跳至主要内容

博文

目前显示的是 一月, 2011的博文

在家用PC里体验 FreeBSD 8.1(下)

上一章讲到如何配置 gnome 桌面环境以及 firefox 浏览器,很快你会发现上网时不能播放 flash,这是因为 Adobe Flash 没有提供 FreeBSD 版本,为了运行这类没有开源只有编译好的 Linux 版程序,我们需要安装一个 Linux 二进制兼容包。[注1]

1、安装 Linux 二进制兼容包
为了确保安装顺利,最好把 FreeBSD Ports 更新一下。[注2]
# portsnap fetch

第一次运行这个命令会下载最新的 Ports Collection,大概半小时左右下载完,然后展开安装文件:
# portsnap extract

使用 portsnap update 命令更新已安装的 Ports:
# portsnap update

这样更新就完成了。下面开始安装 Linux 二进制兼容包,[注3]先开启 Linux KLD 模块:
#kldload linux

如果希望 Linux 兼容支持在系统初始化过程中自动启用,则应在 /etc/rc.conf 中增加:
linux_enable="YES"

可以使用 kldstat 命令检查KLD模块是否已经加载成功(以百分号开头的命令表示可以用普通帐号操作,下同):
% kldstat

如果看到 linux.ko 字样则表示加载成功。下面还要安装 Linux 运行时库,

# cd /usr/ports/emulators/linux_base-f10
# make install distclean

这又是一个漫长的等待过程,运行完毕之后还要挂载 Linux 进程文件系统,使用如下命令:
# mount -t linprocfs linproc /usr/compat/linux/proc

如果希望机器启动时自动挂载,需要在文件 /etc/fstab 里面加上这一行
linproc    /usr/compat/linux/proc  linprocfs   rw  0   0

2、安装浏览器 Flash 插件 [注4]
我们开始下载安装 Flash 的 Linux 版插件:
# /usr/ports/www/linux-f10-flashplugin10
# make install clean

安装 wrapper:
# /usr/ports/www/nspl…

在家用PC里体验 FreeBSD 8.1(上)

FreeBSD (http://www.freebsd.org/) 是一个开源免费的操作系统,最早接触FreeBSD是约7年前在 @hplcsz 挂bbs的服务器,后来很少关注了,最近接触到 Apple 的 MacOS 和 iOS (基于FreeBSD衍生出来的操作系统)联想起FreeBSD项目,才发现它已经更新到8.1版了。
恰好家里多出一台电脑暂时没有用,于是尝试用FreeBSD 8.1配置一台适合家用的电脑(用来看看新闻灌灌水的那种),于是有了如下一篇文章。
(注:这里假设读者已经有一定的Linux/BSD基础)

首先访问 FreeBSD 项目的官方网站,下载 FreeBSD 8.1的安装镜像文件(ftp://ftp.freebsd.org/pub/FreeBSD/releases/i386/ISO-IMAGES/8.1/),这里提供CD版、DVD版和U盘版,考虑到我有DVD刻录机,所以下载了DVD版。

下载过程是一个漫长的等待,期间强烈推荐阅读一下官方的《FreeBSD使用手册》(中文版,以下简称《使用手册》)(http://www.freebsd.org/doc/zh_CN.GB2312/books/handbook/index.html),如果对Linux/BSD不是很熟悉,前3章是很有必要阅读的,否则会被折腾到2012年。等待DVD镜像下载完,大概已经看到第10章了。

1、安装 FreeBSD 8.1
刻录下载回来的DVD镜像文件,从光驱启动然后选择“Quick模式”即开始安装过程。结合《使用手册》一般没有多大问题,因为这篇文章重点是如何搭建家用PC的环境,所以具体的安装过程这里就省略了。小技巧:

A、FreeBSD 必须安装在主分区,在安装之前你必须腾出一个至少10来GB的主分区。
B、当安装问你是否安装“Ports(相当于软件商店、软件中心)”时,要选择“YES”。
C、当安装接近完成时,程序会问你 “Would you like to browse the collection now?“,这一步是问你是否安装DVD上附带的软件,选择Yes,然后把下面这两个大块头选中,这样能避免从网络下载桌面环境的安装文件,节省时间和网络流量,减低碳排放:
+ X11/xorg-7.5
+ gnome/gnome2-2.30.1-1

2、基础网络设置
系统安装好之后,重…

修改CentOS Linux 的 SSH服务默认设置,提高系统安全性

最近登录一台CentOS Linux(5.5)服务器发现 /var/log/secure 文件出奇巨大,查看其中的记录发现原来不断有人试图穷举服务器的帐号密码,幸好当时 root 密码设置非常复杂,否则可能早就被人攻陷了。(ps:那台服务器平时只做对内的服务,从没在公网上暴露过,看来即使这样的服务器也不能掉以轻心啊)接着使用 netstat -nat 查看网络连接发现扫描器仍在乐此不彼地工作,所以决定还是更改 ssh 服务的默认设置。

步骤如下


1、禁用 root 的 ssh 远程登录
这步我觉得很有必要,因为扫描器一般都是冲着这个帐号过来的。修改 /etc/ssh/sshd_config 文件里的 PermitRootLogin 一行的值为 no 即可。不过要注意在禁用 root 的 ssh 登录之前一定要确定服务器内还有其他帐号可以远程登录,否则你的服务器自己也别想进去了。所以比较妥当的方法是建立一个普通的帐号,并把它加入到 wheel 组,
然后在 /etc/sudoers 里启用 wheel 组的 sudo 功能,再禁用 root 的远程登录。

2、设置登录密码输入的等待时间和最大重试次数
还是修改  /etc/ssh/sshd_config 文件,找到 LoginGraceTime 和 MaxAuthTries 两行,分别设置为 30 和 3,则表示打开ssh连接之后你要在30秒内输入正确的密码否则断开连接,以及密码最多给重试 3 次。

3、重启 sshd 服务,这次 secure log 终于平静下来了

一些对安全有益的心得

1、平时 ssh 登录尽量避免密码输入方式,应该采用验证钥匙方式登录,如果客户端也是 linux 系统,则这步骤很简单,先 ssh-keygen -C 'yang@home' 创建一个验证钥匙,然后使用 ssh-copy-id somebody@host.domain 把钥匙复制到服务器上,这样以后 ssh 登录就再也不用输入密码了。对于客户端是 windows 和 mac os 系统的估计也有相类似的工具,具体的操作不太清楚。

2、审视一下 /etc/passwd 文件,看看有没有平时不会直接登录帐号,比如有时安装某些软件会自动创建一些帐号,对于这类帐号赶快把最后一段 /bin/bash 改为 /sbin/nologin 吧…