BlogJava-RomKK-随笔分类-操作系统

linux redhat9.0/fedora4.0下adsl上网和配置全过程

RomKK — Tue, 24 Jul 2007 14:49:00 GMT

linux联盟原创www.xxlinux.com www.linuxunion.org转贴请标明出处作者上上智

看了这么久的blog,我自写一点配置哈
现在有很多想学习linux的人, 就是因为不能配置上网,所以不想学习现在我从adsl配置到nat全过程如下:
1)安装rp-pppoe-3.5-2包
在安装系统时,对新用户一般选择全部安装的,那就安装了,以后rpm, 或者tarball了,这很方便,对初学者:
eg:
rpm -ivh rp-pppoe-3.5-2.rpm
tarball 安装:
tar zxvf rp-pppoe-3.5-2.tar.gz
cd rp-pppoe-3.5-2
./configure
make
make install
2)rp-pppoe-3.5-2配置
步骤:
a) adsl-setup
出现:
Welcome to the ADSL client setup. First, I will run some checks on
your system to make sure the PPPoE client is installed properly...

The following DSL config was found on your system:

Device:     Name:
ppp0

Please enter the device if you want to configure the present DSL config
(default ppp0) or enter 'n' if you want to create a new one:
//这是我已经安装过了,主要是写文档:选择默认按回车
LOGIN NAME

Enter your Login Name (default lanlgn409ldj@zgcnc):
//这是我已经安装过了,:没有安装是输入adsl用户名
INTERFACE

Enter the Ethernet interface connected to the ADSL modem
For Solaris, this is likely to be something like /dev/hme0.
For Linux, it will be ethX, where 'X' is a number.
(default eth0):
//选择默认按回车
Do you want the link to come up on demand, or stay up continuously?
If you want it to come up on demand, enter the idle time in seconds
after which the link should be dropped. If you want the link to
stay up permanently, enter 'no' (two letters, lower-case.)
NOTE: Demand-activated links do not interact well with dynamic IP
addresses. You may have some problems with demand-activated links.
Enter the demand value (default no):
//选择默认按回车
DNS
Please enter the IP address of your ISP's primary DNS server.
If your ISP claims that 'the server will provide dynamic DNS addresses',
enter 'server' (all lower-case) here.
If you just press enter, I will assume you know what you are
doing and not modify your DNS setup.
Enter the DNS information here:
// 输入server自动得到dns,server的ip
PASSWORD
Please enter your Password:

USERCTRL
Please enter 'yes' (two letters, lower-case.) if you want to allow
normal user to start or stop DSL connection (default yes):
//选择默认按回车问你是否连接
Please choose the firewall rules to use. Note that these rules are
very basic. You are strongly encouraged to use a more sophisticated
firewall setup; however, these will provide basic security. If you
are running any servers on your machine, you must choose 'NONE' and
set up firewalling yourself. Otherwise, the firewall rules will deny
access to all standard servers like Web, e-mail, ftp, etc. If you
are using SSH, the rules will block outgoing SSH connections which
allocate a privileged source port.
The firewall choices are:
0 - NONE: This script will not set any firewall rules. You are responsible
      for ensuring the security of your machine. You are STRONGLY
      recommended to use some kind of firewall rules.
1 - STANDALONE: Appropriate for a basic stand-alone web-surfing workstation
2 - MASQUERADE: Appropriate for a machine acting as an Internet gateway
          for a LAN
Choose a type of firewall (0-2):
//是否设置firwall
Do you want to start this connection at boot time?
Please enter no or yes (default no):
//启动时是否连接
Do you want to start this connection at boot time?
Please enter no or yes (default no):
** Summary of what you entered **
Ethernet Interface: eth0
User name:       lanlgn409ldj@zgcnc
Activate-on-demand: No
DNS:           Do not adjust
Firewalling:     NONE
User Control:     yes
Accept these settings and adjust configuration files (y/n)?
//是否写入配置文件里选择 y
3)假如你是用别人的mac连接
1 redhat9.0改mac:
ifconfig eth0 down
ifconfig eth0 hw ether 5254ab323d51
ifconfig eth0 up
ifup ppp0
2 fedora 4.0改mac:
ifdown eth0
ifconfig eth0 hw ether 5254ab323d51
ifup eth0
ifup ppp0 & adsl-start
4)测试一下
ping www.baidu.com
5)做nat
echo "1" > /proc/sys/net/ipv4/ip_forward //这很重要,路由转发
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -Z -t nat
/sbin/iptables -P INPUT   ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT     ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE//不是adsl也可以把ppp0改成eth0 ,
1一般网卡nat:
[root@test root]# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=dhcp
BROADCAST=192.168.0.255
IPADDR=192.168.0.1
NETMASK=255.255.255.0
NETWORK=192.168.0.0
ONBOOT=yes
[root@test root]# vi /etc/sysconfig/network-scripts/ifcfg-eth0:0
DEVICE=eth0:0
BOOTPROTO=static
BROADCAST=192.168..255
IPADDR=192.168.1.2
NETMASK=255.255.255.0
NETWORK=192.168..0
ONBOOT=yes
2 两块网卡nat:
只是那個 eth0:0 改成了 eth1 而已啦,其它都是一样的设置
6)dns 设置
在里面/etc/resolv.conf
把你的ip写入里面去
nameserver 192.168.0.1
然后重启要不然,客户机不能上网

RomKK 2007-07-24 22:49 发表评论

linux中的压缩文件

RomKK — Tue, 24 Jul 2007 14:47:00 GMT

问题引发:
服务器每天产生大量的系统日志,查询日志,目前日志这块没有人专门拿出来做分析,处理这些日志.随着时间以及服务器访问量的与日俱增,不小心就会出现硬盘被日志文件占满的现象.如果删除这些日志,以后日志分析也许要用到.不删现有服务会受到影响.以后可能会专门有一台服务器来处理这些日志,分析日志,估算出性能瓶颈,以及得出相应的有价值的商业信息.所以只能临时处理一下.
看了一下linux的压缩格式好多种,忽然一看有些晕,发一篇关于linux压缩文件的详细文章,摘自:Unix爱好者家园unix-cd.com ,以下是原文

对于刚刚接触 Linux 的人来说，一定会给 Linux 下一大堆各式各样的文件名给搞晕。别个不说，单单就压缩文件为例，我们知道在 Windows 下最常见的压缩文件就只有两种，一是 .zip，另一个是 .rar。可是 Linux 就不同了，它有.gz、.tar.gz、tgz、bz2、.Z、.tar 等众多的压缩文件名，此外 windows 下的 .zip 和 .rar 也可以在 Linux 下使用，不过在 Linux 使用 .zip 和 .rar 的人就太少了。
　　在具体总结各类压缩文件之前呢，首先要弄清两个概念：打包和压缩。打包是指将一大堆文件或目录什么的变成一个总的文件，压缩则是将一个大的文件通过一些压缩算法变成一个小文件。为什么要区分这两个概念呢？其实这源于 Linux 中的很多压缩程序只能针对一个文件进行压缩，这样当你想要压缩一大堆文件时，你就得先借助另它的工具将这一大堆文件先打成一个包，然后再就原来的压缩程序进行压缩。
　　Linux下最常用的打包程序就是 tar 了，使用 tar 程序打出来的包我们常称为 tar 包，tar 包文件的命令通常都是以 .tar 结尾的。生成 tar 包后，就可以用其它的程序来进行压缩了，所以我们先了解一下 tar 命令的基本用法：
tar 命令的选项有很多(用man tar可以查看到)，但我们通常需要的就是那么几个：
　　# tar -cf all.tar *.jpg
　　这条命令是将所有 .jpg 的文件打成一个名为 all.tar 的包。-c 是表示产生新的包，-f 指定包的文件名。
　　# tar -rf all.tar *.gif
　　这条命令是将所有.gif的文件增加到 all.tar 的包里面去。-r 是表示增加文件的意思。
　　# tar -uf all.tar logo.gif
　　这条命令是更新原来 tar 包 all.tar 中 logo.gif 文件，-u是表示更新文件的意思。
　　# tar -tf all.tar
　　这条命令是列出 all.tar 包中所有文件，-t 是列出文件的意思
　　# tar -xf all.tar
　　这条命令是解出 all.tar 包中所有文件，-t 是解开的意思
　　以上就是 tar 的最基本的用法。为了方便用户在打包解包的同时可以压缩或解压文件，tar 提供了一种特殊的功能。这就是 tar 可以在打包或解包的同时调用其它的压缩程序，比如调用 gzip、bzip2 等。
（一）、 tar 调用 gzip
　　gzip 是 GNU 组织开发的一个压缩程序，.gz 结尾的文件就是 gzip 压缩的结果。与 gzip 相对的解压程序是 gunzip。tar 中使用 -z 这个参数来调用 gzip。下面来举例说明一下：
　　# tar -czf all.tar.gz *.jpg
　　这条命令是将所有 .jpg 的文件打成一个 tar 包，并且将其用 gzip 压缩，生成一个 gzip 压缩过的包，包名为 all.tar.gz。
　　# tar -xzf all.tar.gz
　　这条命令是将上面产生的包解开。
（二）、 tar 调用 bzip2
　　bzip2 是一个压缩能力更强的压缩程序，.bz2 结尾的文件就是 bzip2 压缩的结果。与 bzip2 相对的解压程序是 bunzip2。tar 中使用-j这个参数来调用 gzip。下面来举例说明一下：
　　# tar -cjf all.tar.bz2 *.jpg
　　这条命令是将所有 .jpg 的文件打成一个 tar 包，并且将其用 bzip2 压缩，生成一个 bzip2 压缩过的包，包名为 all.tar.bz2。
　　# tar -xjf all.tar.bz2
　　这条命令是将上面产生的包解开。
（三）、 tar 调用 compress
　　compress 也是一个压缩程序，但是好象使用 compress 的人不如 gzip 和 bzip2 的人多。.Z 结尾的文件就是 bzip2 压缩的结果。与 compres s相对的解压程序是 uncompress。tar 中使用 -Z 这个参数来调用 gzip。下面来举例说明一下：
　　# tar -cZf all.tar.Z *.jpg
　　这条命令是将所有 .jpg 的文件打成一个 tar 包，并且将其用 compress 压缩，生成一个 uncompress 压缩过的包，包名为 all.tar.Z
　　# tar -xZf all.tar.Z
　　这条命令是将上面产生的包解开
有了上面的知识，你应该可以解开多种压缩文件了，下面对于 tar 系列的压缩文件作一个小结：
（一）、对于 .tar 结尾的文件
　　tar -xf all.tar
（二）、对于 .gz 结尾的文件
　　gzip -d all.gz
　　gunzip all.gz
（三）、对于 .tgz 或 .tar.gz 结尾的文件
　　tar -xzf all.tar.gz
　　tar -xzf all.tgz
（四）、对于 .bz2 结尾的文件
　　bzip2 -d all.bz2
　　bunzip2 all.bz2
（五）、对于 tar.bz2 结尾的文件
　　tar -xjf all.tar.bz2
（六）、对于 .Z 结尾的文件
　　uncompress all.Z
（七）、对于.tar.Z结尾的文件
　　tar -xZf all.tar.z
　　另外对于 Window 下的常见压缩文件 .zip 和 .rar，Linux 也有相应的方法来解压它们：
（１）对于 .zip
　　linux 下提供了 zip 和 unzip 程序，zip 是压缩程序，unzip 是解压程序。它们的参数选项很多，这里只做简单介绍，依旧举例说明一下其用法：
　　# zip all.zip *.jpg
　　这条命令是将所有 .jpg 的文件压缩成一个 zip 包
　　# unzip all.zip
　　这条命令是将 all.zip 中的所有文件解压出来
（２）对于 .rar
　　要在 linux 下处理 .rar 文件，需要安装 RAR for Linux，可以从网上下载，但要记住，RAR for Linux
不是免费的；可从 http://www.rarsoft.com/download.htm 下载 RAR for Linux 3.2.0，然后安装：
　　# tar -xzpvf rarlinux-3.2.0.tar.gz
　　# cd rar
　　# make
　　这样就安装好了，安装后就有了 rar 和 unrar 这两个程序，rar 是压缩程序，unrar 是解压程序。它们的参数选项很多，这里只做简单介绍，依旧举例说明一下其用法：
　　# rar a all *.jpg
　　这条命令是将所有 .jpg 的文件压缩成一个 rar 包，名为 all.rar，该程序会将 .rar 扩展名将自动附加到包名后。
　　# unrar e all.rar
　　这条命令是将 all.rar 中的所有文件解压出来
　　到此为至，我们已经介绍过 linux 下的 tar、gzip、gunzip、bzip2、bunzip2、compress、uncompress、zip、unzip、rar、unrar 等程式，你应该已经能够使用它们对 .tar、.gz、.tar.gz、.tgz、.bz2、.tar.bz2、.Z、.tar.Z、.zip、.rar 这 10 种压缩文件进行解压了，以后应该不需要为下载了一个软件而不知道如何在 Linux 下解开而烦恼了。而且以上方法对于 Unix 也基本有效。
　　本文介绍了 linux 下的压缩程式 tar、gzip、gunzip、bzip2、bunzip2、compress、uncompress、zip、unzip、rar、unrar 等程式，以及如何使用它们对 .tar、.gz、.tar.gz、.tgz、.bz2、.tar.bz2、.Z、.tar.Z、.zip、.rar 这 10 种压缩文件进行操作。

RomKK 2007-07-24 22:47 发表评论

超完整RedHat9.0-vsftp配置大全

RomKK — Tue, 24 Jul 2007 14:45:00 GMT

3.2 VSFTP 安全与效能兼备的ftp 服务器
3.2.1 VSFTP 概述
FTP，file transfer protocol，这是档案传输的通讯协议，也是一般最常用来传送档案的方式。读者在使用RedHat9 的时候，可能会感受到ftp server 有一些改变：第一，就是ftp server 只剩下vsftp，原有的wuftp 等都没放入第二，就是vsftp 从XINETD 中独立出来，并将设定档从/etc/vsftpd.conf 之中移到/etc/vsftpd/vsftpd.conf。
为什么做这样的改变？可以想见的是vsftp 已有独立运作的能力，不需要XINETD 来做更进一步的管控，并且类似sendmail、httpd、ssh、samba 等，将设定文件的放入/etc 下独立的目录。
FTP 分为两类，一种为PORT FTP，也就是一般的FTP 另一类是PASVFTP，分述如下：
PORT FTP
这是一般形式的FTP，首先会建立控制频道，默认值是port 21，也就是跟port 21 建立联机，并透过此联机下达指令。第二，由FTP server 端会建立数据传输频道，默认值为20，也就是跟port 20 建立联机，并透过port 20 作数据的传输。
PASV FTP
跟PORT FTP 类似，首先会建立控制频道，默认值是port 21，也就是跟port 21 建立联机，并透过此联机下达指令。第二，会由client 端做出数据传输的请求，包括数据传输port 的数字。
这两者的差异为何？PORT FTP 当中的数据传输port 是由FTP server 指定，而PASV FTP 的数据传输port 是由FTP client 决定。通常我们使用PASV FTP，是在有防火墙的环境之下，透过client 与server 的沟通，决定数据传输的port。
3.2.2 范例
3.2.1. 直接启动VSFTP 服务
这个范例是套用RedHat 的预设范例,直接启动vsftp。
[root@relay vsftpd]# /sbin/service vsftpd start
Starting vsftpd for vsftpd: OK ]
3.2.2. 更换port 提供服务：将预设的port 21 更换为2121
为了安全，或是以port 来区隔不同的ftp 服务，我们可能会将ftp port 改为21 之外的port，那么，可参考以下步骤。
Step1. 修改/etc/vsftpd/vsftpd.conf
新增底下一行
listen_port=2121
Step2. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
3.2.3. 特定使用者peter、john 不得变更目录
使用者的预设目录为/home/username，若是我们不希望使用者在ftp 时能够
切换到上一层目录/home，则可参考以下步骤。
Step1. 修改/etc/vsftpd/vsftpd.conf
将底下三行
#chroot_list_enable=YES
# (default follows)
#chroot_list_file=/etc/vsftpd.chroot_list
改为
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd/chroot_list
Step2. 新增一个档案: /etc/vsftpd/chroot_list
内容增加两行：
peter
john
Step3. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
若是peter 欲切换到根目录以外的目录，则会出现以下警告：
ftp> cd /home
550 Failed to change directory.
3.2.4. 取消anonymous 登入
若是读者的主机不希望使用者匿名登入，则可参考以下步骤。
Step1. 修改/etc/vsftpd/vsftpd.conf
将
anonymous_enable=YES
改为
anonymous_enable=NO
Step2. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
3.2.5. 安排欢迎话语
若是我们希望使用者在登入时，能够看到欢迎话语，可能包括对该主机的说明，或是目录的介绍，可参考以下步骤。
首先确定在/etc/vsftpd/vsftpd.conf 当中是否有底下这一行
dirmessage_enable=YES
RedHat9 的默认值是有上面这行的。
接着，在各目录之中，新增名为.message 的档案，再这边假设有一个使用者test1，且此使用者的根目录下有个目录名为abc，那首先我们在/home/test1
之下新增.message，内容如下：
Hello~ Welcome to the home directory
This is for test only...
接着，在/home/test1/abc 的目录下新增.message，内容如下：
Welcome to abc's directory
This is subdir...
那么，当使用者test1 登入时，会看到以下讯息：
230- Hello~ Welcome to the home directory
230-
230- This is for test only...
230-
若是切换到abc 的目录，则会出现以下讯息：
250- Welcome to abc's directory
250-
250- This is subdir ...
3.2.6. 对于每一个联机，以独立的process 来运作
一般启动vsftp 时，我们只会看到一个名为vsftpd 的process 在运作，但若是读者希望每一个联机，都能以独立的process 来呈现，则可执行以下步骤。
Step1. 修改/etc/vsftpd/vsftpd.conf
新增底下一行
setproctitle_enable=YES
Step2. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
使用ps -ef 的指令，可以看告不同使用者联机的情形，如下图所示：
[root@home vsftpd]# ps -ef|grep ftp
root 2090 1 0 16:41 pts/0 00:00:00 vsftpd: LISTENER
nobody 2120 2090 0 17:18 ? 00:00:00 vsftpd: 192.168.10.244:
connected
test1 2122 2120 0 17:18 ? 00:00:00 vsftpd: 192.168.10.244/test1:
IDLE
nobody 2124 2090 0 17:19 ? 00:00:00 vsftpd: 192.168.10.244:
connected
test2 2126 2124 0 17:19 ? 00:00:00 vsftpd: 192.168.10.244/test2:
IDLE
root 2129 1343 0 17:20 pts/0 00:00:00 grep ftp
[root@home vsftpd]#
3.2.7. 限制传输档案的速度：
本机的使用者最高速度为200KBytes/s，匿名登入者所能使用的最高速度为50KBytes/s
Step1. 修改/etc/vsftpd/vsftpd.conf
新增底下两行
anon_max_rate=50000
local_max_rate=200000
Step2. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
在这边速度的单位为Bytes/s，其中anon_max_rate 所限制的是匿名登入的
使用者，而local_max_rate 所限制的是本机的使用者。VSFTPD 对于速度的限
制，范围大概在80%到120%之间，也就是我们限制最高速度为100KBytes/s，
但实际的速度可能在80KBytes/s 到120KBytes/s 之间，当然，若是频宽不足
时，数值会低于此限制。
3.2.8. 针对不同的使用者限制不同的速度：
假设test1 所能使用的最高速度为250KBytes/s，test2 所能使用的最高速度为500KBytes/s。
Step1. 修改/etc/vsftpd/vsftpd.conf
新增底下一行
user_config_dir=/etc/vsftpd/userconf
Step2. 新增一个目录：/etc/vsftpd/userconf
mkdir /etc/vsftpd/userconf
Step3. 在/etc/vsftpd/userconf 之下新增一个名为test1 的档案
内容增加一行：
local_max_rate=250000
Step4. 在/etc/vsftpd/userconf 之下新增一个名为test2 的档案
内容增加一行：
local_max_rate=500000
Step5. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
3.2.9-1. 建置一个防火墙下的ftp server，使用PORT FTP mode：
预设的ftp port:21 以及ftp data port:20
启动VSFTPD 之后执行以下两行指令，只允许port 21 以及port 20 开放，其它关闭。
iptables -A INPUT -p tcp -m multiport --dport 21,20 -j ACCEPT
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
3.2.9-2. 建置一个防火墙下的ftp server，使用PORT FTP mode：
ftp port:2121 以及ftp data port:2020
Step1. 执行以下两行指令，只允许port 2121 以及port 2020 开放，其它关闭。
iptables -A INPUT -p tcp -m multiport --dport 2121,2020 -j ACCEPT
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
Step2. 修改/etc/vsftpd/vsftpd.conf
新增底下两行
listen_port=2121
ftp_data_port=2020
Step3. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
在这边要注意，8、9 两个例子中，ftp client（如cuteftp）的联机方式不能够选择passive mode，否则无法建立数据的联机。也就是读者可以连上ftp
server，但是执行ls、get 等等的指令时，便无法运作。
3.2.10. 建置一个防火墙下的ftp server，使用PASS FTP mode：
ftp port:2121 以及ftp data port 从9981 到9986。
Step1. 执行以下两行指令，只允许port 2121 以及port 9981-9990 开放，其它关闭。
iptables -A INPUT -p tcp -m multiport --dport
2121,9981,9982,9983,9984,9985,9986,9987,9988,9989,9990 -j ACCEPT
iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
Step2. 修改/etc/vsftpd/vsftpd.conf
新增底下四行
listen_port=2121
pasv_enable=YES
pasv_min_port=9981
pasv_max_port=9986
Step3. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
在这边要注意，在10 这个例子中，ftp client（如cuteftp）的联机方式必须选择passive mode，否则无法建立数据的联机。也就是读者可以连上ftp server，但是执行ls,get 等等的指令时，便无法运作。
3.2.11. 将vsftpd 与TCP_wrapper 结合
若是读者希望直接在/etc/hosts.allow 之中定义允许或是拒绝的来源地址，可执行以下步骤。这是简易的防火墙设定。
Step1. 确定/etc/vsftpd/vsftpd.conf 之中tcp_wrappers 的设定为YES，如下图所
示：
tcp_wrappers=YES
这是RedHat9 的默认值，基本上不需修改。
Step2. 重新启动vsftpd
[root@home vsftpd]# /sbin/service vsftpd restart
Shutting down vsftpd: OK ]
Starting vsftpd for vsftpd: OK ]
Step3. 设定/etc/hosts.allow，譬如提供111.22.33.4 以及10.1.1.1 到10.1.1.254 连
线，则可做下图之设定：
vsftpd : 111.22.33.4 10.1.1. : allow
ALL : ALL : DENY
3.2.12. 将vsftpd 并入XINETD
若是读者希望将vsftpd 并入XINETD 之中，也就是7.x 版的预设设定，那
么读者可以执行以下步骤。
Step1. 修改/etc/vsftpd/vsftpd.conf
将
listen=YES
改为
listen=NO
Step2. 新增一个档案： /etc/xinetd.d/vsftpd
内容如下：
service vsftpd
{
disable = no
socket_type = stream
wait = no
user = root
server = /usr/sbin/vsftpd
port = 21
log_on_success += PID HOST DURATION
log_on_failure += HOST
}
Step3. 重新启动xinetd
[root@home vsftpd]# /sbin/service xinetd restart
Stopping xinetd: OK ]
Starting xinetd: OK ]
3.2.3 设定档说明
在范例中，有些省略的设定可以在这边找到，譬如联机的总数、同一个位址的联机数、显示档案拥有者的名称等等，希望读者细读后，可以做出最适合自己的设定。
格式
vsftpd.conf 的内容非常单纯，每一行即为一项设定。若是空白行或是开头为#的一行，将会被忽略。内容的格式只有一种，如下所示
option=value
要注意的是，等号两边不能加空白，不然是不正确的设定。
＝＝＝ascii 设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
ascii_download_enable
管控是否可用ASCII 模式下载。默认值为NO。
ascii_upload_enable
管控是否可用ASCII 模式上传。默认值为NO。
＝＝＝个别使用者设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
chroot_list_enable
如果启动这项功能，则所有的本机使用者登入均可进到根目录之外的数据夹，除了列
在/etc/vsftpd.chroot_list 之中的使用者之外。默认值为NO。
userlist_enable
用法：YES/NO
若是启动此功能，则会读取/etc/vsftpd.user_list 当中的使用者名称。此项功能可以在询问密码前就出现失败讯息，而不需要检验密码的程序。默认值为关闭。
userlist_deny
用法：YES/NO
这个选项只有在userlist_enable 启动时才会被检验。如果将这个选项设为YES，则在/etc/vsftpd.user_list 中的使用者将无法登入若设为NO ，则只有在
/etc/vsftpd.user_list 中的使用者才能登入。而且此项功能可以在询问密码前就出现错误讯息，而不需要检验密码的程序。
user_config_dir
定义个别使用者设定文件所在的目录，例如定义user_config_dir=/etc/vsftpd/userconf，且主机上有使用者test1,test2，那我们可以在user_config_dir 的目录新增文件名为test1 以及test2。若是test1 登入，则会读取user_config_dir 下的test1 这个档案内的设定。默认值为无。
＝＝＝欢迎语设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
dirmessage_enable
如果启动这个选项，使用者第一次进入一个目录时，会检查该目录下是否有.message这个档案，若是有，则会出现此档案的内容，通常这个档案会放置欢迎话语，或是对该目录的说明。默认值为开启。
banner_file
当使用者登入时，会显示此设定所在的档案内容，通常为欢迎话语或是说明。默认值为无。
ftpd_banner
这边可定义欢迎话语的字符串，相较于banner_file 是档案的形式，而ftpd_banner 是字串的格式。预设为无。
＝＝＝特殊安全设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
chroot_local_user
如果设定为YES，那么所有的本机的使用者都可以切换到根目录以外的数据夹。预设值为NO。
hide_ids
如果启动这项功能，所有档案的拥有者与群组都为ftp，也就是使用者登入使用ls -al之类的指令，所看到的档案拥有者跟群组均为ftp。默认值为关闭。
ls_recurse_enable
若是启动此功能，则允许登入者使用ls -R 这个指令。默认值为NO。
write_enable
用法：YES/NO
这个选项可以控制FTP 的指令是否允许更改file system，譬如STOR、DELE、
RNFR、RNTO、MKD、RMD、APPE 以及SITE。预设是关闭。
setproctitle_enable
用法：YES/NO
启动这项功能，vsftpd 会将所有联机的状况已不同的process 呈现出来，换句话说，使用ps -ef 这类的指令就可以看到联机的状态。默认值为关闭。
tcp_wrappers
用法：YES/NO
如果启动，则会将vsftpd 与tcp wrapper 结合，也就是可以在/etc/hosts.allow 与/etc/hosts.deny 中定义可联机或是拒绝的来源地址。
pam_service_name
这边定义PAM 所使用的名称，预设为vsftpd。
secure_chroot_dir
这个选项必须指定一个空的数据夹且任何登入者都不能有写入的权限，当vsftpd 不需要file system 的权限时，就会将使用者限制在此数据夹中。默认值为/usr/share/empty
＝＝＝纪录文件设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
xferlog_enable
用法：YES/NO
如果启动，上传与下载的信息将被完整纪录在底下xferlog_file 所定义的档案中。预设为开启。
xferlog_file
这个选项可设定纪录文件所在的位置，默认值为/var/log/vsftpd.log。
xferlog_std_format
如果启动，则纪录文件将会写为xferlog 的标准格式，如同wu-ftpd 一般。默认值为关闭。
＝＝＝逾时设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
accept_timeout
接受建立联机的逾时设定，单位为秒。默认值为60。
connect_timeout
响应PORT 方式的数据联机的逾时设定，单位为秒。默认值为60。
data_connection_timeout
建立数据联机的逾时设定。默认值为300 秒。
idle_session_timeout
发呆的逾时设定，若是超出这时间没有数据的传送或是指令的输入，则会强迫断线，单位为秒。默认值为300。
＝＝＝速率限制＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
anon_max_rate
匿名登入所能使用的最大传输速度，单位为每秒多少bytes，0 表示不限速度。默认值为0。
local_max_rate
本机使用者所能使用的最大传输速度，单位为每秒多少bytes，0 表示不限速度。预设值为0。
＝＝＝新增档案权限设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
anon_umask
匿名登入者新增档案时的umask 数值。默认值为077。
file_open_mode
上传档案的权限，与chmod 所使用的数值相同。默认值为0666。
local_umask
本机登入者新增档案时的umask 数值。默认值为077。
＝＝＝port 设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
connect_from_port_20
用法：YES/NO
若设为YES，则强迫ftp-data 的数据传送使用port 20。默认值为YES。
ftp_data_port
设定ftp 数据联机所使用的port。默认值为20。
listen_port
FTP server 所使用的port。默认值为21。
pasv_max_port
建立资料联机所可以使用port 范围的上界，0 表示任意。默认值为0。
pasv_min_port
建立资料联机所可以使用port 范围的下界，0 表示任意。默认值为0。
＝＝＝其它＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
anon_root
使用匿名登入时，所登入的目录。默认值为无。
local_enable
用法：YES/NO
启动此功能则允许本机使用者登入。默认值为YES。
local_root
本机使用者登入时，将被更换到定义的目录下。默认值为无。
text_userdb_names
用法：YES/NO
当使用者登入后使用ls -al 之类的指令查询该档案的管理权时，预设会出现拥有者的UID，而不是该档案拥有者的名称。若是希望出现拥有者的名称，则将此功能开启。默认值为NO。
pasv_enable
若是设为NO，则不允许使用PASV 的模式建立数据的联机。默认值为开启。
＝＝＝更换档案所有权＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
chown_uploads
用法：YES/NO
若是启动，所有匿名上传数据的拥有者将被更换为chown_username 当中所设定的使用者。这样的选项对于安全及管理，是很有用的。默认值为NO。
chown_username
这里可以定义当匿名登入者上传档案时，该档案的拥有者将被置换的使用者名称。预设值为root。
＝＝＝guest 设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
guest_enable
用法：YES/NO
若是启动这项功能，所有的非匿名登入者都视为guest。默认值为关闭。
guest_username
这里将定义guest 的使用者名称。默认值为ftp。
＝＝＝anonymous 设定＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
anonymous_enable
用法：YES/NO
管控使否允许匿名登入，YES 为允许匿名登入，NO 为不允许。默认值为YES。
no_anon_password
若是启动这项功能，则使用匿名登入时，不会询问密码。默认值为NO。
anon_mkdir_write_enable
用法：YES/NO
如果设为YES，匿名登入者会被允许新增目录，当然，匿名使用者必须要有对上层目录的写入权。默认值为NO。
anon_other_write_enable
用法：YES/NO
如果设为YES，匿名登入者会被允许更多于上传与建立目录之外的权限，譬如删除或是更名。默认值为NO。
anon_upload_enable
用法：YES/NO
如果设为YES，匿名登入者会被允许上传目录的权限，当然，匿名使用者必须要有对上层目录的写入权。默认值为NO。
anon_world_readable_only
用法：YES/NO
如果设为YES，匿名登入者会被允许下载可阅读的档案。默认值为YES。
ftp_username
定义匿名登入的使用者名称。默认值为ftp。
deny_email_enable
若是启动这项功能，则必须提供一个档案/etc/vsftpd.banner_emails，内容为email
address。若是使用匿名登入，则会要求输入email address，若输入的email address 在此档案内，则不允许联机。默认值为NO。
＝＝＝Standalone 选项＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
listen
用法：YES/NO
若是启动，则vsftpd 将会以独立运作的方式执行，若是vsftpd 独立执行，如RedHat9的默认值，则必须启动若是vsftpd 包含在xinetd 之中，则必须关闭此功能，如RedHat8。在RedHat9 的默认值为YES。
listen_address
若是vsftpd 使用standalone 的模式，可使用这个参数定义使用哪个IP address 提供这项服务，若是主机上只有定义一个IP address，则此选项不需使用，若是有多个IP address，可定义在哪个IP address 上提供ftp 服务。若是不设定，则所有的IP address均会提供此服务。默认值为无。
max_clients
若是vsftpd 使用standalone 的模式，可使用这个参数定义最大的总联机数。超过这个数目将会拒绝联机，0 表示不限。默认值为0。
max_per_ip
若是vsftpd 使用standalone 的模式，可使用这个参数定义每个ip address 所可以联机的数目。超过这个数目将会拒绝联机，0 表示不限。默认值为0。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
3.2.4 FTP 数字代码的意义
110 重新启动标记应答。
120 服务在多久时间内ready。
125 数据链路埠开启，准备传送。
150 文件状态正常，开启数据连接端口。
200 命令执行成功。
202 命令执行失败。
211 系统状态或是系统求助响应。
212 目录的状态。
213 文件的状态。
214 求助的讯息。
215 名称系统类型。
220 新的联机服务ready。
221 服务的控制连接埠关闭，可以注销。
225 数据连结开启，但无传输动作。
226 关闭数据连接端口，请求的文件操作成功。
227 进入passive mode。
230 使用者登入。
250 请求的文件操作完成。
257 显示目前的路径名称。
331 用户名称正确，需要密码。
332 登入时需要账号信息。
350 请求的操作需要进一部的命令。
421 无法提供服务，关闭控制连结。
425 无法开启数据链路。
426 关闭联机，终止传输。
450 请求的操作未执行。
451 命令终止：有本地的错误。
452 未执行命令：磁盘空间不足。
500 格式错误，无法识别命令。
501 参数语法错误。
502 命令执行失败。
503 命令顺序错误。
504 命令所接的参数不正确。
530 未登入。
532 储存文件需要账户登入。
550 未执行请求的操作。
551 请求的命令终止，类型未知。
552 请求的文件终止，储存位溢出。
553 未执行请求的的命令，名称不正确。

RomKK 2007-07-24 22:45 发表评论

GRUB多重启动管理器

RomKK — Tue, 24 Jul 2007 14:44:00 GMT

1. 什么是grub 　　
grub 是一个多重启动管理器。grub是GRand Unified Bootloader的缩写，它可以在多个操作系统共存时选择引导哪个系统。它可以引导的操作系包括linux,FreeBSD,Solaris,NetBSD,BeOSi,OS/2,Windows95/98,Windows NT,Windows2000。它可以载入操作系统的内核和初始化操作系统（如Linux,FreeBSD），或者把引导权交给操作系统（如Windows 98）来完成引导。
2. grub的特点　　
grub可以代替lilo来完成对Linux的引导，特别适用于linux与其它操作系统共存情况，与lilo相比，它有以下特点：
支持大硬盘　　
现在大多数Linux发行版本的lilo都有同样的一个问题：根分区(/boot分区)不能分在超过1024柱面的地方，一般是在8.4G左右的地方，否则lilo不能安装，或者安装后不能正确引导系统。而grub就不会出现这种情况，只要安装时你的大硬盘是在LBA模式下，grub就可以引导根分区在8G以外的操作系统。
支持开机画面　　
grub支持在引导开机的同时显示一个开机画面。对于玩家来说，这样可以制作自己的个性化开机画面；对于PC厂商，这样可以在开机时显示电脑的一些信息和厂商的标志等。grub支持640x480,800x600,1024x768各种模式的开机画面，而且可以自动侦测选择最佳模式，与Windows那320x400的开机画面不可同日而语。
两种执行模式
　　grub不但可以通过配置文件进行例行的引导，还可以在选择引导前动态改变引导时的参数，还可以动态加载各种设备。例如你在Linux下编译了一个新的核心，但不能确定它能不能工作，你就可以在引导时动态改变grub的参数，尝试装载这个新的核心进行使用。Grub的命令行有非常强大的功能，而且支持如bash或doskey一样的历史功能，你可以用上下键来寻找以前的命令。
菜单式选择　　
在lilo下，你需要手工输入操作系统的名字来引导不同的操作系统。而grub使用一个菜单来选择不同的系统进行引导。你还可以自己配置各种参数，如延迟时间，默认操作系统等。
分区位置改变后不必重新配置　　
lilo是通过读取硬盘上的绝对扇区来装入操作系统，因此每次分区改变都必须重新配置lilo，例如你用PQ magic调整了分区的大小，那lilo在你重新配置好之前就不能引导这个分区的操作系统了。而grub是通过文件系统直接把核心读取到内存，因此只要操作系统核心的路径没有改变，grub就可以引导系统。除此之外，Grub还有许多非常强大的功能。例如支持多种外部设备，动态装载操作系统内核，甚至可以通过网络装载操作系统核心。Grub支持多种文件系统，支持多种可执行文件格式，支持自动解压，可以引导不支持多重引导的操作系统等。
3. grub的使用
安装grub 　　
如果已经安装了蓝点Linux2.0则grub是默认安装的。要把grub重新安装到主引导扇区上，只需要简单打入makebootable命令就可以了。
制作grub启动盘
　　首先确定grub已经安装，然后进入grub的目录，键入：　　
#cd /boot/grub 　　
放入一张软盘，然后敲入命令：　　
#dd if=stage1 of=/dev/fd0 bs=512 count=1 　　
#dd if=/stage2 of=/dev/fd0 bs512 seek=1 　　
这样就可以做好一张启动盘了。
开机　　
安装了grub开机后会出现一个菜单，列出所有的启动选项。如果设置了启动画面则会显示启动画面，按Esc键则可以取消启动画面显示菜单选项。蓝点Linux所带的grub的命令提示是全中文的，在菜单下面详细列出如按e是编辑启动命令，按c是使用命令行等。用上下键可以选择菜单项，按回车启动所选项。按e键可以编辑所选项的启动命令，你可以用这个功能临时改变你的系统的启动参数，参见配置grub一节。按c键则进入命令行模式。　　　　
在命令行模式下可以打入命令直接执行，例如你可以敲入poweroff关闭计算机。按Tab键可以列出所有支持的命令。蓝点Linux已经把grub汉化了，其中一部分命令敲入名字后会给出中文提示，显示命令的用法和参数。
4. 配置grub 　　
grub启动时会在/boot/grub/中寻找一个名字为menu.lst的配置文件，如果找不到此文件则不进入菜单模式而直接进入命令行模式。　　
menu.lst 是一个文本文件，你可以用任何一个文本编辑器来打开它。每一行代表一个配置命令，如果一行的第一个字符为井号"#"则这一行为注释，你可以简单地用增加或减少注释行来改变配置。
编辑menu.lst，一般会有以下各行
timeout second
设定在second秒之后引导默认的操作系统。
蓝点Linux默认是timeout 5，就是5秒没有其他指令就引导系统，如果设成-1，则grub会一直等待直到用户选择一个选项为止。
default num
默认启动第num+1行选项，也就说default=0则默认启动菜单第一行的操作系统，default=1则启动第2行的系统，如此类推。
splash pathname/filename
指出开机画面的文件所存放的路径和文件名，如 splash /boot/logo/800x600x8.img 是指用在/boot/logo路径下的800x600.img文件作为开机画面
title OSname title
后面的字符就是你在菜单项上所看见的选项，你可以写上操作系统的名字和描述，如用
title BluePoint Linux, Single Mode 代表这一选项是引导蓝点Linux的单用户模式。
下面结合两个系统引导描述来解释几个引导选项的意义
title BluePoint Linux, Default Mode
root (hd0,1)
kernel /boot/vmlinuz vga=auto root=/dev/hda2
hd0是指第一个硬盘(主硬盘) (hd0,1)是指第一个硬盘的第二个分区。 kernel /boot/vmlinuz 是指出Linux核心的路径在/boot/vmlinuz中。vga=auto 是设定显示模式，root=/dev/hda2是指把第一个硬盘的第二个分区作为根挂载点（"/"）。
title Microsoft Windows
root (hd1,0)
chainloader (hd1,0)+1 root (hd1,0)这是指第二个硬盘(从硬盘)上第一个分区
chainloader (hd1,0)+1 装入一个扇区的数据然后把引导权交给它。
5. 从软盘启动grub 　　
制作启动盘后可以用软盘启动引导硬盘上的操作系统插入制作好的启动软盘，进入BIOS设定软盘启动。软盘启动成功后就会进入grub的命令行模式
grub> 　　
要启动一个操作系统，首先指定引导哪个分区上的系统，例如要引导指第一个硬盘上的第一个分区的操作系统，先键入
grub>root (hd0,0) 　　
接着如果要启动的是Windows系统，键入 grub>chainloader (hd0,0)+1 　　
注意(hd0,0)要随着硬盘和分区的不同而改变数字。如果要引导Linux或其他系统，应键入
grub>kernel （hd0,0）/boot/vmlinuz root=/dev/hda1 　　
注意hda1参数也要随着硬盘和分区的不同而改变，如从第二个硬盘的第一个分区引导则用hdb1。　　最后敲入boot就可以启动系统了。　　
在任何时候不能确定命令或者命令的参数都可以按Tab获得相关的帮助。用上下键可以获得命令的历史记录。其实这些命令就是menu.lst的启动描述，您也可以根据那些描述来自己键入启动命令，最后敲入boot就可以引导系统了。

RomKK 2007-07-24 22:44 发表评论

RedHat linux inittab详解

RomKK — Tue, 24 Jul 2007 14:43:00 GMT

一、什么是init
    init是Linux系统操作中不可缺少的程序之一。是一个由内核启动的用户级进程。
内核启动（已经被载入内存，开始运行，并已初始化所有的设备驱动程序和数据结构等）之后，就通过启动一个用户级程序init的方式来启动其他用户级的进程或服务。所以,init始终是第一个进程（其PID始终为1）。
内核会在过去曾使用过init的几个地方查找它，它的正确位置（对Linux系统来说）是/sbin/init。如果内核找不到init，它就会试着运行/bin/sh，如果运行失败，系统的启动也会失败。
二、运行级别
    运行级就是操作系统当前正在运行的功能级别。这个级别从1到6，具有不同的功能。其功能级别如下：
# 0 - 停机（千万不能把initdefault 设置为0 ）
# 1 - 单用户模式
# 2 - 多用户，没有 NFS
# 3 - 完全多用户模式(标准的运行级)
# 4 - 没有用到
# 5 - X11 （xwindow)
# 6 - 重新启动（千万不要把initdefault 设置为6——把被你黑掉的linux的initdefault设置为0或6也算是拒绝服务攻击噢！）
除此之外还有ABC三个运行级别，但在RHLinux中都没有意义。
这些级别在/etc/inittab 文件里指定。这个文件是init 程序寻找的主要文件，最先运行的服务是放在/etc/rc.d 目录下的文件。在大多数的Linux 发行版本中，启动脚本都是位于 /etc/rc.d/init.d中的。这些脚本被用ln 命令连接到 /etc/rc.d/rcn.d 目录。(这里的n 就是运行级0-6)
三、运行级别的配置
    运行级别的配置是在/etc/inittab行内进行的，如下所示：
12 : 2 : wait : / etc / init.d / rc 2
各字段解释如下：
id:runlevels:action:process
id：是一个任意指定的四个字符以内的序列标号，在本文件内必须唯一；使用老版本的libc5（低于5.2.18）或a.out库编译出来的 sysvinit限制为2字符。注意：像getty之类的登陆进程必须使id字段与tty编号一致，如tty1需要id=1，许多老版本的登陆进程都遵循这种规则。
runlevels：表示这一行适用于运行那个/些级别（这里是2，可以有多个，表示在相应的运行级均需要运行）；另外sysinit、boot、bootwait这三个进程会忽略这个设置值。
action：表示进入对应的runlevels时，init应该运行process字段的命令的方式，常用的字段值及解释在附录内。例子中的wait表示需要运行这个进程一次并等待其结束。
process：具体应该执行的命令。例子中的/etc/init.d/rc命令启动运行级别2中应该运行的进程/命令，并负责在退出运行级时将其终止（当然在进入的runlevel中仍要运行的程序除外。）
当运行级别改变，并且正在运行的程序并没有在新的运行级别中指定需要运行，那么init会先发送一个SIGTERM 信号终止，然后是SIGKILL。
有效的action值如下：
respawn：表示init应该监视这个进程，即使其结束后也应该被重新启动。
wait：   init应该运行这个进程一次，并等待其结束后再进行下一步操作。
once：   init需要运行这个进程一次。
boot：   随系统启动运行，所以runlevel值对其无效。
bootwait：随系统启动运行，并且init应该等待其结束。
off：     没有任何意义。
initdefault：系统启动后的默认运行级别；由于进入相应的运行级别会激活对应级别的进程，所以对其指定process字段没有任何意义。如果inittab文件内不存在这一条记录，系统启动时在控制台上询问进入的运行级。
sysinit：系统启动时准备运行的命令。比如说，这个命令将清除/tmp。可以查看/etc/rc.d/rc.sysinit脚本了解其运行了那些操作。
powerwait：允许init在电源被切断时，关闭系统。当然前提是有U P S和监视U P S并通知init电源已被切断的软件。RH linux默认没有列出该选项。
powerfail：同powerwait，但init不会等待正在运行的进程结束。RH linux默认没有列出该选项。
powerokwait：当电源监视软件报告“电源恢复”时，init要执行的操作。
powerfailnow：检测到ups电源即将耗尽时，init要执行的操作，和powerwait/powerfail不同的哟。
ctrlaltdel：允许init在用户于控制台键盘上按下C t r l + A l t + D e l组合键时，重新启动系统。注意，如果该系统放在一个公共场所，系统管理员可将C t r l + A l t + D e l组合键配置为别的行为，比如忽略等。我是设置成打印一句骂人的话了^o^。
kbrequest：监视到特定的键盘组合键被按下时采取的动作，现在还不完善。
ondemand：A process marked with an ondemand runlevel will be executed whenever the specified ondemand runlevel is called. However, no runlevel change will occur (ondemand runlevels are ‘a’, ‘b’,and ‘c’)，（英语太菜，那个however不知道该怎么翻译才好。惭愧！）
     补充：
   1、关于进入单用户模式，一般都是采用设置initdefault为1或者在grub/lilo中指定一个“single”或“emergency” 命令行参数来实现。其实另外还有一个更干净的方法，编辑：
kernel /vmlinuz-2.6.9-22.EL ro root=/bin/sh，这样init就直接启动一个shell，其他任何进程都没有启动哦，够干净吧！
   2、系统正在运行时，telinit命令可更改运行级别。运行级别发生变化时， init 就会从/etc/inittab运行相应的命令。

RomKK 2007-07-24 22:43 发表评论

配置一个安全的Linux DHCP服务器

RomKK — Tue, 24 Jul 2007 14:42:00 GMT

DHCP是动态主机配置协议.这个协议用于向计算机自动提供IP地址,子网掩码和路由信息。网络管理员通常会分配某个范围的 IP 地址来分发给局域网上的客户机。当设备接入这个局域网时，它们会向 DHCP 服务器请求一个 IP 地址。然后 DHCP 服务器为每个请求的设备分配一个地址，直到分配完该范围内的所有 IP 地址为止。已经分配的 IP 地址必须定时地延长借用期。这个延期的过程称作 leasing，确保了当客户机设备在正常地释放 IP 地址之前突然从网络断开时被分配的地址可以归还给服务器。本文以Redhat Linux 9.0为例，介绍如何建立一个完整和安全的DHCP服务器。
一、建立DHCP服务器配置文件
可以使用Redhat Linux 9.0自身携带rpm包安装。安装结束后, DHCP 端口监督程序 dhcpd 配置文件是 /etc 目录中的名为 dhcpd.conf 的文件。下面手工建立/etc/dhcpd.conf文件。/etc/dhcpd.conf通常包括三部分：parameters、declarations 、option。
1. DHCP配置文件中的parameters（参数）：表明如何执行任务，是否要执行任务，或将哪些网络配置选项发送给客户。主要内容见表1：
参数解释
ddns-update-style 配置DHCP-DNS 互动更新模式。
default-lease-time 指定确省租赁时间的长度，单位是秒。
max-lease-time 指定最大租赁时间长度，单位是秒。
hardware 指定网卡接口类型和MAC地址。
server-name 通知DHCP客户服务器名称。
get-lease-hostnames flag 检查客户端使用的IP地址。
fixed-address ip 分配给客户端一个固定的地址。
authritative 拒绝不正确的IP地址的要求。
2. DHCP配置文件中的declarations （声明）：用来描述网络布局、提供客户的IP地址等。主要内容见表2：
声明解释
shared-network 用来告知是否一些子网络分享相同网络。
subnet 描述一个IP地址是否属于该子网。
range 起始IP 终止IP 提供动态分配IP 的范围。
host 主机名称参考特别的主机。
group 为一组参数提供声明。
allow unknown-clients ﹔deny unknown-client 是否动态分配IP给未知的使用者。
allow bootp;deny bootp 是否响应激活查询。
allow booting﹔deny booting 是否响应使用者查询。
filename 开始启动文件的名称，应用于无盘工作站。
next-server 设置服务器从引导文件中装如主机名，应用于无盘工作站。

3. DHCP配置文件中的option（选项）：用来配置DHCP可选参数，全部用option关键字作为开始，主要内容包括见表3：
选项解释
subnet-mask 为客户端设定子网掩码。
domain-name 为客户端指明DNS名字。
domain-name-servers 为客户端指明DNS服务器IP地址。
host-name 为客户端指定主机名称。
routers 为客户端设定默认网关。
broadcast-address 为客户端设定广播地址。
ntp-server 为客户端设定网络时间服务器IP地址。
ｔime－offset 为客户端设定和格林威治时间的偏移时间，单位是秒。
注意：如果客户端使用的是视窗操作系统，不要选择“host-name”选项，即不要为其指定主机名称。
下面是一个笔者使用的DHCP配置文件，这是一个Ｃ类网络，共126个IP地址可以分配的例子。读者可以复制后使用，注意红色部分是必须要修改的。
ddns-update-style interim;
ignore client-updates;
subnet 192.168.1.0 netmask 255.255.255.0 {
option routers 192.168.1.254;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;
option domain-name-servers 192.168.1.3;
option domain-name "www.cao.com";　＃ＤＮＳ名称＃
option domain-name-servers 192.168.1.3;
option time-offset -18000;
range dynamic-bootp 192.168.1.128 192.168.1.255;
default-lease-time 21600;
max-lease-time 43200;
host ns {
hardware ethernet 52:54:AB:34:5B:09;＃运行DHCP的网络接口的MAC地址＃
fixed-address 192.168.1.9;
}
}
二、建立客户租约文件
运行DHCP服务器还需要一个名为 dhcpd.leases 的文件，保持所有已经分发出去的 IP 地址。在Redhat Linux 发行版本中，该文件位于 /var/lib/dhcp/ 目录中。如果您通过 RPM 安装 ISC DHCP，那么该目录应该已经存在。dhcpd.leases的文件格式为：
Leases address ｛statement｝
一个典型的文件内容如下：
lease 192.168.1.255 { #DHCP服务器分配的IP地址#
starts 1 2005/05/02 03:02:26; # lease 开始租约时间#
ends 1 2005/05/02 09:02:26; # lease 结束租约时间#
binding state active;
next binding state free;
hardware ethernet 00:00:e8:a0:25:86; #客户机网卡MAC地址#
uid "\001\000\000\350\240%\206"; #用来验证客户机的UID标示#
client-hostname "cjh1"; #客户机名称#
}
注意lease 开始租约时间和lease 结束租约时间是格林威治标准时间（GMT），不是本地时间。
第一次运行DHCP服务器时dhcpd.leases是一个空文件，也不用手工建立。如果不是通过 RPM 安装 ISC DHCP，或者 dhcpd 已经安装，那么您应该试着确定 dhcpd 将其 lease 文件写到何处，并确保该文件存在。也可以手工建立一个空文件：
#touch /var/lib/dhcp/dhcpd.leases
三、启动和检查DHCP服务器
使用命令启动DHCP服务器：
#service dhcpd start
使用ps命令检查dhcpd进程：
#ps -ef | grep dhcpd
root 2402 1 0 14:25 ? 00:00:00 /usr/sbin/dhcpd
root 2764 2725 0 14:29 pts/2 00:00:00 grep dhcpd
使用检查dhcpd运行的端口：
# netstat -nutap | grep dhcpd
udp 0 0 0.0.0.0:67 0.0.0.0:* 2402/dhcpd

四、配置DHCP客户端
通常网管员使用选择手工配置 DHCP 客户，需要修改 /etc/sysconfig/network 文件来启用联网；并修改 /etc/sysconfig/network-scripts 目录中每个网络设备的配置文件。在该目录中，每个设备都有一个叫做 ifcfg-eth？的配置文件，eth？是网络设备的名称。如eth0等。如果你想在引导时启动联网，NETWORKING 变量必须被设为 yes。除了此处之外/etc/sysconfig/network 文件应该包含以下行：
NETWORKING=yes
DEVICE=eth0
BOOTPROTO=dhcp
ONBOOT=yes
五、DHCP配置常见错误排除
通常配置DHCP 服务器很容易，不过，在这里有一些技巧可以帮助您避免出现问题。对服务器而言，要确保网卡正常工作，并具备广播功能。对客户机而言，还要确保客户机的网卡正常工作。最后，要考虑网络的拓扑，并考虑客户机向 DHCP 服务器发出的广播消息是否会受到阻碍。另外如果dhcpd进程没有启动，那么可以浏览 syslog 消息文件来确定是哪里出了问题。这个消息文件通常是 /var/log/messages。
典型故障：
1.DHCP服务器配置完成，没有语法错误。但是网络中的客户机却没办法取得IP地址。
通常是Linux DHCP服务器沒有办法接收來自255.255.255.255 的 DHCP 客户机的Request 封包造成的。一般是Linux DHCP服务器的网卡没有设置具有MULTICAST功能。为了让dhcpd(dhcp程序的守护进程)能够正常的和DHCP客户机沟通，dhcpd必须传送封包到255.255.255.255这个IP地址，但是有些Linux系统里255.255.255.255这个IP地址被用来做为监听区域子网域（local subnet）广播的 IP地址，所以需要在路由表（routing table）里加入255.255.255.255以激活MULTICAST功能；
使用命令：
route add -host 255.255.255.255 dev eth0
如果报告错误消息：255.255.255.255：Unkown host
那么请先修改/etc/hosts加入一行：
255.255.255.255 dhcp
2. DHCP客户端程序和DHCP服务器不兼容
由于Linux有许多发现版本，不同版本使用DHCP客户端程序和DHCP服务器也不相同。Linux提供了四种DHCP客户端程序：pump, dhclient, dhcpxd, 和dhcpcd。了解不同Linux发行版本的服务器端和客户端程序对于常见错误排除是必要的。笔者曾经遇到过使用SuSE Linux 9.1 DHCP服务器和使用Mandrake Linux 9.0客户机不兼容的情况。此时就必须更换客户端程序。方法是先停止客户机的网络服务，卸载原程序，安装和服务器端兼容程序。附表：主要Linux发行版使用的DHCP客户端。
发行版本
缺省 DHCP客户端可选 DHCP 客户端 DHCP客户端启动
脚本附加配置文件
Red Hat Linux 9.0 dhclient 无 /sbin/ifup /etc/sysconfig/network,
/etc/sysconfig/network-scripts/ifcfg-eth0
Debian Linux 3.0 dhclient 无 /sbin/ifup /etc/network/interfaces,
/etc/dhclient.conf
Mandrake Linux 9.1 dhclient dhcpcd, dhcpxd, pump /sbin/ifup /etc/sysconfig/network,
/etc/sysconfig/network-scripts/ifcfg-eth0,
/etc/dhclient-eth0.conf
SuSE Linux 9.1 dhcpcd dhclient /sbin/ifup-dhcp /etc/sysconfig/network/dhcp,
/etc/sysconfig/network/ifcfg-eth0
六、DHCP服务器的安全
1. 在指定网络接口启动DHCP服务器
如果你的Linux系统连接了不止一个网络界面，但是你只想让 DHCP 服务器启动其中之一，你可以配置 DHCP 服务器只在那个设备上启动。在 /etc/sysconfig/dhcpd 中，把界面的名称添加到 DHCPDARGS 的列表中：
DHCPDARGS=eth0
或者直接使用命令：
Echo “DHCPDARGS=eth0”>> /etc/ sysconfig/dhcpd
这样对于带有两个网卡的防火墙机器，更加安全：一个网卡可以被配置成 DHCP 客户来从互联网上检索 IP 地址；另一个网卡可以被用作防火墙之后的内部网络的 DHCP 服务器。仅指定连接到内部网络的网卡使系统更加安全，因为用户无法通过互联网来连接它的守护进程。
2. 让DHCP服务器在监牢中运行
所谓“监牢”就是指通过chroot机制来更改某个软件运行时所能看到的根目录，即将某软件运行限制在指定目录中，保证该软件只能对该目录及其子目录的文件有所动作，从而保证整个服务器的安全。这样即使出现被破壞或被侵入，所受的損傷也较小。
将软件chroot化的一个问题是该软件运行时需要的所有程序、配置文件和库文件都必须事先安装到chroot目录中，通常称这个目录为chroot jail（chroot“监牢”）。如果要在“监牢”中运行dhcpd，而事实上根本看不到文件系统中那个真正的目录。因此需要事先创建目录，并将dhcpd复制到其中。同时dhcpd需要几个库文件，可以使用ldd（library Dependency Display缩写）命令，ldd作用是显示一个可执行程序必须使用的共享库。
ldd dhcpd
libc.so.6 => /lib/tls/libc.so.6 (0x42000000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)
这意味着还需要在“监牢”中创建lib目录，并将库文件复制到其中。手工完成这一工作是非常麻烦的，此时可以用jail软件包来帮助简化chroot“监牢”建立的过程。
（1）Jail软件的编译和安装
Jail官方网站是：http://www.jmcresearch.com/ ，最新版本：1.9a。
#Wget http://www.jmcresearch.com/static/dwn/projects/jail/jail_1.9a.tar.gz
#tar xzvf jail.tar.gz ；cd jail/src
#make； make install
（2）用jail创建监牢
jail软件包提供了几个Perl脚本作为其核心命令，包括mkjailenv、addjailuser和addjailsw。
mkjailenv：创建chroot“监牢”目录，并且从真实文件系统中拷贝基本的软件环境。addjailsw：从真实文件系统中拷贝二进制可执行文件及其相关的其它文件（包括库文件、辅助性文件和设备文件）到该“监牢”中。addjailuser：创建新的chroot“监牢”用户。
首先停止目前dhcpd服务，然后建立chroot目录：
#/sbin/service dhcpd start
#mkjailenv /chroot/
mkjailenv
A component of Jail (version 1.9 for linux)
http://www.gsyc.inf.uc3m.es/~assman/jail/
Juan M. Casillas
Making chrooted environment into /chroot
Doing preinstall()
Doing special_devices()
Doing gen_template_password()
Doing postinstall()
Done.
下面的例子展示为“监牢”添加dhcpd程序的过程
# addjailsw /chroot/ -P /usr/sbin/dhcpd
addjailsw
A component of Jail (version 1.9 for linux)
http://www.gsyc.inf.uc3m.es/~assman/jail/
Juan M. Casillas
Guessing dhcpd args(0)
Warning: file /chroot//lib/tls/libc.so.6 exists. Overwritting it
Warning: file /chroot//lib/ld-linux.so.2 exists. Overwritting it
………
Done.
不用在意那些警告信息，因为jail会调用ldd检查dhcpd用到的库文件。而几乎所有基于共享库的二进制可执行文件都需要上述的几个库文件。接下来将dhcpd的相关文件拷贝到“监牢”中：
# mkdir -p /chroot/dhcp/etc
# cp /etc/dhcpd.conf /chroot/dhcp/etc/
# mkdir -p /chroot/dhcp/var/state/dhcp
# touch /chroot/dhcp/var/state/dhcp/dhcp.leases
此时的“监牢”目录结构见图1。
图1 “监牢”目录结构
重新启动dhcpd：
[root@www root]# /chroot/usr/sbin/dhcpd
使用ps命令检查dhcpd进程：
#ps -ef | grep dhcpd
root 2402 1 0 14:25 ? 00:00:00 /chroot/usr/sbin/dhcpd
root 2764 2725 0 14:29 pts/2 00:00:00 grep dhcpd
注意此时进程名称已经改变，使用检查dhcpd运行的端口：
# netstat -nutap | grep dhcpd
udp 0 0 0.0.0.0:67 0.0.0.0:* 2402/dhcpd
端口号没有改变。现在dhcpd已经成功运行在“监牢”中。
到此为止一个这样，一个完整和安全的 DHCP服务器就完成了。

RomKK 2007-07-24 22:42 发表评论

Linux快速构建apache web服务器

RomKK — Tue, 24 Jul 2007 14:41:00 GMT

Apache服务器的最新稳定发布版本是httpd-2.2..0,官方下载地址是：http://httpd.apache.org/download.cgi。我们通过下面的步骤来快速的搭建一个web服务器。
1、    下载源码文件httpd-2.2.0.tar.gz 到linux服务器的某个目录。
2、    解压文件 # tar zxvf httpd-2.2.0.tar.gz .
3、    配置 # ./configure –refix=/usr/local/apache //指定安装目录，以后要删除安装就只需删除这个目录。
4、    编译和安装。 # make ; make install .
5、    编写启动脚本，把它放到目录 /etc/rc.d/init.d/里，这里取名为httpd,其内容如下：
#!/bin/bash
#description:http server
#chkconfig: 235 98 98
case "$1" in
start)
      echo "Starting Apache daemon..."
      /usr/local/apache2/bin/apachectl -k start
      ;;
stop)
      echo "Stopping Apache daemon..."
      /usr/local/apache2/bin/apachectl -k stop
      ;;
restart)
      echo "Restarting Apache daemon..."
      /usr/local/apache2/bin/apachectl -k restart
      ;;
status)
      statusproc /usr/local/apache2/bin/httpd
      ;;

*)
      echo "Usage: $0 {start|stop|restart|status}"
      exit 1
      ;;
Esac
注意：#description:http server 这一行必须加上，否则在执行命令 # chkconfig –add httpd 时会出现“service apache does not support chkconfig”的错误报告。#chkconfig: 2345 98 98 表示在执行命令 # chkconfig –add httpd 时会在目录 /etc/rc2.d/ 、/etc/rc3.d/ /etc/rc5.d 分别生成文件 S98httpd和 K98httpd。这个数字可以是别的。
6、    执行命令 # chkconfig –add httpd ，进入目录/etc/rc3.d/检查是否生成文件 S98httpd及K98httpd.
7、    启动服务 # service httpd start .

RomKK 2007-07-24 22:41 发表评论

Linux内核编译过程详解(kernel2.6.7)

RomKK — Tue, 24 Jul 2007 14:40:00 GMT

花了几天才编译成功kernel2.6.7,其过程真可谓艰辛.古语有云:"苦尽甘来!"现在终于可以乐上一阵了.由于许多朋友对操作的顺序及某些重要的配置知之甚少或知之不详,往往病急乱投医.加之网上的信息多且烦杂,使得编译内核成功率不高,甚至造成原来的系统崩溃的也不在少数.我就是其中一个。
　　
　　其实,编译内核并不是一件难事.如果能按照正确的方法来操作,最多花上一个半小时就能搞定.是不是很受鼓舞呀!
　　
　　废话少说,现在我们马上开始.我原来的系统是redhat9.0,内核2.4.20-8,编译的内核2.6.7,仅供参考.
　　
　　共分为四部分:编译前准备->编译配置->编译过程->运行内核的常见问题
　　
　　一编译前准备
　　
　　1)下载一份内核源代码,我下的是linux-2.6.7.tar.bz2,你可在如下地址下载它或者是更新的版本.
　　
　　http://kernel.org/pub/linux/kernel/v2.6/
　　
　　2) 下载最新版本的module-init-tools( "module-init-tools-3.0.tar.gz" and "modutils-2.4.21-23.src.rpm")
　　
　　http://www.kernel.org/pub/linux/kernel/people/rusty/modules/module-init-tools-3.0.tar.gz
　　
　　http://www.kernel.org/pub/linux/kernel/people/rusty/modules/modutils-2.4.21-23.src.rpm
　　
　　3)安装module-init-tools. 它会替代depmod [/sbin/depmod]和其他工具.
　　
　　tar -zxvf module-init-tools-3.0.tar.gz
　　
　　cd module-init-tools-3.0
　　
　　./configure --prefix=/sbin
　　
　　make
　　
　　make install
　　
　　./generate-modprobe.conf /etc/modprobe.conf
　　
　　4)安装modutils-2.4.21-23.src.rpm. 你可能会看到"user rusty and group rusty not existing"的警告. 没关系,你只需强制安装就是了.如果你不对Redhat 9和Redhat 8做这几步, 你将会在"make modules_install"这一步时出现问题.
　　
　　rpm -i modutils-2.4.21-23.src.rpm
　　
　　rpmbuild -bb /usr/src/redhat/SPECS/modutils.spec
　　
　　rpm -Fi /usr/src/redhat/RPMS/i386/modutils-2.4.21-23.i386.rpm
　　
　　5)解压缩内核源代码.把下载的源代码包放到目录/usr/src下,然后
　　
　　cd /usr/src
　　
　　tar xvfj linux-2.6.7.tar.bz2
　　
　　cd linux-2.6.7
　　
　　二编译配置
　　
　　在这一部分涉及几个重要模块的配置请,特别注意.一般用"make menuconfig"命令来配置内核.
　　
　　输入以上命令后出现一个菜单界面,用户可以对需要的模块.下面着重讲几个重要的配置
　　
　　1)文件系统
　　
　　请务必要选中ext3文件系统,
　　
　　File systems--->
　　
　　
• Ext3 journalling file system support
　　
　　
• Ext3 Security Labels
　　
　　
• JBD (ext3) debugging support
　　
　　以上三项一定要选上,而且要内建(即标*). 这个非常重要,在配置完后一定要检查一下.config文件有没有"CONFIG_EXT3_FS=y"这一项. 如果不是"CONFIG_EXT3_FS=y"而是"CONFIG_EXT3_FS=m",你在运行内核时就会遇上以下错误: pivotroot: pivot_root(/sysroot,/sysroot/initrd) failed
　　
　　2)网卡驱动
　　
　　请务必把自己网卡对应的驱动编译进内核,比较普遍的网卡是realtek 8139,以下就是这种网卡的配置,以供参考
　　
　　Device Drivers--->
　　
　　Networking support--->
　　
　　Ethernet (10 or 100Mbit) --->
　　
　　<*> RealTek RTL-8139 C+ PCI Fast Ethernet Adapter support (EXPERIMENTAL)
　　
　　<*> RealTek RTL-8139 PCI Fast Ethernet Adapter support
　　
　　3)声卡驱动
　　
　　也要选择自己声卡对应的驱动编译进内核,比较普遍的声卡是i810_audio,以下就是这种声卡的配置,以供参考
　　
　　Device Drivers --->
　　
　　Sound --->
　　
　　<*> Sound card support
　　
　　Advanced Linux Sound Architecture --->
　　
　　<*> Advanced Linux Sound Architecture
　　
　　<*> Sequencer support
　　
　　< > Sequencer dummy client
　　
　　<*> OSS Mixer API
　　
　　<*> OSS PCM (digital audio) API
• OSS Sequencer API
　　
　　<*> RTC Timer support
　　
　　PCI devices --->
　　
　　<*> Intel i8x0/MX440, SiS 7012; Ali 5455; NForce Audio; AMD768/8111
　　
　　Open Sound System --->
　　
　　< > Open Sound System (DEPRECATED)
　　
　　以上三项配置关系到新内核能否正常运行,请备加注意.其他的配置如果不是很了解,大可以按默认的选择.
　　
　　三编译
　　
　　按如下命令编译,大概需要一个多小时,大可以好好放松一下
　　
　　make bzImage
　　
　　make modules
　　
　　make modules_install
　　
　　make install
　　
　　运行新内核之前,请检查一下/boot/grub/grub.conf的内容,下面的配置可作参考
　　
　　# grub.conf generated by anaconda
　　
　　#
　　
　　# Note that you do not have to rerun grub after making changes to this file
　　
　　# NOTICE: You have a /boot partition. This means that
　　
　　# all kernel and initrd paths are relative to /boot/, eg.
　　
　　# root (hd0,0)
　　
　　# kernel /vmlinuz-version ro root=/dev/hdc3
　　
　　# initrd /initrd-version.img
　　
　　#boot=/dev/hdc
　　
　　default=1
　　
　　timeout=10
　　
　　splashimage=(hd0,0)/grub/splash.xpm.gz
　　
　　title Red Hat Linux (2.6.7)
　　
　　root (hd0,0)
　　
　　kernel /vmlinuz-2.6.7 ro root=LABEL=/
　　
　　initrd /initrd-2.6.7.img
　　
　　title Red Hat Linux
　　
　　root (hd0,0)
　　
　　kernel /vmlinuz-2.4.20-8 ro root=LABEL=/
　　
　　initrd /initrd-2.4.20-8.img
　　
　　四运行内核的常见问题
　　
　　1)RPM问题
　　
　　进入编译好的内核后，与RPM相关的命令有些不能使用，并出现下列错误：
　　
　　rpmdb: unable to join the environment
　　
　　error: db4 error(11) from dbenv->open: Resource temporarily unavailable
　　
　　error: cannot open Packages index using db3 - Resource temporarily unavailable (11)
　　
　　error: cannot open Packages database in /var/lib/rpm
　　
　　no packages
　　
　　解决方法是执行“export LD_ASSUME_KERNEL =2.2.25”命令，也可以将其写入/etc/bashrc。
　　
　　2)Sound问题
　　
　　声音部分的模块名也改变了。我的笔记本原来的声卡驱动是i810_audio，现在已改为snd-intel8x0。因此需要把下面的内容添加到/etc/modprobe.conf中：
　　
　　alias char-major-14 soundcore
　　
　　alias sound snd-intel8x0
　　
　　alias sound-slot-0 snd-intel8x0
　　
　　alias snd-card-0 snd-intel8x0
　　
　　alias sound-service-0-0 snd-mixer-oss
　　
　　alias sound-service-0-1 snd-seq-oss
　　
　　alias sound-service-0-3 snd-pcm-oss
　　
　　alias sound-service-0-8 snd-seq-oss
　　
　　alias sound-service-0-12 snd-pcm-oss
　　
　　install snd-intel8x0 /sbin/modprobe --ignore-install sound-slot-0 &&
　　
　　{ /bin/aumix-minimal -f /etc/.aumixrc -L >/dev/null 2>&1; /bin/true; }
　　
　　remove snd-intel8x0
　　
　　{ /bin/aumix-minimal -f /etc/.aumixrc -S >/dev/null 2>&1; /bin/true; };
　　
　　/sbin/modprobe -r --ignore-remove sound-slot-0
　　
　　然后执行“modprobe sound”加载声音模块，并使用下列命令检验声卡驱动：
　　
　　#cat /proc/asound/cards
　　
　　显示结果如下：
　　
　　0 [SI7012]: ICH - SiS SI7012
　　
　　SiS SI7012 at 0xdc00, irq 11
　　
　　3)VMware问题
　　
　　解决方法是：
　　
　　◆ 将/usr/bin/vmware-config.pl中所有的“/proc/ksyms”替换为“/proc/kallsyms”。使用“sed”命令可以达到这个目的。
　　
　　◆ 重新运行该脚本，使用内核头文件编译新的内核模块。在编译过程中如发生错误，应该进入/usr/lib/vmware/modules/source，使用下面的命令将vmnet.tar解包：
　　
　　#tar xvf vmnet.tar
　　
　　◆ 进入vmnet-only目录修改bridge.c文件。将“atomic_add(skb->truesize, &sk->wmem_alloc);”修改为“atomic_add(skb->truesize, &sk->sk_wmem_alloc);”，并用类似的方式将“protinfo”改为“sk_protinfo”。
　　
　　◆ 再次把vmnet-only目录用下面的命令重新打包为vmmon.tar：
　　
　　#tar cvf vmmon.tar v

RomKK 2007-07-24 22:40 发表评论

Linux系统中集群及其配置实例

RomKK — Tue, 24 Jul 2007 14:39:00 GMT

集群系统(Cluster)主要解决下面几个问题：
高可靠性（HA）。利用集群管理软件，当主服务器故障时，备份服务器能够自动接管主服务器的工作，并及时切换过去，以实现对用户的不间断服务。
高性能计算（HP）。即充分利用集群中的每一台计算机的资源，实现复杂运算的并行处理，通常用于科学计算领域，比如基因分析，化学分析等。
负载平衡。即把负载压力根据某种算法合理分配到集群中的每一台计算机上，以减轻主服务器的压力，降低对主服务器的硬件和软件要求。
在实际应用中，最常见的情况是利用集群解决负载平衡问题，比如用于提供WWW服务。在这里主要展示如何使用LVS(Linux Virtial Server)来实现实用的WWW负载平衡集群系统。
LVS简介
LVS是章文嵩博士发起和领导的优秀的集群解决方案，许多商业的集群产品，比如RedHat的Piranha，TurboLinux公司的Turbo Cluster等，都是基于LVS的核心代码的。在现实的应用中，LVS得到了大量的部署，请参考http: //www.linuxvirtualserver.org/deployment.html
关于Linux LVS的工作原理和更详细的信息，请参考http://www.linuxvirtualserver.org。
LVS配置实例
通过Linux LVS，实现WWW，Telnet服务的负载平衡。这里实现Telnet集群服务仅为了测试上的方便。
LVS有三种负载平衡方式，NAT（Network Address Translation），DR（Direct Routing），IP Tunneling。其中，最为常用的是DR方式，因此这里只说明DR(Direct Routing)方式的LVS负载平衡。
1、网络拓扑结构。

如图1所示，为测试方便，4台机器处于同一网段内，通过一交换机或者集线器相连。实际的应用中，最好能够将虚拟服务器vs1和真实服务器rs1, rs2置于于不同的网段上，即提高了性能，也加强了整个集群系统的安全性。
2、服务器的软硬件配置
首先说明，虽然本文的测试环境中用的是3台相同配置的服务器，但LVS并不要求集群中的服务器规格划一，相反，可以根据服务器的不同配置和负载情况，调整负载分配策略，充分利用集群环境中的每一台服务器。
这3台服务器中，vs1作为虚拟服务器（即负载平衡服务器），负责将用户的访问请求转发到集群内部的rs1,rs2，然后由rs1,rs2分别处理。
client为客户端测试机器，可以为任意操作系统。
4台服务器的操作系统和网络配置分别为：
vs1: RedHat 6.2, Kernel 2.2.19
vs1: eth0 192.168.0.1
vs1: eth0:101 192.168.0.101
rs1: RedHat 6.2, Kernel 2.2.14
rs1: eth0 192.168.0.3
rs1: dummy0 192.168.0.101
rs2: RedHat 6.2, Kernel 2.2.14
rs2: eth0 192.168.0.4
rs2: dummy0 192.168.0.101
client: Windows 2000
client: eth0 192.168.0.200
其中，192.168.0.101是允许用户访问的IP。
虚拟服务器的集群配置
大部分的集群配置工作都在虚拟服务器vs1上面，需要下面的几个步骤：
重新编译内核。
首先，下载最新的Linux内核，版本号为2.2.19，下载地址为：http://www.kernel.org/，解压缩后置于/usr/src/linux目录下。
其次需要下载LVS的内核补丁，地址为：http://www.linuxvirtualserver.org/software/ipvs- 1.0.6-2.2.19.tar.gz。这里注意，如果你用的Linux内核不是2.2.19版本的，请下载相应版本的LVS内核补丁。将ipvs- 1.0.6-2.2.19.tar.gz解压缩后置于/usr/src/linux目录下。
然后，对内核打补丁，如下操作：
[root@vs2 /root]# cd /usr/src/linux
[root@vs2 linux]# patch -p1 < ipvs-1.0.6-2.2.19/ipvs-1.0.6-2.2.19.patch
下面就是重新配置和编译Linux的内核。特别注意以下选项：
1 Code maturity level options--->
*　 [*]Prompt for development and/or incomplete code/drivers
2 Networking部分：
　[*] Kernel/User netlink socket
　 [*] Routing messages
　 <*> Netlink device emulation
*　[*] Network firewalls
　 [*] Socket Filtering
　 <*> Unix domain sockets
*　[*] TCP/IP networking
　 [*] IP: multicasting
　 [*] IP: advanced router
　 [ ] IP: policy routing
　 [ ] IP: equal cost multipath
　 [ ] IP: use TOS value as routing key
　 [ ] IP: verbose route monitoring
　 [ ] IP: large routing tables
　 [ ] IP: kernel level autoconfiguration
*　[*] IP: firewalling
　 [ ] IP: firewall packet netlink device
*　[*] IP: transparent proxy support
*　[*] IP: masquerading
　 --- Protocol-specific masquerading support will be built as modules.
*　[*] IP: ICMP masquerading
　 --- Protocol-specific masquerading support will be built as modules.
*　[*] IP: masquerading special modules support
*　 IP: ipautofw masq support (EXPERIMENTAL)(NEW)
*　 IP: ipportfw masq support (EXPERIMENTAL)(NEW)
*　 IP: ip fwmark masq-forwarding support (EXPERIMENTAL)(NEW)
*　[*] IP: masquerading virtual server support (EXPERIMENTAL)(NEW)
　 [*]　IP Virtual Server debugging (NEW)　<--最好选择此项，以便观察LVS的调试信息
*　(12) IP masquerading VS table size (the Nth power of 2) (NEW)
*　 IPVS: round-robin scheduling (NEW)
*　 IPVS: weighted round-robin scheduling (NEW)
*　 IPVS: least-connection scheduling (NEW)
*　 IPVS: weighted least-connection scheduling (NEW)
*　 IPVS: locality-based least-connection scheduling (NEW)
*　 IPVS: locality-based least-connection with replication scheduling (NEW)
*　[*] IP: optimize as router not host
*　 IP: tunneling
　 IP: GRE tunnels over IP
　 [*] IP: broadcast GRE over IP
　 [*] IP: multicast routing
　 [*] IP: PIM-SM version 1 support
　 [*] IP: PIM-SM version 2 support
*　[*] IP: aliasing support
　 [ ] IP: ARP daemon support (EXPERIMENTAL)
*　[*] IP: TCP syncookie support (not enabled per default)
　 --- (it is safe to leave these untouched)
　 < > IP: Reverse ARP
　 [*] IP: Allow large windows (not recommended if <16Mb of memory)
　 < > The IPv6 protocol (EXPERIMENTAL)
上面，带*号的为必选项。
然后就是常规的编译内核过程，不再赘述，请参考编译 Linux 教程
在这里要注意一点：如果你使用的是RedHat自带的内核或者从RedHat下载的内核版本，已经预先打好了LVS的补丁。这可以通过查看/usr/src/linux/net/目录下有没有几个ipvs开头的文件来判断：如果有，则说明已经打过补丁。
编写LVS配置文件，实例中的配置文件如下：
#lvs_dr.conf (C) Joseph Mack mack@ncifcrf.gov
LVS_TYPE=VS_DR
INITIAL_STATE=on
VIP=eth0:101 192.168.0.101 255.255.255.0 192.168.0.0
DIRECTOR_INSIDEIP=eth0 192.168.0.1 192.168.0.0 255.255.255.0 192.168.0.255
SERVICE=t telnet rr rs1:telnet rs2:telnet
SERVICE=t www rr rs1:www rs2:www
SERVER_VIP_DEVICE=dummy0
SERVER_NET_DEVICE=eth0
#----------end lvs_dr.conf------------------------------------
将该文件置于/etc/lvs目录下。
使用LVS的配置脚本产生lvs.conf文件。该配置脚本可以从http: //www.linuxvirtualserver.org/Joseph.Mack/configure-lvs_0.8.tar.gz 单独下载，在ipvs-1.0.6-2.2.19.tar.gz包中也有包含。
脚本configure的使用方法：
[root@vs2 lvs]# configure lvs.conf
这样会产生几个配置文件，这里我们只使用其中的rc.lvs_dr文件。
修改/etc/rc.d/init.d/rc.local，增加如下几行：
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_always_defrag
# 显示最多调试信息
echo 10 > /proc/sys/net/ipv4/vs/debug_level
配置NFS服务。这一步仅仅是为了方便管理，不是必须的步骤。假设配置文件lvs.conf文件放在/etc/lvs目录下，则/etc/exports文件的内容为：
/etc/lvs ro(rs1,rs2)
然后使用exportfs命令输出这个目录:
[root@vs2 lvs]# exportfs
如果遇到什么麻烦，可以尝试：
[root@vs2 lvs]# /etc/rc.d/init.d/nfs restart
[root@vs2 lvs]# exportfs
这样，各个real server可以通过NFS获得rc.lvs_dr文件，方便了集群的配置:你每次修改lvs.conf中的配置选项，都可以即可反映在rs1,rs2的相应目录里。
修改/etc/syslogd.conf，增加如下一行： kern.*　 /var/log/kernel_log
这样，LVS的一些调试信息就会写入/var/log/kernel_log文件中.
real server的配置
real server的配置相对简单，主要是是以下几点：
配置telnet和WWW服务。telnet服务没有需要特别注意的事项，但是对于www服务，需要修改httpd.conf文件，使得apache在虚拟服务器的ip地址上监听，如下所示：
Listen 192.168.0.101:80
关闭real server上dummy0的arp请求响应能力。这是必须的，具体原因请参见ARP problem in LVS/TUN and LVS/DR（http://www.linuxvirtualserver.org/arp.html）。关闭dummy0的arp响应的方式有多种，比较简单地方法是，修改/etc/rc.d/rc.local文件，增加如下几行： echo 1 > /proc/sys/net/ipv4/conf/all/hidden
ifconfig dummy0 up
ifconfig dummy0 192.168.0.101 netmask 255.255.255.0 broadcast 192.168.0.0 up
echo 1 > /proc/sys/net/ipv4/conf/dummy0/hidden
再次修改/etc/rc.d/rc.local，增加如下一行：（可以和步骤2合并）
echo 1 > /proc/sys/net/ipv4/ip_forward
LVS的测试
好了，经过了上面的配置步骤，现在可以测试LVS了，步骤如下：
分别在vs1，rs1，rs2上运行/etc/lvs/rc.lvs_dr。注意，rs1,rs2上面的/etc/lvs目录是vs2输出的。如果您的 NFS配置没有成功，也可以把vs1上的/etc/lvs/rc.lvs_dr复制到rs1,rs2上，然后分别运行。
确保rs1,rs2上面的apache已经启动并且允许telnet。
然后从client运行telnet 192.168.0.101，如果登录后看到如下输出就说明集群已经开始工作了:（假设以guest用户身份登录）
[guest@rs1 guest]$-----------说明已经登录到服务器rs1上。
再开启一个telnet窗口，登录后会发现系统提示变为：
[guest@rs2 guest]$-----------说明已经登录到服务器rs2上。
然后在vs2上运行如下命令：
[root@vs2 /root]ipvsadm
运行结果应该为：
IP Virtual Server version 1.0.6 (size=4096)
Prot LocalAddress:Port Scheduler Flags
-> RemoteAddress:Port Forward Weight ActiveConn InActConn
TCP　192.168.0.101:telnet rr
-> rs2:telnet Route　 1　1　0
-> rs1:telnet Route　 1　1　0
TCP　192.168.0.101:www rr
-> rs2:wwwRoute　 1　0　0
-> rs1:wwwRoute　 1　0　0
至此已经验证telnet的LVS正常。
然后测试一下WWW是否正常：用你的浏览器查看http://192.168.0.101/是否有什么变化？为了更明确的区别响应来自那个real server，可以在rs1,rs2上面分别放置如下的测试页面(test.html)：
我是real server #1 or #2
然后刷新几次页面（http://192.168.0.101/test.html），如果你看到“我是real server #1”和“我是real server #2”交替出现，说明www的LVS系统已经正常工作了。
但是由于Internet Explore 或者Netscape本身的缓存机制，你也许总是只能看到其中的一个。不过通过ipvsadm还是可以看出，页面请求已经分配到两个real server上了，如下所示：
IP Virtual Server version 1.0.6 (size=4096)
Prot LocalAddress:Port Scheduler Flags
-> RemoteAddress:Port Forward Weight ActiveConn InActConn
TCP　192.168.0.101:telnet rr
-> rs2:telnet Route　 1　0　0
-> rs1:telnet Route　 1　0　0
TCP　192.168.0.101:www rr
-> rs2:wwwRoute　 1　0　5
-> rs1:wwwRoute　 1　0　4
或者，可以采用linux的lynx作为测试客户端，效果更好一些。如下运行命令：
[root@client /root]while true; do lynx -dump http://10.64.1.56/test.html; sleep 1; done
这样，每隔1秒钟“我是realserver #1”和“我是realserver #2”就交替出现一次，清楚地表明响应分别来自两个不同的real server。
调试技巧
如果您的运气不好，在配置LVS的过程中也许会遇到一些困难，下面的技巧或许有帮助：
首先确定网络硬件没有问题，尤其是网线，ping工具就足够了。
使用netstat查看端口的活动情况。
使用tcpdump查看数据包的流动情况。
查看/var/log/kernel_log文件。

RomKK 2007-07-24 22:39 发表评论