菜鸟100问

minok

http://cnsnap.cn.freebsd.org/doc/zh_CN.GB2312/books/handbook/dirstructure.html

1. FreeBSD目录说明
   
2. 
   
3. 用列表的方式说明一下FreeBSD目录
   
4. 
   
5. 目录 介绍
   
6. / 文件系统的根目录。
   
7. 
   
8. /bin/ 在单个用户和多用户环境下的基本工具目录。
   
9. 
   
10. /boot/ 在操作系统在启动加载期间所用的程序和配置。
    
11. 
    
12. /boot/defaults/ 默认每步引导启动的配置内容，请查阅loader.conf(5)。
    
13. 
    
14. /dev/ 设备节点，请查阅 intro(4)。
    
15. 
    
16. /etc/ 系统启动的配置和脚本。
    
17. 
    
18. /etc/defaults/ 系统默认的启动配置和脚本，请参考 rc(8) 。
    
19. 
    
20. /etc/mail/ 关系到邮件系统运作的配置， 请参考 sendmail(8)。
    
21. 
    
22. /etc/namedb/ named 配置文件，请参考 named(8)。
    
23. 
    
24. /etc/periodic/ 每天、每星期和每月周期性地运行的脚本， 请通过 cron(8)查阅 periodic(8)。
    
25. 
    
26. /etc/ppp/ ppp配置文件，请查阅ppp(8)。
    
27. 
    
28. /mnt/ 由管理员习惯使用挂接点的临时空目录。
    
29. 
    
30. /proc/ 运行中的文件系统，请参阅 procfs(5) 和 mount_procfs(8)。
    
31. 
    
32. /rescue/ 用于紧急恢复的一组静态联编的程序； 参见 rescue(8)。
    
33. 
    
34. /root/ root用户的Home(主)目录。
    
35. 
    
36. /sbin/ 在单个用户和多用户环境下的存放系统程序和管理所需的基本实用目录。
    
37. 
    
38. /stand/ 独立的程序环境。
    
39. 
    
40. /tmp/ 临时文件。 /tmp 目录中的内容，一般不会在系统重新启动之后保留。 通常会将基于内存的文件系统挂在 /tmp 上。 这一工作可以用一系列 tmpmfs 相关的 rc.conf(5) 变量来自动完成。 (或者， 也可以在 /etc/fstab 增加对应项； 参见 mdmfs(8))。
    
41. 
    
42. /usr/ 存放大多数用户的应用软件。
    
43. 
    
44. /usr/bin/ 存放实用命令，程序设计工具，和应用软件。
    
45. 
    
46. /usr/include/ 存放标准 C include 文件.
    
47. 
    
48. /usr/lib/ 存放库文件。
    
49. 
    
50. /usr/libdata/ 存放各种实用工具的数据文件。
    
51. 
    
52. /usr/libexec/ 存放系统实用或后台程序 (从另外的程序启动执行)。
    
53. 
    
54. /usr/local/ 存放本地执行文件， 库文件等等， 同时也是 FreeBSD ports 安装的默认安装目录。 /usr/local 在 /usr 中的目录布局大体相同，请查阅 hier(7)。 但 man 目录例外， 它们是直接放在 /usr/local 而不是 /usr/local/share 下的， 而 ports 说明文档在 share/doc/port。
    
55. 
    
56. /usr/obj/ 通过联编 /usr/src 得到的目标文件。
    
57. 
    
58. /usr/ports 存放 FreeBSD 的 Ports Collection (可选)。
    
59. 
    
60. /usr/sbin/ 存放系统后台程序 和 系统工具 (由用户执行)。
    
61. 
    
62. /usr/share/ 存放架构独立的文件。
    
63. 
    
64. /usr/src/ 存放 BSD 或者本地源码文件。
    
65. 
    
66. /usr/X11R6/ 存放 X11R6 可执行文件、 库文件、 配置文件等的目录(可选)。
    
67. 
    
68. /var/ 多用途日志、 临时或短期存放的， 以及打印假脱机系统文件。有时会将基于内存的文件系统挂在 /var 上。 这一工作可以通过在 rc.conf(5) 中设置一系列 varmfs 变量 (或在 /etc/fstab 中加入一行配置； 参见 mdmfs(8)) 来完成。
    
69. 
    
70. /var/log/ 存放各种的系统记录文件。
    
71. 
    
72. /var/mail/ 存放用户mailbox(一种邮件存放格式)文件。
    
73. 
    
74. /var/spool/ 各种打印机和邮件系统spooling(回环)的目录。
    
75. 
    
76. /var/tmp/ 临时文件。 这些文件在系统重新启动时通常会保留， 除非 /var 是一个内存中的文件系统。
    
77. 
    
78. /var/yp NIS 映射。
    

复制代码

[ 本帖最后由 minok 于 2006-12-4 14:04 编辑 ]

minok

摘录Handbook读书笔记-第3章

3.2.5 单用户模式的控制台
console none unknown off secure
改成
console none unknown off insecure
初始设置为secure表示系统重新启动之后，如果管理员要求进入单用户状态，将不询问root的口令进行验证，这是一个重要的安全漏洞。将secure更改为insecure可以使得进入单用户状态时首先验证root口令。当然它也有可能带来一定的问题，就是：一旦系统损坏了passwd文件(主要是 master.passwd文件)，root口令无法认证，就没有办法进入单用户状态进行修复工作。解决方法是需要使用安装盘启动fixit 系统进行修正。或者用livecd开机,把系统挂上,chroot后再passwd修改密码。

minok

3.3权限
chmod [-fhv] [-R [-H | -L | -P]] mode file ...
-f：权限无法被更改也不要显示错误讯息
-h：改变符号链接文件本身的属性，不是默认的改变符号链接所链接的目标文件属性。
-v：一个-v的时候显示权限变更的文件的名字，多个的时候，以八进制显示权限变更的详细情况。
-R：对目录下的文件及子目录进行相同的权限变更（不含连接文件），以递归的方式逐个改变。
-R –H：只对当前命令行里的符号链接文件起作用。
-R –L：相对于-R，它增加了一个功能：对所有的符号链接文件也起作用。
-R –P：跟chmod -R作用一样，对连接文件不起作用，这是default。

chflags [-h] [-R [-H | -L | -P]] flags file ...
-h：改变符号链接文件本身的属性，不是默认的改变符号链接所链接的目标文件属性。
-R：对目录下的文件及子目录进行相同的权限变更（不含连接文件），以递归的方式逐个改变。
-R –H：只对当前命令行里的符号链接文件起作用。
-R –L：相对于-R，它增加了一个功能：对所有的符号链接文件也起作用。
-R –P：跟chmod -R作用一样，对连接文件不起作用，这是default。

有如下flags可用：
schg, schange, simmutable
set the system immutable flag (super-user only)
防止误删或被修改，root要改回来也是只有在单用户模式或者securelevel在0或以下
uchg, uchange, uimmutable
set the user immutable flag (owner or super-user only)
跟schg一样，唯一区别是除了root之外文件所有者也有权限修改
nodump  
set the nodump flag (owner or super-user only)
不让备份，dump(备份的时候不备份该文件
sappnd, sappend
set the system append-only flag (super-user only)
只能在文件后面添加内容
uappnd, uappend
set the user append-only flag (owner or super-user only)
跟sappnd一样，但是文件所有者也可以设置
sunlnk, sunlink
set the system undeletable flag (super-user only)
系统禁删标志，不管上层目录的权限如何都不让删除
uunlnk, uunlink
set the user undeletable flag (owner or super-user only)
跟sunlnk类似，但是文件所有者也可以设置
opaque  
set the opaque flag (owner or super-user only)
让那些以unionfs方式mount的目录看起来跟正常的mount一样。
arch, archived
set the archived flag (super-user only)
似乎没什么用处，其他程序都忽略了它

ls –lo可以看到这些标志是否被设置了。Flags前面加no或者去掉原来的no就是相反的作用了。如果要偷懒，chflags 0 foo，就会把foo文件的所有flags都去掉，但不推荐。

chmod涉及到权限的问题，在另外一篇文章中有比较详细的介绍了，发在小剑的blog中了，文件安全与权限

minok

3.5 磁盘组织
文件系统是固定大小的。 当安装FreeBSD时新建一个文件系统并设定一个大小，您会在稍后发觉到必须去建一个大的分区。 如果配置不当， 则需要备份、 重新创建文件系统，然后再恢复数据。
重要: FreeBSD 4.4 或更高的版本提供了 growfs( 命令。这使得能够实时地调整文件系统的大小， 因而不再受其限制。
在以前，比如，我的/usr文件系统可以已经108%，这时怎么办呢？  一般的做法是：  
mv /usr/share/X11R6 /dev/ad0s8  #把占用磁盘最大的那个目录搬到新的地方，这里我是把我的新分区/dev/ad0s8挂上了，当然，如果你愿意，你也可以挂到/tmp  /var这样的地方也行。
ln -s /dev/ad0s8/X11R6 /usr/share/X11R6 #东西搬走了，你还要回过头来在原来的位置做软链接。
现在可以用growfs命令了。这是一个具体的例子http://www.cublog.cn/u/4206/showart.php?id=106112

3.8守护进程，信号和杀死进程
为什么使用 /bin/kill?: 许多shell提供了内建kill命令， 这样， shell就能直接发送信号，而不是运行 /bin/kill。 这点非常有用，但不同shell有不同的语法来指定发送信号的名字， 与其试图把它们学完倒不如简单地直接使用 /bin/kill ...。

minok

原帖由 @kang 于 2006-12-6 14:30 发表


應該為：mail -s "Hi,friend!"  charles@netease.com < attach.file

谢谢@kang指出错误, 学习了.

minok

原帖由 11334161 于 2006-12-7 00:19 发表
我用的是電信的，電信太缺德，不知道用什麽吧pppoe給封了，必須要用它們的急速星空才能連上去，我都無言了，順便求破解辦法啊，我市西安電信的！！

引述 http://www.cnbeta.com/modules.ph ... ticle&sid=18389

星空极速会改掉你的密码，给你的网络连接加一个PPPOE的密码协议转换，你在星空极速软件上使用的还是你原来的密码，但是实际PPPOE协议发出的密码，却是一套转换过的。
mephisto发现了这个现象，他在windows下装了星空极速，在Linux下使用原密码就不能上网了，用SNIFFER看了一下，实际密码是在原来的密码上加了一串MD5码，这个MD5码是根据用户名算出来的，就比如说你原来的密码是aaaaaaa，用户名是j88888888，那么装了急速星空之后，密码可能会变成aaaaaaa3D8CAB，这个3D8CAB是由j88888888用户名算出来的，但是在急速星空上你还是输入aaaaaaa当作密码，就是说你没有办法知道真实密码了，虽然路由器用的是PPPOE协议拨号，但不知道真实密码当然不能用。

此类问题我不懂, 只能帮你Google一下了, 请找相关专业人士帮忙.

minok

pf中文手册
利用PF輕鬆達成NAT
OpenBSD & PF 之基本防火牆設定
自行架設FreeBSD無線防火牆+無線AP( Access Point )
OpenBSD 超精簡版PF使用手冊
freebsd PF的TARP补丁
使用OpenBSD3.8双ADSL架设负载均衡NAT服务器
pf的NAT能做到100Mb以上流量吗？
freebsd pf+carp的问题能否在一台网关上用
试验一下PF的防火墙
论坛pf 初学者指南?

minok

以下是我的PF学习笔记, 修剪了部分语句并精简化, 打造了自己的PF中文手册, 分享给大家作个参考, 一切皆以pf中文手册为准.

------------------------------------------------------------------------------
目录

* 基本配置
+ 开始
+ 列表和宏
+ 表
+ 包过滤
+ 网络地址转换
+ 流量重定向 (端口转发)
+ 规则生成捷径
* 高级配置
+ 运行选项
+ 流量整形 (数据包标准化)
+ 锚定和命名（子）规则集
+ 队列和优先级
+ 地址池和负载均衡
+ 数据包标记
* 附加主题
+ 日志
+ 性能
+ 研究 FTP
+ pf验证: 用Shell 进行网关验证
* 实例规则集
+ 实例: 家庭和小办公室防火墙

------------------------------------------------------------------------------

minok

防火墙技术：
PF：OpenBSD数据包过滤

新杂人 修译
本文内容与原文pf中文手册不完全一致，鉴于本人水平有限，错误之处难免，请读者自己认真鉴别。
------------------------------------------------------------------------------

包过滤 (以下简称 PF) 是TCP/IP流量过滤和网络地址转换的软件系统。 PF也能提供TCP/IP流量的整形和控制，并且提供带宽控制和数据包优先集控制。PF作为内核的默认安装配置。

PF: 开始

------------------------------------------------------------------------------
激活

开机启动PF，编辑/etc/rc.conf文件，修改配置pf的一行：

pf=YES

重启系统让配置生效。

你也可以通过pfctl程序启动和停止pf

# pfctl -e
# pfctl -d

这只是启动和关闭PF，但不会载入规则集，规则集要么在系统启动时载入，要么在PF启动后通过命令单独载入。

配置

运行PF时从/etc/pf.conf文件载入配置规则。注意当/etc/pf.conf是默认配置文件，它仅仅是作为文本文件由pfctl（8）装入并解释和插入pf（4）的。对于一些应用来说，其他的规则集可以在系统引导后由其他文件载入。

pf.conf 文件有7个部分:

* 宏:用户定义的变量，包括IP地址，接口名称等等
* 表: 一种用来保存IP地址列表的结构
* 选项: 控制PF如何工作的变量
* 整形: 重新处理数据包，进行正常化和碎片整理
* 排队: 提供带宽控制和数据包优先级控制.
* 转换: 控制网络地址转换和数据包重定向.
* 过滤规则: 在数据包通过接口时允许进行选择性的过滤和阻止

除去宏和表，其他的段在配置文件中也应该按照这个顺序出现，尽管对于一些特定的应用并不是所有的段都是必须的。

空行会被忽略，以＃开头的行被认为是注释.

控制

引导之后，PF可以通过pfctl（8）程序进行操作，以下是一些例子：

# pfctl -f /etc/pf.conf 载入 pf.conf 文件
# pfctl -nf /etc/pf.conf 解析文件，但不载入
# pfctl -Nf /etc/pf.conf 只载入文件中的NAT规则
# pfctl -Rf /etc/pf.conf 只载入文件中的过滤规则

# pfctl -sn 显示当前的NAT规则
# pfctl -sr 显示当前的过滤规则
# pfctl -ss 显示当前的状态表
# pfctl -si 显示过滤状态和计数
# pfctl -sa 显示任何可显示的

完整的命令列表，参阅pfctl的man手册页。

minok

PF: 列表和宏
------------------------------------------------------------------------------
列表

一个列表允许一个规则集指定多个相似的标准。列表的定义是将要指定的条目放在{ }大括号中。

block out on fxp0 from { 192.168.0.1, 10.5.32.6 } to any         #规则集碰到列表时，
产生多个规则:
block out on fxp0 from 192.168.0.1 to any         #每条规则对应于列表中的一个条目。
block out on fxp0 from 10.5.32.6 to any

宏

宏是用户定义变量用来指定IP地址，端口号，接口名称等等。宏名称不能包括保留关键字如：
pass, out, 以及 queue.

ext_if = "fxp0"

block in on $ext_if from any to any

这生成了一个宏名称为 ext_if. 被引用时，名称前面以$字符开头。
宏也可以展开成列表，如：
friends = "{ 192.168.1.1, 10.0.2.5, 192.168.43.53 }"

宏能够被重复定义，不能在引号内被扩展，必须使用下面的语法：

host1 = "192.168.1.1"
host2 = "192.168.1.2"
all_hosts = "{" $host1 $host2 "}"

宏 $all_hosts 现在会展开成 192.168.1.1, 192.168.1.2.