 则需要将 distfile 手工放到 /usr/ports/distfiles 中。 要开始操作, 首先进入要安装 port 的目录: &prompt.root; cd /usr/ports/sysutils/lsof 一旦进入了 lsof 的目录,您将会看到这个port的结构。 下一步就是 make,或说 联编 这个 port。 只需在命令行简单地输入 make 命令就可轻松完成这一工作。 做好之后,您可以看到下面的信息: &prompt.root; make >> lsof_4.57D.freebsd.tar.gz doesn't seem to exist in /usr/ports/distfiles/. >> Attempting to fetch from ftp://lsof.itap.purdue.edu/pub/tools/unix/lsof/. ===> Extracting for lsof-4.57 ... [extraction output snipped] ... >> Checksum OK for lsof_4.57D.freebsd.tar.gz. ===> Patching for lsof-4.57 ===> Applying FreeBSD patches for lsof-4.57 ===> Configuring for lsof-4.57 ... [configure output snipped] ... ===> Building for lsof-4.57 ... [compilation output snipped] ... &prompt.root; 注意,一旦编译完成,您就会回到命令行。 下一步安装 port, 要安装它只需要在 make 命令后跟上一个单词 install 即可: &prompt.root; make install ===> Installing for lsof-4.57 ... [installation output snipped] ... ===> Generating temporary packing list ===> Compressing manual pages for lsof-4.57 ===> Registering installation for lsof-4.57 ===> SECURITY NOTE: This port has installed the following binaries which execute with increased privileges. &prompt.root; 一旦您返回到提示符,您就可以运行您刚刚安装的程序了。因为 lsof 是一个赋予特殊权限的程序, 因此显示了一个安全警告。 在编译和安装 ports 的时候, 您应该留意任何出现的警告。 删除工作目录是个好主意, 这个目录中包含了全部在编译过程中用到的临时文件。 这些文件不仅会占用宝贵的磁盘空间, 而且可能会给升级新版本的 port 时带来麻烦。 &prompt.root; make clean ===> Cleaning for lsof-4.57 &prompt.root; 使用 make install clean 可以一步完成 makemake installmake clean 这三个分开的步骤的工作。 一些 shell 会缓存环境变量 PATH 中指定的目录里的可执行文件, 以加速查找它们的速度。 如果您使用的是这类 shell, 在安装 port 之后可能需要执行 rehash 命令, 然后才能运行新安装的那些命令。 这个命令可以在类似 tcsh 的 shell 中使用。 对于类似 sh 的 shell, 对应的命令是 hash -r。 请参见您的 shell 的文档以了解进一步的情况。 某些第三方 DVD-ROM 产品, 如 FreeBSD Mall 的 FreeBSD Toolkit 中包含了 distfiles。 这些文件可以与 Ports 套件配合使用。 将 DVD-ROM 挂接到 /cdrom。 如果您使用不同的挂接点, 则应设置 make 变量 CD_MOUNTPTS。 如果盘上有需要的 distfiles, 则会自动使用。 请注意, 少数 ports 并不允许通过 CD-ROM 发行。 这可能是由于下载之前需要填写注册表格, 或者不允许再次发布, 或者有一些其它原因。 如果您希望安装在 CD-ROM 上没有的 port, 就需要在线操作了。 ports 系统使用 &man.fetch.1; 去下载文件, 它有很多可以设置的环境变量, 其中包括 FTP_PASSIVE_MODEFTP_PROXY, 和 FTP_PASSWORD。 如果您在防火墙之后,或使用 FTP/HTTP代理, 您就可能需要设置它们。 完整的说明请看 &man.fetch.3;。 当使用者不是所有时间都能连接上网络, 则可以利用 make fetch。 您只要在顶层目录 (/usr/ports) 下运行这个命令, 所有需要的文件都将被下载。 这个命令也同样可以在下级类别目录中使用, 例如: /usr/ports/net。 注意, 如果一个port有一些依赖的库或其他 port, 它将 下载这些依赖的 port 的 distfile 文件, 如果您想获取所有依赖的 port 的所有 distfile, 请用 fetch-recursive 命令代替 fetch命令。 您可以在一个类别或在顶级目录编译所有的 port, 或者使用上述提到的 make fetch命令。 这样是非常危险的, 因为有一些port不能并存。 或者有另一种可能, 一些port会安装两个不同的文件, 但是却是相同的文件名。 在一些罕见的例子中, 用户可能需要在除了 MASTER_SITES 以外的一个站点(本地已经下载下来的文件)去获得一个文件包。 您可以用以下命令不使用 MASTER_SITES: &prompt.root; cd /usr/ports/directory &prompt.root; make MASTER_SITE_OVERRIDE= \ ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/ fetch 在这个例子中,我们把 MASTER_SITES这个选项改为了 ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/ 一些 port 允许 (或甚至要求) 您指定编译选项来 启用/禁用 应用程序中非必需的功能, 一些安全选项, 以及其他可以订制的内容。 具有代表性的包括 www/mozillasecurity/gpgme、 以及 mail/sylpheed-claws。 如果存在这样的选项, 通常会在编译时给出提示。 改变默认的 Ports 目录 有时, 使用不同的工作临时目录和目标目录可能很有用 (甚至是必要的)。 可以用 WRKDIRPREFIXPREFIX 这两个变量来改变默认的目录。 例如: &prompt.root; make WRKDIRPREFIX=/usr/home/example/ports install 将在 /usr/home/example/ports 中编译 port 并把所有的文件安装到 /usr/local &prompt.root; make PREFIX=/usr/home/example/local install 将在 /usr/ports 编译它并安装到 /usr/home/example/local 当然, &prompt.root; make WRKDIRPREFIX=../ports PREFIX=../local install 将包含两种设置 (没有办法在这一页把它写完, 但您应该已经知道怎么回事了)。 另外, 这些变量也可以作为环境变量来设置。 请参考您的 shell 的联机手册上关于如何设置环境变量的说明。 处理 <command>imake</command> 一些 port 使用 imake (这是 X Window 系统的一部分) 不能正常地配合 PREFIX, 它们会坚持把文件安装到 /usr/X11R6 下面。 类似地, 一些 Perl port 会忽略 PREFIX 并把文件安装到 Perl 的目录中。 让这些 port 尊重 PREFIX 是困难甚至是不可能的事情。 重新配置 Ports 当你在编译某些 ports 的时候,可能会弹出一个基于 ncurses 的菜单来让你来选择一些编译选项。 通常用户都希望能够在一个 port 被编译安装了以后还能再次访问这份菜单以添加删除或修改这些选项。 实际上有很多方法来做这件事情。 一个方法进入那个 port 的目录后键入 make config, 之后便会再次显示出菜单和已选择的项目。 另一个方法是用 make showconfig, 这会给你显示出所有的配置选项。还有一个方法是执行 make rmconfig, 这将删除所有已选择的项目。 有关这些选项更详细的内容请参阅 &man.ports.7;。 卸载已经安装的 Ports ports 卸载 现在您已经了解了如何安装 ports, 并希望进一步了解如何卸载, 特别是在错误地安装了某个 port 之后。我们将卸载前面例子 (假如您没有注意的话, 是 lsof) 中安装的 port。 Ports 可以同 packages 以完全相同的方式 (在 Packages 一节 中进行了介绍) 卸载, 方法是使用 &man.pkg.delete.1; 命令: &prompt.root; pkg_delete lsof-4.57 升级 Ports ports 升级 首先, 使用 &man.pkg.version.1; 命令来列出 Ports Collection 中提供了更新版本的那些 port: &prompt.root; pkg_version -v <filename>/usr/ports/UPDATING</filename> 在您更新了 Ports 套件之后, 在升级 port 之前, 应查看 /usr/ports/UPDATING。 这个文件中介绍了在升级时用户应注意的问题, 以及一些可能需要进行的操作。 这可能包括更改文件格式、 配置文件位置的变动, 以及与先前版本的兼容性等等。 如果 UPDATING 与本书中介绍的内容不同, 请以 UPDATING 为准。 使用 Portupgrade 来更新 Ports portupgrade portupgrade 工具是设计来简化升级已安装的 port 的操作的。 它通过 ports-mgmt/portupgrade port 来提供。 您可以像其它 port 那样, 使用 make install clean 命令来安装它: &prompt.root; cd /usr/ports/ports-mgmt/portupgrade &prompt.root; make install clean 使用 pkgdb -F 命令来扫描已安装的 port 的列表, 并修正其所报告的不一致。 在每次升级之前, 有规律地执行它是个好主意。 运行 portupgrade -a 时, portupgrade 将开始并升级系统中所安装的所有过时的 ports。 如果您希望在每个升级操作时得到确认, 应指定 参数。 &prompt.root; portupgrade -ai 如果您只希望升级某个特定的应用程序, 而非全部可用的 port, 应使用 portupgrade pkgname。 如果 portupgrade 应首先升级指定应用程序的话, 则应指定 参数。 &prompt.root; portupgrade -R firefox 要使用预编译的 package 而不是 ports 来进行安装, 需要指定 。 如果指定了这个选项, portupgrade 会搜索 PKG_PATH 中指定的本地目录, 如果没有找到, 则从远程站点下载。 如果本地没有找到, 而且远程站点也没有成功地下载预编译包, 则 portupgrade 将使用 ports。 要禁止使用 port, 可以指定 &prompt.root; portupgrade -PP gnome2 如果只想下载 distfiles (或者, 如果指定了 的话, 是 packages) 而不想构建或安装任何东西, 可以使用 。 要了解更多细节, 请参考 &man.portupgrade.1;。 使用 Portmanager 来升级 Ports portmanager Portmanager 是另一个用以简化已安装 port 升级操作的工具。 它可以通过 ports-mgmt/portmanager port 安装: &prompt.root; cd /usr/ports/ports-mgmt/portmanager &prompt.root; make install clean 可以通过这个简单的命令来升级所有已安装的 port: &prompt.root; portmanager -u 如果希望 Portmanager 在进行每步操作之前都给出提示, 应使用 参数。 Portmanager 也可以用来在系统中安装新的 ports。 与通常的 make install clean 命令不同,它会在联编和安装您所选择的 port 之前升级所有依赖包。 &prompt.root; portmanager x11/gnome2 如果关于所选 port 的依赖有任何问题, 可以用 Portmanager 来以正确的顺序重新构建它们。 完成之后, 有问题的 port 也将被重新构建。 &prompt.root; portmanager graphics/gimp -f 要了解更多信息, 请参见 &man.portmanager.1;。 使用 Portmaster 升级 Ports portmaster Portmaster 是另外一个用来升级已安装的 ports 的工具。 Portmaster 被设计成尽可能使用 基本 系统中能找到的工具 (它不依赖于其他的 ports) 和 /var/db/pkg/ 中的信息来检测出需要升级的 ports。你可以在 ports-mgmt/portmaster 找到它: &prompt.root; cd /usr/ports/ports-mgmt/portmaster &prompt.root; make install clean Portmaster groups ports into four categories: Portmaster 把 ports 分成4类: Root ports (不依赖其他的 ports,也不被依赖) Trunk ports (不依赖其他的 ports,但是被其他的 ports 依赖) Branch ports (依赖于其他的 ports,同时也被依赖) Leaf ports (依赖于其他的 ports,但不被依赖) 你可以使用 选项列出所有已安装的 ports 和查找存在更新的 ports: &prompt.root; portmaster -L ===>>> Root ports (No dependencies, not depended on) ===>>> ispell-3.2.06_18 ===>>> screen-4.0.3 ===>>> New version available: screen-4.0.3_1 ===>>> tcpflow-0.21_1 ===>>> 7 root ports ... ===>>> Branch ports (Have dependencies, are depended on) ===>>> apache-2.2.3 ===>>> New version available: apache-2.2.8 ... ===>>> Leaf ports (Have dependencies, not depended on) ===>>> automake-1.9.6_2 ===>>> bash-3.1.17 ===>>> New version available: bash-3.2.33 ... ===>>> 32 leaf ports ===>>> 137 total installed ports ===>>> 83 have new versions available 可以使用这个简单的命令升级所有已安装的 ports: &prompt.root; portmaster -a Portmaster 默认在删除一个现有的 port 前会做一个备份包。如果新的版本能够被成功安装, Portmaster 将删除备份。 使用 Portmaster 便不会自动删除备份。加上 选项之后 Portmaster 将进入互动模式, 在升级每个 port 以前提示你给予确认。 如果你在升级的过程中发现了错误,你可以使用 选项升级/重新编译所有的 ports: &prompt.root; portmaster -af 同样你也可以使用 Portmaster 往系统里安装新的 ports,升级所有的依赖关系之后并安装新的 port:&prompt.root; portmaster shells/bash 更多的详细信息请参阅 &man.portmaster.8; Ports 和磁盘空间 ports disk-space 使用 Ports 套件会最终用完磁盘空间。 在通过 ports 联编和安装软件之后,您应记得清理临时的 work 目录, 其方法是使用 make clean 命令。 您可以使用下面的命令来清理整个 Ports 套件: &prompt.root; portsclean -C 随着时间的推移, 您可能会在 distfiles 目录中积累下大量源代码文件。 您可以手工删除这些文件, 也可以使用下面的命令来删除所有 port 都不引用的文件: &prompt.root; portsclean -D 除此之外, 也可以用下列命令删去目前安装的 port 没有使用的源码包文件: &prompt.root; portsclean -DD 这个 portsclean 工具是 portupgrade 套件的一部分。 不要忘记删除那些已经安装, 但已不再使用的 ports。 用于自动完成这种工作的一个好工具是 ports-mgmt/pkg_cutleaves port。 安装之后还要做点什么? 通常,您通过port安装完一个软件后,可以阅读它带的一些文档(如果它包含文档的话), 或需要编辑它的配置文件,来确保这个软件的运行, 或在机器启动的时候启动(如果它是一个服务的话),等等。 对于不同的软件有着不同的配置步骤。不管怎样, 如果您装好了一个软件,但是不知道下一步怎么办的时候, 这些小技巧可能可以帮助您: 使用 &man.pkg.info.1; 命令,它能找到安装了哪些文件,以及装在哪里。 举个例子,如果您安装了 FooPackage version 1.0.0, 那么这个命令 &prompt.root; pkg_info -L foopackage-1.0.0 | less 将显示这个软件包安装的所有文件,您要特别注意在man/目录里面的文件, 它们可能是手册,etc/目录里面的配置文件,以及 doc/目录下面更多的文档。 如果您不确定已经安装好的软件版本,您可以使用这样的命令 &prompt.root; pkg_info | grep -i foopackage 它将会找到所有已安装的软件包名字中包含foopackage 的软件包。 对于其他的查找, 您只需要在命令行中替换 foopackage 一旦一些软件手册已被您确认安装,您可以使用 &man.man.1; 查看它。 同样的,如果有的话,您还可以完整的查看一遍配置文件的示例,以及任何额外的文档。 如果应用软件有网站, 您还可以从网站上找到文档,常见问题的解答,或其他更多。 如果您不知道它们的网站地址,请使用下面的命令 &prompt.root; pkg_info foopackage-1.0.0 一个 WWW: 行, 如果它存在, 它将提供一个这个应用程序的网站URL. Ports 如果需要在服务器启动时运行(就像互联网服务器), 它通常会把一个脚本的样例放入 /usr/local/etc/rc.d 目录。为了保证正确性, 您可以查看这个脚本, 并编辑或更改这个脚本的名字。 详情请看启动服务。 如何处理坏掉的 Ports 如果您发现某个 port 无法正常工作, 有几件事值得尝试, 包括: 问题报告数据库 中查找是否有尚未提交的修正。 如果有, 可以使用所提议的修正。 要求 port 的监护人 (maintainer) 提供帮助。 输入 make maintainer 或阅读 Makefile 查找监护人的电子邮件地址。 请记得把 port 的名字和版本写在邮件里 (Makefile 中的 $FreeBSD:这一行) 并把错误输出的头几行发给 maintainer。 某些 ports 并非一个人维护, 而是写了一个 邮件列表。 许多, 但并非所有 port, 使用类似 freebsd-listname@FreeBSD.org 这样的地址。 请在提出问题时考虑这一点。 特别地, 由 - freebsd-ports@FreeBSD.org 监护的 port, + ports@FreeBSD.org 监护的 port, 实际上并没有人维护。 订阅这个邮件列表的人们会感谢您提供的修正和支持。 我们一直都需要更多志愿者! 如果您没有得到回应, 则可以使用 &man.send-pr.1; 来提交问题报告 (请参见 如何撰写 FreeBSD 问题报告)。 修正它! Porter 手册 中提供了关于 Ports 基础设施的详细信息, 通过了解这些内容, 您就能修正偶然坏掉的 port, 或甚至提交自己的 port 了! 从较近的 FTP 站点下载一个编译好的安装包。 中央的 package collection 在 ftp.FreeBSD.orgpackages 目录中, 但 在此之前 一定记得先看看 本地镜像 上是否已经有了! 通常情况下这些安装包都可以直接使用, 而且应该比自行编译快一些。 安装过程本身可以通过 &man.pkg.add.1; 来完成。 diff --git a/zh_CN.GB2312/books/handbook/ppp-and-slip/chapter.sgml b/zh_CN.GB2312/books/handbook/ppp-and-slip/chapter.sgml index a5d827f31e..171852d65d 100644 --- a/zh_CN.GB2312/books/handbook/ppp-and-slip/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/ppp-and-slip/chapter.sgml @@ -1,2818 +1,2848 @@ Jim Mock Restructured, reorganized, and updated by PPP 和 SLIP 概述 PPP SLIP FreeBSD 有很多方法可以将计算机与计算机连接起来。 通过使用拨号 modem 来建立网络或 Internet 连接, 或允许其他人通过您的机器来连上网络, 这些都要求使用 PPP 或 SLIP。 这章将详细介绍设置这些基于 modem 的通信服务的方法。 读完这一章, 您将了解: 如何设置用户级 PPP。 如何设置内核级 PPP。 如何设置 PPPoE (PPP over Ethernet)。 如何设置 PPPoA (PPP over ATM)。 如何配置和安装 SLIP 客户端和服务器。 PPP 用户级 PPP PPP 内核级 PPP PPP PPPoE 在阅读这章之前, 您应: 熟悉基本的网络术语。 理解拨号连接和 PPP、 SLIP 的基础知识。 您可能想知道用户级 PPP 与内核级 PPP 之间的不同之处。 回答很简单: 用户级 PPP 处理用户级的输入和输出数据, 而不是内核级。 在内核与用户区之间复制数据的花费要大一些, 但它能提供具有更多特性的PPP实现。 用户级PPP使用 tun 设备与外界通信而内核级 PPP 使用 ppp 设备。 除非需要与其它 PPP 软件 (比如 pppd) 相区别, 在这一章中, 用户级 PPP 就简称为 ppp。 另外, 若没有额外的注明, 本章所介绍的所有命令都需要 root 权限。 Tom Rhodes Updated and enhanced by Brian Somers Originally contributed by Nik Clayton With input from Dirk Frömberg Peter Childs 使用用户级 PPP 用户级 PPP 前提条件 本章假定您具备如下条件: ISP PPP 您有一个 ISP 提供的用于连接使用 PPP 的帐号。 - 您需要一个连接到您的系统, 并做了正确配置的 modem - 或其它设备, 使您能连接到 ISP。 + 您需要有连接在系统上, 并做了正确配置的 modem, + 或其他能够连接您 ISP 的设备。 ISP 的拨号号码。 PAP CHAP UNIX login name password?/primary> 您的登录名称和密码 (可能是一般的 UNIX 风格的登录名和密码对, 也可能是 PAP 或 CHAP 登录名和密码对)。 nameserver 一个或多个域名服务器 IP 地址。 通常, 您会从ISP处得到两个这样的IP地址。 如果您至少得到了一个, 就可以在文件 ppp.conf 中加入 enable dns 命令使 ppp 设置域名服务。 这个功能取决于 ISP 对支持 DNS 协商的具体实现。 下面的信息由您的 ISP 提供, 但不是必需的: ISP的网关IP地址。 网关是您准备连接, 并设为 默认路由 的主机。 如果您没有这个信息, 您可以虚构一个, 在连接时 ISP 的 PPP 服务器会自动告诉您正确的值。 这个虚构的 IP 地址在 ppp 中记做 HISADDR 准备使用的子网掩码。 如果ISP没有提供, 一般使用 255.255.255.255 是没有问题的。 static IP address (静态 IP 地址) 如果 ISP 提供了静态的IP地址和主机名, 可以输入它们。 反之, 则应让对方主机指定它认为合适的 IP 地址。 如果您不知道这些信息, 请与您的 ISP 联系。 在这节中, 所有作为例子展示的配置文件中都有行号。 这些行号只是为了使解释和讨论变得方便, 在真实的文件中并不存在。 此外, 在必要时应使用 Tab 和空格来进行缩进。 <application>PPP</application>自动化配置 - PPP - configuration - + PPP + configuration (配置) + ppppppd(PPP的内核级实现) - 都使用/etc/ppp目录中的配置文件。 用户级 PPP - 的例子可以在 /usr/share/examples/ppp/ 中找到。 + 都使用 /etc/ppp 目录中的配置文件。 用户级 PPP + 的例子可以在 + /usr/share/examples/ppp/ 中找到。 配置ppp要求根据您的需要编辑几个文件。 编辑哪几个文件取决于您的 - IP 是静态分配还是动态分配的。 + IP 是静态分配 (每次都使用同一个地址) + 还是动态分配的 (每次连接到 ISP 都会获得不同的 IP 地址)。 PPP和静态IP地址 PPP with static IP addresses 您需要编辑配置文件/etc/ppp/ppp.conf, 如下所示。 以冒号:结尾的行从第一列 (行首)开始, 其它所有的行都要使用空格或制表符 (Tab) 来缩进。 1 default: 2 set log Phase Chat LCP IPCP CCP tun command 3 ident user-ppp VERSION (built COMPILATIONDATE) 4 set device /dev/cuad0 5 set speed 115200 6 set dial "ABORT BUSY ABORT NO\\sCARRIER TIMEOUT 5 \ 7 \"\" AT OK-AT-OK ATE1Q0 OK \\dATDT\\T TIMEOUT 40 CONNECT" 8 set timeout 180 9 enable dns 10 11 provider: 12 set phone "(123) 456 7890" 13 set authname foo 14 set authkey bar 15 set login "TIMEOUT 10 \"\" \"\" gin:--gin: \\U word: \\P col: ppp" 16 set timeout 300 17 set ifaddr x.x.x.x y.y.y.y 255.255.255.255 0.0.0.0 18 add default HISADDR 行1: 指定默认的项。 当PPP运行时这个项中的命令将自动执行。 行2: 启用登录参数。 工作正常后, 为避免产生过多的日志文件, 这行应该简化为: set log phase tun 行 3: 告诉 PPP 怎样向对方标识自己。 如果在建立或使用连接时遇到任何麻烦, PPP就会向对方主机自我标识。 对方主机管理员在处理这个问题时, 这些信息会有用。 行 4: 标明modem要连接的端口号。 COM1 对应的设备是 - /dev/cuad0 + /dev/cuad0COM2 - 对应的则是 /dev/cuad1/dev/cuad1。 行 5: 设置连接的速度。 如果 115200 有问题, 试试 38400。 行 6 & 7: PPP user PPP 拨号字符串。 用户级 PPP 使用一种与 &man.chat.8;程序相似的语法。 请参考联机手册了解这种语言的相关信息。 注意, 为了便于阅读此命令进行了换行。 任何 ppp.conf 里的命令都可以这样做, 前提是行的最后一个字符必须是 \ 行 8: 设置连接的时间间隔。 默认是 180 秒, 所以这一行是多余的。 行 9: 告诉PPP向对方主机确认本地域名解析设置。 如果您运行了本地的域名服务器, 要注释或删除掉这一行。 行 10: 为了可读性的需要设置一个空行。 空行会被PPP忽略。 行 11: provider指定一个项。 可以改成 ISP的名字, 这样您以后就可以使用 来开启连接。 行 12: 设置提供商的电话号码。 多个电话号码可以使用冒号 (:) 或管道符号 (|) 隔开。 这两个字符的区别在&man.ppp.8;的联机手册中有介绍。 总的来讲, 如果您要循环使用这些号码, 可以使用冒号。 如果您想使用第一个号码, 当第一个号码失败了再用第二个号码, 就使用管道符号。 如所示的那样, 要给整个电话号码加上引号(")。 如果电话号码里有空格, 必须用引号(")将其括起来。 否则会造成简单却难以察觉的错误。 行 13 & 14: 指定用户名和密码。 当使用 &unix; 风格的命令提示符登录时, 这些值可以用带有 \U \P 参数的 set login 命令进行修改。 当使用PAP或CHAP进行连接时, 这些值在验证使用。 行 15: PAP CHAP 如果您使用的是PAP或者CHAP, 在这里就不会有登录。 要注释或删除掉这一行。 请参考 PAP 和 CHAP认证 以了解更多细节。 登录命令是的语法是chat类型的。 在这个例子中是这样的: J. Random Provider login: foo password: bar protocol: ppp 您需要改变这个脚本以适合您自己的需要。 当您第一次写这个脚本时, 应当确保已经启用 chat 并处于登录状态, 这样您才能确认通信是否正在按计划进行。 行16: timeout 设置默认的超时时间。 这里, 连接若在 300 秒内无响应将被断开。如果您不想设置成超时, 将这个值设置成0, 或在命令行使用 选项。 行 17: ISP 设置接口地址。 您需要用 ISP 提供给您的 IP 地址替换字符串 x.x.x.x, 用 ISP 的网关 IP 地址 (即您要连接的主机) 替换字符串 y.y.y.y。 如果ISP没有给您提供网关地址, 可以使用 10.0.0.2/0。 如果您需要使用一个 猜到的地址, 请确保在 /etc/ppp/ppp.linkup 中为每个 PPP和动态IP地址 指令创建了这一项。 如果没有这一行, ppp 将无法以 模式运行。 第18行: 添加一个到ISP网关的默认路由。 HISADDR这个关键字会被第17行所指定的网关地址替换。 这行必须出现在第17行之后,以免在 HISADDR 初始化之前使用它的值。 如果您不想使用 的 PPP,则这行应挪到 ppp.linkup 文件中。 若您有一个静态IP地址, 且使用 模式运行ppp(因为在连接之前已经正确设置了路由表项), 那就不需要再向ppp.linkup 添加项。 您可能希望在连接以后创建一个项来调用程序。 这在以后的sendmail的例子中会解释。 - 示例配置文件可以在目录/usr/share/examples/ppp/中找到。 + 示例配置文件可以在目录 + /usr/share/examples/ppp/ 中找到。 PPP和动态IP地址 PPP with dynamic IP addresses IPCP 如果ISP没给您指定静态的IP地址, ppp要被配置成能够与对方协商确定本地和远程地址。 要完成这项工作, 先要一个IP地址, 然后允许 ppp在连接后使用IP配置协议(IPCP)进行正确配置。 ppp.conf的配置是与 PPP和静态IP地址一样的, 除了以下的改变: 17 set ifaddr 10.0.0.1/0 10.0.0.2/0 255.255.255.255 再次强调, 不要包括行号, 它只是一个引用标记。 缩排一个空格是必需的。 行17: / 字符后面是 PPP 所要求的地址掩码。 您可以根据需要使用不同 IP 地址, 但以上的例子永远是可行的。 最后的参数(0.0.0.0)告诉 PPP从0.0.0.0 而不是 10.0.0.1 开始协商地址, 对于有些ISP, 这是必需的。 不要将 0.0.0.0 作为 set ifaddr 的第一个参数, 因为这使得 PPP 在 模式时不能设置初始路由。 如果您不运行模式, 就需要在/etc/ppp/ppp.linkup中创建一个项。 连接建立之后, ppp.linkup被启用。 这时候, ppp将指派接口地址, 接着再添加路由表项: 1 provider: 2 add default HISADDR 行 1: 为了建立连接, ppp 会按按照如下规则在 ppp.linkup寻找项:首先, 试图寻找相同的标签 (如同在ppp.conf一样)。 如果失败了, 寻找作为网关 IP 地址的项, 此项是四个八位字节的风格。 如果依旧没有找到, 就寻找 MYADDR 行 2: 这行告诉 ppp添加指向 HISADDR的默认路由。 HISADDR由通过IPCP协商得到的IP号替换。 参考/usr/share/examples/ppp/ppp.conf.sample/usr/share/examples/ppp/ppp.linkup.sample 中的pmdemand项以获取细节化的例子。 接收拨入 PPP receiving incoming calls 当要配置 ppp接受来自LAN上的 拨入时, 您需要决定是否将包转给LAN。 如果是的话, 您就必须从 LAN 子网中给对方分配一个IP, 需要在文件 /etc/ppp/ppp.conf 中使用命令 enable proxy。 您还应该确定文件 /etc/rc.conf 中包含以下内容: gateway_enable="YES" 使用哪个getty? 配置 FreeBSD 的拨号服务 描述了如何用 &man.getty.8; 来启动拨号服务。 除了 getty 之外还有 mgetty, 它是 getty 的智能版本, 是按照拨号线的思想设计的。 使用 mgetty 的好处是它能积极地与 modem 进行 会话, 这就意味着如果在/etc/ttys中的端口被关闭, 您的moderm就不会回应拨入。 较新版本的 mgetty (从 0.99beta 起) 也支持自动检测 PPP 数据流, 这样即便客户端不使用脚本也能访问服务器了。 参考Mgetty 和 AutoPPP的联机手册了解更多信息。 <application>PPP</application> 权限 ppp 命令通常必须以 root 用户的身份运行。 如果希望以普通用户的身份启动 ppp 服务 (就像下面描述的那样), 就必须把此用户加入 network 组, 使其获得运行 ppp 的权限。 您还需要使用allow命令使用户能访问配置文 件的一个或多个部分: allow users fred mary 如果这个命令被用在 default 部分中, 您可以让指定的用户访问任何东西。 动态IP用户的PPP Shell PPP shells 创建一个名为/etc/ppp/ppp-shell文件, 加入以下内容: #!/bin/sh IDENT=`echo $0 | sed -e 's/^.*-\(.*\)$/\1/'` CALLEDAS="$IDENT" TTY=`tty` if [ x$IDENT = xdialup ]; then IDENT=`basename $TTY` fi echo "PPP for $CALLEDAS on $TTY" echo "Starting PPP for $IDENT" exec /usr/sbin/ppp -direct $IDENT 这个脚本要有可执行属性。 然后通过如下命令创建一个指向此脚本且名为 ppp-dialup的符号链接: &prompt.root; ln -s ppp-shell /etc/ppp/ppp-dialup 您应该将这个脚本作为所有拨入用户的 shell。 以下是在文件 /etc/passwd 中关于 PPP 用户 pchilds 的例子 (切记, 不要直接修改这个密码文件, 用 &man.vipw.8; 来修改它)。 pchilds:*:1011:300:Peter Childs PPP:/home/ppp:/etc/ppp/ppp-dialup - 创建一个名为 /home/ppp的目录作为拨入用户的主目录, - 包含以下这些空文件: + 创建一个名为 /home/ppp + 的目录作为拨入用户的主目录, 其中包含以下这些空文件: -r--r--r-- 1 root wheel 0 May 27 02:23 .hushlogin -r--r--r-- 1 root wheel 0 May 27 02:22 .rhosts 这样就可以防止/etc/motd被显示出来。 静态IP用户的Shell PPP shells 像上面那样创建ppp-shell文件, 为每个静态分配IP用户创建一个到 ppp-shell的 符号链接。 例如, 如果您希望为三个拨号用户, fredsam, 和 mary 路由 /24 CIDR 的网络, 则需要键入以下内容: &prompt.root; ln -s /etc/ppp/ppp-shell /etc/ppp/ppp-fred &prompt.root; ln -s /etc/ppp/ppp-shell /etc/ppp/ppp-sam &prompt.root; ln -s /etc/ppp/ppp-shell /etc/ppp/ppp-mary 每个用户的Shell必须被设成一个符号链接(例如用户 mary的Shell应该是/etc/ppp/ppp-mary)。 为动态IP用户设置<filename>ppp.conf</filename> /etc/ppp/ppp.conf文件应该包含下面 这些行: default: set debug phase lcp chat set timeout 0 ttyd0: set ifaddr 203.14.100.1 203.14.100.20 255.255.255.255 enable proxy ttyd1: set ifaddr 203.14.100.1 203.14.100.21 255.255.255.255 enable proxy 缩进得必须的。 default:项在每次会话时都会加载。 每个在 /etc/ttys 中启用的行都必须为其创建一个相似于 ttyd0: 的项。 每一行应该从动态 IP 地址池中取得唯一的IP地址。 为静态 IP 用户配置 <filename>ppp.conf</filename> 根据上面 /usr/share/examples/ppp/ppp.conf 文件的内容, 您必须为每个静态拨号用户添加一个项。 我们继续以 fredsam 以及 mary为例。 fred: set ifaddr 203.14.100.1 203.14.101.1 255.255.255.255 sam: set ifaddr 203.14.100.1 203.14.102.1 255.255.255.255 mary: set ifaddr 203.14.100.1 203.14.103.1 255.255.255.255 如果需要, /etc/ppp/ppp.linkup 也应该包括每个静态IP用户的的路由信息。 下面这一行为客户连接添加了到 203.14.101.0/24 网络的路由。 fred: add 203.14.101.0 netmask 255.255.255.0 HISADDR sam: add 203.14.102.0 netmask 255.255.255.0 HISADDR mary: add 203.14.103.0 netmask 255.255.255.0 HISADDR <command>mgetty</command>和AutoPPP mgetty AutoPPP LCP 在配置和编译mgetty 时启用 AUTO_PPP选项 使mgetty能够探测PPP连接的的LCP状态 并自动产生PPP Shell。 但如果默认的login/password队列没有出现, 那就必须使用PAP或CHAP来验证用户。 这节假定您已经为用户成功地配置, 编译了带有AUTO_PPP选项的 mgetty 确认文件 /usr/local/etc/mgetty+sendfax/login.config 包含以下内容: /AutoPPP/ - - /etc/ppp/ppp-pap-dialup 这行告诉mgetty运行 ppp-pap-dialup脚本来侦听PPP连接。 创建/etc/ppp/ppp-pap-dialup文件写入以下内容 (此文件应该是可执行的): #!/bin/sh exec /usr/sbin/ppp -direct pap$IDENT 对应于每个在/etc/ttys的启用行, 都要在/etc/ppp/ppp.conf 中创建相应的项。 这和上面的定义是相同的。 pap: enable pap set ifaddr 203.14.100.1 203.14.100.20-203.14.100.40 enable proxy 每个以这种方式登录的用户, 都必须在 /etc/ppp/ppp.secret 文件中给出用户名/口令, 或者使用以下选项, 来通过 PAP 方式以 /etc/passwd 文件提供的信息来完成身份验证。 enable passwdauth 如果您想为某些用户分配静态IP, 可以在 /etc/ppp/ppp.secret 中将IP号作为第三个参数指定。 请参见 /usr/share/examples/ppp/ppp.secret.sample 中的例子。 MS Extensions DNS NetBIOS PPPMicrosoft extensions 可以配置PPP以提供DNS和NetBIOS域名服务器地址。 要在 PPP 1.x 版本中启用这些扩展, 需要在 /etc/ppp/ppp.conf 的对应项中加入下列配置: enable msext set ns 203.14.100.1 203.14.100.2 set nbns 203.14.100.5 PPP版本2及以上: accept dns set dns 203.14.100.1 203.14.100.2 set nbns 203.14.100.5 这将告诉客户端首选域名服务器和备用域名服务器。 在版本2及以上版本中, 如果省略了 set dns, PPP会使用 /etc/resolv.conf中的值。 PAP 和 CHAP 验证 PAP CHAP 一些 ISP 将系统配置为使用 PAP 或 CHAP 机制来完成连接验证。 如果遇到这种情况, 在您连接时 ISP 就不会看到 login: 提示符, 而是立即开始 PPP 对话。 PAP 安全性要比 CHAP 差一些, 但在这里安全性并不是问题, 因为密码 (即使用明文传送) 只是通过串行线传送, 攻击者并没有太多机会去 窃听 它。 参考 PPP 与静态 IP 地址 或 PPP 与动态 IP 地址 小节, 并完成下列改动: 13 set authname MyUserName 14 set authkey MyPassword 15 set login 第 13 行: 这一行指明您的PAP/CHAP用户名。 您需要为MyUserName输入正确的值。 第 14 行: password 这一行指明您的 PAP/CHAP password密码。 您需要为 MyPassword 输入正确的值。 另外,您可能希望加入一些额外的选项,例如: 16 accept PAP 16 accept CHAP 以明确您的意图, 不过, 默认情况下 PAP 和 CHAP 都会被接受。 行 15: 如果您使用的是 PAP 或 CHAP, 一般来说 ISP 就不会要求您登录服务器了。 这时, 就必须禁用 set login 设置。 即时改变您的<command>ppp</command> 配置 与后台运行的ppp程序进行对话是可能的, 前提是设置了一个合适的诊断端口。 做到这一点, 需要把下面的行加入到您的配置中: set server /var/run/ppp-tun%d DiagnosticPassword 0177 这行告诉 PPP在指定的&unix;域socket中侦听, 当用户连接时需要给出指定的密码。 %dtun设备号替换。 一旦启用了socket, 就可以在脚本中调用程序&man.pppctl.8;来处理正在运行的 的PPP。 使用PPP网络地址翻译 PPP NAT PPP 可以使用内建的 NAT, 而无需内核支持。 您可以在 /etc/ppp/ppp.conf 中加入如下配置来启用它: nat enable yes PPP NAT也可以使用命令行选项 -nat启动。 在 /etc/rc.conf 文件中也有 ppp_nat 项, 并默认启用。 如果您使用了这个特性, 您还会发现在 /etc/ppp/ppp.conf中以下 选项对于启用incoming connections forwarding是有用的: nat port tcp 10.0.0.2:ftp ftp nat port tcp 10.0.0.2:http http 或者完全不信任外来的请求 nat deny_incoming yes 最后的系统配置 PPPconfiguration 现在您已配置了ppp, 但在真正工作之前还有一些事情要做。 即修改 /etc/rc.conf 从上依次往下看, 确认已经正确地配置了 hostname=, 例如: hostname="foo.example.com" 如果您的ISP提供给您一个静态的IP和名字, 将这个名字设为hostname是最合适的。 寻找 network_interfaces 变量。 如果要配置系统通过拨号连入ISP, 一定要将tun0设备加入这个列表, 否则就删除它。 network_interfaces="lo0 tun0" ifconfig_tun0= ifconfig_tun0变量应该是空的, 且要创建一个名为 /etc/start_if.tun0的文件。 这个文件应该包含这一行: ppp -auto mysystem 此脚本在网络配置时被执行, 开启PPP守护进程进入自动模式。 如果这台机子充当一个LAN的网关, 您可能希望使用 。 参考相关联机手册了解更多细节。 务必在 /etc/rc.conf 中, 把路由程序设置为 NO router_enable="NO" routed 不启动 routed 服务程序非常重要, 因为 routed 总会删掉由 ppp 所建立的默认路由。 此外, 我们建议您确认一下 sendmail_flags 这一行中没有指定 参数, 否则 sendmail 将会不断地尝试查找网络, 而这样做将会导致机器不断地进行拨号。 可以考虑: sendmail_flags="-bd" sendmail 替代的做法是当每次 PPP 连接建立时您必须通过键入以下命令强制 sendmail 重新检查邮件队列: &prompt.root; /usr/sbin/sendmail -q 您也可以在ppp.linkup使用!bg命令自动完成这些工作: 1 provider: 2 delete ALL 3 add 0 0 HISADDR 4 !bg sendmail -bd -q30m SMTP 如果您不喜欢这样做, 可以设立一个 dfilter 以阻止 SMTP 传输。 参考相关文件了解更多细节。 现在您唯一要做的事是重新启动计算机。 重启之后,可以输入: &prompt.root; ppp 然后是dial provider以开启 PPP会话。 或者如果您想让ppp自动建立会话, 因为您有一条广域网连接 (且没有创建 start_if.tun0 脚本), 键入: &prompt.root; ppp -auto provider 总结 当第一次设置PPP时, 下面几步是必须的: 客户端: 确保 tun编译进了进核。 - 确保tunN - 设备文件在 /dev 目录中是可用的。 + 确保 /dev + 目录中名为 + tunN + 的设备文件是可用的。 /etc/ppp/ppp.conf中创建一个项。 pmdemand示例应该适合于绝大多数ISP。 如果您使用动态IP地址, 在/etc/ppp/ppp.linkup创建一个项。 更新/etc/rc.conf 文件。 如果您要求按需拨号, 创建一个start_if.tun0脚本。 服务器端: 确保tun设备已编译入内核。 - 确保tunN设备文件在 - /dev目录中是可用的。 + 确保 /dev + 目录中名为 + tunN + 的设备文件是可用的。 /etc/passwd中创建一个项 (使用&man.vipw.8;程序)。 在用户的home目录创建一个运行 ppp -direct direct-server或相似命令的profile。 /etc/ppp/ppp.conf中创建一个项。 direct-server示例应该能满足要求。 /etc/ppp/ppp.linkup中创建一个项。 更新 /etc/rc.conf 文件。 Gennady B. Sorokopud Parts originally contributed by Robert Huff 使用内核级PPP 设立内核级PPP PPP kernel PPP - 在开始设置内核级PPP时, 需要确信pppd已经被定位在/usr/sbin 中 - 且存在/etc/ppp目录。 + 在开始配置 PPP 之前, + 请确认 pppd 已经存放在 + /usr/sbin 中, 并且 + /etc/ppp 目录是存在的。 pppd能在两种模式下工作: 作为一个 客户 — 您要通过PPP串行线或modem线把您的机器连接到互联网上。 PPP server 作为服务器 —计算机已经位于网络上, 且被用于通过PPP与其它计算机连接。 两种情况您都需要设立一个选项文件, (/etc/ppp/options 或者是 ~/.ppprc 如果您的计算机有多个用户使用PPP)。 您还需要一些modem/serial软件(comms/kermit就很适合), 使您能够拨号并与远程主机建立连接。 Trev Roydhouse Based on information provided by 使用<command>pppd</command>作为客户端 PPP client Cisco 下面这个 /etc/ppp/options选项文件能够被用来与CISCO终端服务器的 PPP线连接。 crtscts # enable hardware flow control modem # modem control line noipdefault # remote PPP server must supply your IP address # if the remote host does not send your IP during IPCP # negotiation, remove this option passive # wait for LCP packets domain ppp.foo.com # put your domain name here :remote_ip # put the IP of remote PPP host here # it will be used to route packets via PPP link # if you didn't specified the noipdefault option # change this line to local_ip:remote_ip defaultroute # put this if you want that PPP server will be your # default router 连接: Kermit modem 使用 Kermit (或其他 modem 程序来拨号), 然后输入您的用户名和口令 (或在远程主机上启用 PPP 所需的其他信息)。 退出 Kermit (并不挂断连接)。 键入下面这行: - &prompt.root; /usr/src/usr.sbin/pppd.new/pppd /dev/tty01 19200 + &prompt.root; /usr/sbin/pppd /dev/tty01 19200 一定要使用正确的速度和设备名。 现在您的计算机已经用PPP连接。 如果连接失败, 您可在文件 /etc/ppp/options 中添加 选项, 并查看控制台信息以跟踪问题。 下面这个/etc/ppp/pppup脚本能自动完成这三个步骤: #!/bin/sh pgrep -l pppd pid=`pgrep pppd` if [ "X${pid}" != "X" ] ; then echo 'killing pppd, PID=' ${pid} kill ${pid} fi pgrep -l kermit pid=`pgrep kermit` if [ "X${pid}" != "X" ] ; then echo 'killing kermit, PID=' ${pid} kill -9 ${pid} fi ifconfig ppp0 down ifconfig ppp0 delete kermit -y /etc/ppp/kermit.dial pppd /dev/tty01 19200 Kermit /etc/ppp/kermit.dial 是一个 Kermit 脚本, 它会完成拨号, 并在远程主机上完成所有需要的身份验证过程 (这份文档的最后有一个脚本实例)。 使用下面这个脚本/etc/ppp/pppdown断开PPP连线: #!/bin/sh pid=`pgrep pppd` if [ X${pid} != "X" ] ; then echo 'killing pppd, PID=' ${pid} kill -TERM ${pid} fi pgrep -l kermit pid=`pgrep kermit` if [ "X${pid}" != "X" ] ; then echo 'killing kermit, PID=' ${pid} kill -9 ${pid} fi /sbin/ifconfig ppp0 down /sbin/ifconfig ppp0 delete kermit -y /etc/ppp/kermit.hup /etc/ppp/ppptest 通过执行/usr/etc/ppp/ppptest, 看看pppd 是否仍在运行: #!/bin/sh pid=`pgrep pppd` if [ X${pid} != "X" ] ; then echo 'pppd running: PID=' ${pid-NONE} else echo 'No pppd running.' fi set -x netstat -n -I ppp0 ifconfig ppp0 执行脚本 /etc/ppp/kermit.hup以挂起moderm, 这个文件包含: set line /dev/tty01 ; put your modem device here set speed 19200 set file type binary set file names literal set win 8 set rec pack 1024 set send pack 1024 set block 3 set term bytesize 8 set command bytesize 8 set flow none pau 1 out +++ inp 5 OK out ATH0\13 echo \13 exit 也可以用chat 代替kermit 以下两个文件用以建立pppd连接。 /etc/ppp/options /dev/cuad1 115200 crtscts # enable hardware flow control modem # modem control line connect "/usr/bin/chat -f /etc/ppp/login.chat.script" noipdefault # remote PPP serve must supply your IP address # if the remote host doesn't send your IP during # IPCP negotiation, remove this option passive # wait for LCP packets domain your.domain # put your domain name here : # put the IP of remote PPP host here # it will be used to route packets via PPP link # if you didn't specified the noipdefault option # change this line to local_ip:remote_ip defaultroute # put this if you want that PPP server will be # your default router /etc/ppp/login.chat.script 以下的内容应该放在一行内。 ABORT BUSY ABORT 'NO CARRIER' "" AT OK ATDTphone.number CONNECT "" TIMEOUT 10 ogin:-\\r-ogin: login-id TIMEOUT 5 sword: password 一旦这些被安装且修改正确, 您所要做的就是运行pppd, 就像这样: &prompt.root; pppd 使用<command>pppd</command>作为服务器 /etc/ppp/options要包括下面这些内容: crtscts # Hardware flow control netmask 255.255.255.0 # netmask (not required) 192.114.208.20:192.114.208.165 # IP's of local and remote hosts # local ip must be different from one # you assigned to the Ethernet (or other) # interface on your machine. # remote IP is IP address that will be # assigned to the remote machine domain ppp.foo.com # your domain passive # wait for LCP modem # modem line 下面这个脚本/etc/ppp/pppserv 使pppd以服务器方式启动: #!/bin/sh pgrep -l pppd pid=`pgrep pppd` if [ "X${pid}" != "X" ] ; then echo 'killing pppd, PID=' ${pid} kill ${pid} fi pgrep -l kermit pid=`pgrep kermit` if [ "X${pid}" != "X" ] ; then echo 'killing kermit, PID=' ${pid} kill -9 ${pid} fi # reset ppp interface ifconfig ppp0 down ifconfig ppp0 delete # enable autoanswer mode kermit -y /etc/ppp/kermit.ans # run ppp pppd /dev/tty01 19200 使用脚本/etc/ppp/pppservdown停止服务器: #!/bin/sh pgrep -l pppd pid=`pgrep pppd` if [ "X${pid}" != "X" ] ; then echo 'killing pppd, PID=' ${pid} kill ${pid} fi pgrep -l kermit pid=`pgrep kermit` if [ "X${pid}" != "X" ] ; then echo 'killing kermit, PID=' ${pid} kill -9 ${pid} fi ifconfig ppp0 down ifconfig ppp0 delete kermit -y /etc/ppp/kermit.noans 下面的 Kermit 脚本 (/etc/ppp/kermit.ans) 能够启用/禁用您 modem 的自动应答模式。 其内容类似下面这样: set line /dev/tty01 set speed 19200 set file type binary set file names literal set win 8 set rec pack 1024 set send pack 1024 set block 3 set term bytesize 8 set command bytesize 8 set flow none pau 1 out +++ inp 5 OK out ATH0\13 inp 5 OK echo \13 out ATS0=1\13 ; change this to out ATS0=0\13 if you want to disable ; autoanswer mode inp 5 OK echo \13 exit 一个名为/etc/ppp/kermit.dial的脚本用于向远程主机 进行拨号和验证。 您要根据需要定制它。 要加入您的登寻名和密码, 您还要根据 modem 和远程主机的反应修改输入语句。 ; ; put the com line attached to the modem here: ; set line /dev/tty01 ; ; put the modem speed here: ; set speed 19200 set file type binary ; full 8 bit file xfer set file names literal set win 8 set rec pack 1024 set send pack 1024 set block 3 set term bytesize 8 set command bytesize 8 set flow none set modem hayes set dial hangup off set carrier auto ; Then SET CARRIER if necessary, set dial display on ; Then SET DIAL if necessary, set input echo on set input timeout proceed set input case ignore def \%x 0 ; login prompt counter goto slhup :slcmd ; put the modem in command mode echo Put the modem in command mode. clear ; Clear unread characters from input buffer pause 1 output +++ ; hayes escape sequence input 1 OK\13\10 ; wait for OK if success goto slhup output \13 pause 1 output at\13 input 1 OK\13\10 if fail goto slcmd ; if modem doesn't answer OK, try again :slhup ; hang up the phone clear ; Clear unread characters from input buffer pause 1 echo Hanging up the phone. output ath0\13 ; hayes command for on hook input 2 OK\13\10 if fail goto slcmd ; if no OK answer, put modem in command mode :sldial ; dial the number pause 1 echo Dialing. output atdt9,550311\13\10 ; put phone number here assign \%x 0 ; zero the time counter :look clear ; Clear unread characters from input buffer increment \%x ; Count the seconds input 1 {CONNECT } if success goto sllogin reinput 1 {NO CARRIER\13\10} if success goto sldial reinput 1 {NO DIALTONE\13\10} if success goto slnodial reinput 1 {\255} if success goto slhup reinput 1 {\127} if success goto slhup if < \%x 60 goto look else goto slhup :sllogin ; login assign \%x 0 ; zero the time counter pause 1 echo Looking for login prompt. :slloop increment \%x ; Count the seconds clear ; Clear unread characters from input buffer output \13 ; ; put your expected login prompt here: ; input 1 {Username: } if success goto sluid reinput 1 {\255} if success goto slhup reinput 1 {\127} if success goto slhup if < \%x 10 goto slloop ; try 10 times to get a login prompt else goto slhup ; hang up and start again if 10 failures :sluid ; ; put your userid here: ; output ppp-login\13 input 1 {Password: } ; ; put your password here: ; output ppp-password\13 input 1 {Entering SLIP mode.} echo quit :slnodial echo \7No dialtone. Check the telephone line!\7 exit 1 ; local variables: ; mode: csh ; comment-start: "; " ; comment-start-skip: "; " ; end: Tom Rhodes Contributed by <acronym>PPP</acronym> 连接故障排除 PPP troubleshooting 本节将讲述通过modem连接使用PPP时可能出现的问题。 例如, 您可能需要确切地知道您拨入的系统会出现一个怎样的命令行提示符。 有些 ISP 会提供 ssword提示符, 而其它的可能会出现 password; 如果没有根据情况的不同相应地编写 ppp 脚本, 登录就会失败。 诊断 ppp 最常用的方法是手动进行连接。 以下的信息会一步一步地带您完成手动连接。 检查设备节点 - 如果您的内核是经过重新配置的, 那么就需要检查sio设备。 - 如果没有配置过内核, 就没什么可担心的了。 只要查看 - dmesg的输出以找到modem设备: + 如果使用的是定制内核, 确认在其编译配置中包含下列配置: + + device sio + + 默认的 GENERIC 内核中包含了 + sio 设备, 因此如果您使用的是它的话, + 就不需要担心了。 只要查看 dmesg 输出中是否有 modem + 设备: &prompt.root; dmesg | grep sio 您应该找到与 sio 设备有关的输出。 这些就是我们需要的 COM 端口。 如果您的 modem 按照标准串行端口工作, 您就会在 sio1COM2 上找到它。 如果 modem 设备连接在 sio1 接口 (在 DOS 中称为COM2), - 那么您的 modem 将会是 /dev/cuad1 + 那么您的 modem 将会是 /dev/cuad1 手动连接 通过手动控制ppp来连接Internet 是诊断连接及获知ISP处理PPP客户端方式的一个快速, 简单的方法。 让我们从PPP 命令行开始, 在所有的例子中我们使用 example 表示运行 PPP 服务的主机名。 键入ppp 命令打开 ppp &prompt.root; ppp 现在我们已经打开了ppp - ppp ON example> set device /dev/cuad1 + ppp ON example> set device /dev/cuad1 设置modem设备, 在本例子中是 cuad1 ppp ON example> set speed 115200 设置连接速度, 在本例中我们使用15,200 kbps ppp ON example> enable dns 使ppp配置域名服务, 在文件/etc/resolv.conf中添加域名服务器行。 如果 ppp不能确定我们的主机名, 可以在稍后设置。 ppp ON example> term 切换到 终端样我们就能手动地控制这台 modem 的模式。 - deflink: Entering terminal mode on /dev/cuad1 + deflink: Entering terminal mode on /dev/cuad1 type '~h' for help at OK atdt123456789 使用命令at初始化modem, 然后使用atdtISP给您的号码进行拨号。 CONNECT 连接配置, 如果我们遇到了与硬件无关的连接问题, 可以在这里尝试解决。 ISP Login:myusername 这里提示您输入用户名, 输入ISP提供的用户名然后按回车。 ISP Pass:mypassword 这时提示我们输入密码, 输入 ISP提供的密码。 如同登录入&os;, 密码不会显示。 Shell or PPP:ppp 由于ISP的不同, 这个提示符可能不会出现。 这里我们需要考虑: 是使用运行于提供商端的 Shell, 还是启动 ppp? 这本例中, 我们选择使用 ppp, 因为我们希望得到 Internet 连接。 Ppp ON example> 注意在这个例子中, 第一个 已经大写。 这表示我们已经成功地连接上了 ISP PPp ON example> 我们已经成功通过了 ISP的验证, 正在等待分配IP地址。 PPP ON example> 我们得到了一个 IP 地址, 成功地完成了连接。 PPP ON example>add default HISADDR 这样就完成了添加默认路由所需的配置。 这是与外界通信所必需的。 因为之前我们只是与服务器端建立了连接。 如果由于已存在的路由而导致操作失败, 您可以在 前加 !号。 除此之外, 您也可以在真正连接之前设置这些 (指 add default HISADDR), ppp 会根据这项设定协商取得新的路由。 如果一切顺利, 现在我们应该能得到一个活动的 Internet 连接, 可以使用 CTRL z 使其转入后台。 如果您发现 PPP重新变为 ppp, 则表示连接被断开。 大写的 P 表明建立了到 ISP 的连接, 而小写的 p 则表示连接由于某种原因被断开, 这有助于帮助我们了解连接的状态。 ppp 只有这两个状态。 诊断排错 如果您有一根直连线且似乎不能建立连接, 要使用以关闭字节流的CTS/RTS。 这种情况一般发生在连接兼容 PPP 的终端服务器时。 当它向通信连接写入数据时, PPP就会挂起, 一直等待一个CTS, 或者一个不可能出现的 Clear to Send 信号。 如果使用了这个选项, 您还应使用 选项, 某些存在缺陷的硬件在完成端对端发送特定字符, 特别是 XON/XOFF 时可能会遇到困难。 请参见 &man.ppp.8; 联机手册以了解关于可用选项的更多细节, 以及如何使用它们。 如果您的 modem 比较旧, 就需要使用 了。 奇偶校验的默认设置是 none, 但在旧式的 (当流量大量增加时) 调制解调器和某些 ISP 被用来纠错。 您需要使用这个选项才能使用 Compuserve ISP PPP 可能并不返回命令模式, 这通常是 ISP 等待您这一端发起协商时发生了错误。 此时, 使用 ~p 命令将强制 ppp 开始发送配置信息。 如果您没有看到登录提示, 则很可能需要使用 PAPCHAP 验证来代替前面例子中的 &unix; 风格验证。 要使用 PAPCHAP 只需在进入终端模式之前把下面的选项加入 PPP ppp ON example> set authname myusername 此处 myusername 应改为您的 ISP 分配给您的用户名。 ppp ON example> set authkey mypassword 此处 mypassword 应该为您的 ISP 分配给您的口令。 如果连接正常, 但无法查找域名, 请尝试 &man.ping.8; 某个 IP 地址来看看是否返回了信息。 如果您发现百分之百 (100%) 丢包, 那么您很可能没有分配默认路由。 请仔细检查选项 是否在连接时被设置了。 如果您能连接到远程的 IP 地址则有可能域名解析服务器的地址没有被加入到 /etc/resolv.conf。 这个文件应该是下面的样子: domain example.com nameserver x.x.x.x nameserver y.y.y.y 此处 x.x.x.xy.y.y.y 应该改为您的 ISP 的 DNS 服务器的 IP 地址。 这一信息在您注册时可能会提供给您, 不过通常只需给 ISP 打个电话就能知道了。 您还可以让 &man.syslog.3; 为您的 PPP 连接提供日志。 只需增加: !ppp *.* /var/log/ppp.log /etc/syslog.conf 中。 绝大多数情况下, 这个功能默认已经打开了。 Jim Mock Contributed (from http://node.to/freebsd/how-tos/how-to-freebsd-pppoe.html) by 使用基于以太网的PPP(PPPoE) PPP over Ethernet PPPoE PPP, over Ethernet (以太网上的 PPP) 本节将介绍如何建立基于以太网的PPP (PPPoE)。 配置内核 对于PPPOE, 并没有必须的内核配置。 如果必需的 netgraph 支持没有编译入内核, 它可以由 ppp 动态加载。 设置<filename>ppp.conf</filename> 以下是一个ppp.conf的例子: default: set log Phase tun command # you can add more detailed logging if you wish set ifaddr 10.0.0.1/0 10.0.0.2/0 name_of_service_provider: set device PPPoE:xl1 # replace xl1 with your Ethernet device set authname YOURLOGINNAME set authkey YOURPASSWORD set dial set login add default HISADDR 运行<application>ppp</application> root 身份执行: &prompt.root; ppp -ddial name_of_service_provider 启动时运行<application>ppp</application> /etc/rc.conf 中加入以下内容: ppp_enable="YES" ppp_mode="ddial" ppp_nat="YES" # if you want to enable nat for your local network, otherwise NO ppp_profile="name_of_service_provider" 使用 PPPoE 服务标签 在某些时候, 有必要使用一个服务标签来建立您的连接。 服务标签用于区分同一网络中的不同服务器。 您可以在ISP提供的文档中找到必要的服务标签信息。 若不能找到, 则应向您的 ISP 寻求技术支持。 作为最后的方法, 您可以试试 Roaring Penguin PPPoE, 它可以在 Ports Collection 中找到。 然而需要注意的是, 它可能会清楚 modem 的固件, 并使其无法正常工作, 因此一定要仔细考虑之后再做这个操作。 简单地安装由服务提供商随 modem 提供的程序。 随后, 选择 System 菜单。 您的配置文件应该会在这里列出。 一般来说它的名字应该是 ISP 配置文件名 (service tag, 服务标签) 将被用于 PPPoE 在 ppp.conf 中的配置项, 作为服务商 set device 命令的一部分 (参见 &man.ppp.8; 联机手册以了解更多细节)。 它应该类似下面的样子: set device PPPoE:xl1:ISP 记住将xl1换成实际的以太网设备。 记住将 ISP 换成您刚刚找到的profile名。 获得更多的信息, 请参考: Cheaper Broadband with FreeBSD on DSL by Renaud Waldura. Nutzung von T-DSL und T-Online mit FreeBSD by Udo Erdelhoff (in German). 带有一个&tm.3com; <trademark class="registered">HomeConnect</trademark> ADSL Modem的PPPOE双重连接 这个 modem 不遵循 RFC 2516 (A Method for transmitting PPP over Ethernet (PPPoE), 其作者为 L. Mamakos、 K. Lidl、 J. Evarts、 D. Carrel、 D. Simone 以及 R. Wheeler)。 而是使用不同的数据包格式作为以太网的框架。 请向 3Com 抱怨, 如果您认为它应该遵守 PPPoE 的规范。 为了让FreeBSD能够与这个设备通信, 必须设置sysctl。 通过更改/etc/sysctl.conf, 这一步可以在启动时自动完成: net.graph.nonstandard_pppoe=1 或者, 也可以直接执行下面的命令: &prompt.root; sysctl net.graph.nonstandard_pppoe=1 很不幸,由于这是系统全局设置, 无法同时与正常的PPP客户端(或服务器) 和&tm.3com;HomeConnect ADSL Modem通信。 使用 ATM 上的 <application>PPP</application> (PPPoA) PPP over ATM PPPoA 基于ATM的PPP 以下将介绍如何设置基于ATM的PPP(PPPoA)。 PPPoA是欧洲DSL提供商的普遍选择。 使用 Alcatel &speedtouch;USB 的 PPPoA 针对这一设备的 PPPoA 支持, 在 FreeBSD 中是作为 port 提供的, 因为其固件使用了 阿尔卡特许可协议, 因而不能与 FreeBSD 的基本系统一起免费地再发布。 使用 Ports 套件 可以非常方便地安装 net/pppoa port, 之后按照它提供的指示操作就可以了。 和许多 USB 设备类似, 阿尔卡特的 &speedtouch; USB 需要从主机上下载固件才能够正常工作。 在 &os; 中您可以将此操作自动化, 在有设备插到某个 USB 口的时候自动下载固件。 可以在 /etc/usbd.conf 文件中加入下面的信息来让它自动完成固件的传送。 注意, 必须以 root 用户的身份编辑它。 device "Alcatel SpeedTouch USB" devname "ugen[0-9]+" vendor 0x06b9 product 0x4061 attach "/usr/local/sbin/modem_run -f /usr/local/libdata/mgmt.o" 要启动USB守护进程usbd, 在/etc/rc.conf加入以下行: usbd_enable="YES" 也可以将ppp设置成启动时拨号。 向 /etc/rc.conf加入以下这几行。 同样地您需要以root用户登录。 ppp_enable="YES" ppp_mode="ddial" ppp_profile="adsl" 为了使其正常工作, 您需要使用net/pppoa port提供的ppp.conf样例。 使用mpd 可以使用 mpd 来连接多种类型的服务, 特别是 PPTP 服务。 您可以在 Ports Collection 中找到 mpd, 它的位置是 net/mpd。 许多 ADSL modem 需要在 modem 和计算机之间建立一条 PPTP 隧道, 而阿尔卡特 &speedtouch; Home 正是其中的一种。 首先需要从 port 完成安装, 然后才能配置 mpd 来满足您的需要, 并完成服务商的配置。 port 会把一系列包括了详细注解的配置文件实例放到 - PREFIX/etc/mpd/。 + PREFIX/etc/mpd/。 注意, 这里的 PREFIX 表示 ports 安装的目录, 默认情况下, 应该是 - /usr/local/。 + /usr/local/。 关于配置 mpd 的完整说明, 会以 HTML 格式随 port 一起安装。 这些文件将放在 - PREFIX/share/doc/mpd/。 + PREFIX/share/doc/mpd/。 下面是通过 mpd 连接 ADSL 服务的一个简单例子。 配置被分别放到了两个文件中, 第一个是 mpd.conf default: load adsl adsl: new -i ng0 adsl adsl set bundle authname username set bundle password password set bundle disable multilink set link no pap acfcomp protocomp set link disable chap set link accept chap set link keep-alive 30 10 set ipcp no vjcomp set ipcp ranges 0.0.0.0/0 0.0.0.0/0 set iface route default set iface disable on-demand set iface enable proxy-arp set iface idle 0 open username用来向您的ISP进行验证。 password用来向您的ISP进行验证。 mpd.links包含连接的信息: adsl: set link type pptp set pptp mode active set pptp enable originate outcall set pptp self 10.0.0.1 set pptp peer 10.0.0.138 运行mpd的主机的IP地址。 ADSL modem的IP地址。 Alcatel &speedtouch; Home 默认的是 10.0.0.138 初始化连接: &prompt.root; mpd -b adsl 您可以通过以下命令查看连接状态: &prompt.user; ifconfig ng0 ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1500 inet 216.136.204.117 --> 204.152.186.171 netmask 0xffffffff 使用mpd连接ADSL服务是推荐的方式。 使用pptpclient 也可以使用net/pptpclient连接其它的 PPPoA。 要使用 net/pptpclient 连接 DSL 服务, 需要安装 port 或 package 并编辑 /etc/ppp/ppp.conf。 您需要有 root 权限才能完成这两项操作。 以下是 ppp.conf 中的一个示例项。 参考 ppp 的联机手册 &man.ppp.8;, 以了解更多有关 ppp.conf 选项的信息。 adsl: set log phase chat lcp ipcp ccp tun command set timeout 0 enable dns set authname username set authkey password set ifaddr 0 0 add default HISADDR 您在 DSL 服务提供商那里的用户名 您帐户的口令。 由于您必须将帐号密码以明文的方式放入ppp.conf 您应该确保没有任何人能看到此文件的内容。 以下一系列命令将会确保此文件只对 root用户可读。 请参见 &man.chmod.1; 和 &man.chown.8; 的联机手册以了解有关如何操作的进一步信息。 &prompt.root; chown root:wheel /etc/ppp/ppp.conf &prompt.root; chmod 600 /etc/ppp/ppp.conf 以下将为到 DSL 路由器的会话打开一个 tunnel。 以太网DSL modem有一个设置的局域网IP地址。 以 Alcatel &speedtouch; Home 为例, 这个地址是 10.0.0.138。 路由器的文档应该会告诉您它使用的地址。 执行以下命令以打开 tunnel 并开始会话: &prompt.root; pptp address adsl 您应该在命令的最后加上(&)号, 否则 pptp 无法返回到命令行提示符。 要创建一个 tun虚拟设备用于进程pptpppp 之间的交互。 一旦您回到了命令行, 或者 pptp 进程确认了一个连接, 您可以这样检查tunnel设备: &prompt.user; ifconfig tun0 tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500 inet 216.136.204.21 --> 204.152.186.171 netmask 0xffffff00 Opened by PID 918 如果您无法连接, 一般可以通过telnet或者web浏览器检查路由器(modem)的配置。 如果依旧无法连接, 您应该检查pptp的输出及ppp的日志文件 /var/log/ppp.log 以获得线索。 Satoshi Asami Originally contributed by Guy Helmer With input from Piero Serini 使用SLIP SLIP - 设置SLIP客户端 - SLIPclient + 设置 SLIP 客户端 + + + SLIP + client (客户端) + + 下面是在静态主机网络上配置 FreeBSD 机器使用 SLIP 的方法。 对于动态主机名分配 (您的地址会随每次拨号而不同), 您可能需要稍复杂一些的设置。 首先, 您需要确认调制解调器所连接的串口。 许多人会设置一个符号连接, 例如 - /dev/modem, 用以指向实际的设备名, - /dev/cuadN。 - 这样您就可以对实际的设备名进行抽象, - 以备调制解调器换到其他串口时方便调整之用。 - 不然, 在系统中修改一大堆 /etc 下的文件以及 - .kermrc 将是非常麻烦的事情! + /dev/modem, 用以指向实际的设备名, 如 + /dev/cuadN。 + 这样您就可以对实际的设备名进行抽象, + 以备调制解调器换到其他串口时方便调整之用。 不然, 修改 + /etc 和遍布于系统中的 .kermrc + 文件将是一件很麻烦的事情! - /dev/cuad0 对应 - COM1, 而 cuad1 - 则对应 COM2, 等等。 + /dev/cuad0 对应 + COM1, 而 /dev/cuad1 + 则对应 + COM2, 等等。 确保您的内核文件包含以下内容: device sl 这包含在GENERIC内核, 所以这应该不会是个问题, 除非您 已经删除了它。 只需做一次的事情 把您本地网络上的机器、 网关以及域名服务器, 都加入到 /etc/hosts 文件中。 我们的是下面这个样子: 127.0.0.1 localhost loghost 136.152.64.181 water.CS.Example.EDU water.CS water 136.152.64.1 inr-3.CS.Example.EDU inr-3 slip-gateway 128.32.136.9 ns1.Example.EDU ns1 128.32.136.12 ns2.Example.EDU ns2 请确保在您的 /etc/nsswitch.conf 中的 hosts: 小节里面, files 先于 dns 出现。 如果不是这样的话, 可能会产生一些不希望的现象。 编辑/etc/rc.conf 编辑以下这行设置主机名(hostname): hostname="myname.my.domain" 应该用您主机的Internet全名代替。 default route 改变这一行以指明默认的路由: defaultrouter="NO" 改为: defaultrouter="slip-gateway" 创建文件/etc/resolv.conf, 写入以下内容: domain CS.Example.EDU nameserver 128.32.136.9 nameserver 128.32.136.12 nameserver domain name 正如您看到的, 这些行设置了域名服务器。 当然, 实际的域名和IP地址取决于您的环境。 设置roottoor的密码(其它任何没有密码的帐号)。 重启计算机, 然后确认使用了正确的主机名。 创建一个SLIP连接 SLIP connecting with 在命令提示符之后输入 slip 进行拨号, 输入您的机器名和口令。 具体需要输入什么, 与您的环境密切相关。 如果使用 Kermit, 则可以使用类似下面的脚本: # kermit setup set modem hayes set line /dev/modem set speed 115200 set parity none set flow rts/cts set terminal bytesize 8 set file type binary # The next macro will dial up and login define slip dial 643-9600, input 10 =>, if failure stop, - output slip\x0d, input 10 Username:, if failure stop, - output silvia\x0d, input 10 Password:, if failure stop, - output ***\x0d, echo \x0aCONNECTED\x0a 当然, 您还需要修改用户名和口令来满足实际需要。 完成这些操作之后, 只需在 Kermit 提示符之后输入 slip 就可以连接了。 将密码以纯文本的形式存放在文件系统无论如何都是个 主意。 请考虑这样做的风险。 在这里退出 Kermit (也可以用 Ctrl z 将其挂起), 以 root 用户键入: &prompt.root; slattach -h -c -s 115200 /dev/modem 如果您能ping通路由器另一端的主机, 就是连接好了! 如果不行, 您可以使用选项代替 作为slattach的参数。 关闭连接 按下面的步骤做: &prompt.root; kill -INT `cat /var/run/slattach.modem.pid` 来杀掉 slattach。 切记上述操作只有以 root 身份才能完成。 接下来回到 kermit (如果之前是将它挂起了, 则使用 fg) 并退出 (q)。 在 &man.slattach.8; 联机手册中提到, 必须使用 ifconfig sl0 down 才能将接口标记为关闭, 但和这样做似乎没有什么区别。 (ifconfig sl0 仍然报告同样的东西。) 有时, 您的 modem 可能会拒绝挂断。 这种情况下, 只需重新启动 kermit 并再次退出它就可以了。 一般来说试二次就可以了。 问题解答 如果还不行, 尽管发邮件到 &a.net.name; 邮件列表来提问。 常见的问题包括: 执行 slattach 时不使用 选项 (这应该不是关键的, 但有些用户报告这样做解决了问题)。 使用替换 (在一些字体下很难看出不同)。 试试ifconfig sl0来查看您的接口状态。 例如, 您可以这样做: &prompt.root; ifconfig sl0 sl0: flags=10<POINTOPOINT> inet 136.152.64.181 --> 136.152.64.1 netmask ffffff00 如果在使用 &man.ping.8; 时得到了 no route to host 这样的提示, 则说明您的路由表可能有问题。 可以用 netstat -r 命令来显示当前的路由: &prompt.root; netstat -r Routing tables Destination Gateway Flags Refs Use IfaceMTU Rtt Netmasks: (root node) (root node) Route Tree for Protocol Family inet: (root node) => default inr-3.Example.EDU UG 8 224515 sl0 - - localhost.Exampl localhost.Example. UH 5 42127 lo0 - 0.438 inr-3.Example.ED water.CS.Example.E UH 1 0 sl0 - - water.CS.Example localhost.Example. UGH 34 47641234 lo0 - 0.438 (root node) 前述的例子来自于一个非常繁忙的系统。 您系统上的这些数字会因网络活动的不同而改变。 设置SLIP服务器 SLIP server 本文提供了在 FreeBSD 上设置 SLIP 服务, 也就是如何配置您的系统, 使其能在远程 SLIP 客户端登录时自动地开启连接的建议。 前提条件 TCP/IP networking 这一节技术性很强, 所以要求您有一定的背景知识。 本节假定您熟悉 TCP/IP 网络协议, 特别是网络和节点寻址、 子网掩码、 子网划分、 路由、 路由协议 (如RIP) 等知识。 在拨号服务器上配置 SLIP 需要这些概念性的知识。 如果您不熟悉它们, 请先阅读 Craig Hunt 的 TCP/IP 网络管理 由O'Reilly & Associates, Inc. 出版 (ISBN 0-937175-82-X), 或 Douglas Comer 有关 TCP/IP 协议的书籍。 modem 此外还假定您已经配置好了您的调制解调器以及相应的系统文件, 以允许通过调制解调器进行登录。 如果您还没有为此配置好系统, 请参见 以了解关于如何进行拨号服务的配置。 您可能也会想看一看 &man.sio.4; 的联机手册, 以了解关于串口设备驱动的进一步信息, 以及 &man.ttys.5;、 &man.gettytab.5;、 &man.getty.8; & &man.init.8; 上关于怎样配置系统来接受来自调制解调器的登录请求的具体情况, 还有 &man.stty.1; 以了解关于设置串口参数 (例如 clocal 表示串口直联) 等。 快速浏览 使用FreeBSD作为SLIP服务器, 在典型配置时, 它是这样工作的: 一个SLIP客户拨号并以专用的login ID登录到FreeBSD SLIP服务器系统。 这个用户使用 /usr/sbin/sliplogin 作为 shell。 sliplogin 程序会在文件 /etc/sliphome/slip.hosts 中查找这个用户的项, 如果找到了匹配项, 就将串行线连接到一个可用的 SLIP 接口, 然后运行 shell 脚本 /etc/sliphome/slip.login 以配置 SLIP 接口。 一个SLIP服务器登录的例子 例如, 如果一个SLIP用户的ID是Shelmerg, 在/etc/master.passwdShelmerg的项如下的所示: Shelmerg:password:1964:89::0:0:Guy Helmer - SLIP:/usr/users/Shelmerg:/usr/sbin/sliplogin Shelmerg登录时, sliplogin在文件 /etc/sliphome/slip.hosts中搜索与用户ID匹配的行;如下所示: Shelmerg dc-slip sl-helmer 0xfffffc00 autocomp sliplogin找到这条区配行, 并将串行线与另一个可用的SLIP接口连起来, 然后执行/etc/sliphome/slip.login脚本: /etc/sliphome/slip.login 0 19200 Shelmerg dc-slip sl-helmer 0xfffffc00 autocomp 如果一切顺利 /etc/sliphome/slip.login 将在 sliplogin 绑定的 SLIP 接口上发出 ifconfig (前述的例子中是 SLIP 接口 0, 这是 slip.login 的第一个参数), 以设置本地 IP 地址 (dc-slip)、 远程 IP 地址 (sl-helmer)、 这一 SLIP 接口的子网掩码 (0xfffffc00), 以及任何其他标志 (autocomp)。 如果发生错误, sliplogin 通常会通过 syslogd 的 daemon facility 记下有用的信息, 前者会把这些信息保存到 /var/log/messages (参见 &man.syslogd.8; 和 &man.syslog.conf.5; 以及 /etc/syslog.conf 的联机手册, 以了解 syslogd 在记录什么, 以及这些内容将被记在哪里)。 内核配置 kernel configuration SLIP &os; 的默认内核 (GENERIC) 提供了 SLIP (&man.sl.4;) 支持; 使用定制的内核时, 您必须把下面的设置加入到配置文件: device sl 默认情况下, 您的 &os; 计算机不会转发包。 如果您希望将 FreeBSD SLIP 服务器作为路由器使用, 就需要修改 /etc/rc.conf 文件, - 并加入一项将 gateway_enable 变量设为 - 的设制。 + 将 gateway_enable 变量设为 + 。 这样下次系统引导时就能够保持这一配置了。 + + 要立即应用这些配置, 可以 root + 的身份运行: - 接下来需要重新启动以便使新设置生效。 + &prompt.root; /etc/rc.d/routing start - 请参见 以了解如何配置 FreeBSD + 请参阅 以了解如何配置 FreeBSD 内核, 并获得在重新配置内核方面的指导。 Sliplogin配置 正如先前所提到的, - /etc/sliphome目录有三个文件构成/usr/sbin/sliplogin的配置 - (参考sliplogin的联机手册&man.sliplogin.8;):slip.hosts, - 定义SLIP用户及有关IP地址; slip.login, 一般只配置SLIP接口; 文件 - slip.logout(可选的), 串行连接终止时, 撤消slip.login所做的修改。 + /etc/sliphome 目录中有三个文件, + 它们共同构成 /usr/sbin/sliplogin 的配置 (参考 + sliplogin 的联机手册 &man.sliplogin.8;): + 用于定义 SLIP 用户和相关的 IP + 地址的 slip.hosts、 + 通常仅用于配置 SLIP 接口的 slip.login, 以及 (可选的) + slip.logout, 用以撤销由 + slip.login 所执行的动作。 配置 <filename>slip.hosts</filename> /etc/sliphome/slip.hosts里的每行包含至少四个元素, 元素之间由空格隔开: SLIP用户的登录ID SLIP连接的本地地址(指SLIP服务器) SLIP连接的远程地址 网络掩网 本地和远程地址可以是主机名 (通过文件/etc/hosts或者域名服务解析为IP地址, 这取决于文件/etc/nsswitch.conf 中的设置), 网络掩网可以是一个 能通过文件/etc/networks解析的名字。 在一个样例系统中, /etc/sliphome/slip.hosts是这样的: # # login local-addr remote-addr mask opt1 opt2 # (normal,compress,noicmp) # Shelmerg dc-slip sl-helmerg 0xfffffc00 autocomp 在这行末尾是一或多个选项: —不压缩报头 — 压缩报头 —如果远程端允许, 压缩报头 —禁用ICMP数据包 (这样就会丢弃所有的ping数据包, 不占用您的带宽) SLIP TCP/IP networking 对SLIP连接的本地及远程地址的选择取决是您是准备在SLIP服务器上使用 TCP/IP 子网还是使用ARP代理 (它并不是真正的ARP代理, 而是我们在本节用于介绍的术语)。 如果您不能确定选择何种方式或者如何分配地址, 请参考"前提条件"()里列出的TCP/IP书籍 或者向您的IP网络管理员请教。 如果打算为您的 SLIP 客户使用一个独立的子网, 就需要先从分配得到的网络号中取出一个子网号, 然后再在这个子网里给每个 SLIP 客户分配 IP 地址。 接下来, 您还需要通过 SLIP 服务器在最近的 IP 路由器上配置一个指向 SLIP 子网的静态路由。 Ethernet - 如果您要使用 代理 ARP的方式, 您需要从SLIP服务器的以太子网中为每个SLIP客户分配IP地址, - 还必须修改/etc/sliphome/slip.login 和 + 如果要使用 代理 ARP + 的方式, 您还需要从 SLIP 服务器的以太子网中为每个 SLIP 客户分配IP地址, + 还必须修改/etc/sliphome/slip.login/etc/sliphome/slip.logout脚本以使用 - &man.arp.8;来管理proxy-ARP在服务器ARP表中的项。 + &man.arp.8;来管理在 SLIP + 服务器 ARP 表中的 代理 ARP 项。 <filename>slip.login</filename> Configuration 典型的/etc/sliphome/slip.login 如下所示: #!/bin/sh - # # @(#)slip.login 5.1 (Berkeley) 7/1/90 # # generic login file for a slip line. sliplogin invokes this with # the parameters: # 1 2 3 4 5 6 7-n # slipunit ttyspeed loginname local-addr remote-addr mask opt-args # /sbin/ifconfig sl$1 inet $4 $5 netmask $6 这个slip.login脚本仅仅为带有相应本地及远程地址和掩码的SLIP接口执行 ifconfig 如果您决定使用ARP代理 方式(而非为您的SLIP客户使用独立的子网), 您的/etc/sliphome/slip.login 应该是这样: #!/bin/sh - # # @(#)slip.login 5.1 (Berkeley) 7/1/90 # # generic login file for a slip line. sliplogin invokes this with # the parameters: # 1 2 3 4 5 6 7-n # slipunit ttyspeed loginname local-addr remote-addr mask opt-args # /sbin/ifconfig sl$1 inet $4 $5 netmask $6 # Answer ARP requests for the SLIP client with our Ethernet addr /usr/sbin/arp -s $5 00:11:22:33:44:55 pub slip.login新加的行arp -s $5 00:11:22:33:44:55 pub 在 SLIP 服务器的 ARP 表中加入了一个表项。 这个ARP项使得每当这个以太网上的其它 IP 节点对 SLIP 客户端 IP 地址进行 ARP 请求时, SLIP 服务器会以自已的以太网MAC地址作为回应。 Ethernet (以太网) MAC address (MAC 地址) 当使用以上的例子时, 一定要将 以太网MAC地址 (00:11:22:33:44:55) 替换成您系统网卡的MAC地址, 否则ARP代理 将完全无法工作! 您可以查看 netstat -i 输出结果以取得以太网 MAC 地址; 输出的第二行应该是这样: ed0 1500 <Link>0.2.c1.28.5f.4a 191923 0 129457 0 116 这行表明这个系统的以太网MAC地址是00:02:c1:28:5f:4anetstat -i输出的以太网MAC地址必须改成用冒号隔开, 并且要单个十六进数前加上。 这是&man.arp.8;要求的格式; 参考&man.arp.8; 的联机手册以获取完整的使用方法。 在编写 /etc/sliphome/slip.login/etc/sliphome/slip.logout 时, 一定要设置 可执行 (execute) 位 (换言之, chmod 755 /etc/sliphome/slip.login /etc/sliphome/slip.logout), 否则 sliplogin将无法执行它。 <filename>slip.logout</filename>配置 /etc/sliphome/slip.logout并不是必需的 (除非您使用了ARP代理), 如果您准备创建它, 这里有一个基本的 slip.logout 脚本的例子: #!/bin/sh - # # slip.logout # # logout file for a slip line. sliplogin invokes this with # the parameters: # 1 2 3 4 5 6 7-n # slipunit ttyspeed loginname local-addr remote-addr mask opt-args # /sbin/ifconfig sl$1 down 如果使用了 代理 ARP, 则可能希望 /etc/sliphome/slip.logout 在用户注销时自动为 SLIP 客户端删除 ARP 项: #!/bin/sh - # # @(#)slip.logout # # logout file for a slip line. sliplogin invokes this with # the parameters: # 1 2 3 4 5 6 7-n # slipunit ttyspeed loginname local-addr remote-addr mask opt-args # /sbin/ifconfig sl$1 down # Quit answering ARP requests for the SLIP client /usr/sbin/arp -d $5 arp -d $5 将删除由 代理 ARP slip.login 在 SLIP 客户程序登录时所生成的 ARP 项。 再次强调: 建立 /etc/sliphome/slip.logout 之后, 一定要设置可执行位 (也就是说, chmod 755 /etc/sliphome/slip.logout)。 路由考虑 SLIP routing 如果没有使用 代理 ARP 的方法来在您的 SLIP 客户机和网络的其余部分 (也可能是 Internet) 之间路由数据包, 您可能需要增加离您最近的默认路由器的静态路由, 以便通过 SLIP 服务器来在 SLIP 客户机子网上进行路由。 静态路由 static routes 向您最近的默认路由添加一个静态路由可以说是很麻烦 (或者说是不可能, 如果您没有权限这么做)。 如果在您的组织中使用多路由器网络, 有些路由器 (比如 Cisco 和 Proteon 生产的) 不但要配置指向 SLIP 子网的路由, 而且还需要配置将哪些静态路由传给其它的路由器。 所以一些专家意见和问题解答对于使基于静态路由表的路由正常工作很有必要。 diff --git a/zh_CN.GB2312/books/handbook/security/chapter.sgml b/zh_CN.GB2312/books/handbook/security/chapter.sgml index 597be3468e..eb7e781336 100644 --- a/zh_CN.GB2312/books/handbook/security/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/security/chapter.sgml @@ -1,3960 +1,3996 @@ Matthew Dillon 这一章的许多内容来自 security(7) 联机手册,其作者是 安全 security 概述 这一章将对系统安全的基本概念进行介绍, 除此之外, 还将介绍一些好的习惯, 以及 &os; 下的一些更深入的话题。 这章的许多内容对于一般的系统和 Internet 安全也适用。 如今, Internet 已经不再像以前那样是一个人人都愿意与您作好邻居的 友善 的地方。 让系统更加安全, 将保护您的数据、 智力财产、 时间, 以及其他很多东西不至于被入侵者或心存恶意的人所窃取。 &os; 提供了一系列工具和机制来保证您的系统和网络的完整及安全。 读完这章,您将了解: 基本的 &os; 系统安全概念。 &os; 中众多可用的密码学设施,例如 DESMD5 如何设置一次性口令验证机制。 如何配置 TCP Wrappers 以便与 inetd 配合使用。 如何在 &os; 5.0 以前的版本上设置 KerberosIV 如何在 &os; 上设置 Kerberos5 如何配置 IPsec 并在 &os;/&windows; 机器之间建构 VPN 如何配置并使用 OpenSSH,以及 &os; 的 SSH 执行方式。 系统 ACL 的概念,以及如何使用它们。 如何使用 Portaudit 工具来审核从 Ports Collection 安装的第三方软件包的安全性。 如何从 &os; 的安全公告中获得有用信息并采取相应措施。 对于进程记帐功能的感性认识, 并了解如何在 &os; 中启用它。 在开始阅读这章之前,您需要: 理解基本的 &os; 和 Internet 概念。 其他安全方面的话题, 则贯穿本书的始终。 例如, 强制性访问控制 (MAC) 在 中进行了介绍, 而 Internet 防火墙则在 中进行了讨论。 介绍 安全是系统管理员自始至终的基本要求。 由于所有的 BSD &unix; 多用户系统都提供了与生俱来的安全性, 因此建立和维护额外的安全机制, 确保用户的 诚实 可能也就是最需要系统管理员考虑的艰巨的工作了。 机器的安全性取决于您设置的安全设施, 而许多安全方面的考虑, 则会与人们使用计算机时的便利性相矛盾。 一般来说, &unix; 系统能够胜任数目众多进程并发地处理各类任务, 这其中的许多进程是以服务身份运行的 — 这意味着, 外部实体能够与它们互联并产生会话交互。 如今的桌面系统, 已经能够达到许多昔日的小型机甚至主机的性能, 而随着这些计算机的联网和在更大范围内完成互联, 安全也成为了一个日益严峻的课题。 系统的安全也应能够应付各种形式的攻击, 这也包括那些使系统崩溃, 或阻止其正常运转, 但并不试图窃取 root 帐号 (破译 root) 的攻击形式。 安全问题大体可分为以下几类: 拒绝服务攻击。 窃取其他用户的帐户。 通过可访问服务窃取root帐户。 通过用户帐户窃取root帐户。 建立后门。 DoS 攻击 拒绝服务攻击 (DoS) 安全 DoS 攻击 拒绝服务攻击 (DoS) 拒绝服务攻击 (DoS) 拒绝式服务攻击是侵占机器所需资源的一种行为。 通常, DoS 攻击采用暴力(brute-force)手段通过压倒性的流量来破坏服务器和网络栈, 以使机器崩溃或无法使用。 某些 DoS 攻击则利用在网络栈中的错误, 仅用一个简单的信息包就可以让机器崩溃, 这类情况通常只能通过给内核打补丁来修复。 在一些不利的条件下, 对服务器的攻击能够被修复, 只要适当地修改一下系统的选项来限制系统对服务器的负荷。 顽强的网络攻击是很难对付的。 例如,一个欺骗性信息包的攻击, 无法阻止入侵者切断您的系统与Internet的连接。 它不会使您的机器死掉,但它会把Internet连接占满。 security 窃取用户帐户 窃取用户帐户要比D.o.S.攻击更加普遍。 许多系统管理员仍然在他们的服务器上运行着基本的 telnetdrlogindrshdftpd 服务。 这些服务在默认情况下不会以加密连接来操作。 结果是如果您的系统有中等规模大小的用户群, 在通过远程登录的方式登录到您系统的用户中, 一些人的口令会被人窃取。 仔细的系统管理员会从那些成功登录系统的远程访问日志中寻找可疑的源地址。 通常必须假定,如果一个入侵者已经访问到了一个用户的帐户, 那么它就可能使自己成为 root。 然而, 事实是在一个安全和维护做得很好的系统中, 访问用户的帐户不一定会让入侵者成为 root。 这个差别是很重要的,因为没有成为 root 则入侵者通常是无法隐藏它的轨迹的, 而且, 如果走运的话, 除了让用户的文件乱掉和系统崩溃之外, 它不能做什么别的事情。 窃取用户帐户是很普遍的事情, 因为用户往往不会对系统管理员的警告采取措施。 security 后门 系统管理员必须牢牢记住,可能有许多潜在的方法会使他们机器上的 root 用户受到威胁。入侵者可能知道 root 的口令,而如果在以 root 权限运行的服务器上找到一个缺陷 (bug), 就可以通过网络连接到那台服务器上达到目的;另外, 一旦入侵者已经侵入了一个用户的帐户, 可以在自己的机器上运行一个 suid-root 程序来发现服务器的漏洞, 从而让他侵入到服务器并获取 root。 攻击者找到了入侵一台机器上 root 的途径之后, 他们就不再需要安装后门了。许多 root 漏洞被发现并修正之后, 入侵者会想尽办法去删除日志来消除自己的访问痕迹, 所以他们会安装后门。 后门能给入侵者提供一个简单的方法来重新获取访问系统的 root 权限, 但它也会给聪明的系统管理员一个检测入侵的简便方法。 让入侵者无法安装后门事实上对您的系统安全是有害的, 因为这样并不会修复那些侵入系统的入侵者所发现的新漏洞。 安全的管理方法应当使用像 洋葱皮 一样多层次的方法来实现, 这些措施可以按下面的方式进行分类: 确保 root 和维护人员帐户的安全。 确保 root – 以root用户权限运行的服务器和suid/sgid可执行程序的安全。 确保用户帐户的安全。 确保口令文件的安全。 确保内核中核心组件、直接访问设备和文件系统的安全。 快速检测系统中发生的不适当的变化。 做个偏执狂。 这一章的下一节将比较深入地讲述上面提到的每一个条目。 确保 &os; 的安全 security 确保 &os; 的安全 命令与协议 在这份文档中,我们使用 粗体 来表示应用程序, 并使用 单倍距 字体来表示命令。 这样的排版区分能够有效地区分类似 ssh 这样的概念, 因为它既可以表示命令,又可以表示协议。 接下来的几节中, 将介绍在这一章中 前一节 中所介绍的那些加强 &os; 系统安全性的手段。 确保 <username>root</username> 和维护人员帐户的安全 su 首先,如果您没有确保 root 帐户的安全, 就没必要先劳神确保用户帐户的安全了。绝大多数系统都会指派一个口令给 root 帐户。 我们的第一个假定是,口令 总是 不安全的。 这并不意味着您要把口令删掉。 口令通常对访问机器的控制台来说是必须的。 也就是说, 您应该避免允许在控制台以外的地方使用口令, 甚至包括使用 &man.su.1; 命令的情形。 例如,确信您的 pty 终端在 /etc/ttys 文件中被指定为 insecure (不安全),这将使直接通过 telnetrlogin 登录 root 会不被接受。 如果使用如 sshd 这样的其他登录服务, 也要确认直接登录 root 是关闭的。您可以通过编辑 /etc/ssh/sshd_config 文件来做到这一点,确信 PermitRootLogin 被设置成 NO。 考虑到每一种访问方法 — 如FTP这样的服务, 以免因为它们而导致安全性的损失。 直接登录 root 只有通过系统控制台才被允许。 wheel 当然, 作为一个系统管理员, 您应当获得 root身份, 因此, 我们开了一些后门来允许自己进入。 但这些后门只有在经过了额外的口令确认之后才能使用。 一种让 root 可访问的方法是增加适当的用户帐户到 wheel 组 (在 /etc/group 中)。wheel 组中的用户成员可以使用 su 命令来成为 root。 绝对不应该通过在口令项中进行设置来赋予维护人员天然的 wheel 组成员身份。 维护人员应被放置在 staff 组中,然后通过 /etc/group 文件加入到 wheel 组。事实上,只有那些需要以 root 身份进行操作的用户才需要放进 wheel 组中。 当然,也可以通过 某种其它的验证手段,例如 Kerberos,可以通过 root 帐户中的 .k5login 文件来允许执行 &man.ksu.1; 成为 root ,而不必把它们放进 wheel 组。 这可能是一种更好的解决方案, 因为 wheel 机制仍然可能导致入侵者获得 root ,如果他拿到了口令文件,并能够进入职员的帐户。 尽管有 wheel 比什么都没有要强一些, 但它并不是一种绝对安全的办法。 可以使用 &man.pw.8; 命令来完全禁止某一个帐号: &prompt.root;pw lock staff 这将阻止用户使用任何方法登录,包括 &man.ssh.1;。 另一个阻止某个帐户访问的方法是使用一个 * 字符替换掉加密后的口令。 这将不会与任何加密后的口令匹配,从而阻止了用户的访问。 举例说明: foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh 应被改为: foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh 这会阻止用户 foobar 使用传统的方式登录。 但是对于使用了 Kerberos 或者配置了 &man.ssh.1; 公钥/密钥对的情况下,用户依然可以访问。 这些安全机制同样假定, 从严格受限的机器向限制更宽松的机器上登录。 例如, 如果您的服务器运行了所有的服务,那么,工作站应该什么都不运行。 为了让工作站尽可能地安全,应该避免运行任何没有必要的服务, 甚至不运行任何服务。 另外, 也应该考虑使用带口令保护功能的屏幕保护程序。 毋庸置疑, 如果攻击者能够物理地接触您的工作站, 那么他就有能力破坏任何安全设施,这确实是我们需要考虑的一个问题,但同样地, 真正能够物理接触您的工作站或服务器并实施攻击的人在现实生活中并不常见, 绝大多数攻击来自于网络, 而攻击者往往无法物理地接触服务器或工作站。 KerberosIV 使用类似 Kerberos 这样的工具,也为我们提供了使用一个工具来禁用某个用户, 或修改他们的口令, 并在所有机器上立即生效的方法。 如果员工的帐号被窃取, 能够在所有的其他机器上生效的口令变更将很有意义。如果口令分散地保存在多个机器上, 一次修改 N 台机器上的口令很可能是一件痛苦的事情。 此外, Kerberos 还能够提供更多的限制,除了 Kerberos 令牌有很好的过期机制之外, 它还能够强制用户在某个特定的期限内修改口令(比如说,每月一次). 确保以root用户权限运行的服务器和suid/sgid可执行程序的安全 ntalk comsat finger sandboxes sshd telnetd rshd rlogind 谨慎的管理员只运行他们需要的服务, 不多, 不少。 要当心第三方的服务程序很可能有更多的问题。 例如, 运行旧版的 imapdpopper 无异于将 root 令牌拱手送给全世界的攻击者。 永远不要运行那些您没有仔细检查过的服务程序, 另外也要知道, 许多服务程序并不需要以 root 的身份运行。 例如, ntalkcomsat, 以及 finger 这些服务, 都能够以一种被称作 沙盒 的特殊用户的身份运行。 除非您已经解决掉了许多麻烦的问题, 否则沙盒就不是完美的, 但洋葱式安全规则仍然成立: 如果有人设法攻破了在沙盒中运行的程序, 那么在做更多坏事之前, 他们还必须想办法攻破沙盒本身的限制。 攻击者需要攻破的层次越多, 他们成功的可能性就越小。 过去, 破解 root 的漏洞几乎在所有以 root 身份运行的服务上都发现过, 包括那些基本的系统服务。 如果您的机器只打算向外界提供 sshd 登录, 而用户不会使用 telnetdrshd 甚至 rlogind 登录, 就应该毫不犹豫地关闭它们! &os; 现在默认在沙盒中运行 ntalkd, comsat, 以及 finger。此外, &man.named.8; 也可以这样运行。 /etc/defaults/rc.conf 中包括了如何如此运行 named 的方法,只是这些内容被注释掉了。 如何升级或安装系统将决定这些沙盒所使用的特殊用户是否被自动安装。 谨慎的系统管理员将根据需要研究并实现沙盒。 sendmail 此外,还有一些服务通常并不在沙盒中运行: sendmail, popper, imapd, ftpd, 以及一些其他的服务。当然,它们有一些替代品,但安装那些服务可能需要做更多额外的工作。 可能必须以 root 身份运行这些程序, 并通过其他机制来检测入侵。 系统中另一个比较大的 root 漏洞 是安装在其中的 suid-root 和 sgid 的可执行文件。绝大多数这类程序, 例如 rlogin, 被存放于 /bin, /sbin, /usr/bin, 或 /usr/sbin 中。 尽管并没有 100% 的安全保证,但系统默认的 suid 和 sgid 可执行文件通常是相对安全的。 当然,偶尔也会发现一些存在于这些可执行文件中的 root 漏洞。1998年,Xlib 中发现了一处 root 漏洞,这使得 xterm (通常是做了suid的) 变得可以入侵。 做得安全些, 总比出现问题再后悔要强。 因此,谨慎的管理员通常会限制 suid 可执行文件, 并保证只有员工帐号能够执行它们,或只开放给特定的用户组,甚至彻底干掉 (chmod 000) 任何 suid 可执行文件, 以至于没有人能够执行它们。没有显示设备的服务器通常不会需要 xterm 可执行文件。 sgid 可执行文件通常同样地危险。 一旦入侵者攻克了sgid-kmem,那么他就能够读取 /dev/kmem 并进而读取经过加密的口令文件, 从而窃取任何包含口令的帐号。另外,攻破了 kmem 的入侵者能够监视通过 pty 传送的按键序列,即使用户使用的是安全的登录方式。 攻破了 tty 组的用户则能够向几乎所有用户的 tty 写入数据。如果用户正在运行一个终端程序,或包含了键盘模拟功能的终端仿真程序, 那么,入侵者能够以那个用户的身份执行任何命令。 确保用户帐户的安全 用户帐号的安全通常是最难保证的。虽然您可以为您的员工设置严苛的登录限制, 并用 星号 替换掉他们的口令, 但您可能无法对普通的用户这么做。 如果有足够的决策权, 那么在保证用户帐号安全的斗争中或许会处于优势, 但如果不是这样, 您能做的只是警惕地监控这些帐号的异动。 让用户使用 ssh 或 Kerberos 可能会有更多的问题, 因为需要更多的管理和技术支持, 尽管如此, 与使用加密的口令文件相比, 这仍不失为一个好办法。 确保口令文件的安全 能够确保起作用的唯一一种方法, 是将口令文件中尽可能多的口令用星号代替, 并通过 ssh 或 Kerberos 来使用这些账号。 即使只有 root 用户能够读取加密过的口令文件 (/etc/spwd.db), 入侵者仍然可能设法读到它的内容, 即使他暂时还无法写入这个文件。 您的安全脚本应该经常检查并报告口令文件的异动 (参见后面的 检查文件完整性 一节)。 确保内核中内核设备、直接访问设备和文件系统的安全 如果攻击者已经拿到了 root 那么他就有能力作任何事情, 当然, 有一些事情是他们比较喜欢干的。 例如, 绝大多数现代的内核都包括一个内建的听包设备。 在 &os; 中,这个设备被称作 bpf 。攻击者通常会尝试在攻克的系统上运行它。 如果您不需要 bpf 设备提供的功能,那么,就不要把它编入内核。 sysctl - 但即使已经关掉了 bpf - 设备,您仍然需要担心 - /dev/mem/dev/kmem 。 - 就事论事地说,攻击者仍然能够通过直接访问的方式写入磁盘设备。同样地, - 还有一个被称作模块加载器, &man.kldload.8; 的机制,也会包含潜在的危险。 - 尝试入侵企业网络的入侵者会尝试在正在运行的内核上安装他自己的 - bpf 设备,或其他听包设备。为了防止这些问题, - 需要抬高内核安全级, 至少调整到 1。 可以通过对 kern.securelevel - 执行 sysctl 来完成这个任务。 一旦把安全级调整到1, - 对于直接访问设备的写入操作将被拒绝, 而特殊的 chflags - 标记, 如 schg, 也将强制执行。 一定要在重要的启动执行文件、 - 目录和脚本文件上设置 schg 标记 — - 不要漏过在安全级生效之前将被运行的任何文件。 这可能做得有些过火, - 并将导致在较高安全级上运行时升级系统变得困难。 您也可以略微做些妥协, - 即以较高的安全级运行, 但并不将系统文件和目录配置为 schg。 - 另一种可行的方法是把 - //usr 以只读方式挂接。 - 请注意, 如果保护措施做的过分的严苛, 则可能导致入侵检测无法进行, - 而这种检测是安全中十分重要的一环。 + 但是, 即使您关闭了 bpf + 设备, 仍需要关注 + /dev/mem 和 + /dev/kmem。 就事论事地说, + 入侵者仍然能通过直接访问的方式写入磁盘设备。 另外, + 还有一个称作模块加载器的内核机制, &man.kldload.8;。 + 有进取心的入侵者, 可以经由这一机制, + 在正在运行的内核中通过 KLD 模块来安装自己的 bpf, + 或其它听包设备。 为了避免这些问题, 您必须将内核的安全级别提高到至少 1。 + + 内核的安全级别可以通过多种方式来设置。 最简单的设置正在运行的内核安全级的方法, + 是使用 sysctl 来设置内核变量 + kern.securelevel + + &prompt.root; sysctl kern.securelevel=1 + + 默认情况下, &os; 内核启动时的安全级别是 -1。 + 除非管理员或 &man.init.8; 由于启动脚本加以改变, 安全级别会继续保持为 -1。 + 在系统启动过程中, 可以在 /etc/rc.conf 文件中, + 将变量 kern_securelevel_enable 变量设置为 + YES 并将 kern_securelevel + 变量设置为希望的安全级别来提高它。 + + 默认情况下, 在启动脚本执行完之后, &os; 的安全级别设置是 -1。 + 这称作 不安全模式, 因为文件的不可修改标记 (immutable flag) + 可以改为关闭, 而且全部设备可以直接进行读写, 等等。 + + 一旦将安全级别设置为 1 或更高, 则只允许追加 (append-only) + 和不可修改标记会被执行, 而且不可以关闭。 直接访问裸设备则会被拒绝。 + 更高的安全级别会施加进一步的访问限制。 关于安全级别的完整介绍, + 请参阅联机手册 &man.security.7; (对于 &os; 7.0 之前的版本, + 则是联机手册 &man.init.8;)。 + + + 将安全级别调整到 1 或更高可能会导致 X11 + (访问 /dev/io 会被阻止), 或从源代码联编 &os; + (这一过程中的 installworld + 部分需要临时取消一些文件上的只允许追加和不可修改标记) 出现一些问题, + 并导致一些其他小问题。 有些时候, 例如 X11 的情况, + 可以通过在引导过程中较早的阶段启动 &man.xdm.1; + 来绕过, 因为这时安全级别还很低。 类似这样的方法, + 对于某些安全级别或限制有可能不可用。 提前做好计划可能会是个好主意。 + 理解不同的安全级别所施加的限制非常重要, + 因为一些限制可能让系统变得很难使用。 另外, + 了解它们也有助于理性地配置默认设定。 + + + 如果内核的安全级别设为 1 或更高, + 在重要的启动程序、 目录和脚本文件上设置 schg 标记 + (也就是在系统启动到设置安全级别之前运行的程序和它们的配置) 就有意义了。 + 然而, 这样做也可能有些过火, 而由于系统运行于较高的安全级别, + 升级系统也会变得困难的多。 作为妥协, 可以让系统以较高的安全级别运行, + 但并不将所有的启动文件都配置 schg 标记。 + 另一种方法是将 //usr 以只读模式挂载。 + 请注意, 过分严苛的安全配置很可能限制您检测入侵的能力。 检查文件完整性: 可执行文件,配置文件和其他文件 当实施严格的限制时,往往会在使用的方便性上付出代价。例如,使用 chflags 来把 schg 标记 应用到 //usr 中的绝大多数文件上可能会起到反作用, 因为尽管它能够保护那些文件, 但同时也使入侵检测无法进行。 层次化安全的最后一层可能也是最重要的 — 检测。 如果无法检测出潜在的入侵行为, 那么安全的其他部分可能相对来讲意义可能就不那么大了 (或者,更糟糕的事情是, 那些措施会给您安全的假象)。 层次化安全最重要的功能是减缓入侵者, 而不是彻底不让他们入侵, 这样才可能当场抓住入侵者。 检测入侵的一种好办法是查找那些被修改、 删除或添加的文件。 检测文件修改的最佳方法是与某个 (通常是中央的) 受限访问的系统上的文件进行比对。 在一台严格限制访问的系统上撰写您的安全脚本通常不能够被入侵者察觉, 因此,这非常重要。为了最大限度地发挥这一策略的优势,通常会使用只读的 NFS, 或者设置 ssh 钥匙对以便为其他机器提供访问。除了网络交互之外, NFS可能是一种很难被察觉的方法 — 它允许您监控每一台客户机上的文件系统, 而这种监控几乎是无法察觉的。如果一台严格受限的服务器和客户机是通过交换机连接的, 那么 NFS 将是一种非常好的方式。 不过,如果那台监控服务器和客户机之间通过集线器 (Hub),或经过许多层的路由来连接,则这种方式就很不安全了, 此时,应考虑使用 ssh ,即使这可以在审计记录中查到。 一旦为这个受限的机器赋予了至少读取它应监控的客户系统的权限, 就应该为实际的监控撰写脚本。以 NFS 挂接为例,可以用类似 &man.find.1; 和 &man.md5.1; 这样的命令为基础来完成我们所需的工作。 最好能够每天对被控机的所有执行文件计算一遍 md5,同时,还应以更高的频率测试那些 /etc/usr/local/etc 中的控制文件。一旦发现了不匹配的情形,监控机应立即通知系统管理员。 好的安全脚本也应该检查在系统分区,如 //usr 中是否有新增或删除的可执行文件,以及不适宜的 suid 。 如果打算使用 ssh 来代替 NFS,那么撰写安全脚本将变得困难许多。 本质上,需要在脚本中使用 scp 在客户端复制文件, 另一方面,用于检查的执行文件 (例如 find) 也需要使用 scp 传到客户端,因为 ssh 客户程序很可能已经被攻陷。 总之,在一条不够安全的链路上 ssh 可能是必须的, 但也必须应付它所带来的难题。 安全脚本还应该检查用户以及职员成员的权限设置文件: .rhosts.shosts.ssh/authorized_keys 等等。 这些文件可能并非通过 MD5 来进行检查。 如果您的用户磁盘空间很大, 检查这种分区上面的文件可能非常耗时。 这种情况下, 采用标志来禁止使用 suid 可执行文件将是一个好主意。 您可能会想看看 nosuid 选项 (参见 &man.mount.8;)。 尽管如此, 这些扫描仍然应该至少每周进行一次, 这样做的意义并不是检测有效的攻击, 而是检查攻击企图。 进程记帐 (参见 &man.accton.8;) 是一种相对成本较低的, 可以帮助您在被入侵后评估损失的机制。 对于找出入侵者是如何进入系统的这件事情来说, 它会非常的有所助益,特别是当入侵者什么文件都没有修改的情况下。 最后, 安全脚本应该处理日志文件, 而日志文件本身应该通过尽可能安全的方法生成 — 远程 syslog 可能非常有用。 入侵者会试图掩盖他们的踪迹, 而日志文件对于希望了解入侵发生时间的系统管理员来说则显得尤为重要。 保持日志文件的永久性记录的一种方法是在串口上运行系统控制台, 并在一台安全的机器上收集这些信息。 偏执 带点偏执不会带来伤害。作为一种惯例, 系统管理员在不影响使用的便利的前提下可以启用任何安全特性,此外, 在经过深思熟虑之后,也可以增加一些 确实会 让使用变得不那么方便的安全特性。 更重要的是,有安全意识的管理员应该学会混合不同的安全策略 — 如果您逐字逐句地按照这份文档来配置您的机器, 那无异于向那些同样能得到这份文档的攻击者透露了更多的信息。 拒绝服务攻击 拒绝服务 (DoS) 这一节将介绍拒绝服务攻击。 DoS 攻击通常是基于数据包的攻击, 尽管几乎没有任何办法来阻止大量的伪造数据包耗尽网络资源, 但通常可以通过一些手段来限制这类攻击的损害,使它们无法击垮服务器: 限制服务进程 fork。 限制 springboard 攻击 (ICMP 响应攻击, ping 广播,等等)。 使内核路由缓存过载。 一种比较常见的 DoS 攻击情形, 是通过攻击复制进程 (fork) 的服务, 使其产生大量子进程, 从而是其运行的机器耗尽内存、 文件描述符等资源, 直到服务器彻底死掉。 inetd (参见 &man.inetd.8;) 提供了许多选项来限制这类攻击。 需要注意的是, 尽管能够阻止一台机器彻底垮掉, 但通常无法防止服务本身被击垮。 请仔细阅读 inetd 的联机手册, 特别是它的 以及 这三个选项。 伪造 IP 攻击能够绕过 inetd 选项, 因此, 这些选项需要配合使用。 某些独立的服务器也有类似的限制参数。 例如, Sendmail 就提供了自己的 选项, 它通常比 Sendmail 的负载限制选项更为有效, 因为服务器负载的计算有滞后性。 您可以在启动 sendmail 时指定一个 MaxDaemonChildren 参数; 把它设的足够高以便承载您所需要的负荷, 当然, 不要高到足以让运行 Sendmail 的机器死掉。 此外, 以队列模式 () 运行 Sendmail 并把服务程序 (sendmail -bd) 和队列执行程序分别执行 (sendmail -q15m) 也是一个好主意。 如果您希望保证队列的实时性, 可以考虑使用更短的间隔, 例如 , 但同时也需要指定一个合理的子进程数, 也就是通过 MaxDaemonChildren 选项以免 那个 Sendmail 造成重叠的故障。 Syslogd 可以被直接地攻击,因此, 强烈建议只要可行,就在启动它的时候加上 参数, 其他情况下,则至少应该加上 对于基于连接的服务,例如 TCP Wrapper 的 reverse-identd, 都应该格外的小心, 因为它们都可能直接遭受攻击。 一般情况下, 基于安全考虑, 不应使用 TCP Wrapper 所提供的 reverse-ident 这样的功能。 此外, 将内部服务保护起来, 阻止来自其他主机的访问也十分重要, 这些工作可以通过设置边界路由器来完成。 主要的想法, 是阻止来自您的 LAN 以外的访问, 这有助于避免 root 受到攻击。 尽可能配置排他式的防火墙, 例如, 用防火墙阻止所有的网络流量 除了 端口 A、B、 C、D,以及 M-Z。 通过采用这种方法, 您可以很容易地将低端口的访问阻止在外, 而又不难配置使防火墙放过那些明确需要开放的服务, 例如 named (如果您的机器准备作为域的主要解析服务器), ntalkdsendmail,以及其他可以从 Internet 访问的服务。 如果您尝试以其他方式配置防火墙 — 采用比较宽松的策略, 那么您将很有可能忘记 关掉 一两个服务, 或者在增加了一些服务之后忘记更新防火墙策略。 尽管如此, 仍然可以考虑允许让数据进入编号较高的那一部分端口, 这将保证那些需要这样特性的服务能够正常工作, 而又不影响低端口服务的安全性。 此外, 还应注意到 &os; 允许您来控制动态绑定的端口的范围, 即一系列 net.inet.ip.portrange 变量,通过 sysctl 来完成设置。 (sysctl -a | fgrep portrange)。 这使得您完成较复杂的防火墙策略变得易如反掌。 例如, 您可能希望普通的高段端口的起止范围是 4000 到 5000, 而更高范围则是 49152 到 65535, 随后在防火墙中阻止低于 4000 的所有端口 (当然, 除了那些特地为 Internet 访问而开设的端口)。 另一种常被称作 springboard 的攻击也是非常常见的 DoS 攻击 — 它通过使服务器产生其无法处理的响应来达到目的。 最常见的攻击就是 ICMP ping 广播攻击。 攻击者通过伪造 ping 包, 将其源 IP 设置为希望攻击的机器的 IP。 如果您的边界路由器没有进行禁止 ping 广播地址的设置, 则您的网络将最终陷于响应伪造的 ping 包之中, 特别是当攻击者同时使用了多个不同的网络时。 广播攻击能够产生超过 120 兆位的瞬时流量。 另一种常见的针对 ICMP 错误报告系统的 springboard 攻击, 通过建立可以生成 ICMP 出错响应的包, 攻击者能够攻击服务器的网络下行资源, 并导致其上行资源耗尽。 这种类型的攻击也可以通过耗尽内存来使得使得被攻击的服务器崩溃, 特别是当这些服务器无法足够快地完成 ICMP 响应的时候。 较新的内核可以通过调整 sysctl 变量 net.inet.icmp.icmplim 来限制这种攻击。 最后一类主要的 springboard 是针对某些 inetd 的内部服务, 例如 udp echo 服务进行的。 攻击者简单地伪造一个来自服务器 A 的 echo 口的 UDP 包, 然后将这个包发到 B 的 echo 口。 于是, 两台服务器将不停地将包弹给对方。 攻击者能够将两台服务器的这种服务都耗竭, 并且通过这种方式, 只需要很少的包就可以让 LAN 超载。 类似的问题对 chargen 口也是存在的。 好的系统管理员应该关闭这些 inetd 的测试服务。 伪造的包攻击也可以用来使内核的路由缓存过载。 请参考 net.inet.ip.rtexpirertminexpire, 以及 rtmaxcache sysctl 参数。 伪造的包可以用随机的源 IP 攻击, 使得内核在路由表中产生一个临时的缓存项, 它可以通过 netstat -rna | fgrep W3 看到。 这些路由通常需要 1600 秒才会过期。 如果内核发现路由表变得太大, 它会动态地降低 rtexpire 但以 rtminexpire 为限。 这引发了两个问题: 在访问量不大的服务器上, 内核对于突然袭击的反应不够快。 rtminexpire 的值没有低到让内核在此类攻击时活下去的程度。 如果您的服务器通过 T3 或更快的线路接入 Internet, 那么通过 &man.sysctl.8; 来手动地降低 rtexpirertminexpire 就非常必要。 当然,绝不要把它们设置为零 (除非您想让机器崩溃) 将这两个参数设置为 2 通常已经足以抵御这类攻击了。 Kerberos 和 SSH 的访问问题 ssh KerberosIV 如果您打算使用, 那么 Kerberos 和 ssh 都有一些需要解决的问题。 Kerberos 5 是一个很棒的验证协议, 但使用了它的 telnetrlogin 应用程序有一些 bug, 使得它们不适合处理二进制流。 而且, 除非使用了 选项, 否则默认情况下 Kerberos 并不加密会话。 ssh 在默认时加密所有的会话内容。 除了默认转发加密密钥之外, ssh 在所有的其他方面都做得很好。 这意味着如果您持有供您访问系统其他部分密钥的工作站作了很好的安全防护, 而您连到了一台不安全的机器上, 则您的密钥可能被别人获得。 尽管实际的密钥并没有被泄漏, 但由于 ssh 会在您登录的过程中启用一个转发端口, 如果攻击者拿到那台不安全的机器上的 root 那么他将能够利用那个端口来使用您的密钥, 从而访问您能够访问的那些机器。 我们建议您在使用 ssh 时配合 Kerberos 来完成工作人员的登录过程。 Ssh 在编译时可以加入 Kerberos 支持。 在减少了潜在地暴露 ssh 密钥的机会的同时, 它还能够通过 Kerberos 来保护口令。 Ssh 密钥只有在做过安全防护的机器上执行自动操作时才应使用 (这是 Kerberos 不适合的情形)。 此外,我们还建议您要么在 ssh 配置中关闭密钥转发, 要么在 authorized_keys 中增加 from=IP/DOMAIN 选项, 来限制这些密钥能够登录的来源机器。 Bill Swingle 部分重写、更新来自 DES、 Blowfish、 MD5, 以及 Crypt 安全 密码 crypt Blowfish DES MD5 &unix; 系统上的每个用户都有一个与其帐户关联的口令。 很显然, 密码只需要被这个用户和操作系统知道。 为了保证口令的私密性, 采用了一种称为 单向散列 的方法来处理口令, 简单地说, 很容易从口令推算出散列值, 反之却很难。 其实, 刚才那句话可能并不十分确切: 因为操作系统本身并不 真的 知道您的口令。 它只知道口令 经过加密的形式。 获取口令对应 明文 的唯一办法是采用暴力在口令可能的区间内穷举。 不幸的是,当 &unix; 刚刚出现时,安全地加密口令的唯一方法基于DES, 数据加密标准 ( the Data Encryption Standard )。 于是这给那些非美国居民带来了问题, 因为 DES 的源代码在当时不能被出口到美国以外的地方, &os; 必须找到符合美国法律,但又要与其他那些使用 DES 的 &unix; 版本兼容的办法。 解决方案是把加密函数库分割为两个, 于是美国的用户可以安装并使用 DES 函数库, 而国际用户则使用另外一套库提供的一种可以出口的加密算法。 这就是 &os; 为什么使用 MD5 作为它的默认加密算法的原因。 MD5 据信要比 DES 更安全,因此,安装 DES 更多地是出于兼容目的。 识别您采用的加密算法 现在这个库支持 DES、 MD5 和 Blowfish 散列函数。默认情况下, &os; 使用 MD5 来加密口令。 可以很容易地识别 &os; 使用哪种加密方法。 检查 /etc/master.passwd 文件中的加密密码是一种方法。 用 MD5 散列加密的密码通常要比用 DES 散列得到的长一些, 并且以 $1$ 字符开始。 以 $2a$ 开始的口令是通过 Blowfish 散列函数加密的。 DES 密码字符没有任何可以用于鉴别的特征, 但他们要比 MD5 短, 并且以不包括 $ 在内的 64 个可显示字符来表示, 因此相对比较短的、没有以美元符号开头的字符串很可能是一个 DES 口令。 新口令所使用的密码格式是由 /etc/login.conf 中的 passwd_format 来控制的, 可供选择的算法包括 des, md5blf。 请参考 &man.login.conf.5; 联机帮助以获得更进一步的详情。 一次性口令 一次性口令 安全 一次性口令 默认情况下, &os; 提供了 OPIE (One-time Passwords In Everything) 支持, 它默认使用 MD5 散列。 下面将介绍三种不同的口令。 第一种是您常用的 &unix; 风格或 Kerberos 口令; 我们在后面的章节中将称其为 &unix; 口令。 第二种是使用 OPIE 的 &man.opiekey.1; 程序生成, 并为 &man.opiepasswd.1; 以及登录提示所接受的一次性口令,我们称其为 一次性口令。 最后一类口令是您输入给 opiekey 程序 (有些时候是 opiepasswd 程序) 用以产生一次性口令的秘密口令,我们称其为 秘密口令 或通俗地简称为 口令 秘密口令和您的 &unix; 口令毫无关系, 尽管可以设置为相同的, 但不推荐这么做。 OPIE 秘密口令并不像旧式的 &unix; 口令那样只能限于8位以内在 &os; 中标准的登录口令最长不能超过 128 个字符。。 您想要用多长的口令都可以。 有六、七个词的短句是很常见的选择。 在绝大多数时候, OPIE 系统和 &unix; 口令系统完全相互独立地工作。 除了口令之外, 对于 OPIE 还有两组至关重要的数据。 其一被称作 种子key, 它包括两个字符和五个数字。 另一个被称作 迭代轮数, 这是一个 1 到 100 之间的数字。 OPIE 通过将种子加到秘密口令后面, 并执行迭代轮数那么多次的 MD4/MD5 散列运算来得到结果, 并将结果表示为 6 个短的英文单词。 这 6 个英文单词就是您的一次性口令。 验证系统 (主要是 PAM) 会记录上次使用的一次性口令, 如果用户提供的口令的散列值与上次一致, 则可以通过身份验证。 由于使用了单向的散列函数, 因此即使截获了上次使用的口令, 也没有办法恢复出下次将要使用的口令; 每次成功登录都将导致迭代轮数递减, 这样用户和登录程序将保持同步。 每当迭代轮数减少到 1 时, 都必须重新初始化 OPIE。 接下来将讨论和每个系统有关的三个程序。 opiekey 程序能够接收带迭代计数, 种子和秘密口令, 并生成一个一次性口令, 或一张包含连续的一组一次性口令的表格。 opiepasswd 程序用于初始化 OPIE, 并修改口令、 迭代次数、种子和一次性口令。 和 opieinfo 程序可以用于检查相应的验证数据文件 (/etc/opiekeys) 并显示执行命令的用户当前的迭代轮数和种子。 我们将介绍四种不同的操作。 在安全的连接上通过 opiepasswd 来第一次设置一次性口令, 或修改口令及种子。 第二类操作是在不安全的连接上使用 opiepasswd 辅以在安全连接上执行的 opiekey 来完成同样的工作。 第三类操作是在不安全的连接上使用 opiekey 来登录。 最后一类操作是采用 opiekey 来生成大批的密码, 以便抄下来或打印出来,在没有安全连接的地方使用。 安全连接的初始化 第一次初始化 OPIE 时, 可以使用 opiepasswd 命令: &prompt.user; opiepasswd -c [grimreaper] ~ $ opiepasswd -f -c Adding unfurl: Only use this method from the console; NEVER from remote. If you are using telnet, xterm, or a dial-in, type ^C now or exit with no password. Then run opiepasswd without the -c parameter. Using MD5 to compute responses. Enter new secret pass phrase: Again new secret pass phrase: ID unfurl OTP key is 499 to4268 MOS MALL GOAT ARM AVID COED Enter new secret pass phrase:Enter secret password: 提示之后, 应输入一个密码或口令字。 请留意, 这并不是您用于登录的口令, 它用于生成一次性的登录密钥。 ID 这一行给出了所需的参数: 您的登录名, 迭代轮数, 以及种子。 登录系统时, 它能够记住这些参数并呈现给您, 因此无需记忆它们。 最后一行给出了与您的秘密口令对应的、用于登录的一个一次性口令; 如果您立即重新登录, 则它将是您需要使用的那个口令。 不安全连接初始化 如果您需要通过一个不安全的连接来初始化, 则应首先在安全连接上执行过一次 opiekey; 您可能希望在可信的机器的 shell 提示符下完成。 此外还需要指定一个迭代轮数 (100 也许是一个较好的选择) 也可以选择一个自己的种子, 或让计算机随机生成一个。 在不安全的连接上 (当然是连到您希望初始化的机器上),使用 opiepasswd 命令: &prompt.user; opiepasswd Updating unfurl: You need the response from an OTP generator. Old secret pass phrase: otp-md5 498 to4268 ext Response: GAME GAG WELT OUT DOWN CHAT New secret pass phrase: otp-md5 499 to4269 Response: LINE PAP MILK NELL BUOY TROY ID mark OTP key is 499 gr4269 LINE PAP MILK NELL BUOY TROY 为了接受默认的种子, 按下 Return (回车)。 在输入访问口令之前, 到一个有安全连接的机器上, 并给它同样的参数: &prompt.user; opiekey 498 to4268 Using the MD5 algorithm to compute response. Reminder: Don't use opiekey from telnet or dial-in sessions. Enter secret pass phrase: GAME GAG WELT OUT DOWN CHAT 现在回到不安全的连接, 并将生成的一次性口令粘贴到相应的应用程序中。 生成一个一次性密码 一旦初始化过 OPIE, 当您登录时将看到类似这样的提示: &prompt.user; telnet example.com Trying 10.0.0.1... Connected to example.com Escape character is '^]'. FreeBSD/i386 (example.com) (ttypa) login: <username> otp-md5 498 gr4269 ext Password: 另外, OPIE 提示有一个很有用的特性 (这里没有表现出来): 如果您在口令提示处按下 Return (回车) 系统将回显刚键入的口令, 您可以藉此看到自己所键入的内容。 如果试图手工键入一个一次性密码, 这会非常有用。 MS-DOS Windows MacOS 此时您需要生成一个一次性密码来回答这一提示。 这项工作必须在一个可信的系统上执行 opiekey 来完成。 (也可以找到 DOS、 &windows; 以及 &macos; 等操作系统上运行的版本)。 这个程序需要将迭代轮数和种子提供给它。 您可以从登录提示那里复制和粘贴它们。 在可信的系统上: &prompt.user; opiekey 498 to4268 Using the MD5 algorithm to compute response. Reminder: Don't use opiekey from telnet or dial-in sessions. Enter secret pass phrase: GAME GAG WELT OUT DOWN CHAT 现在就可以用刚刚获得的一次性口令登录了。 产生多个一次性口令 有时,会需要到不能访问可信的机器或安全连接的地方。 这种情形下, 可以使用 opiekey 命令来一次生成许多一次性口令。 例如: &prompt.user; opiekey -n 5 30 zz99999 Using the MD5 algorithm to compute response. Reminder: Don't use opiekey from telnet or dial-in sessions. Enter secret pass phrase: <secret password> 26: JOAN BORE FOSS DES NAY QUIT 27: LATE BIAS SLAY FOLK MUCH TRIG 28: SALT TIN ANTI LOON NEAL USE 29: RIO ODIN GO BYE FURY TIC 30: GREW JIVE SAN GIRD BOIL PHI 按顺序请求 5 个口令, 则指定了最后一个迭代轮数应该是多少。 注意这些口令将按与使用顺序相反的顺序来显示。 如果您比较偏执, 可以手工写下这些结果; 一般来说把它粘贴到 lpr 就可以了。 注意,每一行都显示迭代轮数及其对应的一次性的密码; 一些人建议用完一个就划掉一个。 限制使用 &unix; 口令 OPIE 可以对 &unix; 口令的使用进行基于 IP 的登录限制。 对应的文件是 /etc/opieaccess, 这个文件默认情况下就是存在的。 请参阅 &man.opieaccess.5; 以了解关于这个文件进一步的情况, 以及安全方面需要进行的一些考虑。 下面是一个示范的 opieaccess 文件: permit 192.168.0.0 255.255.0.0 这行允许指定 IP 地址的用户 (再次强调这种地址容易被伪造) 在任何时候使用 &unix; 口令登录。 如果 opieaccess 中没有匹配的规则, 则将默认拒绝任何非 OPIE 登录。 Tom Rhodes 作者 TCP Wrappers TCP Wrappers 每一个熟悉 &man.inetd.8; 都应该听说过 TCP Wrappers, 但几乎没有人对它在网络环境中的作用有全面的理解。 几乎每个人都会安装防火墙来处理网络连接, 然而虽然防火墙有非常广泛的用途, 它却不是万能的, 例如它无法处理类似向连接发起者发送一些文本这样的任务。 而 TCP Wrappers 软件能够完成它以及更多的其他事情。 接下来的几段中将讨论许多 TCP Wrappers 提供的功能, 并且, 还给出了一些配置实例。 TCP Wrappers 软件扩展了 inetd 为受其控制的服务程序实施控制的能力。 通过使用这种方法, 它能够提供日志支持、 返回消息给联入的连接、 使得服务程序只接受内部连接, 等等。 尽管防火墙也能够完成其中的某些功能, 但这不仅增加了一层额外的保护, 也提供了防火墙无法提供的功能。 然而, 由 TCP Wrappers 提供的一些额外的安全功能, 不应被视为好的防火墙的替代品。 TCP Wrappers 应结合防火墙或其他安全加强设施一并使用, 为系统多提供一层安全防护。 由于这些配置是对于 inetd 的扩展, 因此, 读者应首先阅读 配置 inetd 这节。 尽管由 &man.inetd.8; 运行的程序并不是真正的 服务程序, 但传统上也把它们称为服务程序。 下面仍将使用这一术语。 初始配置 在 &os; 中使用 TCP Wrappers 的唯一要求是确保 inetd 在从 rc.conf 中启动时包含了 选项; 这是默认的设置。 当然, 还需要对 /etc/hosts.allow 进行适当的配置, 但 &man.syslogd.8; 在配置不当时会在系统日志中记录相关消息。 与其它的 TCP Wrappers 实现不同, 使用 hosts.deny 在这里被认为是不推荐和过时的做法。 所有的配置选项应放到 /etc/hosts.allow 中。 在最简单的配置中, 服务程序的连接策略是根据 /etc/hosts.allow 允许或阻止。 &os; 中的默认配置是允许一切发到由 inetd 所启动的服务的连接请求。 在基本配置之后将讨论更复杂的情况。 基本配置的形式通常是 服务 : 地址 : 动作。 这里 服务 是从 inetd 启动的服务程序的名字。 而 地址 可以是任何有效的主机名、 一个 IP 或由方括号 ([ ]) 括起来的 IPv6 地址。 动作 字段可以使 allowdeny, 分别用于允许和禁止相应的访问。 在配置时您需要注意所有的配置都是按照第一个匹配的规则运转的, 这表示配置文件将按照顺序查找匹配规则, 而一旦找到匹配, 则搜索也就停止了。 另外也有许多其他选项, 这些将在后面介绍。 简单的配置行从上面这些描述之中可以很容易得出。 例如, 允许 POP3 连接通过 mail/qpopper 服务, 应把下面的行添加到 hosts.allow # This line is required for POP3 connections: qpopper : ALL : allow 增加这样之后, 需要重新启动 inetd。 可以通过使用 &man.kill.1; 命令来完成这项工作, 或使用 /etc/rc.d/inetdrestart parameter 参数。 高级配置 TCP Wrappers 也有一些高级的配置选项; 它们能够用来对如何处理连接实施更多的控制。 一些时候, 返回一个说明到特定的主机或请求服务的连接可能是更好的办法。 其他情况下, 记录日志或者发送邮件给管理员可能更为适合。 另外, 一些服务可能只希望为本机提供。 这些需求都可以通过使用 通配符, 扩展字符以及外部命令来实现。 接下来的两节将介绍这些。 外部命令 假设由于发生了某种状况, 而导致连接应该被拒绝掉, 而将其原因发送给发起连接的人。 如何完成这样的任务呢? 这样的动作可以通过使用 选项来实现。 当发起了连接请求时, 将调用一个命令或脚本。 在 hosts.allow 文件中已经给出了一个例子: # The rest of the daemons are protected. ALL : ALL \ : severity auth.info \ : twist /bin/echo "You are not welcome to use %d from %h." 这个例子将把消息 You are not allowed to use daemon from hostname. 返回给访问先前没有配置过允许访问的服务客户。 对于希望把消息反馈给连接发起者, 然后立即切断这样的需求来说, 这样的配置非常有用。 请注意所有反馈信息 必须 被引号 " 包围; 这一规则是没有例外的。 如果攻击者向服务程序发送大量的连接请求, 则可能发动一次成功的拒绝服务攻击。 另一种可能是针对这种情况使用 。 类似 选项也暗含拒绝连接, 并可以用来执行外部命令或服务。 与 不同的是, 不会向连接发起者发送回应。 考虑下面的配置: # We do not allow connections from example.com: ALL : .example.com \ : spawn (/bin/echo %a from %h attempted to access %d >> \ /var/log/connections.log) \ : deny 这将拒绝来自 *.example.com 域的所有连接; 同时还将记录主机名, IP 地址, 以及对方所尝试连接的服务名字到 /var/log/connections.log 文件中。 除了前面已经介绍过的转义字符, 例如 %a 之外, 还有一些其它的转义符。 参考 &man.hosts.access.5; 联机手册可以获得完整的列表。 通配符选项 前面的例子都使用了 ALL。 其它选项能够将功能扩展到更远。 例如, ALL 可以被用来匹配每一个服务、 域,或 IP 地址。 另一些可用的通配符包括 PARANOID, 它可以用来匹配任何来自可能被伪造的 IP 地址的主机。 换言之, paranoid 可以被用来定义来自 IP 与其主机名不符的客户。 下面的例子将给您更多的感性认识: # Block possibly spoofed requests to sendmail: sendmail : PARANOID : deny 在这个例子中, 所有连接 sendmailIP 地址与其主机名不符的主机都将被拒绝。 如果服务器和客户机有一方的 DNS 配置不正确, 使用 PARANOID 可能会严重地削弱服务。 在设置之前, 管理员应该谨慎地考虑。 要了解关于通配符和他们的功能, 请参考 &man.hosts.access.5; 联机手册。 为了使设置能够生效, 应该首先把 hosts.allow 的第一行配置注释掉。 这节的开始部分已经说明了这一点。 Mark Murray 撰写者 Mark Dapoz 初稿 <application>KerberosIV</application> Kerberos 是一个网络附加系统/协议, 它使得用户能够通过一个安全服务器的服务来验证身份。 象远程登录, 远程复制, 系统间的相互文件复制和其他完成高风险任务的服务将被变得相当安全和可控制。 下面将具体介绍如何配置随 &os; 发行的 Kerberos。 不过, 您还是应该阅读相应的联机手册以获得完整的说明。 安装 <application>KerberosIV</application> MIT KerberosIV 安装 Kerberos 是 &os; 的一项可选组件。 安装该软件最简单的办法就是 在使用 sysinstall 安装 &os; 时选择 krb4krb5。 这样将会安装 eBones (KerberosIV) 或 Heimdal (Kerberos5) 的 Kerberos 实现。 采用实现的原因是它们在美国/加拿大 以外的地区开发, 以便允许在这些国家之外的人使用, 而不必受美国的加密代码出口管制的限制。 此外, 您可以从 security/krb5 得到 Kerberos 的 MIT 实现。 创建最初的数据库 这项工作只需要在 Kerberos 服务器上完成。 首先确认没有旧的 Kerberos 数据库存在。 您应该进入到 /etc/kerberosIV 目录中并检查下述文件是否已经存在: &prompt.root; cd /etc/kerberosIV &prompt.root; ls README krb.conf krb.realms 如果您发现了除此之外的其它文件 (例如 principal.*master_key) 已经存在, 请使用 kdb_destroy 命令来销毁旧的数据库, 或者, 如果 Kerberos 没有在运行,简单地删除掉那些多余的文件。 现在必须编辑 krb.confkrb.realms 文件来定义您的 Kerberos 领域。 在本例中, 这个领域将是 EXAMPLE.COM 而其服务器是 grunt.example.com。 我们编辑或创建如下的 krb.conf 文件: &prompt.root; cat krb.conf EXAMPLE.COM EXAMPLE.COM grunt.example.com admin server CS.BERKELEY.EDU okeeffe.berkeley.edu ATHENA.MIT.EDU kerberos.mit.edu ATHENA.MIT.EDU kerberos-1.mit.edu ATHENA.MIT.EDU kerberos-2.mit.edu ATHENA.MIT.EDU kerberos-3.mit.edu LCS.MIT.EDU kerberos.lcs.mit.edu TELECOM.MIT.EDU bitsy.mit.edu ARC.NASA.GOV trident.arc.nasa.gov 在这个例子中, 除此之外的其它领域并不是必需的。 把他们在这里一并展示是为了演示如何让机器了解多个领域的存在。 简单起见, 在实际的配置中可以省略它们。 第一行命名了这个系统工作的领域。 其它行包含了领域/主机的记录。 每行的第一项是一个领域, 其后是在这个领域中充当 密钥分发中心 的主机名。 其后的 admin server 表示该主机同时还提供管理数据库服务。进一步的详细说明请参考 Kerberos 联机手册。 现在应该添加 grunt.example.comEXAMPLE.COM 领域, 同时追加一项以便将出现在 EXAMPLE.COM 领域中 .example.com 域的所有主机也加入进来。 krb.realms 这个文件需要按照下面的方法修改: &prompt.root; cat krb.realms grunt.example.com EXAMPLE.COM .example.com EXAMPLE.COM .berkeley.edu CS.BERKELEY.EDU .MIT.EDU ATHENA.MIT.EDU .mit.edu ATHENA.MIT.EDU 再次强调, 其它领域并不是必需的。 在这里只是要展示如何使用多个领域。 可以删掉它们以简化配置。 第一行将 指定的 系统置于所指名字的领域内。 这一行的其它部分则指明了特定子域内的主机应该默认属于哪个领域。 接下来我们就可以创建数据库了。 只有在 Kerberos 服务器上 (或密钥分发中心上) 才需要它。 可以通过 kdb_init 命令来完成这一步: &prompt.root; kdb_init Realm name [default ATHENA.MIT.EDU ]: EXAMPLE.COM You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter Kerberos master key: 现在我们应该保存密钥, 这样本机上运行的其他服务就能够了解这一变化。 用 kstash 命令来完成这一步: &prompt.root; kstash Enter Kerberos master key: Current Kerberos master key version is 1. Master key entered. BEWARE! 这一操作将把主口令保存到 /etc/kerberosIV/master_key 让一切运转起来 KerberosIV 初始配置 有两个主要的东西需要被添加到要用 Kerberos 来确保安全的 每一个 系统上。 它们的名字是 kpasswdrcmd。 这些程序允许另外系统改变 Kerberos 的密码, 在不同的系统上可能有不同的名字。 服务程序 kpasswdrcmd 使得其他系统能够修改 Kerberos 口令, 以及执行类似 &man.rcp.1;, &man.rlogin.1; 和 &man.rsh.1; 这样的命令。 我们添加下面这些记录: &prompt.root; kdb_edit Opening database... Enter Kerberos master key: Current Kerberos master key version is 1. Master key entered. BEWARE! Previous or default values are in [brackets] , enter return to leave the same, or new value. Principal name: passwd Instance: grunt <Not found>, Create [y] ? y Principal: passwd, Instance: grunt, kdc_key_ver: 1 New Password: <---- enter RANDOM here Verifying password New Password: <---- enter RANDOM here Random password [y] ? y Principal's new key version = 1 Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? Max ticket lifetime (*5 minutes) [ 255 ] ? Attributes [ 0 ] ? Edit O.K. Principal name: rcmd Instance: grunt <Not found>, Create [y] ? Principal: rcmd, Instance: grunt, kdc_key_ver: 1 New Password: <---- enter RANDOM here Verifying password New Password: <---- enter RANDOM here Random password [y] ? Principal's new key version = 1 Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? Max ticket lifetime (*5 minutes) [ 255 ] ? Attributes [ 0 ] ? Edit O.K. Principal name: <---- null entry here will cause an exit 创建服务器文件 现在需要分析在每台机器上定义的服务的所有情况。 为了做到这一点, 可以使用 ext_srvtab 命令。 这将创建一个文件, 它需要被 通过安全的途径 复制或移动到每一个 Kerberos 客户端的 /etc 目录中。 在每一台服务器上都必须存在这个文件, 它对 Kerberos 的运行至关重要。 &prompt.root; ext_srvtab grunt Enter Kerberos master key: Current Kerberos master key version is 1. Master key entered. BEWARE! Generating 'grunt-new-srvtab'.... 现在,这个命令只产生一个临时文件,必须被重命名为 srvtab 以便所有的服务可以识别它。 用 &man.mv.1; 命令把它挪到原系统的这个位置: &prompt.root; mv grunt-new-srvtab srvtab 如果文件是针对客户系统的, 而且网络可能会不安全, 则应把 client-new-srvtab 复制到可移动的介质上, 并通过物理上安全的方式拿走。 将其改名为 srvtab 并放到客户机的 /etc/kerberosIV 目录中, 并赋予 mode 600: &prompt.root; mv grumble-new-srvtab srvtab &prompt.root; chmod 600 srvtab 复制数据库 现在添加一些用户记录到数据库。 首先为用户 jane 创建其对应的项。 使用 kdb_edit 命令来完成此项工作: &prompt.root; kdb_edit Opening database... Enter Kerberos master key: Current Kerberos master key version is 1. Master key entered. BEWARE! Previous or default values are in [brackets] , enter return to leave the same, or new value. Principal name: jane Instance: <Not found>, Create [y] ? y Principal: jane, Instance: , kdc_key_ver: 1 New Password: <---- enter a secure password here Verifying password New Password: <---- re-enter the password here Principal's new key version = 1 Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? Max ticket lifetime (*5 minutes) [ 255 ] ? Attributes [ 0 ] ? Edit O.K. Principal name: <---- null entry here will cause an exit 测试全部相关信息 首先必须启动 Kerberos 的服务程序。 这里需要指出, 如果您正确地修改了 /etc/rc.conf 则系统在启动时会自动完成这个工作。 只有在 Kerberos 服务器上才需要这么做。 Kerberos 客户程序将自动地从 /etc/kerberosIV 目录中的文件获取所需要的信息。 &prompt.root; kerberos & Kerberos server starting Sleep forever on error Log file is /var/log/kerberos.log Current Kerberos master key version is 1. Master key entered. BEWARE! Current Kerberos master key version is 1 Local realm: EXAMPLE.COM &prompt.root; kadmind -n & KADM Server KADM0.0A initializing Please do not use 'kill -9' to kill this job, use a regular kill instead Current Kerberos master key version is 1. Master key entered. BEWARE! 接下来应使用 kinit 命令来获取与我们刚刚创建的 ID jane 对应的 ticket: &prompt.user; kinit jane MIT Project Athena (grunt.example.com) Kerberos Initialization for "jane" Password: 尝试使用 klist 列出句柄以了解是否真的拥有它们: &prompt.user; klist Ticket file: /tmp/tkt245 Principal: jane@EXAMPLE.COM Issued Expires Principal Apr 30 11:23:22 Apr 30 19:23:22 krbtgt.EXAMPLE.COM@EXAMPLE.COM 现在可以试试看用 &man.passwd.1; 来修改口令, 以验证 kpasswd 服务程序是否能够从 Kerberos 数据库中获得需要的授权: &prompt.user; passwd realm EXAMPLE.COM Old password for jane: New Password for jane: Verifying password New Password for jane: Password changed. 授予 <command>su</command> 特权 Kerberos 使我们能够给予 每一个 需要使用 root 特权的用户使用他们自己 单独的 &man.su.1; 口令。 现在我们追加一个被授予 &man.su.1; 到 root 权限的 ID。 这件事是由与 root 相关联的一个 principal 实例来控制的。使用 kdb_edit 可以在 Kerberos 数据库中建立一个 jane.root 条目: &prompt.root; kdb_edit Opening database... Enter Kerberos master key: Current Kerberos master key version is 1. Master key entered. BEWARE! Previous or default values are in [brackets] , enter return to leave the same, or new value. Principal name: jane Instance: root <Not found>, Create [y] ? y Principal: jane, Instance: root, kdc_key_ver: 1 New Password: <---- enter a SECURE password here Verifying password New Password: <---- re-enter the password here Principal's new key version = 1 Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? Max ticket lifetime (*5 minutes) [ 255 ] ? 12 <--- Keep this short! Attributes [ 0 ] ? Edit O.K. Principal name: <---- null entry here will cause an exit 现在试试看获得相应的句柄, 以确认它已经正常工作了: &prompt.root; kinit jane.root MIT Project Athena (grunt.example.com) Kerberos Initialization for "jane.root" Password: 接下来我们需要把用户添加到 root.klogin 文件里: &prompt.root; cat /root/.klogin jane.root@EXAMPLE.COM 试试看 &man.su.1;: &prompt.user; su Password: 然后看看我们拥有哪些句柄: &prompt.root; klist Ticket file: /tmp/tkt_root_245 Principal: jane.root@EXAMPLE.COM Issued Expires Principal May 2 20:43:12 May 3 04:43:12 krbtgt.EXAMPLE.COM@EXAMPLE.COM 使用其它命令 在前文给出的例子中, 我们创建了一个称为 jane 的用户, 以及一个 root 实例。 此处的用户名和它的 principal 相同, 这是 Kerberos 默认的; 一个形如 <username>.root<principal>.<instance> 将允许 <username> 使用 &man.su.1; 成为 root, 只要所需的那些条目在 root home 目录中的 .klogin 中存在的话: &prompt.root; cat /root/.klogin jane.root@EXAMPLE.COM 类似地, 如果用户的 home 目录中有这样的设置: &prompt.user; cat ~/.klogin jane@EXAMPLE.COM jack@EXAMPLE.COM 则表明在 EXAMPLE.COM 领域的经过身份验证的 jane 或者 jack (通过 kinit, 详情见前文) 能够使用 jane 的身份或系统 (grunt) 中的文件, 无论通过 &man.rlogin.1;, &man.rsh.1; 或是 &man.rcp.1;。 举例来说, jane 现在通过 Kerberos 登入了其它系统: &prompt.user; kinit MIT Project Athena (grunt.example.com) Password: &prompt.user; rlogin grunt Last login: Mon May 1 21:14:47 from grumble Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 The Regents of the University of California. All rights reserved. FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995 或者, 当 jack 登录到 jane 在同一台机器上的账号 (jane 按照前面所介绍的那样配置了 .klogin 文件, 而负责 Kerberos 的管理员, 则为 jack 的 principal 配置了一个空的 instance): &prompt.user; kinit &prompt.user; rlogin grunt -l jane MIT Project Athena (grunt.example.com) Password: Last login: Mon May 1 21:16:55 from grumble Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 The Regents of the University of California. All rights reserved. FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995 Tillman Hodgson 撰写者 Mark Murray 原文来自 <application>Kerberos5</application> 在 &os;-5.1 之后的每一个 &os; 版本都只包含 Kerberos5 支持了, 因而, Kerberos5 是它们所包含的唯一的 Kerberos 版本, 其配置在绝大多数方面和 KerberosIV 非常类似。 下述信息只适用于 &os;-5.0 之后版本中的 Kerberos5。 希望使用 KerberosIV 的用户可以安装 security/krb4 port。 Kerberos 是一组附加的网络系统/协议, 用以让用户通过一台安全服务器提供的服务来验证身份。 包括远程登录、远程复制、在系统间安全地复制文件, 以及其它高危险性的操作, 由于其存在而显著地提高了安全型并且更加可控。 Kerberos 可以理解为一种身份验证代理系统。 它也被描述为一种以受信第三方为主导的身份验证系统。 Kerberos 只提供一种功能 — 在网络上安全地完成用户的身份验证。 它并不提供授权功能 (也就是说用户能够做什么操作) 或审计功能 (记录用户作了什么操作)。 一旦客户和服务器都使用了 Kerberos 来证明各自的身份之后, 他们还可以加密全部的通讯以保证业务数据的私密性和完整性。 因此, 强烈建议将 Kerberos 同其它提供授权和审计服务的安全手段联用。 接下来的说明可以用来指导如何安装 &os; 所附带的 Kerberos。 不过, 您仍然需要参考相应的联机手册以获得完整的描述。 为了展示 Kerberos 的安装过程, 我们约定: DNS 域 (zone) 为 example.org。 Kerberos 领域是 EXAMPLE.ORG。 在安装 Kerberos 时请使用实际的域名即使您只是想在内部网上用一用。 这可以避免 DNS 问题并保证了同其它 Kerberos 之间的互操作性。 历史 Kerberos5 历史 Kerberos 最早由 MIT 作为解决网络安全问题的一个方案提出。 Kerberos 协议采用了强加密, 因此客户能够在不安全的网络上向服务器 (以及相反地) 验证自己的身份。 Kerberos 是网络验证协议名字, 同时也是用以表达实现了它的程序的形容词。 (例如 Kerberos telnet)。 目前最新的协议版本是 5,在 RFC 1510 中有所描述。 该协议有许多免费的实现, 这些实现涵盖了许多种不同的操作系统。 最初研制 Kerberos 的麻省理工学院 (MIT) 也仍然在继续开发他们的 Kerberos 软件包。 在 US 它被作为一种加密产品使用, 因而历史上曾经受到 US 出口管制。 MIT Kerberos 可以通过 port (security/krb5) 来安装和使用。 Heimdal Kerberos 是另一种第 5 版实现, 并且明确地在 US 之外的地区开发, 以避免出口管制 (因此在许多非商业的类 &unix; 系统中非常常用。 Heimdal Kerberos 软件包可以通过 port (security/heimdal) 安装, 最新的 &os; 的最小安装也会包含它。 为使尽可能多的读者从中受益, 这份说明以 &os; 附带的 Heimdal 软件包为准。 配置 Heimdal <acronym>KDC</acronym> Kerberos5 密钥分发中心 密钥分发中心 (KDC) 是 Kerberos 提供的集中式验证服务 — 它是签发 Kerberos tickets 的那台计算机。 KDCKerberos 领域中的其它机器看来是 受信的, 因此必须格外注意其安全性。 需要说明 Kerberos 服务器只需要非常少的计算资源, 尽管如此, 基于安全理由仍然推荐使用独占的机器来扮演 KDC 的角色。 要开始配置 KDC, 首先请确认您的 /etc/rc.conf 文件包含了作为一个 KDC 所需的设置 (您可能需要适当地调整路径以适应自己系统的情况): kerberos5_server_enable="YES" kadmind5_server_enable="YES" 接下来需要修改 Kerberos 的配置文件, /etc/krb5.conf [libdefaults] default_realm = EXAMPLE.ORG [realms] EXAMPLE.ORG = { kdc = kerberos.example.org admin_server = kerberos.example.org } [domain_realm] .example.org = EXAMPLE.ORG 请注意这个 /etc/krb5.conf 文件假定您的 KDC 有一个完整的主机名, 即 kerberos.example.org。 如果您的 KDC 主机名与它不同, 则应添加一条 CNAME (别名) 项到 zone 中去。 对于有正确地配置过的 BIND DNS 服务器的大型网络, 上述例子可以精简为: [libdefaults] default_realm = EXAMPLE.ORG 将下面的内容加入到 example.org zone 数据文件中: _kerberos._udp IN SRV 01 00 88 kerberos.example.org. _kerberos._tcp IN SRV 01 00 88 kerberos.example.org. _kpasswd._udp IN SRV 01 00 464 kerberos.example.org. _kerberos-adm._tcp IN SRV 01 00 749 kerberos.example.org. _kerberos IN TXT EXAMPLE.ORG 要让客户机能够找到 Kerberos 服务, 就 必须 首先配置完整或最小配置的 /etc/krb5.conf 并且 正确地配置 DNS 服务器。 接下来需要创建 Kerberos 数据库。 这个数据库包括了使用主密码加密的所有实体的密钥。 您并不需要记住这个密码, 它会保存在一个文件 (/var/heimdal/m-key) 中。 要创建主密钥, 需要执行 kstash 并输入一个口令。 主密钥一旦建立, 您就可以用 kadmin 程序的 -l 参数 (表示 local) 来初始化数据库了。 这个选项让 kadmin 直接地修改数据库文件而不是通过 kadmind 的网络服务。 这解决了在数据库创建之前连接它的鸡生蛋的问题。 进入 kadmin 提示符之后, 用 init 命令来创建领域的初始数据库。 最后, 仍然在 kadmin 中, 使用 add 命令来创建第一个 principal。 暂时使用全部的默认设置, 随后可以在任何时候使用 modify 命令来修改这些设置。 另外, 也可以用 ? 命令来了解可用的选项。 典型的数据库创建过程如下: &prompt.root; kstash Master key: xxxxxxxx Verifying password - Master key: xxxxxxxx &prompt.root; kadmin -l kadmin> init EXAMPLE.ORG Realm max ticket life [unlimited]: kadmin> add tillman Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: Password: xxxxxxxx Verifying password - Password: xxxxxxxx 现在是启动 KDC 服务的时候了。 运行 /etc/rc.d/kerberos start 以及 /etc/rc.d/kadmind start 来启动这些服务。 尽管此时还没有任何正在运行的 Kerberos 服务, 但您仍然可以通过获取并列出您刚刚创建的那个 principal (用户) 的 ticket 来验证 KDC 确实在正常工作, 使用 KDC 本身的功能: &prompt.user; kinit tillman tillman@EXAMPLE.ORG's Password: &prompt.user; klist Credentials cache: FILE:/tmp/krb5cc_500 Principal: tillman@EXAMPLE.ORG Issued Expires Principal Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EXAMPLE.ORG@EXAMPLE.ORG 完成所需的操作之后, 可以撤消这一 ticket: &prompt.user; kdestroy 为 <application>Kerberos</application> 启用 Heimdal 服务 Kerberos5 启用服务 首先我们需要一份 Kerberos 配置文件 /etc/krb5.conf 的副本。 只需简单地用安全的方式 (使用类似 &man.scp.1; 的网络工具, 或通过软盘) 复制 KDC 上的版本, 并覆盖掉客户机上的对应文件就可以了。 接下来需要一个 /etc/krb5.keytab 文件。 这是提供 Kerberos 服务的服务器和工作站的一个主要区别 — 服务器必须有 keytab 文件。 这个文件包括了服务器的主机密钥, 这使得 KDC 得以验证它们的身份。 此文件必须以安全的方式传到服务器上, 因为如果密钥被公之于众, 则安全也就毁于一旦。 也就是说, 通过明文的通道, 例如 FTP 是非常糟糕的想法。 一般来说, 您会希望使用 kadmin 程序来把 keytab 传到服务器上。 由于也需要使用 kadmin 来为主机建立 principal (KDC 一端的 krb5.keytab), 因此这并不复杂。 注意您必须已经获得了一个 ticket 而且这个 ticket 必须许可使用 kadmind.acl 中的 kadmin 接口。 请参考 Heimdal info 中的 Remote administration(远程管理) 一节 (info heimdal) 以了解如何设计访问控制表。 如果不希望启用远程的 kadmin 操作, 则可以简单地采用安全的方式连接 KDC (通过本机控制台, &man.ssh.1; 或 Kerberos &man.telnet.1;) 并使用 kadmin -l 在本地执行管理操作。 安装了 /etc/krb5.conf 文件之后, 您就可以使用 Kerberos 上的 kadmin 了。 add --random-key 命令可以用于添加主机 principal, 而 ext 命令则允许导出服务器的主机 principal 到它的 keytab 中。 例如: &prompt.root; kadmin kadmin> add --random-key host/myserver.example.org Max ticket life [unlimited]: Max renewable life [unlimited]: Attributes []: kadmin> ext host/myserver.example.org kadmin> exit 注意 ext 命令 (这是 extract 的简写) 默认会把导出的密钥放到 /etc/krb5.keytab 中。 如果您由于没有在 KDC 上运行 kadmind (例如基于安全理由) 因而无法远程地使用 kadmin 您可以直接在 KDC 上添加主机 principal (host/myserver.EXAMPLE.ORG) 随后将其导出到一个临时文件中 (以免覆盖 KDC 上的 /etc/krb5.keytab), 方法是使用下面的命令: &prompt.root; kadmin kadmin> ext --keytab=/tmp/example.keytab host/myserver.example.org kadmin> exit 随后需要把 keytab 复制到服务器上 (例如使用 scp 或软盘)。 一定要指定一个不同于默认的 keytab 名字以免覆盖 KDC 上的 keytab。 到现在您的服务器已经可以同 KDC 通讯了 (因为已经配置了 krb5.conf 文件), 而且它还能够证明自己的身份 (由于配置了 krb5.keytab 文件)。 现在可以启用一些 Kerberos 服务。 在这个例子中, 我们将在 /etc/inetd.conf 中添加下面的行来启用 telnet 服务, 随后用 /etc/rc.d/inetd restart 重启 &man.inetd.8; 服务来使设置生效: telnet stream tcp nowait root /usr/libexec/telnetd telnetd -a user 关键的部分是 -a (表示验证) 类型设置为用户 (user)。 请参考 &man.telnetd.8; 联机手册以了解细节。 使用 Heimdal 来启用客户端 <application>Kerberos</application> Kerberos5 客户端配置 设置客户机是非常简单的。 在正确配置了 Kerberos 的网络中, 只需要将位于 /etc/krb5.conf 的配置文件进行一下设置就可以了。 这一步骤可以简单地通过安全的方式将文件从 KDC 复制到客户机上来完成。 尝试在客户机上执行 kinitklist, 以及 kdestroy 来测试获取、 显示并删除 刚刚为 principal 建立的 ticket 是否能够正常进行, 如果能, 则用其它的 Kerberos 应用程序来连接启用了 Kerberos 的服务。 如果应用程序不能正常工作而获取 ticket 正常, 则通常是服务本身, 而非客户机或 KDC 有问题。 在测试类似 telnet 的应用程序时, 应考虑使用抓包程序 (例如 &man.tcpdump.1;) 来确认您的口令没有以明文方式传输。 尝试使用 telnet-x 参数, 它将加密整个数据流 (类似 ssh)。 许多非核心的 Kerberos 客户应用程序也是默认安装的。 在 Hemidal 的 最小 安装理念下, telnet 是唯一一个采用了 Kerberos 的服务。 Heimdal port 则提供了一些默认不安装的客户应用程序, 例如启用了 Kerberos 版本的 ftprshrcprlogin 以及一些更不常用的程序。 MIT port 也包括了一整套 Kerberos 客户应用程序。 用户配置文件: <filename>.k5login</filename> 和 <filename>.k5users</filename> .k5login .k5users 在某个领域中的用户往往都有自己的 Kerberos principal (例如 tillman@EXAMPLE.ORG) 并映射到本机用户帐户 (例如本机上名为 tillman 的帐户)。 客户端应用程序, 如 telnet 通常并不需要用户名或 principal。 不过, 有时您可能会需要赋予某些没有匹配 Kerberos principal 的人使用本地用户帐户的权限。 例如 tillman@EXAMPLE.ORG 可能需要访问本地的 webdevelopers 用户帐号。 其它 principal 可能也会需要访问这个本地帐号。 用户 home 目录中的 .k5login.k5users 这两个文件可以配合 .hosts.rhosts 来有效地解决这个问题。 例如, 如果 .k5login 中有如下内容: tillman@example.org jdoe@example.org 并放到了本地用户 webdevelopers 的 home 目录中, 则列出的两个 principals 都可以使用那个帐号, 而无须共享口令。 建议您在开始实施之前首先阅读这些命令的联机帮助。 特别地, ksu 的联机手册包括了 .k5users 的相关内容。 <application>Kerberos</application> 提示、技巧和故障排除 Kerberos5 故障排除 当使用 Heimdal 或 MIT Kerberos ports 时, 需要确认 PATH 环境变量把 Kerberos 客户应用列在系统自带的版本之前。 同一领域内的所有计算机的时间设置是否同步? 如果不是的话, 则身份验证可能会失败。 描述了如何使用 NTP 来同步时钟。 MIT 和 Heimdal 能够很好地互操作。 一个例外是 kadmin, 因为这个协议没有被标准化。 如果您改变了主机名, 您还需要修改您的 host/ principal 并更新 keytab。 这一规律也适用于类似 Apache 的 www/mod_auth_kerb 所使用的 www/ principal 这样的特殊 keytab 项。 您的领域中的每一台主机必须在 DNS (或至少在 /etc/hosts 中) 可以解析 (同时包括正向和反向)。 CNAME 能够正常使用, 但必须有正确的对应 A 和 PTR 记录。 此时给出的错误信息可能很让人困惑: Kerberos5 refuses authentication because Read req failed: Key table entry not found 某些作为客户使用您的 KDC 的操作系统可能没有将 ksu 设置为 setuid root 的权限。 这意味着 ksu 将不能够正常工作, 从安全角度说这是一个不错的主意, 但可能令人烦恼。 这类问题并不是 KDC 的错误。 使用 MIT Kerberos 时, 如果希望允许一个 principal 拥有超过默认的十小时有效期的 ticket 则必须使用 kadmin 中的 modify_principal 来修改 principal 本身以及 krbtgt 的 maxlife(最大有效期)。 此后, principal 可以使用 kinit-l 参数来请求一个有更长有效期的 ticket。 如果在 KDC 上运行了听包程序, 并在工作站上执行 kinit, 您可能会注意到 TGT 是在 kinit 一开始执行的时候就发出了的 — 甚至在您输入口令之前! 关于这个现象的解释是 Kerberos 服务器可以无限制地收发 TGT (Ticket Granting Ticket) 给任何未经授权的请求; 但是, 每一个 TGT 都是使用用户的口令派生出来的密钥进行加密的。 因此, 当用户输入口令时它并不会发送给 KDC, 而是直接用于解密 kinit 所拿到的 TGT。 如果解密过程得到了一个包含合法的时间戳的有效 ticket, 则说明用户的 Kerberos 凭据有效。 这些凭据包含了一个会话密钥用以在随后建立 Kerberos 服务器的加密通讯, 传递由服务器自己的私钥加密的实际的 ticket-granting ticket。 这个第二层加密对于用户来说是看不到的, 但它使得 Kerberos 服务器能够验证每一个 TGT 的真实性。 如果需要有效期更长的 ticket (例如一周) 而且您使用 OpenSSH 连接保存您的 ticket 的机器, 请确认 sshd_config 中的 Kerberos 被设置为 no 否则在注销时会自动删除所有的 ticket。 切记主机的 principals 的 ticket 有效期一定要比用户的长。 如果您的用户 principal 的有效期是一周, 而所连接的主机的有效期是九个小时, 则缓存的主机 principal 将先行过期, 结果是 ticket 缓存无法正常工作。 当配置 krb5.dict 文件来防止使用特定的简单口令 (kadmind 的联机手册中简要介绍了它), 请切记只有指定了口令策略的 principals 才会使用它们。 krb5.dict 文件的格式很简单: 每个串占一行。 创建一个到 /usr/share/dict/words 的符号连接会很有用。 与 <acronym>MIT</acronym> port 的区别 MIT 和 Heimdal 主要的区别在于 kadmin 程序使用不同 (尽管等价) 的命令和协议。 如果您的 KDCMIT 的, 则其影响是不能使用 Heimdal 的 kadmin 程序来远程管理 KDC (或相反)。 完成同样工作的命令可能会有些许的不同。 推荐按照 MIT Kerberos 的网站 () 上的说明来操作。 请小心关于路径的问题, MIT port 会默认安装到 /usr/local/, 您因此可能会执行 普通的 系统应用程序而非 MIT, 如果您的 PATH 环境变量把 把系统目录放在前面的话。 如果使用 &os; 提供的 MIT security/krb5 port, 一定要仔细阅读 port 所安装的 /usr/local/share/doc/krb5/README.FreeBSD, 如果您想知道为什么通过 telnetdklogind 登录时会出现一些诡异的现象的话。 最重要地, incorrect permissions on cache file(缓存文件权限不正确) 行为需要使用 login.krb5 来进行验证, 才能够正确地修改转发凭据的属主。 除此之外, 还应修改 rc.conf 并加入下列配置: kerberos5_server="/usr/local/sbin/krb5kdc" kadmind5_server="/usr/local/sbin/kadmind" kerberos5_server_enable="YES" kadmind5_server_enable="YES" 这样做的原因是, MIT kerberos 会将可执行文件装到 /usr/local 之下。 缓解 <application>Kerberos</application> 的限制 Kerberos5 限制和不足 <application>Kerberos</application> 是一种 all-or-nothing 方式 在网络上启用的每个服务都必须进行修改以便让其能够配合 Kerberos 工作 (否则就只能使用其它方法来保护它们不受网络攻击的侵害), 如果不是这样, 则用户的凭据就有可能被窃取并再次使用。 一个例子是对所有的远程 shell (例如通过 rshtelnet) 启用了 Kerberos 但没有将使用明文验证的 POP3 邮件服务器 Kerberos化。 <application>Kerberos</application> 是为单用户工作站设计的 在多用户环境中 Kerberos 的安全性会被削弱。 这是因为它把 ticket 保存到 /tmp 目录中, 而这个目录可以被任何用户读取。 如果有用户与其它人同时共享一台计算机 (也就是 multi-user), 则这个用户的 ticket 就可能被其它用户窃取 (复制)。 可以通过使用 -c 文件名 这样的命令行选项, 或者(推荐的)改变 KRB5CCNAME 环境变量来避免这个问题, 但很少有人这么做。原则上, 将 ticket 保存到用户的 home 目录并简单地设置权限就能够缓解这个问题。 KDC 会成为单点崩溃故障点 根据设计, KDC 必须是安全的, 因为主密码数据库保存在它上面。 决不应该在 KDC上面运行其它服务, 而且还应确保它的物理安全。 由于 Kerberos 使用同一个密钥 (传说中的那个 密钥) 来加密所有的密码, 而将这个文件保存在 KDC, 因此其安全尤为重要 不过, 主密钥的泄露并没有想象中的那么可怕。 主密钥只用来加密 Kerberos 数据库以及产生随机数发生器的种子。 只要 KDC 是安全的, 即使攻击者拿到了主密钥也做不了什么。 另外, 如果 KDC 不可用 (例如由于拒绝服务攻击或网络故障) 则网络服务将由于验证服务无法进行而不能使用, 从而导致更大范围的拒绝服务攻击。 通过部署多个 KDC (一个主服务器, 配合一个或多个从服务器) 并采用经过仔细设计和实现的备用验证方式可以避免这种问题 (PAM 是一个不错的选择)。 <application>Kerberos</application> 的不足 Kerberos 允许用户、主机和服务之间进行相互认证。 但它并没有提供机制来向用户、主机或服务验证 KDC。 这意味着种过木马的程序,例如 kinit 有可能记录用户所有的用户名和密码。 尽管如此, 可以用类似 security/tripwire 这样的文件系统完整性检查工具来避免此类情况的发生。 相关资源和其它资料 Kerberos5 外部资源 The Kerberos FAQ Designing an Authentication System: a Dialog in Four Scenes RFC 1510, The Kerberos Network Authentication Service (V5) MIT Kerberos home page Heimdal Kerberos home page Tom Rhodes 作者 OpenSSL 安全 OpenSSL 许多用户可能并没有注意到 &os; 所附带的 OpenSSL 工具包的功能。 OpenSSL 提供了建立在普通的通讯层基础上的加密传输层; 这些功能为许多网络应用和服务程序所广泛使用。 OpenSSL 的一些常见用法包括加密邮件客户的身份验证过程, 基于 Web 的交易如信用卡等等。 许多 ports 如 www/apache13-ssl, 以及 mail/sylpheed-claws 等等都提供了编译进 OpenSSL 支持的方法。 绝大多数情况下 Ports Collection 会试图使用 security/openssl 除非明确地将 WITH_OPENSSL_BASE make 变量设置为 yes &os; 中附带的 OpenSSL 版本能够支持 安全套接字层 v2/v3 (SSLv2/SSLv3) 和 安全传输层 v1 (TLSv1) 三种网络协议, 并可作为通用的密码学函数库使用。 尽管 OpenSSL 支持 IDEA 算法, 但由于美国专利, 它在默认情况下是不编译的。 如果想使用它, 请查阅相应的授权, 如果认为授权可以接受, 则可以在 make.conf 中设置 MAKE_IDEA 为应用软件提供证书是 OpenSSL 最为常用的功能之一。 证书是一种能够确保公司或个人有效身份不被伪造的凭据。 如果证书没有被众多 权威发证机构, 或 CA 中的某一个确认, 则会产生一个警告。 权威发证机构通常是一家公司, 例如 VeriSign, 它能够通过签署来证明个人或公司证书的有效性。 这个过程是需要付费的, 当然, 这不是使用证书的必要条件; 然而, 这样做会让那些比较偏执的用户感到轻松。 生成证书 OpenSSL 生成证书 为了生成证书, 需要使用下面的命令: &prompt.root; openssl req -new -nodes -out req.pem -keyout cert.pem Generating a 1024 bit RSA private key ................++++++ .......................................++++++ writing new private key to 'cert.pem' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:PA Locality Name (eg, city) []:Pittsburgh Organization Name (eg, company) [Internet Widgits Pty Ltd]:My Company Organizational Unit Name (eg, section) []:Systems Administrator Common Name (eg, YOUR name) []:localhost.example.org Email Address []:trhodes@FreeBSD.org Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:SOME PASSWORD An optional company name []:Another Name 请注意, 在 Common Name 提示后面我们输入的是一个域名。 这个提示要求输入服务器的名字, 这个名字今后将用于完成验证过程; 如果在这里输入域名以外的内容, 那么证书也就失去其意义了。 您还可以指定一些其他的选项, 比如证书的有效期, 以及使用的加密算法等等。 这些选项的完整列表, 可以在 &man.openssl.1; 联机手册中找到。 在您执行前述命令的目录中将生成两个文件。 证书申请, 即 req.pem, 可以发给一家发证机构, 它将验证您输入的凭据的真实性, 并对申请进行签名, 再把证书返还给您。 第二个文件的名字将是 cert.pem, 它包含了证书的私钥, 应被全力保护; 如果它落入别人手中, 则可以被用来伪造您 (或您的服务器)。 如果不需要来自 CA 的签名, 也可以创建自行签名的证书。 首先, 需要生成 RSA 密钥: &prompt.root; openssl dsaparam -rand -genkey -out myRSA.key 1024 接下来, 生成 CA 密钥: &prompt.root; openssl gendsa -des3 -out myca.key myRSA.key 然后用这个密钥来创建证书: &prompt.root; openssl req -new -x509 -days 365 -key myca.key -out new.crt 上述步骤将在当前目录中生成两个新文件: 一个是权威发证机构的签名文件, myca.key; 另一个是证书本身, new.crt。 这些文件应该放到同一个目录中, 一般而言, 推荐放到 /etc, 并且只允许 root 读取。 建议把权限设置为 0700, 这可以通过 chmod 工具来完成。 使用证书的一个例子 那么有了这些文件可以做些什么呢? 一个比较典型的用法是用来加密 Sendmail MTA 的通讯连接。 这可以解决用户通过本地 MTA 发送邮件时使用明文进行身份验证的问题。 这个用法可能并不完美, 因为某些 MUA 会由于没有在本地安装证书而向用户发出警告。 请参考那些软件的说明了解关于安装证书的信息。 下面的设置应添加到本地的 .mc 文件 dnl SSL Options define(`confCACERT_PATH',`/etc/certs')dnl define(`confCACERT',`/etc/certs/new.crt')dnl define(`confSERVER_CERT',`/etc/certs/new.crt')dnl define(`confSERVER_KEY',`/etc/certs/myca.key')dnl define(`confTLS_SRV_OPTIONS', `V')dnl 这里, /etc/certs/ 是准备用来在本地保存证书和密钥的位置。 最后, 需要重新生成本地的 .cf 文件。 这一工作可以简单地通过在 目录中执行 make install 来完成。 接下来, 可以使用 make restart 来重新启动 Sendmail 服务程序。 如果一切正常的话, 在 /var/log/maillog 中就不会出现错误提示, Sendmail 也应该出现在进程列表中。 做一个简单的测试, 使用 &man.telnet.1; 来连接邮件服务器: &prompt.root; telnet example.com 25 Trying 192.0.34.166... Connected to example.com. Escape character is '^]'. 220 example.com ESMTP Sendmail 8.12.10/8.12.10; Tue, 31 Aug 2004 03:41:22 -0400 (EDT) ehlo example.com 250-example.com Hello example.com [192.0.34.166], pleased to meet you 250-ENHANCEDSTATUSCODES 250-PIPELINING 250-8BITMIME 250-SIZE 250-DSN 250-ETRN 250-AUTH LOGIN PLAIN 250-STARTTLS 250-DELIVERBY 250 HELP quit 221 2.0.0 example.com closing connection Connection closed by foreign host. 如果输出中出现了 STARTTLS 则说明一切正常。 Nik Clayton
nik@FreeBSD.org
 撰写者 IPsec IPsec 上的 VPN 使用 FreeBSD 网关在两个被 Internet 分开的网络之间架设 VPN。 Hiten M. Pandya
hmp@FreeBSD.org
 撰写者 理解 IPsec 这一节将指导您完成架设 IPsec。为了配置 IPsec, 您应当熟悉如何编译一个定制的内核的一些概念 (参见 )。 IPsec 是一种建立在 Internet 协议 (IP) 层之上的协议。 它能够让两个或更多主机以安全的方式来通讯 (并因此而得名)。 FreeBSD IPsec 网络协议栈 基于 KAME 的实现, 它支持两种协议族, IPv4 和 IPv6。 IPsec ESP IPsec AH IPsec 包括了两个子协议: Encapsulated Security Payload (ESP), 保护 IP 包数据不被第三方介入, 通过使用对称加密算法 (例如 Blowfish、 3DES)。 Authentication Header (AH), 保护 IP 包头不被第三方介入和伪造, 通过计算校验和以及对 IP 包头的字段进行安全散列来实现。 随后是一个包含了散列值的附加头, 以便能够验证包。 ESPAH 可以根据环境的不同, 分别或者一同使用。 VPN 虚拟专用网 VPN IPsec 既可以用来直接加密主机之间的网络通讯 (也就是 传输模式); 也可以用来在两个子网之间建造 虚拟隧道 用于两个网络之间的安全通讯 (也就是 隧道模式)。 后一种更多的被称为是 虚拟专用网 (VPN)。 &man.ipsec.4; 联机手册提供了关于 FreeBSD 中 IPsec 子系统的详细信息。 要把 IPsec 支持放进内核, 应该在配置文件中加入下面的选项: 内核选项 IPSEC options IPSEC #IP security device crypto 内核选项 IPSEC_DEBUG 如果需要 IPsec 的调试支持, 还应增加: options IPSEC_DEBUG #debug for IP security 问题 由于对如何建立 VPN 并不存在标准, 因此 VPN 可以采用许多种不同的技术来实现, 每种技术都有其长处和弱点。 这篇文章讲展现一个具体的应用情景, 并为它设计了适合的 VPN。 情景: 两个网络,一个家庭的网络和一个公司的网络。 都接入了 Internet,并且通过这条 <acronym>VPN</acronym> 就像在同一个网络一样。 VPN 创建 现有条件如下: 至少有两个不同的站点 每个站点都使用内部的 IP 两个站点都通过运行 FreeBSD 的网关接入 Internet。 每个网络上的网关至少有一个公网的 IP 地址。 网络的内部地址可以是公网或私有的 IP 地址, 这并不是问题。它们并不冲突,比如它们不同时使用 192.168.1.x 这样的地址。 Tom Rhodes
trhodes@FreeBSD.org
 作者 在 &os; 上配置 IPsec 开始需先从 Ports Collection 安装 security/ipsec-tools。 这个第三方软件提供了一些能够帮助配置的应用程序。 下一步是创建两个 &man.gif.4; 伪设备用来在两个网络间传输数据包的 隧道。 使用 root 身份运行以下命令, 并用真实的内部外部网关替换命令中的 internalexternal 项: &prompt.root; ifconfig gif0 create &prompt.root; ifconfig gif0 internal1 internal2 &prompt.root; ifconfig gif0 tunnel external1 external2 比如,公司 LAN 对外的 IP 地址是 172.16.5.4, 内部的 IP 地址为 10.246.38.1。 家庭 LAN 对外的 IP 地址是 192.168.1.12, 内部的 IP 地址为 10.0.0.5 这看起来可能有些混乱,所以我们通过 &man.ifconfig.8; 命令输出再回顾一下: Gateway 1: gif0: flags=8051 mtu 1280 tunnel inet 172.16.5.4 --> 192.168.1.12 inet6 fe80::2e0:81ff:fe02:5881%gif0 prefixlen 64 scopeid 0x6 inet 10.246.38.1 --> 10.0.0.5 netmask 0xffffff00 Gateway 2: gif0: flags=8051 mtu 1280 tunnel inet 192.168.1.12 --> 172.16.5.4 inet 10.0.0.5 --> 10.246.38.1 netmask 0xffffff00 inet6 fe80::250:bfff:fe3a:c1f%gif0 prefixlen 64 scopeid 0x4 一旦完成以后,两个私有的 IP 地址都应该能像下面 &man.ping.8; 命令输出那样互相访问。 priv-net# ping 10.0.0.5 PING 10.0.0.5 (10.0.0.5): 56 data bytes 64 bytes from 10.0.0.5: icmp_seq=0 ttl=64 time=42.786 ms 64 bytes from 10.0.0.5: icmp_seq=1 ttl=64 time=19.255 ms 64 bytes from 10.0.0.5: icmp_seq=2 ttl=64 time=20.440 ms 64 bytes from 10.0.0.5: icmp_seq=3 ttl=64 time=21.036 ms --- 10.0.0.5 ping statistics --- 4 packets transmitted, 4 packets received, 0% packet loss round-trip min/avg/max/stddev = 19.255/25.879/42.786/9.782 ms corp-net# ping 10.246.38.1 PING 10.246.38.1 (10.246.38.1): 56 data bytes 64 bytes from 10.246.38.1: icmp_seq=0 ttl=64 time=28.106 ms 64 bytes from 10.246.38.1: icmp_seq=1 ttl=64 time=42.917 ms 64 bytes from 10.246.38.1: icmp_seq=2 ttl=64 time=127.525 ms 64 bytes from 10.246.38.1: icmp_seq=3 ttl=64 time=119.896 ms 64 bytes from 10.246.38.1: icmp_seq=4 ttl=64 time=154.524 ms --- 10.246.38.1 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 28.106/94.594/154.524/49.814 ms 正如预期的那样,两边都有从私有地址发送和接受 ICMP 数据包的能力。下面, 两个网关都必须配置路由规则以正确传输两边的网络流量。 下面的命令可以实现这个: &prompt.root; corp-net# route add 10.0.0.0 10.0.0.5 255.255.255.0 &prompt.root; corp-net# route add net 10.0.0.0: gateway 10.0.0.5 &prompt.root; priv-net# route add 10.246.38.0 10.246.38.1 255.255.255.0 &prompt.root; priv-net# route add host 10.246.38.0: gateway 10.246.38.1 此刻,不论从网关还是网关后的机器都能访问内部的网络。 这很容易通过以下的例子确认: corp-net# ping 10.0.0.8 PING 10.0.0.8 (10.0.0.8): 56 data bytes 64 bytes from 10.0.0.8: icmp_seq=0 ttl=63 time=92.391 ms 64 bytes from 10.0.0.8: icmp_seq=1 ttl=63 time=21.870 ms 64 bytes from 10.0.0.8: icmp_seq=2 ttl=63 time=198.022 ms 64 bytes from 10.0.0.8: icmp_seq=3 ttl=63 time=22.241 ms 64 bytes from 10.0.0.8: icmp_seq=4 ttl=63 time=174.705 ms --- 10.0.0.8 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 21.870/101.846/198.022/74.001 ms priv-net# ping 10.246.38.107 PING 10.246.38.1 (10.246.38.107): 56 data bytes 64 bytes from 10.246.38.107: icmp_seq=0 ttl=64 time=53.491 ms 64 bytes from 10.246.38.107: icmp_seq=1 ttl=64 time=23.395 ms 64 bytes from 10.246.38.107: icmp_seq=2 ttl=64 time=23.865 ms 64 bytes from 10.246.38.107: icmp_seq=3 ttl=64 time=21.145 ms 64 bytes from 10.246.38.107: icmp_seq=4 ttl=64 time=36.708 ms --- 10.246.38.107 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max/stddev = 21.145/31.721/53.491/12.179 ms 配置 隧道 是比较容易的部分。 配置一条安全链接则是个更加深入的过程。 下面的配置是使用 pre-shared (PSKRSA 密钥。除了 IP 地址外,两边的 /usr/local/etc/racoon/racoon.conf 也几乎相同。 path pre_shared_key "/usr/local/etc/racoon/psk.txt"; #location of pre-shared key file log debug; #log verbosity setting: set to 'notify' when testing and debugging is complete padding # options are not to be changed { maximum_length 20; randomize off; strict_check off; exclusive_tail off; } timer # timing options. change as needed { counter 5; interval 20 sec; persend 1; # natt_keepalive 15 sec; phase1 30 sec; phase2 15 sec; } listen # address [port] that racoon will listening on { isakmp 172.16.5.4 [500]; isakmp_natt 172.16.5.4 [4500]; } remote 192.168.1.12 [500] { exchange_mode main,aggressive; doi ipsec_doi; situation identity_only; my_identifier address 172.16.5.4; peers_identifier address 192.168.1.12; lifetime time 8 hour; passive off; proposal_check obey; # nat_traversal off; generate_policy off; proposal { encryption_algorithm blowfish; hash_algorithm md5; authentication_method pre_shared_key; lifetime time 30 sec; dh_group 1; } } sainfo (address 10.246.38.0/24 any address 10.0.0.0/24 any) # address $network/$netmask $type address $network/$netmask $type ( $type being any or esp) { # $network must be the two internal networks you are joining. pfs_group 1; lifetime time 36000 sec; encryption_algorithm blowfish,3des,des; authentication_algorithm hmac_md5,hmac_sha1; compression_algorithm deflate; } 解释所有可用的选项, 连同这些例子里列出的都超越了这份文档的范围。 在 racoon 配置手册页中有着丰富的相关信息。 SPD 策略也需要配置一下, 这样 &os; 和 racoon 就能够加密和解密主机间的网络流量了。 这可以通过在公司的网关上运行一个类似下面简单的 shell 脚本实现。保存到 /usr/local/etc/racoon/setkey.conf, 这个文件会被在系统初始化的时候用到。 flush; spdflush; # To the home network spdadd 10.246.38.0/24 10.0.0.0/24 any -P out ipsec esp/tunnel/172.16.5.4-192.168.1.12/use; spdadd 10.0.0.0/24 10.246.38.0/24 any -P in ipsec esp/tunnel/192.168.1.12-172.16.5.4/use; 一旦完成后,便使用下面的命令在两边的网关上都启动 racoon &prompt.root; /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log 输出将会类似这样的: corp-net# /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf Foreground mode. 2006-01-30 01:35:47: INFO: begin Identity Protection mode. 2006-01-30 01:35:48: INFO: received Vendor ID: KAME/racoon 2006-01-30 01:35:55: INFO: received Vendor ID: KAME/racoon 2006-01-30 01:36:04: INFO: ISAKMP-SA established 172.16.5.4[500]-192.168.1.12[500] spi:623b9b3bd2492452:7deab82d54ff704a 2006-01-30 01:36:05: INFO: initiate new phase 2 negotiation: 172.16.5.4[0]192.168.1.12[0] 2006-01-30 01:36:09: INFO: IPsec-SA established: ESP/Tunnel 192.168.1.12[0]->172.16.5.4[0] spi=28496098(0x1b2d0e2) 2006-01-30 01:36:09: INFO: IPsec-SA established: ESP/Tunnel 172.16.5.4[0]->192.168.1.12[0] spi=47784998(0x2d92426) 2006-01-30 01:36:13: INFO: respond new phase 2 negotiation: 172.16.5.4[0]192.168.1.12[0] 2006-01-30 01:36:18: INFO: IPsec-SA established: ESP/Tunnel 192.168.1.12[0]->172.16.5.4[0] spi=124397467(0x76a279b) 2006-01-30 01:36:18: INFO: IPsec-SA established: ESP/Tunnel 172.16.5.4[0]->192.168.1.12[0] spi=175852902(0xa7b4d66) 确认一下 隧道 能正常工作, 切换到另外一个控制台用如下的 &man.tcpdump.1; 命令查看网络流量。根据需要替换掉下面的 em0 网卡界面。 &prompt.root; tcpdump -i em0 host 172.16.5.4 and dst 192.168.1.12 控制台上能看到如下类似的输出。如果不是这样的话, 可能就有些问题了,调试的话需要用到返回的数据。 01:47:32.021683 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xa) 01:47:33.022442 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xb) 01:47:34.024218 IP corporatenetwork.com > 192.168.1.12.privatenetwork.com: ESP(spi=0x02acbf9f,seq=0xc) 此刻,两个网络就好像是同一个网络的一部分一样。 而且这两个网络很可能也应该有防火墙的保护。 要使得这两个网络能互相访问,就需要添加一些进出包的规则。 就 &man.ipfw.8; 来说,加入下面的几行进配置文件: ipfw add 00201 allow log esp from any to any ipfw add 00202 allow log ah from any to any ipfw add 00203 allow log ipencap from any to any ipfw add 00204 allow log udp from any 500 to any 规则号可能需要根据现有机器上的配置做相应的修改。 对于 &man.pf.4; 或者 &man.ipf.8; 的用户, 下面的几行规则应该可行: pass in quick proto esp from any to any pass in quick proto ah from any to any pass in quick proto ipencap from any to any pass in quick proto udp from any port = 500 to any port = 500 pass in quick on gif0 from any to any pass out quick proto esp from any to any pass out quick proto ah from any to any pass out quick proto ipencap from any to any pass out quick proto udp from any port = 500 to any port = 500 pass out quick on gif0 from any to any 最后,要允许机器初始化的时候开始 VPN 支持,在 /etc/rc.conf 中加入以下的几行: ipsec_enable="YES" ipsec_program="/usr/local/sbin/setkey" ipsec_file="/usr/local/etc/racoon/setkey.conf" # allows setting up spd policies on boot racoon_enable="yes" Chern Lee 原著 OpenSSH OpenSSH 安全 OpenSSH OpenSSH 是一组用于安全地访问远程计算机的连接工具。 它可以作为 rloginrsh rcp 以及 telnet 的直接替代品使用。 更进一步, 其他任何 TCP/IP 连接都可以通过 SSH 安全地进行隧道/转发。 OpenSSH 对所有的传输进行加密, 从而有效地阻止了窃听、 连接劫持, 以及其他网络级的攻击。 OpenSSH 由 OpenBSD project 维护, 它基于 SSH v1.2.12 并包含了最新的错误修复和更新。 它同时兼容 SSH 协议的 1 和 2 两个版本。 使用 OpenSSH 的好处 一般说来, 在使用 &man.telnet.1; 或 &man.rlogin.1; 时, 数据是以未经加密的明文的形式发送的。 这样一来, 在客户机和服务器之间的网络上运行的听包程序, 便可以在会话中窃取到传输的用户名/密码和数据。 OpenSSH 提供了多种的身份验证和加密方法来防止这种情况的发生。 启用 sshd OpenSSH 启用 sshd 的启用是作为 &os; 安装中 Standard 安装过程中的一步来进行的。 要查看 sshd 是否已被启用, 请检查 rc.conf 文件中的: sshd_enable="YES" 这表示在下次系统启动时加载 OpenSSH 的服务程序 &man.sshd.8;。 此外, 也可以手动使用 &man.rc.8; 脚本 /etc/rc.d/sshd 来启动 OpenSSH /etc/rc.d/sshd start SSH 客户 OpenSSH 客户 &man.ssh.1; 的工作方式和 &man.rlogin.1; 非常类似。 &prompt.root; ssh user@example.com Host key not found from the list of known hosts. Are you sure you want to continue connecting (yes/no)? yes Host 'example.com' added to the list of known hosts. user@example.com's password: ******* 登录过程和使用 rlogintelnet 建立的会话非常类似。 在连接时, SSH 会利用一个密钥指纹系统来验证服务器的真实性。 只有在第一次连接时, 用户会被要求输入 yes。 之后的连接将会验证预先保存下来的密钥指纹。 如果保存的指纹与登录时接收到的不符, 则将会给出警告。 指纹保存在 ~/.ssh/known_hosts 中, 对于 SSH v2 指纹, 则是 ~/.ssh/known_hosts2 默认情况下, 较新版本的 OpenSSH 只接受 SSH v2 连接。 如果能用版本 2 则客户程序会自动使用, 否则它会返回使用版本 1 的模式。 此外, 也可以通过命令行参数 来相应地强制使用版本 1 或 2。 保持客户端的版本 1 能力是为了考虑较早版本的兼容性。 安全复制 OpenSSH 安全复制 scp &man.scp.1; 命令和 &man.rcp.1;; 的用法类似, 它用于将文件复制到远程的机器上, 或复制过来, 区别是它是安全的。 &prompt.root; scp user@example.com:/COPYRIGHT COPYRIGHT user@example.com's password: ******* COPYRIGHT 100% |*****************************| 4735 00:00 &prompt.root; 由于先前的例子中已经保存了指纹, 使用 &man.scp.1; 时会自动地加以验证。 &man.scp.1; 使用的参数同 &man.cp.1; 类似。 第一个参数是一个或一组文件, 然后是复制的目标。 由于文件是通过 SSH 在网上传递的, 因此某些文件的名字需要写成 配置 OpenSSH 配置 针对 OpenSSH 服务程序和客户端的系统级配置文件在 /etc/ssh 目录中。 ssh_config 用于配置客户端的设定, 而 sshd_config 则用于配置服务器端。 另外 (默认是 /usr/sbin/sshd), 以及 这两个 rc.conf 选项提供了更多的配置选择。 ssh-keygen 用于取代口令的一种方法是使用 &man.ssh-keygen.1; 来生成 DSA 或 RSA 密钥对用于验证用户的身份: &prompt.user; ssh-keygen -t dsa Generating public/private dsa key pair. Enter file in which to save the key (/home/user/.ssh/id_dsa): Created directory '/home/user/.ssh'. Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/user/.ssh/id_dsa. Your public key has been saved in /home/user/.ssh/id_dsa.pub. The key fingerprint is: bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 user@host.example.com &man.ssh-keygen.1; 会生成一个包含公私钥对用于验证身份。 私钥将保存到 ~/.ssh/id_dsa~/.ssh/id_rsa, 而公钥则被存放到 ~/.ssh/id_dsa.pub~/.ssh/id_rsa.pub, 文件名取决于您选择的 DSARSA 密钥类型。 RSA 或者 DSA 公钥必须被存放到远程机器上的 ~/.ssh/authorized_keys 才能够使系统正确运转。 这将允许从远程连接时以基于 SSH 密钥的验证来代替口令验证。 如果在 &man.ssh-keygen.1; 中使用了通行字, 则每次使用私钥时都需要输入它。 &man.ssh-agent.1; 能够缓解多次输入长通行字的压力, 并将在接下来的 予以详述。 选项和配置文件可能随 OpenSSH 的版本不同而不同; 为了避免出现问题, 您应参考 &man.ssh-keygen.1; 联机手册。 这将使到远程机器的连接基于 SSH 密钥而不是口令。 如果在运行 &man.ssh-keygen.1; 时使用了通行字, 每次使用私钥的时候用户都将被要求输入通行字。 &man.ssh-agent.1; 能够减缓重复输入较长通行字的负担, 有关更详细的探究在 下一节 . 随着你系统上的 OpenSSH 版本的不同,各种选项和配置文件也会不同; 为了避免此类问题, 你需要参阅 &man.ssh-keygen.1; 联机手册。 ssh-agent 和 ssh-add &man.ssh-agent.1; 和 &man.ssh-add.1; 这两个工具, 提供了一种将 SSH 秘钥加载到内存中以便使用, 而不必每次都输入通行字的方法。 &man.ssh-agent.1; 工具能够使用加载到其中的私钥来处理验证过程。 &man.ssh-agent.1; 应被用于启动另一个应用程序。 最基本的用法是, 使用它来启动 shell, 而高级一些的用法则是用它来启动窗口管理器。 要在 shell 中使用 &man.ssh-agent.1;, 首先应把 shell 作为参数来启动它。 随后, 应通过 &man.ssh-add.1; 并输入通行字, 来向它提供身份验证信息。 一旦这些步骤都做完了, 用户就应该能够 &man.ssh.1; 到任何一个安装了对应公钥的机器了。 例如: &prompt.user; ssh-agent csh &prompt.user; ssh-add Enter passphrase for /home/user/.ssh/id_dsa: Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa) &prompt.user; 要在 X11 中使用 &man.ssh-agent.1;, 调用 &man.ssh-agent.1; 的过程应置于 ~/.xinitrc 之中。 这将把 &man.ssh-agent.1; 服务提供给所有在 X11 中运行的程序。 下面是一个 ~/.xinitrc 文件的实例: exec ssh-agent startxfce4 这将启动 &man.ssh-agent.1;, 而后者将在每次 X11 启动时运行 XFCE。 作完这些之后就可以重启 X11 以便使修改生效。 随后您就可以运行 &man.ssh-add.1; 来加载全部 SSH 密钥了。 SSH 隧道 OpenSSH 隧道 OpenSSH 能够创建隧道以便用加密的会话来封装其他协议。 下面的命令告诉 &man.ssh.1; 为 telnet 创建一个隧道: &prompt.user; ssh -2 -N -f -L 5023:localhost:23 user@foo.example.com &prompt.user; 上述 ssh 命令使用了下面这些选项: 强制 ssh 使用第2版的协议 (如果需要和较老的 SSH 一同工作请不要使用这个选项)。 表示不使用命令行, 或者说只使用隧道。 如果省略, ssh 将同时初始化会话。 强制 ssh 在后台执行。 表示产生一条 本地端口:远程主机:远程端口 形式的隧道。 远程 SSH 服务器。 SSH 隧道通过监听 localhost 上面指定端口来完成工作。 它将把本机主机/端口上接收到的连接通过 SSH 连接转发到远程主机/端口。 本例中, 位于 localhost5023 端口 被用于转发 localhost 的连接到远程主机的 23 端口。 由于 23telnet 使用的, 因此它将通过 SSH 隧道完成 telnet 会话。 这可以用来封装任意不安全的 TCP 协议, 例如 SMTP、 POP3、 FTP等等。 使用 SSH 为 SMTP 创建安全隧道 &prompt.user; ssh -2 -N -f -L 5025:localhost:25 user@mailserver.example.com user@mailserver.example.com's password: ***** &prompt.user; telnet localhost 5025 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 mailserver.example.com ESMTP 这可以与 &man.ssh-keygen.1; 以及额外的用户帐号配合来建立一个更透明的 SSH 隧道环境。 密钥可以被用在需要输入口令的地方, 而且可以为不同的用户配置不同的隧道。 实用的 SSH 通道例子 加强 POP3 服务的安全 工作时, 有一个允许外来连接的 SSH 服务器。 同一个办公网络中有一个邮件服务器提供 POP3 服务。 这个网络, 或从您家到办公室的网络可能不, 或不完全可信。 基于这样的原因, 您需要以安全的方式来查看邮件。 解决方法是创建一个到办公室 SSH 服务器的连接, 并通过这个连接来访问 POP3 服务: &prompt.user; ssh -2 -N -f -L 2110:mail.example.com:110 user@ssh-server.example.com user@ssh-server.example.com's password: ****** 当这个通道连上时, 您可以把 POP3 请求发到 localhost 端口 2110。 这个连接将通过通道安全地转发到 mail.example.com 绕过严厉的防火墙 一些大脑长包的网络管理员会使用一些极端的防火墙策略, 不仅过滤进入的连接, 而且也过滤连出的连接。 一些时候您可能只能连接远程机器 22 端口,以及 80 端口用来进行 SSH 和网页浏览。 您可能希望访问一些其它的 (也许与工作无关的) 服务, 例如提供音乐的 Ogg Vorbis 流媒体服务器。 如果 Ogg Vorbis server 在 22 或 80 端口以外的端口播放音乐, 则您将无法访问它。 解决方法是建立一个到您的网络的防火墙之外的网络上的 SSH 服务器, 并通过它提供的通道连接到 Ogg Vorbis 服务器上。 &prompt.user; ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled-system.example.org user@unfirewalled-system.example.org's password: ******* 现在您可以把客户程序指定到 localhost 的 8888 端口, 它将把请求转发给 music.example.com 的 8000 端口, 从而绕过防火墙。 允许用户登录 <varname>AllowUsers</varname> 选项 通常限制哪些用户能够登录, 以及从何处登录会是好主意。 采用 AllowUsers 选项能够方便地达到这一目的。 例如, 想要只允许 root 用户从 192.168.1.32 登录, 就可以在 /etc/ssh/sshd_config 文件中加入下述设置: AllowUsers root@192.168.1.32 要允许用户 admin 从任何地方登录, 则只需列出用户名: AllowUsers admin 可以在同一行指定多个用户, 例如: AllowUsers root@192.168.1.32 admin 列出需要登录机器的用户很重要; 否则他们将被锁在外面。 在完成对 /etc/ssh/sshd_config 的修改之后您必须告诉 &man.sshd.8; 重新加载其配置文件, 方法是执行: &prompt.root; /etc/rc.d/sshd reload 进一步的资料 OpenSSH &man.ssh.1; &man.scp.1; &man.ssh-keygen.1; &man.ssh-agent.1; &man.ssh-add.1; &man.ssh.config.5; &man.sshd.8; &man.sftp-server.8; &man.sshd.config.5; Tom Rhodes 作者 ACL 文件系统访问控制表 与文件系统在其他方面的加强, 如快照等一道, &os; 5.0 及更高版本提供了通过文件系统访问控制表 (ACL) 实现的安全机制。 访问控制表以高度兼容 (&posix;.1e) 的方式扩展了标准的 &unix; 权限模型。 这一特性使得管理员能够利用其优势设计更为复杂的安全模型。 如果想为 UFS 文件系统启用 ACL 支持, 则需要添加下列选项: options UFS_ACL 并重新编译内核。 如果没有将这个选项编译进内核, 则在挂接支持 ACL 的文件系统时将会收到警告。 这个选项在 GENERIC 内核中已经包含了。 ACL 依赖于在文件系统上启用扩展属性。 在新一代的 &unix; 文件系统, UFS2 中内建了这种支持。 UFS1 上配置扩展属性需要比 UFS2 更多的管理开销。 而且, 在 UFS2 上的扩展属性的性能也有极大的提高。 因此, 如果想要使用访问控制表, 推荐使用 UFS2 而不是 UFS1 ACL 可以在挂接时通过选项 来启动, 它可以加入 /etc/fstab。 另外, 也可以通过使用 &man.tunefs.8; 修改超级块中的 ACL 标记来持久性地设置自动的挂接属性。 一般而言, 后一种方法是推荐的做法, 其原因是: 挂接时的 ACL 标记无法被重挂接 (&man.mount.8; ) 改变, 只有完整地 &man.umount.8; 并做一次新的 &man.mount.8; 才能改变它。 这意味着 ACL 状态在系统启动之后就不可能在 root 文件系统上发生变化了。 另外也没有办法改变正在使用的文件系统的这个状态。 在超级块中的设置将使得文件系统总被以启用 ACL 的方式挂接, 即使在 fstab 中的对应项目没有作设置, 或设备顺序发生变化时也是如此。 这避免了不慎将文件系统以没有启用 ACL 的状态挂接, 从而避免没有强制 ACL 这样的安全问题。 可以修改 ACL 行为, 以允许在没有执行一次全新的 &man.mount.8; 的情况下启用它, 但我们认为, 不鼓励在未启用 ACL 时这么做是有必要的, 因为如果启用了 ACL, 然后关掉它, 然后在没有刷新扩展属性的情况下重新启用它是很容易造成问题的。 一般而言, 一旦启用了文件系统的 ACL 就不应该再关掉它, 因为此时的文件系统的保护措施可能和用户所期待的样子不再兼容, 而重新启用 ACL 将重新把先前的 ACL 附着到文件上, 而由于它们的权限发生了变化, 就很可能造成无法预期的行为。 在查看目录时, 启用了 ACL 的文件将在通常的属性后面显示 + (加号)。 例如: drwx------ 2 robert robert 512 Dec 27 11:54 private drwxrwx---+ 2 robert robert 512 Dec 23 10:57 directory1 drwxrwx---+ 2 robert robert 512 Dec 22 10:20 directory2 drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directory3 drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html 这里我们看到了 directory1directory2, 以及 directory3 目录使用了 ACL。 而 public_html 则没有。 使用 <acronym>ACL</acronym> 文件系统 ACL 可以使用 &man.getfacl.1; 工具来查看。 例如, 如果想查看 testACL 设置, 所用的命令是: &prompt.user; getfacl test #file: #owner:1001 #group:1001 user::rw- group::r-- other::r-- 要修改这个文件上的 ACL 设置, 则需要使用 &man.setfacl.1; 工具。 例如: &prompt.user; setfacl -k test 参数将把所有当前定义的 ACL 从文件或文件系统中删除。 一般来说应该使用 因为它会保持让 ACL 正常工作的那些项不变。 &prompt.user; setfacl -m u:trhodes:rwx,group:web:r--,o::--- test 在前面的命令中, -m 选项被用来修改默认的 ACL 项。由于已经被先前的命令 删除,因此没有预先定义的项,于是默认的选项被恢复,并附加上指定的选项。 请小心地检查,如果您加入了一个不存在的用户或组,那么将会在 stdout 得到一条 Invalid argument 的错误提示。 Tom Rhodes Contributed by Portaudit 监视第三方安全问题 过去几年中, 安全领域在如何处理漏洞的评估方面取得了长足的进步。 几乎每一个操作系统都越来越多地安装和配置了第三方工具, 而系统被入侵的威胁也随之增加。 漏洞的评估是安全的一个关键因素, 尽管 &os; 会发布基本系统的安全公告, 然而为每一个第三方工具都发布安全公告则超出了 &os; Project 的能力。 在这一前提下, 一种减轻第三方漏洞的威胁, 并警告管理员存在已知的安全问题的方法也就应运而生。 名为 Portaudit 的 &os; 附加工具能够帮助您达成这一目的。 ports-mgmt/portaudit port 会下载一个数据库, 这一数据库是由 &os; Security Team 和 ports 开发人员维护的, 其中包含了已知的安全问题。 要开始使用 Portaudit, 需要首先从 Ports Collection 安装它: &prompt.root; cd /usr/ports/ports-mgmt/portaudit && make install clean 在安装过程中, &man.periodic.8; 的配置文件将被修改, 以便让 Portaudit 能够在每天的安全审计过程中运行。 一定要保证发到 root 帐号的每日安全审计邮件确实有人在读。 除此之外不需要进行更多的配置了。 安装完成之后, 管理员可以通过下面的命令来更新数据库, 并查看目前安装的软件包中所存在的已知安全漏洞: &prompt.root; portaudit -Fda 由于每天执行 &man.periodic.8; 时都会自动更新数据库, 因此, 运行这条命令是可选的。 在这里只是作为例子给出。 在任何时候, 如果希望对通过 Ports Collection 安装的第三方软件工具进行审计, 管理员都可以使用下面的命令: &prompt.root; portaudit -a 针对存在漏洞的软件包, Portaudit 将生成类似下面的输出: Affected package: cups-base-1.1.22.0_1 Type of problem: cups-base -- HPGL buffer overflow vulnerability. Reference: <http://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-0001020eed82.html> 1 problem(s) in your installed packages found. You are advised to update or deinstall the affected package(s) immediately. 通过访问上面给出的 URL, 管理员能够了解关于那个漏洞的进一步信息。 这些信息通常包括受到影响的 &os; Port 版本, 以及其他可能包含安全公告的网站。 简而言之, Portaudit 是一个强大的工具, 并能够配合 Portupgrade port 来非常有效地工作。 Tom Rhodes 作者 FreeBSD 安全公告 &os; 安全公告 像其它具有产品级品质的操作系统一样, &os; 会发布 安全公告。 通常这类公告会只有在相应的发行版本已经正确地打过补丁之后发到安全邮件列表并在勘误中说明。 本节将介绍什么是安全公告, 如何理解它, 以及为系统打补丁的具体步骤。 安全公告看上去是什么样子? &os; 安全公告的样式类似下面的范例, 这一例子来自 &a.security-notifications.name; 邮件列表。 ============================================================================= &os;-SA-XX:XX.UTIL Security Advisory The &os; Project Topic: denial of service due to some problem Category: core Module: sys Announced: 2003-09-23 Credits: Person@EMAIL-ADDRESS Affects: All releases of &os; &os; 4-STABLE prior to the correction date Corrected: 2003-09-23 16:42:59 UTC (RELENG_4, 4.9-PRERELEASE) 2003-09-23 20:08:42 UTC (RELENG_5_1, 5.1-RELEASE-p6) 2003-09-23 20:07:06 UTC (RELENG_5_0, 5.0-RELEASE-p15) 2003-09-23 16:44:58 UTC (RELENG_4_8, 4.8-RELEASE-p8) 2003-09-23 16:47:34 UTC (RELENG_4_7, 4.7-RELEASE-p18) 2003-09-23 16:49:46 UTC (RELENG_4_6, 4.6-RELEASE-p21) 2003-09-23 16:51:24 UTC (RELENG_4_5, 4.5-RELEASE-p33) 2003-09-23 16:52:45 UTC (RELENG_4_4, 4.4-RELEASE-p43) 2003-09-23 16:54:39 UTC (RELENG_4_3, 4.3-RELEASE-p39) CVE Name: CVE-XXXX-XXXX For general information regarding FreeBSD Security Advisories, including descriptions of the fields above, security branches, and the following sections, please visit http://www.FreeBSD.org/security/. I. Background II. Problem Description III. Impact IV. Workaround V. Solution VI. Correction details VII. References Topic(标题) 一栏说明了问题到底是什么。 它基本上是对所发现的安全问题及其所涉及的工具的描述。 Category (分类) 是指系统中受到影响的组件, 这一栏可能是 corecontrib, 或者 ports 之一。 core 分类表示安全弱点影响到了 &os; 操作系统的某个核心组件。 contrib 分类表示弱点存在于某个捐赠给 &os; Project 的软件, 例如 sendmail。 最后是 ports, 它表示该弱点影响了 Ports Collection 中的某个第三方软件。 Module(模块) 一栏给出了组件的具体位置, 例如 sys。 在这个例子中, 可以看到 sys 模块是存在问题的; 因此, 这个漏洞会影响某个在内核中的组件。 Announced(发布时间) 一栏反映了与安全公告有关的数据是什么时候公之于众的。 这说明安全团队已经证实问题确实存在, 而补丁已经写入了 &os; 的代码库。 Credits(作者) 一栏给出了注意到问题存在并报告它的个人或团体。 The Affects(影响范围) 一栏给出了 &os; 的哪些版本存在这个漏洞。 对于内核来说, 检视受影响的文件上执行的 ident 输出可以帮助确认文件版本。 对于 ports, 版本号在 /var/db/pkg 里面的 port 的名字后面列出。 如果系统没有与 &os; CVS 代码库同步并每日构建, 它很可能是有问题的。 Corrected(修正时间) 一栏给出了发行版本中修正问题的具体日期、时间和时差。 在公共漏洞数据库 (Common Vulnerabilities Database) 系统中预留的, 用于查看漏洞的标识信息。 Background(技术背景) 一栏提供了受影响的组件的作用。 多数时候这一部分会说明为什么 &os; 中包含了它, 它的作用, 以及它的一些原理。 Problem Description(问题描述) 一栏深入阐述安全漏洞的技术细节。 这部分有时会包括有问题的代码相关的详细情况, 甚至是这个部件如何能够被恶意利用并打开漏洞的细节。 Impact(影响) 一栏描述了问题能够造成的影响类型。 例如, 可能导致拒绝服务攻击, 权限提升, 甚至导致得到超级用户的权限。 Workaround(应急方案) 一栏给出了系统管理员在暂时无法升级系统时可以采取的临时性对策。 这些原因可能包括时间限制, 网络资源的限制, 或其它因素。 不过无论如何, 安全不能够被轻视, 有问题的系统要么应该打补丁, 要么应该实施这种应急方案。 Solution(解决方案) 一栏提供了如何给有问题的系统打补丁的方法。 这是经过逐步测试和验证过的给系统打补丁并让其安全地工作的方法。 =Correction Details(修正细节) 一栏展示了针对 CVS 分支或某个发行版的修正特征。 同时也提供了每个分支上相关文件的版本号。 References(文献) 一栏通常会给出其它信息的来源。 这可能包括 URL, 书籍、 邮件列表以及新闻组。 Tom Rhodes Contributed by 进程记帐 进程记帐 进程记帐是一种管理员可以使用的跟踪系统资源使用情况的手段, 包括它们分配给了哪些用户、 提供系统监视手段, 并且可以精细到用户执行的每一个命令。 当然, 这种做法是兼有利弊的。 它的好处是, 查找入侵时可以迅速把范围缩小到攻击者进入的时刻; 而这样做的缺点, 则是记帐会产生大量的日志, 因而需要很多磁盘空间来存储它们。 这一节将带领管理员一步一步地配置基本的进程记帐。 启用并利用进程记帐 在使用进程记帐之前, 必须先启用它。 要完成这项工作, 需要运行下面的命令: &prompt.root; touch /var/account/acct &prompt.root; accton /var/account/acct &prompt.root; echo 'accounting_enable="YES"' >> /etc/rc.conf 一旦启用之后, 记帐就会开始跟踪 CPU 统计数据、 命令, 等等。 所有的记帐日志不是以可读的方式记录的, 要查看它们, 需要使用 &man.sa.8; 这个工具。 如果没有给出其他参数, 则 sa 将按用户, 以分钟为单位显示他们所使用的时间、 总共的 CPU 和用户时间, 以及平均的 I/O 操作数目, 等等。 要显示关于刚刚发出的命令的相关信息, 则应使用 &man.lastcomm.1; 工具。 lastcomm 命令可以用来显示在某一 &man.ttys.5; 上的用户信息, 例如: &prompt.root; lastcomm ls trhodes ttyp1 将会显示出所有已知的 trhodesttyp1 终端上执行 ls 的情况。 更多的可用选项在联机手册 &man.lastcomm.1;、 &man.acct.5; 和 &man.sa.8; 中有所介绍。 diff --git a/zh_CN.GB2312/books/handbook/updating/Makefile b/zh_CN.GB2312/books/handbook/updating/Makefile new file mode 100644 index 0000000000..a8d6530926 --- /dev/null +++ b/zh_CN.GB2312/books/handbook/updating/Makefile @@ -0,0 +1,18 @@ +# +# Build the Handbook with just the content from this chapter. +# +# The FreeBSD Simplified Chinese Project +# Original Revision: 1.1 +# +# $FreeBSD$ +# + +CHAPTERS= updating/chapter.sgml + +VPATH= .. + +MASTERDOC= ${.CURDIR}/../${DOC}.${DOCBOOKSUFFIX} + +DOC_PREFIX?= ${.CURDIR}/../../../.. + +.include "../Makefile" diff --git a/zh_CN.GB2312/books/handbook/updating/chapter.sgml b/zh_CN.GB2312/books/handbook/updating/chapter.sgml new file mode 100644 index 0000000000..a590ed151e --- /dev/null +++ b/zh_CN.GB2312/books/handbook/updating/chapter.sgml @@ -0,0 +1,477 @@ + + + + + + + Tom + Rhodes + Written by + + + + + Colin + Percival + Based on notes provided by + + + + + 更新 &os; + + + 概述 + + Updating FreeBSD + + freebsd-update + Updating + + + 长久以来,&os 操作系统的一个主要方面始终没有改变, + 那就是使用应用程序和工具去获得系统各种大大小小的更新。 + + 多年来用户升级他们的系统,收集安全补丁, + 无损 Ports Collection 更新 ports 和 package + 唯一的选择是使用 CVSup + 工具。 + + 当然原来的 CVSup 仍被支持, + 现在有一个 C 语言的版本加入了 &os;, + 并且有些新的方法能用来获得系统更新。 + + 类似像 &man.portsnap.8; 和 &man.freebsd-update.8; + 这样的工具使得升级过程变得更加简便有效。 + 这些新的方法在提高效率的同时也给用户提供一个简洁的接口。 + 一些新的工具能通过 &man.cron.8; 执行, + 从而减少系统管理员的人为介入,这会有益于那些管理着成百上千台 &os; + 的人。 + + 这一章节将会介绍这些新的方法, + 以及用户跟系统管理如何从这些新方法的实用和易用中获益。 + + 在阅读了这章以后,你将了解: + + + + 哪些工具能被用来更新系统和 Ports Collection。 + + + + 如何使用 freebsd-update + 打安全补丁和完成主要及次要的 &os; 升级。 + + + + 如何比较已安装的系统与原来已知拷贝的状态。 + + + + 在阅读这章之前,你应该: + + + + 了解一些 &unix; 和 &os; 的基础知识 + ()。 + + + + 熟悉基本的内核配置/编译方法 + ()。 + + + + 熟悉使用 Ports Collection 在 &os; + 上安装第三方的应用程序 + ()。 + + + + 熟悉组成 &os; 的各个部分以及使用 + &man.mergemaster.8; 工具 + ()。 + + + + + + FreeBSD 更新 + + 打安全补丁是对于维护计算机软件的一个重要部分, + 特别是对于操作系统。对于 &os; 来说, + 很长的一段时间以来这都不是一件容易的事情。 + 补丁打在源代码上,代码需要被重新编译为二进制, + 然后再重新安装编译后的程序。 + + &os; 引入了 freebsd-update + 工具之后这便不再是问题了。这个工具提供了 2 种功能。 + 第一,它可以把二进制的安全和勘误更新直接应用于 &os; + 的基本系统,而不需要重新编译和安装。第二, + 这个工具还支持主要跟次要的发行版的升级。 + + + 由安全小组支持的各种体系结构和发行版都可使用二进制更新。 + 然而有些特性,比如升级 &os; 操作系统需要最近的 &man.freebsd-update.8; + 和 &os; 6.3。在升级到一个新的发行版本之前, + 应先阅读一下当前发行版的声明, + 因为他们可能包含有关于你期望升级版本的重要消息。 + 这些发行声明可以通过以下链接查阅: + + + + 如果 crontab 中存在有用到 + freebsd-update 特性的部分, + 那么这些在开始以下操作前必须先被禁止。最新版本的 + freebsd-update 可以通过上面的 + URL 下载用 tar + 和 gzip 打包的版本, + 并按照下面的命令安装: + + &prompt.root; gunzip -c freebsd-update-upgrade.tgz | tar xvf - +&prompt.root; mv freebsd-update.sh /usr/sbin/freebsd-update +&prompt.root; mv freebsd-update.conf /etc + + 对于所有当前流行的发行版本来说, + 并不需要下载最新版。 + + + 配置文件 + + 有些用户可能希望调整配置文件来更好的控制升级过程。 + 可用参数的文档非常齐全, + 但下面的这些可能需要进一步的解释: + + # Components of the base system which should be kept updated. +Components src world kernel + + 这个参数是控制 &os; 的哪一部分将被保持更新。 + 默认的是更新源代码,整个基本系统还有内核。 + 这些部件跟安装时的那些相同,举例来说, + 在这里加入 “world/games” 就会允许打入游戏相关的补丁。 + 使用 “src/bin” 则是允许更新 + src/bin + 目录中的源代码。 + + 最好的选择是把这个选项保留为默认值, + 因为如果要修改它去包含一些指定的选项, + 就需要用户列出每一个想要更新的项目。 + 这可能会引起可怕的后果, + 因为部分的源代码和二进制程序得不到同步。 + + # Paths which start with anything matching an entry in an IgnorePaths +# statement will be ignored. +IgnorePaths + + 添加路径,比如 + /bin 或者 + /sbin + 让这些指定的目录在更新过程中不被修改。 + 这个选项能够防止本地的修改被 + freebsd-update 覆盖。 + + # Paths which start with anything matching an entry in an UpdateIfUnmodified +# statement will only be updated if the contents of the file have not been +# modified by the user (unless changes are merged; see below). +UpdateIfUnmodified /etc/ /var/ /root/ /.cshrc /.profile + + 更新指定目录中的未被修改的配置文件。 + 用户的任何修改都会使这些文件的自动更新失效。 + 还有另外一个选项, + KeepModifiedMetadata, + 这个能让 freebsd-update + 在合并时保存修改。 + + # When upgrading to a new &os; release, files which match MergeChanges +# will have any local changes merged into the version from the new release. +MergeChanges /etc/ /var/named/etc/ + + 一个 freebsd-update + 应该尝试合并的配置文件的列表。文件合并的过程是 + 一系列的 &man.diff.1; 补丁类似于更少选项的 &man.mergemaster.8; + 合并的选项是接受,打开一个文本编辑器,或者 + freebsd-update 会被中止。 + 在不能确定的时候,请先备份 /etc + 然后接受合并。更多关于 mergemaster + 的信息请参阅 + + # Directory in which to store downloaded updates and temporary +# files used by &os; Update. +# WorkDir /var/db/freebsd-update + + 这个目录是放置所有补丁和临时文件的。 + 用户做一个版本升级的话,请确认此处至少有 1 GB + 的可用磁盘空间。 + + # When upgrading between releases, should the list of Components be +# read strictly (StrictComponents yes) or merely as a list of components +# which *might* be installed of which &os; Update should figure out +# which actually are installed and upgrade those (StrictComponents no)? +# StrictComponents no + + 当设置成 yes 时, + freebsd-udpate 将假设这个 + Components 列表时完整的, + 并且对此列表以外的项目不会修改。实际上就是 + freebsd-update 会尝试更新 + Componets + 列表里的每一个文件。 + + + + 安全补丁 + + 安全补丁存储在远程的机器上, + 可以使用如下的命令下载并安装: + + &prompt.root; freebsd-update fetch +&prompt.root; freebsd-update install + + 如果给内核打了补丁,那么系统需要重新启动。 + 如果一切都进展顺利,系统就应该被打好了补丁而且 + freebsd-update 可由夜间 + &man.cron.8; 执行。在 /etc/crontab + 中加入以下条目足以完成这项任务: + + @daily root freebsd-update cron + + 这条记录是说明每天运行一次 + freebsd-update。用这种方法, + 使用了 参数, + freebsd-update 仅检查是否存在更新。 + 如果有了新的补丁,就会自动下载到本地的磁盘, + 但不会自动给系统打上。root + 会收到一封电子邮件告知需手动安装补丁。 + + 如果出现了错误,可以使用下面的 + freebsd-update + 命令回退到上一次的修改: + + &prompt.root; freebsd-update rollback + + 完成以后如果内核或任何的内核模块被修改的话, + 就需要重新启动系统。这将使 &os; + 装载新的二进制程序进内存。 + + + freebsd-update 只能应用于 + GENERIC 内核。如果对 + GENERIC + 做了任何修改或者安装了一个自行编译的内核, + freebsd-update + 就无法完成升级 — 如前一个范例那样失败后 + 产生一条错误信息。 + + + + + 重大和次要的更新 + + 这个过程会删除旧的目标文件和库, + 这将使大部分的第三方应用程序无法删除。 + 建议将所有安装的 ports 先删除然后重新安装,或者稍后使用 + ports-mgmt/portupgrade + 工具升级。 大多数用户将会使用如下命令尝试编译: + + &prompt.root; portupgrade -af + + 这将确保所有的东西都会被正确的重新安装。 + 请注意环境变量 BATCH 设置成 + yes 的话将在整个过程中对所有询问回答 + yes,这会帮助在编译过程中免去人工的介入。 + + 重大和次要的更新可以由 + freebsd-update 命令后指定一个发行版本来执行, + 举例来说,下面的命令将帮助你升级到 &os; 6.3: + + &prompt.root; freebsd-update -r 6.3-RELEASE upgrade + + 在这个命令被执行后,freebsd-update + 将会先解析配置文件和评估当前的系统以获得更新系统所需的必要信息。 + 然后便会显示出一个包含了已检测到与未检测到的组件列表。 + 例如: + + Looking up update.FreeBSD.org mirrors... 1 mirrors found. +Fetching metadata signature for 6.3-BETA1 from update1.FreeBSD.org... done. +Fetching metadata index... done. +Inspecting system... done. + +The following components of FreeBSD seem to be installed: +kernel/smp src/base src/bin src/contrib src/crypto src/etc src/games +src/gnu src/include src/krb5 src/lib src/libexec src/release src/rescue +src/sbin src/secure src/share src/sys src/tools src/ubin src/usbin +world/base world/info world/lib32 world/manpages + +The following components of FreeBSD do not seem to be installed: +kernel/generic world/catpages world/dict world/doc world/games +world/proflibs + +Does this look reasonable (y/n)? y + + 此时,freebsd-update + 将会尝试下载所有升级所需的文件。在某些情况下, + 用户可能被问及需安装些什么和如何进行之类的问题。 + + 下载完所有的补丁之后,它们很快就会被打上。 + 这个过程可能会持续一段时间,取决与机器的速度和当前的负载情况。 + 配置文件将会被合并 — 这一部分需要用户的参与, + 因为文件可能被合并或者屏幕上弹出了一个文本编辑器用来手工合并。 + 在处理过程中,每一个成功的合并都会给用户显示出来。 + 失败或者被忽略的合并则会引起合并程序的中止。 + 用户可能想要备份一下 /etc + 之后手工合并重要的文件,比如 + master.passwd 或 + group + + + 系统至此还没有被修改,所有的补丁和合并都在另外一个目录中进行。 + 当所有的补丁都被成功的打上了以后,所有的配置文件都被合并后, + 我们就已经完成了整个升级过程中最困难的部分, + 下面就需要用户来安装这些变更了。 + + + 一旦这个步骤完成后,使用如下的命令将升级后的文件安装到磁盘上。 + + &prompt.root; freebsd-update install + + 内核与内核模块会先被打上补丁。此时机器必须要重新启动。 + 使用下面的命令重启机器,这样新的内核将载入内存: + + &prompt.root; shutdown -r now + + 在系统重新上线后,需要再次运行 freebsd-update。 + 升级的状态被保存着,这样 freebsd-update + 就无需重头开始,但是会删除所有旧的共享库和目标文件。 + 执行如下命令继续这个阶段的升级: + + &prompt.root; freebsd-update install + + + 取决与是否有库的版本更新,通常只有 2 个而不是 + 3 个安装阶段。 + + + 现在需要重新编译和安装第三方软件。 + 这么做的原因是某些已安装的软件可能依赖于在升级过程中已删除的库。 + 可使用 ports-mgmt/portupgrade + 自动化这个步骤,以如下的命令开始: + + &prompt.root; portupgrade -f ruby +&prompt.root; rm /var/db/pkg/pkgdb.db +&prompt.root; portupgrade -f ruby18-bdb +&prompt.root; rm /var/db/pkg/pkgdb.db /usr/ports/INDEX-*.db +&prompt.root; portupgrade -af + + 一旦这个完成了以后,再最后一次运行 + freebsd-update 来结束升级过程。 + 执行如下命令处理升级中的所有细节: + + &prompt.root; freebsd-update install + + 重新启动机器进入新版本的 &os; 升级过程至此就完成了。 + + + + 系统状态对照 + + freebsd-update + 工具也可被用来对着一个已知完好的 &os; 拷贝测试当前的版本。 + 这个选项评估当前的系统工具,库和配置文件。 + 使用以下的命令开始对照: + + &prompt.root; freebsd-update IDS >> outfile.ids + + + 这个命令的名称是 IDS, + 它并不是一个像 + security/snort + 这样的入侵检测系统的替代品。因为 + freebsd-update 在磁盘上存储数据, + 很显然它们有被篡改的可能。 + 当然也可以使用一些方法来降低被篡改的可能性,比如设置 + kern.securelevel 和不使用时把 + freebsd-update + 数据放在只读文件系统上,例如 DVD 或 + 安全存放的外置 USB 磁盘上。 + + + 现在系统将会被检查,生成一份包含了文件和它们的 &man.sha256.1; + 哈希值的清单,已知发行版中的值与当前系统中安装的值将会被打印到屏幕上。 + 这就是为什么输出被送到了 outfile.ids 文件。 + 它滚动的太块无法用肉眼对照,而且会很快填满控制台的缓冲区。 + + 这个文件中有非常长的行,但输出的格式很容易分析。 + 举例来说,要获得一份与发行版中不同哈希值的文件列表, + 已可使用如下的命令: + + &prompt.root; cat outfile.ids | awk '{ print $1 }' | more +/etc/master.passwd +/etc/motd +/etc/passwd +/etc/pf.conf + + 这份输出时删节缩短后的,其实是有更多的文件。 + 其中有些文件并非人为修改,比如 + /etc/passwd + 被修改是因为添加了用户进系统。在某些情况下, + 还有另外的一些文件,诸如内核模块与 + freebsd-update 的不同是因为它们被更新过了。 + 为了指定的文件或目录排除在外,把它们加到 + /etc/freebsd-update.conf 的 + IDSIgnorePaths 选项中。 + + 除了前面讨论过的部分之外, + 这也能被当作是对升级方法的详细补充。 + + + + + Portsnap: 一个 Ports Collection 更新工具 + + &os; 基本系统也包括了一个更新 Ports Collection 的工具: + &man.portsnap.8;。在运行之后,它会连上一个远程网站, + 校验安全密钥,然后下载一份 Ports Collection 的拷贝。 + 密钥是用来校验所有下载文件的完整性,确保它们在传输是未被修改。 + 使用以下的命令下载最新的 Ports Collection: + + &prompt.root; portsnap fetch +Looking up portsnap.FreeBSD.org mirrors... 3 mirrors found. +Fetching snapshot tag from portsnap1.FreeBSD.org... done. +Fetching snapshot metadata... done. +Updating from Wed Aug 6 18:00:22 EDT 2008 to Sat Aug 30 20:24:11 EDT 2008. +Fetching 3 metadata patches.. done. +Applying metadata patches... done. +Fetching 3 metadata files... done. +Fetching 90 patches.....10....20....30....40....50....60....70....80....90. done. +Applying patches... done. +Fetching 133 new ports or files... done. + + 这个例子展示的是 &man.portsnap.8; + 发现并校验了几个用于当前 ports 的补丁。这还表明以前运行过, + 如果是第一次运行的话,那么仅仅只会下载 Ports Collection。 + + 在 &man.portsnap.8; 成功完成一次 + fetch 操作后,而且本地系统上的 Ports Collection + 和随之而来的补丁通过校验以后。键入以下命令安装更新文件: + + &prompt.root; portsnap extract +/usr/ports/.cvsignore +/usr/ports/CHANGES +/usr/ports/COPYRIGHT +/usr/ports/GIDs +/usr/ports/KNOBS +/usr/ports/LEGAL +/usr/ports/MOVED +/usr/ports/Makefile +/usr/ports/Mk/bsd.apache.mk +/usr/ports/Mk/bsd.autotools.mk +/usr/ports/Mk/bsd.cmake.mk +... + + 至此更新就完成了,然后便可以使用更新后的 + Ports Collection 来安装或升级应用程序。 + + diff --git a/zh_CN.GB2312/books/handbook/users/chapter.sgml b/zh_CN.GB2312/books/handbook/users/chapter.sgml index 3e650e0bd3..1e1d3d9fb1 100644 --- a/zh_CN.GB2312/books/handbook/users/chapter.sgml +++ b/zh_CN.GB2312/books/handbook/users/chapter.sgml @@ -1,912 +1,912 @@ Neil Blakey-Milner Contributed by 用户和基本的帐户管理 概述 FreeBSD允许多个用户同时使用计算机. 当然,这些用户中不是很多人同时坐在同一台计算机前. Well, 除非您连接多个终端设备,这种情况我们在讨论. ,而是其他用户可以通过网络来使用同一台计算机以完成他们的工作.要使用系统,每个人都应该有一个帐户. 读完这章,您将了解到: 在一个FreeBSD系统上不同用户帐户之间的区别. 如何添加用户帐户. 如何删除用户帐户. 如何改变帐户细节,如用户的全名,或首选的shell. 如何在每个帐户基础上设置限制,来控制像内存,CPU时钟这样的资源. 如何使用组来使帐户管理更容易. 在阅读这章之前,您应当了解: 了解&unix;和FreeBSD的基础知识 (). 介绍 所有访问系统的用户都是通过帐户完成的,所以用户和帐户管理是FreeBSD系统不可或缺的重要部分. 每个FreeBSD系统的帐户都有一些和它相对应的信息去验证它. 用户名 用户名在login: 提示符的后面键入。 用户名对于一台计算机来讲是唯一的; 您不可以使用两个相同的用户名来登录。 有很多用来创建正确用户名的规则, 具体请参考 &man.passwd.5;; 您使用的用户名通常需要8个或更少的小写字母。 口令 每个帐户都有一个口令与它对应。 口令可以是空的, 这样不需要口令就可以访问系统。 这通常不是一个好主意; 每个帐户都应该有口令。 用户 ID (UID) UID是系统用来识别用户的数字,传统上它的范围是0到65536之间 可以使用的 UID/GID 的最大值是 4294967295, 但这可能会给采用上述假定的软件造成严重的问题。 ,用以唯一地标识用户。 FreeBSD在内部使用UID来识别用户 — 在工作以前。 任何允许您指定一个用户名的 FreeBSD 命令都会把它转换成UID。 这意味着您可以用不同的用户名使用多个帐户, 但它们的UID是一样的。 FreeBSD 会把这些帐户认定是同一个用户。 组ID (GID) GID是用来识别用户所在的组的, 传统上范围在0到65536之间的数字。 组是一种基于用户GID而不是它们的UID的用来控制用户访问资源的机制。 这可以减少一些配置文件的大小。 一个用户也可以属于多个组。 登录类 登录类是对组机制的扩展,当把系统分配给不同用户时,它提供了额外的灵活性. 口令的定期更改 默认情况下, FreeBSD 并不强制用户去改变他们的口令。 您可以以用户为单位强制要求一些或所有的用户定期改变他们的口令。 帐户的到期时间 默认情况下 FreeBSD 不会自动完成帐户过期操作。 如果您正在创建帐户, 您应该知道一个帐户的有效使用期限。 例如, 在学校里您会为每个学生建立一个帐户, 您可以指定它们何时过期。 帐户过期后, 虽然帐户的目录和文件仍然存在, 但帐户已经不能继续使用了。 用户的全名 用户名可以唯一地识别FreeBSD的帐户, 但它不会反映用户的全名。 这些信息可能与帐户是相关的。 主目录 主目录是用户用来启动的目录的完全路径。 一个通常的规则是把所有用户的主目录都放在 /home/username 下,或者 /usr/home/username 下。 用户将把他们的个人文件放在自己的主目录下, 他们可以在那里创建任何目录. 用户 shell Shell提供了用户用来操作系统的默认环境。 有很多不同的shell, 有经验的用户会根据他们的经验来选择自己喜好的shell。 有三种类型的帐户: 超级用户, 系统用户, 以及 普通用户。 超级用户帐户通常叫做 root, 可以没有限制地管理系统。 系统用户运行服务。 最后, 普通用户给那些登录系统以及阅读邮件的人使用。 超级用户帐户 帐户 超级用户 (root) 超级用户帐户, 通常叫做 root, 可以重新配置和管理系统, 在收发邮件, 系统检查或编程这样的日常工作中, 尽量不要使用root权限。 这是因为不象普通用户帐户, 超级用户能够无限制地操作系统, 超级用户帐户的滥用可能会引起无法想象的灾难。 普通的用户帐户不会由于出错而破坏系统, 所以要尽可能的使用普通帐户, 除非您需要额外的特权。 在使用超级用户命令时要再三检查, 因为一个额外的空格或缺少某个字符的命令都可能会引起数据丢失。 所以, 在阅读完这章后您第一件要做的事就是, 在平时使用的时候, 创建一个没有特权的用户帐户。 无论您使用的是单用户还是多用户系统这样的申请都是相同的。 在这章的后面, 我们将讨论如何创建一个额外的帐户和如何在普通用户和超级用户之间进行切换。 系统帐户 帐户 系统 系统用户是那些要使用诸如DNS、 邮件, web等服务的用户。 使用帐户的原因就是安全; 如果所有的用户都由超级用户来运行, 那它们就可以不受约束地做任何事情。 帐户 daemon 帐户 operator 典型的系统帐户包括 daemonoperatorbind (供 域名服务 使用)、 news, 以及 www 帐户 nobody nobody 是普通的没有特权的系统用户。 然而, 大多数与用户联系很密切的服务是使用 nobody的, 记的这点非常重要, 这样可能使用户变的非常有特权。 用户帐户 帐户 用户 用户帐户是让真实的用户访问系统的主要方式, 这些帐户把用户和环境隔离, 能阻止用户损坏系统和其他用户, 在不影响其他用户的情况之下定制自己的环境。 任何人访问您的系统必须要有他们自己唯一的帐户。 这可以让您找到谁做了什么事, 并且阻止人们破坏其他用户的设置和阅读其他人的邮件等等。 每个用户能够设置他们自己的环境, 以利于他们通过改变shell, 编辑器, 键盘绑定和语言等适应并且更好的使用这个系统。 修改帐户 帐户 修改 在&unix; 的处理用户帐户的环境中有很多不同的命令可用. 最普通的命令如下, 接下来是详细使用它们的例子。 命令 摘要 &man.adduser.8; 在命令行添加新用户. &man.rmuser.8; 在命令行删除用户. &man.chpass.1; 一个灵活的用于修改用户数据库信息的工具. &man.passwd.1; 一个用于修改用户口令的简单的命令行工具. &man.pw.8; 一个强大灵活修改用户帐户的工具. <command>添加用户</command> 帐户 添加 添加用户 /usr/share/skel skeleton directory &man.adduser.8; 是一个简单的添加新用户的命令. 它为用户创建 passwdgroup 文件。 它也为新用户创建一个主目录, 之后, 它会复制一组默认的配置文件 (dotfiles) 从 /usr/share/skel 这个目录, 然后给新用户发送一封带欢迎信息的邮件。 在 &os; 中添加一个新用户 &prompt.root; adduser Username: jru Full name: J. Random User Uid (Leave empty for default): Login group [jru]: Login group is jru. Invite jru into other groups? []: wheel Login class [default]: Shell (sh csh tcsh zsh nologin) [sh]: zsh Home directory [/home/jru]: Use password-based authentication? [yes]: Use an empty password? (yes/no) [no]: Use a random password? (yes/no) [no]: Enter password: Enter password again: Lock out the account after creation? [no]: Username : jru Password : **** Full Name : J. Random User Uid : 1001 Class : Groups : jru wheel Home : /home/jru Shell : /usr/local/bin/zsh Locked : no OK? (yes/no): yes adduser: INFO: Successfully added (jru) to the user database. Add another user? (yes/no): no Goodbye! &prompt.root; 您输入的口令并不会回显到屏幕上, 此外系统也不会显示星号。 请务必确保没有输错口令。 <command>删除用户</command> rmuser 帐户 删除 您可以使用&man.rmuser.8; 从系统中完全删除一个用户. &man.rmuser.8; 执行如下步骤: 删除用户的 &man.crontab.1; 记录 (如果有的话). 删除属于用户的&man.at.1; 工作. 杀掉属于用户的所有进程. 删除本地口令文件中的用户. 删除用户的主目录 (如果他有自己的主目录). 删除来自 /var/mail属于用户的邮件. 删除所有诸如 /tmp的临时文件存储区中的文件. 最后, 删除 /etc/group中所有属于组的该用户名. 如果一个组变成空,而组名和用户名一样,组将被删除. &man.adduser.8;命令建立每个用户唯一的组. &man.rmuser.8; 不能用来删除超级用户的帐户, 因为那样做是对系统极大的破坏. 默认情况下, 使用交互模式, 这样能够让您清楚的知道您在做什么. <command>删除用户</command> 交互模式下的帐户删除 &prompt.root; rmuser jru Matching password entry: jru:*:1001:1001::0:0:J. Random User:/home/jru:/usr/local/bin/zsh Is this the entry you wish to remove? y Remove user's home directory (/home/jru)? y Updating password file, updating databases, done. Updating group file: trusted (removing group jru -- personal group is empty) done. Removing user's incoming mail file /var/mail/jru: done. Removing files belonging to jru from /tmp: done. Removing files belonging to jru from /var/tmp: done. Removing files belonging to jru from /var/tmp/vi.recover: done. &prompt.root; <command>chpass</command> chpass &man.chpass.1; 可以改变用户的口令, shells, 和包括个人信息在内的数据库信息. 只有系统管理员, 即超级用户, 才可以用 &man.chpass.1; 改变其他用户口令和信息。 除了可选择的用户名, 不需要任何选项, &man.chpass.1; 将显示一个包含用户信息的编辑器. 可以试图改变用户在数据库中的信息. 如果您不是超级用户的话, 在退出编辑状态之后, 系统会询问您口令。 以超级用户交互执行 <command>chpass</command> 命令 #Changing user database information for jru. Login: jru Password: * Uid [#]: 1001 Gid [# or name]: 1001 Change [month day year]: Expire [month day year]: Class: Home directory: /home/jru Shell: /usr/local/bin/zsh Full Name: J. Random User Office Location: Office Phone: Home Phone: Other information: 普通用户只能改变他们自己很少的一部分信息. 以普通用户交互执行 <command>chpass</command> 命令 #Changing user database information for jru. Shell: /usr/local/bin/zsh Full Name: J. Random User Office Location: Office Phone: Home Phone: Other information: &man.chfn.1; 和 &man.chsh.1; 只是到 &man.chpass.1; 的符号连接, 类似地, &man.ypchpass.1;, &man.ypchfn.1; 以及 &man.ypchsh.1; 也是这样。 NIS 是自动支持的, 不一定要在命令前指定 yp。 如果这让您有点不太明白, 不必担心, NIS 将在 介绍。 <command>passwd命令</command> passwd命令 帐户 改变口令 &man.passwd.1; 是改变您自己作为一个普通用户口令或者作为超级用户口令常用的方法. 用户改变口令前必须键入原来的口令, 防止用户离开终端时非授权的用户进入改变合法用户的口令。 改变您的口令 &prompt.user; passwd Changing local password for jru. Old password: New password: Retype new password: passwd: updating the database... passwd: done 改变其他用户的口令同超级用户的一样 &prompt.root; passwd jru Changing local password for jru. New password: Retype new password: passwd: updating the database... passwd: done 就象 &man.chpass.1;一样, &man.yppasswd.1; 只是一个到 &man.passwd.1;的连接, 所以NIS用任何一个命令都可以正常工作. <command>pw命令</command> pw命令 &man.pw.8; 是一个用来创建、删除、修改、显示用户和组的命令行工具。 它还有系统用户和组文件编辑器的功能。 &man.pw.8; 有一个非常强大的命令行选项设置, 但新用户可能会觉得它比这里讲的其它命令要复杂很多。 限制用户使用系统资源 限制用户使用系统资源 帐户 限制 如果您有一些用户, 并想要对他们所使用的系统资源加以限制, FreeBSD 提供了一些系统管理员限制用户访问系统资源的方法。 这些限制通常被分为两种: 磁盘配额, 以及其它资源限制。 配额 限制用户使用系统资源 配额 磁盘配额 磁盘配额限制用户对磁盘的使用, 而且它还提供一种快速检查用户使用磁盘数量而不需要时刻计算的方法。 配额将在 讨论. 其它资源限制包括CPU、 内存以及用户可能会使用的其它资源。 这些是通过对登录进行分类完成的, 下面将做讨论。 /etc/login.conf 登录的类由 /etc/login.conf 文件定义。 比较精确的描述超出了本章的范围, 但 &man.login.conf.5; 联机手册会有比较详细的描述。 可以说每个用户都分配到一个登录类 (默认是 defalut), 每个登录类都有一套和它相对应的功能。 登录功能是 名字= 这样的一对值, 其中名字 是一个众所周知的标识符, 是一个根据名字经过处理得到的任意字符串。 设置登录类和功能相当简单, 在 &man.login.conf.5; 联机手册会有比较详细的描述。 系统并不直接读取 /etc/login.conf 中的配置, 而是采用数据库文件 /etc/login.conf.db 以提供更快的查找能力。 要从 /etc/login.conf 文件生成 /etc/login.conf.db, 应使用下面的命令: &prompt.root; cap_mkdb /etc/login.conf 资源限制与普通登录限制是有区别的。 首先, 对于每种限制, 有软限制 (比较常见) 和硬限制之分。 一个软限制可能被用户调整过, 但不会超过硬限制。 越往后可能越低, 但不会升高。 其次, 绝大多数资源限制会分配特定用户的每个进程, 而不是该用户的全部进程。 注意, 这些区别是资源限制的特殊操作所规定的, 不是登录功能框架的完成 (也就是说, 他们实际上 不是一个登录功能的特例)。 不再罗嗦了, 下面是绝大多数资源限制的例子 (您可以在 &man.login.conf.5; 找到其它与登录功能相关的内容)。 coredumpsize coredumpsize 限制用户使用系统资源 coredumpsize 很明显, 由程序产生的核心文件大小的限制在磁盘使用上是属于其它限制的 (例如, 文件大小, 磁盘配额)。 不过, 由于用户自己无法产生核心文件, 而且通常并不删除它们, 设置这个可以尽量避免由于一个大型应用程序的崩溃所造成的大量磁盘空间的浪费。 (例如, emacs) 崩溃。 cputime cputime 限制用户使用系统资源 cputime 这是一个用户进程所能消耗的最长 CPU 时间。 违反限制的进程, 将被内核杀掉。 这是一个有关CPU消耗的时钟 限制, 不是&man.top.1; 和 &man.ps.1; 命令时屏幕上显示的CPU消耗的百分比。 在写此说明时, - 后者的限制是是不太可能和没有价值的: 编译器 — + 后者的限制是不太可能和没有价值的: 编译器 — 编译一个可能是合法的工作 — 可以在某一时刻轻易的用掉 100% 的 CPU。 filesize filesize 限制用户使用系统资源 filesize 这是用户可以处理一个文件的最大值。 不象 磁盘配额, 这个限制是对单个文件强制执行的, 不是用户自己的所有文件。 maxproc maxproc 限制用户使用系统资源 maxproc 这是一个用户可以运行的最大进程数。 这包括前台和后台进程。 很明显, 这不可能比系统指定 kern.maxproc &man.sysctl.8; 的限制要大。 同时也要注意, 设置的过小会妨碍用户的处理能力: 可能需要多次登录或执行多个管道。 一些任务, 例如编译一些大的程序, 也可能会产生很多进程 (例如, &man.make.1;, &man.cc.1; 以及其它一些预处理程序)。 memorylocked memorylocked 限制用户使用系统资源 memorylocked 这是一个进程允许锁到主存中的最大内存容量 (参见 &man.mlock.2;)。 大型程序, 例如像 &man.amd.8; 在遇到问题时, 它们得到的巨大交换量无法传递给系统进行处理。 memoryuse memoryuse 限制用户使用系统资源 memoryuse 这是在给定时间内一个进程可能消耗的最大内存数量。 它包括核心内存和交换内存。 在限制内存消耗方面, 这不是一个完全的限制,但它是一个好的开始。 openfiles openfiles 限制用户使用系统资源 openfiles 这是一个进程可以打开的最大文件数。 在FreeBSD中, 文件可以被表现为套接字和IPC通道; 注意不要把这个数设置的太小。 系统级的限制是由 kern.maxfiles 定义的, 详情参见 &man.sysctl.8;。 sbsize sbsize 限制用户使用系统资源 sbsize 这是网络内存数量的限制, 这主要是针对通过创建许多套接字的老式 DoS 攻击的, 但也可以用来限制网络通信。 stacksize stacksize 限制用户使用系统资源 stacksize 这是一个进程堆栈可能达到的最大值。 它不能单独的限制一个程序可能使用的内存数量; 所以, 需要与其它的限制手段配合使用。 在设置资源限制时, 有一些其他的事需要注意。 下面是一些通常的技巧、 建议和注意事项。 系统启动的进程/etc/rc会被指派给 守护程序 的登录类. 虽然 /etc/login.conf 文件是一个对绝大多数限制做合理配置的资源文件, 但只有您也就是系统管理员,才知道什么最适合您的系统。 设置的太高可能会因为过于开放而导致系统被滥用, 而设置过低, 则可能降低效率。 使用 X Window 的用户可能要比其他用户使用更多的资源。 因为X11本身就使用很多资源, 而且它鼓励用户同时运行更多的程序。 务必注意, 许多限制措施是针对单个进程来实施的, 它们并不限制某一用户所能用到的总量。 例如, 将 openfiles 设置为 50 表示以该用户身份运行的进程最多只能打开 50 个文件。 因而, 用户实际可以打开的文件总数就应该是 maxprocopenfiles 值的乘积。 对内存用量的限额与此类似。 有关资源限制,登录类的更深入信息可以查看相关联机手册: &man.cap.mkdb.1;, &man.getrlimit.2;, &man.login.conf.5;. /etc/groups 帐户 组简单的讲就是一个用户列表. 组通过组名和GID (组 ID) 来识别。 在 FreeBSD (以及绝大多数其他 &unix; 系统) 中, 内核用以决定一个进程是能够完成一项动作的两个因素是它所属的用户 ID 和组 ID。 与用户 ID 不同, 每个进程都有一个和它相关联的组的列表。 您可能听说过用户或进程的 组 ID; 大多数情况下, 这表示列表中的第一个组。 与组ID对应的组名在/etc/group中。 这是一个由冒号来界定的文本文件。 第一部分是组名, 第二部分是加密后的口令, 第三部分是组ID, 第四部分是以逗号相隔的成员列表。 它可以用手工方式进行编辑 (当然, 如果您能保证不出语法错误的话!)。 对于更完整的语法描述, 参见 &man.group.5; 联机手册. 如果不想手工编辑 /etc/group, 也可以使用 &man.pw.8; 添加和编辑组。 例如, 要添加一个叫 teamtwo 的组, 确定它存在: 使用&man.pw.8;添加一个组 &prompt.root; pw groupadd teamtwo &prompt.root; pw groupshow teamtwo teamtwo:*:1100: 上面的数字 1100 是组 teamtwo 的组 ID。 目前, teamtwo 还没有成员, 因此也就没有多大用处。 接下来, 把 jru 加入到 teamtwo 组。 使用 &man.pw.8; 设置组的成员列表 &prompt.root; pw groupmod teamtwo -M jru &prompt.root; pw groupshow teamtwo teamtwo:*:1100:jru 所需的参数是一个用逗号分隔的组中将要成为成员的用户列表。 前面我们已经知道, 口令文件中, 每个用户已经指定了一个所属组。 之后用户被自动地添加到组列表里; 当我们使用 命令时 &man.pw.8; 用户列表不被显示出来。 但当通过 &man.id.1; 或者类似工具查看时, 就会看到用户列表。 换言之, &man.pw.8; 命令只能读取 /etc/group 文件; 它从不尝试从 /etc/passwd 文件读取更多信息。 使用 &man.pw.8; 为组添加新的成员 &prompt.root; pw groupmod teamtwo -m db &prompt.root; pw groupshow teamtwo teamtwo:*:1100:jru,db 选项的参数是一个由逗号分隔的即将被添加进组的用户列表。 与先前那个例子的不同之处在于, 这个列表中的用户将被添加进组而非取代组中的现有用户。 使用&man.id.1;来决定组成员 &prompt.user; id jru uid=1001(jru) gid=1001(jru) groups=1001(jru), 1100(teamtwo) 正如您所看到的, jru 是组 jru 和组 teamtwo的成员. 有关&man.pw.8;的更多信息, 请参看其它联机手册。 更多的关于 /etc/group 文件格式的信息, 请参考 &man.group.5; 联机手册。