一、packages 安裝

       pkg_add -v filename.tgz 擴展名是 tgz

       所有安裝過的軟件都會出現(xiàn)在 /var/db/pkg 的目錄中。

       pkg_delete filename 刪除軟件

       pkg_info filename.tgz 查看這個軟件的信息。

       pkg_info 查看系統(tǒng)中所有已安裝軟件的信息。

       pkg_tree 可以讓我了解每一套軟件之間的關(guān)系，不過要先安裝！

       cd /usr/ports/sysutils/pkg_tree

       make install clean

       pkg_tree | more 來查看各軟件之間的關(guān)系。

      用 packages 安裝的軟件，不能馬上執(zhí)行，要馬上能執(zhí)行要先執(zhí)行 rehash 或注銷后再重新登入即可執(zhí)行。

二、ports

       把在 A 系統(tǒng)上面可以正常運作的程序，修正成 B 系統(tǒng)上也能正常執(zhí)行的工作，稱為 Port。

       抓 port.tar.gz 檔案回來，放在 /usr 下解壓縮

      要安裝哪一種軟件就切換到它分類的目錄中，如要安裝 proftpd ，目錄就在 /usr/ports/ftp/profptd 中，執(zhí)行 make install 即可，它除了安裝 proftpd 外，還會把缺的檔案也一起抓回來安裝，安裝完后可執(zhí)行 make clean 把安裝編譯過程中產(chǎn)生的一個檔案清除。

尋找需要安裝的 Port

在 /usr/ports 使用 make search key="ncftp" | less

反安裝軟件，只要在該軟件的目錄中執(zhí)行 make deinstall 即可。

一些不常用的 make 方式

make fetch 抓回所需的原始檔

make fetch-list 顯示安裝所需的檔案

make all install 抓回原始檔、編譯且安裝

make reinstall 若先前發(fā)生意外中斷，重新嘗試安裝。

如果安裝完新的軟件之后，如果使用的 Shell 是 csh 或 tcsh ，我們可能必須執(zhí)行 rehash 來重建 hash table ，才能執(zhí)行安裝好的軟件。

FreeBSD 安裝 Mysql、PHP、Apache

一、安裝 Mysql 用 Source Code 安裝

在 /etc/group 加入 mysql:*:100:

執(zhí)行 vipw 加入一行

mysql:*:100:100::0:0:Mysql User:/usr/local/mysql:/sbin/nologin

tar -xvzf mysql-3.23.52.tar.gz

cd mysql-3.23.52

./configure --prefix=/usr/local/mysql --with-charset=big5 --with-low-memory --with-named-thread-libs=-lc_r

make;make install

script/mysql_install_db

chown -R mysql:msqyl /usr/local/mysql

cd /usr/local/mysql/share/mysql

./mysql.server.start

/usr/local/mysql/bin/mysqladmin -u root -password 'xxxx';

grant all privileges on dbname.* to username@localhost IDENTIFIED BY 'password';

grant all privileges on *.* to username@localhost IDENTIFIED BY 'password';

flush privileges;

在 /etc/rc.local 加入一行

/usr/local/mysql/share/mysql/mysql.server start

備分數(shù)據(jù)庫

/usr/local/mysql/bin/mysqldump -u root -p dbname > dbname.sql        備份

/usr/local/mysql/bin/mysql -u root -p dbname < dbname.sql 還原 之前可能要先把數(shù)據(jù)庫建好

更改使用者密碼

/usr/local/mysql/bin/mysqladmin -u root -p password newpassword

二、安裝 PHP、Apache

apache_1.3.27.tar.gz

mod_fastcgi_2.2.12.tar.gz

php-4.2.3.tar.gz

gd-1.84.tar.gz

zlib-1.1.4.tar.gz

t1lib-1.3.1.tgz

freetype2-2.0.6.tgz

jpeg-6b_1.tgz

png-1.2.1.tgz

先解壓縮 apache 并做一次 Apache 的組態(tài)

tar -xvzf apache-1.3.27.tar.gz

./configure --prefix=/usr/local/apache

cd ..

安裝 PHP 之前先安裝 GD 及其所需檔案

tar -xvzf zlib-1.1.4.tar.gz

cd zlib-1.1.4

make all install

cd ..

pkg_add -v jpeg-6b_1.tgz

pkg_add -v png-1.2.1.tgz

pkg_add -v t1lib-1,3,1,tgz

pkg_add -v freetype2-2.0.6.tgz

tar -xvzf gd-1.8.4.tar.gz

cd gd-1.8.4

make install

cd ..

安裝 PHP

tar -xvzf php-4.2.3.tar.gz

cd php-4.2.3

./configure --with-mysql=/usr/local/mysql --with-apache=../apache-1.3.27 --enable-track-vars --with-gd=/usr/local --enable-gd-native-ttf --with-t1lib --with-jpeg-dir=/usr/local --with-png-dir --with-freetype-dir --with-zlib-dir

make;make install

cp php.ini-dist /usr/local/lib/php.ini

cd ..

安裝 Apache

cd apache_1.3.27/src/modules

tar -xvzf ../../../mod_fastcgi-2.2.12.tar.gz

mv mod_fastcgi-2.2.12 fastcgi

cd ../../

./configure --prefix=/usr/local/apache --enable-shared=max --activate-module=src/modules/php4/libphp4.a --activate-module=src/modules/fastcgi/libfastcgi.a --enable-suexec --suexec-caller=nobody --suexec-docroot=/usr/local/apache/htdocs --suexec-userdir=www --suexec-logfile=/usr/local/apache/logs/suexec_log --suexec-uidmin=10 --suexec-gidmin=10

make;make install

加入對 PHP4 的支持

在 /usr/local/apache/conf/httpd.conf 加入二行

AddType application/x-httpd-php .php .phtml .php3

AddType application/x-httpd-php-source .phps

讓 Apache 在開機時能夠啟動

在 /etc/rc.local 加入 /usr/local/apache/bin/apachectl start

在 /etc/newsyslog.conf 加入二行以壓縮備份 Apache Log 檔

/var/log/apache_access_log    644    7    *    $W0D1    Z

/var/log/apache_error_log    644    7    *    $W0D2    Z

安裝 ProFtpd

Make sure you have the following lines in your PAM configuration file

so that ProFTPd's PAM module can authenticate users correctly.

ftpd auth    required    pam_unix.so         try_first_pass

ftpd account required    pam_unix.so         try_first_pass

ftpd session required    pam_permit.so

###

===>   Generating temporary packing list

===>   Compressing manual pages for proftpd-1.2.6

===>   Registering installation for proftpd-1.2.6

===>  SECURITY NOTE:

      This port has installed the following startup scripts which may cause

      network services to be started at boot time.

/usr/local/etc/rc.d/proftpd.sh.sample

安裝 SNMP

If you want to invoke snmpd from startup, put these lines into

     /etc/rc.conf.

        net_snmpd_enable="YES"

        net_snmpd_flags=""

**** You can specify make variables as:

        NET_SNMP_SYS_CONTACT="kuriyama@FreeBSD.org"

        NET_SNMP_SYS_LOCATION="Tokyo, Japan"

        DEFAULT_SNMP_VERSION=3

        NET_SNMP_LOGFILE=/var/log/snmpd.log

        NET_SNMP_PERSISTENTDIR=/var/net-snmp

     to define default values (or overwriting defaults).  At least

     setting first two variables, you will not be prompted during

     configuration process.  Or you can set

        BATCH="yes"

     to make to avoid interactive configuration.===>   Compressing manual pages for net-snmp-5.0.6

===>   Running ldconfig

/sbin/ldconfig -m /usr/local/lib

===>   Registering installation for net-snmp-5.0.6

===>  SECURITY NOTE:

      This port has installed the following startup scripts which may cause

      network services to be started at boot time.

/usr/local/etc/rc.d/snmpd.sh

安裝 NAT

修改 /etc/rc.conf

一塊網(wǎng)絡(luò)卡 ifconfig_rl0_alias0="inet 192.168.1.1  netmask 255.255.255.0"

二塊網(wǎng)絡(luò)卡 ifconfig_rl1="inet 192.168.1.1  netmask 255.255.255.0"

加入下列五行

gateway_enable="YES"

firewall_enable="YES"

firewall_type="OPEN"

natd_interface="rl0"

natd_enable="YES"

FreeBSD 指令集

cp -p 檔案拷貝過去還是維持原來的權(quán)限

避免 /bin 及 /sbin 等重要執(zhí)行檔遭到修改，可以為這些檔案設(shè)定禁止修改的 schg flag

chflags schg /bin/*

chflags schg /sbin/*

設(shè)定了 schg ，還要將 Kernel Security Level 調(diào)高到 1 以上，這樣連 root 都不可以移除 flags 。

Kernel Security Level

FreeBSD 中有所謂的 Security Level ，它掌控了系統(tǒng)核心的行為運作。只有 root 可以使用指令提高 Security Level ，但不能降低它。如果要降低它，必須在 rc.conf 中設(shè)定，并重新開機。

Security Level 代表的意義：

-1：永遠不安全模式。這是默認值。如果為 -1 ，它將永遠以 Level 0 的模式執(zhí)行。

0 ：不安全模式。使用者或 root 可以使用 chflags 來移除「不可更動」及「只能附加」的 flags。所有的裝置只能依其權(quán)限來存取。

1：安全模式。不可以移除「不可更動」及「只能附加」的 flags 。不可以手動加載或移除 LKM ，使用 /dev/mem /dev/kmem 只能只讀，且不能 newfs 已掛上的檔案系統(tǒng)。

2：高度安全模式。除了和安全模式同樣的限制外，不管硬盤是否掛上，都不可以 newfs。另外，Kernel Time 的改變限制在一秒內(nèi)，如果超過，會記錄 "Time adjust-ment clamped to +1 second".

3：網(wǎng)絡(luò)安全模式。除了和安全模式同樣的限制外，還有 IP 封包過濾的規(guī)則，而且不可以調(diào)整 dummynet 的設(shè)定。

可以利用 sysctl 來顯示或設(shè)定 Security Level

sysctl kern.securelevel

 將 Security Level 設(shè)為 1

sysctl -w kernel.securelevel=1

當(dāng)我們將 Security Level 設(shè)為 1 以上時，我們會發(fā)現(xiàn)沒有辦法安裝新的 Kernel ，因為不能移除 schg flag ，也沒有辦法使用 big5con 、 X Window 等軟件。如果 FreeBSD 只作 Server ，就可以把 Security Level 的值調(diào)高一點。

在開機時設(shè)定 Security Level ，可以在 /etc/rc.conf 中加入以下二行設(shè)定

#是否啟動 Security Level

kern_securelevel_enable="YES"

# Level 從 -1 到 3

kern_securelevel="1"

只能用 root 使用指令提高 Security Level，但不能降低，如果要降低，必須在 /etc/rc.conf 中設(shè)定，重新開機才會生效。 

限制使用者郵件容量就是將使用者的郵件從 /var/mail 中搬移到使用者的目錄中，再對使用者目錄做磁盤配額的限制。

cd /var/mail

mkdir /home/username/mail

mv /var/mail/username /home/username/mail

ln -s /home/username/mail username

限制 crontab 和 at 的使用

在 /var/cron 目錄中編輯 allow 的文字文件，里面的人才可以使用 cron

                                       deny 的文字文件，里面的人不可以使用 cron

at 也是一樣的設(shè)定。

停止 Sendmail 在 /etc/rc.conf 中加入 sendmail_enable="NO"

使用 sysctl 來設(shè)定當(dāng)外部機器要使用我們沒有提供的服務(wù)時運記錄下來，例如有人嘗試掃我們的 Port ，或者我們沒有開放 telnet ，在 /var/log/message 中便會記錄下來。

#sysctl -w net.inet.tcp.log_in_vain=1

#sysctl -w net.inet.udp.log_in_vain=1

這二行加入 /etc/rc.local 中 或是在 /etc/sysctl.conf 加入下面二行

 net.inet.tcp.log_in_vain=1

net.inet.udp.log_in_vain=1

在 /etc/rc.conf 加入一行停止 inted 服務(wù)

inetd_enable="NO"

為了防止一些 DoS (Deny of Service) ，建議最好把 ICMP 重導(dǎo)向 ( redirect ) 的封包丟棄，可以在 /etc/rc.conf 中加入以下的設(shè)定：

# YES 表示丟棄 ICMP REDIRECT 封包

icmp_drop_redirect="YES"

# YES 表示將丟棄的封包記錄下來

icmp_log_redirect="YES

　

sshd 預(yù)設(shè)并未將使用者登入的數(shù)據(jù)記錄下來，可以利用修改 /etc/syslog.conf 來記錄，找到 seccrity 的項目，將它修改成下面這樣：

security.*;auth.info    /var/log/security

如此一來，當(dāng)使用者利用 ssh 登入時，便會記錄在 /var/log/security 中。

列出目前系統(tǒng)提供的服務(wù)

netstat -a | grep LISTEN

sysctl -a 可以列出目前 Kernel 狀態(tài)值的設(shè)定

列出空間使用最多的前 5 位

du -s /home/* | sort -m | head -5

FreeBSD 有一種特別的權(quán)限控制，稱之為「flags」，這些 flags 的設(shè)定可以讓我們用來保護特殊的檔案。可以用 ls -ol 來加以觀看。

nodump	檔案不可以被 dump，只有檔案擁有者和 root 可以設(shè)定
sappnd	檔案只可以往后附加，不能刪除，只有 root 可以設(shè)定
schg	檔案不可以被更動，連 root 都不能刪除，只有 root 可以設(shè)定
uappnd	檔案只可以往后附加，不能刪除，檔案擁有者和 root 才可以設(shè)定
uchg	檔案不可以被更動，檔案擁有者和 root 才可以設(shè)定

最新評論