赞
踩
Copyright © 2004,2005, 本文遵从GNU 的自由文档许可证(Free Document License)的条款,欢迎转载、修改、散布。
发布时间:2004年11月16日
最近更新:2006年02月16日,增加设置cron计划任务的内容。
Abstract
Debian是Linux发行版当中最自由的一种。由位于世界各地上千名的自愿者不断开发和维护。它不属于任何的商业公司,完全由开源社区所有。本笔记记录Debian的相关知识和我在学习中遇到的各种问题及解决方法。该笔记也可说是我学习Linux过程中的积累成果。希望这些文字能帮到正在用Linux或正想进入Linux这个奇妙世界的朋友。
Sarge经过三年多的开发于2005年6月6日正式发布,替代Woody成为最新的Stable。testing的代号改为etch,unstable的代号还是sid。
Table of Contents
List of Tables
Table of Contents
文件系统是一个操作系统的重要组成部分,Linux支持各种常用的文件系统。
Table 1.1. Linux文件系统类型
文件系统 | 类型名称 | 用途 |
---|---|---|
Second Extended filesystem | ext2 | 最常用的Linux文件系统 |
Three Extended filesystem | ext3 | ext2的升级版,带日志功能 |
Minix filesystem | minix | Minix文件系统,很少用 |
RAM filesystem | ramfs | 内存文件系统,速度超快 |
Network File System(NFS) | NFS | 网络文件系统,由SUN发明,主要用于远程文件共享 |
DOS-FAT filesystem | msdos | ms-dos文件系统 |
VFAT filesystem | vfat | Windows95/98采用的文件系统 |
NT filesystem | ntfs | Windows NT采用的文件系统 |
HPFS filesystem | hpfs | OS/2采用的文件系统 |
/proc filesystem | proc | 虚拟的进程文件系统 |
ISO 9660 filesystem | iso9660 | 大部份光盘所用的文件系统 |
UFS filesystem | ufs | Sun OS所用的文件系统 |
Apple Mac filesystem | hfs | Macintosh机采用的文件系统 |
Novell filesystem | ncpfs | Novell服务器所采用的文件系统 |
SMB filesystem | smbfs | Samba的共享文件系统 |
XFS filesystem | xfs | 由SGI开发的先进的日志文件系统,支持超大容量文件 |
JFS filesystem | jfs | IBM的AIX使用的日志文件系统 |
ReiserFS filesystem | reiserfs | 基于平衡树结构的文件系统 |
使用mount命令就可在Linux中挂载各种文件系统,如:
debian:~# mount -t vfat /dev/hda1 /mnt/hda1
上面这条命令就把/dev/hda1这个fat分区挂载到了/mnt/hda1目录下。“-t”参数指定文件系统类型,常见的文件类型见上面“Linux文件系统类型”一表的内容。在挂载硬盘时,还有一个“-o”参数,它可指定挂载文件系统时的一些选项,如:
codepage=xxx,指定代码页,如936(简体中文)、437(英文)等。
iocharset=xxx,指定字符集,如utf8、gb2312等。
ro,以只读方式挂载。
rw,以读写方式挂载。
mount命令的参数选项是很丰富的,以上介绍的只是常用一些功能,详细介绍请参考man手册。
使用mkfs命令可以创建文件系统,如:
debian:~# mkfs -t ext2 /dev/fd0 1400
这条命令在软盘上创建一个容量为1.44M的ext2文件系统。
使用fsck命令可以检查文件系统,如:
debian:~# fsck -t ext2 /dev/hda3
使用mkswap命令可以创建swap空间,如:
debian:~# mkswap -c /dev/hda4 debian:~# swapon /dev/hda4 #启用新创建的swap空间,停用可使用swapoff命令
设备文件是Linux中一种特殊的文件,它对应每种硬件设备,如硬盘、软驱等。它可以像文件一样对它进行读写操作。设备文件位于/dev目录下,/dev/hda代表第一个IDE硬盘,/dev/fd0代表第一个软驱。/dev/null是一个虚设的设备,它就像一个无底的黑洞,任何对/dev/null的写入都会成功,但数据会消失得无影无踪,没有任何反馈。所以我们经常把不想在屏幕显示的信息全部送到/dev/null中。下面是一个设备文件的信息:
brw-rw---- 1 root disk 3, 0 2005-07-07 05:29 /dev/hda
大家注意文件的size列,它是由逗号分隔的两个数字(3,0),第一个值代表主设备号(major device number),第二个值代表次设备号(minor device number)。主设备号对应内核相应的功能,而次设备号对应由驱动程序管理的特定设备。所以同一类设备的主设备号都是相同的,次设备号则不同。内核根据主设备号将I/O的要求导向到适当的驱动程序上,而该驱动程序以次要编号来判断出指定要使用的设备。系统安装同,默认已安装了大部份的设备文件,在/dev目录下可查询到很多的设备文件。但有时我们也需新增一设备文件,这时我们可使用mknod命令,命令格式如下:
mknod -m permissions name type major minor -m permissions参数可有可无,主要用于设置设备文件的权限 name是所要创建的设备名,要有完整的路径,如/dev/rhda type是设备文件的类型,c代表字符设备,b代表块设备 major指定设备的主编号 minor指定设备的次编号
使用dumpe2fs device | more可显示文件系统的详细信息。如:
debian:/var/log# dumpe2fs /dev/hdb1 |more dumpe2fs 1.37 (21-Mar-2005) Filesystem volume name: <none> Last mounted on: <not available> Filesystem UUID: ef214b73-810a-4098-bf01-ab9a85d9c651 Filesystem magic number: 0xEF53 Filesystem revision #: 1 (dynamic) Filesystem features: filetype sparse_super Default mount options: (none) Filesystem state: not clean Errors behavior: Continue Filesystem OS type: Linux Inode count: 3662848 Block count: 7323624 Reserved block count: 366181 Free blocks: 428630 Free inodes: 3470727 First block: 0 Block size: 4096 Fragment size: 4096 Blocks per group: 32768 #文件系统中每个块组的大小 Fragments per group: 32768 Inodes per group: 16352 Inode blocks per group: 511 Last mount time: Thu Jul 7 20:09:57 2005 Last write time: Thu Jul 7 23:42:51 2005 Mount count: 15 Maximum mount count: 30 Last checked: Fri Jun 17 05:31:36 2005 Check interval: 2592000 (1 month) Next check after: Sun Jul 17 05:31:36 2005 Reserved blocks uid: 0 (user root) Reserved blocks gid: 0 (group root) First inode: 11 Inode size: 128
superblock是每个分区中最重要的信息,如果分区的superblock信息被破坏,则分区就不能使用。所以每个分区的superblock都被备份了。如果ext2文件系统的块组大小是32768,则superblock备份就存放在以32769开始的块组中。使用e2fsck -f -b 32769 /dev/hdb1就可用superblock备份信息修复文件系统的superblock
Linux系统以安全性高著称,它有完善的文件和目录权限控制机制。使用ls -l命令可查看系统中文件和目录的权限。如:
debian:~# ls -l drwxr-xr-x 3 root root 4096 2005-05-05 02:01 SAPGUI -rw-r--r-- 1 root root 66842 2005-03-27 17:20 Screenshot.png -rw-r--r-- 1 root root 72 2005-03-03 20:24 setup.log -rwxr-xr-x 1 root root 268 2005-03-13 15:44 test ...
最左边的一串字符是文件和目录的权限控制字符串,权限字符串的第一个字母代表文件类型,不同字符代表不同的意思:
-,一般文件
d,目录
l,符号连接
b,块特殊文件
c,字符特殊文件
s,socket套接字
p,命名管道
后面9个字符分成三组,分别代表user(用户),group(组)和other(其它)的许可权限。每组有三个权限位,代表具体的权限:
r,表示文件可读或目录可读,位于三位权限组的第一位置。
w,表示文件可修改或目录可修改,位于三位权限组的第二位置。
x,表示文件可执行或目录中的文件可执行,位于三位权限组的第三位置。
s,表示set UID或set GID。位于user或group权限组的第三位置。如果在user权限组中设置了s位,则当文件被执行时,该文件是以文件所有者UID而不是用户UID执行程序。如果在group权限组中设置了s位,当文件被执行时,该文件是以文件所有者GID而不是用户GID执行程序。s权限位是一个敏感的权限位,容易造成系统的安全问题。请在设置时小心,并注意系统中已有的SUID或SGID文件和目录。
t,表示粘着位(sticky)。位于other权限组的第三位置。具有该位的文件和目录只有创建者才能删除。
-,表示没有权限。该字符可出现在任何位置,表示没有许可权限。
当我们在linux中创建一个文件或目录时,系统通过umask环境变量来控制默认的权限位设置。umask的值多为022,在profile文件里设置。设置格式如下:
... umask 022 ...
使用lsattr和chattr命令可以显示和改变文件属性。
s(secure deletion),当文件被删除时,分配在该文件中的所有块都会清零,并写入磁盘,保证文件的数据被彻底清除,不能被访问。
u(undelete),该属性可保存被删除的文件内容。
c(compress),当文件保存在磁盘时,内核会自动压缩该文件。
S(synchronous),当修改具有该属性的文件时,所有更改将同步写入磁盘。
i(immutable),设置了该属性的文件不允许更改。
a(append only),文件只能以追加模式打开,只有root才能设置或删除主该属性。
d(no dump),具有该属性的文件不能被dump工具备份。
A(no atime),不更新atime值,atime是文件文件的访问时间戳。
传统的Linux文件系统的权限控制是通过user、group、other与r(读)、w(写)、x(执行)的不同组合来实现的。随着应用的发展,这些权限组合已不能适应现时复杂的文件系统权限控制要求。例如,我们可能需把一个文件的读权限和写权限分别赋予两个不同的用户或一个用户和一个组这样的组合。传统的权限管理设置起来就力不从心了。为了解决这些问题,Linux开发出了一套新的文件系统权限管理方法,叫文件访问控制列表(Access Control Lists,ACL)。
要启用ACL,需内核提供ACL支持和安装ACL管理工具。现在的2.6内核都提供ACL支持,在编译内核时只要在file systems分支下,把Ext2 POSIX Access Control Lists或Ext3 POSIX Access Control Lists选中就可以了。用以下命令挂接硬盘启用文件系统ACL。
debian:~# mount -t ext2 -o acl /dev/hda1 /mnt/hda1
我们也可把选项写到/etc/fstab文件中,在需启用acl的分区选项包含acl参数。
ACL有两种,一种是存取ACL(access ACLs),针对文件和目录设置访问控制列表。一种是默认ACL(default ACLs),只能针对目录设置。如果目录中的文件没有设置ACL,它就会使用该目录的默认ACL。要设置ACL,首先要安装管理工具,它们分别是getfacl和setfacl,在debian中只要安装acl软件包即可。
debian:~# apt-get install acl
setfacl工具可为文件和目录ACL,命令格式如下:
setfacl -m <rules> <files>
rules的格式如下,多条规则间可用逗号分隔。
u:uid:perms #为用户设置ACL,perms为r、w、x的组合 g:gid:perms #为组设置ACL o:perms #为其它组设置ACL m:perms #设置有效权限屏蔽
下面是setfacl的实例:
debian:~# setfacl -m u:jims:rw testfile.txt #-m选项表示添加或修改文件或目录的权限访问列表 debian:~# setfacl -x u:jims:rw testfile.txt #-x选项表示删除文件或目录的访问列表
要设置默认的ACL,只在rules前加一个d:,以表示指定一个目录,如:
debian:~# setfacl -m d:o:rx /data
getfacl用以显示文件或目录的ACL,如:
debian:getfacl debian.xml # file: debian.xml # owner: jims # group: jims user::rwx group::r-- other::r--
tar和dump工具不能备份ACL文件,如果我们要备份ACL文件系统,可以使用star工具。另外,samba可通过--with-acl-support编译选项支持ACL。 |
Table of Contents
软件包管理是区分不同发行版的一大特征,如RedHat使用RPM软件包来管理软件,Debian使用Deb软件包来管理软件。apt-get是Debian的Deb软件包管理工具,它的最低底层还是调用dpkg包管理程序,通过apt-get工具可使我们很好地解决软件包的依赖关系,方便软件的安装和升级。它是Debian发行版的最大特色,一定要好好掌握。
要使用好apt-get就要配置好一个名为sources.list的资源列表,资源列表指向Debian系统的软件库,apt-get会从该软件库安装各种软件包。sources.list文件位于/etc/apt目录下,下面是Sarge、Etch和Sid三个版本的写法,你可任选一种,最好不要多版本混用:
#sources.list for Sarge(stable): deb http://http.us.debian.org/debian stable main contrib non-free deb http://non-us.debian.org/debian-non-US stable/non-US main contrib non-free deb http://security.debian.org stable/updates main contrib non-free #Uncomment if you want the apt-get source function to work #deb-src http://http.us.debian.org/debian stable main contrib non-free #deb-src http://non-us.debian.org/debian-non-US stable/non-US main contrib non-free #sources.list for Etch(testing): deb http://http.us.debian.org/debian testing main contrib non-free deb http://non-us.debian.org/debian-non-US testing/non-US main contrib non-free deb http://security.debian.org testing/updates main contrib non-free #Uncomment if you want the apt-get source function to work #deb-src http://http.us.debian.org/debian testing main contrib non-free #deb-src http://non-us.debian.org/debian-non-US testing/non-US main contrib non-free #sources.list for Sid(unstable): deb ftp://ftp.us.debian.org/debian unstable main contrib non-free deb ftp://non-us.debian.org/debian-non-US unstable/non-US main contrib non-free #Uncomment if you want the apt-get source function to work #deb-src http://http.us.debian.org/debian unstable main contrib non-free #deb-src http://non-us.debian.org/debian-non-US unstable/non-US main contrib non-free
sources.list文件的内容决定了Debian的版本。安全更新只存在于stable和testing版中,unstable没有安全更新。进入stable的软件都经过严格的依赖测试和安全测试,所以如果你想系统稳定,用于工作,最好使用stable,如果你想使用最新版的软件,就使用testing或unstable。Woody、Sarge和Sid是Debian 3.x三个版本中的代号,我们一般都是以代号来称呼debian不同版本。所有Debian发行版的代号全都取自电影Toy Story,Woody是那个牛仔,Sarge是绿色塑胶军队的领导,Sid是破坏玩具的小孩。
apt-get update
更新软件包信息库。在Debian中,软件包是通过一个数据库来管理的,通过这个数据库中可跟踪你系统中已安装、没有安装和现在可安装的软件包信息。apt-get安装软件包时就是依靠这个数据库来解决软件包间的依赖关系,从而可自动安装相关软件。我们需定期运行该命令,从而保持数据库的信息为最新。
apt-get install package_name1 package_name2 package_name3 ...
安装软件包。如果软件包需其它软件包支持,apt-get会通过搜索软件包数据库找到这种依赖关系,一起下载相关软件。在一个命令行中可同时安装多个软件包,中间用空格隔开即可。安装的软件包默认会存放在/var/cache/apt/archives目录下,以便以后重新安装。如果已安装的软件包损坏了,你可通过--reinstall选项来重新安装。如:
# apt-get --reinstall install package_name
在需安装的软件包名后加一个减号会删除软件包,如:apt-get install package_name-。 |
只是下载软件,不解包和安装使用-d选项,如:
# apt-get -d install package_name
使用--dry-run选项可使apt-get在安装软件包前进行测试,如:
# apt-get install package_name --dry-run
Debian软件包的名字和软件名不同,所以在安装前如不知道软件包的名字,可到Debian的官方软件库查询,网址是:http://www.debian.org/distrib/packages/。或者用下面介绍的apt-cache search package_name命令来查询。
apt-get remove package_name1 package_name2 package_name3 ...
删除软件包。如果你想删除没用的软件包,只要使用该命令即可。如果你想把该软件的配置文件也删除,可以用--purge选项,如:
# apt-get --purge remove package_name
类似地,在删除软件包名后加一个加号会安装软件包,如:apt-get remove package_name+。 |
apt-get source package_name1 package_name2 package_name3
下载软件包的的源码版本。
apt-get upgrade package_name1 package_name2 package_name3 ...
软件包升级功能是APT系统这么成功的主要原因。通过该命令,我们就可把软件升级到最版本。在使用该命令前,最好先运行apt-get update命令,以更新软件包数据库。但该方案不是更新系统最好的方法,一些包会因为包依赖问题而保留(kept back)一些旧的软件包。Debian提供了一个更好的升级方案,就是用dis-upgrade。下面一节会详细介绍。
apt-get dist-upgrade
更新整个Debian系统。可从网络或本地更新整个系统。它会重新安排好包的依赖性。如果有些包由于一些原因实在不能更新,我们可通过以下命令查询原因:
# apt-get -o Debug::pkgProblemResolver=yes dist-upgrade
用apt-show-versions -u可获得可升级软件包的列表。该命令还有一些有用的选项,可用-h选项查看详细帮助,了解更多功能。 |
apt-get clean
删除下载了的软件包,当我们通过apt-get安装软件包时,APT会把软件包下载到本地/var/cache/apt/archives/目录。该命令会删除该文件夹内的除锁住外的所有软件包。
apt-get autoclean
删除已下载的旧版本的软件包。该命令类似于上面的命令,但它会有选择地删除旧版本的软件包。
apt-get dselect-upgrade
通过dselect的“建议”和“推荐”功能更新系统。dselect是Debian中一个功能强大的包管理工具。它可帮助用户选择软件包来安装,其中一个有用功能是它会建议和推荐安装其它相关软件包。我们可在APT中使用它这个功能。
apt-get check
检查系统中已安装软件包的依赖性。
apt-cache是一个apt软件包管理工具,它可查询apt的二进制软件包缓存文件。通过它我们可查询软件包的状态信息。
apt-cache show package_name
显示软件的信息,包括版本号,安装状态和包依赖关系等。
apt-cache search package_name
搜索软件包,可用正则表达式。
apt-get是命令行方式的dpkg前台程序,不喜欢命令行方式的朋友也可以试试aptitude和synaptic这两个软件包。aptitude是一个字符界面的dpkg前端程序,synaptic是一个GTK界面的dpkg前端程序。
我们有时喜欢用一个Debian版本作为主系统,并使用其它版本的软件包,如我们用testing版为主系统,但有时又会用到unstable版里的新软件包。设置主系统你需编辑/etc/apt/apt.conf文件,在文件中加入以下内容:
APT::Default-Release "version";
这里的version就是Debian的发行版本,包括stable,testing和unstable。要从Debian另外的版本中安装软件包,需用以下的APT命令:
# apt-get -t version install package
为使上面的命令正常工作,需要在sources.list包含有相应的version资源连接。
你也可用以下命令指定安装软件包的版本。如:
# apt-get install nautilus=2.2.4-1
安装不同版本的软件包容易造成系统包依赖性出错,所以应尽量避免在工作环境中使用。 |
apt-show-versions可显示已安装软件包的版本,它提供了一种安全的方法从混合版本环境中升级指定版本的软件包。如以下命令只升级unstable的软件包:
# apt-get install `apt-show-versions -u -b | grep unstable`
Table of Contents
Nautilus是一个文件管理器,与Windows中的资源管理器类似。它是一个开源软件,是GNOME桌面环境默认的文件管理器,项目网址是:http://www.gnome.org/projects/nautilus/。
Nautilus是GNOME桌面环境中一个优秀的图形化文件管理工具,通过该工具,我们能方便地管理和浏览我们的文件。它是为文件管理而设计的,但它也可作为ftp,smb,WebDAV等基于WEB的应用程序的客户端。除了固定的功能外,我们还可通过编写自已的脚本来扩展它的功能,下面介绍如何使用该功能。
建立一个shell或python、perl等的脚本,并设置可执行权限。
把脚本拷贝到~/.gnome2/nautilus-scripts目录下。
用nautilus访问一次该目录,这样就可通过右击文件,选“脚本”来调用该脚本了。
以后每新建一个脚本,都要使用nautilus访问一次~/.gnome2/nautilus-scripts才能使新脚本生效。这种用户可随意添加脚本的功能使nautilus的功能可无限扩展。Nautilus官方网站上已有很多脚本可下载使用。网址是:http://www.gnome.org/projects/nautilus/。
Nautilus文件管理器是Gonme中使用频率最高的工具之一,下面介绍几个提高Nautilus性能的方法,使我们能有效地使用该工具。
在Nautilus中,与性能相关的首选项通常都可有三个可选项值,通过调整这三个选项值可达到调整Nautilus性能的目的,这三个选项值分别是:
总是(always)---对本地文件和其它文件系统上的文件都有效。性能最差,占用CPU资源和网络带宽最多。
本地文件(local_only)---只对本地文件有效。性能较好,能减少对CPU资源的占用。
从不(never)---选项无效。性能最好,能大大减少CPU资源和网络带宽的占用。
下面介绍使用这些选项的首选项,每一个首选项代表Nautilus的一个功能。你可用上面介绍的选项值进行配置,以达到性能最优。
图标中显示文字(show_icon_text)
该选项的功能是控制是否在图标中显示文件中的内容片段。可通过以下命令设置为never:
# gconftool-2 --type string --set /apps/nautilus/preferences/ show_icon_text never
此外,还可通过Nautilus菜单的“编辑--首选项--预览--图标中显示文字”路径进行设置。
显示缩略图(show_image_thumbnails)
该选项控制是否在文件管理器内显示图像的缩略图。可通过以下命令设置为never:
# gconftool-2 --type string --set /apps/nautilus/preferences/ show_icon_text never
此外,还可通过Nautilus菜单的“编辑--首选项--预览--显示缩略图”路径进行设置。
预听声音文件(preview_sound)
该选项控制是否预听声音文件。可通过以下命令设置为never:
# gconftool-2 --type string --set /apps/nautilus/preferences/preview_sound never
此外,还可通过Nautilus菜单的“编辑--首选项--预览--预听声音文件“路径进行设置。
统计项目数量(show_directory_item_counts)
该选项控制是否显示文件夹内项目的数量,如果文件夹内的文件很多,开启该选项将使文件夹的打开速度减慢。建议关闭该功能。设置方法如下:
# gconftool-2 --type string --set /apps/nautilus/preferences/ show_directory_item_counts never
此外,还可通过Nautilus菜单的“编辑--首选项--预览--统计项目数量//“路径进行设置。
GConf是一个应用程序参数配置系统,它可集中存储和管理各种应用程序的配置参数,就象Windows平台的注册表。该系统对系统管理员来说是很有用的,系统管理员可通过该工具方便地管理他们的系统。GConf还有一个非常COOL的功能,就是“process transparent”(进程无关性),也就是说,如果我在一个应用程序中修改了一个参数,马上其它使用同一参数的应用程序同样会感受到参数的改变。下面我将会详细介绍GConf系统的配置和使用。网上资源:http://www.gnome.org/projects/gconf/
国际化是指软件能用于多国语言环境的能力。在Linux中通过locale来设置程序运行的不同语言环境,locale由ANSI C提供支持。locale的命名规则为<语言>_<地区>.<字符集编码>,如zh_CN.UTF-8,zh代表中文,CN代表大陆地区,UTF-8表示字符集。在locale环境中,有一组变量,代表国际化环境中的不同设置:
LC_COLLATE
定义该环境的排序和比较规则
LC_CTYPE
用于字符分类和字符串处理,控制所有字符的处理方式,包括字符编码,字符是单字节还是多字节,如何打印等。是最重要的一个环境变量。
LC_MONETARY
货币格式
LC_NUMERIC
非货币的数字显示格式
LC_TIME
时间和日期格式
LC_MESSAGES
提示信息的语言。另外还有一个LANGUAGE参数,它与LC_MESSAGES相似,但如果该参数一旦设置,则LC_MESSAGES参数就会失效。LANGUAGE参数可同时设置多种语言信息,如LANGUANE="zh_CN.GB18030:zh_CN.GB2312:zh_CN"。
LANG
LC_*的默认值,是最低级别的设置,如果LC_*没有设置,则使用该值。类似于 LC_ALL。
LC_ALL
它是一个宏,如果该值设置了,则该值会覆盖所有LC_*的设置值。注意,LANG的值不受该宏影响。
一个例子:
设置前,使用默认locale: debian:~# locale LANG="POSIX" LC_CTYPE="POSIX" LC_NUMERIC="POSIX" LC_TIME="POSIX" LC_COLLATE="POSIX" LC_MONETARY="POSIX" LC_MESSAGES="POSIX" LC_PAPER="POSIX" LC_NAME="POSIX" LC_ADDRESS="POSIX" LC_TELEPHONE="POSIX" LC_MEASUREMENT="POSIX" LC_IDENTIFICATION="POSIX" LC_ALL= 设置后,使用zh_CN.GDK中文locale: debian:~# export LC_ALL=zh_CN.GBK debian:~# locale LANG=zh_CN.UTF-8 LC_CTYPE="zh_CN.GBK" LC_NUMERIC="zh_CN.GBK" LC_TIME="zh_CN.GBK" LC_COLLATE="zh_CN.GBK" LC_MONETARY="zh_CN.GBK" LC_MESSAGES="zh_CN.GBK" LC_PAPER="zh_CN.GBK" LC_NAME="zh_CN.GBK" LC_ADDRESS="zh_CN.GBK" LC_TELEPHONE="zh_CN.GBK" LC_MEASUREMENT="zh_CN.GBK" LC_IDENTIFICATION="zh_CN.GBK" LC_ALL=zh_CN.GBK
"C"是系统默认的locale,"POSIX"是"C"的别名。所以当我们新安装完一个系统时,默认的locale就是C或POSIX。
在Debian中安装locales的方法如下:
通过apt-get install locales命令安装locales包
安装完成locales包后,系统会自动进行locale配置,你只要选择所需的locale,可以多选。最后指定一个系统默认的locale。这样系统就会帮你自动生成相应的locale和配置好系统的locale。
增加新的locale也很简单,用dpkp-reconfigure locales重新配置locale即可。
我们也可手动增加locale,只要把新的locale增加到/etc/locale.gen文件中,再运行locale-gen命令即可生成新的locale。再通过设置上面介绍的LC_*变量就可设置系统的locale了。下是一个locale.gen文件的样例。
# This file lists locales that you wish to have built. You can find a list # of valid supported locales at /usr/share/i18n/SUPPORTED. Other # combinations are possible, but may not be well tested. If you change # this file, you need to rerun locale-gen. # zh_CN.GBK GBK zh_CN.UTF-8 UTF-8
要在Shell中正常显示系统的中文提示信息和支持中文输入。LANG和shell的编码配置需一致,并安装有中文locale。如:LANG和shell的编码都配置成zh_CN.utf8,并安装有zh_CN.utf8这个locale。如果shell和LANG配置不同,则中文显示乱码;如果LANG里设置的locale没有安装,则不能显示系统的中文提示信息,只会显示英文提示信息。
Table of Contents
字体设置在X系统中是一项较复杂而又非常重要的内容,字体是我们一进入X window就必须整天面对的,清晰、美观的字体会使我们工作起来赏心悦目,轻松愉快。XFree86是X系统在X86架构中的免费实现(现在好象不是GPL的了),也是现在Linux系统默认的X系统。为了设置好字体,我们需了解XFree86系统中的字体系统的原理和实现技术。只是照抄网上的设置可能也可配置出一套效果不错的字体,但这样我们只会知其然而不其所以然,不能融会贯通,灵活应用。请随我慢慢进入XFree86中的字体系统,一窥其中的奥秘。
有关X系统和XFree86的资料可参考我整理的X window学习笔记,里面对这两个系统的历史渊源有详细介绍。 |
XFree86系统有两套的字体系统,这也是为什么X window中字体设置较复杂的原因之一。这两套的字体系统分别是:核心X11字体系统和Xft字体系统。核心X11字体系统是应用最广泛的一套字体系统,所有的X系统都支持。Xft字体系统是一个新的字体技术,只能用在基于XFree86系统的X系统上,但该套字体系统配置简单,容易使用,将是未来发展的方向。
Xft是一个library,它没有自已的配置机制,它依靠fontconfig库来配置和定制字体,Xft负责字体的显示。也就是说,fontconfig是一种让X系统可以找到某种字体的库,而Xft是负责在X系统中把fontconfig库找到的字体如何显示出来的库。所以讨论Xft字体配置其实就是讨论fontconfig。fontconfig包含在XFree86发布版中。
fontconfig的作用:
自动搜索字体路径,发现新拷贝的字体。
当需显示的字体不存在时,会自动选择其它字体代替显示。这也就是我们在美化字体时为什么要调整字体的排列顺序的原因。
配合Xft等X系统的渲染引擎,实现质量的字体输出。
fontconfig的配置文件有三个,一个是系统级的配置文件,位于/etc/fonts/fonts.conf,该目录下还有一个local.conf,一般我们只修改local.conf文件,fonts.conf一般不建议去修改。第三个配置文件是用户主目录下的~/.fonts.conf,它是用户级的字体配置文件,只对当前用户有效。这三个文件的格式是一样的,都是一个XML格式的文件。该XML文件的语法规则在fonts.dtd里定义。详细的配置介绍请参考中国Linux公社中的“Linux高质量字体研究”论坛。
在Xft字体系统中安装新的字体是很简单的,只需把字体文件拷贝到fonts.conf中指定的字体文件目录即可,fontconfig会自动感知新字体。默认的字体目录有四个,分别是:
/usr/share/fonts
/usr/X11R6/lib/X11/fonts/Type1
/usr/local/share/fonts
~/.fonts
把新字体文件拷贝到字体目录后,我们就可用fc-list命令列出新安装的字体,如果没有,可用fc-cache命令手动更新系统字体配置。这样,再运行fc-list就应该可以看到新安装的字体了。使用Xft字体系统是不用配置/etc/X11/XF86config-4的,也不用重启X服务器使配置生效。Xft字体系统比起传统的X11核心字体系统来说真的是方便很多。所以它是未来的发展方向。目前,并不是所有的应用程序都支持Xft字体系统。下面是各类程序对Xft字体系统的支持情况介绍:
GTK+2.x和QT程序都可以使用Xft字体系统,但GTK+1.x程序是不支持Xft字体系统的,它只能使用X11核心字体系统。
GTK+2.2版本及以上的程序默认使用Xft字体系统,不用进行配置。GTK+2.0程序如果要使用Xft,则需设置环境变量GDK_USE_XFT=1。
GTK+2.x程序字体配置可通过gnome桌面系统提供的gnome-font-properties工具来配置,该工具可在GNOME桌面环境中的"应用程序"--"桌面首选项"--"字体"中找到。GTK+2.x程序还有一个全局配置文件/etc/gtk-2.0/gtkrc,里面可设置GTK+2.x程序所用字体,该文件的内容如下:
style "gtk-default-zh-cn" { font_name = "Bitstream Vera Sans 10,SimSun 10" } class "GtkWidget" style "gtk-default-zh-cn"
这样GTK+2.x程序的英文会用10号的Bitstream Vera Sans字体显示,中文会用10号的SimSun字体显示。
QT程序的默认字体可在KDE的“控制中心”--“外观和主题”--“字体”中设置,也可运行qtconfig图形化配置工具设置。但好象控制中心的设置优先级高于qtconfig工具。
配置X11核心字体有两步,第一步是建立字体目录,在该目录中包含字体文件。第二步是配置X服务器,使它能使用这些字体。下面我以配置simsun.ttc字体为例说明:
X服务器的字体目录一般默认已建好,如/usr/X11R6/lib/X11/fonts/truetype。我们把simsun.ttc拷贝到该目录。
生成字体索引文件,如果是位图字体则只有一个fonts.dir索引文件,如果是像simsun.ttc这样的可缩放字体则还需要一个fonts.scale索引文件。索引文件可通过工具自动生成,如果是TrueType字体,可使用ttmkfdir工具。其它的字体可用mkfontdir和mkfontscale这两个工具来生成。simsun.ttc是TrueType字体,所以我用ttmkfdir工具生成fonts.scale:
debian:/usr/X11R6/lib/X11/fonts/truetype# ttmkfdir
fonts.dir文件和fonts.scale内容是一样的,所以可直接拷贝。如果不用拷贝的方式,用mkfontdir命令也可以,结果是一样的。
设置XF86config-4配置文件,确定包含上述字体路径和正确加载X字体模块。
Section "Files" # FontPath "unix/:7110" # local font server # if the local font server has problems, we can fall back on these FontPath "/usr/X11R6/lib/X11/fonts/truetype" FontPath "/usr/lib/X11/fonts/misc" FontPath "/usr/lib/X11/fonts/cyrillic" FontPath "/usr/lib/X11/fonts/100dpi/:unscaled" FontPath "/usr/lib/X11/fonts/75dpi/:unscaled" FontPath "/usr/lib/X11/fonts/Type1" FontPath "/usr/lib/X11/fonts/CID" FontPath "/usr/lib/X11/fonts/Speedo" FontPath "/usr/lib/X11/fonts/100dpi" FontPath "/usr/lib/X11/fonts/75dpi" EndSection Section "Module" # Load "GLcore" Load "bitmap" Load "dbe" Load "ddc" Load "dri" Load "extmod" # Load "freetype" Load "glx" Load "int10" Load "record" Load "speedo" Load "type1" Load "vbe" Load "xtt" EndSection
字体模块列表:
bitmap:位图字体,支持的字体文件有*.bdf,*.pcf和*.snf。
type1:Type1字体,支持的字体文件有*.pfa和*.pfb,还有CIDFonts。
speedo:Bitstream Speedo字体,支持的字体文件有*.spd。
freetype:TrueType字体,支持的字体文件有*.ttf和*.ttc。,在X.org系统中,xtt模块功能合并到该模块中。
xtt:另一个的TrueType字体模块,支持的字体文件有*.ttf和*.ttc。在X.org系统中,不使该模块,该模块的功能合并到freetype模块中。
重启X服务器后就可使用simsun中文字体了。xlsfonts命令可列出系统中已安装的X11核心字体。
如果你是使用Debian系统,则可使用defoma(Debian Font Manager)工具来帮你完成以上设置。该工具的使用请参考本文“Debian的安装和配置”一章的内容。 |
GTK+1.x程序使用X11核心字体系统。要在GTK+1.x程序中使用simsun字体,需配置/etc/gtk/gtkrc.zh_CN文件,内容如下:
# This file defines the fontsets for Chinese language (zh) using # the simplified chinese standard GuoBiao as in mainland China (CN) # # 1999, Pablo Saratxaga <pablo@mandrakesoft.com> # style "gtk-default-zh-cn" { fontset = "-*-bitstream vera Serif-medium-r-normal-*-*-120-*-*-p-*-microsoft-cp1252,/ -*-simsun-medium-r-normal-*-12-*-*-*-*-*-gbk-0" } class "GtkWidget" style "gtk-default-zh-cn"
这样GTK+1.x程序可显示中文了,中文使用simsun字体,英文使用bitstream vera sans字体。
Table of Contents
Linux等开源软件的优点是可配置性强,同一种功能可通过不同的方法来实现,所以我们使用的系统都会有差别,配置方式也不尽相同。为了积累知识和备忘,我把我在安装和配置Debian桌面系统的所有操作都记录在该章节中。
Debian发行版为我们提供了灵活的安装方式,可以先安装一个很小的(几十兆)base系统,再通过网络更新系统和安装其它应用软件。这种方式要求有较好的网络环境,比如ADSL。我就是采用这种方式安装的,下面是我的具体操作步骤:
到http://people.debian.org/~blade/boot-floppies/netinst-full-pre/下载bootbf2_4_iso.zip安装镜像。解压密码是:“Yes, I know that this data may be harmful!”。注意密码串中的标点符号和空格都要正确输入。解压后,刻录成启动光盘。
用启动光盘启动电脑,在出现boot:提示符状态后直接按回车载入内核。
对硬盘分区,我的分区在安装之前已用分区工具分好,所以可直接挂接。我设置了一个交换分区(swap)和一个linux分区(ext2)。完成格式化后把分区挂接为根分区。接着就可配置主机名和网络了,我的网卡需加载设备驱动模组才能识别,我的网卡是最常见的RTL-8139,选择“ne”模组支持即可。最后选安装基本系统开始安装。
如果启动盘找不到硬盘,可用我的方法,先用一些分区工具分好区再装,或下载500多兆那个启动盘,在出现boot:提示符时打bf24启动应该就可以找到硬盘了。 |
安装完基本系统后,需配置系统的启动信息。Debian默认使用lilo做为启动管理器,我的系统中本来已有windows XP系统,我用lilo来统一管理双系统的启动,所以我把lilo安装到MBR中。
取出光盘重启电脑,成功启动Linux后,系统会自动运行base-config程序进行系统的初始配置,配置的内容有:
时区设置:亚洲/上海
设置root用户密码和启动shadow
设置sorucelist为http方式
我不想用exim作为我的邮件客户端,所以不配置exim程序。
进入Debian系统后,首先配置ADSL拔号程序,运行pppoeconfig进行配置。按提示填上ADSL帐号和密码即可。注意,eth0的网关不要设,否则会连接不上外网。
成功连接Internet后就可进行下一步安装了,首先把系统升级到testing。把/etc/apt/sources.list里所有的stable改成testing。再运行apt-get update获取最新的软件包信息,最后运行apt-get dist-upgrade更新整个系统。以后升级系统中的软件只需运行apt-get update和apt-get upgrade两步即可。apt-get dist-upgrade只用于debian系统版本的升级,如stable升级到testing。
更新完系统后,需运行lilo -v -v -v更新启动信息,否则在系统重启时会出现LI两个字符后停住,不能正常启动系统。
光盘上的内核较旧,所以成功安装完成系统后,一般都要更新内核,以支持更多的硬件和提高系统性能。在Debian发行版中,更新内核也可使用apt-get install kernel-image-2.x.x方式来直接更新。但这样更新有两个问题,一是内核包的更新要滞后于Linux内核的更新速度,也就是说采用该方式你用不到最新的内核;二是内核包不是针对你的计算机编译的,所以性能和配置可能会不符合你的要求。我一般不用这种方式更新我的内核,而是采用直接编译内核源码,再用make-kpkg命令打包的方式来安装。make-kpkg是Debian的内核打包工具,它可编译Linux源码,并打包成Debian格式的内核安装包。这样我们即可使用最新的Linux内核,又可用Debian的方式安装和管理内核包,一举两得。现在来看看具体的安装过程,我把2.4.20内核更新到最新的2.6.10。
到http://www.kernel.org下载最新的2.6.10内核,解压到/usr/src目录下。
安装编译2.6内核所需的软件
# apt-get install kernel-package ncurses-dev fakeroot module-init-tools
在/usr/src/linux-2.6.10目录下运行以下命令配置和编译新内核:
# make menuconfig # make-kpkg clean # fakeroot make-kpkg --revision=mykernel.1.0 kernel_image
如果编译失败,可用make clean和make menuconfig重新配置和编译。配置信息默认会保存在/usr/src/linux-2.6.10/.config文件中。 |
内核编译完成后在/usr/src目录下就会生成一个kernel-image-2.6.10_mykernel.1.0_i386.deb软件包,用以下命令安装:
# dpkg -i kernel-image-2.6.10_mykernel.1.0_i386.deb
这样,在/boot目录下会生成System.map-2.6.10,vmlinuz-2.6.10文件。在安装内核时会提示是否制作启动盘和是否自动配置LILO,我都选择NO。用手动方式设置LILO。打开/etc/lilo.conf文件,修改相关部份的内容,修改的内容如下:
... #使用图形菜单 bitmap=/boot/coffee.bmp bmp-colors=14,11,,15,9,0 #bmp-table=120p,173p,1,15,17 bmp-timer=254p,432p,1,0,0 # Installs the specified file as the new boot sector # You have the choice between: bmp, compat, menu and text # Look in /boot/ and in lilo.conf(5) manpage for details # install=bmp ... #内核配置 default=Linux2.6.10 image=/boot/vmlinuz-2.6.10 label=Linux2.6.10 read-only # restricted # alias=1 image=/boot/vmlinuz-2.4.20-bf2.4 label=Linuxold read-only optional # restricted # alias=2 ...
用lilo -v -v -v更新启动信息。如果没有出错信息则可重启电脑,默认是以新内核来启动的。用上下光标可选择不同的启动内核。
如想用dpkg -i 重新安装相同内核,要做一些清理工作。需把/boot/System.map-2.6.10、/boot/vmlinuz-2.6.10和/lib/modules/2.6.10改名备份起来或删除掉,但为了安全,建议采用改名备份方式。安装时会提示需重启来重建/lib/modules/2.6.10目录,按继续即可。 |
2.6.10内核配置备忘录
内核配置完成后,在退出配置菜单时如果选择保存配置,则会在当前目录中生成一个.config文件,以文本的形式记录内核的所有配置参数。该配置文件会在下次用make menuconfig命令配置内核时自动导入。我们也可以通过内核配置菜单最下面的导入和存盘功能导入其它内核配置文件和把当前配置以任意的名字保存在其它地方。
Loadable module support-->Module unloading选项可允许卸载已加载的内核模块。通过该功能,我们可以通过rmmod module_name和modprobe module_name命令改变内核模块的加载参数。
如需支持富士FinePix 2800 Zoom数码相机,需选中Device Drivers-->USB support-->UHCI HCD(most Intel and VIA) support支持。如果成功配置,在启动时会自动检测到数码相机,并自动把相机的存储卡挂接在/media/usbdisk目录下。如果对自已机器上的USB设备接口不清楚,可用# lspci -v命令来列出本机的设备信息。
在我的Fosa手提电脑上编译内核2.6.10以支持USB鼠标和触摸板。用lspci -v命令列出本机USB设备的硬件信息如下:
0000:00:01.2 USB Controller: Silicon Integrated Systems [SiS] USB 1.0 Controller (rev 07) (prog-if 10 [OHCI]) Subsystem: Silicon Integrated Systems [SiS] USB 1.0 Controller Flags: bus master, medium devsel, latency 64, IRQ 11 Memory at 000d0000 (32-bit, non-prefetchable) [size=4K]
USB设备接口类型是OHCI的,所以配置内核时选中Device Drivers--->Usb Support--->OHCI HCD support,并把它编译进内核。重启手提电脑,自检时出现如下信息,驱动成功。
ohci_hcd 0000:00:01.2: Silicon Integrated Systems [SiS] USB 1.0 Controller ohci_hcd 0000:00:01.2: USB HC TakeOver from BIOS/SMM ohci_hcd 0000:00:01.2: irq 11, pci mem 0xd0000 ohci_hcd 0000:00:01.2: new USB bus registered, assigned bus number 1 ohci_hcd 0000:00:01.2: resetting from state 'reset', control = 0x0 ohci_hcd 0000:00:01.2: enabling initreset quirk ohci_hcd 0000:00:01.2: OHCI controller state ohci_hcd 0000:00:01.2: OHCI 1.0, with legacy support registers ohci_hcd 0000:00:01.2: control 0x083 HCFS=operational CBSR=3 ohci_hcd 0000:00:01.2: cmdstatus 0x00000 SOC=0 ohci_hcd 0000:00:01.2: intrstatus 0x00000044 RHSC SF ohci_hcd 0000:00:01.2: intrenable 0x8000000a MIE RD WDH ohci_hcd 0000:00:01.2: hcca frame #0003 ohci_hcd 0000:00:01.2: roothub.a 01000203 POTPGT=1 NPS NDP=3 ohci_hcd 0000:00:01.2: roothub.b 00000000 PPCM=0000 DR=0000 ohci_hcd 0000:00:01.2: roothub.status 00008000 DRWE ohci_hcd 0000:00:01.2: roothub.portstatus [0] 0x00010301 CSC LSDA PPS CCS ohci_hcd 0000:00:01.2: roothub.portstatus [1] 0x00000100 PPS ohci_hcd 0000:00:01.2: roothub.portstatus [2] 0x00000100 PPS usb usb1: new device strings: Mfr=3, Product=2, SerialNumber=1 usb usb1: default language 0x0409 usb usb1: Product: Silicon Integrated Systems [SiS] USB 1.0 Controller usb usb1: Manufacturer: Linux 2.6.10 ohci_hcd usb usb1: SerialNumber: 0000:00:01.2 usb usb1: hotplug usb usb1: adding 1-0:1.0 (config #1, interface 0) usb 1-0:1.0: hotplug hub 1-0:1.0: usb_probe_interface hub 1-0:1.0: usb_probe_interface - got id hub 1-0:1.0: USB hub found hub 1-0:1.0: 3 ports detected hub 1-0:1.0: standalone hub hub 1-0:1.0: no power switching (usb 1.0) hub 1-0:1.0: global over-current protection hub 1-0:1.0: power on to power good time: 2ms hub 1-0:1.0: local power source is good hub 1-0:1.0: no over-current condition exists ohci_hcd 0000:00:01.2: created debug files hub 1-0:1.0: state 5 ports 3 chg ffff evt ffff usbcore: registered new driver hiddev ohci_hcd 0000:00:01.2: GetStatus roothub.portstatus [0] = 0x00010301 CSC LSDA PPS CCS hub 1-0:1.0: port 1, status 0301, change 0001, 1.5 Mb/s hub 1-0:1.0: debounce: port 1: total 100ms stable 100ms status 0x301 ohci_hcd 0000:00:01.2: GetStatus roothub.portstatus [0] = 0x00100303 PRSC LSDA PPS PES CCS usb 1-1: new low speed USB device using ohci_hcd and address 2 ohci_hcd 0000:00:01.2: GetStatus roothub.portstatus [0] = 0x00100303 PRSC LSDA PPS PES CCS usb 1-1: skipped 1 descriptor after interface usb 1-1: new device strings: Mfr=0, Product=2, SerialNumber=0 usb 1-1: default language 0x0409 usb 1-1: Product: USB OpticalWheel Mouse usb 1-1: hotplug usb 1-1: adding 1-1:1.0 (config #1, interface 0) usb 1-1:1.0: hotplug hub 1-0:1.0: port 2, status 0100, change 0000, 12 Mb/s hub 1-0:1.0: port 3, status 0100, change 0000, 12 Mb/s usbhid 1-1:1.0: usb_probe_interface usbhid 1-1:1.0: usb_probe_interface - got id input: USB HID v1.10 Mouse [USB OpticalWheel Mouse] on usb-0000:00:01.2-1 usbcore: registered new driver usbhid drivers/usb/input/hid-core.c: v2.0:USB HID core driver mice: PS/2 mouse device common for all mice input: AT Translated Set 2 keyboard on isa0060/serio0 Synaptics Touchpad, model: 1 Firmware: 4.6 180 degree mounted touchpad Sensor: 18 new absolute packet format Touchpad has extended capability bits -> four buttons -> multifinger detection -> palm detection input: SynPS/2 Synaptics TouchPad on isa0060/serio4
/etc/X11/XF86config-4配置文件中与鼠标配置相关的内容如下:
Section "InputDevice" Identifier "Configured Mouse" Driver "mouse" Option "CorePointer" Option "Device" "/dev/psaux" Option "Protocol" "Auto" Option "Emulate3Buttons" "true" Option "ZAxisMapping" "4 5" EndSection Section "InputDevice" Identifier "Generic Mouse" Driver "mouse" Option "SendCoreEvents" "true" Option "Device" "/dev/input/mice" Option "Protocol" "Auto" Option "Emulate3Buttons" "true" Option "ZAxisMapping" "4 5" EndSection ... Section "ServerLayout" Identifier "Default Layout" Screen "Default Screen" InputDevice "Generic Keyboard" InputDevice "Configured Mouse" #这里的两个Mouse设备标识名要对应上面 InputDevice "Generic Mouse" EndSection
配置内核支持图形化启动界面。以下网站http://www.bootsplash.org/有详细介绍。为了支持图形化启动界面,我们需为内核打补丁。我的内核版本是2.6.10。到http://www.bootsplash.de/files/下载与内核对应的补丁文件bootsplash-3.1.4-2.6.10.diff。用以下命令为内核源码打上该补丁:
# cd /usr/src/linux-2.6.10 # patch -p1 < bootsplash-3.1.4-2.6.10.diff
接着配置内核,选中以下选项,以下所有选项不能以内核模块形式编译,都要直接编译进内核:
Device Drivers --> Block Devices --> Initial RAM disk(initrd) support
Device Drivers --> Graphics Support --> VGA 16-color graphics support
Device Drivers --> Graphics Support --> VESA VGA graphics support
Device Drivers --> Graphics Support --> Console display driver support --> Framebuffer Console support
Device Drivers --> Graphics Support --> Bootsplash configuration --> Bootup splash Screen
该选项在打了内核补丁后才会出现。 |
File systems --> Miscellaneous filesystems --> Compressed ROM file system support (cramfs)
配置内核后就可以用上面介绍的方法重新编译内核了。下一步是安装bootsplash工具。把下面这句加到/etc/apt/source.list里。
deb http://www.bootsplash.de/files/debian/ unstable main
用以下方法安装:
# apt-get update # apt-get install bootsplash # apt-get install sysv-rc-bootsplash 该软件包启用进度条和动画
在配置bootsplash时会问你是否安装一个新的bootsplash主题替换已存在的主题。如果你是第一次安装,请选择none,这样将会自动生成一个/boot/initrd.splash映像,并设置一个默认的newlinux主题。
接下来要更新启动器了,我是用lilo的,配置内容如下:
default=Linux2.6.10 image=/boot/vmlinuz-2.6.10 label=Linux2.6.10 read-only initrd=/boot/initrd.splash #新增选项,指出映像文件 vga=791 #新增选项,设置显示像素1024X768 append="splash=verbose" #新增选项,设置显示模式为详细 # restricted # alias=1
vga的取值见下表:
Table 7.1.
Colors | 640X480 | 800X600 | 1024X768 | 1280X1024 |
---|---|---|---|---|
256(8 bit) | 769 or 0x301 | 771 or 0x303 | 773 or 0x305 | 775 or 0x307 |
32000(15 bit) | 784 or 0x310 | 787 or 0x313 | 790 or 0x316 | 793 or 0x319 |
65000(16 bit) | 785 or 0x311 | 788 or 0x314 | 791 or 0x317 | 794 or 0x31A |
16.7 Mill.(24 bit) | 786 or 0x312 | 789 or 0x315 | 792 or 0x318 | 795 or 0x31B |
791为十进制表示法,0x317为十六进制表示法。较旧的lilo不支持十六进制,需用十进制表示法。 |
运行lilo命令更新启动信息,重启电脑就可看到有底图的开机画面了。如果选择append="splash=silent",则不会显示启动信息,只会显示一幅开机图和一条进度条,就象Windows一样。
安装其它主题的方法也很简单,用apt-cache search bootsplash查出主题的名称再用apt-get安装即可,使用Debian就是方便。
用新内核重启时提示VFS不能挂接问题(由kennycx兄分享)
提示出错信息类似以下内容:
VFS:Cannot open root device "hdb2" or unknow-block(0,0) Please append a correct "root=" boot option kernel panic-not syncing: VFS:Unable to mount root fs on unknow-block(0,0)
以下是由网友提供的一些解决方法,以供参考:
原因一:ext2文件格式支持没有编译进内核,不论你使用ext3或其它文件格式,ext2支持都必须直接编译进内核,不能以内核模块形式编译。
原因二:如果使用initrd.img启动系统,则cromfs必须编译进内核。(由西安交通大学的张成分享)
使用Grub启动器代替LiLo启动。
首先用apt-get install gurb安装相关软件。
再用gurb-install /dev/hda命令在分区上创建启动信息。
使用update-grub命令自动生成menu.lst文件。
编辑/boot/grub/menu.lst文件以满足你的需求,最后重启计算机。
如果启动失败,可用Live系统(如Knoppix)或rescure模式启动计算机,再mount启动分区,chroot到故障系统来进行修复。 |
安装基本的X系统
# apt-get install x-window-system-core
安装GNOME桌面环境
# apt-get install gnome
到现在为止,我们已成功安装完成gnome桌面环境了,但桌面的语言环境默认是英文的,为了能显示中文,我们需安装中文字体和中文locales,开源的中文字体现在很少,且效果都不是很理想,所以Linux中文化还有很多工作要做。其中较好的有文鼎科技贡献的arphic TrueType字体,在Debian中字体包的名字分别是:
ttf-arphic-bkai00mp:文鼎PL中楷(Big5码)
ttf-arphic-bsmi00lp:文鼎PL细上海宋(Big5码)
ttf-arphic-gbsn00lp:文鼎PL简报宋(GB码)
ttf-arphic-gkai00mp:文鼎PL简中楷(GB码)
使用apt-get工具就可方便地安装,并能自动设置好Xft字体系统和X11核心字体系统。如果只是安装文鼎的字体,桌面中文字体的表现不佳,尤其是小字体,会出现模糊不清的情况。台湾的萤火飞(Firefly)在文鼎开源字体的基础上作了修改,形成文鼎PL新宋体(AR PL New Sung,fireflysung.ttf),令字体显示清晰很多,基本上可达到Windows上的效果。所以建议安装,安装方法如下:
把以下的deb源加到/etc/apt/source.list中:
deb http://apt.debian.org.tw unstable main
之后运行以下命令自动安装:
debian:~# apt-get update debian:~# apt-get install ttf-arphic-newsung
安装完成后就可使用该AR PL New Sung字体了。除了用apt-get工具安装外,我们还可手动安装。详细的安装方法可参考本文“XFree86中的字体”一章的内容。字体文件fireflysung.ttf可到http://www.study-area.org/apt/firefly-font/这个网址,或http://cle.linux.org.tw/fonts/FireFly/这个网址下载。
有版权的中文字体有很多,下面我以最常用的simsun字体为例介绍一下使用defoma(Debian Font Manager)工具安装的过程。全手动的安装过程请参考本文中的“XFree86中的字体”一章中的内容。
把windows系统中Fonts目录下的simsun.ttc拷贝到X系统的字体目录下。字体目录可以是/usr/share/fonts/,也可以是/usr/X11R6/lib/X11/fonts。我把simsun.ttc放到/usr/X11R6/lib/X11/fonts/truetype目录下。为方便管理字体,我需安装defoma字体管理程序。安装方法如下:
dfontmgr是defoma的GUI介面,可选安装。 |
#apt-get install defoma #apt-get install x-ttcidfont-conf 这个是truetype字体配置工具可自动生成fonts.dir和fonts.scale文件。 #apt-get install libft-perl libttf2 这些是字体管理需用到的函数库 #defoma-hints truetype simsun.ttc > simsun.hints 上面这个命令可生成simsum.hints文件,把该文件放到/etc/defoma/hints目录中。该文件的内容根据你的选择配置会有所不 同,下面内容与你实际生成的文件内容会有所区别: category truetype begin /usr/X11R6/lib/X11/fonts/truetype/simsun.ttc Family = Sim-Sun FontName = SimSun-Medium Encoding = Unicode Location = Chinese-China English Charset = ISO10646-1 GB2312 BIG5 ISO8859-1 UniCharset = GB2312 BIG5 ISO8859-1 GeneralFamily = SimSun Weight = Medium Width = Fixed Shape = Upright Alias = Sim-SunGB SimSunGB Foundry = Sim Priority = 20 X-Family = SimSun X-ElementAlias=foundry=default:family=simsun:resx=72:resy=72 TTCap = halfwidth-bw=0.5 italic-angle=0.167 no-roblique no-oblique no-ritalic end 注册字体: #defoma-font reregister-all simsun.hints 在/var/lib/defoma/x-ttcidfont-conf.d/dirs/TrueType目录会自动生成fonts.dir和fonts.scale文件,并建立一个到字体文件的链接。 如果要删除字体,请用以下命令,现在当然不用删除了。 #defoma-font unreregister-all simsun.hints
用apt-get install locales安装zh_CN.GB2312,zh_CN.GBK和zh_CN.UTF8三种中文编码环境。并设置UTF-8为系统默认编码
#apt-get install gdm安装Gnome的显示管理器,最后重启系统即可。显示管理器的作用是用来管理X会话,提供图形化的登录界面。
安装完GNOME后,在应用程序栏中有一个“Debian菜单”项,默认是空白的,什么菜单项也没有。这个“Debian菜单”栏是Debian系统特有的,它参考了一些窗口管理器(FVWM2)的菜单管理方式,设计成一个通用的Debian菜单管理系统,不论你使用什么桌面环境或窗口管理器,在“Debian菜单”栏中都能找到Debian系统所安装的软件。要使用该菜单,需安装menu软件包,并用update-meuns命令生成Debian菜单项。
第一次运行update-menus后,需重启X会话才能生成Debian菜单。 |
基本上每一个Debian系统的应用程序都会有一个菜单配置文件,用以定义该程序的菜单项名称、位置和命令行选项等参数。该配置文件一般位于/usr/lib/menu、/etc/menu或~/.menu目录下。下面是Gnumeric程序菜单项的配置文件格式示例:
?package(gnumeric):/ 定义软件包名,每条配置信息要在一行中写完,所以要用反斜杠续行 needs="X11"/ 定义该菜单项需在X11环境中使用 section="Apps/Math"/ 定义菜单项的路径位置 title="Gnumeric"/ 定义菜单项的标题 command="gnumeric" / 定义命令和选项 hints="Gnome,Spreadsheets" / 定义一些提示信息 icon="/usr/share/pixmaps/gnumeric.xpm" 定义菜单项的图标
该配置文件一般由Debian软件包管理者维护,在软件安装时通过软件配置脚本,把配置文件拷贝到相应的menu路径,并调用update-menus命令更新“Debian菜单”栏。这样,每安装一个新软件包,在“Debian菜单”栏就可找到它的菜单项了,且不受桌面系统或窗口管理器的限制,实现了统一的菜单界面接口。
有关Debian菜单系统的详细介绍可参考Debian的官方文档,位于http://www.nl.debian.org/doc/packaging-manuals/menu.html/index.html。
xfce是一个轻量级的桌面环境,可运行在多种类UNIX平台。它的口号是“让一切运行得更快”。它有自已的一套窗口管理器、文件管理器和面板管理器等组件。安装方法很简单,用以下命令安装即可:
debian:~# apt-get install xfce4
相关的依赖软件包都会自动安装,我是用startx命令启动X系统的。以前我在系统中安装了KDE,所以默认是进入KDE桌面环境。现在我要把默认的桌面环境切换到Xfce4。要实现该功能,我们只要使用update-alternatives命令把默认的窗口管理器换成Xfce4的即可。
可用以命令显示当前系统安装的窗口管理器:
debian:~# update-alternatives --display x-window-manager x-window-manager - status is manual. link currently points to /usr/bin/kwin /usr/bin/kwin - priority 50 /usr/bin/xfwm4 - priority 60 slave x-window-manager.1.gz: /usr/share/man/man1/xfwm4.1.gz Current `best' version is /usr/bin/xfwm4.
用以下命令设置:
update-alternatives --config x-window-manager There are 2 alternatives which provide `x-window-manager'. Selection Alternative ----------------------------------------------- 1 /usr/bin/kwin *+ 2 /usr/bin/xfwm4 Press enter to keep the default[*], or type selection number: 2 Using `/usr/bin/xfwm4' to provide `x-window-manager'.
用startx启动X系统时就会自动进入Xfce4桌面环境了,Xfce的Logo是一个奔跑的小老鼠,喻意小巧、快速。进入Xfce4桌面环境,我们可看到一个很简洁的桌面。屏幕顶部是一条任务栏,屏幕底部是一组快捷按钮。Xfce的中文支持做得不错,界面基本上都是中文的,使用起来很方便。要配置Xfce,我们可点击屏幕底部的“设置”快捷按钮来配置。它会打开一个Xfce配置管理器,可对Xfce桌面环境的窗口管理器、文件管理器和会话管理器等进行配置。通过右击桌面还可显示一个弹出菜单,Xfce所有的功能都可在这里配置和使用。
用过Xfce后,感觉它的菜单反应速度真的很快,基本上是即点即出。装载程序也比在KDE和GNOME里快了一点。喜欢简洁、快捷桌面环境的朋友赶快安装Xfce试一试吧。
NVIDIA显卡是现时市面上最常用的显卡,下面介绍在Debian系统中NVIDIA显卡驱动程序的安装方法。我的Linux内核是2.6.10,到NVIDIA的官方网站http://www.nvidia.com下载最新for linux IA32的驱动程序。我安装时的最新版本是Version 1.0-7174,下载的驱程文件名为NVIDIA-Linux-x86-1.0-7174-pkg1.run。这个版本的驱动可在2.6内核中正常工作,旧一些的版本在2.6内核的Linux系统中安装会出现问题。具体的安装过程如下:
修改驱动程序的文件属性为可执行。
debian:~# chmod +x NVIDIA-Linux-x86-1.0-7174-pkg1.run
退出X Window到多用户环境下的字符终端模式。在驱动程序所在目录下输入以下命令开始驱动程序的安装。
debian:~/inst# ./NVIDIA-Linux-x86-1.0-7174-pkg1.run
安装完成后,修改/etc/X11/XF86config-4文件。在修改前最好把源文件备份一下。
把显示驱动设置章节的内容改成: Section "Device" Identifier "Generic Video Card" Driver "nvidia" EndSection 修改加载模块设置章节的内容,确保加载了以下模块 Load "glx" 并取消以模块的加载 Load "dri" Load "GLcore"
重启X Window,使驱动生效。如果成功安装,在启动X Window时会出现NVIDIA的标志。进入系统后也可用lsmod命令列出加载的nvidia模块信息。
在/usr/share/doc/NVIDIA_GLX-1.0目录下的README文件中有nvidia驱动程序的安装说明和配置说明。在安装NVIDIA驱动程序时,最好先浏览一下该文档。我们还可通过nvidia-settings程序来调整显卡的参数。
参考http://www.xfree86.org/4.4.0/里的Mouse Support in XFree86一章的内容,配置XF86Config-4文件,内容如下:
Section "InputDevice" Identifier "Configured Mouse" Driver "mouse" Option "CorePointer" Option "Device" "/dev/ttyS0" Option "Protocol" "IntelliMouse" Option "Emulate3Buttons" "true" Option "ZAxisMapping" "4 5" EndSection
关键是要选对Protocol,不要用Auto。可手工配置/etc/X11/XF86config-4文件,也可用dpkg-reconfigure xserver-xfree86命令自动配置。配置后重启X服务器使配置生效。串口鼠标的滑轮可正常工作,左右键同时按可粘贴鼠标选中的内容,相当于Ctrl+v的复制功能。
Protocol不能设为“Auto”,否则,滑轮不能正常使用。 |
中文字体模糊不清的原因是字体配置不好引起的,有关X window的字体系统在上面已讲过,这里就不再细讲了。现在多数的程序都支持Xft字体系统的fontconfig库,所以调整该字体系统就可使程序达到很好的显示效果。具体调整方法是把以下代码加入到~/.fonts.conf中的<fontconfig>和</fontconfig>元素内。Xft字体的配置文件有三个,其中/etc/fonts/local.conf是本地字体配置文件,我们可在该文件内添加或修改字体配置,但好象新版的Xft的配置文件又有了变化,不使用local.conf文件了。fonts.conf是系统级的字体配置文件,一般不要修改该文件,它通过include指令应用local.conf文件里的配置信息。~/.fonts.conf是用户级字体配置文件,优先级最高。
~/.fonts.conf默认是没有的,我们可参照/etc/fonts/local.conf手工创建或直接拷贝该文件。 |
<!--my fonts additions configure--> <!-- 关闭所有10至15号字体的抗锯齿功能--> <match target="font" > <test compare="more" name="pixelsize" qual="any"> <double>10</double> </test> <test compare="less" name="pixelsize" qual="any"> <double>15</double> </test> <edit mode="assign" name="antialias" > <bool>false</bool> </edit> </match> <!-- 调整文字间距过大问题 --> <match target="font"> <test target="pattern" name="lang" compare="contains"> <string>zh-tw</string> <string>zh-cn</string> <string>ja</string> <string>ko</string> </test> <edit name="spacing"> <const>proportional</const> </edit> <edit name="globaladvance"> <bool>false</bool> </edit> </match> <!-- 重排字体显示的优先级,使中英文字体更美观,排在最前面的字体会优先显示,如果没有该字体,则使用下一行的字体,以次类推。 --> <alias> <family>serif</family> <prefer> <family>Bitstream Vera Serif</family> <family>Times New Roman</family> <family>Times</family> <family>AR PL New Sung</family> <family>AR PL Mingti2L Big5</family> <family>AR PL SungtiL GB</family> <family>Ming(ISO10646)</family> <family>SimSun</family> <family>Kochi Mincho</family> <family>Baekmuk Batung</family> </prefer> </alias> <alias> <family>sans-serif</family> <prefer> <family>Bitstream Vera Sans</family> <family>Arial</family> <family>Verdana</family> <family>Helvetica</family> <family>AR PL New Sung</family> <family>Ming(ISO10646)</family> <family>AR PL kaitiM Big5</family> <family>AR PL kaitiM GB</family> <family>Kochi Gothic</family> <family>Baekmuk Dotum</family> </prefer> </alias> <alias> <family>monospace</family> <prefer> <family>Bitstream Vera Sans Mono</family> <family>Courier New</family> <family>Courier</family> <family>AR PL New Sung</family> <family>Ming(ISO10646)</family> <family>Kochi Mincho</family> <family>Baekmuk Batung</family> </prefer> </alias>
Firefox是基于Mozilla的一种轻便型Web浏览器,以快速、灵活和功能强大而深得自由软件爱好的青睐。在Debian中有现成的deb软件包,安装很简单方便。用以下命令即可完成Firefox中文版的安装:
debian:~# apt-get install mozilla-firefox mozilla-firefox-locale-zh-cn
界面字体配置:Firefox是一个GTK+2程序,所以有关Firefox菜单界面的字体配置可参考GTK+2程序字体配置进行配置。
网页显示字体配置:进入”编辑--首选项--基本信息--字体和颜色“菜单路径设置即可。要网页显示的字体好看和清晰关键是配置好Debian系统的中文字体显示。可参考本学习笔记的相关内容。
支持Java的配置:
首先要在firefox中启用java支持功能,在”编辑--首选项--网页特性“路径下把”启用java“这个选项选上。
接着配置java的插件,下面介绍的是手动配置的方法,如果我们使用上面介绍的Debian方式安装java软件包的话,则这些链接已自动建立好了,不用手工配置的。这里介绍手工配置方式主要是想说明java插件在Foxfire中的配置原理。在正确安装Java运行环境的前题下,进入/usr/lib/mozilla-firefox/plugins/目录。运行以下命令生成到java插件的一个链接:
debian:/usr/lib/mozilla-firefox/plugins# ln -s /usr/lib/j2re1.5-sun/plugin/i386/ns7/libjavaplugin_oji.so
如果你有使用Debian的alternatives配置系统,则在/etc/alternatives目录下应该已有一个firefox-javaplugin.so链接文件指向/usr/lib/j2re1.5-sun/plugin/i386//ns7/libjavaplugin_oji.so。所以在这里你只需建一个指向该链接的链接即可。如:
debian:/usr/lib/mozilla-firefox/plugins# ln -s /etc/alternatives/firefox-javaplugin.so libjavaplugin.so
是不是很复杂,其实归根到底就是要在/usr/lib/mozilla-firefox/plugins目录下建一个到/usr/lib/j2re1.5-sun/plugin/i386/ns7/libjavaplugin_oji.so链接。
支持在线pdf文件显示:
以Adobe Reader 7.0 for Linux软件提供的pdf插件为例进行说明。同样,在配置前需完成Adobe Reader 7.0 for Linux软件包的安装,并确保acroread命令所在路径包含在系统环境的搜索路径中,也就是说能在系统任何路径中打acroread命令都能正常启动程序。我的acroread是安装在/usr/local/Adobe/Acrobat7.0/bin目录下的,所以我要把它拷贝到/usr/bin目录下。
acroread的pdf插件位于/usr/local/Adobe/Acrobat7.0/Browser/intellinux目录下,名为nppdf.so。用以下命令在firefox的插件目录创建一个到该文件的链接即可,如:
debian:/usr/lib/mozilla-firefox/plugins# ln -s /usr/local/Adobe/Acrobat7.0/Browser/intellinux/nppdf.so
安装好插件后,如果用firefox点击一个网页中的pdf文件链接,firefox会自动调用acroread程序来显示该pdf文件。
访问http://toolbar.google.com网址可以安装Google ToolBar工具。
在FireFox中,可在地址栏打上about:加配置关键字来配置FireFox或者显示一些信息。下面列出一些常用的关键字,以供参考:
about: -- 显示FireFox版本信息。
about:config -- 配置FireFox的所有参数。
about:credits -- 显示开发者及对Mozilla作出贡献的人。
about:blank -- 打开一个空白页面。
about:buildconfig -- 显示FireFox的编译时的参数。
about:cache -- 这个不用介绍了吧,显示缓存内容。
about:plugins -- 显示已安装的插件信息。
about:mozilla -- 显示Mozilla宣言。
默认情况下,Firefox左上角的Google搜索栏不能直接打入关键字进行搜索,而是直接链接到google的主页上,很多人都不喜欢这种设置,也包括我自己啦。下面让我们修改一下Firefox的配置,使我们能在搜索栏上直接搜索。首先,在地址栏上打入about:config进入配置面页,过滤google关键字可找到两个选项,分别是:browser.search.param.Google.1.custom和browser.search.param.Google.1.default。把这两个选项的值都删掉。现在,我们就可在搜索栏直接用google进行搜索。
现在Google已提供Firefox的Toolbar插件,在Toolbar中就可直接搜索了,Firefox自带的搜索栏都很少用了。
firefox可通过Extension扩展自身的功能,现在网上已有大量的扩展套件可供下载。每个扩展套件是使用XUL开发的xpi程序,在网上点击即可安装。下面介绍我接触和使用过的一些套件。
Google Toolbar,Google工具栏。下载地址:http://toolbar.google.com/
Web Developer Extension,Web开发者工具栏,可实时控制CSS、图片、cookies等元素,是网页设计师的必备套件。下载地址:http://chrispederick.com/work/webdeveloper/
sage,一个RSS阅读器扩展套件。下载地址:http://sage.mozdev.org/
ScrapBook,抓取网页的工具,可把喜欢的页面保存下来。http://amb.vis.ne.jp/mozilla/scrapbook/
在Debian系统中暂时还没有acroread包,所以我们需到Adobe网站下载源码或rpm文件安装。下载的地址是:ftp://ftp.adobe.com/pub/adobe/reader/unix/7x/7.0/。我下载的是rpm包,用rpm -ivh安装即可。默认它是安装在/usr/local/Adobe/Acrobat7.0目录。
rxvt是一个功能强大的的终端,它占用资源少,启动速度快,很多人都喜欢使用它。所以我在这里介绍一下Debian系统中rxvt中文终端的安装。在Debian中有很多个rxvt包,可用apt-cache search rxvt命令查询。主要有以下三类,一个就叫rxvt,不支持中文显示;一个叫rxvt-ml,支持GB和BIG5中文编码;还有一个叫rxvt-unicode,支持unicode编码。第一种不支持中文,这里就不讨论了。下面分别讨论rxvt-ml和rxvt-unicode两种rxvt终端的安装。
在使用rxvt中文终端前,需先把GNOME或KDE桌面的中文环境配置好。这样才能在rxvt中正常显示中文和使用中文输入法(我用fcitx)。 |
安装rxvt-ml
debian:~# apt-get install rxvt-ml
安装完成后,在/usr/bin目录下会生成几个rxvt程序,分别是crxvt crxvt-big5 crxvt-gb grxvt krxvt 和一个指向/etc/alternatives/rxvt的链接文件rxvt。这六个程序分别对应不同的语言编码环境,crxvt-gb用于中文GB编码环境;crxvt-big5用于大五码编码环境;krxvt用于日文环境,我测试过,krxvt也可用于中文环境;grxvt用于greek键盘环境;crxvt也是用于大五码环境;rxvt链接默认指向krxvt。
对于我们来说,只需使用crxvt-gb这个程序就可以了。为了能正常显示中文,我们需把locale环境配置成zh_CN.GB2312。具体配置方式可参见GNOME和KDE桌面环境中的locale配置。重启X会话使locale生效,这样就可用crxvt-gb使用rxvt中文终端了。
安装rxvt-unicode
debian:~# apt-get install rxvt-unicode
安装完成后,直接运行rxvt或rxvt-unicode即可,对locale好象没有什么要求。rxvt-unicode还有两个程序,一个是urxvtd(daemom),一个是urxvtc(client)。通过这对程序可用一个线程打开任意多个终端窗口,大大提高程序启动的速度,并有效减少内存的占用。rxvt-unicode可支持多国语言,但程序启动比crxvt-gb慢好多,而且对中文字符的支持也不是太好,比如全角的双引号,在rxvt-unicode中会变得很大,很不协调。所以功能和性能,不可能两全其美哦。
rxvt的配置选项是很丰富的,你可通过命令行或X资源文件来配置。命令行方式只能一次性改变rxvt的设置,如:
debian:~# rxvt -fn 8X16 -fg black -bg white 上句的设置表示使用8X16的字体,终端屏幕为白底黑字。
有时我想把调整好的配置保存起来,不用每次都在命令行输入大量的配置信息。这时我们可以用X系统的资源文件~/.Xresources,如果用户主目录如没有可自行创建。内容如下:
! my rxvt setting Rxvt.background:black Rxvt.foreground:white Rxvt.colorBD:yellow Rxvt.colorUL:green Rxvt.multichar_encoding:gb2312 Rxvt.scrollBar:True Rxvt.scrollBar_right:True Rxvt.scrollBar_floating: False Rxvt.scrollstyle: next Rxvt.saveLines:1500 Rxvt.color0:black Rxvt.color1:red Rxvt.color2:#3a5da3 Rxvt.color3:#4b76cc Rxvt.color4:RoyalBlue4 Rxvt.color5:magenta Rxvt.color6:#a1b5dd Rxvt.color7:#8a95aa Rxvt.color8:#616668 Rxvt.color9:#075982 Rxvt.color10:#0f82bc Rxvt.color11:#13a9f4 Rxvt.color12:SkyBlue2 Rxvt.color13:#63c2f2 Rxvt.color14:#6caccc Rxvt.color15:#dbeff9 Rxvt.font:-b&h-lucidatypewriter-medium-r-normal-*-14-*-*-*-*-*-iso8859-* Rxvt.mfont:-*-*-medium-r-normal-*-16-*-*-*-c-*-gb*-* Rxvt.menu:/etc/X11/rxvt.menu Rxvt.preeditType:Root
在rxvt-unicode中资源文件的名称前缀改为rxvt,而不是Rxvt。 |
修改完资源文件后,需运行以下命令使配置生效,或重启X会话。一般我们选择前者:
debian:~# xrdb .Xresources
rxvt的配置参数有很多,可使我们定置出个性化的终端。详细的参数可查询man页或用rxvt --help列出。配置很简单方便的,有兴趣的朋友可测试一下。我在这里就不一一介绍了。
GNOME和KDE环境下rxvt中文终端的设置方式是一样的。 |
fcitx输入法在rxvt中好象不能通过设置单击L_SHIFT键进行中英文切换,只能设置“双击中英文切换=1”,通过双击L_SHIFT进行中英文切换。
KDE是一个强大的桌面环境,用QT开发,发展到现在,已与Windows平台十分地相似,使用起来十分方便。下面介绍在Debian下安装中文KDE桌面环境的过程
首先,我们需安装x-window系统,与安装gnome桌面环境一样:
debian:~# apt-get install x-window-system-core
接着就可安装kde系统,为了减少不必要的软件包,我只安装了KDE的核心软件包:
debian:~# apt-get install kde-core
好了,现在基本的kde环境已安装好,我们可用startx命令启动它。现在的kde是英文环境的。接下来我们要安装kde的国际化包kde-i18n-zh*,这里用星号表示安装所有的中文国际化软件包,你也可根据实际情况选择。这些国际化软件包里包含了KDE桌面环境的中文显示信息。
debian:~# apt-get install kde-i18n-zh*
在kde中要显示中文还要安装中文字体。有关字体的安装请参照上一节“安装gnome中文桌面环境”中有中文字体安装的内容。这里就不再介绍了。装完中文字体后,就可在KDE“控制中心”-->“区域和辅助功用”-->“国家/地区和语言”里添加中文语言,记住,要把中文语言放到第一位。这样,英文的KDE桌面环境就变成中文的了。
安装中文locales,方法同GNOME桌面系统。
开源软件都是跨平台的,在KDE中我们也可使用GNOME平台(基于GTK+)的程序,如firefox。在Debian系统的KDE中有一个软件包叫gtk2-engines-gtk-qt,可帮我们在KDE平台下管理GTK+程序的主题和字体配置,使GTK+程序就就像QT程序一样方便地进行配置。该套软件包中的主题配置引擎叫GTK-Qt Theme Engine,是由Freedesktop.org维护的,Freedesktop.org通过开发软件和制定标准,志在消除各X window桌面平台间的差异。GTK-Qt Theme Engine的网址是:http://www.freedesktop.org/wiki/Software_2fgtk_2dqt。在KDE中安装和配置gtk2-engines-gtk-qt软件包的方法如下:
用以命令安装gtk2-engines-gtk-qt软件包:
debian:~# apt-get install gtk2-engines-gtk-qt
安装完成后,就可在KDE的“控制中心”-->“外观和主题”-->“GTK Styles and Fonts”中配置GTK+程序的主题和字体。通过该工具,GTK+程序就可使用QT丰富的主题,并可在控制中心中方便地修改GTK+程序的字体。
这里以KDE环境为例说明,GNOME和其它桌面环境也大同小异。我安装了kde-core软件包,所以只有基本的kde系统,很多功能还没有,要手工配置,其中多媒体声音系统就是其中之一。我是以2.6.10内核,ES1371声卡为例进行说明的,具体的安装步骤如下:
首先是要编译内核,我选用了较新的Advanced Linux Sound Architechture(ALSA)系统,取消Open Sound System(OSS)系统。并在ALSA下选择你的声卡驱动,把它编译进内核。用这个新内核启动系统。
进入KDE桌面环境后,用以下命令安装alsa-base和kmix软件包,alsa-base软件包提供alsa声音系统所需的软件支持,alsa-utils提供一个alsa系统管理工具集。kmix是一个KDE的混音器,用以调节音量。GNOME的混音器包含在GStreamer多媒体架构中:
如果是KDE环境,用以下命令安装:
debian:~# apt-get install alsa-base alsa-utils kmix
如果是GNOME环境,用以下命令安装:
debian:~# apt-get install libgstreamer0.8-0 gstreamer0.8-alsa
安装完相关软件后,要运行以下命令配置alsa系统:
debian:~# alsaconf
按提示选择你的声卡。如果选择正确,最终将显示成功配置alsa系统的提示信息。
最后,就可用kmix或gstreamer调节音量,这样就可在kde控制中心的多媒体配置中进行声音测试了。如果是GNOME的话可在“应用程序”--“桌面首选项”--“音效”里进行测试。
minicom是一个串口通信工具,就像Windows下的超级终端。可用来与串口设备通信,如调试交换机和Modem等。它的Debian软件包的名称就叫minicom,用apt-get install minicom即可下载安装。
第一次运行minicom时会提示没有默认的配置文件,但不影响使用。进入minicom程序后会自动连接串口设备,我连接的串口设备是实达捷豹2000。如果成功连接,则显示OK和一些初始化信息。如:
Welcome to minicom 2.1 OPTIONS: History Buffer, F-key Macros, Search History Buffer, I18n Compiled on Dec 9 2004, 08:45:12. Press CTRL-A Z for help on special keys OK AT S7=45 S0=0 L1 V1 X4 &c1 E1 Q0 OK
在这个状态下我们就可用Modem的AT命令与modem交互。如:
at&v #显示配置表 ---ACTIVE PROFILE--- B0 L2 M1 X4 W2 N1 E1 Q0 V1 T &O0 &Q0 &P0 &Y0 &J0 &R1 &D2 &C1 &S0 &U0 &K3 /N5 /V S0:0 S1:0 S2:43 S3:13 S4:10 S5:8 S6:6 S7:60 S8:2 S9:6 S10:14 S11:95 S12:100 S13 ---STORED PROFILE 0--- B0 L2 M1 X4 W2 N1 E1 Q0 V1 T &O0 &Q0 &P0 &Y0 &J0 &R1 &D2 &C1 &S0 &U0 &K3 /N5 /V S0:0 S2:43 S3:13 S4:10 S5:8 S6:6 S7:60 S8:2 S9:6 S10:14 S11:95 S12:100 S19:0 S2 ---STORED PROFILE 1--- B0 L2 M1 X4 W2 N1 E1 Q0 V1 T &O0 &Q0 &P0 &Y0 &J0 &R1 &D2 &C1 &S0 &U0 &K3 /N5 /V S0:0 S2:43 S3:13 S4:10 S5:8 S6:6 S7:60 S8:2 S9:6 S10:14 S11:95 S12:100 S19:0 S2 ---TELEPHONE NUMBER--- &Z0= &Z1=96169 &Z2=2025819220065 OK atdt96169 #拔96169 CONNECT 48000/V42BIS ********************************* * Quidway A8010 Internet Server * * welcome!! * ********************************* please input username:1 please input password:* Entering PPP mode. Async interface address is unnumbered(Ethernet0) Header compression will match your system. Your IP address is: 218.20.82.129 MTU is 1500 bytes
要挂机的话可先按Ctrl+A切换到命令模式,再H键。当屏幕很花时,在命令模式下按C键可清屏。AT命令还有很多,下面给出一些常用的以供参考。
AT&F 恢复出厂设置 ATZ0 软复位 AT&V 显示配置表 AT&W0,1 存写配置表0,1 ATDT96169 音频拔号96169 AT&Z0=96169 保存电话号码到Z0位置,从配置表可查看位置信息 ATDS 0 拔第一个位置的号码 AT&S0=0 禁止自动应答功能 AT&S0=N(1-255) 振铃N次后自动应答 ATM0 关闭扬声器声音 ATM1 接收载波时(拔通后)关闭扬声器声音 ATM2 扬声器一直处于开状态 ATM3 正在接收载波和拔号时关闭扬声器声音 ATL1,2,3 设置扬声器的音量
默认的minicom配置文件位于/etc/minicom目录下,文件名为minirc.dfl。
一般来说,在使用minicom前需进行配置,以便正确连接串口设备。有两种方式可配置minicom,一种是用minicom -s命令直接从命令行进入配置菜单;另一种方式是用不带参数的minicom命令进入minicom后,在命令模式中配置。minicom的命令模式可Ctrl+A进行切换。按Z键可查看所有的命令。按O键,可进入minicom的配置菜单。在这里我们可配置上传下载文件保存的路径、串口的参数、拔号参数等。配置完成后,可用Save setup as..菜单把配置参数以文件的形式保存起来,下次就可直接用minicom filename命令调用该参数文件了。用Save setup as dfl命令可把配置存在minirc.dfl这个默认配置文件中。
minicom的使用不难,关键是要先了解你所连接串口设备的参数。用man minicom可查看详细的帮助。
Modem拔号网络的速度慢,但在一些环境下还是很有用。如传真和点对点连接。下面这篇有关Modem设置的文章就是我在配置Fax服务器时记录下来。
在配置拔号网络前,请先用上面介绍的Minicom工具与Modem通信,确定Modem在Linux下能正常工作。Modem拔号采用PPP协议与远程的拔号服务器建立连接。在Debian系统下,有一个叫pppconfig配置可帮助我们快速配置pppd拔号网络。运行pppconfig,按向导一步下配置下去就可以了。配置完成保存后,在/etc/ppp/peers目录下会生成一个配置文件,默认是provider。用以下命令启动拔号连接:
debian:~# pon provider #如果你的连接名不是provider,请用你所起的连接名代替
用以下命令可查看连接日志:
debian:~# plog Aug 29 09:54:01 debian pppd[1708]: sent [IPCP ConfReq id=0x3 <addr 218.20.81.4> <ms-dns1 61.144.56.101> <ms-dns3 202.96.128.86>] Aug 29 09:54:01 debian pppd[1708]: rcvd [IPCP ConfAck id=0x3 <addr 218.20.81.4> <ms-dns1 61.144.56.101> <ms-dns3 202.96.128.86>] Aug 29 09:54:01 debian pppd[1708]: Cannot determine ethernet address for proxy A RP Aug 29 09:54:01 debian pppd[1708]: local IP address 218.20.81.4 Aug 29 09:54:01 debian pppd[1708]: remote IP address 218.20.64.62 Aug 29 09:54:01 debian pppd[1708]: primary DNS address 61.144.56.101 Aug 29 09:54:01 debian pppd[1708]: secondary DNS address 202.96.128.86 Aug 29 09:54:01 debian pppd[1708]: Script /etc/ppp/ip-up started (pid 1711) Aug 29 09:54:02 debian pppd[1708]: Script /etc/ppp/ip-up finished (pid 1711), status = 0x0
用以下命令关闭连接:
debian:~# poff
用以下命令显示连接状态信息:
debian:~# pppstats IN PACK VJCOMP VJUNC VJERR | OUT PACK VJCOMP VJUNC NON-VJ 9532 145 0 0 0 | 97 5 0 0 5
另外一种方法是利用wvdial这个拔号工具实现Modem拔号上网。操作方法也很简单,先下载wvdial软件包:
debian:~# apt-get install wvdial
下载完软件后会自动运行wvdial的配置程序,要求输入电话号码、用户名和密码。配置程序会自动检测你的Modem并生成/etc/wvdial.conf文件。文件内容如下:
[Dialer Defaults] #默认的拔号设置,可设置多个Dialer Phone = 96169 Username = 1 Password = 1 New PPPD = yes Modem = /dev/ttyS0 Baud = 115200 Init1 = ATZ Init2 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0 ISDN = 0 Modem Type = Analog Modem
当然,我们也可手动运行wvdialconf这个配置程序,如:
debian:~# wvdialconf /etc/wvdial.conf Scanning your serial ports for a modem. ttyS0<*1>: ATQ0 V1 E1 -- OK ttyS0<*1>: ATQ0 V1 E1 Z -- OK ttyS0<*1>: ATQ0 V1 E1 S0=0 -- OK ttyS0<*1>: ATQ0 V1 E1 S0=0 &C1 -- OK ttyS0<*1>: ATQ0 V1 E1 S0=0 &C1 &D2 -- OK ttyS0<*1>: ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0 -- OK ttyS0<*1>: Modem Identifier: ATI -- TP560 Data/Fax/Voice 56K Modem ttyS0<*1>: Speed 4800: AT -- OK ttyS0<*1>: Speed 9600: AT -- OK ttyS0<*1>: Speed 19200: AT -- OK ttyS0<*1>: Speed 38400: AT -- OK ttyS0<*1>: Speed 57600: AT -- OK ttyS0<*1>: Speed 115200: AT -- OK ttyS0<*1>: Max speed is 115200; that should be safe. ttyS0<*1>: ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0 -- OK Found a modem on /dev/ttyS0. Modem configuration written to /etc/wvdial.conf. ttyS0<Info>: Speed 115200; init "ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0"
配置完成后,用wvdial命令启动拔号:
debian:~# wvdial #启动默认拔号器,如有多个拔号器,可用wvdial dialer格式指定 --> WvDial: Internet dialer version 1.53 --> Initializing modem. --> Sending: ATZ ATZ OK --> Sending: ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0 ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0 OK --> Modem initialized. --> Sending: ATDT96169 --> Waiting for carrier. ATDT96169 CONNECT 45333/V42BIS --> Carrier detected. Waiting for prompt. ********************************* * Quidway A8010 Internet Server * * welcome!! * ********************************* please input username: --> Looks like a login prompt. --> Sending: 1 --> Don't know what to do! Starting pppd and hoping for the best. --> Starting pppd at Tue Aug 30 11:11:39 2005 --> pid of pppd: 1858
出现以上信息说明pppd连接成功,用ifconfig可以查看到一个ppp0的连接。
远程维护能有效减轻系统管理员的工作强度,并能提高管理效率。所以公司一般都会设置有VPN服务器以支持远程安全登录。现在的VPN服务器一般都同时支持pptp和IPSec两种协议,在Debian中我们可通过pptp client连接远程VPN服务器。pptp client是一种开源的pptp客户端,位于http://pptpclient.sourceforge.net/,网站上有pptp client的详细介绍。要使用pptp client,我们可手工安装配置,也可通过图形化的配置工具来进行安装和配置。安装方法如下:
用以下命令安装pptp client软件
# apt-get install pptp-linux
成功安装pptp软件后,就可进行配置了。有两种方法进行配置,一种是手动配置,在我写的“GNU/Linux问题集”里有详细介绍。另一种是通过图形界面配置工具pptpconfig进行配置,它是一个PHP脚本。安装方法如下:
把以下内容添加到你Debian系统的资源列表中,它位于/etc/apt/sources.list。
# James Cameron's PPTP GUI packaging deb http://quozl.netrek.org/pptp/pptpconfig ./
更新系统软件包信息
# apt-get update
安装pptpconfig软件包
# apt-get install pptpconfig
安装时Debian会把pptpconfig所依赖的其软件包都一起安装。
配置连接参数
server标签依次填上本地连接名,服务器名或IP,域(可选),用户名和密码。
Routing标签用来设置路由信息。可用"xxx.xxx.xxx.xxx/xx"的形式增加新的路由。我增加了一条到192.168.3.0/24的路由,以访问该网段。routing style选All to Tunnel,可改变本机的缺省路由,使本机的所有的网络流量都通过该通道。
DNS标签用来设置建立pptp连接后如何进行名称解析。不启用自动配置,将使用手工输入的DNS服务器代替/etc/resolv.conf里的名称服务器进行名称解析。启用自动配置,将会用拔号自动获得的DNS服务器替代/etc/resolv.conf里的DNS服务器,两种方式/etc/resolv文件都会被pptpconfig自动备份。连接断开后,pptpconfig会自动恢复旧有/etc/resovl.conf文件。
Encryption标签用于设置加密信息。
Miscellaneous标签可配置一些调试信息和连接状态。
pptpconfig是GTK+程序,需在X window环境下才能运行。但有时我们会在字符终端模式下启用SSH连接,以进行远程维护。这时我们要用到pon、poff程序。pon用于VPN拔号,poff用于断开VPN连接。要正常使用这两个程序,前提是要按上面的配置方法成功配置了一个VPN连接。假设我们已建立了一个名为remote的VPN连接,则可用以下命令连接VPN服务器。
debian:~# pon remote # 建立一个VPN连接 debian:~# plog # 查看VPN连接状态信息 #如要访问另一网段192.168.3.0,需为这个VPN通道添加一条到192.168.3.0网段的路由信息 debian:~# route add -net 192.168.3.0 netmask 255.255.255.0 dev ppp1 debian:~# poff remote # 断开VPN连接
remote这个VPN连接的信息主要存放在两个文件中,分别是/etc/ppp/chap-secrets和/etc/ppp/peers/remote。如果没有pptpconfig这个图形化配置工具,我们也可参考这两个文件的配置格式,手工配置。
/etc/ppp/chap-secrets文件示例:
# +++ pptpconfig added for tunnel remote username remote password * # --- pptpconfig added for tunnel remote
/etc/ppp/peers/remote文件示例:
# tunnel remote, written by pptpconfig $Revision: 1.2 $ # name of tunnel, used to select lines in secrets files remotename remote # name of tunnel, used to name /var/run pid file linkname remote # name of tunnel, passed to ip-up scripts ipparam remote # data stream for pppd to use pty "pptp 211.111.60.18 --nolaunchpppd " # domain and username, used to select lines in secrets files name username persist # do not require the server to authenticate to our client noauth # end of tunnel file
使用时需用真实的username和password代替配置文件中这两项内容。
自动加载方式:
编辑/etc/fstab文件,把原来的
/dev/hda2 /mnt/hda2 vfat auto,users,exec 0 0 /dev/hda5 /mnt/hda5 ntfs auto,users,exec,ro,umask=000 0 0
改成
/dev/hda2 /mnt/hda2 vfat iocharset=gb2312,users,exec 0 0 /dev/hda5 /mnt/hda5 ntfs iocharset=gb2312,users,exec,ro,umask=000 0 0
手工加模式:
在shell下输入以下命令
# mount /dev/hda2 /mnt/hda2/ -t vfat -o iocharset=gb2312 # mount /dev/hda5 /mnt/hda5/ -t ntfs -o iocharset=gb2312
如果你要挂接的Windows分区是ntfs分区,而Linux系统采用的locale是zh_CN.GB2312或zh_CN.GBK,分区成功挂接后,会出现一些中文文件名的文件不能识别文件类型的情况。解决办法是把Linux的locale换成zh_CN.UTF-8。在挂接分区时把iocharset参数的值由gb2312换成utf8即可。
Debian官方没有维护专门的Java软件包,所以不能直接用apt-get工具来安装。在Debian系统中要安装Java,有两种方式,一种是用传统方式;一种是Debian方式。下面分别介绍:
传统方式:
到SUN官方网站下载最新jre包,我下载的是jre-1_5_0_01-linux-i586.bin,并把该文件的属性改成可执行,直接执行该文件。
debian:~/inst# chmod +x jre-1_5_0_01-linux-i586.bin debian:~/inst# ./jre-1_5_0_01-linux-i586.bin
程序运行后会当前目录下生成一个名为jre1.5.0_01的目录。
把该目录拷贝到/usr/local/jre1.5.0_01,并在你的系统初始化脚本中增加以下两个环境变量。在我的系统中,我把这两句放到~/.gnomerc文件中。
export CLASSPATH="/usr/local/jre1.5.0_01/lib" export JAVA_HOME="/usr/local/jre1.5.0_01"
重启系统或手工执行以上两个export命令后,就可使用java命令了,你可用java -version命令进行测试。使用传统方式安装的java没有归并到Debian软件包体系中,所以在Debian的软件包数据库中不会存在java的依赖关系信息。且不能用Debian的软件包管理程序进行管理,只能手工维护。也就是说,如果我们要删除java,只能手工删除目录和环境变量。
Debian方式(推荐):
我们可以通过java-package包提供的make-jpkg程序,从SUN官方的java软件包生成一个Debian软件包。java-package软件包可通过apt-get命令安装。
debian:~# apt-get install java-package
下载官方的java软件包,并用以下命令生成Debian格式的java软件包。注意,make-jpkg程序不能在root环境下运行,我们要使用fakeroot程序。
debian~:# cp jre-1_5_0_01-linux-i586.bin /home/jims/. debian~:# chown jims /home/jims/jre-1_5_0_01-linux-i586.bin debian~:# su - jims jims@debian:~$ fakeroot make-jpkg jre-1_5_0_01-linux-i586.bin
程序运行完成后,在当前目录下就会生成一个Debian软件包sun-j2re1.5_1.5.0+update01_i386.deb。
以root身份安装该软件包。
debian~:# dpkg -i sun-j2re1.5_1.5.0+update01_i386.deb
最后设置java的环境变量。
export CLASSPATH="/usr/lib/j2re1.5-sun/lib/" export JAVA_HOME="/usr/lib/j2re1.5-sun/"
用java -version进行测试。用这种方式安装的java会把java软件包的相关信息储存在Debian软件包数据库,可用apt-get工具进行管理。如果要删除java,只要运行以下命令即可。
debian:~# apt-get --purge remove sun-j2re1.5
建议使用Debian方式安装java,这样其它依赖于Java的Debian软件包才能被正常安装。
在Linux环境下,如果Java的字体设置不对,Java程序会把中文显示成一些方框符号或问号。为了使基于Java的程序能正常显示中文,需进行字体配置 。下面是在Debian环境下的配置方法,其它发行版的修改方法也一样,只是需修改的文件的路径名不同罢了。
找到.../jre/lib/目录,在我的debian系统上是/usr/lib/j2se/1.4/jre/lib。该目录下有很多以font开头的文件,其中font.properties是java默认的字体配置文件。用font.properties.zh_CN.Sun覆盖原来的font.properties文件。
修改新的font.properties文件,以SimSum字体为例,把以下设置
serif.0=-b&h-lucidabright-medium-r-normal--*-%d-*-*-p-*-iso8859-1 serif.1=-Hanyi-HanyiSong-medium-r-normal--*-%d-*-*-c-*-gbk-0
更改成
serif.0=-b&h-lucidabright-medium-r-normal--*-%d-*-*-p-*-iso8859-1 serif.1=-misc-SimSun-medium-r-normal--*-%d-*-*-c-*-gb2312.1980-0
按以上的方式把文件中的所有字体进行同样的设置。如果不知道本机安装了什么字体,可用xlsfonts命令列出。
以上的设置适用于1.4版的java,1.5版的java的字体设置有较大的变化,字体配置文件名变成fontconfig.properties。经测试,在1.5中有两种设置中文字体的方法,一种就是与1.4的方法一样,需配置fontconfig.properties文件。在/usr/lib/j2re1.5/lib目录下有很多以.src结尾的配置源文件,代表在不同平台下的标准配置。我们可以它们为蓝本拷贝成fontconfig.properties。然后再根据你系统中所安装的X11核心中文字体来配置字体名和字体文件路径。第二种方法很简单,只要在/usr/lib/j2re1.5/lib/fonts目录下建立一个fallback目录,并把中文字体文件拷贝或链接到该目录中即可,根本不用配置其它东西。
Fcitx的全称是Free Chinese Input Toy for X,这是一个由中国人开发的输入法软件,项目网址位于http://www.fcitx.org。Fcitx已进入Debian软件包系统,用apt-get install fcitx即可安装。它的配置文件是~/.fcitx/config。该文件是GB2312编码的,编辑时要注意。你可在该文件中配置输入法的字体,显示效果和快捷键等,配置简单明。安装配置好后,我们还要设置它开机自启动,方法如下:
把以下几项设置写到/etc/X11/Xsession.d/55gnome-session_gnomerc或用户主目录的~/.gnomerc文件里,~/.gnomerc文件如果没有可以自已创建。55gnome-session_gnomerc脚本会检查系统中是否存在~/.gnomerc文件,如果有,就会用source .gnomerc命令执行。所以为统一管理配置,建议使用~/.gnomerc文件。把以下内容放入该文件。
export XIM_PROGRAM=fcitx export XIM=fcitx export XMODIFIERS="@im=fcitx" fcitx&
接着要设置Gnome系统语言环境为zh_CN.GB2312或zh_CN.GBK或zh_CN.UTF-8,可在GDM登录窗口按左下角的LANGUAGE(语言)选项设置。也可用#dpkg-reconfigure locales命令配置。
重新启动GDM,fcitx输入法就会自动启动了。fcitx的配置文件在~/.fcitx目录下,你可根据自已的需求配置。
在正确定安装KDE中文桌面环境的前提下,具体的操作方式请参见上面的相关内容。在/etc/X11/Xsession.d/目录下新建一个文件92fcitx,内容如下:
export LANG="zh_CN.UTF-8" #设置中文locales,如果不设,fcitx启动后乱码,不能使用。 export XIM_PROGRAM=fcitx export XIM=fcitx export XMODIFIERS="@im=fcitx" fcitx&
在kdm中好象不能像GDM一样设置locales,所以需手动用export设置。 |
在/etc/X11/Xsession.d/目录下的所有配置文件在X启动时都会被自动执行。所以我就利用了这个特性,在该目录下新建了一个92fcitx文件,用以启动fcitx。类似于gnome环境下的/etc/X11/Xsession.d/55gnome-session_gnomerc文件的作用。注意,这不是唯一的方法,因为在x启动过程中会自动运行很多个脚本,所以在这些脚本中插入fcitx的启动脚本也是可行的。这就是linux高可配置的体现。
update-alternatives是dpkg的实用工具,用来维护系统命令的符号链接,以决定系统默认使用什么命令。在Debian系统中,我们可能会同时安装有很多功能类似的程序和可选配置,如Web浏览器程序(firefox,konqueror)、窗口管理器(wmaker、metacity)和鼠标的不同主题等。这样,用户在使用系统时就可进行选择,以满足自已的需求。但对于普通用户来说,在这些程序间进行选择配置会较困难。update-alternatives工具就是为了解决这个问题,帮助用户能方便地选择自已喜欢程序和配置系统功能。下面一个显示可选的窗口管理器的示例:
root@debian:~# update-alternatives --display x-window-manager x-window-manager - status is auto. #当前配置状态为自动方式 link currently points to /usr/bin/metacity #当前的窗口管理器是metacity /usr/X11R6/bin/twm - priority 40 #下面是可选的窗口管理器列表,后面的数字表示优先级 slave x-window-manager.1.gz: /usr/X11R6/man/man1/twm.1x.gz /usr/bin/wmaker - priority 50 slave x-window-manager.1.gz: /usr/share/man/man1/wmaker.1x.gz /usr/bin/larswm - priority 20 slave x-window-manager.1.gz: /usr/share/man/man1/larswm.1x.gz /usr/bin/fluxbox - priority 50 slave x-window-manager.1.gz: /usr/share/man/man1/fluxbox.1.gz /usr/bin/xfwm - priority 20 slave x-window-manager.1.gz: /usr/share/man/man1/xfwm.1.gz /usr/bin/icewm - priority 50 slave x-window-manager.1.gz: /usr/share/man/man1/icewm.1x.gz /usr/bin/metacity - priority 60 slave x-window-manager.1.gz: /usr/share/man/man1/metacity.1.gz Current `best' version is /usr/bin/metacity. #自动选择方式会选择优先级高的程序
重新设置窗口管理器方法:
root@debian:~# update-alternatives --config x-window-manager There are 7 alternatives which provide `x-window-manager'. Selection Alternative ----------------------------------------------- 1 /usr/X11R6/bin/twm 2 /usr/bin/wmaker 3 /usr/bin/larswm 4 /usr/bin/fluxbox 5 /usr/bin/xfwm 6 /usr/bin/icewm *+ 7 /usr/bin/metacity Press enter to keep the default[*], or type selection number:
星号表示当前系统使用的,加号表示优先级最高的。输入数值可修改默认配置,直接按回车保持原来状态。
修改debian系统默认浏览器的示例:
debian:~#update-alternatives --config x-www-browser There are 3 alternatives which provide `x-www-browser'. Selection Alternative ----------------------------------------------- 1 /usr/bin/mozilla *+ 2 /usr/bin/epiphany 3 /usr/bin/mozilla-firefox Press enter to keep the default[*], or type selection number: 3 Using `/usr/bin/mozilla-firefox' to provide `x-www-browser'.
下面再举一个通过update-alternatives修改鼠标主题的示例。
同上示例,通过以下命令可列出当前鼠标可用主题:
root@debian:~# update-alternatives --config x-cursor-theme There are 5 alternatives which provide `x-cursor-theme'. Selection Alternative ----------------------------------------------- 1 /etc/X11/cursors/core.theme 2 /etc/X11/cursors/redglass.theme 3 /etc/X11/cursors/whiteglass.theme 4 /etc/X11/cursors/handhelds.theme *+ 5 /usr/share/themes/Industrial/cursor.theme Press enter to keep the default[*], or type selection number:
现在我们从网上下载一个新的主题,要把它安装到系统上,并设置新安装的鼠标主题为默认配置。
我下载了一个5507-Golden-XCursors-3D-0.8.tar.bz2鼠标主题,解压后生成Golden-XCursors-3D-0.8目录,该目录下有两个目录,一个是default目录,存放索引文件;一个是Gold目录,存放主题内容。
将包中Gold目录拷贝到/usr/X11R6/lib/X11/icons中。
将包中default/index.theme拷贝到/usr/X11R6/lib/X11/icons/default中。
将包中default目录中的index.theme改名拷贝成/etc/X11/cursors/Gold.theme。
安装主题
root@debian:~# cd /etc/alternatives root@debian:/etc/alternatives# update-alternatives --install x-cursor-theme x-cursor-theme /etc/X11/cursors/Gold.theme 70
由于我系统的x-cursor-theme使用了自动配置方式,而优先级70为最高级别,所以Gold.theme已自动设置为默认配置了,我们可用以命令查询:
root@debian:/etc/alternatives# update-alternatives --display x-cursor-theme x-cursor-theme - status is auto. link currently points to /etc/X11/cursors/Gold.theme /etc/X11/cursors/core.theme - priority 30 /etc/X11/cursors/redglass.theme - priority 20 /etc/X11/cursors/whiteglass.theme - priority 20 /etc/X11/cursors/handhelds.theme - priority 20 /usr/share/themes/Industrial/cursor.theme - priority 40 /etc/X11/cursors/Gold.theme - priority 70 Current `best' version is /etc/X11/cursors/Gold.theme.
这样鼠标主题已生效。你试一下把光标指向桌面的快捷方式上,是不是出现了一个金手指。
学习开源软件,需查看大量的英文资料,所以翻译软件是必须的一个工具。星际译王是一个由中国人开发的开源翻译软件,支持真人发音。软件主页是http://stardict.sourceforge.net,下面是我在Debian系统中的安装过程。
软件安装
# apt-get install stardict
接着要安装词典,在软件主页上有几种词典可供选择,下载解压后拷贝到/usr/shart/stardict/dic目录下,重启stardict即可。下面以XDICT英汉词典的安装过程为例进行说明。
# tar -jxvf stardict-xdict-ec-gb-2.4.2.tar.bz2 # cd stardict-xdict-ec-gb-2.4.2 # cp * /usr/share/stardict/dic/.
星际译王支持真人发音,安装方法是到软件主页上下载真人发音库WyabdcRealPeopleTTS.tar.bz2。然后把它解压到/usr/share目录,重启星际译王即可。如果不能发音,请检查音量设置或检查是否启用了音效服务器,如果没有启用音效服务器,星际译王是不会发音的。检查方法可使用gnome-sound-properties命令或通过GNOME桌面的“应用程序”--“桌面首选项”--“音效”路径来查看。
星际译王还支持在pdf文件中即点即译,我在Adobe Reader7.0已测试通过。用Adobe Reader打开pdf文件时,默认是“hand tool”模式,也就是光标是手型时。这时是不能即点即译的。需设置“select tool”模式,也就是光标是“工”字型,这时我们术可点选pdf文件中的单词进行翻译。
rmvb和rm是最常用的视频文件格式,网上的压缩电影多数都是使用这些格式。在Debian中,其实也可说是在Linux中,播放rmvb和rm格式文件的方法有两种。一种是使用最正宗的RealPlayer播放器,另一种是使用xine或Mplayer等播放软件再加上相应的解码器。下面我将分别介绍这两种方法。
到RealPlayer官方网站http://www.real.com/linux/下载RealPlay10GOLD.bin文件。并把该文件的权限设置为可执行,执行该文件即可安装。
# chmod a+x RealPlayer10GOLD.bin # ./RealPlayer10GOLD.bin
接着按提示把RealPlayer安装到指定的目录中。在我的系统中用root用户登录系统后启动不了RealPlayer,需用一般用户登录才能用。但一般用户默认是不能使用音频设备的,所以需把一般用户加到audio组里,这样播放rmvb或rm才有声音。
totem是一个使用xine库的多媒体播放器,可播放多种媒体格式的文件,如mp3,avi等。但要播放rmvb格式文件需添加解码器。我使用的是Mplayer的解码器。到http://www.mplayerhq.hu/MPlayer/releases/codecs/下载realplayer解码器rp9codecs-20050115.tar.bz2。用tar -xjvf rp9codecs-20050115.tar.bz2命令解压,把解压出来的rp9codecs-20050115目录下所有文件拷贝到~/.gnome2/totem-addons/就可以了。我现在就是用totem来播放所有的多媒体文件。
GDM即是GNOME显示管理器(GNOME Display Manager),用来管理你的X会话,提供登录窗口。类似XDM,但比XDM稳定和有趣得多。它的主页位于http://yippi.hypermall.com/gdm/index.shtml。
安装GDM主题
当我们使用GDM显示管理器时,可以选择丰富的主题。GDM主题的目录在/usr/share/gdm/themes中,安装时可通过gdmconfig程序来自动安装。具体安装步骤如下:
首先到网上下载你喜欢的GDM主题,http://gnome-look.org/有很多,你可随意下载,主题文件类似于21329-gdm-debian-white.tar.gz。下载后存放到任意一个目录中。
运行gdmconfi程序,打开gdm配置窗口。在"通用"标签栏,确认你在本地启用了"图形欢迎程序"选项。接着,选择"图形安装程序"标签,这里列出了已安装的所有GDM主题,默认已有三个。按右下角的"安装新主题"按钮,会打开文件选择窗口,选择你刚下载的主题文件后按"安装"就可以了。是不是很方便,快到网上下载你喜欢的主题,使你的登录界面与众不同,更有个性。
更改GDM显示语言
修改/etc/default/gdm文件中的LANG参数即可。如果要把中文的界面改成英文的,只需把:
LANG=zh_CN.UTF-8
改成
LANG=en_US.UTF-8
splash主题就是在输入用户名称密码登录后,载入gnome时,在屏幕中间显示系统加载进度的图片。该图片放在/usr/share/images/desktop-base/或/usr/share/pixmaps/splash目录下。在Debian中它属可选系统,可用update-alternatives工具来配置,配置的参数是desktop-splash。配置方法如下:
首先到网上下载splash主题,推荐http://gnome-look.org网站。把下载的图片放到上面介绍的其中一个目录中。
运行update-alternatives --config desktop-splash命令显示和配置可用的splash主题。在列表中应该包含你刚下载的主题:
debian:/etc/alternatives# update-alternatives --config desktop-splash There are 4 alternatives which provide `desktop-splash'. Selection Alternative ----------------------------------------------- + 1 /usr/share/images/desktop-base/Splash-debblue.png 2 /usr/share/images/desktop-base/Splash-Debian.png * 3 /usr/share/images/desktop-base/Splash-Debian_red.png 4 /usr/share/pixmaps/splash/gnome-splash.png Press enter to keep the default[*], or type selection number: 4
+号代表优先级最高的选项,也即是建议选项,星号表示当前选项。
QEMU是一个开源的Pc模拟器,功能和Vmware类似,但Vmware是商业产品。QEMU项目位于以下网址:http://fabrice.bellard.free.fr/qemu/。QEMU现时能支持的操作系统已有很多,包括Windows系列平台和各Unix like平台,具体的情况可到QEMU的项目网站查看。和Vmware相比,暂时来说,模拟的系统的运行速度还不理想,但QEMU的开发社区很活跃,软件更新较快,是很有前途的一个开源模拟器,让我们多些关注它的发展。
我在Debian系统上安装了QEMU,并在QEMU的模拟环境中成功安装了Winme系统。下面是我的安装过程。
qemu软件的安装
debian:~# apt-get install qeum
创建名为winme.img的磁盘映像文件,文件大小为1G。
debian:~# qemu-img create winme.img 1G
把winme启动光盘放放光驱,用以下命令在QEMU模拟环境中引导启动光盘。
debian:~# qemu -hda winme.img -cdrom /dev/cdrom -boot d
-hda参数表示把winme.img磁盘映像文件挂接成IDE接口的第一块硬盘,-boot d表示从光驱启动系统。成功从光盘引导启动后就可按Windows标准的安装程序进行系统安装。
安装成功后,整个Windows me系统就打包成一个winme.img磁盘映像文件,如果要从该映像文件中启动系统,可用以下命令。
debian:~# qemu -hda winme.img -boot c
-boot c参数表示从硬盘启动系统,也就是从winme.img磁盘映像文件启动系统。
qemu的命令行参数是很灵活的,可用qemu -h查看。我的电脑配置是PII 600 256M内存,用qemu模拟的Windows Me速度较慢,还达不到可正常使用的水平。作为一个开源的模拟器,做到这个程度已很不错了,希望qemu开发组能尽提高模拟器的性能,为开源社区提供一个可行的模拟器解决方案,让我们能彻底放弃vmware这些商业的模拟器。qemu还有一个加速的patch,可使qeum的速度大大提高,但好象在debian的软件包中没有包含该patch,所以还没测试过。
Debian软件包管理系统会自动管理软件的依赖关系,使我们在安装软件时方便了很多,不用理会复杂的软件依赖关系,这也是Debian发行版的一大特色。但了解软件包的依赖关系对你熟悉Linux和进行系统开发是很有好处的,所以Debian也提供了工具帮我们生成软件包的依赖关系图。操作步骤如下,首先,安装相关的工具:
debian:~# apt-get install apt-rdepends springgraph
用以下命令生成软件包的依赖关系图:
debian:~# apt-rdepends -d zope | springgraph > zope.png
这样就生成了zope软件包的依赖关系图zope.png。
Windows提供了一种远程桌面系统,可使用户远程登录进行系统管理或作为终端服务器运行各种应用软件。要连接Windows远程桌面,需在Windows客户端安装相应的软件(tsclient)。如果你是Windows服务器管理员肯定使用过该工具,因为远程桌面能大大方便系统管理员远程维护服务器。在Linux系统中,我们也可通过rdesktop工具连接Windows远程桌面。
debian:~# apt-get install rdesktop
使用方法:
debian:~# rdesktop -f -a 16 192.168.0.2
-f表示全屏显示,-a 16表示使用16 bit色,192.168.0.2是Windows服务器地址。
退出远程桌面时要选择“注销”,不要选择“关机"。 |
在我的GNOME桌面环境中使用了ALSA声音系统。装好系统后,终于可在Linux中听我喜欢的爱尔兰风笛了。但美中不足的是每次重启电脑后,音量设置都复位了,需重新调整音量。经研究,原来是我没有把ALSA声音系统的当前设置状态保存到/var/lib/alsa/asound.state中。而每次重启电脑时,ALSA系统的初始化脚本(/etc/init.d/alsa)会用/var/lib/alsa/asound.state这个默认的配置文件来设置ALSA系统的状态。所以就造成用户自已配置的状态失效,每次重启都还原到初始状态。OK,知道原因了,就可对症下药了。有一个工具叫alsactl,它可自动把当前配置信息保存到/var/lib/alsa/asound.state中。alsactl包含在alsa-utils软件包中。用以下命令安装:
debian:~# apt-get install alsa-utils
把音量、音色等调整好后,再用以下命令把当前声卡的状态保存到/var/lib/alsa/asound.state文件中:
debian:~# alsactl store
重启电脑,马上就可聆听到自由的声音了。
在GNOME中有很多工具可进行屏幕截图。下面简单介绍一下:
在GNOME桌面中自带了一个屏幕截图工具,位于“动作”栏内。该工具功能很少,只能截取当前屏幕。
在GMIP中也可截图,在“文件”--“获取”菜单下有一个“屏幕抓图”选项可进行屏幕截图。它可截取任意图窗口的内容,并自动输入到GMIP中,我们可方便地进行处理和保存。
安装ImageMagick软件,它有一个工具叫import可用于屏幕截图。该工具有很多选项,功能强大。
scrot是一个专门的截图工具,功能也很多,可随意截取鼠标选取区域的内容。
WebDAV的全称是“Web-base Distributed Authoring and Versioning”。它是HTTP协议的扩展,允许我们在远程管理和编辑Web服务器上的文件。现在很多Web服务器都支持WebDAV,包括最有名的Apache和Zope。要访问WebDAV服务,需要安装客户端,这里介绍的一个工具叫Cadaver,它是一个字符界面的工具,类似于FTP。支持文件的上传、下载和在线编辑等功能。它是一个自由软件,在GNU GPL协议下发布。
安装方法很简单,使用apt-get install cadaver即可完成。下面介绍一下主要的用法:
连接远程Web服务器
debian:~# cadaver www.ringkee.com Authentication required for Zope on server `www.ringkee.com': Username: username Password: pasword dav:/>
输入用户名和密码即可登录入服务器,使用类似ftp的命令就可以操作服务器上的文件,使用h命令可列出所有的命令。
dav:/> h Available commands: ls cd pwd put get mget mput edit less mkcol cat delete rmcol copy move lock unlock discover steal showlocks version checkin checkout uncheckout history label propnames chexec propget propdel propset search set open close echo quit unset lcd lls lpwd logout help describe about Aliases: rm=delete, mkdir=mkcol, mv=move, cp=copy, more=less, quit=exit=bye dav:/>
常用的命令有ls--列出文件,put--上传文件,get--下载文件,cat--显示文件内容,edit--在线编辑文件,quit--退出。
Linux下的办公套件首选OpenOffice,功能极为强大,完全能满足正常办公的需求。安装命令如下:
debian~:# apt-get install openoffice.org openoffice.org-l10n-zh-cn openoffice.org-help-zh-cn
OpenOffice软件包有70多兆,下载的时间较长,请耐心等待。
Gaim是一个跨平台的IM客户端,支持多种IM协议,如AIM、MSN和Jabber等。Google talk是Google推出的IM服务,它采用了开放的XMPP协议。下面介绍如何在Gaim中登Google talk。
登录Google talk需要有Gmail帐号,在登录前请先准备好。在Debian中安装Gaim软件很简单,Debian已有一个gaim软件包,真接apt-get install gaim即可。
安装完成后就可运行gaim了。点击“帐户”--“添加”按钮添加一个新帐户。依次填入以下信息:
协议:Jabber 用户名:jims.yang #不含Gmail.com后缀的Gmail帐户名 服务器:gmail.com 资源:Gaim #默认值 密码:xxxx 别名:Jims #别名,可选填写
接着点击“显示全部选项”,配置Jabber选项:
选中“若可用则使用TLS”和“允许在不加密流上的纯文本验证”两个选项 端口:5222 连接服务器:talk.google.com 代理类型:无代理
点击“保存”,完成帐户设置。点击在线即可连接google talk。
Freemind是一种名为Mind Mapping(思维导图)的软件,可帮助我们整理头脑中的放射性思维。在Debian中的freemind是0.7.1版的,已比较旧了,少了很多功能。所以我们不安装该版本。我们直接到freemind官方网站上去下载最新的Debian软件包。freemind的官方网址是:http://freemind.sourceforge.net/
我的安装过程如下:
下载freemind_0.8.0-1_all.deb和libforms-java_1.0.5-2_all.deb这两个软件包。Freemind是用Java写的,在安装freemind之前需用Debian方式安装配置好jre(Java Runtime Environment),版本要求1.4或以上的版本。有关Java的安装方法可参考本笔记中的“配置Java环境”一节的内容。
用以下命令开始安装:
debian:~/inst# dpkg -i freemind_0.8.0-1_all.deb 选中了曾被取消选择的软件包 freemind。 (正在读取数据库 ... 系统当前总共安装有 58065 个文件和目录。) 正在解压缩 freemind (从 freemind_0.8.0-1_all.deb) ... dpkg:依赖关系问题使得 freemind 的配置工作不能继续: freemind 依赖于 librelaxng-datatype-java;然而: 软件包 librelaxng-datatype-java还没有被安装。 freemind 依赖于 libjaxp1.2-java;然而: 软件包 libjaxp1.2-java还没有被安装。 freemind 依赖于 libcommons-lang-java;然而: 软件包 libcommons-lang-java还没有被安装。 freemind 依赖于 libforms-java;然而: 软件包 libforms-java还没有被安装。 dpkg:处理 freemind (--install)时出错: 依赖关系问题 - 仍未被配置 在处理时有错误发生: freemind
上面提示有包依赖问题,我们可用以下命令自动安装依赖包:
debian:~/inst# apt-get -f install 正在读取软件包列表... 完成 正在分析软件包的依赖关系树... 完成 正在更正依赖关系... 完成 将会安装下列的额外的软件包: libcommons-lang-java libjaxp1.2-java librelaxng-datatype-java 下列软件包将被【卸载】: freemind 下列【新】软件包将被安装: libcommons-lang-java libjaxp1.2-java librelaxng-datatype-java 共升级了 0 个软件包,新安装了 3 个软件包,要卸载 1 个软件包,有 30 个软件未被升级。 有 1 个软件包没有被完全安装或卸载。 需要下载 260kB 的软件包。 解压缩后将会空出 2863kB 的空间。 您希望继续执行吗?[Y/n]
接着安装下载的libforms-java_1.0.5-2_all.deb软件包。
debian:~/inst# dpkg -i libforms-java_1.0.5-2_all.deb
最后安装freemind_0.8.0-1_all.deb软件包。
debian:~/inst# dpkg -i freemind_0.8.0-1_all.deb (正在读取数据库 ... 系统当前总共安装有 58143 个文件和目录。) 正预备替换 freemind 0.8.0-1 (使用 freemind_0.8.0-1_all.deb) ... 正在解压缩将用于更替的包文件 freemind ... 正在设置 freemind (0.8.0-1) ...
用freemind命令即可进入程序,程序菜单已全部汉化,使用起来很方便。freemind创建的文件格式是以.mm为后缀的。它可导出多种文件格式,如XHTML、PNG和OpenOffice文档等。如果你想把你做的.mm文件放到网站使其他人访问,你可以处用freemind-browser软件包。该软件包在http://sourceforge.net/projects/freemind/下载。解开后有两个文件,分别是freemindbrowser.html和freemindbrowser.jar。把它们和要显示的freemind文件拷贝到Web服务器上,最后修改freemindbrowser.html文件,如:
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML//EN"> <html> <!-- This launcher works fine with Explorer (with Javascript or without) as well as with Mozilla on Windows --> <head> <title>2006年工作计划</title> #改这里 <!-- ^ Put the name of your mind map here --> </head> <body leftmargin="0" topmargin="0" marginwidth="0" marginheight="0"> <APPLET CODE="freemind.main.FreeMindApplet.class" ARCHIVE="freemindbrowser.jar" WIDTH="100%" HEIGHT="100%"> <PARAM NAME="type" VALUE="application/x-java-applet;version=1.4"> <PARAM NAME="scriptable" VALUE="false"> <PARAM NAME="modes" VALUE="freemind.modes.browsemode.BrowseMode"> <PARAM NAME="browsemode_initial_map" VALUE="http://localhost/freemind/2006.mm"> #改这里,指向你要显示的freemind文件名 <!-- ^ Put the path to your map here --> <param NAME="initial_mode" VALUE="Browse"> <param NAME="selection_method" VALUE="selection_method_direct"> </applet> </body> </html>
在浏览器上打上http://localhost/freemiad/freemindbrowser.html即可访问你的2006.mm文件了。通过这种方式访问freemind文件,你可在浏览器中通过点击来打开和关闭层次。你也可把导出的HTML文档全部拷贝到Web服务器上,在浏览器上直接访问。
freemind通过Plugin扩展freemind的功能。下面分别介绍:
安装freemind-plugins-svg_0.8.0+01-4_all.deb包
debian:~/inst# dpkg -i freemind-plugins-svg_0.8.0+01-4_all.deb 选中了曾被取消选择的软件包 freemind-plugins-svg。 (正在读取数据库 ... 系统当前总共安装有 67956 个文件和目录。) 正在解压缩 freemind-plugins-svg (从 freemind-plugins-svg_0.8.0+01-4_all.deb) ... dpkg:依赖关系问题使得 freemind-plugins-svg 的配置工作不能继续: freemind-plugins-svg 依赖于 libbatik-java (>= 1.6);然而: 软件包 libbatik-java还没有被安装。 freemind-plugins-svg 依赖于 rhino;然而: 软件包 rhino还没有被安装。 dpkg:处理 freemind-plugins-svg (--install)时出错: 依赖关系问题 - 仍未被配置 在处理时有错误发生: freemind-plugins-svg debian:~/inst# apt-get install libbatik-java rhino 正在读取软件包列表... 完成 正在分析软件包的依赖关系树... 完成 您可能需要运行“apt-get -f install”来纠正下列错误: 下列的软件包有不能满足的依赖关系: libbatik-java: 依赖: libbsf-java 但是它将不会被安装 依赖: libavalon-framework-java (>= 4.2.0-1) 但是它将不会被安装 依赖: libcommons-io-java 但是它将不会被安装 依赖: libcommons-logging-java 但是它将不会被安装 E: 有未能满足的依赖关系。请尝试不指明软件包的名字来运行“apt-get -f install”(也可以指定一个解决办法)。 debian:~/inst# apt-get -f install 正在读取软件包列表... 完成 正在分析软件包的依赖关系树... 完成 正在更正依赖关系... 完成 将会安装下列的额外的软件包: libavalon-framework-java libbatik-java libbsf-java libcommons-io-java libcommons-logging-java rhino 建议安装的软件包: libavalon-framework-java-doc jython liblog4j1.2-java liblogkit-java rhino-doc 下列【新】软件包将被安装: libavalon-framework-java libbatik-java libbsf-java libcommons-io-java libcommons-logging-java rhino 共升级了 0 个软件包,新安装了 6 个软件包,要卸载 0 个软件包,有 5 个软件未被升级。 有 1 个软件包没有被完全安装或卸载。 需要下载 5798kB 的软件包。 解压缩后会消耗掉 9257kB 的额外空间。 您希望继续执行吗?[Y/n] 获取:1 http://ftp.us.debian.org unstable/main libbsf-java 1:2.3.0+cvs20050308-5 [195kB] 获取:2 http://ftp.us.debian.org unstable/main libavalon-framework-java 4.2.0-1 [72.3kB] 获取:3 http://ftp.us.debian.org unstable/main libcommons-io-java 1.0-2 [43.5kB] 获取:4 http://ftp.us.debian.org unstable/main libcommons-logging-java 1.0.4-3 [126kB] 获取:5 http://ftp.us.debian.org unstable/contrib libbatik-java 1.6-2 [4841kB] 获取:6 http://ftp.us.debian.org unstable/main rhino 1.5.R5-4 [520kB] 下载 5798kB,耗时 26s (217kB/s) 选中了曾被取消选择的软件包 libbsf-java。 (正在读取数据库 ... 系统当前总共安装有 67962 个文件和目录。) 正在解压缩 libbsf-java (从 .../libbsf-java_1%3a2.3.0+cvs20050308-5_all.deb) ...选中了曾被取消选择的软件包 libavalon-framework-java。 正在解压缩 libavalon-framework-java (从 .../libavalon-framework-java_4.2.0-1_all.deb) ...选中了曾被取消选择的软件包 libcommons-io-java。 正在解压缩 libcommons-io-java (从 .../libcommons-io-java_1.0-2_all.deb) ...选中了曾被取消选择的软件包 libcommons-logging-java。 正在解压缩 libcommons-logging-java (从 .../libcommons-logging-java_1.0.4-3_all.deb) ... 选中了曾被取消选择的软件包 libbatik-java。 正在解压缩 libbatik-java (从 .../libbatik-java_1.6-2_all.deb) ... 选中了曾被取消选择的软件包 rhino。 正在解压缩 rhino (从 .../rhino_1.5.R5-4_all.deb) ... 正在设置 libbsf-java (2.3.0+cvs20050308-5) ... 正在设置 libavalon-framework-java (4.2.0-1) ... 正在设置 libcommons-io-java (1.0-2) ... 正在设置 libcommons-logging-java (1.0.4-3) ... 正在设置 libbatik-java (1.6-2) ... 正在设置 rhino (1.5.R5-4) ... 正在设置 freemind-plugins-svg (0.8.0+01-4) ... debian:~/inst#
Emacs无疑是编辑器的王者,历史悠久,功能强大,我这篇笔记就是使用emacs加psgml-mode完成的。现在Emacs对中文的支持已很好了,完全可以用于中文的生产环境。本章主要介绍Emacs在Debian下的安装和配置过程。具体的使用可参考我的Emacs学习笔记。
安装软件包:
debian:~# apt-get install emacs21 mule-ucs
mule-ucs是emacs的编码包,现在已支持UTF-8编码和多种中文编码。如果要在emacs中正确处理中文信息就要安装该软件包。
安装完成后,用emacs启动编辑器,默认启动的是X环境的emacs,如果不想进入X环境的emacs,则用emacs -nw启动即可。如果你不想用X环境的emacs,可以直接安装不包含X环境的软件包emacs21-nox。
全局的配置文件位于/etc/emacs/site-start.d目录下,该目录有多个文件,当emacs启动时会读取每个文件的配置信息,文件的命名格式与/etc/rc*.d目录的文件类似,作用也类似。如40mule-ucs.el就是启用多国语言编码的配置文件,它的载入顺序是40。
本地配置文件在用户主目录下,叫.emacs。默认没有创建,你可手动自已创建。
Table of Contents
Debian的服务器应用范围也是很广的,支持各种网络服务器,如DNS、Sabma和Zope等。本章主要介绍在Debian系统下各种服务器的安装配置。
硬件配置情况:一台IBM X335服务器,配置Intel Xeon 2.8G CPU,1G内存,两个36G硬盘(RAID 1),BroadCom bcm5700千兆网卡。软件配置:Debian woody stable 3.0,采用bootbf2.4.iso进行网络安装,安装步骤如下:
下载相关软件:
bootbf2_4_iso.zip,到这里下载http://people.debian.org/~blade/boot-floppies/netinst-full-pre/。解压密码是:“Yes, I know that this data may be harmful!”。
LSI53C1030和bcm5700驱程,到这里下载2_4_20-modules_bin.zip。解压密码是:“Yes, I know that this data may be harmful!”。
把解压出来iso刻录成启动光盘,驱程用dd if=2_4_20-modules.bin of=/dev/fd0写到1.44M软盘上。
驱程需与Debian内核版本匹配才可驱动。 |
准备好软件后,就可开始安装。在光盘启动,出现boot:提示符后直接按回车载入安装程序,首先选择键盘。
接着安装程序提示检测不到硬盘,需加载驱动模块。这时插入驱程软盘,按回车,出现可加载模块列表,按顺序选择mptbase.o,mptscsih.o加载LSI53C1030驱动,注意,不能先加载mptscsih.o,否则加载不成功。接着可加载bcm5700.o网卡驱动模块,加载成功后退出。这时安装程序应该就可找到硬盘和网卡了。
加载完驱程后,首先进行硬盘分区和格式化工作。
配置网卡,因为需进行网络安装,所以网卡要在这里配置好。
配置系统模块,如没特别的设备,按默认就可以了。
开始安装基本系统,很快就完成,因为才安装几十兆的内容。
安装完基本系统后,就可设置系统启动配置,使系统可直接从硬盘启动,选择把lilo安装到MBR中。这时你也可做一张开机盘,以备进行故障恢复。
现在可重启服务器。如果启动成功,Debian会自动运行base-config进行系统始初配置。配置后,就可登录系统了。
由于默认安装的2.4.20内核不支持超线程技术和大内存,所以需重新编译内核。我以编译2.4.28内核为例说明,2.6内核的编译方法也是一样的。
安装内核编译所需的一些工具:
# apt-get install kernel-package ncurses-dev fakeroot
到内核站点http://www.kernel.org下载最2.4.28内核原码包:
# cd /usr/src # wget http://www.kernel.org/pub/linux/kernel/v2.4/linux-2.4.28.tar.bz2
下载完成后,就可解包和配置内核,配置内核前需了解清楚机器的硬件配置情况:
# tar -xjf linux-2.4.28.tar.bz2 # cd linux-2.4.28/ # make menuconfig
配置内核时,我主要修改了三个内容
修改Processor type and features里有关CPU和内存的内容,把CPU类型从P3改为P4,支持4个CPU,支持4G内存;
选择Fusion MPT device support,把Fusion MPT(base+ScsiHost)drivers编译进内核。
选择Network device support,进入Ethernet(1000Mbit)类,把Broadcom Tigon3 support编译进内核。
我还把一些明确不需要的模块删除了,以精简内核,配置完成后存盘退出。你也可把配置的内核参数文件保存起来,以备以后重新编译内核时导入使用。
配置完内核后就可进行实质的编译工作了,按以下命令依次执行:
# make dep # make-kpkg clean # fakeroot make-kpkg --revision=mykernel.1.0 kernel_image
如果在编译过程异常中止,我们需运行以下命令重新配置内核:
# make clean # make menuconfig
内核编译完成后,就会在/usr/src目录下生成一个名为kernel-image-2.4.28_mykernel.1.0_i386.deb的内核安装包。我们用以下命令安装新内核:
# dpkg -i kernel-image-2.4.28_mykernel.1.0_i386.deb
内核安装时,会把vmlinuz-2.4.28和System.map-2.4.20拷贝到/boot目录下。并有一些自动配置过程,包括制作启动盘和配置lilo启动信息。启动盘可做可不做,但lilo启动信息配置就不要做,我试过几次,如果做了系统就起不来了。我们可手动配置/etc/lilo.conf来实现多重内核启动。把以下信息添加到/etc/lilo.conf中:
prompt #这句可使系统启动时出现内核选择菜单。 timeout=100 #提供10秒的选择时延。 ... image=/boot/vmlinuz-2.4.28 label=Linux-2.4.28 ...
最后运行以下命令把引导信息写入MBR。
# lilo -v -v -v
其实一个-v选项就可以了,多几个-v选项只是可多显示一些信息。 |
到现在为止,新内核的编译配置已全部完成,重启服务器,选择新内核引导系统。
2.6内核的编译过程和上面的一样。主要是配置内核时菜单会有些不同。在2.6内核中,模块是用module-init-tools来管理的,所以如果需加载模块,就要安装该工具。
Linux是一个开放的、高可配置的操作系统,一个合格的Linux系统管理员应该可支持不同应用环境的要求。下面介绍一些管理工具,可帮助我们了解系统状态和优化系统。
top
top命令可实时地显示Linux系统的进程、CPU、内存、负载等的信息。它是我们了解系统整体状态最好的工具。
top - 10:06:09 up 31 days, 2:14, 1 user, load average: 0.00, 0.00, 0.00 Tasks: 47 total, 1 running, 46 sleeping, 0 stopped, 0 zombie Cpu0 : 0.0% us, 0.0% sy, 0.0% ni, 100.0% id, 0.0% wa, 0.0% hi, 0.0% si Cpu1 : 0.3% us, 0.0% sy, 0.0% ni, 99.7% id, 0.0% wa, 0.0% hi, 0.0% si Mem: 1034732k total, 472336k used, 562396k free, 16460k buffers Swap: 1052248k total, 0k used, 1052248k free, 357940k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 1 root 16 0 1504 480 1352 S 0.0 0.0 0:00.59 init 2 root RT 0 0 0 0 S 0.0 0.0 0:00.06 migration/0 3 root 34 19 0 0 0 S 0.0 0.0 0:00.00 ksoftirqd/0 4 root RT 0 0 0 0 S 0.0 0.0 0:00.04 migration/1 5 root 34 19 0 0 0 S 0.0 0.0 0:00.00 ksoftirqd/1 6 root 5 -10 0 0 0 S 0.0 0.0 0:00.00 events/0 7 root 5 -10 0 0 0 S 0.0 0.0 0:00.00 events/1 8 root 5 -10 0 0 0 S 0.0 0.0 0:00.00 khelper 9 root 5 -10 0 0 0 S 0.0 0.0 0:00.00 kblockd/0 10 root 5 -10 0 0 0 S 0.0 0.0 0:00.00 kblockd/1 11 root 17 0 0 0 0 S 0.0 0.0 0:00.00 khubd 38 root 15 0 0 0 0 S 0.0 0.0 0:00.00 pdflush 37 root 15 0 0 0 0 S 0.0 0.0 0:00.00 kirqd 41 root 6 -10 0 0 0 S 0.0 0.0 0:00.00 aio/0 40 root 16 0 0 0 0 S 0.0 0.0 0:00.00 kswapd0 42 root 5 -10 0 0 0 S 0.0 0.0 0:00.00 aio/1
top命令的运行状态是一个实时的显示过程,我们可在这个界面监控系统运行情况。我们可通过几个按键来控制top命令,如按q可退出top命令状态,按s可输入信息的更新频率等。这些命令可按h帮助键查询。如:
Help for Interactive Commands - procps version 3.2.1 Window 1:Def: Cumulative mode Off. System: Delay 3.0 secs; Secure mode Off. Z,B Global: 'Z' change color mappings; 'B' disable/enable bold l,t,m Toggle Summaries: 'l' load avg; 't' task/cpu stats; 'm' mem info 1,I Toggle SMP view: '1' single/separate states; 'I' Irix/Solaris mode f,o . Fields/Columns: 'f' add or remove; 'o' change display order F or O . Select sort field <,> . Move sort field: '<' next col left; '>' next col right R . Toggle normal/reverse sort c,i,S . Toggle: 'c' cmd name/line; 'i' idle tasks; 'S' cumulative time x,y . Toggle highlights: 'x' sort field; 'y' running tasks z,b . Toggle: 'z' color/mono; 'b' bold/reverse (only if 'x' or 'y') u . Show specific user only n or # . Set maximum tasks displayed k,r Manipulate tasks: 'k' kill; 'r' renice d or s Set update interval W Write configuration file q Quit ( commands shown with '.' require a visible task display window ) Press 'h' or '?' for help with Windows, any other key to continue
ps
ps命令可查询系统的进程状态,常用的命令参数是ps -aux,该命令可显示所有用户的进程,如果进程的命令太长,则显示的进程信息会不全。我们可用ps -auxw命令来加长显示,w参数可多加几个,最多可加三个,以显示更长的进程信息。
debian:~# ps -aux USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 0.0 0.0 1416 448 ? S May24 0:06 init [3] root 2 0.0 0.0 0 0 ? SW May24 0:00 [keventd] root 3 0.0 0.0 0 0 ? SW May24 0:00 [keventd] root 4 0.0 0.0 0 0 ? SW May24 0:00 [keventd] root 5 0.0 0.0 0 0 ? SW May24 0:00 [keventd] root 6 0.0 0.0 0 0 ? SWN May24 0:11 [ksoftirqd_CPU0] root 7 0.0 0.0 0 0 ? SWN May24 0:11 [ksoftirqd_CPU1] root 8 0.0 0.0 0 0 ? SWN May24 0:10 [ksoftirqd_CPU2] root 9 0.0 0.0 0 0 ? SWN May24 0:10 [ksoftirqd_CPU3] root 10 0.0 0.0 0 0 ? SW May24 17:29 [kswapd] root 11 0.0 0.0 0 0 ? SW May24 0:00 [kreclaimd] root 12 0.0 0.0 0 0 ? SW May24 15:47 [bdflush] root 13 0.0 0.0 0 0 ? SW May24 0:00 [kupdated] root 14 0.0 0.0 0 0 ? SW May24 0:00 [mdrecoveryd] root 21 0.0 0.0 0 0 ? SW May24 0:00 [scsi_eh_2] root 24 0.0 0.0 0 0 ? SW May24 0:47 [kjournald] root 84 0.0 0.0 0 0 ? SW May24 0:00 [khubd] root 177 0.0 0.0 0 0 ? SW May24 0:59 [kjournald] root 178 0.0 0.0 0 0 ? SW May24 0:00 [kjournald] root 514 0.0 0.0 1476 600 ? S May24 0:06 syslogd -m 0
ps命令的参数有以下几个:
-a 显示所有终端下所执行的程序 a 显示在当前终端下所执行的程序 -A 显示所有的程序,包含所有的服务 -f 显示UID,PPIP,C,STIME栏位 -H 以树状格式显示,可表达进程间的相互关系 S 列出包含已死亡的子进程信息 u 以用户为单位列出进程信息 v 显示进程的虚拟内存信息 V 显示ps的版本信息 x 显示所有进程
kill
kill命令可终止进程,后接进程号即可。如我们可用上面的ps命令查出你想终止的进程的进程号为299,用kill 299则可把该进程终止。
free
free可显示系统的内存使用情况。-b、-k、-m三个参数表示以bytes,kilobytes和megabytes为单位显示内存的使用情况。
debian:~# free -m total used free shared buffers cached Mem: 2010 2005 5 456 146 1150 -/+ buffers/cache: 708 1301 Swap: 2000 127 1872
vmstat
使用vmstat 2 命令可每隔2秒显示一行系统信息,这些信息包括CPU占用效、内存使用情况和磁盘IO等。通过它我们可实时监控系统的资源使用情况,进行系统优化。
debian:~# vmstat 2 procs memory swap io system cpu r b w swpd free buff cache si so bi bo in cs us sy id 0 0 0 130804 6000 149744 1179340 0 0 0 1 1 2 0 0 2 0 0 0 130804 6000 149744 1179396 0 0 28 162 266 387 0 0 100 0 0 0 130804 6000 149744 1179472 0 0 30 110 222 280 0 0 99 1 0 0 130804 6000 149744 1179516 0 0 22 122 235 306 9 2 89 0 0 0 130804 6000 149748 1179580 0 0 24 148 373 469 10 1 90 1 0 0 130804 6000 149748 1179628 0 0 24 90 271 356 13 1 85 1 0 0 130804 6000 149748 1179700 0 0 28 118 263 322 23 2 76 0 0 0 130804 6000 149748 1179760 0 0 30 148 279 409 14 1 85
sar
sar工具可帮我们收集动态的系统信息,它的参数很丰富,功能强大。sar工具的特点是可通过计数器和计数间隔来定期、定量地输出系统状态信息。如:
debian:~# sar -b 2 10 09时47分48 tps rtps wtps bread/s bwrtn/s 09时47分50 23.50 3.50 20.00 28.00 176.00 09时47分52 47.50 6.50 41.00 52.00 424.00 09时47分54 28.50 4.50 24.00 36.00 204.00 09时47分56 52.00 9.50 42.50 76.00 352.00 09时47分58 30.50 5.00 25.50 40.00 216.00 09时48分00 28.50 4.50 24.00 36.00 204.00 09时48分02 32.00 3.50 28.50 28.00 412.00 09时48分04 46.00 5.50 40.50 44.00 388.00 09时48分06 26.00 5.00 21.00 40.00 196.00 09时48分06 tps rtps wtps bread/s bwrtn/s 09时48分08 35.00 5.00 30.00 40.00 264.00 Average: 34.95 5.25 29.70 42.00 283.60
上面的命令表示隔2秒输出一条磁盘I/O信息,共输出10条。-b表示输出磁盘I/O信息,如果是-B则可输出paging信息,参数还很多,请用man sar查看。
watch
watch命令可重复执行某个命令,监控命令的执行状态。下面这个命令可让我们监控Z2.log文件的大小变化。
debian:~# watch -n 3 du /home/Jims/zope/log/Z2.log
-n 3表示每隔3秒执行一次du /home/Jims/zope/log/Z2.log。
sysctl
使用sysctl -a可显示所有运行中的内核参数,用sysctl -w fs.file-max=10240 命令可修改fs.file-max内核参数的值,并使参数马上生效。但重启系统后,参数设置会失效,因为命令行只能修改运行中的内核参数。如果我们要把参数设置固定下来,可把内核参数写入/etc/sysctl.conf文件。该文件的格式如下:
# /etc/sysctl.conf - Configuration file for setting system variables # See sysctl.conf (5) for information. # Controls IP packet forwarding net.ipv4.ip_forward = 0 # Controls source route verification net.ipv4.conf.default.rp_filter = 1 # Controls the System Request debugging functionality of the kernel kernel.sysrq = 0 # Controls whether core dumps will append the PID to the core filename. # Useful for debugging multi-threaded applications. kernel.core_uses_pid = 1
ulimit
使用ulimit -a可显示系统的资源限制情况。
netstat
netstat -nal可显示所有的网络连接。
pppstats
使用pppstats可得到ppp连接的状态信息。
Zope是一个开源的、面向对象的Web服务器,主要用Python语言编写。在Debian平台上也有相应的软件包,安装方式也比其它平台简单很多。下面介绍一下Zope2.7的安装步骤:
# apt-get install zope2.7
配置时会要回答几个问题,直接按回车选默认方式即可。软件会安装在/usr/lib/zope2.7目录下,实例目录是/var/lib/zope2.7/instance,实例目录开始为空,也就是说没有安装默认实例,需手动用mkzope2.7instanc程序安装。
用下面命令创建实例
debian:~# mkzope2.7instance Quick reminder: To run zope on an instance of type >=2.7 , use /var/lib/zope2.7/instance/<instance>/bin/runzope To start the server on the instance, use ' /var/lib/zope2.7/instance/<instance>/bin/zopectl start ' No instances were found in /var/lib/zope2.7/instance You may create one now Hit any key to go on, ctrl-c to stop #直接回车创建一个新实例 Please choose a directory in which you'd like to install Zope "instance home" files such as database files, configuration files, etc. Directory:/var/lib/zope2.7/instance/test # 指定test实例目录 Please choose a username and password for the initial user. These will be the credentials you use to initially manage your new Zope instance. Username: admin #创建zope初始用户 Password: Verify password: You may want to customize /var/lib/zope2.7/instance/<instance>/etc/zope.conf debian:~/instance# #test实例创建完成
启动实例
debian:~#cd /var/lib/zope2.7/instance/test/bin debian:/var/lib/zope2.7/instance/test/bin#./zopectl start . daemon process started, pid=7811 #实例成功启动
实例启动后,就可用浏览器访问了,地址是http://localhost:9673。用创建实例时创建的始初用户和密码就可登录进管理界面进行系统管理。
Zope 3.1.0b1是Zope 3第一个正式发布的版本,它取消了X代号,表示Zope 3已逐渐成熟,可用于产品开发。Debian的Sarge版软件包还没有包含Zope 3,所以只能从源码安装。具体的安装步骤如下:
首先,让我们来看一下Zope 3.1.0b1的系统要求。它要求Python 2.3.5或以上版本支持,并要安装有python-dev,该软件包提供编译Python模块所需的静态库、头文件和distutils工具。Debian默认是没有安装该软件包的,用apt-get install python-dev安装即可。如果没有python-dev软件包,在编译Zope 3时会出错,出错信息如下:
error: invalid Python installation: unable to open /usr/lib/python2.3/config/Mak efile (No such file or directory) make: *** [build] 错误 1
我下载的打包源码文件名为Zope-3.1.0b1.tgz,用以下命令安装:
debian:~/inst# tar zxvf Zope-3.1.0b1.tgz debian:~/inst# cd Zope-3.1.0b1 debian:~/inst/Zope-3.1.0b1# ./configure Configuring Zope 3 installation Testing for an acceptable Python interpreter... Python version 2.3.5 found at /usr/bin/python The optimum Python version (2.3.5) was found at /usr/bin/python. debian:~/inst/Zope-3.1.0b1# make /usr/bin/python install.py -q build debian:~/inst/Zope-3.1.0b1# make test #测试会出错,但也可安装 /usr/bin/python install.py -q build /usr/bin/python test.py -v Running UNIT tests at level 1 Running UNIT tests from /root/inst/Zope-3.1.0b1/build/lib.linux-i686-2.3 ............................................................................... debian:~/inst/Zope-3.1.0b1# make install #默认安装到/usr/local/Zope-<version>目录 /usr/bin/python install.py -q build /usr/bin/python install.py -q install --skip-build --home "/usr/local/Zope-3.1.0b1"
安装完成后,就要创建Zope实例。
debian:/usr/local/Zope-3.1.0b1/bin# ./mkzopeinstance Please choose a directory in which you'd like to install Zope 'instance home' files such as database files, configuration files, etc. Directory: /var/lib/zope3.1.0b1 #输入实例的路径 Please choose a username for the initial administrator account. This is required to allow Zope's management interface to be used. Username: admin #创建管理员 Please provide a password for the initial administrator account. Password: #设置管理员密码 Verify password: debian:/usr/local/Zope-3.1.0b1/bin# ./runzope& ------ 2005-06-21T00:29:03 WARNING ZODB.FileStorage Ignoring index for /var/lib/zope3.1.0b1/var/Data.fs ------ 2005-06-21T00:29:03 INFO PublisherHTTPServer zope.server.http (HTTP) started. Hostname: debian Port: 8080 ------ 2005-06-21T00:29:03 INFO PublisherFTPServer zope.server.ftp started. Hostname: debian Port: 8021 ------ 2005-06-21T00:29:03 INFO root Startup time: 17.049 sec real, 16.400 sec CPU
用浏览器访问http://localhost:8080/即可进入Zope 3,用刚才创建实例时设置的用户和密码即可以管理员身份登录ZMI。
Zope 3的安装已完成,Zope 3与Zope 2在设计思路上有很大的不同,我们需花时间熟悉一下Zope 3的管理界面和开发方法。
Zope3.1已发布,从源码编译安装的方法和上面介绍的一样。在Debian的Sid系统中已可用apt-get命令安装Zope3包了,大大简化了安装过程。
MySQL是最著名的开源数据库,现在正在开发的5.0版将具有大量的新特性,如存储过程和事务处理等。MySQL的性能正一步步地迫近Oracle、DB2等商业大型数据库,给这些产品造成了很大的压力。
在Debian中安装MySQL服务器是很方便的,使用apt-get命令即可完成。
debian:~# apt-get install mysql-server mysql-client
mysql-server是服务器程序,mysql-client是客户端程序。我们可通过客户端程序来管理服务器,也可通过一些开源的GUI程序来维护服务器,如phpmyadmin,mysqlcc等。推荐使用phpmyadmin这个B/S的管理程序,通过浏览器就可方便高效地管理网络上的数据库。
有关MySQL数据库的管理的操作请参考本站的MySQL学习笔记。
Samba服务器是Linux平台上的Windows文件服务器和打印服务器,可供Windows用户或Linux用户共同使用,是Linux与Windows之间信息沟通的桥梁。安装命令如下:
debian~:# apt-get install samba smbclient
samba是服务器软件包,smbclient是客户端软件包,可选安装。Samba服务器的配置文件叫smb.conf,位于/etc/samba/目录下。在/usr/share/samba/目录下也有一个smb.conf文件备份,如果你在配置服务器时把/etc/samba/smb.conf改乱了,就可以用该文件来恢复到初始状态。启动脚本位于/etc/init.d/目录下,叫samba,如果修改了smb.conf配置文件,可用samba restart命令重启Samba服务器。
/etc/default/samba文件可设置samba服务器的启动方式,是daemons还是inetd,默认的设置是采用daemons方式的:
# Defaults for samba initscript # sourced by /etc/init.d/samba # installed at /etc/default/samba by the maintainer scripts # # # This is a POSIX shell fragment # # How should Samba (smbd) run? Possible values are "daemons" # or "inetd". RUN_MODE="daemons"
关闭服务器可用smbcontrol这个程序。命令格式如下:
debian:~# smbcontrol smbd shutdown
为使Samba服务器正常使用,还需作一些设置。
在系统中创建test用户
debian~:# useradd -m test
增加samba用户
debian~:# smbpasswd -a test
samba的用户名必须与Linux系统的用户名一致,但密码可以不同。用户登录Sabma服务器时的密码是使用sabpasswd程序设置的密码。 |
修改/etc/samba/smb.conf文件,把安全级别设置成用户级。这样,连接Samba服务器的每个用户都需提供用户名和密码。
security = user
这样,最基本的Samba服务器就设置好了,在Windows上就可用test用户名访问Samba服务器上的/home/test目录了。
Samba服务器的功能是很强大的,有关Samba服务器的详细配置和使用介绍请参考网站上的Samba学习笔记。
我们可通过quota来设置磁盘的配额,限定某个用户只能使用有限的硬盘空间,这在文件服务器和邮件服务器上是很常用的。Linux通过quota程序支持磁盘配额,它以分区(partition)为单位进行设置的。设置步骤如下:
确定内核支持quota功能,然后下载安装quota程序。
debian:~# apt-get install quota
修改/etc/fstab文件,在分区上启用quota功能。我的home目录是放到一个单独的分区中的,我现在要在该分区中启用quota,则需把fstab中的:
LABEL=/home /home ext3 defaults 1 2
改成:
LABEL=/home /home ext3 defaults,usrquota,grpquota 1 2
usrquota和grpquota是新增的内容,表示在该分区内启用用户配额(usrquota)和组配额(grpquota)。用户配额可限制某个用户可使用的磁盘空间,组配额可限制某个组所有成员总共可使用的磁盘空间。
重新启动系统或重新安装分区,使fstab里的配置生效,我们可查看/etc/mtab文件以确定我们的修改是否生效,下面是一个生效后mtab文件。
debian:~#mount -a -o remount #重新安装分区 debian:~# vi /etc/mtab /dev/sda1 / ext3 rw 0 0 none /proc proc rw 0 0 usbdevfs /proc/bus/usb usbdevfs rw 0 0 none /dev/pts devpts rw,gid=5,mode=620 0 0 /dev/sda2 /home ext3 rw,usrquota,grpquota 0 0 #启用了quota none /dev/shm tmpfs rw 0 0 /dev/sda3 /usr ext3 rw 0 0 /dev/sda6 /data ext3 rw 0 0
运行quotacheck程序收集磁盘资料,并在/home目录下生成aquota.group和aquota.user文件。
debian:~# quotacheck -avug
如果出现# quotacheck: Cannot get quotafile name for /dev/sda1的情况,请先手工在/home目录下创建这两个文件,然后再运行上面这个命令。
debian:/home#touch aquota.group;touch aquota.user
这是quota的一个Bug,但不影响正常使用。
现在我们可以启动quota了,执行以下命令即可。
debian:~# quotaon -av
接下来要针对用户设置配额了,我们可使用edquota命令来做。
debian:~# edquota -u test Disk quotas for user test (uid 513): Filesystem blocks soft hard inodes soft hard /dev/sda2 28 0 0 6 0 0
这是test用户还没设置配额时的情况,soft表示软限制,当我们使用磁盘时可以超过该值,但要在指定的期间内将磁盘的容量降到soft以下;hard表示硬限制,用户使用磁盘是绝对不能超过该值的。所以soft的值是要低于hard值的,相当于给用户一个缓冲的区间。这里有两对soft和hard,前一对以blocks为单位设置,后一对以inodes为单位设置,一般使用blocks为单位。设置完成后的情况如下。
Disk quotas for user test (uid 513): Filesystem blocks soft hard inodes soft hard /dev/sda2 28 20480 30720 6 0 0
设置的容量是以K为单位的,这里的软限制设置了20M,硬限制设置了30M。
设置soft的宽限期间用edquota -t命令,该设置是针对分区设置的,不能细化到用户。
quotaoff命令用来关闭quotaoff,在关机或重启机器时,请先用该命令关闭quota。
quotastats命令可显示quota的状态信息。
repquota命令可用来显示分区中各用户的配额使用情况。
在Debian系统中安装openldap是很简单的,它有一个配置向导可帮我们快速建立一个目录服务。安装命令如下:
debian:~# apt-get install slapd ldap-utils
与目录服务相关的软件包系统会自动安装。安装完成后,系统会自动运行一个配置向导,依次回答以下问题即可:
Domain name #目录的根 Organization name #根下的组织 Admin password #目录服务器的管理员密码 Verify password #验证密码 Allow LDAPv2 protocol #是否允许LDAPv2
配置完成后,可用以下命令测试目录服务器:
debian:~# ldapsearch -x -b 'cn=admin,dc=com' # extended LDIF # # LDAPv3 # base <cn=admin,dc=com> with scope sub # filter: (objectclass=*) # requesting: ALL # # admin, com dn: cn=admin,dc=com objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1
dc=com是我的目录服务器的根,cn=admin,dc=com是我的目录服务器的根管理员。这个管理员在我的目录服务器中拥有像Linux系统中root一样的权限。
推荐使用phpldapadmin这Web管理程序来管理ldap服务器。有关openldap的详细配置说明和使用请参考网站上的openldap学习笔记。
HylaFAX是一个开放源码的传真服务器,它可为企业提供一个强大而可靠的传真服务。HylaFAX基于C/S架构,在局域网内只要有一台连接FAX Modem的HylaFAX传真服务器,就可为局域网内所有的用户提供传真功能。作为企业应用,高负载能力是必须具备的,HylaFAX可连接多台Modem,为企业提高优异的传真性能。
在Debian系统中提供一个HylaFAX-server软件包,用以安装HylaFAX服务器。在安装该软件包前,请用上文介绍的工具和方法确定Modem在你的Debian系统中能正常工作。下面是具体的安装步骤:
安装服务器软件包:
debian:~# apt-get install hylafax-server
安装完软件包后,hylafax还不能运行,还要运行faxsetup命令配置你的传真服务器。该配置过程会检测Modem的传真功能并要求输入传真机的一些参数,如国家码、地区码和本机号码等。最后faxsetup还会生成一个faxmaster的用户,该用户负责管理传真服务器。配置完成后,HylaFAX服务应该已启动了。
现在,我们可用faxstat命令来查询服务器状态,该命令需用到faxmaster用户的密码,所以我们需设置faxmaster用户的密码:
debian:~# passwd faxmaster
用faxstat命令查询服务器状态:
debian:~# faxstat Password: HylaFAX scheduler on debian: Not running Modem ttyS0 (85789877): Running and idle
出现以上信息说明服务器已正常运行,我们可用sendfax命令来测试一下发送传真。
debian:~# sendfax -n -d 88886666 test.txt
test.txt文档就通过我们的HylaFAX传真服务器发送到88886666传真机上了。我们可到/var/spool/hylafax/log查看发送的日志。
接收的传真会自动保存在/var/spool/hylafax/recvq目录下,文件格式是tif的。
传真服务器已安装完成,但要在企业中投入正常使用,还需进一步的配置。
待续...
Jabber是一个IM(即时通信)服务器,使用开放的XMPP协议,它的信息流是XML格式的,可实现跨平台通信。通过Jabber转换器,Japper还可与MSN,Yahoo等即时通信服务器连接。一举打破现时IM平台互不兼容的格局。Google talk就是使用Jabber/XMPP来实现的。
Jabber服务器软件有很多种,具体可到这个网址查询:http://www.jabber.org/software/servers.shtml。其中jabberd是用C写的一个Jabber服务器,在Debian中有一个jabber软件包可安装jabberd1.4.3服务器。现在最新的jabberd是2.x版本的,包含了jabber的最新功能,但支持的组件较少,jabberd1.4.x版本中没有包含最新的功能,如不支持SASL。但它的支持组件很多,而且很稳定。所以这里我以jabberd1.4.3版的jabberd服务器进行介绍。
用Debian标准的软件安装方法即可完成软件包的下载和安装。
debian:~# apt-get install jabber
安装完软件后,jabberd服务就会自动启动。我们可用telnet程序与服务器连接测试一下服务器是否能正常工作。
debian:~# telnet localhost 5222 #5222是jabberd服务的默认端口号 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'.
在上面的状态下输入以下xml文本内容:
<stream:stream to='localhost' xmlns='jabber:client' xmlns:stream='http://etherx.jabber.org/streams'>
按回车,jabber服务器会显示如下信息:
<?xml version='1.0'?><stream:stream xmlns:stream='http://etherx.jabber.org/streams' id='431E92B1' xmlns='jabber:client' from='localhost'>
如果出现如下的信息,则说明jabberd服务器已正常运行。我们可用</stream:stream>语句关闭信息流,退同telnet状态。。
下面我们可以开始配置jabber服务器。jabber的配置文件在/etc/jabber目录下,叫jabber.xml。首先,我们需配置主机名,上面我们是用localhost主机名来测试的。正式使用的话需要有一个唯一的名称来标识该服务器。用vi程序打开该文件,找到这句:
<host><jabberd:cmdline flag="h">localhost</jabberd:cmdline></host>
把localhost改成你的主机名,我的主机名是debian,存盘退出。现在我们就可用主机名来访问jabberd服务了,如:
debian:~# telnet debian 5222 Trying 127.0.0.1... Connected to debian. #主机名已改变 Escape character is '^]'.
现在我们可以添加一个jabber帐号了,我们可以通过gaim之类的jabber客户端软件自动添加,也可手动方法添加。下面介绍用telnet手动添加的方法,这种方法可让我们详细了解jabberd服务的添加用户的处理过程。
debian:~# telnet debian 5222 Trying 127.0.0.1... Connected to debian. Escape character is '^]'. <stream:stream to="debian" xmlns="jabber:client" xmlns:stream="http://etherx.jabber.org/streams">
系统显示以下信息:
<?xml version='1.0'?><stream:stream xmlns:stream='http://etherx.jabber.org/streams' id='431E9B0B' xmlns='jabber:client' from='debian'>
使用以下XML查询注册需提供些什么信息:
<iq id='reg1' type='get'> <query xmlns='jabber:iq:register'/> </iq>
查询的结果如下:
<iq id='reg1' type='result'> <query xmlns='jabber:iq:register'><password/><password/> <instructions>Choose a username and password to register with this server.</instructions> <name/> <email/> <username/></query> </iq>
这里显示注册需提供password,username,email和name四项信息。下面我把按要求把注册信息发给服务器:
<iq id="reg2" type="set"> <query xmlns="jabber:iq:register"> <username>test</username> <password>12345</password> <name>test</name> <email>test@debian</email> </query> </iq> #在这里按回车,如果出现以下信息,则说明注册成功。 <iq id='reg2' type='result'/>
每个注册用户的信息保存在/var/lib/jabber/目录下。现在我们可以用刚注册的帐号登录jabber服务器了,在登录之前,我们可用以下XML命令查询服务器登录需要些什么信息:
<iq id="auth1" type="get"> <query xmlns="jabber:iq:auth"> <username>test</username> </query> </iq>
返回的信息如下:
<iq id='auth1' type='result'> <query xmlns='jabber:iq:auth'> <username>test</username> <digest/><password/><resource/></query> </iq>
<digest/>和<password/>分别表示加密格式的密码和纯文本格式的密码,只需选其中一种即可。<resource>是必须填的,表示连接服务的资源,如我们现在采用的telnet。登录的XML命令如下,我们采用的是不加密的密码方式:
<iq id="auth2" type="set"> <query xmlns="jabber:iq:auth"> <username>test</username> <password>12345</password> <resource>telnet</resource> </query> </iq> #这里按回车,如果出现以下信息,则说明登录成功。 <iq id='auth2' type='result'/>
最后,我们要把test用户切换到在线状态。
<presence/> #按回车后会显示以下的欢迎信息 <message from='debian' to='test@debian'> <subject>Welcome!</subject> <body>Welcome to the Jabber server -- we hope you enjoy this service! For information about how to us e Jabber, visit the Jabber User's Guide at http://jabbermanual.jabberstudio.org/</body> <x xmlns='jabber:x:delay' from='test@debian' stamp='20050907T08:01:29'>Offline Storage</x></message>
现在,我们就可发送和接收信息了。发送信息的XML命令格式如下:
<message to="jims@debian"> <body>hello jims</body> </message>
如果jims用户已在gaim中登录,则会显示“hello jims”的信息。如果在gaim中发一条叫“hello test,this m essage form gaim.”给test@debian,则会在telnet里收到如下格式的信息:
<message type='chat' to='test@debian/telnet' from='yangjing@debian/Gaim'><x xmlns='jabber:x:event'><composing /></x><body>hello test,this message form gaim.</body><html xmlns='http://jabber.org/protocol/xhtml-im'><body xmlns='http://www.w3.org/1999/xhtml'>hello test,this message form gaim.</body></html></message>
用以下命令可退出会话:
</stream:stream>
从上面的信息可以看到,在jabber传送的信息流是XML格式的。这为jabber服务的扩展提供了很好的发展空间。
jabberd2服务器还没正式进入Debian的软件包,但我们可从源码开始安装。下面介绍如何在Debian平台中如何从源码安装jabberd-2.0s10。这里的2.0s10表示jabberd2.0的第十个stable发行版。
到jabberd的官方网站下载最新的软件包jabberd-2.0s10.tar.gz。用tar -zxvf jabberd-2.0s10.tar.gz命令解压后会在当前目录下生成jabberd-2.0s10目录。
进入源码目录,我们就可以用configure工具配置软件包。但在配置前,先要安装一些支持软件包,分别是libssl-dev和libidn11-dev,还有libmysqlclient14-dev,该软件包用于支持Mysql数据库作为后台数据存储和用户验证,如果你想通过ldap目录服务器来进行用户认证,则还需安装libldap2-dev软件包。准备好后,运行以下命令配置jabberd2:
debian:~/inst/jabberd-2.0s10# ./configure --prefix=/usr/local/jabberd2 --enable-ldap --enable-debug
配置成功后,运行make和make install即可把软件安装到/usr/local/jabberd2目录中。
现在可以配置服务器了,jabberd2的配置文件位于/usr/local/jabberd2/etc/jabberd目录下,配置文件的文本是XML格式的。现在我们要修改sm.xml和c2s.xml这两个配置文件,把真实的服务器名写到这两个配置文件中:
修改sm.xml文件,把id标签内的localhost改成真实服务器名 <!-- Session manager configuration --> <sm> <!-- Our ID on the network. Users will have this as the domain part of their JID. If you want your server to be accessible from other Jabber servers, this ID must be resolvable by DNS.s (default: localhost) --> <id>localhost</id> ... 修改c2s.xml文件,也是把id标签内的localhost改成真实服务器名 ... <!-- Local network configuration --> <local> <!-- Who we identify ourselves as. This should correspond to the ID (host) that the session manager thinks it is. You can specify more than one to support virtual hosts, as long as you have additional session manager instances on the network to handle those hosts. The realm attribute specifies the auth/reg or SASL authentication realm for the host. If the attribute is not specified, the realm will be selected by the SASL mechanism, or will be the same as the ID itself. Be aware that users are assigned to a realm, not a host, so two hosts in the same realm will have the same users. If no realm is specified, it will be set to be the same as the ID. --> <id>localhost</id> ...
jabberd2默认使用MySQL来存放数据和进行用户认证。所以我们还要配置MySQL数据库,为jabberd2增加相应的数据库和表。jabberd2软件包已为我们提供了一个MySQL脚本自动完成数据库和表的创建。这个脚本位于源码目录下的tools目录中,文件名是db-setup.mysql。该目录还有针对不同数据库(Oracle、PostgreSQL)的脚本可用。我们以管理员身份登录MySQL服务器,用以下命令运行db-setup.mysql脚本。在运行脚本前,请确保该脚本在当前目录下。
debian:~/inst/jabberd-2.0s10/tools# mysql Welcome to the MySQL monitor. Commands end with ; or /g. Your MySQL connection id is 68 to server version: 4.0.24_Debian-10sarge1-log Type 'help;' or '/h' for help. Type '/c' to clear the buffer. mysql> /. db-setup.mysql Query OK, 1 row affected (0.00 sec) Database changed Query OK, 0 rows affected (0.13 sec) Query OK, 0 rows affected (0.01 sec) Query OK, 0 rows affected (0.01 sec) Query OK, 0 rows affected (0.01 sec) Query OK, 0 rows affected (0.02 sec) ...
创建完数据库和表后,我们还要配置该数据库的访问权限,很简单,运行以下命令即可:
mysql> grant select,insert,delete,update on jabberd2.* to jabberd2@localhost identified by '123456'; Query OK, 0 rows affected (0.00 sec)
现在我们就在MySQL数据库创建一个jabberd2用户,密码是123456。该用户可以在jabberd2数据库中做select,insert,delete,update操作。为了使jabberd2服务器能登录该数据库,我们还需用"jabberd2"和"123456"这两个参数更新sm.xml和c2s.xml两个配置文件的相关内容。
修改sm.xml文件 ... <!-- Storage database configuration --> <storage> <!-- By default, we use the MySQL driver for all storage --> <driver>mysql</driver> <!-- Its also possible to explicitly list alternate drivers for specific data types. --> <!-- Store vcards in a PostgreSQL database instead --> <!-- <driver type='vcard'>pgsql</driver> --> <!-- MySQL driver configuration --> <mysql> <!-- Database server host and port --> <host>localhost</host> <port>3306</port> <!-- Database name --> <dbname>jabberd2</dbname> <!-- Database username and password --> <user>jabberd2</user> <pass>123456</pass> ... 修改c2s.xml ... <!-- MySQL module configuration --> <mysql> <!-- Database server host and port --> <host>localhost</host> <port>3306</port> <!-- Database name --> <dbname>jabberd2</dbname> <!-- Database username and password --> <user>jabberd2</user> <pass>123456</pass> </mysql> ...
最后一步,根据sm.xml或c2s.xml中pidfile标签的内容创建进程ID目录。在我的机器上sm.xml配置文件中pidfile标签的内容如下:
<pidfile>/usr/local/jabberd2/var/jabberd/pid/sm.pid</pidfile>
创建pid目录的命令如下:
debian:/usr/local/jabberd2# mkdir -p var/jabberd/pid/
是否创建该目录对服务器的正常运行没有影响,只是有了该目录后,当服务器运行时,在该目录下会生成jabberd2服务进程Id文件,我们可跟踪jabberd2服务器的进程Id号。
启动服务器
debian:/usr/local/jabberd2/bin# ./jabberd
如果启动不成功,可查询系统日志或用-D选项启动服务器。
服务器启动后,我们就可用Gaim等客户端连接它。具体操作和上一节内容一样,这里就不再讲了。
除了上面介绍的使用MySQL数据库作为用户认证数据库外,我们还可使用LDAP目录服务进行用户认证。下面介绍具体的配置过程,我选用的LDAP服务器是OpenLDAP,版本号是2.2.23-8。
要使jabberd2使用LDAP目录服务,需在源码配置时加--enable-ldap选项,并安装libldap2-dev软件包。
配置c2s.xml文件以支持ldap认证:
... <!-- Authentication/registration database configuration --> <authreg> <!-- Backend module to use --> <module>ldap</module> #启用ldap认证模块,默认是MySQL <!-- Registration configuration --> <register> <!-- Account registration is enabled by default (provided the auth/reg module in use supports it). Comment this out to disable. --> <!-- <enable/> --> #注释该行,禁止用户自由注册,启用ldap认证后,该功能失效。jabberd2暂时还不支持在LDAP服务器上创建用户信息。 ... <!-- LDAP module configuration --> #开始配置LDAP服务参数 <ldap> <!-- LDAP server host and port (default: 389) --> <host>Ldap_server</host> #配置LDAP服务器主机名 <port>389</port> #配置LDAP服务器端口 <!-- Use LDAP v3 if possible. If disabled, v2 will be used. Encryption options are only available if v3 is enabled. --> <!-- <v3/> --> <!-- Encryption. If enabled, this will create an encrypted channel to the LDAP server using the LDAP STARTTLS mechanism. --> <!-- <starttls/> --> <!-- Encryption. If enabled, this will create an encrypted channel to the server using the old-style "ldaps://" mechanism. It is recommended that you use <starttls/> instead of this. --> <!-- <ssl/> --> <!-- DN to bind as for searches. If unspecified, the searches will be done anonymously. --> <binddn>cn=admin,dc=com</binddn> #配置登录LDAP服务器的DN <bindpw>123456</bindpw> #配置登录密码 <!-- LDAP attribute that holds the user ID (default: uid) --> <uidattr>uid</uidattr> #配置用户认证属性 <!-- base DN of the tree. You should specify a DN for each authentication realm declared in the <local/> section above, by using the realm attribute. --> <basedn realm=''>dc=user,dc=company,dc=com</basedn> #配置搜索路径起点 <!-- <basedn>o=Example Corp.</basedn> --> </ldap> ...
配置sm.xml文件,启用auto-create功能,自动始初化会话。
... <!-- User options --> <user> <!-- By default, users must explicitly created before they can start a session. The creation process is usually triggered by a c2s component in response to a client registering a new user. Enableing this option will make it so that a user create will be triggered the first time a non-existant user attempts to start a session. This is useful if you already have users in an external authentication database (eg LDAP) and you don't want them to have to register. --> <auto-create/> #该功能只在禁用公开注册,采用外部验证数据库时启用,开启该功能后,当用户第一次登录时,jabberd2会自动把用户信息插入到active表。 #如果开启公开注册功能,则应该禁用该功能,用户信息会在注册时自动插入到active表。 ...
配置完成后,重启Jabberd2服务器,如果配置正确,可在系统日志/var/log/message文件看到以下信息:
... Nov 24 11:33:17 t03 jabberd/sm[29600]: initialised storage driver 'mysql' #成功连接MySQL数据库 Nov 24 11:33:17 t03 jabberd/sm[29600]: version: jabberd sm 2.0s10 ... Nov 24 11:33:17 t03 jabberd/c2s[29602]: starting up Nov 24 11:33:17 t03 jabberd/c2s[29602]: process id is 29602, written to /usr/local/jabberd2/var/jabberd/pid/c2s.pid Nov 24 11:33:17 t03 jabberd/c2s[29602]: ldap: configured 1 realms Nov 24 11:33:17 t03 jabberd/c2s[29602]: initialised auth module 'ldap' #成功连接LDAP服务器 Nov 24 11:33:17 t03 jabberd/c2s[29602]: [t03.tigerhead] configured; realm=(null)
在jabberd2中,我们可以设置默认的好友列表模板,当用户第一次登录系统时就会自动获得该列表,不用手动一个用户一个用户地添加。要启用该功能,首先要在sm.xml配置文件的内进行配置。jabberd2默认是没有打开该功能的,我们只要在sm.xml文件中把template内的roster标签前的注释符删除即可。如:
... <!-- Templates. If defined, the contents of these files will be stored in the users data store when they are created. --> <template> <roster>/usr/local/jabberd2/etc/jabberd/templates/roster.xml</roster> </template> ...
从上面的配置可以看以,默认的模块是存放在/usr/local/jabberd2/etc/jabberd/templates/roster.xml目录下的。我们编辑roster.xml文件,按以下格式添加用户列表。
<!-- This is the roster template. If enabled in sm.xml, new users will get this roster by default. --> <query xmlns='jabber:iq:roster'> <!-- <item name='Helpdesk' jid='helpdesk@localhost' subscription='both'><group>Support</group></item> --> <item name='ringkee' jid='ringkee@company.com' subscription='both'><group>IT</group></item> <item name='diu167' jid='diu167@company.com' subscription='both'><group>IT</group></item> <item name='dongrui' jid='dongrui@company.com' subscription='both'><group>IT</group></item> <item name='sally' jid='sally@company.com' subscription='both'><group>IT</group></item> <item name='xmr' jid='xmr@company.com' subscription='both'><group>IT</group></item> </query>
上面设置了一个IT组,里面有5个用户。修改roster.xml文件后,不用重启服务器就可使修改生效。当用户首次登录时,这5个用户列表会自动下载到客户端。这种下载动作只会在用户首次登录系统时发生。当用户第一次登录时,jabberd2会在active表中插入一条记录,记录登录的用户帐号名和登录时间等信息。jabberd2以此判断用户是否第一次登录。同时把模板中的用户列表信息按登录用户的不同保存在roster-items和roster-groups两个表中。当用户第二次登录时,jabberd2在active中可以查询到用户帐号信息,就不会再把模板中的用户列表信息保存到roster-items和roster-groups表中。而是直接下载roster-items和roster-groups表中的用户列表信息来使用。当用户在客户端手工删除用户列表后,jabberd2会直接删除roster-items和roster-groups表中的用户列表信息。这样,下次用户登录时就找不到用户列表了,所以我们不要随便删除用户列表信息。为了使删除后的用户列表能重新下载或更新,我们可在active表中删除该用户的帐号记录。下次用户登录系统时,系统还会把你当成是首次登录,又会自动下载模板中的用户列表。
jabberd2系统的所有信息都保存在MySQL数据库的jabberd2数据库中。一面介绍jabberd2数据库各个表的作用。
active表,存放用户名和用户第一次登录的时间。表中的记录在用户第一次登录系统时插入,以后用户登录系统不影响该记录的内容。
authreg表,当选择MySQL数据库作为jabberd2的用户验证数据库时,该 表才有意义。它用以存放用户的验证信息,如用户名、密码和范围。
disco-items表,记录离线信息。
logout表,记录用户最近的登出信息,包括jid和时间戳。
motd-message表,记录XML格式的MOTD(Message Of The Day)信息。
motd-message表,记录接收的MOTD信息内容,包括jid和时间戳。
privacy-default表,
privacy-items表,
private表,以XML格式存放用户的私人信息,如收藏夹、爱好等。
queue表,存放排序信息。
roster-groups表,保存已分组的用户列表信息。
roster-items表,保存用户列表信息,包含验证状态信息。
vacation-setting表,
vcard表,保存用户帐号信息,包含用户名、住址、URL和职务等。
jabberd2服务器由一系列的进程组成,各进程互相依赖。如果要手动杀死jabberd2进程,则要按一定的顺序。如:
#!/bin/bash killall router killall resolver killall c2s killall s2s killall sm
由于Jabber协议的开放性,造就了众多的开源的Jabber客户端,在http://www.jabber.org上有一个Jabber Client软件的列表可供参考。我试过几种,从功能和中文支持上推荐Psi和Gaim两种。还有一个基于Web的Jabber客户端jwchat,它利用punjab这个HTTP jabber client接口和Ajax技术,可在浏览器上登录jabber服务器进行即时通信。jwchat网站上有一个Demo,大家可以去看看,很不错的。但我没安装成功,有谁成功安装,请指点一二。
MoinMoin是用Python语言写的一个开源WiKi服务器,由德国人开发,基于GNU GPL协议发布。MoinMoin的软件架构很灵活,通过Python能很容易进行功能扩展,现在已开发出大量的Plugins。MoinMoin不使用后台数据库存放数据,而是以文本的形式存放在服务器目录中。debin Wiki网站使用的WiKi系统就是MoinMoin。Moin是德国北部方言"好"、"早上好"的意思,MoinMoin是"很好"的意思。
MoinMoin不带Web服务器,需与Web服务器配合才能进行WiKi页面的发布。MoinMoin支持的Web服务器有Apache+CGI、Apache+FastCgi、Apache+Mod_Python、IIS、TwistedWeb和WebLogic等。下面介绍一下MoinMoin+TwistedWeb和Apache2+Mod_Python两种方式在Debian系统下的安装过程。
在安装MoinMoin前请安装好Python,最好使用最新的版本。安装MoinMoin的命令如下:
debian:~# apt-get install python2.4-moinmoin moinmoin-common
安装软件包时要注意版本问题,2.3的包不能和2.4的包混用。 |
MoinMoin的源码被安装到/usr/lib/python2.4/site-packages/MoinMoin目录。/usr/share/moin目录存放MoinMoin系统的模板,内容大致有以下几类:
/usr/share/moin/data目录存放WiKi Pages,Users,etc。只能被MoinMoin访问。
/usr/share/moin/underlay目录存放默认的WiKi Pages,有多种语言版本的帮助文档、默认页面文档等。只能被MoinMoin访问。
/usr/share/moin/htdocs目录存放网页元素,如图片、主题风格等。可被Web Server访问
/usr/share/moin/server目录存放服务器启动脚本示例。
/usr/share/moin/config目录存放配置文件示例。
通过拷贝模板目录中的文件,就可生成不同的WiKi实例。MoinMoin的软件升级也很简单,只需用新版的模板文件下覆盖旧文就可以了。
创建MoinMoin实例
在服务器上创建一个目录用于存放实例,目录名不能是wiki,它已被系统保留使用,一个不错的选择是mywiki。
debian:~# mkdir mywiki
从模板目录拷贝实例所需文件。
debian:~# cp -rf /usr/share/moin/data ~/mywiki debian:~# cp -rf /usr/share/moin/underlay ~/mywiki debian:~# cp /usr/share/moin/config/wikiconfig.py ~/mywiki
设置实例目录权限
Debian中的MoinMoin系统默认使用www-data用户运行WiKi服务器。所以我们的权限设置是:
debian:~# chown -R www-data.www-data ~/mywiki debian:~# chmod -R ug+rw ~/mywiki debian:~# chmod -R o-rwx ~/mywiki
配置TwistedWeb方式,这里介绍的MoinMoin版本是1.3.1的。
首先,我们要安装好twisted,安装命令如下:
debian:~# apt-get install python2.4-twisted python2.4-twisted-bin
安装完Twisted后,就可以开始配置了。TwistedWeb的MoinMoin配置文件是mointwisted.py,执行文件是mointwisted,这两个文件我们可从模板目录拷贝到实例目录。如:
debian:~# cp /usr/share/moin/server/mointwisted mointwisted.py ~/mywiki
用vim等文本编辑器打开mointwisted.py配置文件,需修改两个地方,以指向正确的配置文件路径,修改后的内容如下:
""" twisted.web based wiki server Run this server with mointwisted script on Linux or Mac OS X, or mointwisted.cmd on Windows. @copyright: 2004-2005 Thomas Waldmann, Oliver Graf, Nir Soffer @license: GNU GPL, see COPYING for details. """ # System path configuration import sys # Path of the directory where wikiconfig.py is located. # YOU NEED TO CHANGE THIS TO MATCH YOUR SETUP. #sys.path.insert(0, '/etc/moin') sys.path.insert(0,'/root/mywiki') #修改1:指向你的wikiconfig.py文件所在的目录 # Path to MoinMoin package, needed if you installed with --prefix=PREFIX # or if you did not use setup.py # Path to the directory where farmconfig is located (if different). #sys.path.insert(0, '/etc/moin') #修改2:注释掉该行内容,从1.5版开始已默认注释该行 # Debug mode - show detailed error reports ## import os ## os.environ['MOIN_DEBUG'] = '1' from MoinMoin.server.twistedmoin import TwistedConfig, makeApp class Config(TwistedConfig): # Server name # Used to create .log, .pid and .prof files name = 'mointwisted' # Path to moin shared files (default '/usr/share/moin/wiki/htdocs') docs = '/usr/share/moin/htdocs' # The server will run with as this user and group (default 'www-data') user = 'www-data' group = 'www-data' # Port (default 8080) # To serve privileged port under 1024 you will have to run as root port = 8080 # Interfaces (default ['']) # The interfaces the server will listen to. # [''] - listen to all interfaces defined on the server # ['red.wikicolors.org', 'blue.wikicolors.org'] - listen to some # If '' is in the list, other ignored. interfaces = [''] # How many threads to use (default 10, max 20) # The more threads you use, the more memory moin uses. All thread # use one CPU, and will not run faster, but might be more responsive # on a very busy server. threads = 10 # Set logfile name (default commented) # This is the *Apache compatible* log file, not the twisted-style logfile. # Leaving this as None will have no Apache compatible log file. Apache # compatible logfiles are useful because there are quite a few programs # which analyze them and display statistics. ## logPath = 'mointwisted.log' # Memory profile (default commented) # Useful only if you are a developer or interested in moin memory usage ## from MoinMoin.util.profile import TwistedProfiler ## memoryProfile = TwistedProfiler('mointwisted', ## requestsPerSample=100, ## collect=0) # Hotshot profile (default commented) # Not compatible with threads. ## hotshotProfile = name + '.prof' # Create the application application = makeApp(Config)
配置MoinMoin Wiki系统
Single Wiki的配置文件是wikiconfig.py,位于实例目录下,它默认已可很好工作。它的内容如下:
# -*- coding: utf-8 -*- #为了在MoinMoin中使用中文,请用utf-8编码 # IMPORTANT! This encoding (charset) setting MUST be correct! If you live in a # western country and you don't know that you use utf-8, you probably want to # use iso-8859-1 (or some other iso charset). If you use utf-8 (a Unicode # encoding) you MUST use: coding: utf-8 # That setting must match the encoding your editor uses when you modify the # settings below. If it does not, special non-ASCII chars will be wrong. """ MoinMoin - Configuration for a single wiki If you run a single wiki only, you can omit the farmconfig.py config file and just use wikiconfig.py - it will be used for every request we get in that case. Note that there are more config options than you'll find in the version of this file that is installed by default; see the module MoinMoin.multiconfig for a full list of names and their default values. Also, the URL http://moinmoin.wikiwikiweb.de/HelpOnConfiguration has a list of config options. @copyright: 2000-2005 by Juergen Hermann <jh@web.de> @license: GNU GPL, see COPYING for details. """ from MoinMoin.multiconfig import DefaultConfig class Config(DefaultConfig): # Wiki identity ---------------------------------------------------- # Site name, used by default for wiki name-logo [Unicode] sitename = u'Untitled Wiki' #你的WiKi网站的名称 # Wiki logo. You can use an image, text or both. [Unicode] # Example: u'<img src="/wiki/mywiki.png" alt="My Wiki">My Wiki' # For no logo or text, use '' logo_string = sitename #WiKi的logo # The interwiki name used in interwiki links interwikiname = None # Critical setup --------------------------------------------------- # Misconfiguration here will render your wiki unusable. Check that # all directories are accessible by the web server or moin server. # If you encounter problems, try to set data_dir and data_underlay_dir # to absolute paths. # Where your mutable wiki pages are. You want to make regular # backups of this directory. data_dir = './data/' # Where read-only system and help page are. You might want to share # this directory between several wikis. When you update MoinMoin, # you can safely replace the underlay directory with a new one. This # directory is part of MoinMoin distribution, you don't have to # backup it. data_underlay_dir = './underlay/' # This must be '/wiki' for twisted and standalone. For CGI, it should # match your Apache Alias setting. url_prefix = '/wiki' # Security ---------------------------------------------------------- # Security critical actions (disabled by default) # Uncomment to enable options you like. allowed_actions = ['DeletePage', 'AttachFile', 'RenamePage'] #允许删除、上传和改名操作,操作受ACL约束。 # Enable acl (0 to disable) acl_enabled = 1 #开启ACL(访问控制列表)功能 # IMPORTANT: grant yourself admin rights! replace YourName with # your user name. See HelpOnAccessControlLists for more help. # All acl_rights_xxx options must use unicode [Unicode] acl_rights_before = u"YourName:read,write,delete,revert,admin" #替换YourName,该用户具有管理员权限。 # Link spam protection for public wikis (Uncomment to enable) # Needs a reliable internet connection. #from MoinMoin.util.antispam import SecurityPolicy # Mail -------------------------------------------------------------- # Configure to enable subscribing to pages (disabled by default) # or sending forgotten passwords. # SMTP server, e.g. "mail.provider.com" (empty or None to disable mail) mail_smarthost = "" # The return address, e.g "My Wiki <noreply@mywiki.org>" mail_from = "" # "user pwd" if you need to use SMTP AUTH mail_login = "" # User interface ---------------------------------------------------- # Add your wikis important pages at the end. It is not recommended to # remove the default links. Leave room for user links - don't use # more than 6 short items. # You MUST use Unicode strings here, but you need not use localized # page names for system and help pages, those will be used automatically # according to the user selected language. [Unicode] navi_bar = [ #FrontPage中的导航栏,可根据自已需求增减。 # Will use page_front_page, (default FrontPage) u'%(page_front_page)s', u'RecentChanges', u'FindPage', u'HelpContents', ] # The default theme anonymous or new users get theme_default = 'modern' #默认的页面风格 # Language options -------------------------------------------------- # See http://moinmoin.wikiwikiweb.de/ConfigMarket for configuration in # YOUR language that other people contributed. # The main wiki language, set the direction of the wiki pages default_lang = 'zh' #默认语言 # You must use Unicode strings here [Unicode] #页面默认正则式, page_category_regex = u'^Category[A-Z]' #以Category字符串开头的页面是分类页面 page_dict_regex = u'[a-z]Dict
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
debian:~/mywiki# ./mointwisted start
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
2005/12/13 11:48 CST [-] Log opened. 2005/12/13 11:48 CST [-] twistd 2.0.1 (/usr/bin/python2.4 2.4.2) starting up 2005/12/13 11:48 CST [-] reactor class: twisted.internet.selectreactor.SelectReactor 2005/12/13 11:48 CST [-] Loading mointwisted.py... 2005/12/13 11:48 CST [-] Enabling Multithreading. 2005/12/13 11:48 CST [-] Loaded. 2005/12/13 11:48 CST [-] MoinMoin.server.twistedmoin.MoinSite starting on 8080 2005/12/13 11:48 CST [-] Starting factory <MoinMoin.server.twistedmoin.MoinSite instance at 0xb76004cc> 2005/12/13 11:48 CST [-] set uid/gid 33/33
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
debian:~/mywiki# ./mointwisted error: nothing to do mointwisted - MoinMoin daemon usage: mointwisted command commands: start start the server stop stop the server restart stop then start the server kill kill the server @copyright: 2004-2005 Thomas Waldmann, Nir Soffer @license: GNU GPL, see COPYING for details.
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
debian:~# apt-get install libapache2-mod-python2.3
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
LoadModule python_module /usr/lib/apache2/modules/mod_python.so
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
# -*- coding: utf-8 -*- #使用UTF-8编码 # IMPORTANT! This encoding (charset) setting MUST be correct! If you live in a # western country and you don't know that you use utf-8, you probably want to # use iso-8859-1 (or some other iso charset). If you use utf-8 (a Unicode # encoding) you MUST use: coding: utf-8 # That setting must match the encoding your editor uses when you modify the # settings below. If it does not, special non-ASCII chars will be wrong. """ MoinMoin - Configuration for a single wiki If you run a single wiki only, you can omit the farmconfig.py config file and just use wikiconfig.py - it will be used for every request we get in that case. Note that there are more config options than you'll find in the version of this file that is installed by default; see the module MoinMoin.multiconfig for a full list of names and their default values. Also, the URL http://moinmoin.wikiwikiweb.de/HelpOnConfiguration has a list of config options. ** Please do not use this file for a wiki farm. Use the sample file from the wikifarm directory instead! ** @copyright: 2000-2005 by Juergen Hermann <jh@web.de> @license: GNU GPL, see COPYING for details. """ from MoinMoin.multiconfig import DefaultConfig class Config(DefaultConfig): # Wiki identity ---------------------------------------------------- # Site name, used by default for wiki name-logo [Unicode] sitename = u'Untitled Wiki' #你的WiKi网站的名称 # Wiki logo. You can use an image, text or both. [Unicode] # For no logo or text, use '' - the default is to show the sitename. # See also url_prefix setting below! logo_string = u'<img src="/wiki/common/moinmoin.png" alt="MoinMoin Logo">' #网站Logo # name of entry page / front page [Unicode], choose one of those: # a) if most wiki content is in a single language #page_front_page = u"MyStartingPage" # b) if wiki content is maintained in many languages page_front_page = u"FrontPage" #启用首页 # The interwiki name used in interwiki links #interwikiname = 'UntitledWiki' # Show the interwiki name (and link it to page_front_page) in the Theme, # nice for farm setups or when your logo does not show the wiki's name. #show_interwiki = 1 # Critical setup --------------------------------------------------- # Misconfiguration here will render your wiki unusable. Check that # all directories are accessible by the web server or moin server. # If you encounter problems, try to set data_dir and data_underlay_dir # to absolute paths. # Where your mutable wiki pages are. You want to make regular # backups of this directory. data_dir = '/root/mywiki/data/' #设置data目录路径,要用绝对路径 # Where read-only system and help page are. You might want to share # this directory between several wikis. When you update MoinMoin, # you can safely replace the underlay directory with a new one. This # directory is part of MoinMoin distribution, you don't have to # backup it. data_underlay_dir = '/root/mywiki/underlay/' #设置underlay目录路径,要用绝对路径 # This must be '/wiki' for twisted and standalone. For CGI, it should # match your Apache Alias setting. url_prefix = '/wiki' # Security ---------------------------------------------------------- # This is checked by some rather critical and potentially harmful actions, # like despam or PackageInstaller action: superuser = [u"moin_admin", ] #设置超级用户,1.5版新增选项 # IMPORTANT: grant yourself admin rights! replace YourName with # your user name. See HelpOnAccessControlLists for more help. # All acl_rights_xxx options must use unicode [Unicode] #acl_rights_before = u"YourName:read,write,delete,revert,admin" #设置管理权限 # Link spam protection for public wikis (Uncomment to enable) # Needs a reliable internet connection. #from MoinMoin.util.antispam import SecurityPolicy # Mail -------------------------------------------------------------- # Configure to enable subscribing to pages (disabled by default) # or sending forgotten passwords. # SMTP server, e.g. "mail.provider.com" (None to disable mail) mail_smarthost = "smtp.21cn.com" #使用21cn的smtp服务器发送邮件 # The return address, e.g u"Jürgen Wiki <noreply@mywiki.org>" [Unicode] mail_from = u"yjnet<yjnet@21cn.com>" #发送者 # "user pwd" if you need to use SMTP AUTH mail_login = "yjnet 123456" #SMTP服务器验证,以"user password"格式填写 # User interface ---------------------------------------------------- # Add your wikis important pages at the end. It is not recommended to # remove the default links. Leave room for user links - don't use # more than 6 short items. # You MUST use Unicode strings here, but you need not use localized # page names for system and help pages, those will be used automatically # according to the user selected language. [Unicode] navi_bar = [ #设置导航栏 # If you want to show your page_front_page here: u'%(page_front_page)s', u'RecentChanges', u'FindPage', u'HelpContents', ] # The default theme anonymous or new users get theme_default = 'modern' #设置网页主题峁 # Language options -------------------------------------------------- # See http://moinmoin.wikiwikiweb.de/ConfigMarket for configuration in # YOUR language that other people contributed. # The main wiki language, set the direction of the wiki pages language_default = 'zh' #设置默认语言 # You must use Unicode strings here [Unicode] page_category_regex = u'^Category[A-Z]' page_dict_regex = u'[a-z]Dict
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
Alias /wiki/ "/usr/share/moin/htdocs/" <Location /mywiki> SetHandler python-program # Add the path of your wiki directory PythonPath "['/root/mywiki/'] + sys.path" PythonHandler MoinMoin.request::RequestModPy.run </Location>
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
#acl [+-]User[,SomeGroup,...]:[right[,right,...]] [[+-]OtherUser:...] [[+-]Trusted:...] [[+-]Known:...] [[+-]All:...] [Default] 参数说明: User 用户名 SomeGroup 组名 Trusted 一个特殊组,包括所有通过HTTP-Basic-authentication验证的用户 Known 一个特殊组,包括所有有效用户 (使用 cookie 验证方法) All 一个特殊组,包括所有用户 Default 一个特殊项,使用配置文件中acl_rights_default中的值 right 表示权限,可以是 read、write、delete、revert 和 admin的组合,允许为空,表示没有任何权限。 权限说明: read 读权限 write 编辑权限 delete 删除页面和附件的权限 revert 有还原旧版本的权限 admin 具有管理ACL的权限
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
#acl moin_admin:read,write,delete,revert,admin All:read 这是网页正文。 MoinMoin ACL示例。 ...
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
#acl moin_admin:read,write,delete,revert,admin All:read *test1 *test2 *test3 ...
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
#acl SomeUser:read,write SomeGroup:read,write,admin All:read 可以写成: #acl -SomeUser:admin SomeGroup:read,write,admin All:read 或 #acl +All:read -SomeUser:admin SomeGroup:read,write,admin
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
... from MoinMoin.auth import http ... class Config(DefaultConfig): ... user_autocreate=1 auth=[http] ...
修改后的moin_mod_python.conf:
Alias /wiki/ "/usr/share/moin/htdocs/" <Location /portal> AuthType Basic AuthName "Portal" AuthUserFile "/etc/apache2/moinmoin.passwd" Require valid-user SetHandler python-program # Add the path of your wiki directory PythonPath "['/data/moin/portal/'] + sys.path" PythonHandler MoinMoin.request::RequestModPy.run </Location>
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
debian:/etc/apache2/mods-enabled# ln -s /etc/apache2/mods-available/auth_ldap.load auth_ldap.load
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
Alias /wiki/ "/usr/share/moin/htdocs/" #LDAP连接Cache参数 LDAPSharedCacheSize 200000 LDAPCacheEntries 1024 LDAPCacheTTL 600 LDAPOpCacheEntries 1024 LDAPOpCacheTTL 600 <Location /portal> AuthType Basic #验证类型 AuthName "Portal" #验证名,显示在验证栏 AuthLDAPEnabled on #启用LDAP验证 AuthLDAPBindDN cn=admin,dc=com #连接LDAP服务器的用户 AuthLDAPBindPassword '1' #连接LDAP服务器的用户密码 AuthLDAPURL ldap://127.0.0.1/dc=user,dc=company,dc=com?uid? #连接URL AuthLDAPAuthoritative on #只允许LDAP验证方式 Require valid-user SetHandler python-program # Add the path of your wiki directory PythonPath "['/data/moin/portal/'] + sys.path" PythonHandler MoinMoin.request::RequestModPy.run </Location>
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
<Location /cache-info> SetHandler ldap-status </Location> ~
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
debian:/usr/share/xml/docbook/stylesheet# chown -R www-data.www-data nwalsh
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
#format docbook <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE book PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN" "http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd" > <book> <chapter> <title>test</title> <para>test</para> </chapter> </book>
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
debian~:# svn create /root/subversion
初始化Trac环境:
debian~:# trac-admin /root/trac initenv
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
[wiki] ignore_missing_pages = false [header_logo] src = common/trac_banner.png alt = Trac height = 73 link = http://trac.edgewall.com/ width = 236 [logging] log_file = trac.log #日志文件名,位于trac/log目录下 log_level = DEBUG #日志级别,分别是CRITICAL、ERROR、WARN、INFO和DEBUG log_type = file #日志形式,file:生成trac.log日志文件,syslog:通过命名管道/dev/log传送到syslogd [trac] default_charset = iso-8859-15 ignore_auth_case = false permission_store = DefaultPermissionStore check_auth_ip = true database = sqlite:db/trac.db templates_dir = /usr/share/trac/templates default_handler = WikiModule metanav = login,logout,settings,help,about mainnav = wiki,timeline,roadmap,browser,tickets,newticket,search repository_dir = /data/subversion [notification] always_notify_owner = false smtp_always_cc = smtp_password = smtp_enabled = false smtp_replyto = trac@localhost smtp_port = 25 always_notify_reporter = false smtp_server = localhost smtp_from = trac@localhost smtp_user = [project] url = http://example.com/ footer = Visit the Trac open source project at<br /><a href="http://trac.edgewall.com/">http://trac.edgewall.com/</a> name = Developer descr = My example project icon = common/trac.ico [mimeviewer] php_path = php enscript_path = enscript tab_width = 8 max_preview_size = 262144 [attachment] max_size = 262144 [timeline] changeset_show_files = 0 ticket_show_details = false default_daysback = 30 [ticket] default_version = default_component = component1 default_type = defect restrict_owner = false default_milestone = default_priority = major [browser] hide_properties = svk:merge
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
debian~:# tracd --port 8000 /root/trac
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
Alias /trac/chrome/common /usr/share/trac/htdocs <Directory "/usr/share/trac/htdocs"> Order allow,deny Allow from all </Directory> ScriptAlias /trac /usr/share/trac/cgi-bin/trac.cgi <Location "/trac"> SetEnv TRAC_ENV "/data/trac/" </Location> <Location "/trac/login"> #设置Trac用户验证 AuthType Basic AuthName "Trac" AuthUserFile /etc/apache2/trac.passwd #trac.passwd文件用htpasswd2命令生成 Require valid-user </Location>
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
debian:~# chown -R www-data.www-data /data/trac
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
Alias /trac/chrome/common /usr/share/trac/htdocs <Directory "/usr/share/trac/htdocs"> Order allow,deny Allow from all </Directory> ScriptAlias /trac/project1 /usr/share/trac/cgi-bin/trac.cgi <Location "/trac/project1"> SetEnv TRAC_ENV "/data/trac/project1" </Location> <Location "/trac/project1/login"> #设置Trac用户验证 AuthType Basic AuthName "Trac" AuthUserFile /etc/apache2/trac.passwd #trac.passwd文件用htpasswd2命令生成 Require valid-user </Location> ScriptAlias /trac/project2 /usr/share/trac/cgi-bin/trac.cgi <Location "/trac/project2"> SetEnv TRAC_ENV "/data/trac/project2" </Location> <Location "/trac/project2/login"> AuthType Basic AuthName "Trac" AuthUserFile /etc/apache2/trac.passwd Require valid-user </Location>
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
debian:~# trac-admin /data/trac permission list User Action -------------------------- anonymous BROWSER_VIEW anonymous CHANGESET_VIEW anonymous FILE_VIEW anonymous LOG_VIEW anonymous MILESTONE_VIEW anonymous REPORT_SQL_VIEW anonymous REPORT_VIEW anonymous ROADMAP_VIEW anonymous SEARCH_VIEW anonymous TICKET_CREATE anonymous TICKET_MODIFY anonymous TICKET_VIEW anonymous TIMELINE_VIEW anonymous WIKI_CREATE anonymous WIKI_MODIFY anonymous WIKI_VIEW Available actions: BROWSER_VIEW, CHANGESET_VIEW, CONFIG_VIEW, FILE_VIEW, LOG_VIEW, MILESTONE_ADMIN, MILESTONE_CREATE, MILESTONE_DELETE, MILESTONE_MODIFY, MILESTONE_VIEW, REPORT_ADMIN, REPORT_CREATE, REPORT_DELETE, REPORT_MODIFY, REPORT_SQL_VIEW, REPORT_VIEW, ROADMAP_ADMIN, ROADMAP_VIEW, SEARCH_VIEW, TICKET_ADMIN, TICKET_APPEND, TICKET_CHGPROP, TICKET_CREATE, TICKET_MODIFY, TICKET_VIEW, TIMELINE_VIEW, TRAC_ADMIN, WIKI_ADMIN, WIKI_CREATE, WIKI_DELETE, WIKI_MODIFY, WIKI_VIEW
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
debian:~# trac-admin /data/trac permission add jims TRAC_ADMIN
删除用户的许可可用remove关健字,如:
debian:~# trac-admin /data/trac permission remove jims TRAC_ADMIN
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
debian:~# trac-admin /data/trac permission add admin TRAC_ADMIN debian:~# trac-admin /data/trac permission add ringkee admin debian:~# trac-admin /data/trac permission add jims admin
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
字段名(FIELD_NAME) = 字段类型(TYPE) 字段名选项(FIELD_NAME.OPTION) = 值(VALUE) ...
下面是有效的字段类型和选项说明:
* text: A simple (one line) text field. o label: Descriptive label. o value: Default value. o order: Sort order placement. (Determines relative placement in forms.) * checkbox: A boolean value check box. o label: Descriptive label. o value: Default value (0 or 1). o order: Sort order placement. * select: Drop-down select box. Uses a list of values. o options: List of values, separated by | (vertical pipe). o value: Default value (Item #, starting at 0). o order: Sort order placement. * radio: Radio buttons. Essentially the same as select. o label: Descriptive label. o options: List of values, separated by | (vertical pipe). o value: Default value (Item #, starting at 0). o order: Sort order placement. * textarea: Multi-line text area. o label: Descriptive label. o value: Default text. o cols: Width in columns. o rows: Height in lines. o order: Sort order placement.
下面是一些示例:
[ticket-custom] test_one = text test_one.label = Just a text box test_two = text test_two.label = Another text-box test_two.value = Just a default value test_three = checkbox test_three.label = Some checkbox test_three.value = 1 test_four = select test_four.label = My selectbox test_four.options = one|two|third option|four test_four.value = 2 test_five = radio test_five.label = Radio buttons are fun test_five.options = uno|dos|tres|cuatro|cinco test_five.value = 1 test_six = textarea test_six.label = This is a large textarea test_six.value = Default text test_six.cols = 60 test_six.rows = 30
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
debian:~# trac-admin /data/trac hotcopy ~/backup
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
debian:~# rm -rf /usr/lib/python2.3/site-packages/trac debian:~# rm -rf /usr/share/trac
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
debian:~/inst/trac-0.9.2# python setup.py install
升级实例:
debian:~# trac-admin /data/trac upgrade
升级文档:
debian:~# trac-admin /data/trac wiki upgrade
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
debian:~# apt-get install subversion subversion-tools
创建一个新的储存库:
debian:~# svnadmin create /data/svn
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
debian:~# svn import /data/ldap file:///data/svn/ldap
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
debian:~# svn list file:///data/svn/ldap ldap_add.py ldap_del.py ldap_modify.py ldap_search.py
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
debian:~# apt-get install apache2 libapache2-svn
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
# Load mod_dav_svn when apache starts LoadModule dav_svn_module /usr/lib/apache2/modules/mod_dav_svn.so LoadModule authz_svn_module /usr/lib/apache2/modules/mod_authz_svn.so
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
LoadModule dav_module /usr/lib/apache2/modules/mod_dav.so
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
# dav_svn.conf - Example Subversion/Apache configuration # # For details and further options see the Apache user manual and # the Subversion book. # <Location URL> ... </Location> # URL controls how the repository appears to the outside world. # In this example clients access the repository as http://hostname/svn/ <Location /svn> #设置访问路径 # Uncomment this to enable the repository, DAV svn #启用 # Set this to the path to your repository SVNPath /data/subversion #设置储存库路径,仅支持单个储存库,该路径要可被Apache进程访问。 #SVNParentPath /data/subversion #如果subversion下有多个储存库,则用SVNParentPath # The following allows for basic http authentication. Basic authentication # should not be considered secure for any particularly rigorous definition of # secure. # to create a passwd file #按下面的步骤创建Apache用户验证文件 # # rm -f /etc/apache2/dav_svn.passwd # # htpasswd2 -c /etc/apache2/dav_svn.passwd dwhedon # New password: # Re-type new password: # Adding password for user dwhedon # # # Uncomment the following 3 lines to enable Basic Authentication AuthType Basic #启用Apache基础验证 AuthName "Subversion Repository" #设置验证框标题 AuthUserFile /etc/apache2/dav_svn.passwd #指定验证用户文件名 # Uncomment the following line to enable Authz Authentication AuthzSVNAccessFile /etc/apache2/dav_svn.authz #启用目录级别授权,dav_svn.authz是授权配置文档 # The following three lines allow anonymous read, but make # committers authenticate themselves. #<LimitExcept GET PROPFIND OPTIONS REPORT> #允许匿名访问,不允许Commit,不能与AuthzSVNAccessFile同时使用 Require valid-user #</LimitExcept> </Location>
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
debian:~# chown -R www-data.www-data /data/subversion
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
[groups] #定义组 admin=jims,ringkee tests=tester1,tester2 [erp:/] #定义erp储存库根目录的访问权限 @admin=rw #admin组有读写权限 tests=r #test用户只有读权限 [oa:/test] #定义oa储存库下test目录的访问权限 *= #禁止所有用户访问,星号代表所有用户,权限为空代表没有任何权限 ringkee=rw #打开ringkee用户的读写权限
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
... timeout=00 #系统启动不进行倒数,直接启动指定内核 restricted #启用安全控制 password=xxxxxx #设置安全控制密码 ...
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
debian:~# chmod 0600 /etc/lilo.conf debian:~# chattr +i /etc/lilo.conf debian:~# lilo -v #使lilo.conf配置生效
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
HISTSIZE=20 HISTFILESIZE=0
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
TIMEOUT=60 #60秒没操作,bash shell将自动注销
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh ...
每一行是由分号分隔的字串组成,它的格式如下:
username:password:uid:gid:gecos:homedir:shell
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
root:$1$43ZR5j08$kuduq1uH36ihQuiqUGi/E9:12973:0:99999:7::: daemon:*:12973:0:99999:7::: bin:*:12973:0:99999:7::: sys:*:12973:0:99999:7::: sync:*:12973:0:99999:7::: ... 我们可用chage命令显示test用户的帐号信息: debian:~# chage -l test 最小: 0 最大: 99999 警告日: 7 失效日: -1 最后修改: 7月 09, 2005 密码过期: 从不 密码失效: 从不 帐户过期: 从不
/etc/shadow文件的格式如下:
username:password:last_change:min_change:max_change:warm:failed_expire:expiration:reserved 各字段的简要说明: last_change:表示自从Linux使用以来,口令被修改的天数。可用chage -d命令修改。 min_change:表示口令的最小修改间隔。可用chage -m命令修改。 max_change:表示口令更改周期。可用chage -M命令修改。 warm:表示口令失效的天数。可用chage -W命令修改。 failed_expire:表示口令失效后帐号的锁定天数。可用chage -I命令修改。 expiration:表示帐号到期日时间。可用chage -E命令修改。 reserved:没有使用,留待以后使用。
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
root:x:0: daemon:x:1: bin:x:2: sys:x:3: adm:x:4: ...
它的格式如下:
groupname:password:gid:members
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
... # # Password aging controls: # # PASS_MAX_DAYS Maximum number of days a password may be used. # PASS_MIN_DAYS Minimum number of days allowed between password change. # PASS_WARN_AGE Number of days warning given before a password expires. # PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_WARN_AGE 7 ... # # Number of significant characters in the password for crypt(). # Default is 8, don't change unless your crypt() is better. # If using MD5 in your PAM configuration, set this higher. # PASS_MAX_LEN 8 ...
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
# /etc/securetty: list of terminals on which root is allowed to login. # See securetty(5) and login(1). console # for people with serial port consoles ttyS0 # for devfs tts/0 # Standard consoles tty1 tty2 tty3 ...
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
# 配置GTK+程序的打开文件窗口字体编码为GBK export G_FILENAME_ENCODING=GBK #下面设置fcitx输入法的环境变量 export XIM_PROGRAM=fcitx export XIM=fcitx export XMODIFIERS="@im=fcitx" #启动fcitx中文输入法 fcitx&
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
style "gtk-default-zh-cn" { fontset = "-adobe-helvetica-medium-r-normal--12-*-*-*-*-*-iso8859-*,/ -*-*-medium-r-normal--14-*-*-*-*-*-gb2312.1980-0" } class "GtkWidget" style "gtk-default-zh-cn"
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
style "gtk-default-zh-cn" { font_name = "Bitstream Vera Sans 10,SimSun 10" } class "GtkWidget" style "gtk-default-zh-cn"
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
AllowRootLogin=false
改为
AllowRootLogin=true
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
tcpmux 1/tcp # TCP port service multiplexer echo 7/tcp echo 7/udp discard 9/tcp sink null discard 9/udp sink null systat 11/tcp users daytime 13/tcp daytime 13/udp netstat 15/tcp qotd 17/tcp quote msp 18/tcp # message send protocol msp 18/udp chargen 19/tcp ttytst source chargen 19/udp ttytst source ftp-data 20/tcp ftp 21/tcp fsp 21/udp fspd ssh 22/tcp # SSH Remote Login Protocol ssh 22/udp telnet 23/tcp smtp 25/tcp mail time 37/tcp timserver
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
0 不使用 1--1023 系统保留,只能由root用户使用 1024---4999 由客户端程序自由分配 5000---65535 由服务器端程序自由分配
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
# Internet (IP) protocols # # Updated from http://www.iana.org/assignments/protocol-numbers and other # sources. # New protocols will be added on request if they have been officially # assigned by IANA and are not historical. # If you need a huge list of used numbers please install the nmap package. ip 0 IP # internet protocol, pseudo protocol number #hopopt 0 HOPOPT # IPv6 Hop-by-Hop Option [RFC1883] icmp 1 ICMP # internet control message protocol igmp 2 IGMP # Internet Group Management ggp 3 GGP # gateway-gateway protocol ipencap 4 IP-ENCAP # IP encapsulated in IP (officially ``IP'') st 5 ST # ST datagram mode tcp 6 TCP # transmission control protocol egp 8 EGP # exterior gateway protocol igp 9 IGP # any private interior gateway (Cisco) pup 12 PUP # PARC universal packet protocol
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
# /etc/network/interfaces -- configuration file for ifup(8), ifdown(8) # The loopback interface auto lo iface lo inet loopback # The first network card - this entry was created during the Debian installation # (network, broadcast and gateway are optional) auto eth0 iface eth0 inet static address 192.168.1.1 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 # gateway 192.168.1.1 # name 以太网局域网网卡 auto eth0:0 iface eth0:0 inet static address 192.168.1.2 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 gateway 192.168.1.1
下面是一个从DHCP服务器自动获得IP地址的示例:
# /etc/network/interfaces -- configuration file for ifup(8), ifdown(8) # The loopback interface auto lo iface lo inet loopback # The first network card - this entry was created during the Debian installation # (network, broadcast and gateway are optional) auto eth0 iface eth0 inet dhcp
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
nameserver #定义DNS服务器的IP地址 domain #定义本地域名 search #定义域名的搜索列表 sortlist #对返回的域名进行排序
/etc/resolv.conf的一个示例:
domain ringkee.com search www.ringkee.com ringkee.com nameserver 202.96.128.86 nameserver 202.96.128.166
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
order hosts,bind #名称解释顺序 multi on #允许主机拥有多个IP地址 nospoof on #禁止IP地址欺骗
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
设置IP地址与主机名对应表,可用该文件来进行主机名称解释。如:
#格式:IP地址 主机名 别名 127.0.0.1 localhost localhost.localdomain 192.168.1.1 debian debian 192.168.0.2 t02 t02.tiger 192.168.0.4 t04 t04.tiger
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
#服务进程名:主机列表:当规则匹配时可选的命令操作 server_name:hosts-list[:command]
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
ALL:127.0.0.1 #允许本机访问本机所有服务进程 smbd:192.168.0.0/255.255.255.0 #允许192.168.0.网段的IP访问smbd服务
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
... #Samples follow: #First three are good for devfs systems, fourth one for systems that do #not use devfs. The fifth example uses straight hdparm command line #syntax. Any of the blocks that use command line syntax must begin with #the keyword 'command_line', and no attempt is made to validate syntax. #It is provided for those more comfortable with hdparm syntax. #/dev/discs/disc0/disc { # mult_sect_io = 16 # write_cache = off # spindown_time = 240 #} #/dev/discs/disc1/disc { # mult_sect_io = 32 # spindown_time = 36 # write_cache = off #} #/dev/cdroms/cdrom0 { # dma = on # interrupt_unmask = on # io32_support = 0 #} /dev/hda { mult_sect_io = 16 write_cache = off dma = on } #command_line { # hdparm -q -m16 -q -W0 -q -d1 /dev/hda #}
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
由 ca::ctrlaltdel:/sbin/shutdown -t3 -r now 改成: #ca::ctrlaltdel:/sbin/shutdown -t3 -r now
重新配置键盘布局
debian:~#dpkg-reconfigure console-data
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
debian:~#apt-get install zhcon
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
debian:~# cd /etc debian:~# cp fstab fstab.old debian:~# chmod a-w fstab.old
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
debian:/var/log# w 23:23:46 up 3:14, 3 users, load average: 0.61, 0.60, 0.45 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root :0 - 20:12 ?xdm? 33:58 1.91s x-session-manager root pts/1 :0.0 23:19 8.00s 0.28s 0.21s ssh reomte root pts/3 :0.0 22:31 0.00s 0.23s 0.00s w
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
debian:/var/log# last root pts/1 :0.0 Thu Jul 7 23:19 still logged in root pts/3 :0.0 Thu Jul 7 22:31 still logged in root pts/3 :0.0 Thu Jul 7 20:17 - 22:24 (02:06) root pts/1 :0.0 Thu Jul 7 20:14 - 22:39 (02:24) root :0 Thu Jul 7 20:12 still logged in reboot system boot 2.6.10 Thu Jul 7 20:10 (03:17) ....
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
disk #表示是硬盘
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
IBM-DJSA-220
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
physical 16383/16/63 logical 38760/16/63
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
Section "Module" # Load "xtt" Load "GLcore" Load "bitmap" Load "dbe" Load "ddc" Load "dri" Load "extmod" Load "freetype" Load "glx" Load "int10" Load "record" Load "speedo" Load "type1" Load "vbe" EndSection
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
m h dom mon dow command 分钟(0-59) 小时(0-23) 日期(1-31) 月份(1-12) 日/周(0-7) 命令
每小时的01分执行一次ping命令的示例:
01 * * * * ping -c 3 192.168.1.254
几种特殊符号:
* 星号表示任何时候 , 逗号表示不连续的时间段,如01,03 * * * * ping -c -3 192.168.1.254,每小时的01和03分都执行一次ping命令 - 中横扛表示连续的时间段,如10 01-08 * * * ping -c -3 192.168.1.254,1点到8点每个小时的10分都执行一次ping命令 /n 表示每隔n个单位间隔,如*/07 * * * * ping -c -3 192.168.1.254,每隔7分钟执行一次ping命令
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
# /etc/crontab: system-wide crontab # Unlike any other crontab you don't have to run the `crontab' # command to install the new version when you edit this file. # This file also has a username field, that none of the other crontabs do. SHELL=/bin/sh PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin # m h dom mon dow user command 17 * * * * root run-parts --report /etc/cron.hourly 25 6 * * * root test -x /usr/sbin/anacron || run-parts --report /etc/cron.daily 47 6 * * 7 root test -x /usr/sbin/anacron || run-parts --report /etc/cron.weekly 52 6 1 * * root test -x /usr/sbin/anacron || run-parts --report /etc/cron.monthly #
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
完整的配置选项可在MoinMoin/multiconfig.py文件找到,wikiconfig.py中的配置就是继承它的。multiconfig.py文件里的选项是默认配置,不要去修改它。如果我们要修改这些默认配置,可在wikiconfig.py中重新设置它即可。
multiconfig.py中默认权限配置选项说明
acl_enabled = 1选项配置是否记用ACL,1表示启用,0表示不启用。
acl_rights_default = u"Trusted:read,write,delete,revert Known:read,write,delete,revert All:read,write"选项设置了默认的WiKi页面权限。当WiKi页面没有设置ACL是,就统一采用该设置。
acl_rights_before = u""选项中的权限设置优先级高于WiKi页面中ACL的设置和上面的默认ACL设置。所以一般在该选项中配置我们MoinMoin系统的管理员。该选项默认在multiconfig.py文件中没有设置。我们要在MoinMoin实例中的wikiconfig.py文件中设置,具体设置请见上同的wikiconfig.py示例。
acl_rights_after = u""选项中的权限设置优先级低于WiKi页面中ACL的设置和上面的默认ACL设置。
acl_rights_valid = ['read', 'write', 'delete', 'revert', 'admin']选项列出了可以设置权限。
allowed_actions = []选项设置允许的系统定义操作。这些操作有删除页面、页面改名和上传附件等。这些操作的访问权限也会页面的ACL约束。
attachments = None选项设置可通过浏览器直接访问附件。如果要设置该选项,请确保上传到Web服务器上的附件不能被执行。设置方法可参考http://moinmoin.wikiwikiweb.de/HelpOnConfiguration/FileAttachments的内容。
启动MoinMoin WiKi服务器
___FCKpd___230
在当前目录会生成一个叫twistd.log的日志文件。如果成功启动,日志文件的内容为:
___FCKpd___231
MoinMoin成功启动后,在浏览器上打开http://server_name:8080网址即可访问。停止服务器用stop参数即可。用不带参数的mointwisted命令可以查看命令参数,如:
___FCKpd___232
Apache2+Mod_Python方式,这里我选用了最新的1.5版的MoinMoin软件包。
第一步要先安装Mod_Python模块,要求使用mod_python 3.1.3或以上版本的Mod_Python模块。安装命令如下:
___FCKpd___233
下载完软件包后Debian系统会自动进行软件包的配置,回答"Yes"启用Mod_Python模块。这样在/etc/apache2/mods-enabled目录下会创建一个链接到/etc/apache2/mods-available/mod_python.load文件。该文件配置了装载mod_python模块的语句,如:
___FCKpd___234
第二步是创建WiKi实例,步骤同上。
第三步是配置wikiconfig.py,内容如下:
___FCKpd___235
第四步是配置在Apache2中配置Mod_Python,在/etc/apache2/conf目录下创建一个moin_mop_python.conf的配置文档,内容如下:
___FCKpd___236
配置完成后,需重启Apache服务器,查询Apache日志可看到服务器的启动状态,Apache的日志存放在/var/log/apache2目录下。成功启动后,访问http://moinserver/mywiki即可打开进入MoinMoin。
最后,我们还要安装中文语言包。我们先要在MoinMoin中用登录界面创建一个有管理员权限的用户,在该例中就是moin_admin用户。以该用户登录后再访问http://moinserver/mywiki/SystemPagesSetup网页安装中文语言包。如果你没有管理权限,访问该页面时在语言包前面是不会显示"安装"按钮的。
访问控制列表(ACL)
语法:
___FCKpd___237
ACL放在网页内容的前面,下面一个ACL示例,所有用户有浏览权限,moin_admin用户具有所有权限:
___FCKpd___238
MoinMoin按ACL设置的顺序匹配用户,一旦匹配就不会搜索后面的配置。如上例,当我以moin_admin用户登录后访问该网页,它匹配了第一个用户名,则MoinMoin的ACL执行过程就停止,不会去再去匹配后面的ACL。所以我们在设置ACL时,应按用户、特殊组、普通组、Known、All的顺序设置。
在MoinMoin中,组是用网页来维护的,在配置文件中的page_group_regex = u'[a-z]Group$'选项规定,以任意的小写字母组合后接Group结尾命名的页面都是一个组,如:testGroup,网页内每个最高列表项代表一个组成员,下例设置了test1,test2,test3三个用户。:
___FCKpd___239
在ACL设置中,MoinMoin引入"+"号和"-"号,改变ACL的配置规则,使ACL配置更灵活。当用户请求一个具有"+"或"-"号的ACL的页面时,只在用户名和权限同时匹配时才动作,"+"表示授予权限用户权限,"-"号表示禁止用户的权限,并停止ACL匹配。如果用户名和权限有一个不匹配,则继续搜索下一个ACL项。下面有一个示例:
___FCKpd___240
使用Apache basic auth进行用户验证
MoinMoin的用户信息存放在instance/data/user目录下,每个用户都有一个类似1137395855.97.12542的文件,里面记录着用户名、密码和显示样式等信息,MoinMion利用这些信息来进行用户验证和权限的控制。MoinMoin默认是使用Cookis来验证用户的,从1.3版开始,我们也可使用基于HTTP的用户验证,也就是说可以使用其它的用户数据库,如LDAP。不论使用Cookis还是HTTP方式,user目录下一定要存在一个与之对应的用户文件。因为MoinMoin只会使用该用户文件中的信息进行权限控制,所以在MoinMoin的配置文件中有一个user_autocreate参数,当把该选项设置为真时,当第一次用Apache basic auth方式登录MoinMion时,系统会自动在user目录下创建一个用户文件,该用户文件里不保存用户密码,只保存用户名和个人定制配置信息。采用HTTP验证方式,要修改两个文件,一个是wikiconfig.py,一个是moin_mod_python.conf。
wikiconfig.py文件中修改的内容如下:
___FCKpd___241
修改后的moin_mod_python.conf:
___FCKpd___242
moinmoin.passwd用户文件可用htpasswd2文件创建。需重启Apache服务器使配置生效。
使用Apache+LDAP进行用户验证
原理同上,只是验证数据我们存放在LDAP目录数据库。我使用OpenLDAP做为LDAP服务器。因为Apache+LDAP方式也是通过MoinMoin的HTTP验证模块进行的,所以wikiconfig.py的配置同上面的是一样的。这里的关健是要配置好Apache与LDAP服务器的连接。Apache需安装有mod_ldap.so和auth_ldap.so模块,如果已安装,可在/usr/lib/apache2/modules目录下查询到。在Debian中这两个模块默认是不启动的,可在/etc/apache2/mods-enable目录下创建一个auth_ldap.load链接来启动它,如:
___FCKpd___243
auth_ldap.load文件会装载mod_ldap.so和auth_ldap.so这两个模块。下面配置moin_mod_python.conf,修改后的内容如下:
___FCKpd___244
mod_ldap模块提供了一个监控LDAP认证连接Cache信息的功能,在配置文件中增加以下标签即可。
___FCKpd___245
重启Apache服务器使配置生效。现在我们就可以通过LDAP服务器中的用户连接MoinMion了。访问http://moinserver/cache-info即可显示LDAP认证连接Cache信息。
如果你的系统中安装了4suite这个XML处理软件包,MoinMoin可在线解析XML文档。
MoinMoin会根据页面正文第一行是否以<?xml开头来判断是否要启动XML处理。MoinMoin也支持可在线解析DocBook文档,要支持在线解析DocBook文档,还需安装一个docboot-xsl包,该软件包包含把DocBook格式文档转换成HTML格式文档所需的样式表,安装完成后,HTML样式表位于/usr/share/xml/docbook/stylesheet/nwalsh/html目录。最后,我们需对MoinMoin进行配置,让它启动XSLT转换功能和指定转换DocBook的样式表目录。启动XSLT转换功能的选项是allow_xslt = 1,默认值为0,表示禁用XSLT转换功能。样式表目录选项为docbook_html_dir,在Debian Sarge中,它的默认值已是正确的啦,为/usr/share/xml/docbook/stylesheet/nwalsh/html/,不用修改。但权限有问题,不能被www-data所访问和修改,我们要用以下命令进行修改。
___FCKpd___246
修改完成后,重启MoinMoin服务器。创建一个DocBook格式的文档,如:
___FCKpd___247
按保存,MoinMoin会把上面的DocBook文档自动转换成HTML文档输出。注意,DocBoo文档的encoding一定要用utf-8。我是在python2.4环境下做以上测试的,在python2.3中测试不成功,会出现字符编码出错提示。还有一个问题就是不能使用本地的dtd文件,会提示docbookx.dtd文档不存在错误。好象上面示例使用网上的dtd就没问题,但利用网上dtd时,HTML输出速度慢。从上面的测试结果来看,在WiKi中自动转换DocBook还不是很实用,一个是速度问题,上面已说过。另一个是编辑器问题,基于Web的编辑界面大简单了,远远比不上emacs等工具。
有关MoinMoin的使用可参考自带的帮助文档,有很多都是中文版的了,查询起来很方便的。在MoinMoin的官方网站http://moinmoin.wikiwikiweb.de/上也有最新的教材可参考。有关中文化方面,现在的MoinMoin已支持I18n,会根据浏览器的设置自动显示多国语言。中文化支持也有很多志愿者在做,教材和帮助很多都是中文的了。如果你想为MoinMoin的中文化做贡献,请到http://moinmaster.wikiwikiweb.de/注册个帐号,然后把你的帐号放到MoinPagesEditorGroup页面就可以进行翻译了。
小提示:
任何用户在页面中添加ACL都需要有管理权限(admin)。
wikiconfig.py配置文档编码需是UTF-8格式的,如果不是UTF-8格式,就不能在该文档中使用中文。我们可用Kwrite编辑器来把它保存成UTF-8格式的。
/usr/lib/python2.3/site-packages/MoinMoin/theme目录存放MoinMoin的各种主题处理脚本,修改这些脚本可实现界面功能的增减,如取消标题搜索栏等。
/usr/share/moin/htdocs/目录下存放有各种主题的CSS文档,修改这些文档可实现界面风格的改变,如布局、字体大小和背景颜色等。
删除页面时,页面文件不会从data/pages目录真正删除,它只是把文件的当前版本号增一,并在edit-log中记录删除日志。要真正删除页面,只能通过shell删除页面所在的目录。
About WiKi
WiKi概念是由Ward Cunningham(中文译文为:沃德.坎宁安)于1995年提出,并创建了第一个WiKi网站---波特兰模式知识库(Portland Pattern Repository)。WiKi这个名词源自夏威夷语wee kee wee kee的缩减化英语wiki,原意是"快点,快点"的意思。国内把WiKi译成"维客"。
除MoinMoin外,还有很多其它WiKi引擎:
MadiaWiKi,全球最大的WiKi系统--维基百科就是基于它创建的。
UseModWiKi,用Perl实现的WiKi引擎。
TwikiClone,用Perl实现的WiKi引擎。
PmWiKi,基于PHP开发的WiKi引擎。
WakkaWiKi,另一个用PHP写的WiKI引擎,CooCooWakka是中国人根据WakkaWiKi开发的中文版。
TikiWiKi,提供内容管理和WiKi功能。
JspWiKi,用JSP开发的WiKi引擎。
ZWiKi,Zope应用平台上的WiKi系统。
Trac是用Python写的一个基于Web的事件跟踪系统,它使用WiKi作为文档的格式,Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本,该版本好象有问题,安装完成后不能创建Trac环境。Sid带是0.9版的,可正常使用。下面以0.9版为例介绍安装过程。
安装和配置
要安装Trac,需先安装Subversion、SQLite和ClearSilver。详细需求请参考官方网站http://projects.edgewall.com/trac/wiki/TracInstall。如果你使用的是Debian,则用apt-get install trac命令安装即可,Trac依赖的所有软件包系统会自动安装。安装完成后,就可进行配置了。Trac可以设置成Standalone服务器,只供本机使用。也可以与Apache等Web服务器集成,如果与Apache集成,则可配置成CGI、FastCGI或Mod_Python等方式。
配置成Standalone方式:
创建Subversion库:
___FCKpd___248
初始化Trac环境:
___FCKpd___249
/root/trac目录不用事先创建,Trac会自动创建。初始化时,trac-admin程序会问你项目名、数据库连接字串和Subversion库位置这三个参数。如果你的数据库是使用SQLite,则它的连接串是sqlite:db/trac.db,系统已默认指定了。所有初始化参考都会保存在/root/trac/conf/trac.ini文件中。
___FCKpd___250
详尽的配置选项说明请参考官方的TracGuide文档。
启动Trac服务:
___FCKpd___251
使用浏览器访问"http://localhost:8000"即可访问Trac系统了。
Standalone方式只能由本机访问,不能放到网上共享。所以我们一般都是把Trac配置成与Apache服务器集成的形式。这时,我们要配置Apache服务器,告诉它如何执行Trac的CGI程序。如果你的系统是Debian,则在/etc/apache2/conf.d目录下创建一个trac.conf文件,内容如下:
___FCKpd___252
最后不要忘记设置Trac实例目录/data/trac的访问权限,使它能被Apache实例访问,设置方法如下:
___FCKpd___253
重启服务器,使用浏览器访问"http://apache_server/trac"即可。
我们也可以在一台服务器上安装多个trac实例来管理多个Subversion库。假设我们有两个Subversion库,分别是project1和project2,我们就可先用trad-admin命令分别创建两个trac实例,再针对这两个实例配置trac.conf,如:
___FCKpd___254
这样,我们就可用http://servertotrac/trac/project1和http://servertotrac/trac/project2访问两个项目。
通过FastCGI和Mod_Python方式的配置方法请参考Trac Project网站http://projects.edgewall.com/trac/。
管理访问许可
Trac的许可权限管理简单而有效,它可通过trac-admin命令来管理。用trac-admin可管理用户的许可权限,但用户的管理是通过Apache的htpasswd2命令设置的,根据上面的Apache CGI配置,用户名和密码是存放在/etc/apache2/trac.passwd文件中。下面这个命令可用来列出当前有效的许可权限和已设置的许可权限。
___FCKpd___255
上面列出的内容是还没进行许可权限设置时的情况,Available actions段的内容就是有效许可权限的列表,每个权限的解析可查询TracGuide中的TracPermission节的内容。其中TRAC_ADMIN许可相当于Linux中的root用户,拥有最高的权限。如果我们要把TRAC_ADMIN许可授予jims用户,则可这样设置:
___FCKpd___256
删除用户的许可可用remove关健字,如:
___FCKpd___257
在Trac的权限管理中可以设置组以简化权限配置,下例将设置一个admin组,具有TRAC_ADMIN许可权限,把jims和ringkee两个用户加入到该组中,使他们也具有TRAC_ADMIN许可权限:
___FCKpd___258
在Trac的用户中,有两个默认的用户,一个是anonymous,表示匿名用户;一个是authenticated,表示所有已通过验证的用户。我们可以把许可权赋予这两个用户,从而简化我们的许可权限配置。
定制Ticket字段
Trac的Ticket是可定制的,除默认的Priority、Milestone、Component等字段之外,我们还可增加自已的字段。方法是在trac.ini里增加[ticket-custom]配置段。配置语法如下:
___FCKpd___259
下面是有效的字段类型和选项说明:
___FCKpd___260
下面是一些示例:
___FCKpd___261
备份和恢复
Trac系统的备份和恢复也可使用trac-admin工具来完成,还可支持热备份。备份命令如下:
___FCKpd___262
执行该命令时,Trac会自动锁住SQLite数据库,并把/data/trac目录拷贝到~/backup目录。恢复备份也很简单,只需停止Trac进程,如Apache服务器或tracd服务器。接着把~/backup整个目录恢复回/data/trac目录就可以了。
软件更新
当有新版的Trac软件推出时,为了使用新的功能和减少Bugs,我们需把旧版本的Trac系统升级到新版本。在Debian中系统,Trac软件包的安装脚本会自动帮我们完成升级,但了解手动升级方法可使我们对Trac软件的结构有更深的认识,所以我在这里也简单介绍一下如何手动升级Trac软件包。
为了减少软件冲突,最好把旧版软件包的程序删除:
___FCKpd___263
/data/trac实例目录不能删除。 |
升级软件包,下载最新的Trac软件包,并安装:
___FCKpd___264
升级实例:
___FCKpd___265
升级文档:
___FCKpd___266
Subversion是新一代的开源版本控制系统,用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书,已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。
安装:
___FCKpd___267
创建一个新的储存库:
___FCKpd___268
在/data/svn目录创建一个新的空储存库,数据储存方式默认采用Berkeley DB。
导入你的源码:
___FCKpd___269
把/data/ldap整个目录导入到储存库中的ldap目录中,储存库的ldap目录会自动创建。
显示储存库内容:
___FCKpd___270
显示ldap目录内容,成功导入。
上面我使用了file:///形式的URL来访问Subversion库,这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问,这就需要用到其它的协议,下表是Subversion支持的各种访问协议:
Table 8.1. 访问协议
协议 | 访问方法 |
---|---|
file:/// | 通过本地磁盘访问。 |
http:// | 与Apache组合,通过WebDAV协议访问。 |
https:// | 同上,但支持SSL协议加密连接。 |
svn:// | 通过svnserve服务自定义的协议访问。 |
svn+ssh:// | 同上,但通过SSH协议加密连接。 |
下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式:
首先要安装好Apache2,并安装好提供WebDAV访问和svn访问的的mod_dav模块和mod_dav_svn模块:
___FCKpd___271
配置文件位于/etc/apache2/mods-enabled/目录下,配置文件共有两个,分别是dav_svn.conf和dav_svn.load,dav_svn.load文件负责装载必要的模块,内容如下:
___FCKpd___272
在装载mod_dav_svn.so前,必须先装载mod_dav.so模块。它由dav.load文件控制,内容如下:
___FCKpd___273
dav_svn.conf是mod_dav_svn.so模块的配置文件,内容如下:
___FCKpd___274
修改/data/subversion目录访问权限使它可被Apache进程访问,我的Apache是用www-data启动的,所以设置方法如下:
___FCKpd___275
通过Apache的用户验证功能可以区别匿名用户和验证用户,从而赋予匿名用户读权限和验证用户读/写的权限。这些权限只能在全局范围内设置,不能设置具体的某个目录是否能被某个用户操作。要实现目录级别的授权,就要使用mod_authz_svn.so模块提供的AuthzSVNAccessFile指令。它会指定一个授权文档,该授权文档设置具体的目录权限。根据上面的配置,授权文档名叫dav_svn.authz,它的内容如下:
___FCKpd___276
在该文件中使用的用户需在apache2的用户文件/etc/apache2/dav_svn.passwd中预先设置好。 |
系统安全是应用的基础,一个安全的系统才能长时间不间断运行,有效支持我们的应用。建立一个安全的系统需要一个好的软硬件平台,但更重要的是要有一个优秀的系统管理员能及时地发现安全问题和解决安全问题。
如何评价一个系统的安全程度,美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级,分别是:
A1级:验证设计级(Verified Design),A1级是这套评价标准里的最高安全级别。要求组成系统的每个组件都需提供安全保证,并在出厂、销售、安装等的步骤中仍需保持这些特性。
B3级:安全域级(Security Domain)
B2级:结构化保护级(Structured Protection)
B1级:标记安全保护级(Label Security Protection)
C2级:受控安全保护级,Unix、Linux和Windows NT都是C2级的产品。
C1级:自主安全保护级(Discretionary Security Protection)
D1级:安全保护欠缺级,Dos、Windows 95/98是D1级的产品。
TCSEC标准是计算机系统安全评估的第一个正式标准,于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准,后来延用于民用领域。随着技术的不断发展,新的功能被不断开发出来,对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后,美国联合英、法、德、荷和加拿大,会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。
CC是目前最全面的安全评价准则,1996年6月,CC的第一版发布;1998年5月,第二版发布;1999年10月CC V2.1版发布,并正式成为ISO标准。
有关各种安全评价准则的详细介绍请参考相关的文档,这里就不一一展开说明了。
安全策略涉及系统、网络、数据和人员等方方面面。下面介绍的内容将帮助你提高系统安全。
在lilo.conf里设置密码控制,使用户在开机时需输入开机密码。
___FCKpd___277
由于lilo.conf包含有开机密码,所以我们需把该文件的访问权限设置成只有root用户可访问,且不能更改。操作步骤如下:
___FCKpd___278
chattr +i这个命令也适用于一些重要的文件,以防被破坏恶意修改。
在bash shell下输入的每条命令,都会存放在内存,当退出当前shell时,内存中的命令就会保存在.bash_history文件中。它们最多可记录500条命令。该功能的好处是可以记录你输入过的命令,方便查询和重复调用。但如果你在命令行上输入过密码,则很可能会泄漏给其他人,造成安全问题。所以我们要根据自已的安全要求和使用习惯,重新设置历史命令的记录情况。保存的命令行数受bash shell的HISTSIZE和HISTFILESIZE这两个环境变量控制。HISTSIZE控制当前shell中保存在内存中的历史命令行数,这些命令可用上下方向键来重复调用。HISTFILESIZE控制退出当前shell时保存在.bash_history文件中的命令行数,.bash_history里记录的命令行会在下一次登录shell时被读入内存供用户调用。这两个命令在/etc/profile文件中设置,设置方法如下:
___FCKpd___279
在/etc/profile时设置TIMEOUT环境变量,使bash shell在一定的时间内没有操作的情况下自动注销。如:
___FCKpd___280
口令限制
终端使用限制
登录限制
防火墙
身份验证
加密
数字签名
内容检查
反病毒、反垃圾邮件
Table of Contents
在Debian系统中有很多的配置文件,这些配置文件都很重要,控制着系统和应用程序的运行。下面记录这些配置文件的存放位置、作用和配置参数,以便我们在系统维护中能快速定位和配置这些文件。
上面这三个文件是bash shell的用户环境配置文件,位于用户的主目录下。其中.bash_profile是最重要的一个配置文件,它在用户每次登录系统时被读取,里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词,目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。
.bashrc文件会在bash shell调用另一个bash shell时读取,也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本,以便统一配置用户环境。
.bash_history是bash shell的历史记录文件,里面记录了你在bash shell中输入的所有命令。可通过HISTSIZE环境变量设置在历史记录文件里保存记录的条数。
.bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。
在/etc目录的bash.bashrc和profile是系统的配置文件,当在用户主目录下找不到.bash_profile和.bashrc时,就会读取这两个文件。
这三个配置文件用于系统帐号管理,都是文本文件,可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息,/etc/shadow用于存放每个用户加密的密码,/etc/group用于存放用户的组信息。
/etc/passwd文件的内容如下:
___FCKpd___281
每一行是由分号分隔的字串组成,它的格式如下:
___FCKpd___282
如果启用shadow口令功能,password的内容为“x”,加密的密码转而存放到/etc/shadow文件中。如果password的内容为“*”,则该帐号被停用。使用passwd这个程序可修改用户的密码。
/etc/shadow存放加密的口令,该文件只能由root读取和修改。下面是shadow文件的内容:
___FCKpd___283
/etc/shadow文件的格式如下:
___FCKpd___284
在debian系统中,使用shadowconfig on/off命令可控制启用和禁用shadow口令功能。
/etc/group是帐号分组文件,控制用户如何分组。下面是组文件的内容:
___FCKpd___285
它的格式如下:
___FCKpd___286
这里的password代表组口令,很少用到。它可使原先不在这个群组中的用户可以通过newgrp命令暂时继承该组的权限,使用newgrp命令时会新开一个shell。口令的加密方式和passwd文件中的口令一样,所以如果需设置组口令,要用passwd程序虚设一个用户,再把该用户password节中的加密口令拷贝到/etc/group文件中。members列代表组成员,我们可把需加入该组的用户以逗号分隔添加到这里即可。同一组的成员可继承该组所拥有的权限。
login.defs是设置用户帐号限制的文件,在这里我们可配置密码的最大过期天数,密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项,则以/etc/shadow里的设置为准,也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选:
___FCKpd___287
该文件可控制根用户登录的设备,该文件里记录的是可以作为根用户登录的设备名,如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来,再用su命令转为根用户。/etc/securetty文件的格式如下:
___FCKpd___288
如果/etc/securetty是一个空文件,则根用户就不能从任务的设备登录系统。只能以普通用户登录,再用su命令转成根用户。如果/etc/securetty文件不存在,那么根用户可以从任何地方登录。这样会引发安全问题,所以/etc/securetty文件在系统中是一定要存在的。
作用:GNOME桌面系统的用户级启动文件,该文件里的脚本在GNOME桌面系统启动时会自动执行,如果在用户主目录中没有该文件,用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中,该配置文件的内容如下:
___FCKpd___289
G_FILENAME_ENCODING参数的官方解析可参考网址:http://developer.gnome.org/doc/API/2.0/glib/glib-running.html
作用:设置GTK+ 1.x程序的配置文件,默认已有字体配置选项,与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用,可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 :
___FCKpd___290
该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置,可在该文件中配置。文件的内容和上面的一样。
作用:gtk2.0程序的设置文件,如果不存在,可手工创建。配置GTK2.0程序字体的配置如下:
___FCKpd___291
该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc,注意是gtkrc,而不是gtkrc-2.0,默认该文件也是没有的,需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件,则该文件的配置优先级是最高的,即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字,则你不能用gnome-font-properties字体配置程序更改该设置。
kdm的配置文件,默认kdm是不允许root用户登录的,如果我们需以root用户登录,我们需修改kdmrc文件,把
___FCKpd___292
改为
___FCKpd___293
kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。
Internet网络服务文件,记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务,它由4个字段组成,中间用TAB或空格分隔,分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。
___FCKpd___294
一般情况下,不要修改该文件的内容,因为这些设置都是Internet标准的设置。一旦修改,可能会造成系统冲突,使用户无法正常访问资源。
Linux系统的端口号的范围为0--65535,不同范围有不同的意义。
___FCKpd___295
该文件是网络协议定义文件,里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型,它有3个字段,中间用TAB或空格分隔,分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。
___FCKpd___296
不要对该文件进行任何修改。
网络接口参数配置文件,下面是一个配置示例,它在一个网络接口中配置了两个静态IP地址:
___FCKpd___297
下面是一个从DHCP服务器自动获得IP地址的示例:
___FCKpd___298
该文件是DNS域名解析的配置文件,它的格式很简单,每行以一个关键字开头,后接配置参数。resolv.conf的关键字主要有四个,分别是:
___FCKpd___299
/etc/resolv.conf的一个示例:
___FCKpd___300
最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。
当系统中同时存在DNS域名解析和/etc/hosts主机表机制时,由该/etc/host.conf确定主机名解释顺序。示例:
___FCKpd___301
order是关键字,定义先用本机hosts主机表进行名称解释,如果不能解释,再搜索bind名称服务器(DNS)。
这两个文件是tcpd服务器的配置文件,tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下:
___FCKpd___304
/etc/hosts.allow控制可以访问本机的IP地址,/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突,以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例:
___FCKpd___305
ALL关键字匹配所有情况,EXCEPT匹配除了某些项之外的情况,PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。
hdparm命令是很有用的,它可以设置驱动器的运行参数,以提高系统性能,如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script,该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script,并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令,从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明,并有几个典型的示例。我们只要修改一下示例就可以用了。如:
___FCKpd___306
重启电脑就可使配置生效。
Table of Contents
inode(发音:eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息:
所属用户和组的ID
文件类型(一般文件、链接、目录等)
存取权限
文件建立、存取和修改的时间
Inode被改动的时间
连接到该文件的数目
文件大小
该文件在磁盘中第一个块的位置
在编译Linux程序时,我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库(shared libraries)相关的。共享函数库就象Windows系统里的.dll文件,它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余,程序当中就不用包含每个常用函数的拷贝,只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因,我们不希望叫程序去调用共享函数库的函数,而是在函数代码直接链接入程序代码中,也就是说,在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接(Statically Linked)。
禁止非root用户登录系统
在/etc目录下新建一个nologin文本文件,内容随意。当系统发现该文件,就会禁止其它用户登录,并显示该文件内容。
禁用CTRL+ALT+DEL组合键,防止非法重启电脑。
修改/etc/inittab文件,注释掉以下内容即可:
___FCKpd___307
重新配置键盘布局
___FCKpd___308
要在终端下使用中文,可安装zhcon平台,该平台自带多种输入法,包括拼音和五笔。zhcon要求内核支持framebuffer功能。软件的安装方法很简单,使用以下命令即可:
___FCKpd___309
modconf是一个内核模块配置工具,我们可利用该工具增删正在运行的内核模块。修改可保存,下次重启服务器修改仍有效。它修改的配置文件是/etc/modules。
Debian系统有很多配置文件,系统的功能都是通过这些配置文件来配置的,所以这些文件是非常重要的,特别对系统管理员来说,在日常工作都需和这些文件打交道。作为一个合格的系统管理员,应该要确保系统的稳定,并在出错后能迅速恢复。所以在修改这些配置文件前,应该以.old为后缀进行备份,并修改文件属性为只读,确保能准确恢复到初始状态。
___FCKpd___310
使用write username [tty]命令可与其它终端在线通信。用Ctrl+D结束输入并发送信息。wall命令可向所有用户发送信息。
在.profile文件中设置mesg n命令可阻止其它用户用write发送过来的信息。
/etc/issue是一个文本文件,里面的内容会在用户登录前被显示在终端上。/etc/issue.net文件是供网络登录的用户使用的。
/etc/motd是一个文本文件,里面的信息会在用户登录终端时显示,该文件经常被用作系统公告,用于把最新的信息通知终端用户。
使用losetup个程序可在Linux下实现虚拟光驱功能。
/proc目录下的文件包含大量系统的信息,通过cat命令可直接查看。
/proc/cpuinfo,CPU相关的信息,如主频、型号、缓存等。
/proc/interrupts,中断信息。
/proc/ioports,设备IO端口信息。
/proc/meminfo,内存信息,如MemTotal、MemFree、Cached等。
/proc/partitions,分区信息。
/proc/pci,PCI设备信息。
/proc/swaps,Swap分区的信息。
/proc/version,Linux版本信息。
/var/run/utmp是一个二进制文件,记录当前登录系统的用户信息。可用who或w命令显示当中的内容。如:
___FCKpd___311
/var/log/wtmp也是一个二进制文件,记录每个用户的登录次数和持续时间等信息,可以last命令输出当中内容,如:
___FCKpd___312
安装sysvinit软件包可管理debian中启动的各种服务。
sync命令可强制把缓存中所有未保存的数据写回磁盘中,有效保证数据的完整性。
/proc/ide/hd*/media文件只有一行,记录ide设备的类型(cdrom、disk、type、floppy)如:
___FCKpd___313
通过/proc/ide/hd*/model文件,可以查询到ide设备的型号信息,如:
___FCKpd___314
通过/proc/ide/hd*/geometry文件,可以查询到ide设备的参数(cylinders/heads/sectors)。如:
___FCKpd___315
在Linux上有各种的压缩文件格式,不同的压缩格式用不同的程序来处理
.gz压缩包用gunzip程序
.Z压缩包用uncompress程序
.zip压缩包用unzip程序
.bz2压缩包用bunzip2程序
从XFree86转到X.org后,配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中,xtt字体渲染模块并入freetype,所以要注释掉xtt模块,重新启用freetype。
___FCKpd___316
如果没启用freetype模块,则系统会找不到GB2312和GB18030编码的X11核心中文字体,影响freemind、xmms等要使用X11核心字体程序的中文显示。
UTC表示国际标准时间,CST表示中国标准时间,UTC比CST慢8小时。使用tzconfig工具可以配置本机的时区。
dpkg -L packagename命令可列出已安装的软件包的所有文件及其所在的目录。
crontab -e命令可以创建当前用户的定时任务,如每天8点发一封邮件给管理员等。设置格式如下:
___FCKpd___317
每小时的01分执行一次ping命令的示例:
___FCKpd___318
几种特殊符号:
___FCKpd___319
用crontab -e命令设置的是用户级的任务计划,系统的任务计划在/etc/crontab文件中设置,它是一个文本文件,设置的语法是一样的。如:
___FCKpd___320
run-parts命令后指定一个目录名为参数会自动搜索并执行该目录下所有的可执行文件。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。