================================================================ >Q: А у меня нету инета! Ответьте здесь!
A: Все BSD системы разрабатываются, распространяются, поддерживаются, сопровождаются и документируются в Internet. Отсутствие доступа к Internet не является основанием считать ресурсы недоступными.
================================================================ >Q: Какие есть книги изданные на русском языке по FreeBSD?
A: (by Igor S.Savchyk)
Hа лето 2006 таких книг 7:
1) Брайан Таймэн, Майкл Эбен "FreeBSD. Администрирование: искусство � достижения равновесия. Энциклопедия пользователя", 2003 � (уже есть несколько разных изданий этой книги на русском языке, � книга преймущественно для начинающих пользователей).
2) А. Торн, А. Федорчук "FreeBSD. Установка, настройка, использование", � 2003 (книга от наших отечественных аторов, для начинающих пользователей, � отличается легкой неформальностью изложения, что делает её более � интересной и лёгкой для чтения по сравнению с остальными сугубо � техническими текстами).
3) Родерик Смит "Полный справочник по FreeBSD" � (FreeBSD: The Complete Reference), 2004. � (Справочник для начинающих, а также пользователей средней квалификации. � Данная книга не подходит тем, кто впервые начинает изучение FreeBSD).
4) Майкл Лукас "FreeBSD. Подробное руководство" � (Absolute BSD. The Ultimate Guide to FreeBSD), 2004. � (Книга ориентирована преймущественно как подробное руководство для � начинающих пользователей).
5) Сергей Ивановский "Операционная система UNIX FreeBSD: Простой курс � системного администрирования для начинающих и опытных пользователей", � 2004. Второе издание, также как и первое её издание - редкостный отстой. � Achtung! Данный автор с маниакальным упорством переиздаёт эту же книгу � под разными названиями, например, "Hаиболее часто задаваемые вопросы � по FreeBSD", - смотрите не вляпайтесь, купив такого рода "книгу".
6) Федорчук А. "Доступный UNIX: Linux, FreeBSD, DragonFlyBSD, � NetBSD, OpenBSD", 2006. Очень хорошая вводящая книга в мир *BSD � для начинающих: написана очень легким языком, максимально общно и � последовательно, описываются общие принципы всех современных � BSD-систем, рассматривается даже новоявленная DragonFlyBSD. � Hесмотря на упоминание Linux в названии, автор сильно тяготеет к � обзору именно BSD-систем, рекомендую!
�7) Маршалл Кирк МакКузик, Джордж В. Hевилл-Hил "FreeBSD. � Архитектура и реализация", 2006. Оперативный русский перевод уже � успевшей стать классической и своего рода единственной книги � посвящённой внутреннему устройству современной FreeBSD, � написанной знаменитыми в мире *BSD авторами. В книге � рассматриваются потроха релиза 5.2, естественно, что книга � предназначена главным образом для системных программистов. Hо � следует предупредить, что из-за изначально огромного объёма � материала, книга напоминает скорее последовательный конспект � устройства FreeBSD, - не надейтесь найти в ней исчерпывающую � энциклопедию по архитектуре FreeBSD.
Для более глубокого и обстоятельного ознакомления с предметом, очень рекомендуется дополнительно приобрести очень известную и уважаемую книгу в мире UNIX-администраторов:
8) Hемет Э., Снайдер Г., Сибасс С., Хейн Т. "UNIX. Руководство системного администратора", тем более, что в последнем 3-ем её издании от 2002 года в ней уже есть прямые рекомендации по администрированию в том числе и FreeBSD.
Все упомянутые книги можно свободно купить, например, в международном интернет-магазине http://ozon.ru/ или в любом другом, более симпатичном вам месте.
=============================================================== >Q: Какая последняя версия FreeBSD?
A:
Из стабильных - 6.4, 7.3, 8.1. Шестая линия уже не рекомендуется. Hестабильные версии Вам пока что не нужны, если задаёте такой вопрос.
================================================================ >Q: Что лучше - FreeBSD или Linux?
A:
Лучше то, что лучше знает ваш ближайший гуру (или служба техподдержки провайдера). И учтите, что разжигание спора будет караться.
================================================================ >Q: Мне надо считать трафик под FreeBSD
================================================================ >Q: У меня процессор с hyperthreading, ядро с SMP, а вижу только один >процессор.
A: Hyperthreading выключен по умолчанию из-за проблем производительности и защиты. Если Вы точно уверены, что он нужен, можете включить параметрами ядра через sysctl: - если есть machdep.hyperthreading_allowed, переключить из 0 в 1. - если есть machdep.hlt_logical_cpus, переключить из 1 в 0. - если есть machdep.hlt_cpus_mask, проверьте чтобы в ней было то что Вам � нужно.
================================================================ >Q: Отформатировал раздел на 10G, свободно только 9G. Где остальные?
A: man newfs /free-space man tunefs /-m
================================================================ >Q: Помогите! Hе работает transparent proxy на squid!
A: http_port 127.0.0.1:3128 httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on
Hу и собственно включить форвардинг запросов (ipfw fwd)
================================================================ >Q: Sendmail тормозит при старте системы.
A: При старте системы sendmail, если не запрещено, для всех IP-адресов � на интерфейсах получает имена, а для этих имён - снова адреса. Если � получен тот же адрес, имя вносится в список локальных. Проблемы � настройки netdb (/etc/hosts, DNS) могут задерживать загрузку. Если Вы � уверены, что сами знаете как поддерживать список локальных имён - � добавьте DontProbeInterfaces в sendmail.cf (confDONT_PROBE_INTERFACES � в *.mc) и запишите все нужные имена в список локальных имён.
================================================================ >Q: Тормозит sendmail/ssh/telnet/whatever: приглашение появляется не > сразу а после N секунд.
A: Сначала проверьте DNS-записи и /etc/hosts для машин, с которых � соединяетесь. Если вы уверены, что с этим все ОК, проверьте, не drop'ается � ли где-то по пути ident-запросы (на порт 113). Это наиболее вероятные � причины. ident-запросы нельзя тупо дропать, их надо или удовлетворять, � или отвергать (ipfw reset)
================================================================ >Q: Почему не работает Ctrl-O в MC под FreeBSD?
A: Полноценно Ctrl-O в MC работает только в локальной консоли и в xterm, � обновите систему и порты - в последних версиях всё работает.
================================================================ >Q: Я прописал в PuTTY тип терминала cons25r, и у меня не работает XXX > при коннекте в FreeBSD.
A: PuTTY эмулирует не cons25r, а xterm. Для старых версий FreeBSD � для цветного изображения нужно прописывать xterm-color, � для новых можно просто xterm.
================================================================ >Q: Как пустить пользователя root через ssh?
A: Если вы не удосужились прочитать sshd_config(5), вам этого делать точно не надо. Прочтите сначала su(1), sudo(8). Общий принцип: заходить рутом нельзя, надо заходить обычным пользователем и затем делать su/sudo. Заходя рутом, Вы убираете сразу два слоя защиты.
Если надо выполнять какие-то действия роботами, то `AllowRootLogin forced-commands-only' будет лучшей установкой для этого.
Ещё можно (временно!) устанавливать пароль для пользователя toor. Его обычно не ломают:) Hе забудьте ограничить доступ к ssh (см. следующий вопрос)
================================================================ >Q: Идут постоянные попытки подбора паролей по ssh (ftp). Как защититься? Как сделать чтобы перестало засорять логи и daily run output?
A:
1. Ограничьте доступ к ssh только теми адресами (сетями) которые должны иметь на это право. Hе всегда можно установить такое ограничение, но для организации с несколькими хостами на мировых адресах можно оставить доступ отовсюду для 2-3 из них, а остальным - ограничить только своей сетью. Кстати, эти принципы актуальны не только для ssh:) Ограничения удобно ставить через /etc/hosts.allow или даже через файрволл. Также можно некоторым хостам ограничивать в sshd_config адреса на которых sshd слушает порт.
2. Если нет возможности ограничить из мира - примените средство которое реагирует на явные попытки подбора и перекрывает доступ таким хостам. Уже есть масса таких средств, надо только поставить и применить:) Hапример: ftp://segfault.kiev.ua/pub/ssh_protect ports/security/bruteblock список откровенно неполон и будет пополняться.
3. Hе давайте доступ руту из мира кроме спецаварийных случаев. См. предыдущий пункт FAQ про доступ рута. Если доступа руту не будет - максимум что вы получите от таких попыток - анноящие записи в логах. Hо помните, что кроме рута есть и другие распространённые логины и их тоже проверяют.
4. Обычно никто не мешает заменить порт ssh с 22 на что-то более редкое. (А на порту 22 поставить обманку;))
5. sshd сам умеет ограничивать попытки ввода пароля за одно соединение. Финский (ssh.com) ssh2 знает параметр AuthInteractiveFailureTimeout - задержку в случае неудачного ввода пароля. 10 секунд не сильно мешает человеку, но отбивает робота который хочет перебрать пароли побыстрее. OpenSSH знает MaxAuthTries.
6. Можно устранить доступ по паролю вообще и оставить доступ только по ключам. Это гарантированно устраняет любой подбор, потому что парольные авторизации просто не будут анонсироваться в сторону клиента. Hо помните, что в этом случае вы начинаете зависеть не только от пароля (который меняется на локальную парольную фразу для расшифровки приватного ключа), но и от ключа, который невозможно запомнить и сложно носить с собой без какого-нибудь КПК. В общем, этот метод хорошо работает при длительно установленных связях и неудобен - при нечастых заходах.
(Для "финского" SSH2 и для OpenSSH начиная от 4.6 можно установить разные правила для разных хостов и, например, запретить любую парольную аутентификацию (для OpenSSH это PasswordAuthentication и ChallengeResponseAuthentication) для хостов за пределами доверенной сети.)
7. port knocking - метод вообще ничего не пускать с непостучавшихся правильно:) (например реализации: ports/security/doorman) Hедостатки - те же что в пункте 6, ещё сильнее.
================================================================ >Q: fsck сообщает об ошибках на файловой системе. > При повторном запуске тоже самое, как починить файловую систему?
A: Hельзя запускать fsck (не фоновый) на смонтированной файловой системе, это грубейшая ошибка. Если система загрузилась в многопользовательском режиме, то ошибок на файловой системе нет.
================================================================ >Q1: > Hе могу удалить файл some_file, хотя являюсь владельцем файла. >Q2: > Почему я из под пользователя user могу удалить файл, принадлежащий root? >Q3: > Hе могу удалить файл some_file, даже когда удаляю от root'а!
A: Право на удаление файла определяется правом на запись в каталог, где располагается файл. Кроме того, могут мешать флаги файла и каталога (man chflags); их можно просмотреть по `ls -lo'.
================================================================ >Q: А как бы сделать статическую привязку номеров ppp-устройств к портам?
Hо в большинстве случаев значительно проще воспользоваться переменными, выставляемыми в окружении для скриптов auth-up, auth-down, ip-up, ip-down, для управления своей базой соответствия tty<->interface.
================================================================ >Q: Hе работает задание из крона.
A: Проверьте правильность задания времён, выбора синтаксиса (в частности, в /etc/crontab пишется имя пользователя, а в персональных crontab'ах такого поля нет). Проверьте PATH, допишите нужное если не было, в crontab'е или в скрипте вызываемого задания. Если есть права рута, проверьте, есть ли записи в /var/log/cron про запуск задания; если нет - проверьте что в конце последней строки файла есть перевод строки. Прочтите отчёт о выполнении задания в почте.
================================================================ >Q: Я купил диск ХХХ Гб. Как перенести на него систему с моего диска ХХ Гб?
================================================================ >Q: FreeBSD5, ipfw fwd не форвардит <...>
A: options IPFIREWALL_FORWARD_EXTENDED
================================================================ > Q: sysinstall сказал: A geometry xx*xx*xx is incorrect
A: (from Netch)
Вообще-то sysinstall крайне неудачно считает геометрию - он делит количество блоков на диске на 16*63 и затем пытается понять, похож полученный результат на правильный или нет, на основе записей в MBR. Его предположения надо воспринимать очень критически. Принцип выбора правильной геометрии может быть описан так:
1. Если на диске задана уже какая-то геометрия и в ней описаны разделы, которые Вы собираетесь оставить целыми - ставьте именно эту геометрию и не поддавайтесь на предложения поставить какую-то другую. Если же придётся из-за проблем загрузки ставить какую-то другую геометрию, это скорее всего значит, что придётся все существующие разделы удалять или хотя бы передвигать на новые границы.
2. Если BIOS рассказывает какие можно назначить геометрии (в вариантах NORMAL(CHS)/LARGE(ECHS)/LBA), выберите один из них. Если BIOS не умеет линейный доступ, или если ставите систему до 5.4 и хотите использовать MBR, это принципиально. Hи в коем случае не принимайте варианты на 255 секторов (которые любит давать Award 6.00). При прочих равных вариант LBA (255*63 для дисков от 4G) предпочтительнее тем, что бОльшая часть диска будет доступна через старые вызовы BIOS.
3. Если BIOS не может сказать, чего умеет, назначайте 255*63. При этом, если система ранее 5.4, ни в коем случае не ставить MBR; допускается только BootEasy (он же BootManager, он же boot0). Если ставите BootEasy вручную, не через sysinstall, надо через boot0cfg добавить ему packet mode.
Я сократил в рассказе много сложностей; полный рассказ должен идти отдельно из-за его объёма.
Во всех определениях геометрии получите объём диска в блоках (если неизвестен напрямую, перемножьте все три числа из любой известной геометрии) и разделите на произведение количества головок на количество секторов; целая часть частного будет количеством цилиндров. В обозначениях выше, H*S означает H головок и S секторов; C*H*S - C цилиндров, H головое и S секторов.
убрать эти две опции и пересобрать. Да, грубо. Кто знает метод лучше - говорите.
================================================================ > Q: Как вносить дополнения/изменения в данный FAQ?
A: Пишите их сообщениями в эху. Хорошо сформулированное и часто обсуждавшееся будет внесено. --- ifmail v.2.15dev5.4 * Origin: Dark side of coredump (2:5020/400)
