» Общие вопросы по FreeBSD

Цитата:

подмонтировать его кда-нибудь,
а в конфиге dhcp прописать
option root-path "/path-to-mounted-iso/";

сделал:

Код: mdconfig -a -t vnode -u0 -f /home/XP_GamerEdition.iso
mount -t cd9660 /dev/md0 /mnt

Цитата:

получаю "CDBOOT: Couldn't find NTLDR"

меня вот это наводит на мысль.


Цитата:

1.bif - из образа XP_GamerEdition.iso взял... (на его месте был pxeboot)

а зачем вы так сделали.

я так систему не ставил никогда - не было необходимости, но делал другие вещи.
мой опыт в этой области частично вот тут:



Добавлено:
http://keyhell.org/diskless.html

# uname -a
FreeBSD my.bsd 6.2-RELEASE FreeBSD 6.2-RELEASE #0: Fri Jan 12 10:40:27 UTC 2007 root@dessler.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386


Код: # X

X Window System Version 7.2.0
Release Date: 22 January 2007
X Protocol Version 11, Revision 0, Release 7.2
Build Operating System: FreeBSD 6.2-RELEASE i386
Current Operating System: FreeBSD my.bsd 6.2-RELEASE FreeBSD 6.2-RELEASE #0: Fri Jan 12 10:40:27 UTC 2007 root@dessler.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386
Build Date: 26 June 2007
Before reporting problems, check http://wiki.x.org
to make sure that you have the latest version.
Module Loader present
Markers: (--) probed, (**) from config file, (==) default setting,
(++) from command line, (!!) notice, (II) informational,
(WW) warning, (EE) error, (NI) not implemented, (??) unknown.
(==) Log file: "/var/log/Xorg.0.log", Time: Fri Jun 29 02:37:17 2007
(==) Using config file: "/usr/local/etc/X11/xorg.conf"

Fatal server error:
could not open default font 'fixed'

Судя по FAQ (см. ссылку в логе), шрифт fixed должен жить в /usr/local/lib/X11/fonts/misc/
Может, шрифты не установлены?
Хорошо бы рассказать, как ставил/апгрейдил, и показать
pkg_info | grep xorg

# pkg_info | grep xorg [more]
linux-xorg-libs-6.8.2_5 Xorg libraries, linux binaries
xorg-apps-7.2 X.org apps meta-port
xorg-clients-6.9.0_3 X client programs and related files from X.Org
xorg-docs-1.3,1 X.org documentation files
xorg-drivers-7.2 X.org drivers meta-port
xorg-fonts-100dpi-7.2 X.Org 100dpi bitmap fonts
xorg-fonts-75dpi-7.2 X.Org 75dpi bitmap fonts
xorg-fonts-cyrillic-7.2 X.Org Cyrillic bitmap fonts
xorg-fonts-encodings-6.9.0_1 X.Org font encoding files
xorg-fonts-miscbitmaps-7.2 X.Org miscellaneous bitmap fonts
xorg-fonts-truetype-6.9.0 X.Org TrueType fonts
xorg-fonts-truetype-7.2 X.Org TrueType fonts
xorg-libraries-7.2_1 X.org libraries meta-port
xorg-server-1.2.0_2,1 X.Org X server and related programs
[/more]

ставил как указано в /usr/ports/UPDATING

/usr/local/lib/X11/fonts]# ls -l

Код: total 162
drwxr-xr-x 2 root wheel 65536 Jun 26 10:53 100dpi
drwxr-xr-x 2 root wheel 65536 Jun 26 10:59 75dpi
drwxr-xr-x 2 root wheel 1024 Jun 25 03:10 OTF
drwxr-xr-x 2 root wheel 512 Jun 25 03:10 TTF
drwxr-xr-x 2 root wheel 3072 Oct 20 1997 URW
drwxr-xr-x 2 root wheel 512 Jun 25 03:10 bitstream-vera
drwxr-xr-x 2 root wheel 2560 Jun 25 02:55 cyrillic
drwxr-xr-x 3 root wheel 1536 Jun 25 02:55 encodings
drwxr-xr-x 2 root wheel 512 Jun 28 10:39 local
drwxr-xr-x 2 root wheel 12800 Jun 26 11:04 misc
drwxr-xr-x 2 root wheel 512 Jun 25 02:55 util

Как в FreeBSD_шном загрузчике вместо FreeBSD написать что-то другое?

странно всё. поставил 6.2 ,
что даже /stand/sysinstall не найден.
хотя и инет подключил. порты не стали.
ставил раз 8 с 4-х сд-двд. какой-то мрак,
а не образ.
может проект dedyd??
собственно вопрос!
если нет /stand/sysinstall -- куда податься?

Цитата:

странно всё поставил 6.2 ,
что даже /stand/sysinstall не найден.
хотя и инет есть. порты не стали.
ставил раз 8 с 4-х сд-двд. какой-то мрак,
а не образ.

рассказывайте по шагам.

расказывать особо нечего.
видно все приводы плохие.
то вообще ядро не устанавливалось,
а сей раз хотя бы загруз. уст... src + X

дык может не приводы, а диски?
хотя это все вряд ли.

/stand/sysinstall

теперь просто sysinstall
от root

А кто нибудь сталкивался с запуском ntpd в ограниченном окружении (chroot или в jail)? Что-то не могу разобраться в стартовом скрипте, там устройство какое-то, а его в ядре нет.

Цитата:

А кто нибудь сталкивался с запуском ntpd в ограниченном окружении (chroot или в jail)?

А зачем он там? джейлу прав не хватит время менять.

Запусти его снаружи, время веравно ведь одно на всех.

Gremlin19

Цитата:

/stand/sysinstall

теперь просто sysinstall
от root

действительно,спасибо!!

Вопрос по ssh. Включил демон sshd, подключаюсь к нему через интернет с помощью Putty. Под рутом зайти не получается (что логично), под обычным юзером не работает половина нужных мне команд (ipfw, squid -k reconfigure) плюс не имею доступа к файлам настройки сквида и ipfw. То есть админить сервер через ssh не получается.

Пользователя, которым коннекчусь к серверу, добавил в группу wheel командой "pw groupmod wheel -M root,user". Что делаю неправильно? Как настроить юзера так, чтобы мог выполнять нужные мне команды?

griin
можно ручками прописать необходимого юзера в группу wheel (это в файле /etc/groups)
А после коннекта по ssh под этим пользователем даешь команду su и становишься рутом - после чего делай что хочешь....
Либо указывай полный путь к файлу команды которую хочешь выполнить...

griin
поставить sudo и там настроить разрешение на запуск нужных вам команд, а что мешает стать рутом, после входа обычным пользователем ? su и вперёд!

Цитата:

Что делаю неправильно? Как настроить юзера так, чтобы мог выполнять нужные мне команды?

есть два варианта:
1) su - в составе системы. позволяет авторизоваться как пользователь root и далее работать.
2) sudo - в базовой системе нет, но есть в портах, security, как мне кажется. из достоинств: очень тонко настраивается для каждого пользователя группы, вызова только отдельных команд и т.п. и т.д.

без рутовских прав работать с ipfw, squid и т.п. - смысла не имеет. всякие полурешения типа раздачи прав на соответствующие бинарники - это ересь, которая вредит системе.

кроме того, не вздумайте (т.е. не стоит) давать права на вход руту. это глупо и вредно для безопасности системы. те, кто придумал не давать доступ руту по ssh, были правы.

кроме того, подумайте над тем, чтобы ssh доступ делать по ключам, а не по связке login/pass. это, впрочем, в том случает если доступ из внешней сети и есть нужда в еще большей безопасности.

keyhell

Цитата:

2) sudo -

ты забыл еще одно дописать - чтобы работать с помощью sudo не надо знать пароль рута.


Добавлено:
griin
использовать su - может только юзер из группы wheel , вобщем ты на правильном пути, но лушче все таки посмотри в сторону судо.

Цитата:

ты забыл еще одно дописать - чтобы работать с помощью sudo не надо знать пароль рута.

ну да

правда надо знать его пароль, чтобы sudoers подправить

Спасибо всем большое ) Настроил sudo, все прекрасно работает. Su через ssh использовать побоялся, так как у меня возник один небольшой вопрос по безопасности. При коннекте через ssh, какая разница между тем, что я сразу логинюсь под рутом и тем, что я сначала логинюсь под обычным юзером, а потом с помощью su получаю права рута?

И еще один вопрос, значительно более глобальный. Собственно из-за этой задачи я и стал изучать FreeBSD. Есть сервер с 5 сетевухами, сейчас используются только две: одна смотрит в интернет, вторая в локалку. Интернет канал иногда падает, то на 5 минут, то на полчаса, юзеры этим недовольны. Есть второй интернет канал, который я включаю в одну из свободных сетевух.

Задача настроить систему так, чтобы, в случае если первый канал нормально работает, весь трафик шел через него, в случае если канал падает, чтобы трафик автоматом перенаправлялся на второй канал. Далее как только первый канал оживает трафик снова автоматом должен идти через него.

Понимаю, что вопрос очень глобальный и, возможно, объяснить его в двух словах не получится, по этому хотелось бы получить направление, по которому продолжать дальнейшее изучение системы...

Поиск юзал, но внятных мануалов найти не сумел, буду благодарен за любую информацию, ссылки итп...

Добавлено:

Цитата:

правда надо знать его пароль, чтобы sudoers подправить

ага, после того как зашел на сервер через ssh первым делом полез проверять получится исправить этот файл или нет ))

keyhell

Цитата:

без рутовских прав работать с ipfw, squid и т.п. - смысла не имеет. всякие полурешения типа раздачи прав на соответствующие бинарники - это ересь, которая вредит системе.

почему ересть и почему вредит ?? помойму очень удобно, особенно когда давать права можно только на то что нужно, а не всю систему, учитывая то что пишет автор
Цитата:

Как настроить юзера так, чтобы мог выполнять нужные мне команды?

этоже не говорит что ему root нужен? да и не думаю что вы дадите root, всем кому нужно будет к примеру добавлять самому или удалять правило ipfw

Цитата:

правда надо знать его пароль, чтобы sudoers подправить

....и установить =)

griin

Цитата:

Su через ssh использовать побоялся, так как у меня возник один небольшой вопрос по безопасности. При коннекте через ssh, какая разница между тем, что я сразу логинюсь под рутом и тем, что я сначала логинюсь под обычным юзером, а потом с помощью su получаю права рута?

при коннекте через ssh логин и пароль передаются обычным текстом...
А вот уже после логирования соединение начинает шифроваться.

Цитата:

при коннекте через ssh логин и пароль передаются обычным текстом...
А вот уже после логирования соединение начинает шифроваться

Во блин, так получается, что использовать su безопаснее чем sudo. Ведь в первом случае я логинюсь пользователем, у которого нет почти никаких прав и если его пароль перехватят, то сделать под этой учеткой ничего плохого не смогут, а во втором случае сама учетка уже имеет права, которые кому попало лучше не иметь... Правильно рассуждаю?

griin
Вам советовали для ssh сделать аутентификацию по сертификату, а не по логину/паролю.
А в случае использования сертификатов - это безопаснее...

И не забываем, что для того, чтобы выполнить команду su пользователь должен быть в группе wheel.
И в таком случае логин под ним по ssh тоже не безопасен... то есть по сути оба метода - логин по ssh с использованием пароля и sudo - на одном уровне безопасности...

Так что проблему надо решать по аутентификации перед сервером...
Предлагаю использовать криптографические сертификаты.

Цитата:

почему ересть и почему вредит ??

тут есть несколько потенциальных проблем.
1) дали права на чтение/запись обычному пользователю там, где это не следует делать - значит подвергли систему опасности, что этот пользователь будет скомпрометирован и от его имени будет рушиться система.

в *BSD, да и в UNIX в целом, довольно четко продумано то, какие права должны стоять на определенные бинарники. менять это следует крайне аккуратно и вдумчиво.

2) будете обновлять систему, к примеру, через cvsup, или просто что-то из портов пересоберете - все ваши права слетят. потом будете разбираться с тем, какие права вы там полгода назад понаставили и как теперь все это вернуть назад.


Цитата:

этоже не говорит что ему root нужен? да и не думаю что вы дадите root, всем кому нужно будет к примеру добавлять самому или удалять правило ipfw

sudo.


Цитата:

Во блин, так получается, что использовать su безопаснее чем sudo. Ведь в первом случае я логинюсь пользователем, у которого нет почти никаких прав и если его пароль перехватят, то сделать под этой учеткой ничего плохого не смогут, а во втором случае сама учетка уже имеет права, которые кому попало лучше не иметь... Правильно рассуждаю?

нет.
прочтите про sudo.

там можно _конкретному_ пользователю дать права на _конкретную_ команду. ее он будет иметь возможность выполнить как рут, а все остальные нет.

и т.д. и т.п.

Цитата:

при коннекте через ssh логин и пароль передаются обычным текстом...
А вот уже после логирования соединение начинает шифроваться.

Что за бред? Вы путаете ssh и telnet. В ssh при установке соединения трафик начинает шифроваться, а не после логина.

А для усиленой безопасности крайне рекомендуется переназначить порт ssh с 22 на вам известный порт, т.к. полным сканированием сервака обычно заниматься некогда, к томуже сканирование легко отслеживается и атакующий блокируется.

К томуже можно сделать su два раза, первый чтобы залогиниться под пользоватем из группы wheel, а второй раз уже под root.

keyhell

Цитата:

sudo.

именно это я имел ввиду, не установку правд доступа на бинарники, а через sudo разрешение на их запуск простым юзерам.

Цитата:

да и не думаю что вы дадите root, всем кому нужно будет к примеру добавлять самому или удалять правило ipfw

отдельно объясню:

в данном случае я сделаю следующее:
1) проверю и подумаю - зачем каким-то пользователям менять что-то в правилах ipfw.
2) настрою sudo так, чтобы пользователь мог выполнять только конкретную команду ipfw (ну и еще может рестарт ipfw).
если можно будет ввести больше ограничений, то сделаю по максимуму...



Добавлено:

Цитата:

именно это я имел ввиду, не установку правд доступа на бинарники, а через sudo разрешение на их запуск простым юзерам.

ну значит все прояснили



Добавлено:

Цитата:

А для усиленой безопасности крайне рекомендуется переназначить порт ssh с 22 на вам известный порт, т.к. полным сканированием сервака обычно заниматься некогда, к томуже сканирование легко отслеживается и атакующий блокируется.

скажем так:

безопасности много не бывает, и все такое, но..
достаточным можно считать, если запрещено логиниться пользователю root и авторизация идет по ключам, а парольная вообще запрещена.
плюс, если уж есть возможность указать с каких хостов можно подключаться, то это вообще идилия.

перенос номера порта - это фикция безопасности, т.к. стандартные боты, которые тупо перебирают по словарю, конечно же отвалятся, но вот "умный" человек все равно отсканит и очень легко найдет порт ssh.

посему лучше всего:
1) по ключам.
2) с опред. хостов.
3) [opt.] мешают записи о переборе в логах - блокируйте после 2-ой попытки и будет вам счастье, а уж если парольная запрещена, то просто забить...