开源博客

Litrin

其实为什么有 CentOS？ CentOS 与 RHEL 有什么关系？

RHEL 在发行的时候，有两种方式。一种是二进制的发行方式，另外一种是源代码的发行方式。

无论是哪一种发行方式，你都可以免费获得（例如从网上下载），并再次发布。但如果你使用了他们的在线升级（包括补丁）或咨询服务，就必须要付费。

RHEL 一直都提供源代码的发行方式，CentOS 就是将 RHEL 发行的源代码从新编译一次，形成一个可使用的二进制版本。由于 LINUX 的源代码是 GNU，所以从获得 RHEL 的源代码到编译成新的二进制，都是合法。只是 REDHAT 是商标，所以必须在新的发行版里将 REDHAT 的商标去掉。

REDHAT 对这种发行版的态度是：“我们其实并不反对这种发行版，真正向我们付费的用户，他们重视的并不是系统�! ��身，而是我们所提供的商业服务。”

所以，CentOS 可以得到 RHEL 的所有功能，甚至是更好的软件。但 CentOS 并不向用户提供商业支持，当然也不负上任何商业责任。

我正逐步将我的 RHEL 转到 CentOS 上，因为我不希望为 RHEL 升级而付费。当然，这是因为我已经有多年的 UNIX 使用经验，因此 RHEL 的商业技术支持对我来说并不重要。

但如果你是单纯的业务型企业，那么我还是建议你选购 RHEL 软件并购买相应服务（按：RH在中国只有开发中心而没有支持中心，换而言之，买了支持也得不到）。这样可以节省你的 IT 管理费用，并可得到专业服务。

一句话，选用 CentOS 还是 RHEL，取决于你所在公司是否拥有相应的技术力量。

Litrin

SSH最初是由程序员Tatu Yloenen开发，包括SSH协议和服务软件，英文全称为Secure Shell（即安全外壳）。它实现了密钥交换协议及主机和客户端认证协议，在传送数据时把所有数据都加密传输，在接收方再进行解密，以防止网络窃听的发生。
SSH已经有了很多商品化版本，而且还有多种Unix/Linux系统平台上的免费版本。本文将主要以Linux操作系统为服务器（在其它的Unix或 Unix的派生操作系统上的操作也一样），Windows操作系统为客户端，介绍免费的商业SSH版本的安装及其实现。其重点是Linux服务器的配置。

软件的获得和安装

软件的获得可从http://www.openssh.org下载OpenSSH，当前最新版本为3.6.1，或者从http://www.ssh.com/ 下载针对Linux的非商业版本，当前最新版本为3.2，具体地址为：
SSH服务器地址 http://www.ssh.com/support/downloads/secureshellserver/non-commercial.html
SSH客户端地址 http://www.ssh.com/support/downloads/secureshellwks/non-commercial.html（这是一个For Windows的版本）。
不管是OpenSSh还是SSH Communications Security公司的SSH版本，在使用功能上基本一样，只是前者完全免费，而后者使用时要注意许可协议。从使用角度上可考虑，笔者认为后者更好用一些。本文着重介绍后者的安装和使用。
从SSH Communications Security公司下载的SSH服务器是源代码方式，文件名为ssh-3.2.3.tar.gz，必须对其进行编译和安装之后才能够使用。
我们假设软件的下载目录为root用户的宿! 主目录，即“/root”目录。解压缩完成后�! ��生成一个“ssh-3.2.3”的源代码目录,然后切换到源代码代码目录，进行软件安装前的配置，编译和安装。
安装成功后，在“/etc/”目录下会增加一个“ssh2”目录，这个目录是用来存放SSH服务器的所有配置文件；在“/usr/local/”目录下会生成“ssh3.2.3”子目录，它是SSH程序文件和其它文件的存放位置。

基本配置和应用

默认安装，每次重新启动系统后都要重复上述操作才能启动SSH服务器。为了保证SSH服务器每次开机时自动启动，还要在“/etc/rc.d/rc.local”文件（此文件类似于DOS下的autoexec.bat文件令）的最后加入以下内容：
#start ssh3.2
/usr/local/ssh2/sbin/sshd &
其中第一行为注释内容，第二行为启动SSH服务器并作为后台守护进程运行。
接下来要做的是配置SSH服务器，所有�! ��配置都是通过修改“/etc/ssh2/sshd2_config”文件实现的。文件的默认配置已经能满足一般的要求。下面介绍几种比较常见的应用：

使超级用户root能够直接登录服务器
使用Telnet时root用户默认情况下不能直接从远程登录系统，一般要先以普通用户登录，然后，使用su切换到root身份，这也是出于安全性的考虑。由于SSH使用了加密方式传输数据，所以可以放心地直接使用root登录服务器，那么我们需要将sshd2_config文件中的
#PermitRootLogin yes
取消注释，然后，重新启动SSH服务器，即可通过SSH以root身份登录Linux服务器。当然，如果您要禁止超级用户登录的话，可将“yes”改为“no”即可。

允许或禁止某些用户或组用户使用SSH登录
要实现禁止用户或组使用SSH登录服务器，只需要修改sshd2_conf! ig文件中的以下几行内容：
#AllowUsers sj.*,s[! [:digit: ]]*,s(jl|amza)
#DenyUsers skuuppa,warezdude,31373
#DenyUsers don@untrusted.org
#AllowGroups staff,users
#DenyGroups guest,anonymou
可以根据自己的实际需要，取消注释符“#”，加入实际的用户名或者组名，然后重新启动SSH服务器即可禁止（或允许）某些用户或者组使用SSH，具体操作这里不再详述。

使用SFTP代替FTP传输文件
FTP(文件传输协议)是一种使用非常广泛的在网络中传输文件的方式，但是，它也同样存在被网络窃听的危险，因为它也是以明文传送用户认证信息。其实在SSH软件包中，已经包含了一个叫作SFTP(Secure FTP)的安全文件传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程（端口号默认是22）来完成相应的连接操作，所以从某种意义上来说，SFTP并不像一个服务器程序，而更像是一个客户端程序。SFT! P同样是使用加密传输认证信息和传输的数据，所以，使用SFTP是非常安全的。但是，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多，如果您对网络安全性要求更高时，可以使用SFTP代替FTP。若要开启 SFTP功能可以修改sshd2_config文件的下列内容：
# subsystem-sftp sftp-server
去掉行首的“#”，然后重新启动SSH服务器，这样在进行SSH连接时就可以同时使用SFTP传输文件。

关于客户端设置
以上是对服务器的设置，其实在SSH服务器中已经包含了一些客户端工具（如SSH,SFTP工具）。但是，更多的客户端用户使用Windows系统，下面就对Windows上的客户端系统设置加以说明。
首先从上文给出的网址下载“SSHSecureShellClient-3.2.3.exe”文件并安装。安装完成后，在桌面上会产成两个快捷方 ! 式，一个是“SSH Secure Shell Client”，用于�! ��程管理，另一个是“SSH Secure File Transfer Client”，用于和服务器进行文件传输。在工具栏中点击“quick connnect”，输入正确的主机名和用户名，然后在弹出的对话框中输入密码完成登录，即可开始执行命令或者传输文件。在使用SFTP时，默认只能显示用户的宿主目录的内容和非隐藏文件。但是，有时候您可能还要查看其它目录或者隐藏文件，这时只需要在菜单“eidt->setting-> file transfer”的选项中选中“show root directory”和“show hidden file”两个选项即可。

使普通用户仅使用SFTP而没有使用Shell的权限
默认情况下管理员给系统添加的账号将同时具有SFTP和SSH的权限。让普通用户使用shell执行命令也是有很大的安全隐患的，如果能够禁止用户使用shell执行命令而仅使用SFTP传输文件，就能消除这种安全隐患，�! ��全实现FTP的功能，
正如上文所述，SFTP没有单独的守护进程，只能借助于sshd守护进程，所以我们仍然需要使用SSH服务器，要保证sshd守护进程处于运行状态。具体实现方法如下：
首先，在编译安装时，编译中一定要有“--enable-static” 选项。安装成功后，在安装目录下的bin目录中执行下面的命令：
[root@localhost bin]# ls -l ssh-dummy-shell* sftp-server2*
将看到下列输出内容：
-rwxr-xr-x 1 root root 1350417 Apr 28 16:30 sftp-server2
-rwxr-xr-x 1 root root 3566890 Apr 28 16:30 sftp-server2.static
-rwxr-xr-x 1 root root 72388 Apr 28 16:30 ssh-dummy-shell
-rwxr-xr-x 1 root root 1813412 Apr 28 16:30 ssh-dummy-shell.static
其中带“static”后缀名，且比较大的两个文件就是加上“--enable-static”选! 项后生成的，后面我们将用到这里两个文件。 � �面以添加普通账号test为例讲述具体操作步骤。
1．在“/home”目录（或者将要存放普通用户宿主目录的目录）下创建“bin”子目录，并将两个static文件复制到此目录下（复制后改名去掉static后缀），执行如下命令：
[root@localhost bin]# cd /usr/local/ssh3.2/bin
[root@localhost bin]#cp ssh-dummy-shell.static /home/bin/ssh-dummy-shell
[root@localhost bin]# cp sftp-server2.static /home/bin/sftp-server
[root@localhost bin]#chown -R root.root /home/bin
[root@localhost bin]#chmod -R 755 /home/bin
2．添加一个组，使以后所有禁止使用shell的用户都属于这个组，这样便于管理更多的用户：
[root@localhost bin]#groupadd template
3．在添加系统账号时使用如下命令：
[root@localhost root]#useradd -s /bin/ssh-dummy-shell -g template test
[ro! ot@localhost root]#passwd test
[root@localhost root]#mkdir /home/test/bin
[root@localhost root]#cd /home/test/bin
[root@localhost bin]#ln /home/bin/ssh-dummy-shell ssh-dummy-shell
[root@localhost bin]#ln /home/bin/sftp-server sftp-server
[root@localhost bin]#chown -R root.root /home/test/bin
[root@localhost bin]#chmod -R 755 /home/test/bin
3．用户添加成功后，还需要修改/etc/ssh2/sshd2_config文件，将下列内容：
#ChRootGroups sftp,guest
改为：
ChRootGroups sftp,guest,template
修改上面这行内容，主要是为了禁止普通用户查看系统的其它目录，把其权限限制在自己的主目录下。重新启动SSH服务器程序，在客户端使用SSH Secure File Transfer Client登录，即使选择显示根目录，普通用户也看不到其它的任何目录，而是把自己的主目录当作根目录。注意，这! 里使用的是按用户所属组限制，这样可以使包�! ��在tem plate组内的所有用户都可以实现此功能。若您只要限制个别用户的话，可以修改下面的内容：
#ChRootUsers anonymous,ftp,guest

Litrin

说起无盘工作站，大家一定不会陌生，当年Novell下的无盘DOS工作站很是流行，后来又流行过Win95无盘工作站，只是由于问题多多，后来微软自己停止了对无盘Windows的支持。
随着Linux的日益流行，使用Linux的人越来越多，其实Linux 对远程引导的支持非常好，Linnx内核自身又支持网络文件系统，因此非常适合做无盘工作站，本文将以一个实例向大家详细介绍无盘Linux工作站的安装办法。
这个网络是一个小的局域网，有1台服务器和4台 Linux 无盘工作站，彼此之间用双绞线通过HUB连接，服务器的IP地址定为192.168.0.80 ，名字是server ，5台无盘工作站的地址由服务器动态分配，地址范围从 192.168.0.1 到192.168.0.4 ，名字分别是c1，c2，c3，c4，服务器和无盘工作站使用的都是 NE2000 兼容网卡，无盘工作站使用的网卡上都安装了B! OOTROM 启动芯片，服务器操作系统安装的是 RedHat Linux 6.0 ，安装时选用定制安装，并安装了全部软件。
Linux的远程引导有两种方式，一是利用Bootp协议，有一个专门的项目EtherBoot 提供支持(http://www.slug.org.au/etherboot/)，这种方式引导 Linux 的速度是最快的，但这种方式有一个最大的问题，就是在市场上找不到支持这种远程引导协议的 BOOTROM 启动芯片（除非自己刻录），因为市场上几乎所有的 BOOTROM 启动芯片都是遵循NOVELL远程引导协议的，于是有人提出另外一种方式，就是服务器端用 NetWare 服务器，客户端就可以用现有的BOOTROM 启动芯片了，说到这里大家一定胡涂了，作Linux无盘工作站岂不是还一台NetWare 服务器？不是的，因为神通广大的 Linux 可以模拟 NetWare 服务器，就象Samba可以把 Linux 模拟成 NT 一样，mars_nwe 可以把 Linux 模拟成 NetWare，不仅! 能提供NetWare 文件和打印服务，还能提供远程引! 导支� �(知道Linux的厉害了吧)，本文讲述的Linux 无盘工作站就是用这种方式作远程引导的。

准备启动盘

由于在 Linux 下没有制作符合 NetWare 远程引导协议启动映象的工具，所以只能用早期的Win95()提供的工具(遗憾)。找一台装有 Win95 的机器启动后按 F8 进入纯DOS方式，格式化一张启动盘 format a: /s ，然后将RedHat Linux安装光盘上 dosutils 目录下的loadlin.exe复制到启动盘，在启动盘上作一个 autoexec.bat 文件，代码只有一行 loadlin.exe bzImage root=/dev/nfsroot从 Windows 95 安装光盘的 Win95 目录下的cab文件中解出 rplboot.sys 文件放在启动盘上，命令如下：
extract.exe /a /l a: win95-27.cab rplboot.sys
一张用来做启动映象的启动盘就作好了，保存好启动盘，以后作启动映象时会用到它。

编译内核

用于无盘工作站的Linux内核与用于从本地硬盘引导的Linux内核是不同的，无盘工作站的内核必须支持NFS作为根文件系统，即远程根文件系统，所以必须编译无盘工作站专用的内核。笔者使用的内核代码版本是2.2.16，将内核源代码解压到/usr/src下，cd /usr/src/linux 进入内核子目录，执行命令make menuconfig 进行内核编译配置，下列项目必须按要求设置：
Processor type and features 该项目下面的选项必须根据无盘工作站的CPU类型设置，而不是根据服务器的CPU类型设置
Loadable module support 该项目下面的所有选项都禁止，即不支持模块功能
Plug and Play support 设置为有效
Block devices 该项目下面的
Loopback device support
Network block device support
都设置为有效
Networking option 该项�! �下面的
kernel level autoconfiguration
! DHCP s upport (NEW)
都设置为有效
Network device support 该项目下面的选项必须根据无盘工作站使用的网卡进行设置，本例中使用的是NE2000兼容网卡，选项
Ethernet (10 or 100Mbit)
Other ISA cards
NE2000/NE1000 support (NEW)
都设置为有效
Filesystems 该项目下面的Network File Systems子项目下面的
NFS filesystem support
Root file system on NFS (NEW)
都设置为有效
其它的选项可以不用理会，直接用缺省值就可以了，当然如果你的无盘工作站有些其它需要使用的设备，你也可以将有关的选项设为有效，比如，本例中的无盘工作站使用了声霸卡兼容的声卡，下面的选项
OSS sound modules (NEW)
100% Sound Blaster compatibles (SB16/32/64, ESS, Jazz16) support
FM synthesizer (YM3812/OPL-3) support (NEW)
都设置为有效 !
以上设置完成后，退出内核编译设置程序，会出现一个对话框
Do you wish to save your new kernel configuration?
回答然后执行
make dep && make bzImage
进行内核编译，这个过程得花一点时间，特别是如果计算机的速度不快的话，花的时间会更长一些。编译内核如果没有错误，会得到内核映象文件/usr/src/linux/arch/i386/boot/bzImage ，将启动软盘插入计算机，执行下面的命令
mount -t vfat /dev/fd0 /mnt/floopy
cp /usr/src/linux/arch/i386/boot/bzImage /mnt/floppy
umount /dev/fd0
好了，启动盘上的文件都准备齐全了，等会儿用它到Win95环境下制作启动映象。
服务器设置
服务器端需要运行nfsd、dhcpd、mars_new等几个服务进程，这些软件在ReHat Linux 发行套件里都有，如果在�! �装 Linux 的时候选择全部安装，这些软件都会随! 着安� �操作系统而装好了，下面对这些软件进行设置，注意，下面的操作要以 root 身份进行。
1、 NFS 守护进程nfsd
首先要建立几个供无盘工作站使用的目录，并通过nfsd 导出，命令如下:
mkdir /tftpboot
然后编辑文件 /etc/hosts ，加入下面的内容
192.168.0.80 server server.domain
192.168.0.1 c1 c1.domain
192.168.0.2 c2 c2.domain
192.168.0.3 c3 c3.domain
192.168.0.4 c4 c4.domain
第一台工作站的工作目录设置方法如下:
mkdir /tftpboot/192.168.0.1
cd /tftpboot/192.168.0.1
c000p -a /bin .
cp -a /dev .
mknod dev/nd0 b 43 0
chmod 600 dev/nd0
cp -a /etc .
cp -a /home .
cp -a /lib .
rm -rf lib/modules
cp -a /root .
cp -a /sbin .
! cp -a /var .
mkdir proc
mkdir usr
mkdir tmp
chmod 777 tmp
touch fastboot
chattr +i fastboot
cd etc
编辑文件 sysconfig/network-scripts/ifcfg-eth0 保留其中的
DEVICE=eth0
ONBOOT=yes
其余的行全部删除，然后增加一行
BOOTPROTO=dhcp
编辑文件 rc.d/rc.sysinit ，在文件最后加上两行
mount -t nfs server:/usr /usr
/usr/X11R6/bin/xfs
编辑文件 fstab
保留其中的
none /proc proc defaults 0 0
其余的行全部删除，然后增加一行
server:/tftpboot/192.168.0.1 / nfs defaults 1 1
其它工作站的工作目录设置方法就简单多了
cd /tftpboot
cp -a 192.168.0.1 192.168.0.2
cp -a 192.168.0.1 192.168.0.3
cp -a 192.168.0.1 192.168.0.4
编辑文件 /etc/exports ，加入以下内容
/usr (ro,no_root_squash) /tftpboot/192.168.0.1 (rw,no_root_squash)
/tftpboot! /192.168 .0.2 (rw,no_root_squash)
/tftpboot/192.168.0.3 (rw,no_root_squash)
/tftpboot/192.168.0.4 (rw,no_root_squash)
2、动态主机配置协议服务器 dpchd
检查一下文件/etc/dhcpd.leases是否存在，若不存在就用命令touch /etc/dhcpd.leases
创建一个，然后编辑文件 /etc/dhcpd.conf ，加入以下内容
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.1 192.168.0.4;
}
3、NetWare 模拟器 marsw_nwe
编辑文件 /etc/nwserv.conf，找到下面的行
# 4 0×10 eth0 802.3 1
将该行开头的’#'去掉，再找到
4 0×0 * 802.3 1
在该行开头加上’#’
制作启动映象
进入Win95，将Win95(早期的版本，可以用服务器安装方式安装)安装光盘的
adminnettoolsnetsetuprplimage.exe 复制到硬盘，将�! �动软盘插入软驱，然后在纯MSDOS方式下执行 rplimage a: 就会得到启动映象 net$dos.sys，再将启动映象
net$dos.sys 复制到启动盘上(如果启动盘空间不够，可以先删除启动盘上的一些文件以留出空间)。
启动 Linux 服务器，以 root 用户登录，将启动软盘插入软驱，执行下面的命令
mount -t vfat /dev/fd0 /mnt/floppy
cp /mnt/floppy/net$dos.sys /var/mars_nwesyslogin
umount /dev/fd0
然后执行 setup ，移动光棒至 System services 选项回车，出现 Services 设置画面，将dhcpd，nfs，mars-nwe 都设为有效，退出 setup 程序，执行以下的命令以启动上述服务进程:
/etc/rc.d/rc3.d/*mars-nwe restart
/etc/rc.d/rc3.d/*dhcpd restart
/etc/rc.d/rc3.d/*nfs restart
下一次再启动服务器时，上述服务进程会自动执行。
至此，所有的设置工作全部完成了，联�! �网络随便打开一台无盘工作站，稍等一下，出现远程引导的信息，接着会启动 Win95 ，接下来很快就会装载 Linux ，在一大堆 Linux 的启动信息之后如果看到 Linux 的登录提示，就说明远程启动成功了。
Linux 无盘工作站虽然运转起来了，但还有一个问题，就是交换的问题，因为Linux是一个支持虚拟存储的操作系统，当机器内存不够时，Linux 就会把内存中暂时不用的数据换出到交换设备上，等需要时再换回来，刚才我们没有设置交换区，在无盘工作站上用 free 命令就会发现交换区为零，如果无盘工作站内存较大，运行一些不大的程序，没有交换区还是可以的，但若运行大型程序就会出问题，下面介绍在服务器上设置交换区即远程交换的方法。
对于2.1.101版以前的内核，要实现远程交换可有点费事，得从网络上下载有关的补丁来修改内核代码，然后再编译内核映象，从2.1.101版后内�! ��支持网络块设备，实现远程交换就容易了，首先编译内核时要使 Network block device support 选项有效(刚才编译内核时就是这么作的)，再从http: //atrey.karlin.mff.cuni.cz/~pavel/nbd/nbd.html
下载实用程序 nbd.14.tar.gz ，执行下面的命令
tar zxvf nbd.14.tar.gz
cd nbd
./configure
make
编译完后会得到文件 nbd-server 和 nbd-client，将它们复制到 /usr/sbin 下面:
cp nbd-server nbd-client /usr/sbin
然后编辑文件 /etc/rc.d/rc.sysinit，在文件最后加上一行
/usr/sbin/nbd-server 7999 /tftpboot/%s/swap > /dev/null &
执行刚才的命令激活nbd服务:
/usr/sbin/nbd-server 7999 /tftpboot/%s/swap > /dev/null &
下一次服务器启动时，上述命令会自动执行。
再在服务器上每个工作站目录(/tftpboot/192.168.0.1，/tftpboot/192.168.0.2等等)下为各个无盘工作�! �建立交换文件，命令如下(本例中交换区大小为! 32M): dd if=/dev/zero of=swap count=32768 bs=1024
mkswap swap
在每个工作站目录下文件 /etc/rc.d/rc.sysinit 的最后加上两行
/usr/sbin/nbd-client server 7999 /dev/nd0
swapon /dev/nd0
就这么简单，再打开无盘工作站试一试启动成功后登录系统，执行命令 free 就会看到在显示信息的最后有这样一行:
Swap: 32764 XX XXXX
说明交换区设置成功了。
这样，一个完整的 Linux 无盘工作站网络就作好了，Linux 无盘工作站的用法很灵活，既可以象使用普通有盘工作站一样使用，还可以把无盘工作站当成别的 Unix 主机的终端，特别是可以作为 X 终端，运行远程 Unix 主机上的 X 应用。

2008年12月31日星期三

2008年12月8日星期一

2008年11月23日星期日

2008年11月19日星期三

2008年11月2日星期日

2008年10月20日星期一

2008年10月16日星期四

2008年9月29日星期一

2008年8月5日星期二

2008年7月30日星期三

2008年7月15日星期二

2008年6月30日星期一

2008年6月26日星期四

2008年6月24日星期二

2008年6月20日星期五

2008年6月17日星期二

我的简介

博客归档

订阅

开源小站在线更新