重拾FreeBSD

我早料到有这么一天,阿金要我配置unix服务环境,重拾FreeBSD,我已经落后了,小红魔它已经升级到了6.0,5.0的终结版本是5.4,java不适用BSD平台已经成为过去,freebsd甚至有一个java project:http://www.freebsd.org/java/,可是我疑惑了,用6.0还是5.4呢?
————————————
This is the official port of Sun’s Java™ Development Kit for FreeBSD. No known significant bugs exist at this time, but there are no guarantees of usability. However, many commercial companies rely on this port, so it should be safe to use.
————————————

之所以使用freebsd的原因:因为它是最正统的unix,不含有那些什么特有的linux命令,aix命令,solaris命 令等等…..就像吃肉吃多了吃咸菜一样爽口的感觉,我是很不愿意在日记里面提到亦彩的,所谓出其不意,攻其不备,亦彩的服务器架构于 freebsd5.3+apache2+php4+mysql4.1+icecast2+proftpd1.2+openssh4,比较难配置的就是 icecast,其他的还是比较简单,这次的任务有了新内容,要配置oracle10,java,tomcat,有挑战性,我喜欢!不过就是不知道我能不 能忍受256M内存下的oracle运行速度,oracle的标准配置是4G运行内存,看起来只有曙光的机器能担当这个重任……

IPB rewrite rule

IPB rewrite rule in class_display.php

//—————–rewrite

function _replace_mod_rewrite(&$rewrite_srting)
{
global $ibforums;
//return $rewrite_srting;
$urlin = array(
“‘index.php\?act=idx’”,
“‘index.php\?showforum=([0-9]*)’”,
“‘index.php\?showtopic=([0-9]*)’”,
“‘index.php\?showuser=([0-9]*)’”,
“‘index.php\?showtopic=([0-9]*)&view=getnewpost’”,
“‘index.php\?showtopic=([0-9]*)\&st=([0-9]*)’”,

);
$urlout = array(
“”,
“forum\\1.html”,
“topic\\1.html”,
“user\\1.html”,
“latest\\1.html”,
“st/\\1/”,

);
$rewrite_srting = preg_replace($urlin, $urlout, $rewrite_srting);
return $rewrite_srting;
}

//——————-rewrite end

 

妙法限制外域下载

downlaod accss for domain only in httpd

#SetEnvIfNoCase Referer “^http://(.)+\.cqu\.edu\.cn/” local_ref=1
#SetEnvIfNoCase Referer “^http://(.)+\.202\.79\.10/” local_ref=1
#SetEnvIfNoCase Referer “^https://(.)+\.cqu\.edu\.cn/” local_ref=1
#SetEnvIfNoCase Referer “^https://(.)+\.202\.79\.10/” local_ref=1
#SetEnvIf Request_URI “/logo(.)+” local_ref=0
#<FilesMatch “\.(mp3:wmv:png:gif:jpg:rm:rmvb:avi:gz)”>
#Order Allow,Deny
#Allow from env=local_ref
#</FilesMatch>

FreeBSD的系统日志

由于FreeBSD是一个多用户系统,那么就需要管理员进行日常维护,特别是用做网络服务器的系统,一旦因为缺乏维护而造成停机故障,就会造成很大损失。即使对于单用户的FreeBSD系统,同样也要执行这些不可缺乏的维护任务,只是由于系统归个人使用,那么对维护的要求就不必那么高,维护任务就轻松一些。

系统日志
系统的日志记录提供了对系统活动的详细审计,这些日志用于评估、审查系统的运行环境和各种操作。对于一般情况,日志记录包括记录用户登录时间、登录地点、进行什么操作等内容,如果使用得当,日志记录能向系统管理员提供有关危害安全的侵害或入侵试图等非常有用的信息。
BSD提供了详细的各种日志记录,以及有关日志的大量工具和实用程序。这些审计记录通常由程序自动产生,是缺省设置的一部分,能够帮助Unix管理员来寻找系统中存在的问题,对系统维护十分有用。还有另一些日志记录,需要管理员进行设置才能生效。
大部分日志记录文件被保存在/var/log目录中,在这个目录中除了保存系统生成日志之外,还包括一些应用软件的日志文件。当然/var目录下的其他子目录中也会记录下一些其他种类的日志记录文件,这依赖于具体的应用程序的设置。

$ ls /var/log
adduser maillog.5.gz sendmail.st.1
dmesg.today maillog.6.gz sendmail.st.10
dmesg.yesterday maillog.7.gz sendmail.st.2
httpd-access.log messages sendmail.st.3
httpd-error.log messages.0.gz sendmail.st.4
kerberos.log messages.1.gz sendmail.st.5
lastlog messages.2.gz sendmail.st.6
lpd-errs messages.3.gz sendmail.st.7
maillog messages.4.gz sendmail.st.8
maillog.0.gz messages.5.gz sendmail.st.9
maillog.1.gz news setuid.today
maillog.2.gz ppp.log setuid.yesterday
maillog.3.gz sendmail.st userlog
maillog.4.gz sendmail.st.0 wtmp

系统登录日志
系统会保存每个用户的登录记录,这些信息包括这个用户的名字、登录起始结束时间以及从何处登录入系统的等等。它们被保存到

/var/log/lastlog

/var/log/wtmp

var/run/utmp

文件中,这三个文件以二进制格式保存了这些用户的登录数据。
其中/var/run/utmp文件中保存的是当前系统用户的登录记录,因此这个文件会随着用户进入和离开系统而不断变化,而它也不会为用户保留很长的记录,只保留当时联机的用户记录。系统中需要查询当前用户状态的程序,如 who、w等就需要访问这个文件。
utmp可能不包括所有精确的信息,某些突发错误会终止用户登录会话,当没有及时更新utmp记录,因此utmp的记录不是百分之百的可以信赖的。
而/var/log/wtmp保存了所有的登录、退出信息,以及系统的启动、停机记录,因此随着系统正常运行时间的增加,它的大小也会越来越大,增加的速度依赖于系统用户登录次数。因此可以利用这个日志用来查看用户的登录记录,last命令就通过访问这个文件来获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端tty或时间显示相应的记录。ac命令同样也使用wtmp中的数据产生报告,但它的显示方式不同。它可以根据用户(ac -p),或按日期(ap -d)显示信息,这样管理员就能获得一些非常有用的反常信息,如一个平时不太活跃的用户突然登录并连接很长时间,就有理由怀疑这个帐户被窃取了。
注意:X Window由于会同时打开多个终端窗口,因此会使得用户登录连接时间迅速增加。
lastlog文件保存的是每个用户的最后一次登录信息,包括登录时间和地点,这个文件一般只有login程序使用,通过用户的UID,来在lastlog文件中查找相应记录,然后报告其最后一次登录时间和终端tty。然后, login程序就使用新的记录更新这个文件。
这三个文件是使用二进制格式保存的,因此不能直接查看其中的内容,而需要使用相关命令。当然也可以通过程序来访问这三个文件,这就需要了解它们使用的数据结构。其中utmp和wtmp使用同样的数据结构,而lastlog使用另外一个数据结构,可使用man来进行查询具体结构。如果系统的用户数量很多,那么wtmp文件的大小会迅速增加,在系统/var文件系统空间紧张的情况下,就导致这个文件系统被占满。系统不会主动控制这个文件的大小,因此这需要管理员的干预,需要手工及时清除,或编写shell脚本定期保存和清除。
系统还可以提供审计统计的功能,要打开系统的审计功能,需要使用accton命令,注意,accton必须跟随审计日志文件的名字作参数,而不带参数的accton将关闭审计进程。
当打开了审计功能后,可以使用lastcomm来检查在系统中执行的所有命令的信息,包括执行的命令、执行命令的用户、用户使用的终端tty,命令完成的时间,执行时间等。从lastcomm的输出也能帮助管理员检查可能的入侵行为。
此外可以使用ac命令来查询用户的连接时间的报告,sa命令来查询用户消耗的处理器时间的报告。

Syslog日志记录
最初,syslog只是为了sendmail而设计的消息日志工具,由于它提供了一个中心控制点,使得sys log非常好用和易配置,因此当今很多程序都使用syslog来发送它们的记录信息。syslog是一种强大的日志记录方式,不但可以将日志保存在本地文件中,还可以根据设置将syslog记录发送到网络上的另一台主机中。
支持syslog方式的系统启动了syslogd守护进程,这个程序从本地的Unix套接字和监听在514端口(UDP)上的Internet套接字,来获得syslog的记录。本机中进程使用syslog系统调用发送来sy slog记录,然后由syslogd将他们保存到正确的文件或发送到网络上另一台运行的syslogd主机中去。
syslogd的设置文件为/etc/syslog.conf,定义消息对应的相应目标,一条消息可以达到多个目标,也可能被忽略。
# $Id: syslog.conf,v 1.9 1998/10/14 21:59:55 nate Exp $
#
# Spaces are NOT valid field separators in this file.
# Consult the syslog.conf(5) manpage.
*.err;kern.debug;auth.notice;mail.crit /dev/console
*.notice;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
cron.* /var/cron/log
*.err root
*.notice;news.err root
*.alert root
*.emerg *
!ppp
*.* /var/log/ppp.log
syslog.conf的配置可以分为两个部分,第一部分用于区分消息的类型,另一个用于设置消息发送的目的地。通常,消息的类型包括消息的产生者,例如kern表示内核产生的消息,auth表示认证系统产生的消息,等等,还包括消息的级别,例如emerg表示非常重要的紧急信息,alert表示系统告警状态,crit表示关键状态,err 表示一般的错误信息,warning表示警告信息,notice表示提示信息,但还不是错误,info表示一般信息,debug表示调试信息等,因此一个消息的类型可能为:kern.debug、mail.info等,但页可以使用通配符*进行匹配。
从上面的syslog.conf的设置可以看出,系统正常运行中的很多重要的信息,如错误信息*.err、内核调试信息kern.debuf、认证报告auth.notice等被直接输出的console中,另外还有一些比较重要的信息被输出到/var/log/messages文件中,发送邮件的记录将被保存在/var/log/mail log文件中,打印记录为/var/log/lpd-errs等,使得管理员可以根据这些文件来查询相关记录,进行统计或寻找系统问题。其中使用syslog记录的messages文件中包括root登录的信息、用户多次登录失败的尝试等对系统安全相当重要的信息,因此也是系统遭受攻击之后,攻击者会根据syslog.conf中设置试图清除相关文件中自己的登录记录。因此对于安全性要求更高的系统,可以尝试将syslog发送到另一台计算机上,或者输出到一些设备文件中,如在打印机上立即打印输出。
系统会使用newsyslog定期检查syslog输出的messages文件和maillog文件,将旧数据压缩保存为备份文件,如messages.1.gz等。

其他日志
除了系统登录记录和syslog记录之外,其他还有一些应用程序使用自己的记录方式。
系统每天都会自动检查系统的安全设置,包括对SetUID、SetGID的执行文件的检查,其结果将输出到/ var/log/security.today文件中,管理员可以与/var/log/security.yeste rday文件对比,寻找系统安全设置的变化。
如果系统使用sendmail,那么sendmail.st文件中以二进制形式保存了sendmail的统计信息。
在系统启动的时候,就将内核的检测信息输出到屏幕上,这些信息可以帮助用户分析系统中的硬件状态。一般使用dmesg命令来查看最后一次启动时输出的这个检测信息。这个信息也被系统保存在/var/log/dmesg.tod ay文件中,系统中同时也存在另一个文件dmesg.yesterday,是上次的启动检测信息,对比这两个文件,就可以了解到系统硬件和内核配置的变化。
lpd-errs记录了系统中lpd产生的错误信息。
此外,各种shell还会记录用户使用的命令历史,它使用用户主目录下的文件来记录这些命令历史,通常这个文件的名字为.history(csh),或.bash-history等。

FreeBSD 启动脚本设置

问题:我新安装了好些程序,比如mysql 为什么下次启动就没了?

回答:一般在ports 安装的程序都会自动添加启动脚本;但是自己编译的程序就不一定,那么我们将自己编译的程序加入启动脚本呢?

首先,FreeBSD 的自启动脚本在/etc/rc.local (如果没有的话可以自己建立)

在里面添加要启动的程序就可以了,比如说:/usr/local/mysql/bin/safe_mysqld –user=mysql

那么下次启动的时候mysql 也会自动起来了。其他的程序也一样。

如果程序出了点问题,下次启动的时候卡住了怎么办呢?请进入单用户模式,然后编辑/etc/rc.local ,把错误的程序名字用#屏蔽掉。再重启试试看。

是否只有rc.local 可以令程序自启动呢?不一定,也可以把启动脚本放在/usr/local/etc/rc.d 并把名称换成xxxx.sh ,注意一定要.sh结尾。做为BSD的规范,FreeBSD更赞成大家使用这种规范的启动脚本。

再拿mysql 做例子:在/usr/local/etc/rc.d 下添加mysql.sh ,内容为:/usr/local/mysql/bin/safe_mysqld –user=mysql 并且要把mysql.sh 改成可执行:

%chmod +x /usr/local/etc/rc.d/mysql.sh

OK,下次启动的时候也可以把mysql执行了。

另外,再告诉大家一个小技巧:“/usr/local/etc/rc.d”中的启动脚本是以文件名为顺序来确定启动顺序的。后缀名不是.sh并且没有可执行权限的文件在启动时将被忽略。