lsattr -El mem0

lsattr -El sys0 -a realmem

svmon -G

　　为了在最新的Ubuntu8.04上搭建java web的开发环境，安装了myeclipse,eclipse这两个软件的具体安装方法我就不再赘述了，因为网上有很多。eclipse,myeclipse推荐手动下载安装，mysql直接用

　　sudo apt-get install mysql-server mysql-client

　　安装，安装的时候要记住自己输入root密码，mysql服务可以用

　　sudo netstat -tap | grep mysql

　　查看是否开启，显示：

　　tcp 0 0 localhost.localdomain:mysql *:* LISTEN -

　　如果服务没有运行，可以用

　　sudo /etc/init.d/mysql restart

　　开启。

　　配置密码：

　　sudo mysqladmin -u root password newpassword

　　现在需要装administrator了，这个gui工具可以可视化操作mysql，它在unix,windows,mac os,linux平台上都有相应的版本，安装：

　　sudo apt-get install mysql-admin

　　安装之后需要建立连接，stored connection:第一次使用，首先需要选择save this connection，然后填写连接的名字，例如:connection.

　　server hostname:如果是一台本地计算机，填写localhost.username和password填写自己设置的就可以。最后点"connection"连接成功！

1、安装VMware workstation

2、安装guest系统，这里我安装的Red Hat Linux9，安装过程中确保网络连接选择的是NAT方式，当然可以在安装完后进行修改。

3、到windows XP 中，查看所有的网络连接，你应该发现除了原有的网卡之外，又多了Vmnet1和Vmnet8。vmnet1是hostonly的接口，而Vmnet8是就是我们要使用的NAT的网络接口。

4、在win主机上用ipconfig查看VMnet8的IP地址，
一般是192.168.X.1/255.255.255.0,
此时VMnet8的设置应该是自动获取IP，现在改成静态IP，并把此IP直接填入VMnet8里，不设网关。

5、同时在VM网络设置里的NAT项中查看VMnet8，一般是192.168.X.2/255.255.255.0
这个地址就是VMnet8，NAT的网关

6、现在在LINUX下把网卡IP设置成和VMnet8一个网段的IP（192.168.X.Z/255.255.255.0)

7、网关设置成刚才查看的那个IP192.168.X.2即可

8、DNS和你host主机的一样就可以。

9、设置完成后，重新启动linux的网络服务。

10、测试一下,
ping 网关：ping 192.168.X.2
ping DNS：ping 你的DNS。

如果能ping通就ok了

然后，执行：
代码:
sed -i.bak -E s/set prompt/#set prompt/g /root/.cshrc

并重新登录。

2.问：如何让FreeBSD的csh像bash那样按tab列出列出无法补齐的候选文件？
答：标准的方法是按Ctrl+D。但如果一定要用tab的话，在/etc/csh.cshrc中加入：
代码:
set autolist

3.问：如何让FreeBSD的csh显示类似[delphij
spirit] ~这样的提示符？
答：在/etc/csh.cshrc中加入：
代码:
set prompt = ''[%B%n
%m%b] %B%~%b%# ''

然后，执行：
代码:
sed -i.bak -E s/set prompt/#set prompt/g /root/.cshrc

4.问：如何让普通用户也拥有类似root用户那样的命令行编辑能力？
答：在/etc/csh.cshrc中加入：
代码:
bindkey "^W" backward-delete-word
bindkey -k up history-search-backward
bindkey -k down history-search-forward

5.让ctr+del+alt 失效
Look  into your keymap    file (taken from /usr/share/syscons/keymaps)  and
search for boot in it. If it has  not the "boot" string  in it, replace the
lines #083 and #103 by these
 
  083   del    ''.''    ''.''    ''.''    ''.''    ''.''    boot   boot    N
  103   fkey61 fkey61 fkey61 fkey61 fkey61 fkey61 boot   fkey61  O
 
There was talk  to enable/disable it  via a sysctl(3)  parameter but no one
ever got around to do it...

6. 环境变量:文件/etc/profile,
BLOCKSIZE=K; export BLOCKSIZE(通用)
文件~.cshrc BLOCKSIZE K
setenv
my cshrc
代理服务器的使用
HTTP 的代理：　#setenv HTTP_PROXY http://proxyip:port
FTP 的代理： #setenv FTP_PROXY http://proxyip:port

7、 设定开机画面

使用 windows 的人，都知道所谓的开机画面，在 FreeBSD 下是否也有此功能呢？答案是肯定的，而且设定更为简便，请照以下 steps：

一. 首先制作一个图型文件，档案格式为 logo.pcx 或 logo.bmp，需注意的是 .bmp 的档案存盘时不用压缩，分辨率需为 640 X 480 以内(含)，色阶为 256 色..

二. 将此档案 copy 到 /boot/ 这个目录下

三. 设定 /boot/loader.conf，加入以下资料

splash_bmp_load="YES" -> 如果使用 .bmp 格式，此项需设为 YES
splash_pcx_load="YES" -> 使用 .pcx，请将此项设为 YES
vera_load="YES"
bitmap_load="YES"
bitmap_name="/boot/logo.pcx" -> 请依你的档案格式更改
bitmap_type="splash_image_data"

8.激活你的 screensaver

由于 FreeBSD 大多当为主机使用，都是常期不关机的，因此可将屏幕关掉，或使用 ScreenSaver 功能..

使用 ScreenSaver 请在 /etc/rc.conf 这个档加入以下两行：

blanktime="900"

=> 以秒数为单位，如以上为 15 分钟

saver="logo"

=> logo 是 FreeBSD 的吉祥物(图型接口)，另也可使用 "daemon"，这是文字型式

9. 重复使用先前使用过的指令

你可以使用以下的方法来重复使用先前使用过的指令:

例如，我们先用 history 显示先前输入的指令:

# history
.
..
...
10 clear
11 cd /usr/local
12 ls
13 ls etc
14 cd ~
15 clear
1. 用 up down 可用上下一个指令，或是 ctrl+p ctrl+n 亦然

2. 配合 ! 的用法，例如以下(ps: 在<...>内代表要输入的东东)

!!
# !! => 重复执行上个一个指令

!<编号>
# !11 => 执行 cd /usr/local

!<指令> 可输入部份字，但前面部份需符合
# !cl
执行 15 clear 指令

!<?指令?> 输入部份字符，部份吻合
# !?etc?
执行 13 ls etc

以上指令在 tcsh 及 bash 下皆可使用，如此是不是可帮你省下许多时间..

10.用 dig 及 host 来取代 nslookup

一般我们用来检查网络是否有问题，大多是用以下三个指令..

nslookup
ping
traceroute

其中 nsllokup 是用来检查 dns 的相关设定， ping 用来检查自己和对方网络是否通顺，而 traceroute 则是用来检查从自己的计算机到对方的计算机所经过的线路状况..

不过以 nslookup 而言，个人觉得不是很实用，有时我们只是想单纯的查一下某台主机或是 MX 记录，那使用 nslookup 就有点噜嗦了..

在此介绍二个好用的指令 host 及 dig，这二个指令很类似，不过效率较 nslookup 高

# host -a <主机名称> 或 <ip>

=> 输入主机名称显示 dns 正向解析的部份，输入 ip 则是显示反向(ptr)

# dig <主机名称或ip> <any a mx soa txt.. 任选一项>

如要显示 MX 记录

# dig 主机名称 mx

个人是觉得比 nslookup 方便多了，你觉得呢.. ^.^

当然功能不只这些，详情请 man dig 或 host..
11.加快你的开机速度..

严格说起来，FreeBSD 的开机速度算满快的，不过中间会有个 10 秒的延迟时间(以便让你进入 boot 的 command prompt mode)，如果你嫌这10秒还是太慢了，那你可将时间?#123;短一些..

FreeBSD 激活时会先去参考 /boot/defaults/loader.conf 档的设定，然后再参考 /boot/loader.conf，一般我们都不去?#123;整 /boot/defaults/loader.conf 这个档，而直接?#123;整 /boot/loader.conf..

只要在 /boot/loader.conf 中加上以下这一行即可

autoboot_delay="秒数" 即可，如

autoboot_delay="7" 代表7秒

这样开机是不是更快了..

另外建议，有时间可参考一下 /boot/defaults/loader.conf 这个档案的设定，其中有许多实用的设定哦..

12.忘了 root 密码

如果你忘了 root 的密码怎么办，这在 FreeBSD 中满好解决的，请照以下 steps 来处理..

1. 进入单人模式

开机后，当出现

Hit [Enter] to boot immediately, or any other key for command prompt.
Booting [kernel] in 10 seconds...

按 space(或除了 enter 以外的键) 键则会进入 command prompt mode，同时出现一个 ok ..

这时请输入 boot -s 以进入单人模式

2. 选择 sh

进入单人模式后，系统会询问你要使用那个 sh，内定是 /bin/sh ，就使用这个吧，直接按 enter 跳过

3. 将所有的硬盘分割架起来

# mount -a

4. 更改密码

# passwd

长度要在 6 个以上，输入二次

5. 重新激活

# reboot

13.介绍一些一些有用的参数(注意大小写)..

%B 代表高亮度
%n 代表用者名称
%m 主机名称
%/ 目前的目录

一般我们可能比较在意以上几点，如我要管理好几台 FreeBSD 主机，那么以上几个参数就很重要了..

举个实例来说，如我想把我的 prompt 改成这样，而且要高亮度显示：

使用者名称
主机名称[目录名称]>

则 prompt 的设定应该是这样的..

set prompt = "%B%n
%m[%/]> "

注意 = 左右都要有一个空白，否则会出错，导致无法登入，另外如果要统一所有使用者的 prompt 的话，除了更改 /home/使用者/.cshrc 外，最好也在 /etc/csh.cshrc 中设定这一行，另外如要新增新用者也用这种提示，则请在 /usr/share/skel/dot.cshrc 中也加上(或改成)这一行，这是因为：

tcsh 在使用时会先参考 /etc/csh.cshrc 这个档案，再依 user 去抓其 home 目录下的 .cshrc，而设定 /usr/share/skel/dot.cshrc 是让你新使用者时，自动将其 prompt 设定成 set prompt = "%B%n
%m[%/]> "

这种设法，当你在管理多台主机及切换目录时，就不易搞错而发生一些惨剧

14.在提示列秀出 [使用者]目前工作目录 (可以少打很多次pwd)

# cd /root
编辑 .cshrc

# set prompt="''hostname -s''# " ### 找到这一行并 mark 起来
set prompt = "[%n]%/# " ### 新增此行并存盘离开

# logout

login: root ....重新登入

ps.其它user id 是否可照办? 我还没试过哩..刚装freebsd而已

15.如何防止别人登录到你的计算机

有时，我们并不想让别人直接登入到我们的主机或是只想限定某些人可使用，如 telnet、ssh..

或者是开放了些服务，如 ftp、smtpd ..等，由于这些都必需在主机端建有帐号，因此防止不相干的人登入到你的主机是非常重要的，也是一个安全上的考量..

但一般限定的方式都是使用 ip 或是 domain 的方式，那么有无方法可解决这个问题呢？

答案是可从 /etc/login.access 来着手，这个档案就是限定 login 的..

一个典型的设定如下，例如我们想限定只有 root 及 使用者 john 可登入到主机(含local 及 remote):

-:ALL EXCEPT root john:ALL

可分为三个项目，每个项目间以 : 分隔，说明如下:

1. + 或 - 代表允许或禁止
2. 设定的使用者或群组，可用 ALL EXCEPT 来强化限定的范围

3. 限定的来源，如 ALL 代表全部、61.219.230. 、LOCAL、console、.bad.com ..等

适当的设定，可让你的系统更加的安全..

详细用法可 man login.access..

15. 一个 ./ 的技巧

众所周知，在 nix-like 中执行目前目录中的可执行文件时，必需加上 ./ 这二个符号，很多 unix-like 的初学者都会感觉较不习惯，因为在 dos 或 windows 的 dos 窗口中并不是如此..

其实在 unix-like 中如此设定是有其安全考量的，在使用指令或执行文件时，一般是建议使用完整的目录，例如要使用 ls，则如下:

# /bin/ls

当然，你直接输入 ls 亦可正确的执行，这是因为你所使用的 shell 中环境变量 $PATH 的因素..

你可键入 echo $PATH，来看目前 $PATH 的设定，当我们执行一个指令时，系统会依照这个环境变量来搜寻这个执行档并加以执行..

内定 shell 不会将目前目录 . 加到 $PATH 中，因此如果你想在目前目录执行这个目录下的执行文件而不想加上 ./ 时，可在你的 shell 中将 . 加入..

如一般在 FreeBSD 都是使用 tcsh，你可编辑个人 home 目录下的 .cshrc 檔 set path = ( ........ ，在此加入 . 即可..

记得重新退出 shell 再登录，以便让你的新设定生效.

16.谈谈软件的安装路径..

FreeBSD 对于档案目录的观念非常重，什么样的档案要放在那个目录都有规定，这也是有别于其它 unix-like 系统..

一般我们将软件安装分成二个部份，在这里来探讨一下软件到底都安装到那去了..

在安装软件时，通常会安装诸如 执行档、设定档、man file、doc 文件..

1. 安装系统时所安装的软件

执行档通常装在 /bin、/sbin、/usr/bin、/usr/sbin、/usr/libexec 下
设定文件通在在 /etc 目录下
man file 通常在 /usr/man 或 /usr/share/man
doc 文件通常在 /usr/share/doc 下

2. 经由 package 或 port 安装的软件

执行档通常装在 /usr/local/bin、/usr/local/sbin、/usr/local/libexec 下
设定文件通在在 /use/local/etc 目录下
man file 通常在 /usr/local/man ..
doc 文件通常在 /usr/share/doc 下

以上并不是绝对的(所以我用通常..^.^)，因为有些特殊情况需视软件而定..

如此有时可能会造成些许困扰，因为如 ssh 、 bind .. 大多是在系统安统时就安装的，那如果升级新版时怎么办..

由于 FreeBSD 找寻执行档时会依照 $PATH 这个环境变量找寻，因为 /bin、/sbin、/usr/bin、/usr/sbin 比 /usr/local/bin 或 /usr/local/sbin 先，所以会先执行..也就是先抓到旧版的执行档..

因此在更新时要注意这种情况，以免更新了还是执行旧的程序..

那么如何看安时程序时的相关档案的安装路径呢？通常有以下方法

1. 看 port 的 pkg-plist 檔
2. 有时用 man [执行档名称] 可看到一些重要档案的位置
3. 看说明文件，通常在 /usr/local/share/doc 目录下

17、 如何在 FreeBSD 同一片网硌卡加一个 ip 地址

有的时候，需要在同一片网络卡上加 ip 以达到一些特殊的要求..

在 FreeBSD 这是非常简单的，假设原先网络卡的 ip 是 211.211.211.211，想加一个 211.211.211.212，使用的是 rl0 这片网络卡，则做法如下..

1. 在 /etc/rc.conf 加上这一行

ifconfig_rl0_alias0="inet 211.211.211.212 netmask 255.255.255.255"

其中的 alias0 就是加装的第一个 ip，如要设定多个可在此修正，如 alias1、alias2.. aliasN

2. 重新激活网络卡，执行 /etc/netstart

# /etc/netstart

18.保护你的档案
在系统中，有许多档案或一些设定档是非常重要的，加上 FreeBSD (或是一般 unix-like)系统都没有类似 ms 的垃圾回收桶的功能，万一不幸删掉(或修改)某个重要的档案，可能会造成不小的困扰..

虽然，FreeBSD 对于档案的权限设定的非常严密，但有些时候，我们以 root 身份工作，仍会有此风险..

那要如何避免这种情形发生或是保护某些重要的档案呢？

我们可以用 chflags 来达成这个目的，顾名思义， chflags 是由二个字所组成，即 change 和 flags(档案的旗标)..

例如我们要保护 /etc/inetd.conf 这个档案，以免误删或被修改，则指令如下:

# chflags schg /etc/inetd.conf

这样就可以保护这些档案，如要显示这些档案的旗标(flag)，可用 ls 来看..

# ls -lo /etc/inetd.conf => l 是小写的 L

-rw------- 1 root wheel schg 47 Mar 28 21:29 inetd.conf

要解除旗标设定，可用 unschg，也就是在 schg 前加 un ，如:

# chflags unschg /etc/inetd.conf

大部份我们进入主机都是以 root 身份执行，因此稍不小心，可能就..因此建议将一些重要的档案及设定档设定为 schg flags，以保护档案..

如 /bin、 /sbin、 /etc/.conf、 /usr/lcaol/etc/*.conf .. 这些档案最好都是定成 schg 旗标..

chflags 详细用法请参考 man chflags..

19.有关系统的一些激活问题..

有时，会修改 FreeBSD 的一些设定，如一些网络参数、软件的 .conf 设定，或是 /etc/r.conf 檔，那么如何让设定值生效，是否一定要重新开机呢？

这可分为三方面来说..

1. 网络相关设定，如网络适配卡、hostname .. 等，只要执行以下指令就可以重新加载你的网络设定..

# sh /etc/netstart

netstart 是一个 script 档案，执行时会去参考 /etc/rc.network。因此只要执行这个指令就能够重新激活网络设定..

有兴趣者可参考一下 netstart 及 rc.network 这二个档的内容，研究看看到底做了些什么东东..

2. 修改了 rc.conf 中其它的设定
可参考以下三个 step 来做..

. 进入单人模式
# shutdown now

. 选择 sh，造内定值即可，即 /bin/sh

. 离开单人模式
# exit

这样就会重新激活系统了..

3. 软件的设定，如一些 *.conf 檔，像是修正了 apache sendmail .. 等

通常在 /etc/local/rc.d/ 这个目录中会有相关的 .sh 檔，直接执行就可以了，注意的是一般要加上参数，一般的参数有以下(视软件而定会有不同)..

start 激活
stop 停止
reload 或 restart 重新激活

第二种方法就是直接使用 killall，如我们要重新激活 inetd，可用以下方法:

# killall -1 inetd

或是

# killall -HUP inetd

这样就可以重新激活这个 daemon 了

20.
我要如何分割硬盘..

档案目录对于 FreeBSD (或者是所有 unix-like 系统)，都是相当重要的，如开始时，分割的不是很恰当，日后就会遇到一些麻烦，如空间不够..等问题..

那么，我们要如何分割比较恰当呢..

这就有关于你的用途及 FreeBSD 的目录架构了..

一般个人是建议你如此分割:

1. / 根目录，一般在 250 ~ 500 MB 绝对够用，以我的根目录来说，使用一年多了，也才用了 66 MB 多。因为这个目录只是一些 kernel modules sbin bin etc .. 等目录

2. swap 档，一般人都不知道如何设较恰档，这也没一个标准，最主要是要看你的 ram 及硬盘而言，一般设成 1-2.5 倍(相对于你的 ram)。如你的 ram 在 256 mb 以上(含)，设成一倍；如在 64 - 128 mb，则建议设成 2 倍

如要检查你的 swap 使用状况，可用以下指令来看..

# pstat -T
44/4044 files
0M/127M swap space

由以上可看出目前使用的 swap 为 0 ，设定的大小为 128 M

/var 目录 及 /usr 目录

这二个目录一般都会占比较大的空间，/var 的变动较小，以我个人来说，一年前设为 8 GB ，在目前只使用了不到 2GB。

但要注意的是一般的 mail 软件，都是将信件存在 /var/mail/ 中，如果你的信件很多或很大，这个部份不妨加大一些..

而 /usr 这个目录能大就给它大一点的空间，因为所安装的程序，或是 hone 都是在这个目录下(如果你没将 home 目录设成一个分割) ..

那这两个要如何分配呢，我的建议是 usr 和 var 的比例为 3:1，或是 2:1

4. 有些主机使用者较多，如学校单位。如果你没将 home 设成一个 partition，则 FreeBSD 会将 home 安装在 /usr 目录下，如果为了管理及安全问题，则不妨将 home 分割为单一目录..

至于大小，我想应该 3-5 GB 左右，就绝对够用了

我们来举个实际例子，假设你有一颗 40 GB 的硬盘，使用内存为 128 MB RAM，那我建议你的硬盘如此分割..

1. / => 250 MB
2. swap => 取 2 倍，即 256 MB
3. /home 如要独立出来，给它 3-5 GB
4. 剩下来的以 3:1 或 2:1 的比例设给 /usr 及 /var

21.FreeBSD 在那激活程序..

一般 FreeBSD 激活后会依序执行以下位置的程序..

1. /etc/rc.conf 这个档案内的程序，如 sendmail、sshd .. 都是在此执行，另外要注意的是，在执行这个档案之前，会先参考 /etc/defaults/rc.conf 的设定

2. /usr/local/etc/rc.d 下的一些 .sh 檔，这些档案的权限都是被设定成 x ，如 apache samba .. 都是在此设定

3. /etc/rc.local 这里也可设定，如我要把 postfix 设定在此，只需在这个档案内加一行，如下

/use/local/sbin/postfix start &

加上 & ，就不会显示出讯息

4. 由 cron 所控制的一些档案，当时间到了，便会自动执行..

那心细的人可能会问， /etc/inetd.conf 内设定的呢？这些在第 1 项就执行了..

了解以上并时时注意是否有不明的程序在执行(可能是被人植入木马程序)，也是日常检视系统的重要工作..

21.有关 kernel 的激活..

kernel 对 unix-like 系统来说，是非常重要的一环，如果 kernel 损坏或编译出了问题，可能会导致严重的后果..

FreeBSD 一向以安全著称，在这方面有什么防护的措施呢？

FreeBSD 的 kernel 是放在 / 目录下，一般会有二个

kernel
kernel.GENERIC

如果你有编译过核心(kernel)的话，则原先的 kernel 会转换成 kernel.old，新的核心会变成 kernel，也就是在 / 下的 kernel 档案如下:

kernel => 新编译过的核心
kernel.GENERIC
kernel.old => 原先的核心

那 kernel.GENERIC 是什么呢，这个是系统安装时所装好的，一般都不会变动，即使编译过核心亦然，这个档案可说是救命核心，最好不要乱动，理由如下所言..

FreeBSD 激活时，会使用 kernel 这个核心，如果这个档案不存在，则会抓 kernel.old 这个档案..

如果这二个档案不幸都不在，那怎么办..这时则会进入 command prompt mode，你必需自行输入 kernel 的名称，如

boot <kernel 名称> 如

boot kernel.GENERIC

了解以上之后，在编译核心无法正常执行时，相信各位知道如何处理了..
22.加速你的按键速度..

相信使用 FreeBSD 的人很多都是在 console 下操作吧，有些时，要重复某一按键速度实在很慢..

另一个问题就是 cusror 的位置有些时不太明显..

可用以下方法来改善：

在 /etc/rc.conf 中加入以下资料..

keyrate="fast"
cursor="blink" 或 "destructive"

23.显示目录及档案 => tree

有时需显示某个目录下所有的目录及档案，虽使用 ls 可达到部份功能，但并不是很方便..

在 dos 中，有个 tree 指令，是不是满好用的..

其实在 FreeBSD 中也有类似的指令 => tree..

以下我们就透过 ports 来安装 tree

# cd /usr/ports/sysutils ; make install

如此会将 tree 这个指令安装在 /usr/local/bin/ 这个目录下..

使用例子:

1. 显示 /usr/ 下的目录及档案

# tree /usr

2. 只显示 /usr 下的目录

# tree -d /usr

详细用法请参考 man tree

PS:可透过管道 | 及 more 来显示

如 tree /usr | more..

24.mount nfts
但是在mount的时候和5.2.1等以前的5.x有点不同。
5.2.1等以前的5.x可以用
#mount_ntfs -C zh_CN.eucCN /dev/* /*来mount相应的ntfs分区。
但是在5.3中需要这样来才行。
#mount_ntfs -C eucCN /dev/* /*
需要去掉zh_CN.才可以正常mount,编辑fstab,加入
/dev/ad0s2 /ntfs1 ntfs ro,noauto,-C=eucCN 0 0
注意NTFS格式只读
mount iso:
在FreeBSD4.x下的方法：
%vnconfig /dev/vn0c ./IMAGE.ISO
%mount -t cd9660 /dev/vn0c MOUNT_DIR
%umount MOUNT_DIR
%vnconfig -u /dev/vn0c
在5.x以下则完全不同了：
%mdconfig -a -t vnode -f abc.iso -u 1
%mount -t cd9660 /dev/md1 MOUNT_DIR
%umount MOUNT_DIR

25.
如果控制台处于非安全状态，那么进入单用户状态就需要口令认证了。

提示：更改/etc/ttys中有关console的设置为insecure来保护单用户状态。
tty0改为insecure时，root用户没法在console下直接登陆

26.freebsd下默认安装的戏在命令是fetch，linux下是wget
uname -R 操作系统版本，free显示内存，swap的使用情况

27. vim代码颜色显示
修改$HOME中的.vimrc
syntax on(彩色)
syntax off(单色)
没有这个文件，建立一个就是了

28.
FreeBSD系统提供内核的源代码，在安装系统时是否安装内核代码与使用的不同安装选项有关。安装后的源代码位于/usr/src/sys目录中，如果这个目录不存在或者为空目录，则说明源代码没有安装。此时就必须重新安装内核源代码。

　　仍然可以使用/stand/sysinstall程序，选择Distribution选项来安装源代码；也可以运行安装介质中src目录下的install.sh来安装。安装FreeBSD内核源代码之后，习惯上还创建了一个符号连接/sys，指向/usr/src/sys目录，以方便使用。

29.  n>&m
      使文件描述符n指向文件描述符m相同的文件

30.
你已经修改了motd并从中删除了内核版本信息，默认情况下FreeBSD仍然会在启动之后把这些东西加入 /etc/motd 。因此需要修改 /etc/rc.conf 并加入下面的设置：
　　update_motd="NO"

31.
修改登录提示，编辑 /etc/gettytab. 找到 default:\\ 小节，它以下面的文字开头：
　　:cb:ce:ck:lc

%s -->OS
%m -->Architecture
%h -->Hostname
%t -->tty name

　　小心地修改 \\r\\n\\ \\r\\n\\r\\nr\\n: 之间的文字来适应自己的需要。请仔细检查 \\r 和 \\n 的数量，并保存修改。例如，我的登录提示是这样的：
　　I''m a node in cyberspace. Who are you?
　　login:

　　可以在其他终端上尝试登录，以确认正确性。

32.
(1)启动日志
　　修改/etc/rc.conf文件。
　　#记录SSH连接记录
　　security.*;auth.info /var/log/security #记录连接到SSH的日志信息
　　auth.* /var/log/authlog

33.
用下面的命令可以查看哪些服务正在试图监听连接你的系统：
　　sockstat -4

34.
你可能需要，也可能不需要打开这个端口，这取决于使用什么样的邮件程序来收发邮件。对于运行 FreeBSD 4.6-RELEASE 或更高版本的系统，在/etc/rc.conf中增加下面的行：
　　sendmail_enable="NO"

　　将告诉 sendmail 只监听 localhost，这允许所有的邮件客户程序发送邮件。如果你知道你的邮件客户程序带有内置的SMTP代理，或者喜欢冒险，那么可以尝试一下：
　　sendmail_enable="NONE"

　　这将彻底关闭25端口。检查一下这是否让你无法发送邮件是很重要的，确保已经关掉了所有应用程序，随后，以超级用户身份执行：
　　shutdown now

　　收到提示后按回车、exit。重新登录后给自己发一封邮件，如果收不到，那么把NONE改回NO。

　　如果你的"sockstat"显示端口111打开，那么把下面几行加到 /etc/rc.conf (或者，如果已经有这些行，把 YES 改为 NO):
　　nfs_server_enable="NO"
　　nfs_clIEnt_enable="NO"
　　portmap_enable="NO"

35.

syslog (端口 514) 也可能出现在你的输出结果中。我们可能并不希望完全关掉 syslog ，因为它提供的消息记录是我们需要的。但我们并不需要为此打开端口。在 /etc/rc.conf 文件中增加下面的选项:
　　syslogd_enable="YES"
　　syslogd_flags="-ss"

　　标志中的ss (确认用了两个s，而不是一个) 将禁止来自远程主机的记录并关闭端口，但仍然允许 localhost 进行日志记录。

36.
你可能希望禁止一切远程登录（这意味着你必须物理地坐在机器前面），删除下面这一行前面的#号：
　　#-:wheel:ALL EXCEPT LOCAL .win.tue.nl

　　把 .win.tue.nl 去掉，于是它看起来将像这样：
　　-:wheel:ALL EXCEPT LOCAL

　　如果你需要从远程登录，那么把.win.tue.nl 替换为相应的IP或域名。如果有多个地址，用空格分开。

　　如果只有一两个用户的话，那么可以拒绝其他人登录：
　　-:ALL EXCEPT user1 user2:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4

　　用具体的用户名替换掉 user1 user2 。如果需要的话，增加相应的tty。

　　另外，也可以把用户组方在这里。首先，编辑 /etc/group 并增加下面的行：
　　mygroup:*:100:genisis,dlavigne6,biko

　　当增加组时，需要保证GID的唯一性。

　　随后，修改 /etc/login.access ：
　　-:ALL EXCEPT mygroup:ttyv0 ttyv1 ttyv2 ttyv3 ttyv4 ttyv5

　　测试它非常重要，一定要留一个终端。测试每一个终端上的登录，确认其效果。

37.

拒绝直接以root身份登录：

　　在/etc/ttys文件中，将"secure"标记改为"insecure"标记，使系统在进入单用户模式时会要求root密码。但是这样以来也为恢复root密码制造了障碍——安全和易用再次形成了矛盾的两个对立面。

38.
#找出你所有的可写入目录，
　　#find / -perm -0777 -type d -ls

39.
配置SSH

　　修改/etc/ssh/ssh_config文件

　　(1)使用protocol 2代替protocol 1，SSH2更加安全，可以防止攻击者通过修改携带的版本banner来劫持（hijacking）启动会话进程并降低到protocol 1。注释掉protocol 2,1 改用下面语句代替：

　　protocol 2

　　(2)合理设置最大连接数量， 防止DOS攻击

　　MaxStartups 5:50:10

　　(3)禁止远程root和空密码登录，建议关闭X11forwording

　　X11Forwarding no

　　(4)强烈建议不使用静态密码，而使用DSA 或RSA KEY，修改如下内容可以关闭使用密码认证：

　　PasswordAuthentication no

　　(5)可以限制组或光是单个用户访问shell

　　AllowGroups wheel
　　AllowUsers xundi

　　(6)使用TCP wrappers来限制一些访问，修改/etc/hosts.allow文件，注释掉"ALL : ALL : allow"，增加如下内容：

　　sshd:localhost:allow
　　sshd:friendlcomputer:allow
　　sshd:all : deny

　　#相关命令：
　　#chsh -s /sbin/nologin user
40.
FreeBSD下面
$ md5 4.1-install.iso
MD5 (4.1-install.iso) = 782d53b69c9e9ae89678c925ba6b6647

Linux下面
$ md5sum 4.1-install.iso
782d53b69c9e9ae89678c925ba6b6647 4.1-install.iso

41.
升级源码树
安装cvsup
进入：/usr/ports/net/cvsup
make clean
make deinstall
make install
make clean
即可

升级系统源码树及ports
更新/usr/share/examples/cvsup目录下stand-cvsup和ports-cvsup文件，并执行cvsup –g –L2 standard-supfile和cvsup –g –L2 ports-cvsup两个文件，升级ports树﹔

42.
如何让FreeBSD的csh像bash那样按tab列出列出无法补齐的候选文件？
答：标准的方法是按Ctrl+D。但如果一定要用tab的话，在/etc/csh.cshrc中加入：
代码:
set autolist

43.
FREEBSD-6.0更新到稳定版

首先安装FreeBSD的系统源代码和Ports

# mount -t cd9660 /dev/acd0 /mnt/
# cd /mnt/6.0-RELEASE/ports
# ./install.sh

# cd /mnt/6.0-RELEASE/src
# ./install.sh all

更新FreeBSD的系统源代码以及Ports

# cd /usr/share/examples/cvsup
# vi standard-supfile
*default host=cvsup4.FreeBSDChina.org
*default release=cvs tag=RELENG_6

# cvsup -g -L 2 /usr/share/examples/cvsup/standard-supfile
# cvsup -g -L 2 /usr/share/examples/cvsup/ports-supfile

编译生成新的系统二进制文件

# cd /usr/src
# make buildworld
# make installworld
# reboot

    现在，你的系统已经是最新的了。注意新的系统升级完成之后一些原先安装的软件最好重新安装，否则很容易引发一些意想不到的问题。

44.
问：tcsh（csh兼用） 提示符的变量常用的都有哪些？

答：

! 和%h一样
%B 开始粗体模式
%b 结束粗体模式
%c 当前工作目录名称的最后部分
%c2,%c3等等 当前工作目录名称的最后两个、三个（等等）组成部分
%C 跟%c类似，但是使用长形式的目录名称
%d 本周的当天
%D 今天是当月中的第几天
%h 当前命令的历史记录编号
%l shell的当前控制终端
%L 清除从提示符末尾到下一行的所有内容
%m 机器的主机名称
%M 机器的完全符合规范的域名
%n 用户名
%p 用精确格式（包括秒）显示的12小时制时间
%P 用精确格式（包括秒）显示的24小时制时间
%S 开始标准输出格式
%s 结束标准输出格式
%t 以12小时制格式显示时间
%T 以24小时制格式显示时间
%U 开始下划线模式
%u 结束下划线模式
%w 当前月的名称
%W 当前月的序数
%y 以2位格式表示的年
%Y 以4位格式表示的年
%% %字符
%! 跟%h相同
%
 跟%t相同
$# 扩展到>供常规使用，如果用户正以root身份运行的话，就扩展到#
%/ 当前工作目录的完整名称
%- 以短格式表示的当前工作目录
^C 跟C匹配的控制字符：例如^G代表Ctrl+G
\\a 使tcsh在任何时候显示提示符时嘟嘟响
\\e 终止的escape符0x1B
\\f 终止的换页符
\\n 在这个位置开始一个新行
\\r 回车符
\\t Tab制表符
\\v 垂直制表符
\\nnn 由八进制数字nnn所指定的字符

45.
在 console 下操作时，由于屏幕显示有限，有时需看前面显示的资料，这时你可：

. 按一下 Pause or Scroll Lock键后，则可利用 PageUp PageDown Up Down Home End 等键来看前后显示的资料

. 再按一下 Pause or Scroll Lock则可回复等待输入画面.

46.
加快你的开机速度..

严格说起来，FreeBSD 的开机速度算满快的，不过中间会有个 10 秒的延迟时间(以便让你进入 boot 的 command prompt mode)，如果你嫌这10秒还是太慢了，那你可将时间?#123;短一些..

FreeBSD 激活时会先去参考 /boot/defaults/loader.conf 档的设定，然后再参考 /boot/loader.conf，一般我们都不去?#123;整 /boot/defaults/loader.conf 这个档，而直接?#123;整 /boot/loader.conf..

只要在 /boot/loader.conf 中加上以下这一行即可

autoboot_delay="秒数" 即可，如

autoboot_delay="7" 代表7秒

这样开机是不是更快了..

另外建议，有时间可参考一下 /boot/defaults/loader.conf 这个档案的设定，其中有许多实用的设定哦..

47.
$lock -p
当你使用终端登陆时想暂时离开而又不想logout,那么可以用lock -p.
当你返回时输入密码就可以. 

      apt-get install scim（当然前提是你要设置好源，具体见http://wiki.ubuntu.org.cn/%E5%BF%AB%E9%80%9F%E8%AE%BE%E7%BD%AE%E6%8C%87%E5%8D%97, 有些高校自己内部也有源的，好好找找)

      就已经安装好SCIM了！当然还不能用。因为SCIM只是一个输入法平台，还要在上面安装输入法（或者码表）。例如，

      apt-get install scim-chinese

      就可以使用智能拼音输入法了！当然在使用之前还要先配置一下，配置方法很简单，在/etc/X11/Xsession.d/里新建一个名叫95xinput的文件，文件内容如下

      /usr/bin/scim -d
      XMODIFIERS="@im=SCIM"
      export XMODIFIERS
      export GTK_IM_MODULE=scim

       保存文件，确认内容无误后，退出X（建议退出X后运行exit命令重新login一次），再进入X的时候就可以用Ctrl+Space调出SCIM了！
      就我的试验情况，这样已经可以在qterm里使用SCIM了。

    如果你需要其它中文输入法，可以这样

    apt-get install scim-tables-zh

    这包括了简体中文的五笔、二笔、广东拼音、自然码，和繁体中文的行列、 }頡五代、大易、注音等输入法了。
    我现在使用五笔输入法，能输入简繁汉字，词汇也丰富，很好用。

      但是现在还不能在基于GTK的软件中调出SCIM，例如我就不能在leafpad里使用SCIM。解决办法很简单，只要安装scim-gtk2-immodule就可以了。

          apt-get install scim-gtk2-immodule

          安装后无须重启X，只要重新打开基于GTK的软件就可以了，比如我新开一个leafpad，马上就可以使用SCIM了！

        这个命令会根据依赖关系自动安装 scim-server-socket, scim-frontend-socket, scim-config-socket，如果没有安装scim，也会自动安装。

2.4 shlight -- 访问windows共享文件夹

shlight对中文支持也很好, 我在FreeBSD 5.2上测试过

# cd /usr/ports/net/sharity-light/
# make all install clean
# mkdir /music
# echo "10.0.0.1 winhost" >> /etc/hosts
# shlight //winhost/music /music -U user -P password
# unshlight /music
   
在freebsd中安装vmware虚拟机工具包，方法如下：

 在虚拟机的VM菜单下选择安装Tools,





 
1.mount /cdrom
2.cd /cdrom 有一个文件vmware-linux*.tar.gz
3.cp vmware-linux*.tar.gz /tmp
4.cd /tmp
5.tar zxvf vmware-linux*.tar.gz
6.进入解压目录 cd vmware-tools-distrib
7.进入解压后的目录运行安装命令./vmware-install.pl 就ok了




解压tar文件就用
tar jxvf  xx.tar  <目标路径>


fcitx 安装
2、源码包的安装；

[root@localhost beinan]# tar jxvf fcitx-3.2-050827.tar.bz2
[root@localhost beinan]# cd fcitx
[root@localhost fcitx-3.1.1]# ./configure
[root@localhost fcitx-3.1.1]# make
[root@localhost fcitx-3.1.1]# make install
三、Fcitx 3.x的配置；
让fcitx 进入桌面自动运行；方法有二；

方法一：
请在 /etc/X11/xinit/xinput.d/ 目录中查看文件zh_CN ，如果没有就建一个；把里面的内容改为如下的；
XIM=fcitx
XIM_PROGRAM=fcitx
GTK_IM_MODULE=fcitx
gnome-im-settings-daemon >/dev/null
方法二：

在$HOME/.xinput.d/里建立文件zh_CN，包含下面内容, 就可以了；
XIM=fcitx
XIM_PROGRAM=fcitx
GTK_IM_MODULE=fcitx
XMODIFIERS="@im=fcitx"
gnome-im-settings-daemon >/dev/null

如果当前用户目录下没有 .xinput.d目录，就建一个。然后再建一个zh_CN的文件，内容就是上面的那段。 
[root@localhost beinan]# mkdir ~/.xinput.d
这样就差不多能用起来了。直接运行一下命令；
[root@localhost beinan]# fcitx

如果不能使用fcitx ，可能得设置设置一下变量；
还得设置一下当前用户的环境变量，也就是在你想用的那个用户的家目录下的 .bashrc 文件。
.bashrc这个文件是隐藏的，你可以用 vi 或者gedit编辑都行。看你习惯吧。
在里面加两行，如下：
export LC_CTYPE="zh_CN"
export XMODIFIERS="@im=fcitx"

注意保存一下，否则不起做用； 
我是刚安装好的系统，一切都是新的，看一下我的beinan这个用户下的 .bashrc的配置吧。
# .bashrc
# User specific aliases and functions
export LC_CTYPE="zh_CN"
export XMODIFIERS="@im=fcitx"
# Source global definitions
if [ -f /etc/bashrc ]; then
. /etc/bashrc
fi

存在的问题；
如果您用中文桌面环境，能启动fcitx ，但不能输入，大多是控制台的locale和桌面的locale不一致所引起的。
请在用户家目录下的.bashrc 中加入一行；
export LANG="zh_CN.UTF-8"
另外还在建一个 .i18n的文件；内容如下：
LANG="zh_CN.UTF-8"
重启X就好了，按CTRL+ALT+BACKSPACE；就重新启动系统；






http://www.linuxsir.org/main/?q=node/51    从源代码安装参考的例子



 修改shell进不去系统的解决办法
如果您把root的shell改成了bash（很多人因为bash的强大功能而选择了它，或者是从linux转到BSD上的，习惯了bash），而导致进不去系统了，可以通过以下几种方式解决： 
一：系统启动时，选择“4”，进入“单用户”模式，输入“boot -s”进入单用户的提示符“＃”，依次键入如下命令： 
 

fsck -p

mount -u /

mount -a -t ufs

swapon -a

chsh -s /bin/csh





 在FreeBSD中安装JDK
　下载编绎好的JDK1.5，解压至/usr/local/jdk1.5.0 
　　#ln -s /usr/local/jdk1.5.0 java 
　　#ln -s /usr/local/jdk1.5.0  /usr/local/java 
　　#ln -s /usr/local/java/bin/java  /usr/local/bin/java 
　　#ln -s /usr/local/java/bin/javac  /usr/local/bin/javac 
　　#ln -s /usr/local/java/bin/jar  /usr/local/bin/jar 
　　编辑/etc/profile，添加JAVA_HOME=/usr/local/java 
　　重新登录系统，执行 java -version，如果看到JDK版本号，则说明安装成功 
已编译好的FreeBSD版本的JDK在
http://download.chinaunix.net/download/0013000/12304.shtml
可以下载，这是用unix原始的安装方式，没用用到freebsd 的pkg,ports来安装所以你要下载tar.bz2打包的版本，
这都是已经编译好的。不需要再编译，只需要按上面的脚本配置环境即可。
http://sunfly.bokee.com/5412914.html  常用的目录及文件命令



在FreeBSD中两种不同的Shell环境变量设置

  上次安装tomcat老运行不起来的原因就在于此了，当时只是设置了/etc/profile里的环境变量，说
实话，我现在还弄不懂那些Shell用读取这个文件 



  在.cshrc中的格式:
代码:
# path
set path = (/usr/local/share/mydir/j2sdk1.4.2_07/bin /sbin /bin /usr/sbin /usr/bin /usr/games /usr/local/sbin /usr/local/bin)

# Java home
setenv JAVA_HOME /usr/local/share/mydir/j2sdk1.4.2_07
setenv CLASSPATH .:$JAVA_HOME/lib:$JAVA_HOME/jre/lib:$JAVA_HOME/jre
setenv CALSSPATH /usr/local/jdk1.4.2/lib/tools.jar:/usr/local/share/java/classes


在.bashrc中的格式:
代码:
JAVA_HOME=/usr/local/share/mydir/j2sdk1.4.2_07
CLASSPATH=.:$JAVA_HOME/lib:$JAVA_HOME/jre/lib:$JAVA_HOME/jre
PATH=$PATH:$JAVA_HOME/bin:$JAVA_HOME/jre/bin
export JAVA_HOME PATH CLASSPATH



http://tom.yesky.com/biz/cbfwq/407/2696907.shtml  这是一篇介绍FreeBSD Shell的好文章
查看到当前系统所开启的服务端口
netstat -an

1、中文locale

2、设定/etc/profile

编辑->当前配置文件(U)...，打开“标题和命令"选项卡，选中”以shell方式运行命令”后关闭即可。

3、fat32、ntfs、cd9660分区中文文件名的问题。

4、gnome2中xmms及gimp中文乱码的问题。

5、让编辑器vi增加更多的功能：

6、mozilla等浏览器的插件(flash,acrobat)：

7、nvidia官方驱动。

　　简介

　　本文目标

　　Step 1使用SSH远程管理FreeBSD

　　Step 2 FreeBSD中停用Sendmail服务

　　Step 3修改用户Shell，使用Shell更加方便

　　Step 4设置FreeBSD的字符下的屏幕保护

　　Step 5更改网络设置(IP地址，DNS，网关)

　　Step 6忘记root用户密码的解决方法

　　Step 7FreeBSD的时间调整与时间同步

　　F.A.Q.

　　Links to other sources

　　简介.

　　系统安装完成后，还需要进行一系列的配置。

　　本文目标.

　　通过对本文的学习，您可以使用SSH远程管理服务器，停止Sendmail,修改用户shell，设置屏幕保护。

　　· 使用SSH远程管理FreeBSD。

　　· FreeBSD中停用Sendmail服务。

　　· 修改用户Shell，使用Shell更加方便。

　　· 设置FreeBSD的字符下的屏幕保护

　　· 更改网络设置(IP地址，DNS，网关)

　　· 忘记root用户密码的解决方法

　　Step 1 SSH远程管理FreeBSD.

　　· PuTTY介绍，下载。

　　· PuTTY的使用。

　　· PuTTY的使用证书验证。

　　跟随下面步骤进行远程管理FreeBSD.SSH是英文Secure Shell的简写形式。通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、Pop、甚至为PPP提供一个安全的"通道"。

　　PuTTY介绍，下载

　　一般常见的SSH远程工具

　　Windows下有很多SSH的远程管理工具，比如Putty.exe；PuTTY是免费的SSH连接工具。可以到PuTTY的官方网站下载。下载后无需安装，直接双击即可运行。

　　PuTTY的使用

　　打开Putty，输入主机IP192.168.0.9连接

　　输入系统安装时，添加的wheel组内的用户名mongolia和密码

　　成功登陆后，你可以在远程对FreeBSD的服务器，进行管理和维护了。

　　这是登录成功的界面

　　PuTTY的使用证书验证

　　1、下载Putty

　　Putty.exe作用是连接运行服务器

　　下载后不需要安装，绿色软件直接运行即可

　　2、下载Puttygen.exe

　　Puttygen.exe作用是用来生成密钥

　　PuttYgen 是密钥生成器，用来生成一对公钥和私钥供PuTTY、PSCP、Plink、Pagent 来使用。

　　3、运行Puttygen.exe生成密钥

　　运行Puttygen.exe---->Parameters选项选择----->SSH-2 RSA------> 点击Generate 按钮开始生成密钥(可以在程序Key下方的空白处移动鼠标，直到生成密钥结束)---->点下面的Save private key把私钥保存起来，扩展名是.ppk 的文件。此时不要关闭程序。

　　运行Puttygen.exe

　　生成密钥

　　存储私钥

　　4、连接远程服务器，上传密钥

　　使用Putty登陆远程服务器，在用户目录下，创建~/.ssh/authorized_keys

　　例如：

　　mongolia@WOW[/home/mongolia]%mkdir ~/.ssh

　　mongolia@WOW[/home/mongolia]%cd ~/.ssh

　　mongolia@WOW[/home/mongolia/.ssh]%vi authorized_keys

　　Shell:

　　mkdir ~/.ssh

　　cd ~/.ssh

　　vi authorized_keys

　　复制Puttygen.exe程序Public key for pasting into Open SSH authorized_keys file:下面的内容到服务器上的authorized_keys文件中粘贴并保存退出。

　　5、使用Putty密钥方式验证自动登陆

　　打开Putty.exe------>Session------>Host name(or IP address)输入远程服务器IP地址----->Connection------>data------>Auto-login username输入用于登陆的用户名-------->SSH---->Auth------>Private key file for authentication:----->点击Browser选择到你保存私钥(.pkk)的文件。---->Open自动登陆到服务器上了。

　　打开Putty.exe------>Session------>Host name(or IP address)输入远程服务器IP地址

　　Connection------>data------>Auto-login username输入用于登陆的用户名

　　SSH---->Auth------>Private key file for authentication:----->点击Browser选择到你保存私钥(.pkk)

　　Open自动登陆到服务器上了

　　Shell:

　　su - root

　　Step 2 FreeBSD中停用Sendmail服务.

　　FreeBSD中停用Sendmail服务:

　　停止Sendmail

　　停止Sendmail，解决系统在Sendmail处，无响应的问题

　　使用远程管理用户，登陆系统后需要切换到root管理员权限

　　monglia@Wow[/]su – root

　　Shell:

　　su - root

　　编辑/etc/rc.conf

　　root@Wow[/root]ee /etc/rc.conf

　　Shell:

　　vi /etc/rc.conf

　　增加以下内容（用来停止sendmail）

　　sendmail_enable="NO"

　　sendmail_submit_enable="NO"

　　sendmail_outbound_enable="NO"

　　sendmail_msp_queue_enable="NO"

　　Editor:

　　#Sendmail

　　sendmail_enable="NO"

　　sendmail_submit_enable="NO"

　　sendmail_outbound_enable="NO"

　　sendmail_msp_queue_enable="NO"

　　保存并退出。

　　Step 3 修改用户Shell.

　　修改用户Shell，使其更加方便: 修改root用户Shell的设置

　　FreeBSD中，使用普通用户登录后默认的shell，显示简单的%或$符号，并且没有高亮显示。

　　为使用方便，可以修改shell，支持高亮和自定义命令。

　　默认shell的简单显示

　　显示用户主目录的所有文件，在%后面输入命令ls –a

　　%ls -a

　　Shell:

　　ls -a

　　说明%表示系统自动显示出来的，ls –a才是输入的命令

　　编辑.cshrc配置文件,

　　%ee .cshrc

　　Shell:

　　ee .cshrc

　　在.cshrc中增加1行alias ls ls -G支持高亮显示

　　Editor:

　　alias h history 25

　　alias j jobs -l

　　alias la ls -a

　　alias lf ls -FA

　　alias ll ls -lA

　　alias ls ls -G

　　在.cshrc中增加1行set prompt = “%B%n@%m[%/]”支持高亮显示用户当前所在的目录

　　%B表示高亮显示%n表示用户名@%m表示计算机名[%/]表示用户当前所在的目录

　　Editor:

　　if ($?prompt) then

　　# An interactive shell -- set some stuff up

　　set prompt = "%B%n@%m[%/]%"

　　set filec

　　set history = 100

　　set savehist = 100

　　set mail = (/var/mail/$USER)

　　修改setenv BLOCKSIZE为M

　　Editor:

　　setenv EDITOR vi

　　setenv PAGER more

　　setenv BLOCKSIZE M

　　修改前：

　　setenv EDITOR vi

　　setenv PAGER more

　　setenv BLOCKSIZE K

　　修改后：

　　setenv EDITOR vi

　　setenv PAGER more

　　setenv BLOCKSIZE M

　　设置PACKAGESITE这个环境变量，在setenv BLOCKSIZE M下面添加以下内容。

　　#setenv PACKAGESITE ftp://ftp2.jp.freebsd.org/pub/FreeBSD/ports/i386/packages-6.2-release/Latest/

　　[setenv BLOCKSIZE M]下面加入这3行；作用是加快安装程序时的下载速度。找各大FTP 同步站台选择相同目录找一个离你最近的

　　可用[例: ping http://ftp.twaren.net 看回应值越小对你主机速度越快]边里是选FreeBSD中国镜像服务器,大家依各自需求选择即可，[后面2个是备选网址]

　　Editor:

　　setenv EDITOR vi

　　setenv PAGER more

　　setenv BLOCKSIZE M

　　setenv PACKAGESITE ftp://ftp.cn.freebsd.org/pub/FreeBSD/ports/i386/packages-6.2-release/Latest/

　　#setenv PACKAGESITE ftp://ftp.tw.freebsd.org/pub/FreeBSD/ports/i386/packages-6.2-release/Latest/

　　#setenv PACKAGESITE ftp://ftp2.jp.freebsd.org/pub/FreeBSD/ports/i386/packages-6.2-release/Latest/

　　if ($?prompt) then

　　# An interactive shell -- set some stuff up

　　-------------------------------------

　　编辑完成后，按键盘上的Esc键，跳出下面的菜单

　　选择a) leave editor询问是否保存选择a)save changes然后按回车键，退出编辑器。

　　(为了使shell设置生效)输入指令source ~/.cshrc使配置立即生效

　　Shell:

　　source ~/.cshrc

　　shell界面发生变化。

　　输入lls命令后，现在已经可以高亮显示

　　monglia@FreeBSD[/]ls

　　Shell:

　　ls

　　Step 4 FreeBSD字符下的屏幕保护.

　　FreeBSD字符下设置屏幕保护:

　　方法1、编辑/etc/rc.conf文件

　　使用远程管理用户，登陆系统后需要切换到root管理员权限

　　monglia@Wow[/]su - root

　　Shell:

　　su - root

　　使用root用户编辑/etc/rc.conf文件

　　root@Wow[/root]ee /etc/rc.conf

　　Shell:

　　ee /etc/rc.conf

　　添加

　　blanktime=”60”(设定屏保时间为60秒)

　　saver=”daemon” (屏保内容为FreeBSD吉祥物)

　　Editor:

　　#Saver

　　blanktime="60"

　　saver="daemon"

　　保存并退出。

　　方法2、使用sysinstall图形界面进行设置

　　root用户运行sysinstall

　　root@Wow[/root]sysinstall

　　Shell:

　　sysinstall

　　选择Configure------Console------Saver-----Timeout(设置屏保时间60秒)Daemon(字符格式的守护精灵图案)

　　屏保效果，够Cool吧^_^

　　Step 5 FreeBSD网络相关设置.

　　FreeBSD网络相关设置:

　　更改IP地址(需要root权限)

　　方法1、在命令行输入ifconfig(命令) de0(网卡) 192.168.0.8(IP地址)

　　Shell:

　　ifconfig de0 192.168.100.8

　　root@WOW[/root]#ifconfig

　　de0: flags=8843 mtu 1500

　　inet 192.168.100.8netmask 0xffffff00 broadcast 192.168.100.255

　　ether 00:03:ff:41:7c:43

　　media: Ethernet autoselect (100baseTX)

　　status: active

　　plip0: flags=108810 mtu 1500

　　lo0: flags=8049 mtu 16384

　　inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3

　　inet6 ::1 prefixlen 128

　　inet 127.0.0.1 netmask 0xff000000

　　方法2、修改/etc/rc.conf文件，

　　IP地址为inet 192.168.0.88 主机名为WOW.sunny.com 网关地址为192.168.100.254

　　Shell:

　　vi /etc/rc.conf

　　Editor:

　　# -- sysinstall generated deltas -- # Tue Apr 17 17:37:54 2007

　　# Created: Tue Apr 17 17:37:53 2007

　　# Enable network daemons for user convenience.

　　# Please make all changes to this file, not to /etc/defaults/rc.conf.

　　# This file now contains just the overrides from /etc/defaults/rc.conf.

　　defaultrouter="192.168.100.254"

　　hostname="WOW.sunny.com"

　　ifconfig_de0="inet 192.168.100.88 netmask 255.255.255.0"

　　方法3、root用户运行sysinstall进行图形介面配置

　　注：要是单网卡想帮定多个IP，可以这样设置

　　ifconfig_de0_alias0="inet 192.168.100.8 netmask 255.255.255.0"

　　ifconfig_de0_alias1="inet 192.168.100.119 netmask 255.255.255.0"

　　Editor:

　　# -- sysinstall generated deltas -- # Tue Apr 17 17:37:54 2007

　　# Created: Tue Apr 17 17:37:53 2007

　　# Enable network daemons for user convenience.

　　# Please make all changes to this file, not to /etc/defaults/rc.conf.

　　# This file now contains just the overrides from /etc/defaults/rc.conf.

　　defaultrouter="192.168.100.254"

　　hostname="WOW.sunny.com"

　　ifconfig_de0="inet 192.168.100.88 netmask 255.255.255.0"

　　ifconfig_de0_alias0="inet 192.168.100.8 netmask 255.255.255.0"

　　ifconfig_de0_alias1="inet 192.168.100.119 netmask 255.255.255.0"

　　alias0(表示别名，用1块网卡通过别名虚拟，多出来1个IP地址)

　　此时这台FreeBSD服务器拥有了3个IP地址。

　　修改MAC地址

　　方法1、直接使用命令改

　　ifconfig(命令) de0(网卡名) ether(改MAC) 00:02:A5:BC:21:3A(新MAC地址)

　　Shell:

　　ifconfig de0 ether 00:02:A5:BC:21:3A

　　缺点是重启后设置自动消失

　　方法2、修改/etc/rc.conf文件使用别名方式

　　ifconfig_de0_alias0="ether 00:02:A5:BC:21:3A"

　　Editor:

　　# -- sysinstall generated deltas -- # Tue Apr 17 17:37:54 2007

　　# Created: Tue Apr 17 17:37:53 2007

　　# Enable network daemons for user convenience.

　　# Please make all changes to this file, not to /etc/defaults/rc.conf.

　　# This file now contains just the overrides from /etc/defaults/rc.conf.

　　defaultrouter="192.168.100.254"

　　hostname="WOW.sunny.com"

　　ifconfig_de0="inet 192.168.100.88 netmask 255.255.255.0"

　　ifconfig_de0_alias0="ether 00:02:A5:BC:21:3A"

　　修改DNS设置

　　FreeBSD的DNS配置文件，是/etc/resolv.conf

　　查看现在DNS配置

　　Shell:

　　root@WOW[/root]#cat /etc/resolv.conf

　　domain sunny.com

　　nameserver 202.106.196.115

　　添加新DNS服务器202.106.0.20到/etc/resolv.conf

　　Shell:

　　echo nameserver 202.106.0.20 >>/etc/resolv.conf

　　查看现在DNS服务器配置

　　Shell:

　　root@WOW[/root]#cat /etc/resolv.conf

　　domain sunny.com

　　nameserver 202.106.196.115

　　nameserver 202.106.0.20

　　Step 6忘记root的密码怎么办.

　　FreeBSD下忘记root的密码怎么办:

　　重置root用户密码

　　重新启动FreeBSD服务器，出现模式选择时，选择单用户模式

　　选择4 Boot FreeBSD in single user Mode

　　系统出现shell提示，按回车键确认

　　非正常启动后，检查系统文件。输入fsck -y(参数y表示自动修复)

　　#fsck -y

　　Shell:

　　fsck -y

　　磁盘检查完成后，挂载所以系统分区。输入mount -a

　　#mount -a

　　Shell:

　　mount -a

　　重置root用户密码。输入passwd回车

　　#passwd

　　Shell:

　　passwd

　　确认密码后，千万不要傻傻的reboot重启呀。按下Ctrl+D系统就会继续启动，密码重设完成。

　　系统重新启动后，输入用户名和密码，即可以登入。

　　Step 7 FreeBSD调整时间与同步.

　　FreeBSD下时间调整与同步:

　　调整系统时间

　　需要root权限，date命令+年年月月日时时分分，例如调整系统时间为2007-11-2311:18

　　Shell:

　　date 0711231118

　　查看系统时间

　　查看系统时间，可以使用date+%Y/%m/%d/%H:%M命令

　　Shell:

　　date +%Y/%m/%d/%H:%M

　　2007/11/23/11:19

　　同步系统时间

　　使用ntpdate +时间服务器，命令。

　　中国时间服务器cn.pool.ntp.org

　　Shell:

　　/usr/sbin/ntpdate cn.pool.ntp.org

　　23 Nov 10:44:59 ntpdate[1929]: step time server 218.21.130.42 offset -2327.466568 sec

　　date +%Y/%m/%d/%H:%M

　　2007/11/23/10:46

　　设定某个时间，要求系统自动与时钟服务器同步进行调整时间

　　FreeBSD等(类似)Unix系统的设定

　　1) 确保计算机的123端口没有被防火墙阻挡；

　　2) 用root登录；

　　3) 修改/etc/crontab文件，加入以下一行命令：

　　0 23 * * * root /usr/sbin/ntpdate cn.pool.ntp.org>/dev/null

　　以上命令设置好后存盘。您的机器将在每天的23:00根据中国时间服务器的NTP服务器时间自动校准时间。

8  登录脚本总结
下表总结了每个 shell 的登录脚本第一次登录后所有脚本都将运行有关
POSIX C Key 和 Bourne Shell 的详细信息请参阅Shells: User's Guide
表3-3 各种 Shell 及其登录脚本
Shell            系统登录脚本本地登录脚本
POSIX         /etc/profile $HOME/.profile
C                 /etc/csh.login $HOME/.cshrc
                 $HOME/.login
Bourne       已过时/etc/profile $HOME/.profile
使用 Shell
设置和引用变量
92 第 3 章
设置和引用变量
shell 使用环境变量和 shell 变量定义环境登录 shell 使用环境变量并将这些
变量传递到所有进程和创建的 subshell 仅用户当前的 shell 可以识别 Shell 变
量但这些变量不会被传递到 subshell
$ POSIX shell 使用赋值语句和可选的 export 命令设置变量在所有 shell 中
通过在变量名前加一个货币符号 ($) 来引用变量值
为变量赋值
在 POSIX shell 中可以为变量赋值或对变量进行设置如有必要还可
以创建变量使用赋值语句可以完成这两项任务
name=value
name 表示变量名value 表示为变量赋的值name 和 = 之间或 = 和 value 之
间不允许有空格
在以下示例中将 shell 提示符 (PS1) 重新设置为
Ready ==>
如果 PS1 是 shell 变量则 subshell 通过键入 sh 创建不会识别新值如果
导出 PS1 PS1 的值将传递到 subshell
$ PS1="Ready ==> " 设置 shell 变量 PS1
Ready ==> sh 键入 subshell 名
$ exit Subshell 当前有缺省提示符退出到原始 shell
Ready ==> export PS1 使用 export 设置环境变量
Ready ==> sh 进入 subshell
Ready ==> Subshell 识别新的 PS1 值
Ready ==> exit 退出 subshell
Ready ==> PS1="$ " 使用 export 设置环境变量
$ 返回到正常的工作环境
使用 Shell
设置和引用变量
第 3 章93
引用变量的值参数替换
三种 shell 都使用参数替换引用变量值参数替换表示用变量值替换变量名
如果在变量名前加一个货币符号 ($) 即发生参数替换
例如在上文我们已了解到如何使用命令 echo $SHELL 确定登录 shell
$ echo SHELL 由于省略 $ 将回显单词 SHELL
SHELL
$ echo $SHELL 如果加上 $ 将回显 SHELL 的值
/usr/bin/sh
echo $SHELL 命令使用参数替换由于变量名前有货币符号 ($) 所以 shell 将
名为 SHELL 的环境变量值回显在 echo 命令下
更多信息
有关参数替换的详细信息请参考 sh sh-posix keysh 或 csh 联机帮助页


9   使用搜索路径查找命令
PATH 键入命令后HP-UX 必须能够找到包含命令的目录才能运行该命令查找命令
时PATH 环境变量包含用户希望 HP-UX 搜索的命令目录列表PATH 应包含所
有必要的目录以定位用户使用的所有命令
PATH 变量格式
从 .profile 或 /etc/profile 登录脚本读取 PATH 变量此变量包含待搜索的
目录列表中间用冒号分隔冒号前后不应有空格还可以按如下方式使用
echo 命令确定 PATH 的当前值
$ echo $PATH
/usr/bin/sh:/usr/bin:/usr/local/bin
此行内容表示键入命令后shell 首先在 /usr/bin/sh 目录/usr/bin 目录
和 /usr/local/bin 目录下搜索该命令如果这些目录下都没有该命令shell
将显示以下消息
command_name: 未找到
更改 PATH
如果 shell 无法找到确实存在的命令则有两种选择
1. 键入该命令的完整路径名例如如果希望执行位于 /home/sue/bin 目录
下的名为 prog 的命令请键入以下内容
$ /home/sue/bin/prog
2. 或者更改 PATH 变量的值以添加命令路径如果经常使用此命令这将
是长久之计
下表列出了最常用的目录的路径名
目录 内容
/usr/bin 常用的 HP-UX 命令
/usr/sbin 系统管理员使用的命令
/usr/bin/sh POSIX Shell
/usr/contrib/bin Hewlett-Packard 不支持第三方提供的程序
/usr/local/bin 在本地编写的程序和命令
$HOME/bin 可以为自己的 shell 脚本和程序创建的目录
使用 Shell
使用搜索路径查找命令
第 3 章95
注意考虑到潜在危险请勿将当前目录通常表示为 . 设置为 PATH 的第一个元
素请将当前目录置于 PATH 之外或仅将其作为最后一个元素予以保留
切记按显示从左到右顺序搜索 PATH 中的目录通常将最常用的目录设
置为路径的第一个元素 除非搜索路径下有两个同名的命令例如
/usr/bin/rm 和 $HOME/bin/rm 在本示例中如果想让 shell 首先查找 rm 版
本请在 PATH 中将 $HOME/bin 置于 /usr/bin 之前
以下示例说明如何更改 PATH 以将 $HOME/bin 放在其他目录前并将当前目
录作为搜索路径中的最后一个目录此示例假设用户使用的是 POSIX shell
$ echo $PATH
/usr/bin/sh:/usr/bin:/usr/bin:
/usr/contrib/bin:/usr/local/bin
$ PATH=$HOME/bin:$PATH:. 包含作为最后一个元素的. 使当前目录成为
$ echo $PATH 最后一个搜索目录
/home/terry/bin:/usr/bin/sh:/usr/bin:
/usr/bin:/usr/contrib/bin:/usr/local/bin:.
将 PATH 设置为环境变量
通常将 PATH 设置为环境变量以便在登录时为其赋予适当的值在 Bourne 和
POSIX shell 中可以更改 .profile 脚本中的 PATH 并导出有关这些脚本的详
细信息请参阅Shells: User's Guide

    1、常用命令

    1. # ioscan -fn

    列出各I/O卡及设备的所有相关信息：如逻辑单元号，硬件地址及设备文件名等。

    2. # ps -ef

    列出正在运行的所有进程的各种信息：如进程号及进程名等。

    3. # netstat -rn

    列出网卡状态及路由信息等。

    4. # lanscan

    列出网卡状态及网络配置信息。

    5. # bdf

    列出已加载的逻辑卷及其大小信息。

    6. # mount

    列出已加载的逻辑卷及其加载位置。

    7. # uname -a

    列出系统ID 号，OS版本及用户权限等信息。

    8. # hostname

    列出系统网络名称。

    9. # pvdisplay -v /dev/dsk/c*t*d*

    显示磁盘各种信息，如磁盘大小，包含的逻辑卷，设备名称等。

    10. # vgdisplay -v /dev/vg00

    显示逻辑卷组信息，如包含哪些物理盘及逻辑卷等。

    11. # lvdisplay -v /dev/vg00/lvol1

    显示逻辑卷各种信息，如包含哪些盘，是否有镜像等。

    2、网络故障诊断

    1. 如需修改网络地址、主机名等，一定要用set_parms 命令

    # set_parms hostname
    # set_parms ip_address

    2. 查看网卡状态： lanscan

    Hardware Station Crd Hardware Net-Interface
    Path Address In# state nameunit state
    8/20/5/1 0x0800097843FB 0 up lan0 up

    3. 确认网络地址：

    # ifconfig lan0

    4. 启动网卡：

    # ifconfig lan0 up

    5. 网络不通的诊断过程：

    lanscan 查看网卡是否启动(up)

    ping 自己网卡地址(ip 地址)

    ping其它机器地址，如不通，在其机器上用lanscan 命令得知station address，然后linkloop station_address 来确认网线及集成器是否有问题。

    在同一网中， subnetmask 应一致。

    6. 配置网关

    手动加网关：

    /usr/sbin/route add default 20.08.28.98 1

    把网关自动加入系统中

    vi /etc/rc.config.d / netconf
    ： 
    ROUTE_DESTINATION [0]=default 
    ROUTE_GATEWAY [0]=20.08.28.98 
    ROUTE_COUNT [0]=1 
    : 
    /sbin/init.d/net 将执行：
    /usr/sbin/route add default 20.08.28.98 1

    命令netstat -rn 查看路由表

    另外也可用set_parms addl_netwrk 来设缺省路由。

    二、安全安装HP-UX

    1、 建议在安装配置过程中，不要连接到任何不信任的网络中。

    2、 尽可能选择最小安装

    3、 尽可能不要安装NFS, X window, SNMP等组件（视具体需求而定）

    4、 安装完毕，则使用系统命令查看状态。

    # uname ?Ca （版本信息）

    # bdf （逻辑卷状态）

    # ps ?Cef （进程状态）

    # netstat -anf inet （端口状态）

    5、 安装各种驱动等

    6、 安装最新的补丁。

    http://us.itrc.hp.com

    安装补丁时要注意HP的补丁与硬件类型和系统版本都相关，检查并安装所有需要的补丁。确认需要swlist -l fileset.

    三、系统基本配置

    操作系统安装并打上补丁后，需要做一些措施来对系统进行一些配置。

    删除保存的补丁（可选）

    缺省情况下，补丁安装完会在/var/adm/sw/save/下备份所有的补丁。可以选择删除这些补丁文件，但一旦删除就没法使用swremove卸载补丁了。

    # swmodify -x patch_commit=true '*.*'

    转换为一个可信系统：

    # /usr/lbin/tsconvert 
    Creating secure password database... 
    Directories created. 
    Making default files. 
    System default file created... 
    Terminal default file created... 
    Device assignment file created... 
    Moving passwords... 
    secure password database installed. 
    Converting at and crontab jobs... 
    At and crontab files converted.

    改变全局特权

    HP-UX 有一个特权组，可以分配给一个组特权(参见privgrp(4)). 缺省情况下，CHOWN是分配给所有组的一个全局特权：

    $ getprivgrp 
    global privileges: CHOWN

    /sbin/init.d/set_prvgrp在系统启动时执行/usr/sbin/setprivgrp -f /etc /privgroup. 可以创建一个配置文件，删除所有的全局特权 (see setprivgrp(1m)):

    # getprivgrp 
    global privileges: CHOWN 
    # echo -n >/etc/privgroup 
    # chmod 400 /etc/privgroup 
    # /sbin/init.d/set_prvgrp start 
    # getprivgrp 
    global privileges:

    设置默认umask.

    转换到可信系统后，默认umask已经改为07077

    限制root远程登录，只能由console登录

    # echo console > /etc/securetty 
    # chmod 400 /etc/securetty

    打开inetd日志功能

    在/etc/rc.config.d/netdaemons中的 INETD_ARGS 环境变量中增加－l参数:

    export INETD_ARGS=-l

    删除不需要的系统伪帐户

    # groupdel lp 
    # groupdel nuucp 
    # groupdel daemon 
    # userdel uucp 
    # userdel lp 
    # userdel nuucp 
    # userdel hpdb 
    # userdel www 
    # userdel daemon

    对于一些保留的系统伪帐户如：bin, sys，adm等, 应当将需要禁止帐户的**用NP代替，并不提供登录shell

    Example: bin:NP:60002:60002:No Access User:/:/sbin/noshell

    将root主目录从/改为/root.

    编辑/etc/passwd:

    root:*:0:3::/root:/sbin/sh

    创建目录并修改权限:

    # mkdir /root 
    # chmod 700 /root 
    # mv /.profile /root 
    # pwconv

    四、禁止网络服务

    1、禁止inetd 服务

    由internet服务器过程inetd启动的网络服务是由两个配置文件/etc/inet/services和/etc/inet/inetd.conf来配置的。/etc/inet/services文件指定每个服务的端口号和端口类型，该配置文件的部分示例如下：

    … 
    ftp 21/tcp 
    telnet 23/tcp 
    smtp 25/tcp mail 
    …

    /etc/inet/inetd.conf文件指定服务对应的系统服务程序，该配置文件部分示例如下：

    … 
    ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd 
    telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd 
    …

    当要停止某个服务，如ftp、telnet等时，只要注释掉文件/etc/inet/services和/etc/inet/inetd.conf中的相应条目，也就是在那一行的开头加上＃字符，然后让inetd重新读配置文件，过程示例如下：

    # ps -ef |grep inetd 
    root 149 1 0 Jan 18 ? 0:00 /usr/sbin/inetd -s 
    root 24621 24605 0 15:53:01 pts/1 0:00 grep inetd 
    # kill ?CHUP 149

    以上第一条命令是为了获得inetd的进程号，示例中输出的第二列内容就是进程号(149)，然后将该进程号填入第二条命令的相应位置。

    可以使用lsof ?Ci来查看监听进程和端口信息:

    # lsof -i 
    COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME 
    syslogd 261 root 5u inet 0x10191e868 0t0 UDP *:syslog (Idle) 
    rpcbind 345 root 4u inet 72,0x73 0t0 UDP *:portmap (Idle) 
    rpcbind 345 root 6u inet 72,0x73 0t0 UDP *:49158 (Idle) 
    rpcbind 345 root 7u inet 72,0x72 0t0 TCP *:portmap (LISTEN) 
    sendmail: 397 root 5u inet 0x10222b668 0t0 TCP *:smtp (LISTEN) 
    snmpdm 402 root 3u inet 0x10221a268 0t0 TCP *:7161 (LISTEN) 
    snmpdm 402 root 5u inet 0x10222a268 0t0 UDP *:snmp (Idle) 
    snmpdm 402 root 6u inet 0x10221f868 0t0 UDP *:* (Unbound) 
    mib2agt 421 root 0u inet 0x10223e868 0t0 UDP *:* (Unbound) 
    swagentd 453 root 6u inet 0x1019d3268 0t0 UDP *:2121 (Idle) 

    2、禁止其他服务

    防止syslogd网络监听

    安装PHCO_21023补丁可以给syslogd加上-N参数防止网络监听. 编辑/sbin/init.d/syslogd修改为 /usr/sbin/syslogd -DN.

    禁止SNMP服务

    编辑SNMP启动文件:

    /etc/rc.config.d/SnmpHpunix 
    Set SNMP_HPUNIX_START to 0: SNMP_HPUNIX_START=0 
    /etc/rc.config.d/SnmpMaster 
    Set SNMP_MASTER_START to 0: SNMP_MASTER_START=0 
    /etc/rc.config.d/SnmpMib2 
    Set SNMP_MIB2_START to 0: SNMP_MIB2_START=0 
    /etc/rc.config.d/SnmpTrpDst 
    Set SNMP_TRAPDEST_START to 0: SNMP_TRAPDEST_START=0

    禁止sendmail进程

    编辑/etc/rc.config.d/mailservs:

    export SENDMAIL_SERVER=0

    禁止rpcbind进程

    # rm /sbin/rc1.d/K600nfs.core 
    # rm /sbin/rc2.d/S400nfs.core 
    # mv /usr/sbin/rpcbind /usr/sbin/rpcbind.DISABLE

    五、文件系统安全

    1、检查Set-id程序

    # find / \( -perm -4000 -o -perm -2000 \) -type f -exec ls -ld {} \; 
    # chmod u-s /usr/sbin/swinstall 
    # chmod u-s /usr/sbin/vgcreate 
    # chmod u-s /sbin/vgcreate

    可以采用下列方法，将所有文件的set-id位去掉，然后对一些需要的程序单独加上suid位（可根据情况选择）:

    # find / -perm -4000 -type f -exec chmod u-s {} \; 
    # find / -perm -2000 -type f -exec chmod g-s {} \; 
    # chmod u+s /usr/bin/su 
    # chmod u+s /usr/bin/passwd

    采用这种方法后，普通用户将无法使用很多系统命令，如bdf, uptime ，arp等:

    $ bdf /dev/vg00/lvol3 
    bdf: /dev/vg00/lvol3: Permission denied

    2. 修改重要文件权限

    # chmod 1777 /tmp /var/tmp /var/preserve （加上粘滞位） 
    # chmod 666 /dev/null

    六、网络参数调整

    利用ndd命令，可以检测或者更改网络设备驱动程序的特性。在/etc/rc.config.d/nddconf启动脚本中增加以下各条命令，然后重启系统，可以提高网络的安全性。

    格式如下：

    /usr/sbin/ndd -set /dev/ip ip_forward_directed_broadcasts 0 
    Network device 
    Parameter 
    Default value 
    Suggested value 
    Comment 
    /dev/ip 
    ip_forward_directed_broadcasts 
    1 
    0

    不转发定向广播包

    /dev/ip 
    ip_forward_src_routed 
    1 
    0 

    不转发原路由包

    /dev/ip 
    ip_forwarding 
    2 
    0

    禁止包转发

    /dev/ip 
    ip_pmtu_strategy 
    2 
    1

    不采用echo-request PMTU策略

    /dev/ip 
    ip_send_redirects 
    1 
    0

    不发ICMP重定向包

    /dev/ip 
    ip_send_source_quench 
    1 
    0

    不发ICMP源结束包

    /dev/tcp 
    tcp_conn_request_max
    20 
    500

    增加TCP监听数最大值，提高性能

    /dev/tcp 
    tcp_syn_rcvd_max 
    500 
    500 
    HP SYN flood保护 
    /dev/ip 
    ip_respond_to_echo_broadcast 
    1 
    0

    不响应ICMP echo请求广播包

    由于ndd调用前，已经启动网卡参数，所以可能不能正确设置。

    可以采用下列方法，建立一个启动脚本。

    # cp /tmp/secconf /etc/rc.config.d 
    # chmod 444 /etc/rc.config.d/secconf 
    # cp /tmp/sectune /sbin/init.d 
    # chmod 555 /sbin/init.d/sectune 
    # ln -s /sbin/init.d/sectune /sbin/rc2.d/S009sectune

主目录用于存储各种用户文件：设置文件，程序配置文件，用户文档，数据，netscape的缓存，邮件等等。作为一个普通用户，你可以在主目录下建立新的目录安排你自己的目录结构。其他用户无法阅读你的文件或者写数据到你的主目录，除非你给他们适当的权限。

除了自己的主目录以内的文件，一般用户也可以看到，阅读和执行很多系统里的文件，但是一般来说他们不能修改和删除这些文件。

root用户（也叫“超级用户”）是一个特殊的系统管理帐号，可以修改系统里的任何文件。经常使用root用户作为缺省的登录用户不是什么好习惯――你的误操作将有可能导致严重后果。建议设置一个一般用户给自己作为日常使用的帐号，只在必要使用root用户的权限时才登陆到root用户模式下。一般来说，root用户是Linux初始化安装后的唯一一个用户。

使用root用户建立一个普通用户:

adduser joe

passwd joe

[输入用户秘密]

[再次输入用户秘密确认]

在上述的例子里，要求超级用户root。以上命令在系统里产生一个joe的用户，接着设置该用户的密码。现在，可以告诉joe他的用户名和初始密码，然后他可以登录到系统，然后修改他的密码。还要注意的是，用户名和密码都是大小写敏感。

超级用户可以修改任何人的密码，尽管他/她无法阅读该用户的密码。用户密码采用单向加密算法，加密后仅仅在系统上储存加密后的密码，对于旧的系统一般存在/etc/passwd文件里，新的系统一般存在/etc/shadow文件里，未经加密的密码文件从来不被储存在系统里。当用户登录的时候，系统把用户的输入密码使用相同的加密算法得到的结果再和密码文件（/etc/passwd或者/etc/shadow）里的结果相比较。

超级用户和一般用户的分开使得Linux系统更加安全――甚至让病毒在Linux系统下很难有所作为（因为用户运行的程序只能把数据写到他/她自己的有读写权限的目录里，不会感染整个操作系统的核心部分）。

一般建议用户在第一次登录到系统的时候立刻修改自己的密码:

passwd

Changing password for joe

(current) UNIX password:   [输入旧的密码]

New password:              [输入新的密码]

Retype new password:       [重复输入新的密码]

passwd: all authentication tokens updated successfully.passwd

实际上，当你输入密码时，出于安全原因，键盘输入并不会显示在屏幕上。如果你是第一次修改密码，看不到键盘输入的结果可能会有点不适应。

在Linux里，同一个密码可以用来:

·         登录到文本终端

·         登录到图形用户界面（GNOME或者KDE）

·         取消锁定的文本终端

·         取消密码保护的图形用户界面下的屏幕保护（GNOME或者KDE）

3.2.2  密码安全性
 

一个“脆弱”（指容易被破解）的密码通常是安全问题的根源。即使在家里，完全有可能当你在浏览因特网的同时，黑客已经攻破你的计算机，正在修改和删除你计算机上的文件，或者通过你的计算机在本地警察局的网络里做一些令人头痛的事情。所以，即使在家里也要保证用户密码的安全。一旦有人登录到你的计算机，即使是普通用户，他也有可能找到其他方法获得超级用户的密码。其实就看你管理计算机系统的能力和黑客破解能力的较量了。

以下是一些不好的密码:

 根本没有密码 
 密码就是“password” 
 密码和登录用户名相同 
 你的名字，女儿的名字，儿子的名字，妻子的名字，丈夫的名字……或者任何一个亲人的名字。人的名字其实非常的有限――只要查一下一些类似“如何给婴儿取名”之类的书就可以了，不要以为你是印度来的就没有人知道你的名字。 
 你的姓或者其他人的姓。姓的数量比名字更加有限！ 
 你家小狗的昵称，老婆的昵称等等。昵称的数量比姓更少！ 
 你喜欢的体育俱乐部的名称，节日名称，牙膏的名称等等。避免使用非常出名的足球队的名称，也不要用任何摇滚乐队的名字 
 你的生日，社会保险号码，等等。 
 公司，部门，小组的名称 
 密码写在你的记事本上或者计算机壳子上 
 你在因特网联机商店使用的密码，电子邮件邮箱的密码等 
 任何在字典里可以找到的单词。英文字典其实没有包含你想象中那么多的单词（10万个单词？10万个单词的文件小于1MB!）。一个水平很一般的黑客很容易就加密所有的字典词汇然后逐一和你的密码比较。一个不可否认的事实，因特网上的确已经存在用来制造 “字典攻击”的现成工具。不信？试着找一个工具来破解你的密码看看有多容易！ 
 任何其他词汇，姓，宠物或者成语，不管是哪一种语言。对于一个有经验的黑客来说，如果他已经覆盖了一种语言，稍微加工一下就可以很容易覆盖其他常用的语言。有多少常用的语言？40个？黑客只需要把预先做好的几个文件加到破解文件清单里就行了。 
 任何以上的密码在前面或者后面加上一两个数字或者字符 

一个好的密码最少要6个字符，有些专家甚至建议最少要10个字符，包含字符（最好大小写混合），数字和特殊字符（比如？，*，$，%，＃）,还要定期做修改（建议8到16周之间）。

不巧的是，越不好破解的密码往往越难以记住。为了解决这个问题，我花了十分钟发明了我自己的“密码公式”。比如说，我总是以“@”字符作为密码的开头和结尾，然后使用两个单词并且用“!”把它们连接起来，每一个单词的最后一个字符大写，比如“@whitE!housE@”。看起来象一个不太好记的密码，但是只要我记得自己的“密码规则”，其实可以很容易记住这个密码。当然，如果你是一个记忆的超级天才，你可以使用mkpasswd并且试着记住它 J。

系统管理员可以使用Linux自带的工具来设置密码的规则（密码最小长度，是否要求特殊字符，密码过期的期限等），以root用户运行：

linuxconf

在菜单“user account”-“policies”－“password & account policies”设置。在以下场合里，一般的用户不能设置一个密码：

 当密码长度太短 
 密码是一个字典里的单词 
 密码中不包含数字或者特殊字符 

但是对于root用户，可以设置任何密码而只接收系统的警告信息。

还要保证任何包含你的密码的文件（比如/root/.kde/share/config/kpprc）有正确，安全的权限设置，这样才能保证你的密码不会被其他人看到。举个例子，你可能要运行命令：

chmod 600 kpprc

如果你使用电话线上网，每周只用几个小时，你的密码太脆弱可能不会有什么大问题。但是如果你使用cable modem宽带上网，或者如果大部分时间你都呆在因特网上，你最好重新考虑一下你的系统安全。

有些计算机半文盲使用一些脆弱得让人惊讶的密码，根据CNN的相关报道，“大概有50％的计算机用户基于家庭成员的名字，配偶的名字或者宠物的名字作为密码。大概30％的计算机用户基于流行音乐歌手的名字或者体育明星的名字作为密码”。

http://www.cnn.com/2002/TECH/ptech/03/13/dangerous.passwords/index.html

特别要请注意的是：在以上“基础密码”后面加上一两个数字并不会使密码安全提高多少。

3.2.3  忘记了超级用户密码怎么办

尽管我从来不会忘记自己的密码，但是我还是会仔细研究一下这个专题，以防将来有一天突然看到我的母亲在阅读我的ICQ聊天记录时，可能会派上用场。

第一种办法：

最容易解决“忘记密码问题”的方法是将Linux重新启动到单用户模式，可以在“lilo”的命令提示符下输入:

linux single

这种办法将使你变成root超级用户而不需要输入任何密码。现在作为root用户，你可以使用以下命令重新设置密码（不需要输入旧的密码）

passwd

你可能觉得这实在是太不安全了！那是因为，如果有人可以物理上“访问”你的计算机硬件，没有计算机系统是安全的。但是，我并不喜欢在我的计算机上有这个“linux single”的漏洞存在，所以我在文件/etc/lilo.conf里（在 “image=”段落的尾部）加上以下内容就可以把这个漏洞拔除：

password=”my_password”

restricted

这个设置使得Linux启动时，在lilo的命令提示符下，当用户输入linux带任何参数时必须输入正确的密码。如果用户不是使用命令行的启动模式而使用正常的启动模式，没有密码也能够启动系统。为了让修改生效，必须重新运行lilo命令。因为我设置的密码在lilo.conf文件里没有加密，我还必须把文件/etc/lilo.conf改成只有root用户可以读写:

chmod 600 /etc/lilo.conf

第二种办法

另外一个解决“超级用户密码丢失”的办法是使用Linux启动盘或者安装CD来启动你的计算机。然后找到你计算机硬盘上的root分区，使用mount命令挂载该分区，接着修改文件/etc/shadow。因为当我从软盘启动Linux时，我可以不需要输入任何密码就成为root用户。在密码文件里，把root用户的加密密码删除，所以root的密码将是空的。

用户帐号的信息储存在以下纯文本文件里：

/etc/passwd

/etc/shadow

文件/etc/passwd包含了我计算机上的所有用户，并且很容易阅读。文件每行包含一个帐号信息，总共包含六个“:”间隔符号(这意味着七个字段)。举例如下

/etc/passwd文件例子

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin

nobody:x:99:99:Nobody:/:/sbin/nologin

apache:x:48:48:Apache:/var/www:/sbin/nologin

1
 root
 登录用户名
 
2
 x
 字符x
 
3
 0
 用户标识
 
4
 0
 该用户的优先用户组标识
 
5
 root
 注释（比如用户的全名）
 
6
 /root
 用户的主目录(HOME DIRECTORY)
 
7
 /bin/bash
 用户的shell的名字
 
真正最重要的用户信息其实储存在文件/etc/shadow文件里。这个文件相对安全因为只有root用户才能阅读。在这个文件里，每行包含九个字段：

1
 登录用户名
 
2
 加密后的密码
 
3
 从1970年1月1日到上一次修改密码的天数
 
4
 距离下一次修改密码的天数
 
5
 密码定期作修改的天数
 
6
 密码即将过期时提前通知用户的天数
 
7
 密码过期到用户被取消的天数
 
8
 密码被取消时距离1970年1月1日的天数
 
9
 预留字段

一些旧的Unix版本不包含/etc/shadow文件，而是把密码存放在/etc/passwd每行中的第二个字段。这个字段在新的系统中只显示一个“x”字符。

举个例子，我的/etc/shadow文件中的root用户看起来是这样的：

root:$1$BuPbmLAz$1G7.evIChyqaEI0TlZp0F.:11071:0:99999:7:-1:-1:134540356

当密码被消除后，看起来是这样的：

root::11071:0:99999:7:-1:-1:134540356

现在，root用户就没有密码了，所以我就可以重新启动计算机，在login登录提示下，输入“root”,对于密码提示只需要按回车键就可了（没有密码）。登录成功后，可以立刻使用以下命令修改root密码：

passwd

有个例外，尽管在/etc/shadow删除了密码，对于Debian的发行版本并不允许你按“无密码”状态登录，在这种情况下，你需要做的是用其他用户（密码已经）的加密后的密码取代root的密码，然后使用该密码重新登录。

想给远程用户设置用户帐号，用电子邮件发送加密密码也是一个安全的办法，“我正在帮你在我的计算机上设置ftp帐号，请把你的加密密码用电子邮件发送给我”。等你收到加密密码后，把它插入到/etc/shadow文件里。这样，用户就可以登录了，因为只有她知道她的密码，其他人不知道。

为了让我的计算机没有“软盘访问”功能有点难度，我喜欢在没有软驱的情况下运行计算机。不幸的是，Linux光盘现在是可以自启动的。我在BIOS里设置启动设备的顺序以保证系统从硬盘启动而不是软驱或者光驱，然后给BIOS设置加上密码保护，这样就没有其他人能够修改BIOS设置。但是，我还是很担心BIOS的密码很容易被破解，或者有人打开计算机盖把BIOS的电池放电来重新设置BIOS。还可能有人把我的硬盘拿走然后在别的计算机上阅读J 。所以，我正在考虑在我的计算机上安装一个现在已经有效的Linux“加密文件系统”，但是以其考虑这么多麻烦问题，我觉得还是干脆把计算机锁在屋里才是一个真正的好办法。这些听起来头很大吧？事实大概也是这样的――这里我只是把一些计算机的安全问题稍微罗列了一下，即使在Linux下，如果黑客有潜在可能可以直接接触你的计算机硬件，Linux也是不安全的。

3.2.4  忘记了普通用户密码怎么办
 

如果是普通用户（非root用户）忘记密码，这个不是什么大问题，因为root可以修改任何人的密码。举个例子（要求root用户）

passwd barbara

按回车键后，将提示输入用户barbara的新密码（root用户不需要知道旧的密码）。如果一个普通用户想要修改自己的密码，该用户会被要求输入旧的密码（这是一个安全特性，以避免当你离开你的坐位有人试图修改你的密码）。

3.2.5  关闭或删除一个用户
 

用户帐号可以被临时关闭或者永久删除

临时关闭（锁定）一个用户帐号，并不需要修改该用户的密码。只需要在/etc/shadow文件里属于该用户的行的第二个字段（密码）前面加上星号“*”就可以了。星号“*”指的是该用户不允许登录。当你想要把该用户恢复正常，只需要把星号“*”去掉就可以了，用户就可以恢复正常。

以下是一个在/etc/shadow关闭用户peter的例子：

peter:*$1$narMEFm6$fhA1puOU422HiSL5aggLI/:11193:0:99999:7:-1:-1:134539228

我也可以使用以下命令来关闭用户帐号：

passwd peter –l

使用以下命令重新释放该用户：

passwd peter –u

对于永久性（不可恢复）的删除一个用户帐号，我一般这样做：

- 以root登录

- 把我的用户标识改成要删除的那个用户，检查是否有新的重要的电子邮件：

su doomed_user_login_name

mail

logout

- 删除用户和用户组:

userdel doomed_user_login_name

groupdel doomed_user_login_name

- 然后把该用户从所属的其他用户组里面删除:

usermod –G doomed_user_login_name doomed_user_login_name

- 强制删除该用户的主目录和主目录下的所有文件和子目录:
rm –fr /home/doomed_user_login_name

3.2.6  文件的所有权和访问权
 
Linux（还有其他Unix）是一个安全，多用户的操作系统，同时，这也产生了文件访问权限的复杂性。没有设置好文件的访问权限可能会导致一些莫名其妙的问题。充分了解文件的访问权限是管理任何多用户操作系统（Linux, Unix, Windows NT）的最重要环节。

我的建议是：学习Linux（或者其他Unix）的文件访问权限的内容，你从来不会为此感到后悔。

文件拥有者

每个文件（或者目录）从属于一个文件拥有者（一般是一个用户名）和一个用户组。文件拥有者一般来说就是生成（或者拷贝）这个文件的用户。用户组经常包含一个用户－文件拥有者。用户组通常有一个名字来标识该用户，但是也不是必须的。一个文件只能被文件拥有者删除，或者是文件所属的用户组里的其他用户，或者是root用户。对于其他用户，如果被赋于适当的权限，也有可能修改或者删除该文件。文件所属的用户和用户组可以通过命令ls –l（长文件名显示格式）来显示：

ls –l junk

屏幕输出如下:

-rwx------ 1 yogin inca 27 Apr 24 14:12 junk

该文件属于拥有者yogin和用户组inca

文件的从属可以通过命令chown（修改文件拥有者）和chgrp（修改用户组），一般来说需要root用户:

chown peter junk

chgrp peter junk

ls –l junk

执行以上三条命令后，命令ls –l输出如下:

-rwx------ 1 peter peter 27 Apr 25 20:27 junk

当你以root用户身份为其他用户删除或者拷贝文件时，修改文件的从属可能是经常要做的事情，在做完文件的整理工作后，把文件的拥有者改成对应的用户。

文件的权限

文件的拥有者可以把文件的访问属性设成三种不同的模式: 读(r)，写(w)和运行(x)和三个不同的用户级别: 文件拥有者(u)，所属的用户组(g)，系统里的其他用户(o)。你可以检查当前的文件访问权限：

ls –l filename

如果文件对于三种不同的用户都提供三种文件访问模式，输出结果看起来应该是:

-rwxrwxrwx

跳过第一个字符“-”(第一个字符显示文件的类型, “-” 表示普通文件，“ d” 表示目录文件，“ l” 表示链接文件，“c”表示字符设备，“b”表示块设备，“p”表示命名管道比如FIFO文件（First In First Out, 先进先出）,“ f”表示堆栈文件比如LIFO文件（Last In First Out，后进先出）。

第一个字符之后的第一个三位字符组表示对于文件拥有者对该文件的权限，第二个三位字符组表示文件用户组对该文件的权限，第三个三位字符组表示系统其他用户对该文件的权限。如果没有权限，一般显示“－”字符。

以下是一个显示一个属于root的文件用户权限：该文件的拥有者root拥有所有权限，但是用户组和其他用户只能阅读和执行。

drwxr-xr-x 2 root root 21504 Apr 24 19:27 dev

第一个字符d显示该文件是一个目录。

你可以使用chmod命令来修改属于你的文件的访问权限。举个例子，以下命令将把文件junk给所有用户增加“只读”权限。

Chmod a+r junk

在以上的命令，除了用“a”表示所有用户(all)，我还可以用“u”表示用户(user)，“g”表示用户组(group)，“o”表示其他用户(other users)。除了加号“+”增加权限，我还可以使用减号“－”删除权限，等于号“=”设置权限。除了“r”表示只读权限(read)，我还可以用“w”表示写权限(write)，“x”表示执行权限(execute)。

第二个例子，以下命令将删除其他用户对junk文件的执行权限：

chmod o-x junk

除了字符，也可以使用数字来设置权限。想知道是然后工作的，看以下例子：

execute=1

write=2

read=4

对于指定的三种不同用户级别总结如下:

0 ＝ 没有任何权限 （不能读，不能写，不能执行）     （常见）

1 ＝ 只能执行                                    （看起来不太正常）

2 ＝ 只能写                                      （看起来不太正常）

3 ＝ 只能写和执行                                （看起来不太正常）

4 ＝ 只读                                       （常见）

5 ＝ 只读和执行                                  （常见）

6 ＝ 读和写                                      （常见）

7 ＝ 读，写和执行                                （常见）

要给三个不同的用户级别设置访问权限，只需要把三个数字粘在一起就可以了。举例:

chmod 770 junk

将给文件拥有者和所属用户组所有权限（读，写和执行），而对于其他用户没有任何权限。

chmod 666 junk

将给所有用户（文件拥有者，所属用户组，其他用户）读写权限，但是没有执行权限。请注意这个666权限设置里很经常用到，有人认为这是整个Linux（或者其他Unix里）的精髓所在。

chmod 411 junk

将给文件拥有者以只读权限，对于所属用户组和其他用户只有执行权限。这个看起来好像没什么实际用处，但是对于北美的Linux用户可能会感到很有趣，因为411电话号码是他们用来获得电话号码查号帮助的。如果对于权限设置，你还能想出什么好主意，别忘了给我来电子邮件哦 （可能是007？）！

文件访问权限的数字表示法叫做“八位组”因为是基于八进制的（我们的日常计数系统是基于十进制）。八进制有八个数值从0到7，最大数字是7。对应的，十进制有十个数字从0到9，最大数字是9。八进制表示法对于二进制的文件权限表示法的确非常方便，每一个标志都可以通过设置成0或者1来表示“允许”或者“不允许”，如以下的例子：

用户级别：                   文件拥有者     用户组         其他用户

权限设置例子                     rwx             rw-             r--

缺省权限                         ---             --x -           wx

权限的二进制表示法                111             110             100

权限的八进制表示法                7               6               4

目录权限

目录的访问权限和一般文件的访问权限是不同的。对于一般文件：

r      =允许读文件内容

w      =允许修改文件内容

x      =允许执行该文件

对于目录而言：

r      =允许列出该目录下的文件和子目录

w      =允许生成和删除该目录下的文件

x      =允许访问该目录

使用umask设置缺省文件属性

当一个文件生成时，系统给以文件缺省的文件权限。在我的系统里，缺省权限是:

-rw-r--r--

这意味着由该用户生成的文件能被该用户读和写，而用户组和其他用户只能读。还有，在我的Redhat系统里，用户不能读取其他用户的主目录，因为用户主目录的缺省权限是

drwx------

我可以使用以下命令检查我刚生成的文件的缺省权限：

umask -S

（可选项－S代表“符号”告诉umask按容易阅读的格式显示文件权限，而不是缺省的数字格式）

我可以修改新生成文件的缺省权限

umask u=rw,g=,o=

对于新生成的文件，以上命令将给文件拥有者以读和写的权限，而用户组和其他用户将没有任何访问权限。
在umask命令里使用数值来设置文件的缺省属性更加麻烦。因为数值显示的是从用户那里去除掉的权限（刚好和chmod相反），比如：
umask 000
对于新生成的文件，你将给所有人所有的权限。下一个例子给文件拥有者以读和写的权限，而其他用户没有任何权限:
umask 177
为了让设置对系统永久有效，在文件/etc/profile里修改对应的行。

如果机器作为开发用，因为所有用户的shell都有权限使用这些环境变量，可能会给系统带来不安全性的问题
在shell 的终端执行vim /etc/profile命令在该文件的未属加入：
JAVA_HOME=你的jdk 目录，如果是radhat9和jdk1.5.2 好像装在usr/java 目录里面
PATH=$JAVA_HOME/bin:$PATH
CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export JAVA_HOME,PATH,CLASSPATH

重新登陆既可。

二、修改.bashrc文件
  这种方法更安全，它可把用户的权限控制到用户级别的细粒度，如果你需要给某个用户使用这些环境变量
 你只需要修改其个人用户主目录下的.bashrc文件就可以了。
 在shell的终端执行vim /home/peidw/.bashrc
 在.bashrc的后面添加环境变量即可

JAVA_HOME=你的jdk 目录，如果是radhat9和jdk1.5.2 好像装在usr/java 目录里面
export JAVA_HOME
PATH=$JAVA_HOME/bin:$PATH
export PATH
CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export  CLASSPATH

三、直接在shell下修改

不赞成使用这种方法，因为换个shell你的设置便无效这种方法仅仅是临时使用，以后要使用又要重新设置，烦不胜烦
只需在shell终端执行以后命令即可。

export JAVA_HOME=你的jdk 目录，如果是radhat9和jdk1.5.2 好像装在usr/java 目录里面
export PATH=$JAVA_HOME/bin:$PATH
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar

pico untar

因为在我的当前工作目录里untar文件不存在，所有pico文本编辑器自动创建这个文件，现在，我输入以下内容：

#!/bin/bash

echo this is the script file $0

echo untarring the file $1

# this calls tar with options -xvzf (extract,

# verbose, filter through gzip, input filename)

tar -xvzf $1

我使用<CTRL>O保存这个文件，然后<CTRL>X退出。

脚本的第一行，以“#!”开始是特别的提示－它告诉shell应该用哪一个程序来解释我的脚本。在这个例子里，我使用bash shell /bin/bash。第一行必须使用“＃!”开头，否则脚本不会运行（系统认为是一个文本文件）。其他以“#”开始的行是注释行只是给作者和读者使用的，计算机将跳过这些行。
在以上脚本里，参数$0, $1, $2…是传递到脚本里面的参数。举个例子，如果我运行我的脚本名“myscript”带七个参数如下：

myscript a b c d e f g

那么，参赛$0就是myscript, $1就是a, $2就是b，$3就是c，依此类推。

脚本的第二行和第三行，echo命令输出所有在它后面同一行上的文本，然后扩展在脚本里对应的参数$0和$1。第四行和第五行是我写的注释文本，提醒我在这个脚本里要做的事情。只有最后一行是真正起作用的。

一旦脚本已经写好，我把文件属性改成对文件拥有者是“可执行”的:

chmod u+x untar

然后我的脚本就可以这样运行了：

./untar my_tar.tar.gz

Liunx脚本的确非常丰富，灵活，功能强劲，还可能有点复杂。然而，对于日常任务编写一些简单脚本，它并不需要什么特别高深的知识。你可以把一些要用到的命令放在一起，一个接一个，输入到文件里。我使用脚本很频繁是因为我太懒了，不想一次一次的输入相同的命令。

一个最简单的方法，可以把一组命令放在文本文件里然后使用source命令传递给shell让它直接运行：

source my_file

这个时候就不需要在文本第一行加上“#!”的标志了。

3.4.6  引号的含义
 
一般来说，以下字符对于shell有特殊的含义：

\ ' " ` < > [ ] ? | ; # $ ^ & * ( ) = <Space> <Tab> <Newline>

这里有四种不同的符号：反斜杠(\)，单引号(‘)，双引号(“)，反向单引号(`)。

 反斜杠(\)表示：关闭后面字符的特殊含义 
 单引号(‘)表示：关闭在两个单引号之间所有字符的特殊含义 
 双引号(“)表示：关闭在两个双引号之间所有字符的特殊含义除了$ ` \ 
 反向单引号(`)表示：告诉shell首先运行两个反向单引号之间的命令，然后把得到的结果再传递给两个单引号之外的命令。同样的功能也可以通过“$command”命令来实现，而且可能会更方便。 

举个例子，我可以创建一个奇怪的目录名叫做“*”通过使用“\”或者“’”符号：

mkdir \*

mkdir ’*’

这屏蔽了“*”对于shell的特别含义。如果没有“\”，“*”意味着当前目录下所有文件。

3.4.7  输入输出重定向
 
有三个最重要的输入输出流：标准输入(stdin),标准输出(stdout),标准错误(stderr)。它们对于控制台（“控制台”指的是键盘用于输入，屏幕用于输出）来说是缺省的，但是它们可以被重定向。

重定向标准输出，可以使用“>”符号，举例：

dir my_dir > filelisting.txt

将把dir命令的标准屏幕输出重定向到文本文件 filelisting.txt文件里，所以屏幕上没有任何输出。这个文件可以用来编辑（比如使用pico文本编辑器）或者合并到其他的文件里。

重定向标准错误，可以使用结构“2>”，举例：

dir my_dir 2> errorlisting.txt

以上命令将送标准输出到屏幕上，如果没有错误信息，将没有任何信息写到errorlisting.txt文件里。如果出错，则没有什么东西输出到屏幕，而文件errorlisting.txt将包含错误信息。错误信息有可能是这样的：

dir: my_dir:  Permission denied

最后，我也可以把标准输出和标准错误一起输出到同一个文件里，

dir my_dir > file_and_error_listing.txt 2>&1

以上命令先重定向标准输出到文本文件里，然后再重定向标准错误到和标准输出同样的位置。它如何实现可能看起来有点古怪，但是是可行的。

在以上的例子里，如果重定向的文件已经存在，该文件会被覆盖。如果你要追加到该文件的末尾，可以使用“>>”符号，以上的例子就变成：

dir my_dir >> filelisting.txt

dir my_dir 2>> errorlisting.txt

dir my_dir >> file_and_error_listing.txt 2 > &1

如果你对“2>”感到很迷惑，这里有一个简单的办法可以帮你理解，标准流有标准的解析器：“0”代表标准输入，“1”代表标准输出，“2”代表标准错误。

dir my_dir > file.txt

是以下命令的简写方式：

dir my_dir 1 > file.txt

那么以下命令就是用来输出标准错误:

dir my_dir 2 > file.txt

还有，你还可以使用符号“|”（管道命令）把一个命令的标准输出送到另外一个命令的标准输入。在以下这个标准的例子里，dir命令的标准输出通过管道输入到命令more里（输出满屏的时候自动暂停）:

dir | more

你还可以使用“tee”命令把标准输出同时写到文件和屏幕，

dir | tee filelisting.txt

tee是“T型连接器”的模拟音，在管道中的主要的用途是分流。

这个部分这样都用来讲述标准输出重定向，对于标准输入重定向不像标准输出重定向那么有用，但是它可以使用以下方式实现:

cat < my_file

还有一种叫做“直接插入式”的标准输出，可以通过“<<”来实现。不要管它了，看起来对我没有什么实际用处。不过，如果你真的想知道，这里有一个例子（这里“>”式第二个提示符）

cat << my_marker

> my_line_from_the_keyboard

> another_line_from_the_keyboard

> my_marker

除了重定向到常规文件和“过滤器”之外（如以上的例子所示），你还可以重定向到设备和其他特殊文件。看下面这些例子。

重定向到设备文件的例子。以下命令将显示文件列表到第四个文本终端：

dir > /dev/tty4

以下是一个重定向到一个特殊的FIFO(先进先出)文件的例子。该命令送信息”you are lucky”到叫做“lucky”的ICQ用户UIN 7777777 （假定你已经用你的ICQ程序连接到ICQF服务器上了）

echo message 7777777 “you are lucky” < ~/.licq/licq_fifo

以上的例子能够工作是因为在你licq目录下的文件“licq_fifo”是一个特别的FIFO序列文件。以上这个例子，对比于在图形用户界面下的ICQ程序有什么特别有用的地方吗？举个例子，你可以写一个短的脚本带上多个信息给你的那些ICQ伙伴们：

#!/bin/bash

echo Messaging UIN: $1 Message: $2 Times: $3

# The next command puts puts your licq in the status "on-line, invisible".

echo 'status *online' > ~/.licq/licq_fifo

c=0

while [ $c -le $3]

do

echo message $1 $2 > ~/.licq/licq_fifo

c=`expr $c + 1`

echo $c " "

done

echo 'status offline' > ~/.licq/licq_fifo

echo "all done"

这个例子利用了licq通信模型（FIFO文件）和简单的文件重定向功能，给你一个关于如何 “自动化”licq的主意。

3.4.8  Shell的特殊字符(metacharacters)
 
一般来说，这些字符对于shell有特别的含义：

\ ' " ` < > | ; <Space> <Tab> <Newline> ( ) [ ] ? # $ ^ & * =

以下是这些字符的含义：

\ ‘ “ 和 ‘ 主要用来注释，前面已经描述过 (参见 3.4.6)。

< 和 > 主要用来输入和输出重定向

| 是管道命令，管道左边的标准输出是管道右边的标准输入

; 用于间隔在同一命令行上的几个命令

<Space> 和 <Tab> 间用于分开命令的字符和单词

<Newline> 完成一条命令或者一组命令

( ) 用于封装需要使用不同的shell启动的命令， 比如 ( dir )

{ } 用于封装要用当前shell启动的一组命令，比如 { dir }，需要空格间隔

& 使当前命令在后台运行（有它自己独立的进程），所以下一条命令不需要等待前一条命令结束才能开始。

* 当搜索文件时，它匹配除了以“.”开头的所有文件

？当搜索文件时，它匹配任何单个字符

[ ] 当搜索文件时，它匹配任何在[]里面的单个字符

&& 是用于连接两个命令的“与操作”，

command1 && command2， 只有当command1退出状态为0时（没有错误），command2才会被执行。比如， cat file1 && cat file2 只有当file1正常显示时， file2才能被显示。

||  是用于连接两个命令的“或操作”

command1 || command2， 只有当command1退出状态非0时（有错误），command2才会被显示。比如：cat file1 || cat file2 只有当显示file1出错时，file2才能被显示

= 指定值给变量

举例，命令me=blahblah设定值“blahblah”给变量“me”，我可以输出变量名:

echo $me

$      预处理扩展变量名

变量可以使用“=”来设定值，也可以通过预先变量设定来设置

$0     被执行的shell脚本的名称

$#     按位置对应的命令输入参数, $1第一个参赛， $2第二个参数， $3第三个参数…直到$9

$*     扩展所有的位置参数给命令

$@     扩展所有的位置参数给命令，但是当“$@”使用时，参数个别标注