Hippo notes

在 上一章 讲到如何配置 gnome 桌面环境以及 firefox 浏览器，很快你会发现上网时不能播放 flash，这是因为 Adobe Flash 没有提供 FreeBSD 版本，为了运行这类没有开源只有编译好的 Linux 版程序，我们需要安装一个 Linux 二进制兼容包。[注1] 1、安装 Linux 二进制兼容包 为了确保安装顺利，最好把 FreeBSD Ports 更新一下。[注2] # portsnap fetch 第一次运行这个命令会下载最新的 Ports Collection，大概半小时左右下载完，然后展开安装文件： # portsnap extract 使用 portsnap update 命令更新已安装的 Ports： # portsnap update 这样更新就完成了。下面开始安装 Linux 二进制兼容包，[注3]先开启 Linux KLD 模块： #kldload linux 如果希望 Linux 兼容支持在系统初始化过程中自动启用，则应在 /etc/rc.conf 中增加： linux_enable="YES" 可以使用 kldstat 命令检查KLD模块是否已经加载成功（以百分号开头的命令表示可以用普通帐号操作，下同）： % kldstat 如果看到 linux.ko 字样则表示加载成功。下面还要安装 Linux 运行时库， # cd /usr/ports/emulators/linux_base-f10 # make install distclean 这又是一个漫长的等待过程，运行完毕之后还要挂载 Linux 进程文件系统，使用如下命令： # mount -t linprocfs linproc /usr/compat/linux/proc 如果希望机器启动时自动挂载，需要在文件 /etc/fstab 里面加上这一行 linproc    /usr/compat/linux/proc  linprocfs   rw  0   0 2、安装浏览器 Flash 插件 [注4] 我们开始下载安装 Flash 的 Linux 版插件： # /usr/ports/www/linux-f10-flashplugin10 # make install c

F reeBSD （ http://www.freebsd.org/ ） 是一个开源免费的操作系统，最早接触FreeBSD是约7年前在 @hplcsz 挂bbs的服务器，后来很少关注了，最近接触到 Apple 的 MacOS 和 iOS （基于FreeBSD衍生出来的操作系统）联想起FreeBSD项目，才发现它已经更新到8.1版了。 恰好家里多出一台电脑暂时没有用，于是尝试用FreeBSD 8.1配置一台适合家用的电脑（用来看看新闻灌灌水的那种），于是有了如下一篇文章。 （注：这里假设读者已经有一定的Linux/BSD基础） 首先访问 FreeBSD 项目的官方网站，下载 FreeBSD 8.1的安装镜像文件（ ftp://ftp.freebsd.org/pub/FreeBSD/releases/i386/ISO-IMAGES/8.1/ ），这里提供CD版、DVD版和U盘版，考虑到我有DVD刻录机，所以下载了DVD版。 下载过程是一个漫长的等待，期间强烈推荐阅读一下官方的《FreeBSD使用手册》（中文版，以下简称《使用手册》）（ http://www.freebsd.org/doc/zh_CN.GB2312/books/handbook/index.html ），如果对Linux/BSD不是很熟悉，前3章是很有必要阅读的，否则会被折腾到2012年。等待DVD镜像下载完，大概已经看到第10章了。 1、安装 FreeBSD 8.1 刻录下载回来的DVD镜像文件，从光驱启动然后选择“Quick模式”即开始安装过程。结合《使用手册》一般没有多大问题，因为这篇文章重点是如何搭建家用PC的环境，所以具体的安装过程这里就省略了。小技巧： A、 FreeBSD 必须安装在主分区，在安装之前你必须腾出一个至少10来GB的主分区。 B、 当安装问你是否安装“Ports（相当于软件商店、软件中心）”时，要选择“YES”。 C、 当安装接近完成时，程序会问你 “Would you like to browse the collection now?“，这一步是问你是否安装DVD上附带的软件，选择Yes，然后把下面这两个大块头选中，这样能避免从网络下载桌面环境的安装文件，节省时间和网络流量，减低碳排放： + X11/xorg-7.5 + gnome/gnom

最近登录一台CentOS Linux(5.5)服务器发现 /var/log/secure 文件出奇巨大，查看其中的记录发现原来不断有人试图穷举服务器的帐号密码，幸好当时 root 密码设置非常复杂，否则可能早就被人攻陷了。（ps：那台服务器平时只做对内的服务，从没在公网上暴露过，看来即使这样的服务器也不能掉以轻心啊）接着使用 netstat -nat 查看网络连接发现扫描器仍在乐此不彼地工作，所以决定还是更改 ssh 服务的默认设置。 步骤如下 1、禁用 root 的 ssh 远程登录 这步我觉得很有必要，因为扫描器一般都是冲着这个帐号过来的。修改 /etc/ssh/sshd_config 文件里的 PermitRootLogin 一行的值为 no 即可。不过要注意在禁用 root 的 ssh 登录之前一定要确定服务器内还有其他帐号可以远程登录，否则你的服务器自己也别想进去了。所以比较妥当的方法是建立一个普通的帐号，并把它加入到 wheel 组， 然后在 /etc/sudoers 里启用 wheel 组的 sudo 功能，再禁用 root 的远程登录。 2、设置登录密码输入的等待时间和最大重试次数 还是修改  /etc/ssh/sshd_config 文件，找到 LoginGraceTime 和 MaxAuthTries 两行，分别设置为 30 和 3，则表示打开ssh连接之后你要在30秒内输入正确的密码否则断开连接，以及密码最多给重试 3 次。 3、重启 sshd 服务，这次 secure log 终于平静下来了 一些对安全有益的心得 1、平时 ssh 登录尽量避免密码输入方式，应该采用验证钥匙方式登录，如果客户端也是 linux 系统，则这步骤很简单，先 ssh-keygen -C 'yang@home' 创建一个验证钥匙，然后使用 ssh-copy-id somebody@host.domain 把钥匙复制到服务器上，这样以后 ssh 登录就再也不用输入密码了。对于客户端是 windows 和 mac os 系统的估计也有相类似的工具，具体的操作不太清楚。 2、审视一下 /etc/passwd 文件，看看有没有平时不会直接登录帐号，比如有时安装某些软件会自动创建一些帐号，对于这类帐号赶快把最后一段 /bin/