Права доступа к файлам и директориям в UNIX

Одной из сложных задач для начинающего веб-разработчика является правильное использование chmod для установки прав доступа к файлам на UNIX и Linux веб-серверах. Вы должны установить правильные права на CGI скрипты, чтобы не появлялись эти ужасные сообщения «500 Server Error». В этом руководстве, мы собираемся объяснить концепцию прав, и показать вам как устанавливать права используя FTP утилиты или при помощи Telnet.

[Disclaimer: Данная статья была переведена в рамках «Конкурса на лучший перевод статьи» на сервисе Quizful. Ссылка на оригинал находится внизу страницы.]

Что такое права?

На веб-сервере UNIX, каждый отдельный файл и папка, хранящиеся на жестком диске имеет ряд прав, связанных с ним, в котором говорится, кто и что может делать с файлом. У каждого файла (и папки) также есть «владелец» и «группа» связанная с ним. Если вы создали файл, то как правило владельцем файла являетесь вы и ваша группа, или группе связанной с директорией в которой вы создали файл.

Кто может изменять права?

Есть три типа пользователей которые имеют доступ к файлам — Владелец файла, члены Группы, владеющей файлом и Остальные (все прочие). В UNIX эти 3 типа пользователей обозначаются буквами U (для Владельца, или Юзер), G (для Группы), и O (для Остальных).

Какие права можно устанавливать?

Есть три основных прав доступа котороые могут быть применены к файлам и директориям:

  1. Вы можете читать содержимое файлов. Для каталогов — просматривать перечень имен файлов в каталоге.
  2. Вы можете писать (или изменять) файл. Для каталогов — создание и удаление файлов из директории.
  3. Вы можете исполнять (запускать) файлы, если это бинарные программы или скрпты. Для каталогов — иметь доступ к файлам в директории.

Что означают все эти буквы и цифры?!

Здесь мы рассмотрим основы. Как вы можете заметить их не так уж и много на самом деле!

Путаница часто происходит, когда Вам надо сделать установку прав на сервере. Для CGI скриптов необходимо устанавливать права что-то вроде «Chmod 755» или «Убедитесь, что файл является исполняемым». Кроме того, при использовании FTP или SSH, вы увидите множество забавных букв рядом с файлами (например, rwxrw-rw). Сейчас мы объясним, что означают эти иероглифы!

Когда вы подключаетесь по FTP на ваш веб-сервер, вы вероятно увидите что-то типа этого возле каждого файла и папки:

drwxrwxrwx

Эта последовательность букв drwxrwxrwx означает права, установленные для этой папки (заметим, что их часто называют атрибутами FTP программы). Давайте разберем, что каждая из этих букв означает:

d         r    w     x       r    w     x       r    w     x
Owner Group Other
Directory Read Write Execute Read Write Execute Read Write Execute

Как вы можете видеть, последовательность букв разделяется на 3 колонки по 3 буквы каждая, обозначающие каждый из типов пользователей (владелец, члены группы, и все остальные).

Существует также и буква «d» атрибут слева, который говорит нам о том, что данный объект является директорией.

Если любая из этих букв заменена на дефис (-), то это означает, что разрешение не установлено. Например:

drwxr-x--x 

Директория, у которой есть права на чтение, запись и исполнение для владельца, чтение и выполнение для группы и только выполнение для всех остальных.

-rw-rw-rw-

Файл, который может быть прочитан и изменён всеми, но не исполняем ни для кого.

-rw-r--r-- 

Файл который может прочитать и изменить пользователь, а прочитать только пользователи группы и остальные пользователи.

Использование чисел вместо букв

Как мы уже раньше говорили, вас будут часто просить установить права с помощью чисел таких, как «set 755 permissions». Что означают эти цифры?

Каждое из трех чисел соответствует каждой букве (r w x) о которых мы говорили ранее. Иными словами, первое число определяет права для владельца, второе число определяет права для группы, а третье число определяет права для всех остальных.

Каждое число может принимать одно из восьми значений в диапазоне от 0 до 7. Каждое значение соответствует определенным правам на чтение, запись и выполнение «, как указано в этой таблице:

Number     Read(R)     Write(W)     Execute(X)
0 No No No
1 No No Yes
2 No Yes No
3 No Yes Yes
4 Yes No No
5 Yes No Yes
6 Yes Yes No
7 Yes Yes Yes

Для примера:

777 =  rwxrwxrwx
755 = rwxr-xr-x
666 = rw-rw-rw-
744 = rwxr--r--

Настройка разрешений

Два самых распространённых способа установить разрешения на файлы и папки это с помощью FTP или SSH. Давайте рассмотрим первым FTP.

Установка разрешений с помощью FTP

С помощью FTP вы сможете установить права на ваши файлы, выбрав файл (в отдельном окне) и правой кнопкой мыши выбрать необходимые вм опции, такие как CHMOD или Set permissions или же выбрав в меню пункт CHMOD / Set permissions.

Как видите, довольно легко установить или убрать права на чтение, запись и выполнение для владельца, группы и других, используя флажки. Кроме того, вы можете ввести в эквиваленте 3-значный номер, если вы уже знаете как (см. предыдущий раздел). Все очень просто!

Установка разрешений с помощью SSH

Другой распространенный способ установить разрешения на файлы с помощью SSH (или консоли). Это в целом быстрее, если вы хотите изменить права на большое количество файлов одновременно (например, изменение всех. CGI файлов в папке только на вполнение).

После того, как вы подключитесь по SSH к вашему серверу, и залогинетесь в систему, перейдите в папку, содержащую файлы, которые вы хотите изменить, например:

cd mysite/cgi-bin 

Использование буквенного способа

Вы можете использовать буквы u (владелец / пользователь), g (группы) и o (другие), чтобы установить разрешение для каждого из типов пользователей, а также r (чтение), w (запись) и x (выполнение) для установки прав.

Вы также можете использовать «a» вместо u, g и o, что является синонимом для всех пользователей (u, g, o).

Вы можете назначить разрешения, используя либо знак плюс (+), которое означает «добавить эти права», знак минус (-), что означает «удалить эти разрешения», или знак равенства (=), что означает «изменить разрешения для конкретного случая «. Например:

chmod a+x formmail.cgi добавляет разрешение на выполнение для всех пользователей в файле formmail.cgi (другими словами, делает исполняемый файл).

chmod u=rwx formmail.cgi чтение, запсь и выполнение для владельца (разрешений для группы и для других остаются без изменений).

chmod go-w formmail.cgi удаляет запись для группы и для других, в результате чего разрешения владельца остаются неизменными.

Проверка разрешений

Вы можете проверить разрешения на все файлы и папки в текущей директории с помощью команды:

ls -l

Это покажет Вам разрешение для каждого файла и папки, так же, как и FTP программы.

Happy CHMOD’ing!

———-
Оригинальный текст статьи: Understanding Permissions (UNIX)

Команды FreeBSD

Здесь представленны основные команды FreeBSD для мониторинга системы и не только.


Информация о дисках

mount — показывает смонтированные подразделы и флаги из монтирования
df — показывает смонтированные подразделы, их размер и свободное место на них
fdisk /dev/ad0 — показывает информацию о диске ad0 и разделах на нем
disklabel /dev/ad0s1 — показывает список подразделов в первом разделе диска ad0
swapinfo — показывает список подразделов свопинга на дисках и их использование
fstat — показывает список открытых файлов (имена файлов не выводятся)
pstat -f — выводит список открытых файлов (имена файлов не выводятся)
systat -vmstat n — каждые n секунд выводит количество транзакций с диском в секунду, объем записанных/считанных данных на диск в секунду, средний размер транзакции и процент времени в течение которого диск был занят работой.
iostat — выводит информацию, аналогичную systat -vmstat, но не выводит занятости диска по времени и может выводить среднюю статистику с момента загрузки.
vmstat — выводит количество операций на диске в секунду
/stand/sysinstall — можно посмотреть и изменить разметку диска и монтирование
less /etc/fstab — таблица монтирования при загрузке
du -h /путь к каталогу — выводит размер каталога
gstat — выводит статистику о записи на диски(очередь) очень удобно!!!

Ремонт файловой системы

fsck — проверка диска на ошибки

Информация о процессоре и памяти

systat -vmstat n(systat -v 1) — вывод показателей загрузки (number of jobs in the run queue averaged over 1, 5 and 15 min), состояния памяти (в страницах), количества процессов в группах, количество вызовов специальных функций ядра (traps, interrupts, system calls, network software interrupts), использование процессора, трансляции имен, активность свопа, прерывания, а также информацию по использованию диска (см)
top — аналогичная информация в сокращенном виде + использование памяти и свопа в мегабайтах, список процессов, отсортированных по использованию процессора.
ps afx — список запущенных процессов и время процессора на каждый

Информация о сети

ifconfig — список сетевых интерфейсов с ip-адресами, масками, mac-адресами, типами карт и их статусами (названия карточек можно посмотреть в файле конфигурации ядра)
systat -ifstat n — объем трафика за n секунд на всех сетевых интерфейсах
netstat — вывод активных сетевых соединений (сокетов)
systat -netstat n — аналог netstat в реальном времени
systat -ip n — таблица IP-пакетов и ошибок по типам за n секунд
systat -tcp n — таблица TCP-пакетов и ошибок по типам за n секунд
systat -icmp n — таблица ICMP-пакетов и ошибок по типам за n секунд
netstat -ibt — список интерфейсов, разбитых по ip-адресам (!) с объемом трафика на каждом, количеством ошибок, коллизий, значением watchdog-таймера
netstat -r — таблица маршрутизации
arp -a — таблица ARP
tcpdump -i rl0 host 192.168.61.20 and port 80 — сниффер пакетов на интерфейсе rl0, фильтрующий пакеты, содержащие адрес 192.168.61.20 и порт 80
trafshow -i rl0 — программа для сортировки и вывода сетевых потоков (устанавливается дополнительно пакетом или из портов)

Службы времени

date — выводит текущее время и дату
date 201010012312 — устанавливает время 23:12 01-10-2010
— выводит, сколько времени назад система загрузилась и залогиненных пользователей
last — выводит историю перезагрузок и входов пользователей

Работа над файлами
tar -xzf archive.tgz — разархивировать архив *.tar.gz
unzip archive.zip — разархивировать архив *.zip

Поиск файлов
find /etc -name «*.conf» -найти в каталоге /etc все файлы с расширением .conf
find /etc -name «moy_f*» -найти в каталоге /etc все файлы имя которого начинается с moy_f

По материалам syscentr

Перенос FreeBSD сервера с ZFS root файловой системой на новый pool

Попались мне под руку пара винтов побольше и еще один компьютер. Наслышан я о чудесах и простоте переноса ZFS и решил попробовать.

Задача перенести сервер под FreBSD, что уже работает, на новый сервер с помощью ZFS.

Ну и так сказать своеобразный бекап.

Бекап это сомнительно. Потому как на исходном тоже стоит всё на «мирроре»

Создаем ключ

# ssh-keygen

# cat /root/.ssh/id_rsa.pub | ssh root@127.0.0.1 ‘cat >> /root/.ssh/authorized_keys’

[root@server ~]# zpool list -v

NAME                                     SIZE  ALLOC   FREE    CAP  DEDUP  HEALTH  ALTROOT

Грузимся с CD и работаем в Live-режиме mfsBSD

# mkdir /root/.ssh

# camcontrol devlist

vi /etc/ssh/sshd_config 

В конфиге разрешаем root-у логиниться. 

Отключаем DNS проверку, чтобы побыстрее было немного. 

PermitRootLogin yes 

UseDNS no 

Задаем пароль для пользователя root: 

# passwd root 

Указываем интерфейсу нужный IP адрес 

ifconfig re0 add 127.0.0.0.1/24 

или dhclient re0

запускаем sshd: /etc/rc.d/sshd onestart

Далее создаём разделы…

# gpart create -s gpt ada0

# gpart add -b 40 -s 512k -t freebsd-boot ada0

# gpart add -s 8g -t freebsd-swap ada0

# gpart add -t freebsd-zfs ada0

[root@mfsbsd ~]# gpart show

=>        40  1953522976  ada0  GPT  (932G)

          40        1024     1  freebsd-boot  (512K)

        1064    16777216     2  freebsd-swap  (8.0G)

    16778280  1936744736     3  freebsd-zfs  (924G)

Создаем пул:

# zpool create -f tank /dev/ada0p3

Пул готов к приёму данных.

Переходим на сервер-источник. 

Создаем рекурсивный снапшот, который и будем передавать:

# zfs snapshot -r tank@21-04-13 

Передаем его на сервер приемник:

# screen

# zfs send -vR tank@21-04-13 | ssh 127.0.0.0.1 zfs recv -F tank

Ждем окончания передачи. У меня примерно 213 GB передавалось около 12 часов.

Переходим опять на сервер-приемник root@mfsbsd:~ 

# csh

# zfs list -t snapshot 

# zpool list

# mkdir /tmp/tank

# mount -t zfs tank/root /tmp/tank

# gpart bootcode -b /tmp/tank/boot/pmbr -p /tmp/tank/boot/gptzfsboot -i 1 ada0

# chroot /tmp/tank

Ввиду того, что с сервера-источника нам передалось всё, то поправим немного /etc/fstab. Дело в том, что своп на источнике подключен в fstab по меткам gpt. 

Настройка по меткам

# cat /etc/fstab

/dev/gptid/dadde41e-913d-11eb-92f9-ac1f6bd74a62 none swap sw 0 0

# gpart list

2. Name: ada0p2

   Mediasize: 8589934592 (8.0G)

   Sector Size: 512

   Stripe Size: 4096

   Stripe Offset: 0

   Mode: r0w0e0

   defimedia: HD(2,GPT,fffe5673-d7ad-11dd-a24d-50465d8ab2bb,0x428,0x1000000)

   rawuuid: fffe5673-d7ad-11dd-a24d-50465d8ab2bb

   rawtype: 516e7cb5-6ecf-11d6-8ff8-00022d09712b

   label: (null)

   length: 8589934592

   offset: 544768

   type: freebsd-swap

   index: 2

   end: 16778279

   start: 1064

# vi /etc/fstab 

/dev/gptid/dadde41e-913d-11eb-92f9-ac1f6bd74a62 none swap sw 0 0 >

fffe5673-d7ad-11dd-a24d-50465d8ab2bb

Второй вариант без меток

[root@msfbsd ~]# cat /etc/fstab 

# Device Mountpoint FStype Options Dump Pass#

### /dev/gpt/swap0 none swap sw 0 0

>

/dev/ada0p2 none swap sw 0 0

Правим файлы в скопированной системе.

[root@mfsbsd ~]#

# zfs umount -a

# exit

Скажем кто у нас bootfs и сделаем экспорт:

# zpool set bootfs=tank/root tank

# zpool export tank

# shutdown -r now

На источнике можно удалить ненужный снапшот: 

# zfs destroy -r tank@move

Взял на afabla немного подправил на свой лад. Автору респект!

Добавление жесткого диска в FreeBSD

Вы узнаете, как за 5 минут добавить жесткий диск в FreeBSD. Итак. Сначала будет преведена полная инструкция для понимания процесса, а в конце будет краткий список действий, которое будет содержать лишь список команд в качестве шпаргалки.

Подробная инструкция с пояснениями

Выбор имени жесткого диска

Для начала нужно определить имя устройства, которое мы только что добавили. В этом нам поможет следующая команда:

geom disk list
01 - geom disk list

Или же вот такая команда:

camcontrol devlist
02 - camcontrol devlist

В реальной системе эти команды покажут более полезную информацию, а именно: названия устройств и их серийные номера.

До установки нового устройства мы знали, что наша система установлена на ada0, значит по логике вещей наш новый диск ada1. Это вы можете определить по названию нового устройства, его серийному номеру или же объему.

Теперь проверим, имеется ли разметка на нашем новом диске

gpart show ada1
03 - gpart show ada1

Диск не имеет никакой разметки.

Удаление существующей разметки

Если диск уже использовался и есть необходимость удалить с него разметку, просто выполните:

gpart destroy -F ada1

Создание разметки GPT

Для начала мы должны создать разметку диска. Крайне рекомендую забыть о MBR и перейти на новую, более удобную и функциональную — GPT.

Создаем разметку GPT на диске, затем проверяем, что вышло:

gpart create -s gpt /dev/ada1
gpart show ada1
04 - gpart create gpt

Теперь у нас диск имеет разметку GPT. Из вывода можно увидеть, что абсолютно весь диск, начиная с LBA 34 и заканчивая LBA 8388541 пуст. LBA 0−33 — зарезервированы системой под таблицу разделов.

Допустим, нам необходимо создать два раздела на этом диске:

  • swap — раздел подкачки
  • data — раздел типа ufs для хранения каких либо, необходимых нам, данных.

Создание разделов (слайсов)

Если установка производится на современные жесткие диски, у которых размер сектора = 4 кб, то при создании разделов (партиций) необходимо использовать выравнивание. Можно поступить двумя способами: 1) если указываем параметры раздела в блоках, то номер блока вводить кратным 8, например: -b 40; 2) если указываем размер раздела в байтах, либо не указываем вообще начало и размер, использовать параметр -a 4k, который подгонит начало и конец раздела под секторы, размером 4 кб. Так как мы в данном примере производим тестовую установку на виртуальный жесткий диск, то этого можно не делать. В любом случае перед созданием разделов нужно точно знать размер сектора вашего накопителя, иначе это выльется жуткими тормозами в работе.

Теперь создадим разделы. Для этого существует команда gpart add с различными параметрами. Первый параметр -t — указывает на тип создаваемой файловой системы. В нашем случае будет использовано два типа: freebsd-swap и freebsd-ufs. Далее идут два необязательных параметра: -b — указывает на номер LBA, начиная с которого необходимо создать раздел. Если не указать данный параметр, то раздел будет создан автоматически с первого свободного LBA. -s — указывает на размер раздела в LBA. Размер одного блока LBA = 512 байт. Желательно указывать в количестве блоков LBA, но можно и в кило/мега/гига/… байтах (суффикс k/M/G). Если не указать данный параметр, то раздел будет создан до максимально возможного LBA в пределах пустой области. Также в качестве параметра можно указать метку раздела, например: -l swap1 — в этом случае будет создана метка /dev/gpt/swap1, по которой можно более удобно обращаться к разделу. Последним обязательным параметром идет путь к диску. В нашем случае: /dev/ada1.

Давайте создадим два раздела, а затем посмотрим, что у нас получилось. Первый раздел будем создавать без указания начального LBA, но с указанием размера 1 Гб (2097152 блоков). Второй раздел создадим без указания начального LBA и без указания размера — таким образом он будет создан на всем свободном пространстве.

gpart add -t freebsd-swap -s 2097152 /dev/ada1
gpart add -t freebsd-ufs /dev/ada1
gpart show ada1
05 - gpart add

Размер можно указывать в байтах, а не блоках. Это значительно удобней. Единственный минус — система не всегда может корректно рассчитать количество блоков. Возможны случаи, когда на диске останется пустовать некоторое количество блоков при указании размера раздела в байтах.

Создание файловой системы (форматирование)

Разделы типа swap форматировать нет необходимости. А вот разделы типа ufs перед использованием должны быть отформатированы. Правильнее сказать: на них должна быть создана файловая система.

Для того, чтобы создать файловую систему на втором разделе, достаточно выполнить следующую команду:

newfs -U /dev/ada1p2
06 - newfs

В данном случае использовался параметр -U — он говорит о том, что в данной файловой системе должен использоваться механизм Soft Updates. Вы можете не использовать этот параметр, чтобы не включать данный механизм.

Монтирование

Следующим шагом будет монтирование разделов. Для начала, чтобы не забыть, добавим наши новые разделы в /etc/fstab. Мой файл после редактирования выглядит вот так:

07 - etc fstab

Я добавил две строки: первая монтирует swap, вторая монтирует новый раздел в каталог /mnt. На деле у вас должен быть какой-то более значимый каталог. Каталог /mnt служит для временно монтированных устройств.

Для того, чтобы перемонтировать все разделы согласно файла /etc/fstab, просто выполним команду:

mount -a
08 - mount a

Как видно из вывода, раздел /dev/ada1p2 смонтирован. Теперь посмотрим, что произошло с разделом SWAP. Выполним команду:

swapinfo
09 - swapinfo 1

Как видно, новый раздел SWAP не смонтирован. Чтобы смонтировался SWAP, необходимо его включить специальной командой:

swapon /dev/ada1p1
10 - swapon

Точно так же при помощи команды swapoff нужно отключать раздел SWAP перед тем, как произвести над ним какие-то действия.

На этом все действия по добавлению нового жесткого диска в систему завершены.

Краткая инструкция

Дано: жесткий диск /dev/ada1

Цель: удалить существующую разметку, создать новую разметку GPT, создать два раздела: подкачка и данные и подключить их к рабочей системе.

После каждого действия выполняйте gpart show, чтобы наблюдать за результатом. Последовательность действий:

  1. Удалить существующую разметку: gpart destroy -F ada1
  2. Создать новую разметку: gpart create -s gpt /dev/ada1
  3. Создать два раздела: подкачка и данные: gpart add -t freebsd-swap -s 2097152 /dev/ada1 gpart add -t freebsd-ufs /dev/ada1
  4. Создать файловую систему UFSv2 на втором разделе: newfs -U /dev/ada1p2
  5. Добавить в файл /etc/fstab строки для автомонтирования при загрузке: /dev/ada1p1 none swap sw 0 0 /dev/ada1p2 /mnt ufs rw 2 2
  6. Смонтировать новый раздел (команда монтирует все разделы из файла /etc/fstab): mount -a
  7. Включить в работу новый раздел swap командой: swapon /dev/ada1p1

На этом настройка завершена.

Из материалов denisbondar.com

Шпаргалка по работе с портами FreeBSD

За несколько лет работы с FreeBSD собрал множество заметок по работе с софтом в FreeBSD. Собрав их все в месте выкладываю в одном посте.

Содержание:

  1. Поиск портов;
  2. Установка и конфигурирование  порта;
  3. Аудит установленных портов и зависимостей между ними;
  4. Удаление портов;
  5. Обновление портов.

Поиск портов
Поиск порта можно осуществить четырьмя способами:

Поиск портов 1-й способ:

#: cd /usr/ports

#: make search name=<имя_порта>

Поиск портов 2-й способ:

#: cd /usr/ports#: make search key=

Поиск портов 3-й способ:

#: cd /usr/ports#: locate <название_порта>

Поиск портов 4-й способ:

#: whereis <название_порта> 


Установка и конфигурирование  портов

Процедура установки

Рассмотрим процедуру инсталляции порта по этапам.

1. Конфигурирование порта:

#: make config

2. Конфигурирование и установка необходимых зависимостей порта

#: make configure

3. Сборка 

#: make

4. Установка

#: make instal

5. Очистка созданных во время компиляции и конфигурирования файлов

#: make clean


Операции можно сократить:

#: make configure && make && make install && make clean


Полезные опции утилиты make

Просмотреть получившуюся конфигурацию (созданную командой make config) порта можно командой:

#: make showconfig

Загрузка всех зависимых портов:

#: make fetch-recursive

У каждого порта можно узнать список его  зависимостей:

#: make all-depends-list

#: make run-depends-list

#: make build-depends-list

Удаление файлов созданных во время сборки зависимых портов:

#: make clean-depends

Переустановка пакета:

#: make reinstall


Обновление установленного порта

Для поддержания системы в актуальном состоянии необходимо периодически производить обновление установленных пакетов.

Это можно сделать с помощью утилиты portupgrade (/usr/ports/sysutils/portupgrade/)

Обновление порта:

#: portupgrade название_программы

Если вы хотите обновить только определенное приложение, но не полностью базу данных, используйте portupgrade pkgname, с флагом -r, если portupgrade должен отработать все пакеты, которые зависят от указанного, и использовать флаг -R для отработки всех пакетов, которые требуют указанные пакеты.

Так же можно обновить пакет перейдя в его директорию в папке /usr/ports/ и выполнив:

#: portupgrade 


Обновление дерева портов через portsnap 

Для первого запуска:

#: portsnap fetch

#: portsnap extract

Для всех последующих запусков:#: portsnap fetch

#: portsnap update

Или

#: portsnap fetch update


Обновление портов с помощью portupgrade

#: portsnap fetch update

#: portupgrade -arR

Второй командой будут скачаны исходники всех портов, нуждающихся в обновлении, распакованы, скомпилированы и инсталлированы в порядке, определяемом зависимостями.

Ключи portupgrade:

-a — обновление всех портов, для которых portversion выявила «старение» по сравнению с текущим деревом;

-r — рекурсивное обновление всех портов, которые зависят от установленных и обновляемых;

-R — рекурсивное обновление всех портов, от которых зависят пакеты, установленные в системе.

Две последние опции могут показаться тавтологичными, но это не так: только их сочетание позволяет корректно обновить все установленные ранее пакеты (да и то не всегда — в некоторых случаях может потребоваться ручное вмешательство). 


Устранение возможных неполадок и пере конфигурирование собранного порта

Варианты развития событий:

Вариант 1 — необходимо пере конфигурировать пакет.Необходимо удалить собственную заданную с помощью make config конфигурацию:

#: make rmconfig

Затем можно начинать с начало всю процедуру инсталляции

Вариант2 — необходимо пересобрать порт с другим набором зависимостей или конфигурациями этих зависимостей.

Есть такой момент, что опции заданные через make configure задаются один раз. При последующих попытках пересбора порта могут появится сообщения вида:… Found saved configuration for <имя пакета> …Один раз заданные опции порта хранятся в /var/db/ports//options .

Для того чтобы иметь возможность заново переконфигурировать все зависимости пакета следует файл options удалить

Подробнее можно прочитать п. 5.11.2: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/porters-handbook/makefile-options.html


Удаление портов

Удаление портов с помощью утилиты pkg_deinstall

Ключ -r

#: pkg_deinstall -r

Удалить все пакеты, которые от него не зависят без учета зависимостей от него других пакетов. Т. е. удаляет порт и все, что от него зависит — рекурсия к листьям.

Ключ -R

#: pkg_deinstall -R

Удалить пакеты и пакеты, которые от него зависят — рекурсия к корню. При этом пакеты используемые в других портах будут пропущены (если pkg_deinstall без ключа -f).


Аудит установленных портов и зависимостей между ними

Утилита pkg_tree

Утилита pkg_tree строит визуальное дерево пакетов и их зависимостей.

#: cd /usr/ports/ports-mgmt/pkg_tree ; make install clean

Используемые ключи:

  1. -v — зависимости зависимостей.
  2. -t — чтобы показывать только верхнего уровня пакетов.
  3. -b — чтобы показать только нижний уровень пакеты.
  4. -t -q — даст список верхнего уровня пакетов без их зависимостей, установка только этих пакетов должны установить всех установленных пакетов.

Список установленных пакетов и портов:

#: pkg_info

Поиск установленных пакетов по части названия

Для поиска пакета с помощью утилиты pkg_info необходимо ввести не только полное название, но и версию пакета, что иногда может вызвать трудность.

C ключом -x можно указать только первую часть названия пакета:

#: pkg_ingp -xc lynk


Как узнать какие файлы относятся к данному пакету:

#: pkg_info -xL имя_пакета


Как узнать какому пакету необходимо обновление:

#: pkg_version -v | grep «need»

По материалам devicejuice

FreeBSD изменение имени хоста без перезагрузки

Сегодня поговорим про изменение имени хоста в FreeBSD без перезагрузки.

А вы знаете, как изменить имя устройства в FreeBSD, используя параметр командной строки?

Вам нужно использовать команду hostname, чтобы отобразить имя текущего хоста. Пользователь root может задать имя хоста, предоставив аргумент команде hostname. Тем не менее, редактирование файла /etc/rc.conf является хорошим способом сохранить постоянное имя хоста при перезагрузке системы. Откройте приложение терминала и введите следующую команду.

Отобразите текущее имя хоста FreeBSD

Просто введите следующую команду:

$ grep hostname /etc/rc.conf

ИЛИ

$ hostname

FreeBSD-Show-Hostname

Пример вывода:

Команда смены имени хоста FreeBSD

Процедура изменения имени компьютера во FreeBSD:

  1. Введите следующую команду для редактирования /etc/rc.conf с помощью текстового редактора vi: sudo vi /etc/rc.conf
  2. Удалите старое имя и установите новое имя в переменной hostname:
    Далее отредактируйте файл /etc/hosts: sudo vi /etc/hosts
  3. Замените любое имя существующего компьютера новым.
  4. Обновите имя хоста для текущего сеанса, введя следующую команду: sudo hostname new-name-here
  5. Необязательно: перезагрузите систему для того чтобы изменений вступили в силу: sudo reboot

Как изменить имя хоста сервера FreeBSD без перезагрузки системы?

Введите следующие команды на сервере FreeBSD:

$ sudo hostname new-server-name-here

Затем отредактируйте файл /etc/rc.conf и измените имя хоста:

$ sudo vi /etc/rc.conf

Пример:

hostname=»new-server-name-here»

Сохраните и закройте файл. Наконец, отредактируйте файл /etc/hosts и обновите строки, которые читают ваше имя старого хоста:

$ sudo vi /etc/hosts

Из:

127.0.0.1 old-host-name

В:

127.0.0.1 new-server-name-here

Сохраните и закройте файл.

Параметры команды hostname

Включите информацию о домене в выводимое имя. Это поведение по умолчанию:

$ hostname -f

Отключите любую информацию о домене в выводимом имени:

$ hostname -s

Вывод информацию о домене:

$ hostname -d

Получение дополнительной информации

Прочтите следующие страницы руководства:

$ man 5 rc.conf$ man 1 hostname

Спасибо за уделенное время на прочтение статьи!

Источник

Организация входа по SSH в окружение Live-диска FreeBSD

В процессе восстановления сбойного сервера гораздо удобнее проводить восстановительные работы с привычной рабочей станции, соединившись по SSH. 
При этом не всегда имеется возможность загрузить сбойную систему и обеспечить её доступ к сети, что вынуждает пользоваться Live-окружением в процессе восстановления. Ниже представлена инструкция, как запустить SSH-сервер в окружении FreeBSD Live CD.

Загрузившись в Live-CD запускаем командную оболочку через кнопку Shell.

Поднимаем и настраиваем сетевой интерфейс:

   dhclient em0

или при статическом назначении IP:

   ifconfig em0 inet 1.2.3.4 netmask 255.255.255.0 


Перемонтируем  раздел /etc  для обеспечения записи данных, создав доступный на
запись слой поверх оригинальной read-only основы при помощи UnionFS:

   mkdir /tmp/etc
   mount_unionfs /tmp/etc /etc
   
Правим конфигурацию sshd, например, разрешим вход от пользователя root:

   vi /etc/ssh/sshd_config

Установим пароль для пользователя root:

   passwd root

Запустим sshd (скрипт автоматически сгенерирует все нужные для хоста ключи):

   service sshd onestart


Подключаемся с другой машины по SSH и выполняем восстановительные работы.

Источник

Как сохранить файл в Vim/Vi и выйти из редактора

Vim является предпочтительным текстовым редактором для многих пользователей, которые проводят много времени в командной строке. В отличие от других редакторов, Vim имеет несколько режимов работы, которые могут быть немного пугающими для новых пользователей.

Vim или его предшественник Vi предустановлен на MacOS и почти во всех дистрибутивах Linux. Знание основ Vim поможет вам, если вы столкнетесь с ситуацией, когда ваш любимый редактор недоступен.

В этой статье мы объясним, как сохранить файл в Vim/Vi и выйти из редактора.

Режимы в Vim

Когда вы запускаете редактор Vim, вы находитесь в командном режиме. В этом режиме вы можете использовать команды vim и перемещаться по файлу.

Чтобы иметь возможность печатать текст, вам нужно войти в режим вставки, нажав клавишу i. Этот режим позволяет вставлять и удалять символы так же, как в обычном текстовом редакторе.

Чтобы вернуться в командный режим из любого другого режима, просто нажмите клавишу Esc.

Откройте файл в Vim/Vi

Чтобы открыть файл с помощью Vim, наберите vim за которым следует имя файла, который вы хотите отредактировать или создать:

vim file.text

Другой способ открыть файл – это запустить редактор и набрать :e file_name, где file_name имя файла, который вы хотите открыть.

Сохранить файл в Vim/Vi

Команда для сохранения файла в Vim есть :w.

Чтобы сохранить файл без выхода из редактора, вернитесь в командный режим, нажав Esc, введите :w и нажмите Enter.

Как сохранить файл в Vim/Vi и выйти из редактора
  1. Нажмите Esc
  2. Тип :w
  3. Нажмите Enter

Существует также команда обновления, :upкоторая записывает буфер в файл, только если есть несохраненные изменения.

Чтобы сохранить файл под другим именем, используйте :w filewname и нажмите Enter.

Сохраните файл и выйдите из Vim/Vi

Команда сохранить файл в Vim и выйти из редактора :wq.

Чтобы сохранить файл и выйти из редактора одновременно, нажмите, Esc чтобы переключиться в командный режим, введите :wq и нажмите Enter.

Как сохранить файл в Vim/Vi и выйти из редактора
  1. Нажмите Esc
  2. Тип :wq
  3. Нажмите Enter

Другая команда для сохранения файла и выхода из Vim – :x это запись буфера в файл, только если есть несохраненные изменения.

Выйдите из Vim/Vi без сохранения файла

Чтобы выйти из редактора, не сохраняя изменения, переключитесь в командный режим, нажав Esc, введите :q! и нажмите Enter.

Как сохранить файл в Vim/Vi и выйти из редактора
  1. Нажмите Esc
  2. Тип :q!
  3. Нажмите Enter

По материалам andreyex.ru

Отзыв сертификатов OpenVPN

Что делать в случае если требуется отказать какому-либо клиенту в доступе по его сертификату. Причины могут разными — закрытый ключ, связанный с сертификатом скомпрометирован или украден, пользователь забыл пароль на ключ, либо просто хотите прекратить доступ данного человека в вашу сеть. Решением этой задачи является создание списка отзыва сертификатов (Certificate Revocation List — CRL), в котором перечисляются отозванные вами клиентские сертификаты и руководствуясь которым сервер будет отклонять запросы.

В качестве примера, отзовём сертификат пользователя client2. Пример будет для Linux/BSD/Unix.

cd /usr/local/etc/openvpn
. ./vars
./revoke-full client2

В результате видим примерно следующее:

Using configuration from /usr/local/etc/openvpn/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Revoking Certificate 04.
Data Base Updated

или

Using configuration from /usr/local/etc/openvpn/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
client2.crt: /C=RU/ST=NN/O=TEST/CN=client2/emailAddress=me@myhost.ru
error 23 at 0 depth lookup:certificate revoked

Обратите внимание на «Ошибку 23» в последней строке, указывающую на неудавшуюся попытку проверки отозванного сертификата. Скрипт revoke-full как раз и создает CRL (certificate revocation list) — crl.pem. Этот файл (не является секретным) должен быть скопирован в каталог, видимый OpenVPN сервером, а путь к нему прописан в конфиге server.conf.

crl-verify /usr/local/etc/openvpn/crl.pem

Теперь при подключении, все клиентские сертификаты будут проверяться на наличие в CRL, и если таковое будет найдено, в соединении будет отказано. При использовании crl-verify в OpenVPN, CRL-файл перечитывается по умолчанию каждый час. Таким образом, если в момент добавления сертификата в исключения, клиент уже установил связь, то он будет продолжать работу. Чтобы изменения применились наверняка перезапустите демон OpenVPN сервера.

При отзыве сертификата бывает ещё ошибка такого вида:

error on line 282 of config file '....openvpn/easy-rsa/openssl.cnf'

Решается комментированием следующих строчек в openssl.cnf:

#[ pkcs11_section ]
#engine_id = pkcs11
#dynamic_path = /usr/lib/engines/engine_pkcs11.so
#MODULE_PATH = $ENV::PKCS11_MODULE_PATH
#PIN = $ENV::PKCS11_PIN
#init = 0

Напоследок замечу, что возможно сгенерировать новую пару сертификат/ключ с тем же именем, как у отозванного ранее сертификата. Например в случае, когда пользователь забыл свой пароль на предыдущий сертификат, и его отозвали по этой причине.

По материалам mdex-nn.ru

Как добавить нового пользователя в FreeBSD и поставить ему sudo (root) права

Для выполнения некоторых команд в системе FreeBSD требуется повышенные права (sudo). Разберемся, как создать пользователя во FreeBSD и выдать ему sudo права.

Содержание:

1. Создание пользователя во FreeBSD

2. Настройка sudo (root права) пользователю во FreeBSD

Я думаю что это не сильно сложные шаги, но все же рассмотрим их более подробно.

1. Создание пользователя во FreeBSD

Для начала нам необходимо получить повышенные права (root). Для этого выполним команду su и введем пароль от пользователя root:

su
Password:
root@freebsd:/home/username #

Теперь переходим к созданию пользователя. Для это воспользуемся командой adduser:

# adduser

Рассмотрим поля, которые нам далее придется заполнять:

Username: sysadmin
имя создаваемого пользователя
Full name: Ivan Ivanov
полное имя, можно оставить пусты, просто нажать Enter
Uid (Leave empty for default):
user id, можно ввести самому, начиная с номера 1001, либо нажать Enter, система выберет сама
Login group [sysadmin]:
группа в которую входит создаваемый пользователь, по умолчанию совпадает с именем
Login group is sysadmin. Invitesysadmin into other groups? []:
включить-ли пользователя в другие группы, если нет, жмем Enter
Login class [default]:
класс пользователя, о них поговорим чуть позже, на данном этапе, жмем Enter
Shell (sh csh tcsh nologin) [sh]: sh
здесь предлагается выбрать системную оболочку, если вы не собираетесь давать данной учетной записи, 
удаленный доступ к системе, например через SSH, вписываем nologin, 
либо выбираем из предложенных вариантов, я обычно ставлю sh
Home directory [/home/sysadmin]:
назначаем домашнюю директорию, если значение по-умолчанию устраивает, жмем Enter
Home directory permissions (Leave empty for default):
права доступа на домашнюю директорию, что-бы оставить по-умолчанию, жмем Enter
Use password-based authentication? [yes]:
использовать-ли авторизацию по паролю
Use an empty password? (yes/no) [no]:
можно-ли использовать пустые пароли
Use a random password? (yes/no) [no]:
система предлагает сгенерировать вам пароль, если вы хотите согласиться, нужно написать yes 
на заключительном этапе создания учетной записи, будет показан сгенерированный пароль
если предпочитаете ставить пароль вручную, жмите Enter
Enter password:
вводим пароль, имейте в виду, программа не покажет, что вы вообще что-либо вводите
так что будьте внимательны
Enter password again:
повторный ввод пароля
Lock out the account after creation? [no]:
заблокировать-ли учетную запись после создания

Если Вы планируете выдать в дальнейшем данному пользователю повышенные права, то сразу можно его при создании поместить в группу wheel.
В принципе создание пользователя на этом завершено

2. Настройка sudo (root права) пользователю во FreeBSD

Для начала нам необходимо установить sudo. Устанавливать будем из пакетов. Для начала обновим пакеты:

pkg update

Теперь установим сам пакет sudo

pkg install sudo

После установки у нас появится файл sudoers в директории /usr/local/etc. Давайте проверим, появился ли он?:

# cd /usr/local/etc
# ls -l sudoers
-r--r----- 1 root wheel 3646 20 авг. 21:36 sudoers

Да, файл есть, все хорошо. Данный файл создается с атрибутами «только чтение». Нам необходимо разрешить его редактирование:

# chmod u+w /usr/local/etc/sudoers

Давайте теперь отредактируем файл:

# mcedit /usr/local/etc/sudoers

находим файле строку root ALL=(ALL) ALL и под ней добавим нашего созданного пользователя:

...
##
## Runas alias specification
##

##
## User privilege specification
##
root ALL=(ALL) ALL
 sysadmin ALL=(ALL) ALL

## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL

## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL

## Uncomment to allow members of group sudo to execute any command
# %sudo ALL=(ALL) ALL

Для того, чтобы разрешить всей группе права суперпользователя, необходимо просто раскомментировать строчку %wheel ALL=(ALL) NOPASSWD: ALL Если вы ее расскоментируете в том виде, в котором она есть, то при вызове команды от суперпользователя пароль запрашиваться не будет. Чтобы пароль запрашивался, уберите надпись NOPASSWD. На этом все. Теперь, для того, чтобы вызвать команду с повышенными правами необходимо вначале набрать su. Например:

$ su service zabbix-server restart

Вроде бы мы подробно рассмотрели, как создать нового пользователя в операционной системе FreeBSD и как добавить ему права суперпользователя. Если у Вас что-то не получается или остались вопросы — задавайте их в комментариях, постараемся ответить и помочь.

По материалам sysadmin-note.ru