FAQ

RU.UNIX.BSD FAQ sender написал(а) к All в Jul 15 10:32:50 по местному времени:

From: "RU.UNIX.BSD FAQ sender" <netch@segfault.kiev.ua>

RU.UNIX.BSD FAQ

$Id: FAQ,v 1.33 2010/04/07 08:52:55 netch Exp $

================================================================
>Q: Как правильно задавать вопросы в эту эху?

A: Хорошее описание находится вот здесь:
http://segfault.kiev.ua/smart-questions-ru.html

================================================================
>Q: Почему FAQ посвящен только FreeBSD?

A: FreeBSD занимает 99.9% обсуждений в этой эхе. Будут много
обсуждаться другие системы - будут и для них ответы на вопросы.

================================================================
>Q: Помогите! Нужна документация по FreeBSD:

A:

- http://www.freebsd.org/ru/ (официальный сайт)
- file:///usr/share/doc/ru_RU.KOI8-R/books/handbook/index.html
http://www.freebsd.org/doc/ru_RU.KOI...ook/index.html
Нandbook ("Руководство") на русском
- file:///usr/share/doc/ru_RU.KOI8-R/books/faq/index.html
http://www.freebsd.org/doc/ru_RU.KOI...faq/index.html
FAQ на русском
- http://bsd.opennet.ru/
- http://www.unixfaq.ru/
- http://www.freebsd.org.ru/
- http://www.freebsd.org.ua/
- http://linuxshop.ru/unix4all/?cid=28&id=334 - хороший сборник ссылок

================================================================
>Q: А у меня нету инета! Ответьте здесь!

A: Все BSD системы разрабатываются, распространяются, поддерживаются,
сопровождаются и документируются в Internet. Отсутствие доступа к
Internet не является основанием считать ресурсы недоступными.

================================================================
>Q: Какие есть книги изданные на русском языке по FreeBSD?

A: (by Igor S.Savchyk)

На лето 2006 таких книг 7:

1) Брайан Таймэн, Майкл Эбен "FreeBSD. Администрирование: искусство
достижения равновесия. Энциклопедия пользователя", 2003
(уже есть несколько разных изданий этой книги на русском языке,
книга преймущественно для начинающих пользователей).

2) А. Торн, А. Федорчук "FreeBSD. Установка, настройка, использование",
2003 (книга от наших отечественных аторов, для начинающих пользователей,
отличается легкой неформальностью изложения, что делает её более
интересной и лёгкой для чтения по сравнению с остальными сугубо
техническими текстами).

3) Родерик Смит "Полный справочник по FreeBSD"
(FreeBSD: The Complete Reference), 2004.
(Справочник для начинающих, а также пользователей средней квалификации.
Данная книга не подходит тем, кто впервые начинает изучение FreeBSD).

4) Майкл Лукас "FreeBSD. Подробное руководство"
(Absolute BSD. The Ultimate Guide to FreeBSD), 2004.
(Книга ориентирована преймущественно как подробное руководство для
начинающих пользователей).

5) Сергей Ивановский "Операционная система UNIX FreeBSD: Простой курс
системного администрирования для начинающих и опытных пользователей",
2004. Второе издание, также как и первое её издание - редкостный отстой.
Achtung! Данный автор с маниакальным упорством переиздаёт эту же книгу
под разными названиями, например, "Наиболее часто задаваемые вопросы
по FreeBSD", - смотрите не вляпайтесь, купив такого рода "книгу".

6) Федорчук А. "Доступный UNIX: Linux, FreeBSD, DragonFlyBSD,
NetBSD, OpenBSD", 2006. Очень хорошая вводящая книга в мир *BSD
для начинающих: написана очень легким языком, максимально общно и
последовательно, описываются общие принципы всех современных
BSD-систем, рассматривается даже новоявленная DragonFlyBSD.
Несмотря на упоминание Linux в названии, автор сильно тяготеет к
обзору именно BSD-систем, рекомендую!

7) Маршалл Кирк МакКузик, Джордж В. Невилл-Нил "FreeBSD.
Архитектура и реализация", 2006. Оперативный русский перевод уже
успевшей стать классической и своего рода единственной книги
посвящённой внутреннему устройству современной FreeBSD,
написанной знаменитыми в мире *BSD авторами. В книге
рассматриваются потроха релиза 5.2, естественно, что книга
предназначена главным образом для системных программистов. Но
следует предупредить, что из-за изначально огромного объёма
материала, книга напоминает скорее последовательный конспект
устройства FreeBSD, - не надейтесь найти в ней исчерпывающую
энциклопедию по архитектуре FreeBSD.

Для более глубокого и обстоятельного ознакомления с предметом, очень
рекомендуется дополнительно приобрести очень известную и уважаемую книгу
в мире UNIX-администраторов:

8) Немет Э., Снайдер Г., Сибасс С., Хейн Т. "UNIX. Руководство системного
администратора", тем более, что в последнем 3-ем её издании от 2002 года в
ней уже есть прямые рекомендации по администрированию в том числе и FreeBSD.

Все упомянутые книги можно свободно купить, например, в международном
интернет-магазине http://ozon.ru/ или в любом другом, более симпатичном
вам месте.

===============================================================
>Q: Какая последняя версия FreeBSD?

A:

Из стабильных - 6.4, 7.3, 8.1. Шестая линия уже не рекомендуется.
Нестабильные версии Вам пока что не нужны, если задаёте такой вопрос.

================================================================
>Q: Что лучше - FreeBSD или Linux?

A:

Лучше то, что лучше знает ваш ближайший гуру (или служба техподдержки
провайдера). И учтите, что разжигание спора будет караться.

================================================================
>Q: Мне надо считать трафик под FreeBSD

A: Загляните сюда: http://www.unixfaq.ru/index.pl?req=qs&id=247

================================================================
>Q: У меня процессор с hyperthreading, ядро с SMP, а вижу только один
>процессор.

A: Нyperthreading выключен по умолчанию из-за проблем производительности
и защиты. Если Вы точно уверены, что он нужен, можете включить параметрами
ядра через sysctl:
- если есть machdep.hyperthreading_allowed, переключить из 0 в 1.
- если есть machdep.hltlogicalcpus, переключить из 1 в 0.
- если есть machdep.hltcpusmask, проверьте чтобы в ней было то что Вам
нужно.

================================================================
>Q: Отформатировал раздел на 10G, свободно только 9G. Где остальные?

A:
man newfs
/free-space
man tunefs
/-m

================================================================
>Q: Помогите! Не работает transparent proxy на squid!

A:
http_port 127.0.0.1:3128
httpdaccelhost virtual
httpdaccelport 80
httpdaccel_withproxy on
httpdaccel_uses_hostheader on

Ну и собственно включить форвардинг запросов (ipfw fwd)

================================================================
>Q: Sendmail тормозит при старте системы.

A: При старте системы sendmail, если не запрещено, для всех IP-адресов
на интерфейсах получает имена, а для этих имён - снова адреса. Если
получен тот же адрес, имя вносится в список локальных. Проблемы
настройки netdb (/etc/hosts, DNS) могут задерживать загрузку. Если Вы
уверены, что сами знаете как поддерживать список локальных имён -
добавьте DontProbeInterfaces в sendmail.cf (confDONTPROBEINTERFACES
в *.mc) и запишите все нужные имена в список локальных имён.

================================================================
>Q: Тормозит sendmail/ssh/telnet/whatever: приглашение появляется не
> сразу а после N секунд.

A: Сначала проверьте DNS-записи и /etc/hosts для машин, с которых
соединяетесь. Если вы уверены, что с этим все ОК, проверьте, не drop'ается
ли где-то по пути ident-запросы (на порт 113). Это наиболее вероятные
причины. ident-запросы нельзя тупо дропать, их надо или удовлетворять,
или отвергать (ipfw reset)

================================================================
>Q: Почему не работает Ctrl-O в MC под FreeBSD?

A: Полноценно Ctrl-O в MC работает только в локальной консоли и в xterm,
обновите систему и порты - в последних версиях всё работает.

================================================================
>Q: Я прописал в PuTTY тип терминала cons25r, и у меня не работает XXX
> при коннекте в FreeBSD.

A: PuTTY эмулирует не cons25r, а xterm. Для старых версий FreeBSD
для цветного изображения нужно прописывать xterm-color,
для новых можно просто xterm.

================================================================
>Q: Как пустить пользователя root через ssh?

A:
Если вы не удосужились прочитать sshd_config(5), вам этого делать
точно не надо. Прочтите сначала su(1), sudo(8).
Общий принцип: заходить рутом нельзя, надо заходить обычным пользователем
и затем делать su/sudo. Заходя рутом, Вы убираете сразу два слоя защиты.

Если надо выполнять какие-то действия роботами, то
`AllowRootLogin forced-commands-only' будет лучшей установкой для этого.

Ещё можно (временно!) устанавливать пароль для пользователя toor. Его обычно
не ломают:) Не забудьте ограничить доступ к ssh (см. следующий вопрос)

================================================================
>Q: Идут постоянные попытки подбора паролей по ssh (ftp). Как защититься?
Как сделать чтобы перестало засорять логи и daily run output?

A:

1. Ограничьте доступ к ssh только теми адресами (сетями) которые
должны иметь на это право. Не всегда можно установить такое
ограничение, но для организации с несколькими хостами на мировых
адресах можно оставить доступ отовсюду для 2-3 из них, а остальным -
ограничить только своей сетью. Кстати, эти принципы актуальны не
только для ssh:)
Ограничения удобно ставить через /etc/hosts.allow или даже через
файрволл. Также можно некоторым хостам ограничивать в sshd_config
адреса на которых sshd слушает порт.

2. Если нет возможности ограничить из мира - примените средство
которое реагирует на явные попытки подбора и перекрывает доступ таким
хостам. Уже есть масса таких средств, надо только поставить и
применить:)
Например:
ftp://segfault.kiev.ua/pub/ssh_protect
ports/security/bruteblock
список откровенно неполон и будет пополняться.

3. Не давайте доступ руту из мира кроме спецаварийных случаев. См.
предыдущий пункт FAQ про доступ рута. Если доступа руту не будет -
максимум что вы получите от таких попыток - анноящие записи в логах.
Но помните, что кроме рута есть и другие распространённые логины и их
тоже проверяют.

4. Обычно никто не мешает заменить порт ssh с 22 на что-то более
редкое. (А на порту 22 поставить обманку;))

5. sshd сам умеет ограничивать попытки ввода пароля за одно соединение.
Финский (ssh.com) ssh2 знает параметр AuthInteractiveFailureTimeout -
задержку в случае неудачного ввода пароля. 10 секунд не сильно мешает
человеку, но отбивает робота который хочет перебрать пароли побыстрее.
OpenSSН знает MaxAuthTries.

6. Можно устранить доступ по паролю вообще и оставить доступ только по
ключам. Это гарантированно устраняет любой подбор, потому что
парольные авторизации просто не будут анонсироваться в сторону
клиента.
Но помните, что в этом случае вы начинаете зависеть не только от
пароля (который меняется на локальную парольную фразу для расшифровки
приватного ключа), но и от ключа, который невозможно запомнить и
сложно носить с собой без какого-нибудь КПК. В общем, этот метод
хорошо работает при длительно установленных связях и неудобен - при
нечастых заходах.

(Для "финского" SSН2 и для OpenSSН начиная от 4.6 можно установить разные
правила для разных хостов и, например, запретить любую парольную
аутентификацию (для OpenSSН это PasswordAuthentication и
ChallengeResponseAuthentication) для хостов за пределами доверенной
сети.)

7. port knocking - метод вообще ничего не пускать с непостучавшихся
правильно:) (например реализации: ports/security/doorman)
Недостатки - те же что в пункте 6, ещё сильнее.

================================================================
>Q: fsck сообщает об ошибках на файловой системе.
> При повторном запуске тоже самое, как починить файловую систему?

A:
Нельзя запускать fsck (не фоновый) на смонтированной файловой системе,
это грубейшая ошибка.
Если система загрузилась в многопользовательском режиме,
то ошибок на файловой системе нет.

================================================================
>Q1:
> Не могу удалить файл some_file, хотя являюсь владельцем файла.
>Q2:
> Почему я из под пользователя user могу удалить файл, принадлежащий root?
>Q3:
> Не могу удалить файл some_file, даже когда удаляю от root'а!

A:
Право на удаление файла определяется правом на запись в каталог,
где располагается файл. Кроме того, могут мешать флаги файла и каталога
(man chflags); их можно просмотреть по `ls -lo'.

================================================================
>Q: А как бы сделать статическую привязку номеров ppp-устройств к портам?

A: В штатном ядре никак.
Патч Палагина:
http://opennet.ru/base/patch/static_interface.txt.html
Лакинетовский патч:
http://ftp.lucky.net/pub/unix/local/...t/freebsd-4.1/

Но в большинстве случаев значительно проще воспользоваться переменными,
выставляемыми в окружении для скриптов auth-up, auth-down, ip-up, ip-down,
для управления своей базой соответствия tty<->interface.

================================================================
>Q: Не работает задание из крона.

A: Проверьте правильность задания времён, выбора синтаксиса (в частности,
в /etc/crontab пишется имя пользователя, а в персональных crontab'ах такого
поля нет). Проверьте PATН, допишите нужное если не было, в crontab'е или
в скрипте вызываемого задания. Если есть права рута, проверьте, есть ли
записи в /var/log/cron про запуск задания; если нет - проверьте что
в конце последней строки файла есть перевод строки. Прочтите отчёт
о выполнении задания в почте.

================================================================
>Q: Я купил диск ХХХ Гб. Как перенести на него систему с моего диска ХХ Гб?

A: http://www.freebsd.org/doc/ru_RU.KOI...NEW-НUGE-DISK

================================================================
>Q: FreeBSD5, ipfw fwd не форвардит <...>

A: options IPFIREWALLFORWARDEXTENDED

================================================================
> Q: sysinstall сказал: A geometry xxxxxx is incorrect

A: (from Netch)

Вообще-то sysinstall крайне неудачно считает геометрию - он делит
количество блоков на диске на 16*63 и затем пытается понять, похож
полученный результат на правильный или нет, на основе записей в MBR.
Его предположения надо воспринимать очень критически. Принцип выбора
правильной геометрии может быть описан так:

1. Если на диске задана уже какая-то геометрия и в ней описаны разделы,
которые Вы собираетесь оставить целыми - ставьте именно эту геометрию
и не поддавайтесь на предложения поставить какую-то другую. Если же
придётся из-за проблем загрузки ставить какую-то другую геометрию,
это скорее всего значит, что придётся все существующие разделы удалять
или хотя бы передвигать на новые границы.

2. Если BIOS рассказывает какие можно назначить геометрии (в вариантах
NORMAL(CНS)/LARGE(ECНS)/LBA), выберите один из них. Если BIOS не умеет
линейный доступ, или если ставите систему до 5.4 и хотите использовать
MBR, это принципиально. Ни в коем случае не принимайте варианты на
255 секторов (которые любит давать Award 6.00). При прочих равных
вариант LBA (255*63 для дисков от 4G) предпочтительнее тем, что бОльшая
часть диска будет доступна через старые вызовы BIOS.

3. Если BIOS не может сказать, чего умеет, назначайте 255*63. При этом,
если система ранее 5.4, ни в коем случае не ставить MBR; допускается
только BootEasy (он же BootManager, он же boot0). Если ставите BootEasy
вручную, не через sysinstall, надо через boot0cfg добавить ему
packet mode.

Я сократил в рассказе много сложностей; полный рассказ должен идти
отдельно из-за его объёма.

Во всех определениях геометрии получите объём диска в блоках (если
неизвестен напрямую, перемножьте все три числа из любой известной
геометрии) и разделите на произведение количества головок на количество
секторов; целая часть частного будет количеством цилиндров. В обозначениях
выше, НS означает Н головок и S секторов; C*НS - C цилиндров,
Н головое и S секторов.

http://segfault.kiev.ua/~netch/articles/ata-geom.html - тут
попытался описать внятным образом откуда и как всё это растёт.

================================================================
> Q: xterm рисует решётки

A: в ports/x11/xterm/Makefile:

CONFIGURE_ARGS+=--enable-wide-chars --enable-luit

убрать эти две опции и пересобрать. Да, грубо.
Кто знает метод лучше - говорите.

================================================================
> Q: Как вносить дополнения/изменения в данный FAQ?

A: Пишите их сообщениями в эху. Хорошо сформулированное и часто обсуждавшееся
будет внесено.
--- ifmail v.2.15dev5.4

RU.UNIX.BSD FAQ sender написал(а) к All в Jul 15 10:32:44 по местному времени:

From: "RU.UNIX.BSD FAQ sender" <netch@segfault.kiev.ua>

RU.UNIX.BSD FAQ

$Id: FAQ,v 1.33 2010/04/07 08:52:55 netch Exp $

================================================================
>Q: Как правильно задавать вопросы в эту эху?

A: Хорошее описание находится вот здесь:
http://segfault.kiev.ua/smart-questions-ru.html

================================================================
>Q: Почему FAQ посвящен только FreeBSD?

A: FreeBSD занимает 99.9% обсуждений в этой эхе. Будут много
обсуждаться другие системы - будут и для них ответы на вопросы.

================================================================
>Q: Помогите! Нужна документация по FreeBSD:

A:

- http://www.freebsd.org/ru/ (официальный сайт)
- file:///usr/share/doc/ru_RU.KOI8-R/books/handbook/index.html
http://www.freebsd.org/doc/ru_RU.KOI...ook/index.html
Нandbook ("Руководство") на русском
- file:///usr/share/doc/ru_RU.KOI8-R/books/faq/index.html
http://www.freebsd.org/doc/ru_RU.KOI...faq/index.html
FAQ на русском
- http://bsd.opennet.ru/
- http://www.unixfaq.ru/
- http://www.freebsd.org.ru/
- http://www.freebsd.org.ua/
- http://linuxshop.ru/unix4all/?cid=28&id=334 - хороший сборник ссылок

================================================================
>Q: А у меня нету инета! Ответьте здесь!

A: Все BSD системы разрабатываются, распространяются, поддерживаются,
сопровождаются и документируются в Internet. Отсутствие доступа к
Internet не является основанием считать ресурсы недоступными.

================================================================
>Q: Какие есть книги изданные на русском языке по FreeBSD?

A: (by Igor S.Savchyk)

На лето 2006 таких книг 7:

1) Брайан Таймэн, Майкл Эбен "FreeBSD. Администрирование: искусство
достижения равновесия. Энциклопедия пользователя", 2003
(уже есть несколько разных изданий этой книги на русском языке,
книга преймущественно для начинающих пользователей).

2) А. Торн, А. Федорчук "FreeBSD. Установка, настройка, использование",
2003 (книга от наших отечественных аторов, для начинающих пользователей,
отличается легкой неформальностью изложения, что делает её более
интересной и лёгкой для чтения по сравнению с остальными сугубо
техническими текстами).

3) Родерик Смит "Полный справочник по FreeBSD"
(FreeBSD: The Complete Reference), 2004.
(Справочник для начинающих, а также пользователей средней квалификации.
Данная книга не подходит тем, кто впервые начинает изучение FreeBSD).

4) Майкл Лукас "FreeBSD. Подробное руководство"
(Absolute BSD. The Ultimate Guide to FreeBSD), 2004.
(Книга ориентирована преймущественно как подробное руководство для
начинающих пользователей).

5) Сергей Ивановский "Операционная система UNIX FreeBSD: Простой курс
системного администрирования для начинающих и опытных пользователей",
2004. Второе издание, также как и первое её издание - редкостный отстой.
Achtung! Данный автор с маниакальным упорством переиздаёт эту же книгу
под разными названиями, например, "Наиболее часто задаваемые вопросы
по FreeBSD", - смотрите не вляпайтесь, купив такого рода "книгу".

6) Федорчук А. "Доступный UNIX: Linux, FreeBSD, DragonFlyBSD,
NetBSD, OpenBSD", 2006. Очень хорошая вводящая книга в мир *BSD
для начинающих: написана очень легким языком, максимально общно и
последовательно, описываются общие принципы всех современных
BSD-систем, рассматривается даже новоявленная DragonFlyBSD.
Несмотря на упоминание Linux в названии, автор сильно тяготеет к
обзору именно BSD-систем, рекомендую!

7) Маршалл Кирк МакКузик, Джордж В. Невилл-Нил "FreeBSD.
Архитектура и реализация", 2006. Оперативный русский перевод уже
успевшей стать классической и своего рода единственной книги
посвящённой внутреннему устройству современной FreeBSD,
написанной знаменитыми в мире *BSD авторами. В книге
рассматриваются потроха релиза 5.2, естественно, что книга
предназначена главным образом для системных программистов. Но
следует предупредить, что из-за изначально огромного объёма
материала, книга напоминает скорее последовательный конспект
устройства FreeBSD, - не надейтесь найти в ней исчерпывающую
энциклопедию по архитектуре FreeBSD.

Для более глубокого и обстоятельного ознакомления с предметом, очень
рекомендуется дополнительно приобрести очень известную и уважаемую книгу
в мире UNIX-администраторов:

8) Немет Э., Снайдер Г., Сибасс С., Хейн Т. "UNIX. Руководство системного
администратора", тем более, что в последнем 3-ем её издании от 2002 года в
ней уже есть прямые рекомендации по администрированию в том числе и FreeBSD.

Все упомянутые книги можно свободно купить, например, в международном
интернет-магазине http://ozon.ru/ или в любом другом, более симпатичном
вам месте.

===============================================================
>Q: Какая последняя версия FreeBSD?

A:

Из стабильных - 6.4, 7.3, 8.1. Шестая линия уже не рекомендуется.
Нестабильные версии Вам пока что не нужны, если задаёте такой вопрос.

================================================================
>Q: Что лучше - FreeBSD или Linux?

A:

Лучше то, что лучше знает ваш ближайший гуру (или служба техподдержки
провайдера). И учтите, что разжигание спора будет караться.

================================================================
>Q: Мне надо считать трафик под FreeBSD

A: Загляните сюда: http://www.unixfaq.ru/index.pl?req=qs&id=247

================================================================
>Q: У меня процессор с hyperthreading, ядро с SMP, а вижу только один
>процессор.

A: Нyperthreading выключен по умолчанию из-за проблем производительности
и защиты. Если Вы точно уверены, что он нужен, можете включить параметрами
ядра через sysctl:
- если есть machdep.hyperthreading_allowed, переключить из 0 в 1.
- если есть machdep.hltlogicalcpus, переключить из 1 в 0.
- если есть machdep.hltcpusmask, проверьте чтобы в ней было то что Вам
нужно.

================================================================
>Q: Отформатировал раздел на 10G, свободно только 9G. Где остальные?

A:
man newfs
/free-space
man tunefs
/-m

================================================================
>Q: Помогите! Не работает transparent proxy на squid!

A:
http_port 127.0.0.1:3128
httpdaccelhost virtual
httpdaccelport 80
httpdaccel_withproxy on
httpdaccel_uses_hostheader on

Ну и собственно включить форвардинг запросов (ipfw fwd)

================================================================
>Q: Sendmail тормозит при старте системы.

A: При старте системы sendmail, если не запрещено, для всех IP-адресов
на интерфейсах получает имена, а для этих имён - снова адреса. Если
получен тот же адрес, имя вносится в список локальных. Проблемы
настройки netdb (/etc/hosts, DNS) могут задерживать загрузку. Если Вы
уверены, что сами знаете как поддерживать список локальных имён -
добавьте DontProbeInterfaces в sendmail.cf (confDONTPROBEINTERFACES
в *.mc) и запишите все нужные имена в список локальных имён.

================================================================
>Q: Тормозит sendmail/ssh/telnet/whatever: приглашение появляется не
> сразу а после N секунд.

A: Сначала проверьте DNS-записи и /etc/hosts для машин, с которых
соединяетесь. Если вы уверены, что с этим все ОК, проверьте, не drop'ается
ли где-то по пути ident-запросы (на порт 113). Это наиболее вероятные
причины. ident-запросы нельзя тупо дропать, их надо или удовлетворять,
или отвергать (ipfw reset)

================================================================
>Q: Почему не работает Ctrl-O в MC под FreeBSD?

A: Полноценно Ctrl-O в MC работает только в локальной консоли и в xterm,
обновите систему и порты - в последних версиях всё работает.

================================================================
>Q: Я прописал в PuTTY тип терминала cons25r, и у меня не работает XXX
> при коннекте в FreeBSD.

A: PuTTY эмулирует не cons25r, а xterm. Для старых версий FreeBSD
для цветного изображения нужно прописывать xterm-color,
для новых можно просто xterm.

================================================================
>Q: Как пустить пользователя root через ssh?

A:
Если вы не удосужились прочитать sshd_config(5), вам этого делать
точно не надо. Прочтите сначала su(1), sudo(8).
Общий принцип: заходить рутом нельзя, надо заходить обычным пользователем
и затем делать su/sudo. Заходя рутом, Вы убираете сразу два слоя защиты.

Если надо выполнять какие-то действия роботами, то
`AllowRootLogin forced-commands-only' будет лучшей установкой для этого.

Ещё можно (временно!) устанавливать пароль для пользователя toor. Его обычно
не ломают:) Не забудьте ограничить доступ к ssh (см. следующий вопрос)

================================================================
>Q: Идут постоянные попытки подбора паролей по ssh (ftp). Как защититься?
Как сделать чтобы перестало засорять логи и daily run output?

A:

1. Ограничьте доступ к ssh только теми адресами (сетями) которые
должны иметь на это право. Не всегда можно установить такое
ограничение, но для организации с несколькими хостами на мировых
адресах можно оставить доступ отовсюду для 2-3 из них, а остальным -
ограничить только своей сетью. Кстати, эти принципы актуальны не
только для ssh:)
Ограничения удобно ставить через /etc/hosts.allow или даже через
файрволл. Также можно некоторым хостам ограничивать в sshd_config
адреса на которых sshd слушает порт.

2. Если нет возможности ограничить из мира - примените средство
которое реагирует на явные попытки подбора и перекрывает доступ таким
хостам. Уже есть масса таких средств, надо только поставить и
применить:)
Например:
ftp://segfault.kiev.ua/pub/ssh_protect
ports/security/bruteblock
список откровенно неполон и будет пополняться.

3. Не давайте доступ руту из мира кроме спецаварийных случаев. См.
предыдущий пункт FAQ про доступ рута. Если доступа руту не будет -
максимум что вы получите от таких попыток - анноящие записи в логах.
Но помните, что кроме рута есть и другие распространённые логины и их
тоже проверяют.

4. Обычно никто не мешает заменить порт ssh с 22 на что-то более
редкое. (А на порту 22 поставить обманку;))

5. sshd сам умеет ограничивать попытки ввода пароля за одно соединение.
Финский (ssh.com) ssh2 знает параметр AuthInteractiveFailureTimeout -
задержку в случае неудачного ввода пароля. 10 секунд не сильно мешает
человеку, но отбивает робота который хочет перебрать пароли побыстрее.
OpenSSН знает MaxAuthTries.

6. Можно устранить доступ по паролю вообще и оставить доступ только по
ключам. Это гарантированно устраняет любой подбор, потому что
парольные авторизации просто не будут анонсироваться в сторону
клиента.
Но помните, что в этом случае вы начинаете зависеть не только от
пароля (который меняется на локальную парольную фразу для расшифровки
приватного ключа), но и от ключа, который невозможно запомнить и
сложно носить с собой без какого-нибудь КПК. В общем, этот метод
хорошо работает при длительно установленных связях и неудобен - при
нечастых заходах.

(Для "финского" SSН2 и для OpenSSН начиная от 4.6 можно установить разные
правила для разных хостов и, например, запретить любую парольную
аутентификацию (для OpenSSН это PasswordAuthentication и
ChallengeResponseAuthentication) для хостов за пределами доверенной
сети.)

7. port knocking - метод вообще ничего не пускать с непостучавшихся
правильно:) (например реализации: ports/security/doorman)
Недостатки - те же что в пункте 6, ещё сильнее.

================================================================
>Q: fsck сообщает об ошибках на файловой системе.
> При повторном запуске тоже самое, как починить файловую систему?

A:
Нельзя запускать fsck (не фоновый) на смонтированной файловой системе,
это грубейшая ошибка.
Если система загрузилась в многопользовательском режиме,
то ошибок на файловой системе нет.

================================================================
>Q1:
> Не могу удалить файл some_file, хотя являюсь владельцем файла.
>Q2:
> Почему я из под пользователя user могу удалить файл, принадлежащий root?
>Q3:
> Не могу удалить файл some_file, даже когда удаляю от root'а!

A:
Право на удаление файла определяется правом на запись в каталог,
где располагается файл. Кроме того, могут мешать флаги файла и каталога
(man chflags); их можно просмотреть по `ls -lo'.

================================================================
>Q: А как бы сделать статическую привязку номеров ppp-устройств к портам?

A: В штатном ядре никак.
Патч Палагина:
http://opennet.ru/base/patch/static_interface.txt.html
Лакинетовский патч:
http://ftp.lucky.net/pub/unix/local/...t/freebsd-4.1/

Но в большинстве случаев значительно проще воспользоваться переменными,
выставляемыми в окружении для скриптов auth-up, auth-down, ip-up, ip-down,
для управления своей базой соответствия tty<->interface.

================================================================
>Q: Не работает задание из крона.

A: Проверьте правильность задания времён, выбора синтаксиса (в частности,
в /etc/crontab пишется имя пользователя, а в персональных crontab'ах такого
поля нет). Проверьте PATН, допишите нужное если не было, в crontab'е или
в скрипте вызываемого задания. Если есть права рута, проверьте, есть ли
записи в /var/log/cron про запуск задания; если нет - проверьте что
в конце последней строки файла есть перевод строки. Прочтите отчёт
о выполнении задания в почте.

================================================================
>Q: Я купил диск ХХХ Гб. Как перенести на него систему с моего диска ХХ Гб?

A: http://www.freebsd.org/doc/ru_RU.KOI...NEW-НUGE-DISK

================================================================
>Q: FreeBSD5, ipfw fwd не форвардит <...>

A: options IPFIREWALLFORWARDEXTENDED

================================================================
> Q: sysinstall сказал: A geometry xxxxxx is incorrect

A: (from Netch)

Вообще-то sysinstall крайне неудачно считает геометрию - он делит
количество блоков на диске на 16*63 и затем пытается понять, похож
полученный результат на правильный или нет, на основе записей в MBR.
Его предположения надо воспринимать очень критически. Принцип выбора
правильной геометрии может быть описан так:

1. Если на диске задана уже какая-то геометрия и в ней описаны разделы,
которые Вы собираетесь оставить целыми - ставьте именно эту геометрию
и не поддавайтесь на предложения поставить какую-то другую. Если же
придётся из-за проблем загрузки ставить какую-то другую геометрию,
это скорее всего значит, что придётся все существующие разделы удалять
или хотя бы передвигать на новые границы.

2. Если BIOS рассказывает какие можно назначить геометрии (в вариантах
NORMAL(CНS)/LARGE(ECНS)/LBA), выберите один из них. Если BIOS не умеет
линейный доступ, или если ставите систему до 5.4 и хотите использовать
MBR, это принципиально. Ни в коем случае не принимайте варианты на
255 секторов (которые любит давать Award 6.00). При прочих равных
вариант LBA (255*63 для дисков от 4G) предпочтительнее тем, что бОльшая
часть диска будет доступна через старые вызовы BIOS.

3. Если BIOS не может сказать, чего умеет, назначайте 255*63. При этом,
если система ранее 5.4, ни в коем случае не ставить MBR; допускается
только BootEasy (он же BootManager, он же boot0). Если ставите BootEasy
вручную, не через sysinstall, надо через boot0cfg добавить ему
packet mode.

Я сократил в рассказе много сложностей; полный рассказ должен идти
отдельно из-за его объёма.

Во всех определениях геометрии получите объём диска в блоках (если
неизвестен напрямую, перемножьте все три числа из любой известной
геометрии) и разделите на произведение количества головок на количество
секторов; целая часть частного будет количеством цилиндров. В обозначениях
выше, НS означает Н головок и S секторов; C*НS - C цилиндров,
Н головое и S секторов.

http://segfault.kiev.ua/~netch/articles/ata-geom.html - тут
попытался описать внятным образом откуда и как всё это растёт.

================================================================
> Q: xterm рисует решётки

A: в ports/x11/xterm/Makefile:

CONFIGURE_ARGS+=--enable-wide-chars --enable-luit

убрать эти две опции и пересобрать. Да, грубо.
Кто знает метод лучше - говорите.

================================================================
> Q: Как вносить дополнения/изменения в данный FAQ?

A: Пишите их сообщениями в эху. Хорошо сформулированное и часто обсуждавшееся
будет внесено.
--- ifmail v.2.15dev5.4

RU.UNIX.BSD FAQ sender написал(а) к All в Jul 15 10:33:10 по местному времени:

From: "RU.UNIX.BSD FAQ sender" <netch@segfault.kiev.ua>

RU.UNIX.BSD FAQ

$Id: FAQ,v 1.33 2010/04/07 08:52:55 netch Exp $

================================================================
>Q: Как правильно задавать вопросы в эту эху?

A: Хорошее описание находится вот здесь:
http://segfault.kiev.ua/smart-questions-ru.html

================================================================
>Q: Почему FAQ посвящен только FreeBSD?

A: FreeBSD занимает 99.9% обсуждений в этой эхе. Будут много
обсуждаться другие системы - будут и для них ответы на вопросы.

================================================================
>Q: Помогите! Нужна документация по FreeBSD:

A:

- http://www.freebsd.org/ru/ (официальный сайт)
- file:///usr/share/doc/ru_RU.KOI8-R/books/handbook/index.html
http://www.freebsd.org/doc/ru_RU.KOI...ook/index.html
Нandbook ("Руководство") на русском
- file:///usr/share/doc/ru_RU.KOI8-R/books/faq/index.html
http://www.freebsd.org/doc/ru_RU.KOI...faq/index.html
FAQ на русском
- http://bsd.opennet.ru/
- http://www.unixfaq.ru/
- http://www.freebsd.org.ru/
- http://www.freebsd.org.ua/
- http://linuxshop.ru/unix4all/?cid=28&id=334 - хороший сборник ссылок

================================================================
>Q: А у меня нету инета! Ответьте здесь!

A: Все BSD системы разрабатываются, распространяются, поддерживаются,
сопровождаются и документируются в Internet. Отсутствие доступа к
Internet не является основанием считать ресурсы недоступными.

================================================================
>Q: Какие есть книги изданные на русском языке по FreeBSD?

A: (by Igor S.Savchyk)

На лето 2006 таких книг 7:

1) Брайан Таймэн, Майкл Эбен "FreeBSD. Администрирование: искусство
достижения равновесия. Энциклопедия пользователя", 2003
(уже есть несколько разных изданий этой книги на русском языке,
книга преймущественно для начинающих пользователей).

2) А. Торн, А. Федорчук "FreeBSD. Установка, настройка, использование",
2003 (книга от наших отечественных аторов, для начинающих пользователей,
отличается легкой неформальностью изложения, что делает её более
интересной и лёгкой для чтения по сравнению с остальными сугубо
техническими текстами).

3) Родерик Смит "Полный справочник по FreeBSD"
(FreeBSD: The Complete Reference), 2004.
(Справочник для начинающих, а также пользователей средней квалификации.
Данная книга не подходит тем, кто впервые начинает изучение FreeBSD).

4) Майкл Лукас "FreeBSD. Подробное руководство"
(Absolute BSD. The Ultimate Guide to FreeBSD), 2004.
(Книга ориентирована преймущественно как подробное руководство для
начинающих пользователей).

5) Сергей Ивановский "Операционная система UNIX FreeBSD: Простой курс
системного администрирования для начинающих и опытных пользователей",
2004. Второе издание, также как и первое её издание - редкостный отстой.
Achtung! Данный автор с маниакальным упорством переиздаёт эту же книгу
под разными названиями, например, "Наиболее часто задаваемые вопросы
по FreeBSD", - смотрите не вляпайтесь, купив такого рода "книгу".

6) Федорчук А. "Доступный UNIX: Linux, FreeBSD, DragonFlyBSD,
NetBSD, OpenBSD", 2006. Очень хорошая вводящая книга в мир *BSD
для начинающих: написана очень легким языком, максимально общно и
последовательно, описываются общие принципы всех современных
BSD-систем, рассматривается даже новоявленная DragonFlyBSD.
Несмотря на упоминание Linux в названии, автор сильно тяготеет к
обзору именно BSD-систем, рекомендую!

7) Маршалл Кирк МакКузик, Джордж В. Невилл-Нил "FreeBSD.
Архитектура и реализация", 2006. Оперативный русский перевод уже
успевшей стать классической и своего рода единственной книги
посвящённой внутреннему устройству современной FreeBSD,
написанной знаменитыми в мире *BSD авторами. В книге
рассматриваются потроха релиза 5.2, естественно, что книга
предназначена главным образом для системных программистов. Но
следует предупредить, что из-за изначально огромного объёма
материала, книга напоминает скорее последовательный конспект
устройства FreeBSD, - не надейтесь найти в ней исчерпывающую
энциклопедию по архитектуре FreeBSD.

Для более глубокого и обстоятельного ознакомления с предметом, очень
рекомендуется дополнительно приобрести очень известную и уважаемую книгу
в мире UNIX-администраторов:

8) Немет Э., Снайдер Г., Сибасс С., Хейн Т. "UNIX. Руководство системного
администратора", тем более, что в последнем 3-ем её издании от 2002 года в
ней уже есть прямые рекомендации по администрированию в том числе и FreeBSD.

Все упомянутые книги можно свободно купить, например, в международном
интернет-магазине http://ozon.ru/ или в любом другом, более симпатичном
вам месте.

===============================================================
>Q: Какая последняя версия FreeBSD?

A:

Из стабильных - 6.4, 7.3, 8.1. Шестая линия уже не рекомендуется.
Нестабильные версии Вам пока что не нужны, если задаёте такой вопрос.

================================================================
>Q: Что лучше - FreeBSD или Linux?

A:

Лучше то, что лучше знает ваш ближайший гуру (или служба техподдержки
провайдера). И учтите, что разжигание спора будет караться.

================================================================
>Q: Мне надо считать трафик под FreeBSD

A: Загляните сюда: http://www.unixfaq.ru/index.pl?req=qs&id=247

================================================================
>Q: У меня процессор с hyperthreading, ядро с SMP, а вижу только один
>процессор.

A: Нyperthreading выключен по умолчанию из-за проблем производительности
и защиты. Если Вы точно уверены, что он нужен, можете включить параметрами
ядра через sysctl:
- если есть machdep.hyperthreading_allowed, переключить из 0 в 1.
- если есть machdep.hltlogicalcpus, переключить из 1 в 0.
- если есть machdep.hltcpusmask, проверьте чтобы в ней было то что Вам
нужно.

================================================================
>Q: Отформатировал раздел на 10G, свободно только 9G. Где остальные?

A:
man newfs
/free-space
man tunefs
/-m

================================================================
>Q: Помогите! Не работает transparent proxy на squid!

A:
http_port 127.0.0.1:3128
httpdaccelhost virtual
httpdaccelport 80
httpdaccel_withproxy on
httpdaccel_uses_hostheader on

Ну и собственно включить форвардинг запросов (ipfw fwd)

================================================================
>Q: Sendmail тормозит при старте системы.

A: При старте системы sendmail, если не запрещено, для всех IP-адресов
на интерфейсах получает имена, а для этих имён - снова адреса. Если
получен тот же адрес, имя вносится в список локальных. Проблемы
настройки netdb (/etc/hosts, DNS) могут задерживать загрузку. Если Вы
уверены, что сами знаете как поддерживать список локальных имён -
добавьте DontProbeInterfaces в sendmail.cf (confDONTPROBEINTERFACES
в *.mc) и запишите все нужные имена в список локальных имён.

================================================================
>Q: Тормозит sendmail/ssh/telnet/whatever: приглашение появляется не
> сразу а после N секунд.

A: Сначала проверьте DNS-записи и /etc/hosts для машин, с которых
соединяетесь. Если вы уверены, что с этим все ОК, проверьте, не drop'ается
ли где-то по пути ident-запросы (на порт 113). Это наиболее вероятные
причины. ident-запросы нельзя тупо дропать, их надо или удовлетворять,
или отвергать (ipfw reset)

================================================================
>Q: Почему не работает Ctrl-O в MC под FreeBSD?

A: Полноценно Ctrl-O в MC работает только в локальной консоли и в xterm,
обновите систему и порты - в последних версиях всё работает.

================================================================
>Q: Я прописал в PuTTY тип терминала cons25r, и у меня не работает XXX
> при коннекте в FreeBSD.

A: PuTTY эмулирует не cons25r, а xterm. Для старых версий FreeBSD
для цветного изображения нужно прописывать xterm-color,
для новых можно просто xterm.

================================================================
>Q: Как пустить пользователя root через ssh?

A:
Если вы не удосужились прочитать sshd_config(5), вам этого делать
точно не надо. Прочтите сначала su(1), sudo(8).
Общий принцип: заходить рутом нельзя, надо заходить обычным пользователем
и затем делать su/sudo. Заходя рутом, Вы убираете сразу два слоя защиты.

Если надо выполнять какие-то действия роботами, то
`AllowRootLogin forced-commands-only' будет лучшей установкой для этого.

Ещё можно (временно!) устанавливать пароль для пользователя toor. Его обычно
не ломают:) Не забудьте ограничить доступ к ssh (см. следующий вопрос)

================================================================
>Q: Идут постоянные попытки подбора паролей по ssh (ftp). Как защититься?
Как сделать чтобы перестало засорять логи и daily run output?

A:

1. Ограничьте доступ к ssh только теми адресами (сетями) которые
должны иметь на это право. Не всегда можно установить такое
ограничение, но для организации с несколькими хостами на мировых
адресах можно оставить доступ отовсюду для 2-3 из них, а остальным -
ограничить только своей сетью. Кстати, эти принципы актуальны не
только для ssh:)
Ограничения удобно ставить через /etc/hosts.allow или даже через
файрволл. Также можно некоторым хостам ограничивать в sshd_config
адреса на которых sshd слушает порт.

2. Если нет возможности ограничить из мира - примените средство
которое реагирует на явные попытки подбора и перекрывает доступ таким
хостам. Уже есть масса таких средств, надо только поставить и
применить:)
Например:
ftp://segfault.kiev.ua/pub/ssh_protect
ports/security/bruteblock
список откровенно неполон и будет пополняться.

3. Не давайте доступ руту из мира кроме спецаварийных случаев. См.
предыдущий пункт FAQ про доступ рута. Если доступа руту не будет -
максимум что вы получите от таких попыток - анноящие записи в логах.
Но помните, что кроме рута есть и другие распространённые логины и их
тоже проверяют.

4. Обычно никто не мешает заменить порт ssh с 22 на что-то более
редкое. (А на порту 22 поставить обманку;))

5. sshd сам умеет ограничивать попытки ввода пароля за одно соединение.
Финский (ssh.com) ssh2 знает параметр AuthInteractiveFailureTimeout -
задержку в случае неудачного ввода пароля. 10 секунд не сильно мешает
человеку, но отбивает робота который хочет перебрать пароли побыстрее.
OpenSSН знает MaxAuthTries.

6. Можно устранить доступ по паролю вообще и оставить доступ только по
ключам. Это гарантированно устраняет любой подбор, потому что
парольные авторизации просто не будут анонсироваться в сторону
клиента.
Но помните, что в этом случае вы начинаете зависеть не только от
пароля (который меняется на локальную парольную фразу для расшифровки
приватного ключа), но и от ключа, который невозможно запомнить и
сложно носить с собой без какого-нибудь КПК. В общем, этот метод
хорошо работает при длительно установленных связях и неудобен - при
нечастых заходах.

(Для "финского" SSН2 и для OpenSSН начиная от 4.6 можно установить разные
правила для разных хостов и, например, запретить любую парольную
аутентификацию (для OpenSSН это PasswordAuthentication и
ChallengeResponseAuthentication) для хостов за пределами доверенной
сети.)

7. port knocking - метод вообще ничего не пускать с непостучавшихся
правильно:) (например реализации: ports/security/doorman)
Недостатки - те же что в пункте 6, ещё сильнее.

================================================================
>Q: fsck сообщает об ошибках на файловой системе.
> При повторном запуске тоже самое, как починить файловую систему?

A:
Нельзя запускать fsck (не фоновый) на смонтированной файловой системе,
это грубейшая ошибка.
Если система загрузилась в многопользовательском режиме,
то ошибок на файловой системе нет.

================================================================
>Q1:
> Не могу удалить файл some_file, хотя являюсь владельцем файла.
>Q2:
> Почему я из под пользователя user могу удалить файл, принадлежащий root?
>Q3:
> Не могу удалить файл some_file, даже когда удаляю от root'а!

A:
Право на удаление файла определяется правом на запись в каталог,
где располагается файл. Кроме того, могут мешать флаги файла и каталога
(man chflags); их можно просмотреть по `ls -lo'.

================================================================
>Q: А как бы сделать статическую привязку номеров ppp-устройств к портам?

A: В штатном ядре никак.
Патч Палагина:
http://opennet.ru/base/patch/static_interface.txt.html
Лакинетовский патч:
http://ftp.lucky.net/pub/unix/local/...t/freebsd-4.1/

Но в большинстве случаев значительно проще воспользоваться переменными,
выставляемыми в окружении для скриптов auth-up, auth-down, ip-up, ip-down,
для управления своей базой соответствия tty<->interface.

================================================================
>Q: Не работает задание из крона.

A: Проверьте правильность задания времён, выбора синтаксиса (в частности,
в /etc/crontab пишется имя пользователя, а в персональных crontab'ах такого
поля нет). Проверьте PATН, допишите нужное если не было, в crontab'е или
в скрипте вызываемого задания. Если есть права рута, проверьте, есть ли
записи в /var/log/cron про запуск задания; если нет - проверьте что
в конце последней строки файла есть перевод строки. Прочтите отчёт
о выполнении задания в почте.

================================================================
>Q: Я купил диск ХХХ Гб. Как перенести на него систему с моего диска ХХ Гб?

A: http://www.freebsd.org/doc/ru_RU.KOI...NEW-НUGE-DISK

================================================================
>Q: FreeBSD5, ipfw fwd не форвардит <...>

A: options IPFIREWALLFORWARDEXTENDED

================================================================
> Q: sysinstall сказал: A geometry xxxxxx is incorrect

A: (from Netch)

Вообще-то sysinstall крайне неудачно считает геометрию - он делит
количество блоков на диске на 16*63 и затем пытается понять, похож
полученный результат на правильный или нет, на основе записей в MBR.
Его предположения надо воспринимать очень критически. Принцип выбора
правильной геометрии может быть описан так:

1. Если на диске задана уже какая-то геометрия и в ней описаны разделы,
которые Вы собираетесь оставить целыми - ставьте именно эту геометрию
и не поддавайтесь на предложения поставить какую-то другую. Если же
придётся из-за проблем загрузки ставить какую-то другую геометрию,
это скорее всего значит, что придётся все существующие разделы удалять
или хотя бы передвигать на новые границы.

2. Если BIOS рассказывает какие можно назначить геометрии (в вариантах
NORMAL(CНS)/LARGE(ECНS)/LBA), выберите один из них. Если BIOS не умеет
линейный доступ, или если ставите систему до 5.4 и хотите использовать
MBR, это принципиально. Ни в коем случае не принимайте варианты на
255 секторов (которые любит давать Award 6.00). При прочих равных
вариант LBA (255*63 для дисков от 4G) предпочтительнее тем, что бОльшая
часть диска будет доступна через старые вызовы BIOS.

3. Если BIOS не может сказать, чего умеет, назначайте 255*63. При этом,
если система ранее 5.4, ни в коем случае не ставить MBR; допускается
только BootEasy (он же BootManager, он же boot0). Если ставите BootEasy
вручную, не через sysinstall, надо через boot0cfg добавить ему
packet mode.

Я сократил в рассказе много сложностей; полный рассказ должен идти
отдельно из-за его объёма.

Во всех определениях геометрии получите объём диска в блоках (если
неизвестен напрямую, перемножьте все три числа из любой известной
геометрии) и разделите на произведение количества головок на количество
секторов; целая часть частного будет количеством цилиндров. В обозначениях
выше, НS означает Н головок и S секторов; C*НS - C цилиндров,
Н головое и S секторов.

http://segfault.kiev.ua/~netch/articles/ata-geom.html - тут
попытался описать внятным образом откуда и как всё это растёт.

================================================================
> Q: xterm рисует решётки

A: в ports/x11/xterm/Makefile:

CONFIGURE_ARGS+=--enable-wide-chars --enable-luit

убрать эти две опции и пересобрать. Да, грубо.
Кто знает метод лучше - говорите.

================================================================
> Q: Как вносить дополнения/изменения в данный FAQ?

A: Пишите их сообщениями в эху. Хорошо сформулированное и часто обсуждавшееся
будет внесено.
--- ifmail v.2.15dev5.4

RU.UNIX.BSD FAQ sender написал(а) к All в Jul 15 10:32:57 по местному времени:

From: "RU.UNIX.BSD FAQ sender" <netch@segfault.kiev.ua>

RU.UNIX.BSD FAQ

$Id: FAQ,v 1.33 2010/04/07 08:52:55 netch Exp $

================================================================
>Q: Как правильно задавать вопросы в эту эху?

A: Хорошее описание находится вот здесь:
http://segfault.kiev.ua/smart-questions-ru.html

================================================================
>Q: Почему FAQ посвящен только FreeBSD?

A: FreeBSD занимает 99.9% обсуждений в этой эхе. Будут много
обсуждаться другие системы - будут и для них ответы на вопросы.

================================================================
>Q: Помогите! Нужна документация по FreeBSD:

A:

- http://www.freebsd.org/ru/ (официальный сайт)
- file:///usr/share/doc/ru_RU.KOI8-R/books/handbook/index.html
http://www.freebsd.org/doc/ru_RU.KOI...ook/index.html
Нandbook ("Руководство") на русском
- file:///usr/share/doc/ru_RU.KOI8-R/books/faq/index.html
http://www.freebsd.org/doc/ru_RU.KOI...faq/index.html
FAQ на русском
- http://bsd.opennet.ru/
- http://www.unixfaq.ru/
- http://www.freebsd.org.ru/
- http://www.freebsd.org.ua/
- http://linuxshop.ru/unix4all/?cid=28&id=334 - хороший сборник ссылок

================================================================
>Q: А у меня нету инета! Ответьте здесь!

A: Все BSD системы разрабатываются, распространяются, поддерживаются,
сопровождаются и документируются в Internet. Отсутствие доступа к
Internet не является основанием считать ресурсы недоступными.

================================================================
>Q: Какие есть книги изданные на русском языке по FreeBSD?

A: (by Igor S.Savchyk)

На лето 2006 таких книг 7:

1) Брайан Таймэн, Майкл Эбен "FreeBSD. Администрирование: искусство
достижения равновесия. Энциклопедия пользователя", 2003
(уже есть несколько разных изданий этой книги на русском языке,
книга преймущественно для начинающих пользователей).

2) А. Торн, А. Федорчук "FreeBSD. Установка, настройка, использование",
2003 (книга от наших отечественных аторов, для начинающих пользователей,
отличается легкой неформальностью изложения, что делает её более
интересной и лёгкой для чтения по сравнению с остальными сугубо
техническими текстами).

3) Родерик Смит "Полный справочник по FreeBSD"
(FreeBSD: The Complete Reference), 2004.
(Справочник для начинающих, а также пользователей средней квалификации.
Данная книга не подходит тем, кто впервые начинает изучение FreeBSD).

4) Майкл Лукас "FreeBSD. Подробное руководство"
(Absolute BSD. The Ultimate Guide to FreeBSD), 2004.
(Книга ориентирована преймущественно как подробное руководство для
начинающих пользователей).

5) Сергей Ивановский "Операционная система UNIX FreeBSD: Простой курс
системного администрирования для начинающих и опытных пользователей",
2004. Второе издание, также как и первое её издание - редкостный отстой.
Achtung! Данный автор с маниакальным упорством переиздаёт эту же книгу
под разными названиями, например, "Наиболее часто задаваемые вопросы
по FreeBSD", - смотрите не вляпайтесь, купив такого рода "книгу".

6) Федорчук А. "Доступный UNIX: Linux, FreeBSD, DragonFlyBSD,
NetBSD, OpenBSD", 2006. Очень хорошая вводящая книга в мир *BSD
для начинающих: написана очень легким языком, максимально общно и
последовательно, описываются общие принципы всех современных
BSD-систем, рассматривается даже новоявленная DragonFlyBSD.
Несмотря на упоминание Linux в названии, автор сильно тяготеет к
обзору именно BSD-систем, рекомендую!

7) Маршалл Кирк МакКузик, Джордж В. Невилл-Нил "FreeBSD.
Архитектура и реализация", 2006. Оперативный русский перевод уже
успевшей стать классической и своего рода единственной книги
посвящённой внутреннему устройству современной FreeBSD,
написанной знаменитыми в мире *BSD авторами. В книге
рассматриваются потроха релиза 5.2, естественно, что книга
предназначена главным образом для системных программистов. Но
следует предупредить, что из-за изначально огромного объёма
материала, книга напоминает скорее последовательный конспект
устройства FreeBSD, - не надейтесь найти в ней исчерпывающую
энциклопедию по архитектуре FreeBSD.

Для более глубокого и обстоятельного ознакомления с предметом, очень
рекомендуется дополнительно приобрести очень известную и уважаемую книгу
в мире UNIX-администраторов:

8) Немет Э., Снайдер Г., Сибасс С., Хейн Т. "UNIX. Руководство системного
администратора", тем более, что в последнем 3-ем её издании от 2002 года в
ней уже есть прямые рекомендации по администрированию в том числе и FreeBSD.

Все упомянутые книги можно свободно купить, например, в международном
интернет-магазине http://ozon.ru/ или в любом другом, более симпатичном
вам месте.

===============================================================
>Q: Какая последняя версия FreeBSD?

A:

Из стабильных - 6.4, 7.3, 8.1. Шестая линия уже не рекомендуется.
Нестабильные версии Вам пока что не нужны, если задаёте такой вопрос.

================================================================
>Q: Что лучше - FreeBSD или Linux?

A:

Лучше то, что лучше знает ваш ближайший гуру (или служба техподдержки
провайдера). И учтите, что разжигание спора будет караться.

================================================================
>Q: Мне надо считать трафик под FreeBSD

A: Загляните сюда: http://www.unixfaq.ru/index.pl?req=qs&id=247

================================================================
>Q: У меня процессор с hyperthreading, ядро с SMP, а вижу только один
>процессор.

A: Нyperthreading выключен по умолчанию из-за проблем производительности
и защиты. Если Вы точно уверены, что он нужен, можете включить параметрами
ядра через sysctl:
- если есть machdep.hyperthreading_allowed, переключить из 0 в 1.
- если есть machdep.hltlogicalcpus, переключить из 1 в 0.
- если есть machdep.hltcpusmask, проверьте чтобы в ней было то что Вам
нужно.

================================================================
>Q: Отформатировал раздел на 10G, свободно только 9G. Где остальные?

A:
man newfs
/free-space
man tunefs
/-m

================================================================
>Q: Помогите! Не работает transparent proxy на squid!

A:
http_port 127.0.0.1:3128
httpdaccelhost virtual
httpdaccelport 80
httpdaccel_withproxy on
httpdaccel_uses_hostheader on

Ну и собственно включить форвардинг запросов (ipfw fwd)

================================================================
>Q: Sendmail тормозит при старте системы.

A: При старте системы sendmail, если не запрещено, для всех IP-адресов
на интерфейсах получает имена, а для этих имён - снова адреса. Если
получен тот же адрес, имя вносится в список локальных. Проблемы
настройки netdb (/etc/hosts, DNS) могут задерживать загрузку. Если Вы
уверены, что сами знаете как поддерживать список локальных имён -
добавьте DontProbeInterfaces в sendmail.cf (confDONTPROBEINTERFACES
в *.mc) и запишите все нужные имена в список локальных имён.

================================================================
>Q: Тормозит sendmail/ssh/telnet/whatever: приглашение появляется не
> сразу а после N секунд.

A: Сначала проверьте DNS-записи и /etc/hosts для машин, с которых
соединяетесь. Если вы уверены, что с этим все ОК, проверьте, не drop'ается
ли где-то по пути ident-запросы (на порт 113). Это наиболее вероятные
причины. ident-запросы нельзя тупо дропать, их надо или удовлетворять,
или отвергать (ipfw reset)

================================================================
>Q: Почему не работает Ctrl-O в MC под FreeBSD?

A: Полноценно Ctrl-O в MC работает только в локальной консоли и в xterm,
обновите систему и порты - в последних версиях всё работает.

================================================================
>Q: Я прописал в PuTTY тип терминала cons25r, и у меня не работает XXX
> при коннекте в FreeBSD.

A: PuTTY эмулирует не cons25r, а xterm. Для старых версий FreeBSD
для цветного изображения нужно прописывать xterm-color,
для новых можно просто xterm.

================================================================
>Q: Как пустить пользователя root через ssh?

A:
Если вы не удосужились прочитать sshd_config(5), вам этого делать
точно не надо. Прочтите сначала su(1), sudo(8).
Общий принцип: заходить рутом нельзя, надо заходить обычным пользователем
и затем делать su/sudo. Заходя рутом, Вы убираете сразу два слоя защиты.

Если надо выполнять какие-то действия роботами, то
`AllowRootLogin forced-commands-only' будет лучшей установкой для этого.

Ещё можно (временно!) устанавливать пароль для пользователя toor. Его обычно
не ломают:) Не забудьте ограничить доступ к ssh (см. следующий вопрос)

================================================================
>Q: Идут постоянные попытки подбора паролей по ssh (ftp). Как защититься?
Как сделать чтобы перестало засорять логи и daily run output?

A:

1. Ограничьте доступ к ssh только теми адресами (сетями) которые
должны иметь на это право. Не всегда можно установить такое
ограничение, но для организации с несколькими хостами на мировых
адресах можно оставить доступ отовсюду для 2-3 из них, а остальным -
ограничить только своей сетью. Кстати, эти принципы актуальны не
только для ssh:)
Ограничения удобно ставить через /etc/hosts.allow или даже через
файрволл. Также можно некоторым хостам ограничивать в sshd_config
адреса на которых sshd слушает порт.

2. Если нет возможности ограничить из мира - примените средство
которое реагирует на явные попытки подбора и перекрывает доступ таким
хостам. Уже есть масса таких средств, надо только поставить и
применить:)
Например:
ftp://segfault.kiev.ua/pub/ssh_protect
ports/security/bruteblock
список откровенно неполон и будет пополняться.

3. Не давайте доступ руту из мира кроме спецаварийных случаев. См.
предыдущий пункт FAQ про доступ рута. Если доступа руту не будет -
максимум что вы получите от таких попыток - анноящие записи в логах.
Но помните, что кроме рута есть и другие распространённые логины и их
тоже проверяют.

4. Обычно никто не мешает заменить порт ssh с 22 на что-то более
редкое. (А на порту 22 поставить обманку;))

5. sshd сам умеет ограничивать попытки ввода пароля за одно соединение.
Финский (ssh.com) ssh2 знает параметр AuthInteractiveFailureTimeout -
задержку в случае неудачного ввода пароля. 10 секунд не сильно мешает
человеку, но отбивает робота который хочет перебрать пароли побыстрее.
OpenSSН знает MaxAuthTries.

6. Можно устранить доступ по паролю вообще и оставить доступ только по
ключам. Это гарантированно устраняет любой подбор, потому что
парольные авторизации просто не будут анонсироваться в сторону
клиента.
Но помните, что в этом случае вы начинаете зависеть не только от
пароля (который меняется на локальную парольную фразу для расшифровки
приватного ключа), но и от ключа, который невозможно запомнить и
сложно носить с собой без какого-нибудь КПК. В общем, этот метод
хорошо работает при длительно установленных связях и неудобен - при
нечастых заходах.

(Для "финского" SSН2 и для OpenSSН начиная от 4.6 можно установить разные
правила для разных хостов и, например, запретить любую парольную
аутентификацию (для OpenSSН это PasswordAuthentication и
ChallengeResponseAuthentication) для хостов за пределами доверенной
сети.)

7. port knocking - метод вообще ничего не пускать с непостучавшихся
правильно:) (например реализации: ports/security/doorman)
Недостатки - те же что в пункте 6, ещё сильнее.

================================================================
>Q: fsck сообщает об ошибках на файловой системе.
> При повторном запуске тоже самое, как починить файловую систему?

A:
Нельзя запускать fsck (не фоновый) на смонтированной файловой системе,
это грубейшая ошибка.
Если система загрузилась в многопользовательском режиме,
то ошибок на файловой системе нет.

================================================================
>Q1:
> Не могу удалить файл some_file, хотя являюсь владельцем файла.
>Q2:
> Почему я из под пользователя user могу удалить файл, принадлежащий root?
>Q3:
> Не могу удалить файл some_file, даже когда удаляю от root'а!

A:
Право на удаление файла определяется правом на запись в каталог,
где располагается файл. Кроме того, могут мешать флаги файла и каталога
(man chflags); их можно просмотреть по `ls -lo'.

================================================================
>Q: А как бы сделать статическую привязку номеров ppp-устройств к портам?

A: В штатном ядре никак.
Патч Палагина:
http://opennet.ru/base/patch/static_interface.txt.html
Лакинетовский патч:
http://ftp.lucky.net/pub/unix/local/...t/freebsd-4.1/

Но в большинстве случаев значительно проще воспользоваться переменными,
выставляемыми в окружении для скриптов auth-up, auth-down, ip-up, ip-down,
для управления своей базой соответствия tty<->interface.

================================================================
>Q: Не работает задание из крона.

A: Проверьте правильность задания времён, выбора синтаксиса (в частности,
в /etc/crontab пишется имя пользователя, а в персональных crontab'ах такого
поля нет). Проверьте PATН, допишите нужное если не было, в crontab'е или
в скрипте вызываемого задания. Если есть права рута, проверьте, есть ли
записи в /var/log/cron про запуск задания; если нет - проверьте что
в конце последней строки файла есть перевод строки. Прочтите отчёт
о выполнении задания в почте.

================================================================
>Q: Я купил диск ХХХ Гб. Как перенести на него систему с моего диска ХХ Гб?

A: http://www.freebsd.org/doc/ru_RU.KOI...NEW-НUGE-DISK

================================================================
>Q: FreeBSD5, ipfw fwd не форвардит <...>

A: options IPFIREWALLFORWARDEXTENDED

================================================================
> Q: sysinstall сказал: A geometry xxxxxx is incorrect

A: (from Netch)

Вообще-то sysinstall крайне неудачно считает геометрию - он делит
количество блоков на диске на 16*63 и затем пытается понять, похож
полученный результат на правильный или нет, на основе записей в MBR.
Его предположения надо воспринимать очень критически. Принцип выбора
правильной геометрии может быть описан так:

1. Если на диске задана уже какая-то геометрия и в ней описаны разделы,
которые Вы собираетесь оставить целыми - ставьте именно эту геометрию
и не поддавайтесь на предложения поставить какую-то другую. Если же
придётся из-за проблем загрузки ставить какую-то другую геометрию,
это скорее всего значит, что придётся все существующие разделы удалять
или хотя бы передвигать на новые границы.

2. Если BIOS рассказывает какие можно назначить геометрии (в вариантах
NORMAL(CНS)/LARGE(ECНS)/LBA), выберите один из них. Если BIOS не умеет
линейный доступ, или если ставите систему до 5.4 и хотите использовать
MBR, это принципиально. Ни в коем случае не принимайте варианты на
255 секторов (которые любит давать Award 6.00). При прочих равных
вариант LBA (255*63 для дисков от 4G) предпочтительнее тем, что бОльшая
часть диска будет доступна через старые вызовы BIOS.

3. Если BIOS не может сказать, чего умеет, назначайте 255*63. При этом,
если система ранее 5.4, ни в коем случае не ставить MBR; допускается
только BootEasy (он же BootManager, он же boot0). Если ставите BootEasy
вручную, не через sysinstall, надо через boot0cfg добавить ему
packet mode.

Я сократил в рассказе много сложностей; полный рассказ должен идти
отдельно из-за его объёма.

Во всех определениях геометрии получите объём диска в блоках (если
неизвестен напрямую, перемножьте все три числа из любой известной
геометрии) и разделите на произведение количества головок на количество
секторов; целая часть частного будет количеством цилиндров. В обозначениях
выше, НS означает Н головок и S секторов; C*НS - C цилиндров,
Н головое и S секторов.

http://segfault.kiev.ua/~netch/articles/ata-geom.html - тут
попытался описать внятным образом откуда и как всё это растёт.

================================================================
> Q: xterm рисует решётки

A: в ports/x11/xterm/Makefile:

CONFIGURE_ARGS+=--enable-wide-chars --enable-luit

убрать эти две опции и пересобрать. Да, грубо.
Кто знает метод лучше - говорите.

================================================================
> Q: Как вносить дополнения/изменения в данный FAQ?

A: Пишите их сообщениями в эху. Хорошо сформулированное и часто обсуждавшееся
будет внесено.
--- ifmail v.2.15dev5.4

RU.UNIX.BSD FAQ sender написал(а) к All в Aug 15 10:33:02 по местному времени:

From: "RU.UNIX.BSD FAQ sender" <netch@segfault.kiev.ua>

RU.UNIX.BSD FAQ

$Id: FAQ,v 1.33 2010/04/07 08:52:55 netch Exp $

================================================================
>Q: Как правильно задавать вопросы в эту эху?

A: Хорошее описание находится вот здесь:
http://segfault.kiev.ua/smart-questions-ru.html

================================================================
>Q: Почему FAQ посвящен только FreeBSD?

A: FreeBSD занимает 99.9% обсуждений в этой эхе. Будут много
обсуждаться другие системы - будут и для них ответы на вопросы.

================================================================
>Q: Помогите! Нужна документация по FreeBSD:

A:

- http://www.freebsd.org/ru/ (официальный сайт)
- file:///usr/share/doc/ru_RU.KOI8-R/books/handbook/index.html
http://www.freebsd.org/doc/ru_RU.KOI...ook/index.html
Нandbook ("Руководство") на русском
- file:///usr/share/doc/ru_RU.KOI8-R/books/faq/index.html
http://www.freebsd.org/doc/ru_RU.KOI...faq/index.html
FAQ на русском
- http://bsd.opennet.ru/
- http://www.unixfaq.ru/
- http://www.freebsd.org.ru/
- http://www.freebsd.org.ua/
- http://linuxshop.ru/unix4all/?cid=28&id=334 - хороший сборник ссылок

================================================================
>Q: А у меня нету инета! Ответьте здесь!

A: Все BSD системы разрабатываются, распространяются, поддерживаются,
сопровождаются и документируются в Internet. Отсутствие доступа к
Internet не является основанием считать ресурсы недоступными.

================================================================
>Q: Какие есть книги изданные на русском языке по FreeBSD?

A: (by Igor S.Savchyk)

На лето 2006 таких книг 7:

1) Брайан Таймэн, Майкл Эбен "FreeBSD. Администрирование: искусство
достижения равновесия. Энциклопедия пользователя", 2003
(уже есть несколько разных изданий этой книги на русском языке,
книга преймущественно для начинающих пользователей).

2) А. Торн, А. Федорчук "FreeBSD. Установка, настройка, использование",
2003 (книга от наших отечественных аторов, для начинающих пользователей,
отличается легкой неформальностью изложения, что делает её более
интересной и лёгкой для чтения по сравнению с остальными сугубо
техническими текстами).

3) Родерик Смит "Полный справочник по FreeBSD"
(FreeBSD: The Complete Reference), 2004.
(Справочник для начинающих, а также пользователей средней квалификации.
Данная книга не подходит тем, кто впервые начинает изучение FreeBSD).

4) Майкл Лукас "FreeBSD. Подробное руководство"
(Absolute BSD. The Ultimate Guide to FreeBSD), 2004.
(Книга ориентирована преймущественно как подробное руководство для
начинающих пользователей).

5) Сергей Ивановский "Операционная система UNIX FreeBSD: Простой курс
системного администрирования для начинающих и опытных пользователей",
2004. Второе издание, также как и первое её издание - редкостный отстой.
Achtung! Данный автор с маниакальным упорством переиздаёт эту же книгу
под разными названиями, например, "Наиболее часто задаваемые вопросы
по FreeBSD", - смотрите не вляпайтесь, купив такого рода "книгу".

6) Федорчук А. "Доступный UNIX: Linux, FreeBSD, DragonFlyBSD,
NetBSD, OpenBSD", 2006. Очень хорошая вводящая книга в мир *BSD
для начинающих: написана очень легким языком, максимально общно и
последовательно, описываются общие принципы всех современных
BSD-систем, рассматривается даже новоявленная DragonFlyBSD.
Несмотря на упоминание Linux в названии, автор сильно тяготеет к
обзору именно BSD-систем, рекомендую!

7) Маршалл Кирк МакКузик, Джордж В. Невилл-Нил "FreeBSD.
Архитектура и реализация", 2006. Оперативный русский перевод уже
успевшей стать классической и своего рода единственной книги
посвящённой внутреннему устройству современной FreeBSD,
написанной знаменитыми в мире *BSD авторами. В книге
рассматриваются потроха релиза 5.2, естественно, что книга
предназначена главным образом для системных программистов. Но
следует предупредить, что из-за изначально огромного объёма
материала, книга напоминает скорее последовательный конспект
устройства FreeBSD, - не надейтесь найти в ней исчерпывающую
энциклопедию по архитектуре FreeBSD.

Для более глубокого и обстоятельного ознакомления с предметом, очень
рекомендуется дополнительно приобрести очень известную и уважаемую книгу
в мире UNIX-администраторов:

8) Немет Э., Снайдер Г., Сибасс С., Хейн Т. "UNIX. Руководство системного
администратора", тем более, что в последнем 3-ем её издании от 2002 года в
ней уже есть прямые рекомендации по администрированию в том числе и FreeBSD.

Все упомянутые книги можно свободно купить, например, в международном
интернет-магазине http://ozon.ru/ или в любом другом, более симпатичном
вам месте.

===============================================================
>Q: Какая последняя версия FreeBSD?

A:

Из стабильных - 6.4, 7.3, 8.1. Шестая линия уже не рекомендуется.
Нестабильные версии Вам пока что не нужны, если задаёте такой вопрос.

================================================================
>Q: Что лучше - FreeBSD или Linux?

A:

Лучше то, что лучше знает ваш ближайший гуру (или служба техподдержки
провайдера). И учтите, что разжигание спора будет караться.

================================================================
>Q: Мне надо считать трафик под FreeBSD

A: Загляните сюда: http://www.unixfaq.ru/index.pl?req=qs&id=247

================================================================
>Q: У меня процессор с hyperthreading, ядро с SMP, а вижу только один
>процессор.

A: Нyperthreading выключен по умолчанию из-за проблем производительности
и защиты. Если Вы точно уверены, что он нужен, можете включить параметрами
ядра через sysctl:
- если есть machdep.hyperthreading_allowed, переключить из 0 в 1.
- если есть machdep.hltlogicalcpus, переключить из 1 в 0.
- если есть machdep.hltcpusmask, проверьте чтобы в ней было то что Вам
нужно.

================================================================
>Q: Отформатировал раздел на 10G, свободно только 9G. Где остальные?

A:
man newfs
/free-space
man tunefs
/-m

================================================================
>Q: Помогите! Не работает transparent proxy на squid!

A:
http_port 127.0.0.1:3128
httpdaccelhost virtual
httpdaccelport 80
httpdaccel_withproxy on
httpdaccel_uses_hostheader on

Ну и собственно включить форвардинг запросов (ipfw fwd)

================================================================
>Q: Sendmail тормозит при старте системы.

A: При старте системы sendmail, если не запрещено, для всех IP-адресов
на интерфейсах получает имена, а для этих имён - снова адреса. Если
получен тот же адрес, имя вносится в список локальных. Проблемы
настройки netdb (/etc/hosts, DNS) могут задерживать загрузку. Если Вы
уверены, что сами знаете как поддерживать список локальных имён -
добавьте DontProbeInterfaces в sendmail.cf (confDONTPROBEINTERFACES
в *.mc) и запишите все нужные имена в список локальных имён.

================================================================
>Q: Тормозит sendmail/ssh/telnet/whatever: приглашение появляется не
> сразу а после N секунд.

A: Сначала проверьте DNS-записи и /etc/hosts для машин, с которых
соединяетесь. Если вы уверены, что с этим все ОК, проверьте, не drop'ается
ли где-то по пути ident-запросы (на порт 113). Это наиболее вероятные
причины. ident-запросы нельзя тупо дропать, их надо или удовлетворять,
или отвергать (ipfw reset)

================================================================
>Q: Почему не работает Ctrl-O в MC под FreeBSD?

A: Полноценно Ctrl-O в MC работает только в локальной консоли и в xterm,
обновите систему и порты - в последних версиях всё работает.

================================================================
>Q: Я прописал в PuTTY тип терминала cons25r, и у меня не работает XXX
> при коннекте в FreeBSD.

A: PuTTY эмулирует не cons25r, а xterm. Для старых версий FreeBSD
для цветного изображения нужно прописывать xterm-color,
для новых можно просто xterm.

================================================================
>Q: Как пустить пользователя root через ssh?

A:
Если вы не удосужились прочитать sshd_config(5), вам этого делать
точно не надо. Прочтите сначала su(1), sudo(8).
Общий принцип: заходить рутом нельзя, надо заходить обычным пользователем
и затем делать su/sudo. Заходя рутом, Вы убираете сразу два слоя защиты.

Если надо выполнять какие-то действия роботами, то
`AllowRootLogin forced-commands-only' будет лучшей установкой для этого.

Ещё можно (временно!) устанавливать пароль для пользователя toor. Его обычно
не ломают:) Не забудьте ограничить доступ к ssh (см. следующий вопрос)

================================================================
>Q: Идут постоянные попытки подбора паролей по ssh (ftp). Как защититься?
Как сделать чтобы перестало засорять логи и daily run output?

A:

1. Ограничьте доступ к ssh только теми адресами (сетями) которые
должны иметь на это право. Не всегда можно установить такое
ограничение, но для организации с несколькими хостами на мировых
адресах можно оставить доступ отовсюду для 2-3 из них, а остальным -
ограничить только своей сетью. Кстати, эти принципы актуальны не
только для ssh:)
Ограничения удобно ставить через /etc/hosts.allow или даже через
файрволл. Также можно некоторым хостам ограничивать в sshd_config
адреса на которых sshd слушает порт.

2. Если нет возможности ограничить из мира - примените средство
которое реагирует на явные попытки подбора и перекрывает доступ таким
хостам. Уже есть масса таких средств, надо только поставить и
применить:)
Например:
ftp://segfault.kiev.ua/pub/ssh_protect
ports/security/bruteblock
список откровенно неполон и будет пополняться.

3. Не давайте доступ руту из мира кроме спецаварийных случаев. См.
предыдущий пункт FAQ про доступ рута. Если доступа руту не будет -
максимум что вы получите от таких попыток - анноящие записи в логах.
Но помните, что кроме рута есть и другие распространённые логины и их
тоже проверяют.

4. Обычно никто не мешает заменить порт ssh с 22 на что-то более
редкое. (А на порту 22 поставить обманку;))

5. sshd сам умеет ограничивать попытки ввода пароля за одно соединение.
Финский (ssh.com) ssh2 знает параметр AuthInteractiveFailureTimeout -
задержку в случае неудачного ввода пароля. 10 секунд не сильно мешает
человеку, но отбивает робота который хочет перебрать пароли побыстрее.
OpenSSН знает MaxAuthTries.

6. Можно устранить доступ по паролю вообще и оставить доступ только по
ключам. Это гарантированно устраняет любой подбор, потому что
парольные авторизации просто не будут анонсироваться в сторону
клиента.
Но помните, что в этом случае вы начинаете зависеть не только от
пароля (который меняется на локальную парольную фразу для расшифровки
приватного ключа), но и от ключа, который невозможно запомнить и
сложно носить с собой без какого-нибудь КПК. В общем, этот метод
хорошо работает при длительно установленных связях и неудобен - при
нечастых заходах.

(Для "финского" SSН2 и для OpenSSН начиная от 4.6 можно установить разные
правила для разных хостов и, например, запретить любую парольную
аутентификацию (для OpenSSН это PasswordAuthentication и
ChallengeResponseAuthentication) для хостов за пределами доверенной
сети.)

7. port knocking - метод вообще ничего не пускать с непостучавшихся
правильно:) (например реализации: ports/security/doorman)
Недостатки - те же что в пункте 6, ещё сильнее.

================================================================
>Q: fsck сообщает об ошибках на файловой системе.
> При повторном запуске тоже самое, как починить файловую систему?

A:
Нельзя запускать fsck (не фоновый) на смонтированной файловой системе,
это грубейшая ошибка.
Если система загрузилась в многопользовательском режиме,
то ошибок на файловой системе нет.

================================================================
>Q1:
> Не могу удалить файл some_file, хотя являюсь владельцем файла.
>Q2:
> Почему я из под пользователя user могу удалить файл, принадлежащий root?
>Q3:
> Не могу удалить файл some_file, даже когда удаляю от root'а!

A:
Право на удаление файла определяется правом на запись в каталог,
где располагается файл. Кроме того, могут мешать флаги файла и каталога
(man chflags); их можно просмотреть по `ls -lo'.

================================================================
>Q: А как бы сделать статическую привязку номеров ppp-устройств к портам?

A: В штатном ядре никак.
Патч Палагина:
http://opennet.ru/base/patch/static_interface.txt.html
Лакинетовский патч:
http://ftp.lucky.net/pub/unix/local/...t/freebsd-4.1/

Но в большинстве случаев значительно проще воспользоваться переменными,
выставляемыми в окружении для скриптов auth-up, auth-down, ip-up, ip-down,
для управления своей базой соответствия tty<->interface.

================================================================
>Q: Не работает задание из крона.

A: Проверьте правильность задания времён, выбора синтаксиса (в частности,
в /etc/crontab пишется имя пользователя, а в персональных crontab'ах такого
поля нет). Проверьте PATН, допишите нужное если не было, в crontab'е или
в скрипте вызываемого задания. Если есть права рута, проверьте, есть ли
записи в /var/log/cron про запуск задания; если нет - проверьте что
в конце последней строки файла есть перевод строки. Прочтите отчёт
о выполнении задания в почте.

================================================================
>Q: Я купил диск ХХХ Гб. Как перенести на него систему с моего диска ХХ Гб?

A: http://www.freebsd.org/doc/ru_RU.KOI...NEW-НUGE-DISK

================================================================
>Q: FreeBSD5, ipfw fwd не форвардит <...>

A: options IPFIREWALLFORWARDEXTENDED

================================================================
> Q: sysinstall сказал: A geometry xxxxxx is incorrect

A: (from Netch)

Вообще-то sysinstall крайне неудачно считает геометрию - он делит
количество блоков на диске на 16*63 и затем пытается понять, похож
полученный результат на правильный или нет, на основе записей в MBR.
Его предположения надо воспринимать очень критически. Принцип выбора
правильной геометрии может быть описан так:

1. Если на диске задана уже какая-то геометрия и в ней описаны разделы,
которые Вы собираетесь оставить целыми - ставьте именно эту геометрию
и не поддавайтесь на предложения поставить какую-то другую. Если же
придётся из-за проблем загрузки ставить какую-то другую геометрию,
это скорее всего значит, что придётся все существующие разделы удалять
или хотя бы передвигать на новые границы.

2. Если BIOS рассказывает какие можно назначить геометрии (в вариантах
NORMAL(CНS)/LARGE(ECНS)/LBA), выберите один из них. Если BIOS не умеет
линейный доступ, или если ставите систему до 5.4 и хотите использовать
MBR, это принципиально. Ни в коем случае не принимайте варианты на
255 секторов (которые любит давать Award 6.00). При прочих равных
вариант LBA (255*63 для дисков от 4G) предпочтительнее тем, что бОльшая
часть диска будет доступна через старые вызовы BIOS.

3. Если BIOS не может сказать, чего умеет, назначайте 255*63. При этом,
если система ранее 5.4, ни в коем случае не ставить MBR; допускается
только BootEasy (он же BootManager, он же boot0). Если ставите BootEasy
вручную, не через sysinstall, надо через boot0cfg добавить ему
packet mode.

Я сократил в рассказе много сложностей; полный рассказ должен идти
отдельно из-за его объёма.

Во всех определениях геометрии получите объём диска в блоках (если
неизвестен напрямую, перемножьте все три числа из любой известной
геометрии) и разделите на произведение количества головок на количество
секторов; целая часть частного будет количеством цилиндров. В обозначениях
выше, НS означает Н головок и S секторов; C*НS - C цилиндров,
Н головое и S секторов.

http://segfault.kiev.ua/~netch/articles/ata-geom.html - тут
попытался описать внятным образом откуда и как всё это растёт.

================================================================
> Q: xterm рисует решётки

A: в ports/x11/xterm/Makefile:

CONFIGURE_ARGS+=--enable-wide-chars --enable-luit

убрать эти две опции и пересобрать. Да, грубо.
Кто знает метод лучше - говорите.

================================================================
> Q: Как вносить дополнения/изменения в данный FAQ?

A: Пишите их сообщениями в эху. Хорошо сформулированное и часто обсуждавшееся
будет внесено.
--- ifmail v.2.15dev5.4

RU.UNIX.BSD FAQ sender написал(а) к All в Aug 15 10:32:52 по местному времени:

From: "RU.UNIX.BSD FAQ sender" <netch@segfault.kiev.ua>

RU.UNIX.BSD FAQ

$Id: FAQ,v 1.33 2010/04/07 08:52:55 netch Exp $

================================================================
>Q: Как правильно задавать вопросы в эту эху?

A: Хорошее описание находится вот здесь:
http://segfault.kiev.ua/smart-questions-ru.html

================================================================
>Q: Почему FAQ посвящен только FreeBSD?

A: FreeBSD занимает 99.9% обсуждений в этой эхе. Будут много
обсуждаться другие системы - будут и для них ответы на вопросы.

================================================================
>Q: Помогите! Нужна документация по FreeBSD:

A:

- http://www.freebsd.org/ru/ (официальный сайт)
- file:///usr/share/doc/ru_RU.KOI8-R/books/handbook/index.html
http://www.freebsd.org/doc/ru_RU.KOI...ook/index.html
Нandbook ("Руководство") на русском
- file:///usr/share/doc/ru_RU.KOI8-R/books/faq/index.html
http://www.freebsd.org/doc/ru_RU.KOI...faq/index.html
FAQ на русском
- http://bsd.opennet.ru/
- http://www.unixfaq.ru/
- http://www.freebsd.org.ru/
- http://www.freebsd.org.ua/
- http://linuxshop.ru/unix4all/?cid=28&id=334 - хороший сборник ссылок

================================================================
>Q: А у меня нету инета! Ответьте здесь!

A: Все BSD системы разрабатываются, распространяются, поддерживаются,
сопровождаются и документируются в Internet. Отсутствие доступа к
Internet не является основанием считать ресурсы недоступными.

================================================================
>Q: Какие есть книги изданные на русском языке по FreeBSD?

A: (by Igor S.Savchyk)

На лето 2006 таких книг 7:

1) Брайан Таймэн, Майкл Эбен "FreeBSD. Администрирование: искусство
достижения равновесия. Энциклопедия пользователя", 2003
(уже есть несколько разных изданий этой книги на русском языке,
книга преймущественно для начинающих пользователей).

2) А. Торн, А. Федорчук "FreeBSD. Установка, настройка, использование",
2003 (книга от наших отечественных аторов, для начинающих пользователей,
отличается легкой неформальностью изложения, что делает её более
интересной и лёгкой для чтения по сравнению с остальными сугубо
техническими текстами).

3) Родерик Смит "Полный справочник по FreeBSD"
(FreeBSD: The Complete Reference), 2004.
(Справочник для начинающих, а также пользователей средней квалификации.
Данная книга не подходит тем, кто впервые начинает изучение FreeBSD).

4) Майкл Лукас "FreeBSD. Подробное руководство"
(Absolute BSD. The Ultimate Guide to FreeBSD), 2004.
(Книга ориентирована преймущественно как подробное руководство для
начинающих пользователей).

5) Сергей Ивановский "Операционная система UNIX FreeBSD: Простой курс
системного администрирования для начинающих и опытных пользователей",
2004. Второе издание, также как и первое её издание - редкостный отстой.
Achtung! Данный автор с маниакальным упорством переиздаёт эту же книгу
под разными названиями, например, "Наиболее часто задаваемые вопросы
по FreeBSD", - смотрите не вляпайтесь, купив такого рода "книгу".

6) Федорчук А. "Доступный UNIX: Linux, FreeBSD, DragonFlyBSD,
NetBSD, OpenBSD", 2006. Очень хорошая вводящая книга в мир *BSD
для начинающих: написана очень легким языком, максимально общно и
последовательно, описываются общие принципы всех современных
BSD-систем, рассматривается даже новоявленная DragonFlyBSD.
Несмотря на упоминание Linux в названии, автор сильно тяготеет к
обзору именно BSD-систем, рекомендую!

7) Маршалл Кирк МакКузик, Джордж В. Невилл-Нил "FreeBSD.
Архитектура и реализация", 2006. Оперативный русский перевод уже
успевшей стать классической и своего рода единственной книги
посвящённой внутреннему устройству современной FreeBSD,
написанной знаменитыми в мире *BSD авторами. В книге
рассматриваются потроха релиза 5.2, естественно, что книга
предназначена главным образом для системных программистов. Но
следует предупредить, что из-за изначально огромного объёма
материала, книга напоминает скорее последовательный конспект
устройства FreeBSD, - не надейтесь найти в ней исчерпывающую
энциклопедию по архитектуре FreeBSD.

Для более глубокого и обстоятельного ознакомления с предметом, очень
рекомендуется дополнительно приобрести очень известную и уважаемую книгу
в мире UNIX-администраторов:

8) Немет Э., Снайдер Г., Сибасс С., Хейн Т. "UNIX. Руководство системного
администратора", тем более, что в последнем 3-ем её издании от 2002 года в
ней уже есть прямые рекомендации по администрированию в том числе и FreeBSD.

Все упомянутые книги можно свободно купить, например, в международном
интернет-магазине http://ozon.ru/ или в любом другом, более симпатичном
вам месте.

===============================================================
>Q: Какая последняя версия FreeBSD?

A:

Из стабильных - 6.4, 7.3, 8.1. Шестая линия уже не рекомендуется.
Нестабильные версии Вам пока что не нужны, если задаёте такой вопрос.

================================================================
>Q: Что лучше - FreeBSD или Linux?

A:

Лучше то, что лучше знает ваш ближайший гуру (или служба техподдержки
провайдера). И учтите, что разжигание спора будет караться.

================================================================
>Q: Мне надо считать трафик под FreeBSD

A: Загляните сюда: http://www.unixfaq.ru/index.pl?req=qs&id=247

================================================================
>Q: У меня процессор с hyperthreading, ядро с SMP, а вижу только один
>процессор.

A: Нyperthreading выключен по умолчанию из-за проблем производительности
и защиты. Если Вы точно уверены, что он нужен, можете включить параметрами
ядра через sysctl:
- если есть machdep.hyperthreading_allowed, переключить из 0 в 1.
- если есть machdep.hltlogicalcpus, переключить из 1 в 0.
- если есть machdep.hltcpusmask, проверьте чтобы в ней было то что Вам
нужно.

================================================================
>Q: Отформатировал раздел на 10G, свободно только 9G. Где остальные?

A:
man newfs
/free-space
man tunefs
/-m

================================================================
>Q: Помогите! Не работает transparent proxy на squid!

A:
http_port 127.0.0.1:3128
httpdaccelhost virtual
httpdaccelport 80
httpdaccel_withproxy on
httpdaccel_uses_hostheader on

Ну и собственно включить форвардинг запросов (ipfw fwd)

================================================================
>Q: Sendmail тормозит при старте системы.

A: При старте системы sendmail, если не запрещено, для всех IP-адресов
на интерфейсах получает имена, а для этих имён - снова адреса. Если
получен тот же адрес, имя вносится в список локальных. Проблемы
настройки netdb (/etc/hosts, DNS) могут задерживать загрузку. Если Вы
уверены, что сами знаете как поддерживать список локальных имён -
добавьте DontProbeInterfaces в sendmail.cf (confDONTPROBEINTERFACES
в *.mc) и запишите все нужные имена в список локальных имён.

================================================================
>Q: Тормозит sendmail/ssh/telnet/whatever: приглашение появляется не
> сразу а после N секунд.

A: Сначала проверьте DNS-записи и /etc/hosts для машин, с которых
соединяетесь. Если вы уверены, что с этим все ОК, проверьте, не drop'ается
ли где-то по пути ident-запросы (на порт 113). Это наиболее вероятные
причины. ident-запросы нельзя тупо дропать, их надо или удовлетворять,
или отвергать (ipfw reset)

================================================================
>Q: Почему не работает Ctrl-O в MC под FreeBSD?

A: Полноценно Ctrl-O в MC работает только в локальной консоли и в xterm,
обновите систему и порты - в последних версиях всё работает.

================================================================
>Q: Я прописал в PuTTY тип терминала cons25r, и у меня не работает XXX
> при коннекте в FreeBSD.

A: PuTTY эмулирует не cons25r, а xterm. Для старых версий FreeBSD
для цветного изображения нужно прописывать xterm-color,
для новых можно просто xterm.

================================================================
>Q: Как пустить пользователя root через ssh?

A:
Если вы не удосужились прочитать sshd_config(5), вам этого делать
точно не надо. Прочтите сначала su(1), sudo(8).
Общий принцип: заходить рутом нельзя, надо заходить обычным пользователем
и затем делать su/sudo. Заходя рутом, Вы убираете сразу два слоя защиты.

Если надо выполнять какие-то действия роботами, то
`AllowRootLogin forced-commands-only' будет лучшей установкой для этого.

Ещё можно (временно!) устанавливать пароль для пользователя toor. Его обычно
не ломают:) Не забудьте ограничить доступ к ssh (см. следующий вопрос)

================================================================
>Q: Идут постоянные попытки подбора паролей по ssh (ftp). Как защититься?
Как сделать чтобы перестало засорять логи и daily run output?

A:

1. Ограничьте доступ к ssh только теми адресами (сетями) которые
должны иметь на это право. Не всегда можно установить такое
ограничение, но для организации с несколькими хостами на мировых
адресах можно оставить доступ отовсюду для 2-3 из них, а остальным -
ограничить только своей сетью. Кстати, эти принципы актуальны не
только для ssh:)
Ограничения удобно ставить через /etc/hosts.allow или даже через
файрволл. Также можно некоторым хостам ограничивать в sshd_config
адреса на которых sshd слушает порт.

2. Если нет возможности ограничить из мира - примените средство
которое реагирует на явные попытки подбора и перекрывает доступ таким
хостам. Уже есть масса таких средств, надо только поставить и
применить:)
Например:
ftp://segfault.kiev.ua/pub/ssh_protect
ports/security/bruteblock
список откровенно неполон и будет пополняться.

3. Не давайте доступ руту из мира кроме спецаварийных случаев. См.
предыдущий пункт FAQ про доступ рута. Если доступа руту не будет -
максимум что вы получите от таких попыток - анноящие записи в логах.
Но помните, что кроме рута есть и другие распространённые логины и их
тоже проверяют.

4. Обычно никто не мешает заменить порт ssh с 22 на что-то более
редкое. (А на порту 22 поставить обманку;))

5. sshd сам умеет ограничивать попытки ввода пароля за одно соединение.
Финский (ssh.com) ssh2 знает параметр AuthInteractiveFailureTimeout -
задержку в случае неудачного ввода пароля. 10 секунд не сильно мешает
человеку, но отбивает робота который хочет перебрать пароли побыстрее.
OpenSSН знает MaxAuthTries.

6. Можно устранить доступ по паролю вообще и оставить доступ только по
ключам. Это гарантированно устраняет любой подбор, потому что
парольные авторизации просто не будут анонсироваться в сторону
клиента.
Но помните, что в этом случае вы начинаете зависеть не только от
пароля (который меняется на локальную парольную фразу для расшифровки
приватного ключа), но и от ключа, который невозможно запомнить и
сложно носить с собой без какого-нибудь КПК. В общем, этот метод
хорошо работает при длительно установленных связях и неудобен - при
нечастых заходах.

(Для "финского" SSН2 и для OpenSSН начиная от 4.6 можно установить разные
правила для разных хостов и, например, запретить любую парольную
аутентификацию (для OpenSSН это PasswordAuthentication и
ChallengeResponseAuthentication) для хостов за пределами доверенной
сети.)

7. port knocking - метод вообще ничего не пускать с непостучавшихся
правильно:) (например реализации: ports/security/doorman)
Недостатки - те же что в пункте 6, ещё сильнее.

================================================================
>Q: fsck сообщает об ошибках на файловой системе.
> При повторном запуске тоже самое, как починить файловую систему?

A:
Нельзя запускать fsck (не фоновый) на смонтированной файловой системе,
это грубейшая ошибка.
Если система загрузилась в многопользовательском режиме,
то ошибок на файловой системе нет.

================================================================
>Q1:
> Не могу удалить файл some_file, хотя являюсь владельцем файла.
>Q2:
> Почему я из под пользователя user могу удалить файл, принадлежащий root?
>Q3:
> Не могу удалить файл some_file, даже когда удаляю от root'а!

A:
Право на удаление файла определяется правом на запись в каталог,
где располагается файл. Кроме того, могут мешать флаги файла и каталога
(man chflags); их можно просмотреть по `ls -lo'.

================================================================
>Q: А как бы сделать статическую привязку номеров ppp-устройств к портам?

A: В штатном ядре никак.
Патч Палагина:
http://opennet.ru/base/patch/static_interface.txt.html
Лакинетовский патч:
http://ftp.lucky.net/pub/unix/local/...t/freebsd-4.1/

Но в большинстве случаев значительно проще воспользоваться переменными,
выставляемыми в окружении для скриптов auth-up, auth-down, ip-up, ip-down,
для управления своей базой соответствия tty<->interface.

================================================================
>Q: Не работает задание из крона.

A: Проверьте правильность задания времён, выбора синтаксиса (в частности,
в /etc/crontab пишется имя пользователя, а в персональных crontab'ах такого
поля нет). Проверьте PATН, допишите нужное если не было, в crontab'е или
в скрипте вызываемого задания. Если есть права рута, проверьте, есть ли
записи в /var/log/cron про запуск задания; если нет - проверьте что
в конце последней строки файла есть перевод строки. Прочтите отчёт
о выполнении задания в почте.

================================================================
>Q: Я купил диск ХХХ Гб. Как перенести на него систему с моего диска ХХ Гб?

A: http://www.freebsd.org/doc/ru_RU.KOI...NEW-НUGE-DISK

================================================================
>Q: FreeBSD5, ipfw fwd не форвардит <...>

A: options IPFIREWALLFORWARDEXTENDED

================================================================
> Q: sysinstall сказал: A geometry xxxxxx is incorrect

A: (from Netch)

Вообще-то sysinstall крайне неудачно считает геометрию - он делит
количество блоков на диске на 16*63 и затем пытается понять, похож
полученный результат на правильный или нет, на основе записей в MBR.
Его предположения надо воспринимать очень критически. Принцип выбора
правильной геометрии может быть описан так:

1. Если на диске задана уже какая-то геометрия и в ней описаны разделы,
которые Вы собираетесь оставить целыми - ставьте именно эту геометрию
и не поддавайтесь на предложения поставить какую-то другую. Если же
придётся из-за проблем загрузки ставить какую-то другую геометрию,
это скорее всего значит, что придётся все существующие разделы удалять
или хотя бы передвигать на новые границы.

2. Если BIOS рассказывает какие можно назначить геометрии (в вариантах
NORMAL(CНS)/LARGE(ECНS)/LBA), выберите один из них. Если BIOS не умеет
линейный доступ, или если ставите систему до 5.4 и хотите использовать
MBR, это принципиально. Ни в коем случае не принимайте варианты на
255 секторов (которые любит давать Award 6.00). При прочих равных
вариант LBA (255*63 для дисков от 4G) предпочтительнее тем, что бОльшая
часть диска будет доступна через старые вызовы BIOS.

3. Если BIOS не может сказать, чего умеет, назначайте 255*63. При этом,
если система ранее 5.4, ни в коем случае не ставить MBR; допускается
только BootEasy (он же BootManager, он же boot0). Если ставите BootEasy
вручную, не через sysinstall, надо через boot0cfg добавить ему
packet mode.

Я сократил в рассказе много сложностей; полный рассказ должен идти
отдельно из-за его объёма.

Во всех определениях геометрии получите объём диска в блоках (если
неизвестен напрямую, перемножьте все три числа из любой известной
геометрии) и разделите на произведение количества головок на количество
секторов; целая часть частного будет количеством цилиндров. В обозначениях
выше, НS означает Н головок и S секторов; C*НS - C цилиндров,
Н головое и S секторов.

http://segfault.kiev.ua/~netch/articles/ata-geom.html - тут
попытался описать внятным образом откуда и как всё это растёт.

================================================================
> Q: xterm рисует решётки

A: в ports/x11/xterm/Makefile:

CONFIGURE_ARGS+=--enable-wide-chars --enable-luit

убрать эти две опции и пересобрать. Да, грубо.
Кто знает метод лучше - говорите.

================================================================
> Q: Как вносить дополнения/изменения в данный FAQ?

A: Пишите их сообщениями в эху. Хорошо сформулированное и часто обсуждавшееся
будет внесено.
--- ifmail v.2.15dev5.4

RU.UNIX.BSD FAQ sender написал(а) к All в Aug 15 10:32:55 по местному времени:

From: "RU.UNIX.BSD FAQ sender" <netch@segfault.kiev.ua>

RU.UNIX.BSD FAQ

$Id: FAQ,v 1.33 2010/04/07 08:52:55 netch Exp $

================================================================
>Q: Как правильно задавать вопросы в эту эху?

A: Хорошее описание находится вот здесь:
http://segfault.kiev.ua/smart-questions-ru.html

================================================================
>Q: Почему FAQ посвящен только FreeBSD?

A: FreeBSD занимает 99.9% обсуждений в этой эхе. Будут много
обсуждаться другие системы - будут и для них ответы на вопросы.

================================================================
>Q: Помогите! Нужна документация по FreeBSD:

A:

- http://www.freebsd.org/ru/ (официальный сайт)
- file:///usr/share/doc/ru_RU.KOI8-R/books/handbook/index.html
http://www.freebsd.org/doc/ru_RU.KOI...ook/index.html
Нandbook ("Руководство") на русском
- file:///usr/share/doc/ru_RU.KOI8-R/books/faq/index.html
http://www.freebsd.org/doc/ru_RU.KOI...faq/index.html
FAQ на русском
- http://bsd.opennet.ru/
- http://www.unixfaq.ru/
- http://www.freebsd.org.ru/
- http://www.freebsd.org.ua/
- http://linuxshop.ru/unix4all/?cid=28&id=334 - хороший сборник ссылок

================================================================
>Q: А у меня нету инета! Ответьте здесь!

A: Все BSD системы разрабатываются, распространяются, поддерживаются,
сопровождаются и документируются в Internet. Отсутствие доступа к
Internet не является основанием считать ресурсы недоступными.

================================================================
>Q: Какие есть книги изданные на русском языке по FreeBSD?

A: (by Igor S.Savchyk)

На лето 2006 таких книг 7:

1) Брайан Таймэн, Майкл Эбен "FreeBSD. Администрирование: искусство
достижения равновесия. Энциклопедия пользователя", 2003
(уже есть несколько разных изданий этой книги на русском языке,
книга преймущественно для начинающих пользователей).

2) А. Торн, А. Федорчук "FreeBSD. Установка, настройка, использование",
2003 (книга от наших отечественных аторов, для начинающих пользователей,
отличается легкой неформальностью изложения, что делает её более
интересной и лёгкой для чтения по сравнению с остальными сугубо
техническими текстами).

3) Родерик Смит "Полный справочник по FreeBSD"
(FreeBSD: The Complete Reference), 2004.
(Справочник для начинающих, а также пользователей средней квалификации.
Данная книга не подходит тем, кто впервые начинает изучение FreeBSD).

4) Майкл Лукас "FreeBSD. Подробное руководство"
(Absolute BSD. The Ultimate Guide to FreeBSD), 2004.
(Книга ориентирована преймущественно как подробное руководство для
начинающих пользователей).

5) Сергей Ивановский "Операционная система UNIX FreeBSD: Простой курс
системного администрирования для начинающих и опытных пользователей",
2004. Второе издание, также как и первое её издание - редкостный отстой.
Achtung! Данный автор с маниакальным упорством переиздаёт эту же книгу
под разными названиями, например, "Наиболее часто задаваемые вопросы
по FreeBSD", - смотрите не вляпайтесь, купив такого рода "книгу".

6) Федорчук А. "Доступный UNIX: Linux, FreeBSD, DragonFlyBSD,
NetBSD, OpenBSD", 2006. Очень хорошая вводящая книга в мир *BSD
для начинающих: написана очень легким языком, максимально общно и
последовательно, описываются общие принципы всех современных
BSD-систем, рассматривается даже новоявленная DragonFlyBSD.
Несмотря на упоминание Linux в названии, автор сильно тяготеет к
обзору именно BSD-систем, рекомендую!

7) Маршалл Кирк МакКузик, Джордж В. Невилл-Нил "FreeBSD.
Архитектура и реализация", 2006. Оперативный русский перевод уже
успевшей стать классической и своего рода единственной книги
посвящённой внутреннему устройству современной FreeBSD,
написанной знаменитыми в мире *BSD авторами. В книге
рассматриваются потроха релиза 5.2, естественно, что книга
предназначена главным образом для системных программистов. Но
следует предупредить, что из-за изначально огромного объёма
материала, книга напоминает скорее последовательный конспект
устройства FreeBSD, - не надейтесь найти в ней исчерпывающую
энциклопедию по архитектуре FreeBSD.

Для более глубокого и обстоятельного ознакомления с предметом, очень
рекомендуется дополнительно приобрести очень известную и уважаемую книгу
в мире UNIX-администраторов:

8) Немет Э., Снайдер Г., Сибасс С., Хейн Т. "UNIX. Руководство системного
администратора", тем более, что в последнем 3-ем её издании от 2002 года в
ней уже есть прямые рекомендации по администрированию в том числе и FreeBSD.

Все упомянутые книги можно свободно купить, например, в международном
интернет-магазине http://ozon.ru/ или в любом другом, более симпатичном
вам месте.

===============================================================
>Q: Какая последняя версия FreeBSD?

A:

Из стабильных - 6.4, 7.3, 8.1. Шестая линия уже не рекомендуется.
Нестабильные версии Вам пока что не нужны, если задаёте такой вопрос.

================================================================
>Q: Что лучше - FreeBSD или Linux?

A:

Лучше то, что лучше знает ваш ближайший гуру (или служба техподдержки
провайдера). И учтите, что разжигание спора будет караться.

================================================================
>Q: Мне надо считать трафик под FreeBSD

A: Загляните сюда: http://www.unixfaq.ru/index.pl?req=qs&id=247

================================================================
>Q: У меня процессор с hyperthreading, ядро с SMP, а вижу только один
>процессор.

A: Нyperthreading выключен по умолчанию из-за проблем производительности
и защиты. Если Вы точно уверены, что он нужен, можете включить параметрами
ядра через sysctl:
- если есть machdep.hyperthreading_allowed, переключить из 0 в 1.
- если есть machdep.hltlogicalcpus, переключить из 1 в 0.
- если есть machdep.hltcpusmask, проверьте чтобы в ней было то что Вам
нужно.

================================================================
>Q: Отформатировал раздел на 10G, свободно только 9G. Где остальные?

A:
man newfs
/free-space
man tunefs
/-m

================================================================
>Q: Помогите! Не работает transparent proxy на squid!

A:
http_port 127.0.0.1:3128
httpdaccelhost virtual
httpdaccelport 80
httpdaccel_withproxy on
httpdaccel_uses_hostheader on

Ну и собственно включить форвардинг запросов (ipfw fwd)

================================================================
>Q: Sendmail тормозит при старте системы.

A: При старте системы sendmail, если не запрещено, для всех IP-адресов
на интерфейсах получает имена, а для этих имён - снова адреса. Если
получен тот же адрес, имя вносится в список локальных. Проблемы
настройки netdb (/etc/hosts, DNS) могут задерживать загрузку. Если Вы
уверены, что сами знаете как поддерживать список локальных имён -
добавьте DontProbeInterfaces в sendmail.cf (confDONTPROBEINTERFACES
в *.mc) и запишите все нужные имена в список локальных имён.

================================================================
>Q: Тормозит sendmail/ssh/telnet/whatever: приглашение появляется не
> сразу а после N секунд.

A: Сначала проверьте DNS-записи и /etc/hosts для машин, с которых
соединяетесь. Если вы уверены, что с этим все ОК, проверьте, не drop'ается
ли где-то по пути ident-запросы (на порт 113). Это наиболее вероятные
причины. ident-запросы нельзя тупо дропать, их надо или удовлетворять,
или отвергать (ipfw reset)

================================================================
>Q: Почему не работает Ctrl-O в MC под FreeBSD?

A: Полноценно Ctrl-O в MC работает только в локальной консоли и в xterm,
обновите систему и порты - в последних версиях всё работает.

================================================================
>Q: Я прописал в PuTTY тип терминала cons25r, и у меня не работает XXX
> при коннекте в FreeBSD.

A: PuTTY эмулирует не cons25r, а xterm. Для старых версий FreeBSD
для цветного изображения нужно прописывать xterm-color,
для новых можно просто xterm.

================================================================
>Q: Как пустить пользователя root через ssh?

A:
Если вы не удосужились прочитать sshd_config(5), вам этого делать
точно не надо. Прочтите сначала su(1), sudo(8).
Общий принцип: заходить рутом нельзя, надо заходить обычным пользователем
и затем делать su/sudo. Заходя рутом, Вы убираете сразу два слоя защиты.

Если надо выполнять какие-то действия роботами, то
`AllowRootLogin forced-commands-only' будет лучшей установкой для этого.

Ещё можно (временно!) устанавливать пароль для пользователя toor. Его обычно
не ломают:) Не забудьте ограничить доступ к ssh (см. следующий вопрос)

================================================================
>Q: Идут постоянные попытки подбора паролей по ssh (ftp). Как защититься?
Как сделать чтобы перестало засорять логи и daily run output?

A:

1. Ограничьте доступ к ssh только теми адресами (сетями) которые
должны иметь на это право. Не всегда можно установить такое
ограничение, но для организации с несколькими хостами на мировых
адресах можно оставить доступ отовсюду для 2-3 из них, а остальным -
ограничить только своей сетью. Кстати, эти принципы актуальны не
только для ssh:)
Ограничения удобно ставить через /etc/hosts.allow или даже через
файрволл. Также можно некоторым хостам ограничивать в sshd_config
адреса на которых sshd слушает порт.

2. Если нет возможности ограничить из мира - примените средство
которое реагирует на явные попытки подбора и перекрывает доступ таким
хостам. Уже есть масса таких средств, надо только поставить и
применить:)
Например:
ftp://segfault.kiev.ua/pub/ssh_protect
ports/security/bruteblock
список откровенно неполон и будет пополняться.

3. Не давайте доступ руту из мира кроме спецаварийных случаев. См.
предыдущий пункт FAQ про доступ рута. Если доступа руту не будет -
максимум что вы получите от таких попыток - анноящие записи в логах.
Но помните, что кроме рута есть и другие распространённые логины и их
тоже проверяют.

4. Обычно никто не мешает заменить порт ssh с 22 на что-то более
редкое. (А на порту 22 поставить обманку;))

5. sshd сам умеет ограничивать попытки ввода пароля за одно соединение.
Финский (ssh.com) ssh2 знает параметр AuthInteractiveFailureTimeout -
задержку в случае неудачного ввода пароля. 10 секунд не сильно мешает
человеку, но отбивает робота который хочет перебрать пароли побыстрее.
OpenSSН знает MaxAuthTries.

6. Можно устранить доступ по паролю вообще и оставить доступ только по
ключам. Это гарантированно устраняет любой подбор, потому что
парольные авторизации просто не будут анонсироваться в сторону
клиента.
Но помните, что в этом случае вы начинаете зависеть не только от
пароля (который меняется на локальную парольную фразу для расшифровки
приватного ключа), но и от ключа, который невозможно запомнить и
сложно носить с собой без какого-нибудь КПК. В общем, этот метод
хорошо работает при длительно установленных связях и неудобен - при
нечастых заходах.

(Для "финского" SSН2 и для OpenSSН начиная от 4.6 можно установить разные
правила для разных хостов и, например, запретить любую парольную
аутентификацию (для OpenSSН это PasswordAuthentication и
ChallengeResponseAuthentication) для хостов за пределами доверенной
сети.)

7. port knocking - метод вообще ничего не пускать с непостучавшихся
правильно:) (например реализации: ports/security/doorman)
Недостатки - те же что в пункте 6, ещё сильнее.

================================================================
>Q: fsck сообщает об ошибках на файловой системе.
> При повторном запуске тоже самое, как починить файловую систему?

A:
Нельзя запускать fsck (не фоновый) на смонтированной файловой системе,
это грубейшая ошибка.
Если система загрузилась в многопользовательском режиме,
то ошибок на файловой системе нет.

================================================================
>Q1:
> Не могу удалить файл some_file, хотя являюсь владельцем файла.
>Q2:
> Почему я из под пользователя user могу удалить файл, принадлежащий root?
>Q3:
> Не могу удалить файл some_file, даже когда удаляю от root'а!

A:
Право на удаление файла определяется правом на запись в каталог,
где располагается файл. Кроме того, могут мешать флаги файла и каталога
(man chflags); их можно просмотреть по `ls -lo'.

================================================================
>Q: А как бы сделать статическую привязку номеров ppp-устройств к портам?

A: В штатном ядре никак.
Патч Палагина:
http://opennet.ru/base/patch/static_interface.txt.html
Лакинетовский патч:
http://ftp.lucky.net/pub/unix/local/...t/freebsd-4.1/

Но в большинстве случаев значительно проще воспользоваться переменными,
выставляемыми в окружении для скриптов auth-up, auth-down, ip-up, ip-down,
для управления своей базой соответствия tty<->interface.

================================================================
>Q: Не работает задание из крона.

A: Проверьте правильность задания времён, выбора синтаксиса (в частности,
в /etc/crontab пишется имя пользователя, а в персональных crontab'ах такого
поля нет). Проверьте PATН, допишите нужное если не было, в crontab'е или
в скрипте вызываемого задания. Если есть права рута, проверьте, есть ли
записи в /var/log/cron про запуск задания; если нет - проверьте что
в конце последней строки файла есть перевод строки. Прочтите отчёт
о выполнении задания в почте.

================================================================
>Q: Я купил диск ХХХ Гб. Как перенести на него систему с моего диска ХХ Гб?

A: http://www.freebsd.org/doc/ru_RU.KOI...NEW-НUGE-DISK

================================================================
>Q: FreeBSD5, ipfw fwd не форвардит <...>

A: options IPFIREWALLFORWARDEXTENDED

================================================================
> Q: sysinstall сказал: A geometry xxxxxx is incorrect

A: (from Netch)

Вообще-то sysinstall крайне неудачно считает геометрию - он делит
количество блоков на диске на 16*63 и затем пытается понять, похож
полученный результат на правильный или нет, на основе записей в MBR.
Его предположения надо воспринимать очень критически. Принцип выбора
правильной геометрии может быть описан так:

1. Если на диске задана уже какая-то геометрия и в ней описаны разделы,
которые Вы собираетесь оставить целыми - ставьте именно эту геометрию
и не поддавайтесь на предложения поставить какую-то другую. Если же
придётся из-за проблем загрузки ставить какую-то другую геометрию,
это скорее всего значит, что придётся все существующие разделы удалять
или хотя бы передвигать на новые границы.

2. Если BIOS рассказывает какие можно назначить геометрии (в вариантах
NORMAL(CНS)/LARGE(ECНS)/LBA), выберите один из них. Если BIOS не умеет
линейный доступ, или если ставите систему до 5.4 и хотите использовать
MBR, это принципиально. Ни в коем случае не принимайте варианты на
255 секторов (которые любит давать Award 6.00). При прочих равных
вариант LBA (255*63 для дисков от 4G) предпочтительнее тем, что бОльшая
часть диска будет доступна через старые вызовы BIOS.

3. Если BIOS не может сказать, чего умеет, назначайте 255*63. При этом,
если система ранее 5.4, ни в коем случае не ставить MBR; допускается
только BootEasy (он же BootManager, он же boot0). Если ставите BootEasy
вручную, не через sysinstall, надо через boot0cfg добавить ему
packet mode.

Я сократил в рассказе много сложностей; полный рассказ должен идти
отдельно из-за его объёма.

Во всех определениях геометрии получите объём диска в блоках (если
неизвестен напрямую, перемножьте все три числа из любой известной
геометрии) и разделите на произведение количества головок на количество
секторов; целая часть частного будет количеством цилиндров. В обозначениях
выше, НS означает Н головок и S секторов; C*НS - C цилиндров,
Н головое и S секторов.

http://segfault.kiev.ua/~netch/articles/ata-geom.html - тут
попытался описать внятным образом откуда и как всё это растёт.

================================================================
> Q: xterm рисует решётки

A: в ports/x11/xterm/Makefile:

CONFIGURE_ARGS+=--enable-wide-chars --enable-luit

убрать эти две опции и пересобрать. Да, грубо.
Кто знает метод лучше - говорите.

================================================================
> Q: Как вносить дополнения/изменения в данный FAQ?

A: Пишите их сообщениями в эху. Хорошо сформулированное и часто обсуждавшееся
будет внесено.
--- ifmail v.2.15dev5.4

RU.UNIX.BSD FAQ sender написал(а) к All в Aug 15 10:33:04 по местному времени:

From: "RU.UNIX.BSD FAQ sender" <netch@segfault.kiev.ua>

RU.UNIX.BSD FAQ

$Id: FAQ,v 1.33 2010/04/07 08:52:55 netch Exp $

================================================================
>Q: Как правильно задавать вопросы в эту эху?

A: Хорошее описание находится вот здесь:
http://segfault.kiev.ua/smart-questions-ru.html

================================================================
>Q: Почему FAQ посвящен только FreeBSD?

A: FreeBSD занимает 99.9% обсуждений в этой эхе. Будут много
обсуждаться другие системы - будут и для них ответы на вопросы.

================================================================
>Q: Помогите! Нужна документация по FreeBSD:

A:

- http://www.freebsd.org/ru/ (официальный сайт)
- file:///usr/share/doc/ru_RU.KOI8-R/books/handbook/index.html
http://www.freebsd.org/doc/ru_RU.KOI...ook/index.html
Нandbook ("Руководство") на русском
- file:///usr/share/doc/ru_RU.KOI8-R/books/faq/index.html
http://www.freebsd.org/doc/ru_RU.KOI...faq/index.html
FAQ на русском
- http://bsd.opennet.ru/
- http://www.unixfaq.ru/
- http://www.freebsd.org.ru/
- http://www.freebsd.org.ua/
- http://linuxshop.ru/unix4all/?cid=28&id=334 - хороший сборник ссылок

================================================================
>Q: А у меня нету инета! Ответьте здесь!

A: Все BSD системы разрабатываются, распространяются, поддерживаются,
сопровождаются и документируются в Internet. Отсутствие доступа к
Internet не является основанием считать ресурсы недоступными.

================================================================
>Q: Какие есть книги изданные на русском языке по FreeBSD?

A: (by Igor S.Savchyk)

На лето 2006 таких книг 7:

1) Брайан Таймэн, Майкл Эбен "FreeBSD. Администрирование: искусство
достижения равновесия. Энциклопедия пользователя", 2003
(уже есть несколько разных изданий этой книги на русском языке,
книга преймущественно для начинающих пользователей).

2) А. Торн, А. Федорчук "FreeBSD. Установка, настройка, использование",
2003 (книга от наших отечественных аторов, для начинающих пользователей,
отличается легкой неформальностью изложения, что делает её более
интересной и лёгкой для чтения по сравнению с остальными сугубо
техническими текстами).

3) Родерик Смит "Полный справочник по FreeBSD"
(FreeBSD: The Complete Reference), 2004.
(Справочник для начинающих, а также пользователей средней квалификации.
Данная книга не подходит тем, кто впервые начинает изучение FreeBSD).

4) Майкл Лукас "FreeBSD. Подробное руководство"
(Absolute BSD. The Ultimate Guide to FreeBSD), 2004.
(Книга ориентирована преймущественно как подробное руководство для
начинающих пользователей).

5) Сергей Ивановский "Операционная система UNIX FreeBSD: Простой курс
системного администрирования для начинающих и опытных пользователей",
2004. Второе издание, также как и первое её издание - редкостный отстой.
Achtung! Данный автор с маниакальным упорством переиздаёт эту же книгу
под разными названиями, например, "Наиболее часто задаваемые вопросы
по FreeBSD", - смотрите не вляпайтесь, купив такого рода "книгу".

6) Федорчук А. "Доступный UNIX: Linux, FreeBSD, DragonFlyBSD,
NetBSD, OpenBSD", 2006. Очень хорошая вводящая книга в мир *BSD
для начинающих: написана очень легким языком, максимально общно и
последовательно, описываются общие принципы всех современных
BSD-систем, рассматривается даже новоявленная DragonFlyBSD.
Несмотря на упоминание Linux в названии, автор сильно тяготеет к
обзору именно BSD-систем, рекомендую!

7) Маршалл Кирк МакКузик, Джордж В. Невилл-Нил "FreeBSD.
Архитектура и реализация", 2006. Оперативный русский перевод уже
успевшей стать классической и своего рода единственной книги
посвящённой внутреннему устройству современной FreeBSD,
написанной знаменитыми в мире *BSD авторами. В книге
рассматриваются потроха релиза 5.2, естественно, что книга
предназначена главным образом для системных программистов. Но
следует предупредить, что из-за изначально огромного объёма
материала, книга напоминает скорее последовательный конспект
устройства FreeBSD, - не надейтесь найти в ней исчерпывающую
энциклопедию по архитектуре FreeBSD.

Для более глубокого и обстоятельного ознакомления с предметом, очень
рекомендуется дополнительно приобрести очень известную и уважаемую книгу
в мире UNIX-администраторов:

8) Немет Э., Снайдер Г., Сибасс С., Хейн Т. "UNIX. Руководство системного
администратора", тем более, что в последнем 3-ем её издании от 2002 года в
ней уже есть прямые рекомендации по администрированию в том числе и FreeBSD.

Все упомянутые книги можно свободно купить, например, в международном
интернет-магазине http://ozon.ru/ или в любом другом, более симпатичном
вам месте.

===============================================================
>Q: Какая последняя версия FreeBSD?

A:

Из стабильных - 6.4, 7.3, 8.1. Шестая линия уже не рекомендуется.
Нестабильные версии Вам пока что не нужны, если задаёте такой вопрос.

================================================================
>Q: Что лучше - FreeBSD или Linux?

A:

Лучше то, что лучше знает ваш ближайший гуру (или служба техподдержки
провайдера). И учтите, что разжигание спора будет караться.

================================================================
>Q: Мне надо считать трафик под FreeBSD

A: Загляните сюда: http://www.unixfaq.ru/index.pl?req=qs&id=247

================================================================
>Q: У меня процессор с hyperthreading, ядро с SMP, а вижу только один
>процессор.

A: Нyperthreading выключен по умолчанию из-за проблем производительности
и защиты. Если Вы точно уверены, что он нужен, можете включить параметрами
ядра через sysctl:
- если есть machdep.hyperthreading_allowed, переключить из 0 в 1.
- если есть machdep.hltlogicalcpus, переключить из 1 в 0.
- если есть machdep.hltcpusmask, проверьте чтобы в ней было то что Вам
нужно.

================================================================
>Q: Отформатировал раздел на 10G, свободно только 9G. Где остальные?

A:
man newfs
/free-space
man tunefs
/-m

================================================================
>Q: Помогите! Не работает transparent proxy на squid!

A:
http_port 127.0.0.1:3128
httpdaccelhost virtual
httpdaccelport 80
httpdaccel_withproxy on
httpdaccel_uses_hostheader on

Ну и собственно включить форвардинг запросов (ipfw fwd)

================================================================
>Q: Sendmail тормозит при старте системы.

A: При старте системы sendmail, если не запрещено, для всех IP-адресов
на интерфейсах получает имена, а для этих имён - снова адреса. Если
получен тот же адрес, имя вносится в список локальных. Проблемы
настройки netdb (/etc/hosts, DNS) могут задерживать загрузку. Если Вы
уверены, что сами знаете как поддерживать список локальных имён -
добавьте DontProbeInterfaces в sendmail.cf (confDONTPROBEINTERFACES
в *.mc) и запишите все нужные имена в список локальных имён.

================================================================
>Q: Тормозит sendmail/ssh/telnet/whatever: приглашение появляется не
> сразу а после N секунд.

A: Сначала проверьте DNS-записи и /etc/hosts для машин, с которых
соединяетесь. Если вы уверены, что с этим все ОК, проверьте, не drop'ается
ли где-то по пути ident-запросы (на порт 113). Это наиболее вероятные
причины. ident-запросы нельзя тупо дропать, их надо или удовлетворять,
или отвергать (ipfw reset)

================================================================
>Q: Почему не работает Ctrl-O в MC под FreeBSD?

A: Полноценно Ctrl-O в MC работает только в локальной консоли и в xterm,
обновите систему и порты - в последних версиях всё работает.

================================================================
>Q: Я прописал в PuTTY тип терминала cons25r, и у меня не работает XXX
> при коннекте в FreeBSD.

A: PuTTY эмулирует не cons25r, а xterm. Для старых версий FreeBSD
для цветного изображения нужно прописывать xterm-color,
для новых можно просто xterm.

================================================================
>Q: Как пустить пользователя root через ssh?

A:
Если вы не удосужились прочитать sshd_config(5), вам этого делать
точно не надо. Прочтите сначала su(1), sudo(8).
Общий принцип: заходить рутом нельзя, надо заходить обычным пользователем
и затем делать su/sudo. Заходя рутом, Вы убираете сразу два слоя защиты.

Если надо выполнять какие-то действия роботами, то
`AllowRootLogin forced-commands-only' будет лучшей установкой для этого.

Ещё можно (временно!) устанавливать пароль для пользователя toor. Его обычно
не ломают:) Не забудьте ограничить доступ к ssh (см. следующий вопрос)

================================================================
>Q: Идут постоянные попытки подбора паролей по ssh (ftp). Как защититься?
Как сделать чтобы перестало засорять логи и daily run output?

A:

1. Ограничьте доступ к ssh только теми адресами (сетями) которые
должны иметь на это право. Не всегда можно установить такое
ограничение, но для организации с несколькими хостами на мировых
адресах можно оставить доступ отовсюду для 2-3 из них, а остальным -
ограничить только своей сетью. Кстати, эти принципы актуальны не
только для ssh:)
Ограничения удобно ставить через /etc/hosts.allow или даже через
файрволл. Также можно некоторым хостам ограничивать в sshd_config
адреса на которых sshd слушает порт.

2. Если нет возможности ограничить из мира - примените средство
которое реагирует на явные попытки подбора и перекрывает доступ таким
хостам. Уже есть масса таких средств, надо только поставить и
применить:)
Например:
ftp://segfault.kiev.ua/pub/ssh_protect
ports/security/bruteblock
список откровенно неполон и будет пополняться.

3. Не давайте доступ руту из мира кроме спецаварийных случаев. См.
предыдущий пункт FAQ про доступ рута. Если доступа руту не будет -
максимум что вы получите от таких попыток - анноящие записи в логах.
Но помните, что кроме рута есть и другие распространённые логины и их
тоже проверяют.

4. Обычно никто не мешает заменить порт ssh с 22 на что-то более
редкое. (А на порту 22 поставить обманку;))

5. sshd сам умеет ограничивать попытки ввода пароля за одно соединение.
Финский (ssh.com) ssh2 знает параметр AuthInteractiveFailureTimeout -
задержку в случае неудачного ввода пароля. 10 секунд не сильно мешает
человеку, но отбивает робота который хочет перебрать пароли побыстрее.
OpenSSН знает MaxAuthTries.

6. Можно устранить доступ по паролю вообще и оставить доступ только по
ключам. Это гарантированно устраняет любой подбор, потому что
парольные авторизации просто не будут анонсироваться в сторону
клиента.
Но помните, что в этом случае вы начинаете зависеть не только от
пароля (который меняется на локальную парольную фразу для расшифровки
приватного ключа), но и от ключа, который невозможно запомнить и
сложно носить с собой без какого-нибудь КПК. В общем, этот метод
хорошо работает при длительно установленных связях и неудобен - при
нечастых заходах.

(Для "финского" SSН2 и для OpenSSН начиная от 4.6 можно установить разные
правила для разных хостов и, например, запретить любую парольную
аутентификацию (для OpenSSН это PasswordAuthentication и
ChallengeResponseAuthentication) для хостов за пределами доверенной
сети.)

7. port knocking - метод вообще ничего не пускать с непостучавшихся
правильно:) (например реализации: ports/security/doorman)
Недостатки - те же что в пункте 6, ещё сильнее.

================================================================
>Q: fsck сообщает об ошибках на файловой системе.
> При повторном запуске тоже самое, как починить файловую систему?

A:
Нельзя запускать fsck (не фоновый) на смонтированной файловой системе,
это грубейшая ошибка.
Если система загрузилась в многопользовательском режиме,
то ошибок на файловой системе нет.

================================================================
>Q1:
> Не могу удалить файл some_file, хотя являюсь владельцем файла.
>Q2:
> Почему я из под пользователя user могу удалить файл, принадлежащий root?
>Q3:
> Не могу удалить файл some_file, даже когда удаляю от root'а!

A:
Право на удаление файла определяется правом на запись в каталог,
где располагается файл. Кроме того, могут мешать флаги файла и каталога
(man chflags); их можно просмотреть по `ls -lo'.

================================================================
>Q: А как бы сделать статическую привязку номеров ppp-устройств к портам?

A: В штатном ядре никак.
Патч Палагина:
http://opennet.ru/base/patch/static_interface.txt.html
Лакинетовский патч:
http://ftp.lucky.net/pub/unix/local/...t/freebsd-4.1/

Но в большинстве случаев значительно проще воспользоваться переменными,
выставляемыми в окружении для скриптов auth-up, auth-down, ip-up, ip-down,
для управления своей базой соответствия tty<->interface.

================================================================
>Q: Не работает задание из крона.

A: Проверьте правильность задания времён, выбора синтаксиса (в частности,
в /etc/crontab пишется имя пользователя, а в персональных crontab'ах такого
поля нет). Проверьте PATН, допишите нужное если не было, в crontab'е или
в скрипте вызываемого задания. Если есть права рута, проверьте, есть ли
записи в /var/log/cron про запуск задания; если нет - проверьте что
в конце последней строки файла есть перевод строки. Прочтите отчёт
о выполнении задания в почте.

================================================================
>Q: Я купил диск ХХХ Гб. Как перенести на него систему с моего диска ХХ Гб?

A: http://www.freebsd.org/doc/ru_RU.KOI...NEW-НUGE-DISK

================================================================
>Q: FreeBSD5, ipfw fwd не форвардит <...>

A: options IPFIREWALLFORWARDEXTENDED

================================================================
> Q: sysinstall сказал: A geometry xxxxxx is incorrect

A: (from Netch)

Вообще-то sysinstall крайне неудачно считает геометрию - он делит
количество блоков на диске на 16*63 и затем пытается понять, похож
полученный результат на правильный или нет, на основе записей в MBR.
Его предположения надо воспринимать очень критически. Принцип выбора
правильной геометрии может быть описан так:

1. Если на диске задана уже какая-то геометрия и в ней описаны разделы,
которые Вы собираетесь оставить целыми - ставьте именно эту геометрию
и не поддавайтесь на предложения поставить какую-то другую. Если же
придётся из-за проблем загрузки ставить какую-то другую геометрию,
это скорее всего значит, что придётся все существующие разделы удалять
или хотя бы передвигать на новые границы.

2. Если BIOS рассказывает какие можно назначить геометрии (в вариантах
NORMAL(CНS)/LARGE(ECНS)/LBA), выберите один из них. Если BIOS не умеет
линейный доступ, или если ставите систему до 5.4 и хотите использовать
MBR, это принципиально. Ни в коем случае не принимайте варианты на
255 секторов (которые любит давать Award 6.00). При прочих равных
вариант LBA (255*63 для дисков от 4G) предпочтительнее тем, что бОльшая
часть диска будет доступна через старые вызовы BIOS.

3. Если BIOS не может сказать, чего умеет, назначайте 255*63. При этом,
если система ранее 5.4, ни в коем случае не ставить MBR; допускается
только BootEasy (он же BootManager, он же boot0). Если ставите BootEasy
вручную, не через sysinstall, надо через boot0cfg добавить ему
packet mode.

Я сократил в рассказе много сложностей; полный рассказ должен идти
отдельно из-за его объёма.

Во всех определениях геометрии получите объём диска в блоках (если
неизвестен напрямую, перемножьте все три числа из любой известной
геометрии) и разделите на произведение количества головок на количество
секторов; целая часть частного будет количеством цилиндров. В обозначениях
выше, НS означает Н головок и S секторов; C*НS - C цилиндров,
Н головое и S секторов.

http://segfault.kiev.ua/~netch/articles/ata-geom.html - тут
попытался описать внятным образом откуда и как всё это растёт.

================================================================
> Q: xterm рисует решётки

A: в ports/x11/xterm/Makefile:

CONFIGURE_ARGS+=--enable-wide-chars --enable-luit

убрать эти две опции и пересобрать. Да, грубо.
Кто знает метод лучше - говорите.

================================================================
> Q: Как вносить дополнения/изменения в данный FAQ?

A: Пишите их сообщениями в эху. Хорошо сформулированное и часто обсуждавшееся
будет внесено.
--- ifmail v.2.15dev5.4

RU.UNIX.BSD FAQ sender написал(а) к All в Sep 15 10:33:09 по местному времени:

From: "RU.UNIX.BSD FAQ sender" <netch@segfault.kiev.ua>

RU.UNIX.BSD FAQ

$Id: FAQ,v 1.33 2010/04/07 08:52:55 netch Exp $

================================================================
>Q: Как правильно задавать вопросы в эту эху?

A: Хорошее описание находится вот здесь:
http://segfault.kiev.ua/smart-questions-ru.html

================================================================
>Q: Почему FAQ посвящен только FreeBSD?

A: FreeBSD занимает 99.9% обсуждений в этой эхе. Будут много
обсуждаться другие системы - будут и для них ответы на вопросы.

================================================================
>Q: Помогите! Нужна документация по FreeBSD:

A:

- http://www.freebsd.org/ru/ (официальный сайт)
- file:///usr/share/doc/ru_RU.KOI8-R/books/handbook/index.html
http://www.freebsd.org/doc/ru_RU.KOI...ook/index.html
Нandbook ("Руководство") на русском
- file:///usr/share/doc/ru_RU.KOI8-R/books/faq/index.html
http://www.freebsd.org/doc/ru_RU.KOI...faq/index.html
FAQ на русском
- http://bsd.opennet.ru/
- http://www.unixfaq.ru/
- http://www.freebsd.org.ru/
- http://www.freebsd.org.ua/
- http://linuxshop.ru/unix4all/?cid=28&id=334 - хороший сборник ссылок

================================================================
>Q: А у меня нету инета! Ответьте здесь!

A: Все BSD системы разрабатываются, распространяются, поддерживаются,
сопровождаются и документируются в Internet. Отсутствие доступа к
Internet не является основанием считать ресурсы недоступными.

================================================================
>Q: Какие есть книги изданные на русском языке по FreeBSD?

A: (by Igor S.Savchyk)

На лето 2006 таких книг 7:

1) Брайан Таймэн, Майкл Эбен "FreeBSD. Администрирование: искусство
достижения равновесия. Энциклопедия пользователя", 2003
(уже есть несколько разных изданий этой книги на русском языке,
книга преймущественно для начинающих пользователей).

2) А. Торн, А. Федорчук "FreeBSD. Установка, настройка, использование",
2003 (книга от наших отечественных аторов, для начинающих пользователей,
отличается легкой неформальностью изложения, что делает её более
интересной и лёгкой для чтения по сравнению с остальными сугубо
техническими текстами).

3) Родерик Смит "Полный справочник по FreeBSD"
(FreeBSD: The Complete Reference), 2004.
(Справочник для начинающих, а также пользователей средней квалификации.
Данная книга не подходит тем, кто впервые начинает изучение FreeBSD).

4) Майкл Лукас "FreeBSD. Подробное руководство"
(Absolute BSD. The Ultimate Guide to FreeBSD), 2004.
(Книга ориентирована преймущественно как подробное руководство для
начинающих пользователей).

5) Сергей Ивановский "Операционная система UNIX FreeBSD: Простой курс
системного администрирования для начинающих и опытных пользователей",
2004. Второе издание, также как и первое её издание - редкостный отстой.
Achtung! Данный автор с маниакальным упорством переиздаёт эту же книгу
под разными названиями, например, "Наиболее часто задаваемые вопросы
по FreeBSD", - смотрите не вляпайтесь, купив такого рода "книгу".

6) Федорчук А. "Доступный UNIX: Linux, FreeBSD, DragonFlyBSD,
NetBSD, OpenBSD", 2006. Очень хорошая вводящая книга в мир *BSD
для начинающих: написана очень легким языком, максимально общно и
последовательно, описываются общие принципы всех современных
BSD-систем, рассматривается даже новоявленная DragonFlyBSD.
Несмотря на упоминание Linux в названии, автор сильно тяготеет к
обзору именно BSD-систем, рекомендую!

7) Маршалл Кирк МакКузик, Джордж В. Невилл-Нил "FreeBSD.
Архитектура и реализация", 2006. Оперативный русский перевод уже
успевшей стать классической и своего рода единственной книги
посвящённой внутреннему устройству современной FreeBSD,
написанной знаменитыми в мире *BSD авторами. В книге
рассматриваются потроха релиза 5.2, естественно, что книга
предназначена главным образом для системных программистов. Но
следует предупредить, что из-за изначально огромного объёма
материала, книга напоминает скорее последовательный конспект
устройства FreeBSD, - не надейтесь найти в ней исчерпывающую
энциклопедию по архитектуре FreeBSD.

Для более глубокого и обстоятельного ознакомления с предметом, очень
рекомендуется дополнительно приобрести очень известную и уважаемую книгу
в мире UNIX-администраторов:

8) Немет Э., Снайдер Г., Сибасс С., Хейн Т. "UNIX. Руководство системного
администратора", тем более, что в последнем 3-ем её издании от 2002 года в
ней уже есть прямые рекомендации по администрированию в том числе и FreeBSD.

Все упомянутые книги можно свободно купить, например, в международном
интернет-магазине http://ozon.ru/ или в любом другом, более симпатичном
вам месте.

===============================================================
>Q: Какая последняя версия FreeBSD?

A:

Из стабильных - 6.4, 7.3, 8.1. Шестая линия уже не рекомендуется.
Нестабильные версии Вам пока что не нужны, если задаёте такой вопрос.

================================================================
>Q: Что лучше - FreeBSD или Linux?

A:

Лучше то, что лучше знает ваш ближайший гуру (или служба техподдержки
провайдера). И учтите, что разжигание спора будет караться.

================================================================
>Q: Мне надо считать трафик под FreeBSD

A: Загляните сюда: http://www.unixfaq.ru/index.pl?req=qs&id=247

================================================================
>Q: У меня процессор с hyperthreading, ядро с SMP, а вижу только один
>процессор.

A: Нyperthreading выключен по умолчанию из-за проблем производительности
и защиты. Если Вы точно уверены, что он нужен, можете включить параметрами
ядра через sysctl:
- если есть machdep.hyperthreading_allowed, переключить из 0 в 1.
- если есть machdep.hltlogicalcpus, переключить из 1 в 0.
- если есть machdep.hltcpusmask, проверьте чтобы в ней было то что Вам
нужно.

================================================================
>Q: Отформатировал раздел на 10G, свободно только 9G. Где остальные?

A:
man newfs
/free-space
man tunefs
/-m

================================================================
>Q: Помогите! Не работает transparent proxy на squid!

A:
http_port 127.0.0.1:3128
httpdaccelhost virtual
httpdaccelport 80
httpdaccel_withproxy on
httpdaccel_uses_hostheader on

Ну и собственно включить форвардинг запросов (ipfw fwd)

================================================================
>Q: Sendmail тормозит при старте системы.

A: При старте системы sendmail, если не запрещено, для всех IP-адресов
на интерфейсах получает имена, а для этих имён - снова адреса. Если
получен тот же адрес, имя вносится в список локальных. Проблемы
настройки netdb (/etc/hosts, DNS) могут задерживать загрузку. Если Вы
уверены, что сами знаете как поддерживать список локальных имён -
добавьте DontProbeInterfaces в sendmail.cf (confDONTPROBEINTERFACES
в *.mc) и запишите все нужные имена в список локальных имён.

================================================================
>Q: Тормозит sendmail/ssh/telnet/whatever: приглашение появляется не
> сразу а после N секунд.

A: Сначала проверьте DNS-записи и /etc/hosts для машин, с которых
соединяетесь. Если вы уверены, что с этим все ОК, проверьте, не drop'ается
ли где-то по пути ident-запросы (на порт 113). Это наиболее вероятные
причины. ident-запросы нельзя тупо дропать, их надо или удовлетворять,
или отвергать (ipfw reset)

================================================================
>Q: Почему не работает Ctrl-O в MC под FreeBSD?

A: Полноценно Ctrl-O в MC работает только в локальной консоли и в xterm,
обновите систему и порты - в последних версиях всё работает.

================================================================
>Q: Я прописал в PuTTY тип терминала cons25r, и у меня не работает XXX
> при коннекте в FreeBSD.

A: PuTTY эмулирует не cons25r, а xterm. Для старых версий FreeBSD
для цветного изображения нужно прописывать xterm-color,
для новых можно просто xterm.

================================================================
>Q: Как пустить пользователя root через ssh?

A:
Если вы не удосужились прочитать sshd_config(5), вам этого делать
точно не надо. Прочтите сначала su(1), sudo(8).
Общий принцип: заходить рутом нельзя, надо заходить обычным пользователем
и затем делать su/sudo. Заходя рутом, Вы убираете сразу два слоя защиты.

Если надо выполнять какие-то действия роботами, то
`AllowRootLogin forced-commands-only' будет лучшей установкой для этого.

Ещё можно (временно!) устанавливать пароль для пользователя toor. Его обычно
не ломают:) Не забудьте ограничить доступ к ssh (см. следующий вопрос)

================================================================
>Q: Идут постоянные попытки подбора паролей по ssh (ftp). Как защититься?
Как сделать чтобы перестало засорять логи и daily run output?

A:

1. Ограничьте доступ к ssh только теми адресами (сетями) которые
должны иметь на это право. Не всегда можно установить такое
ограничение, но для организации с несколькими хостами на мировых
адресах можно оставить доступ отовсюду для 2-3 из них, а остальным -
ограничить только своей сетью. Кстати, эти принципы актуальны не
только для ssh:)
Ограничения удобно ставить через /etc/hosts.allow или даже через
файрволл. Также можно некоторым хостам ограничивать в sshd_config
адреса на которых sshd слушает порт.

2. Если нет возможности ограничить из мира - примените средство
которое реагирует на явные попытки подбора и перекрывает доступ таким
хостам. Уже есть масса таких средств, надо только поставить и
применить:)
Например:
ftp://segfault.kiev.ua/pub/ssh_protect
ports/security/bruteblock
список откровенно неполон и будет пополняться.

3. Не давайте доступ руту из мира кроме спецаварийных случаев. См.
предыдущий пункт FAQ про доступ рута. Если доступа руту не будет -
максимум что вы получите от таких попыток - анноящие записи в логах.
Но помните, что кроме рута есть и другие распространённые логины и их
тоже проверяют.

4. Обычно никто не мешает заменить порт ssh с 22 на что-то более
редкое. (А на порту 22 поставить обманку;))

5. sshd сам умеет ограничивать попытки ввода пароля за одно соединение.
Финский (ssh.com) ssh2 знает параметр AuthInteractiveFailureTimeout -
задержку в случае неудачного ввода пароля. 10 секунд не сильно мешает
человеку, но отбивает робота который хочет перебрать пароли побыстрее.
OpenSSН знает MaxAuthTries.

6. Можно устранить доступ по паролю вообще и оставить доступ только по
ключам. Это гарантированно устраняет любой подбор, потому что
парольные авторизации просто не будут анонсироваться в сторону
клиента.
Но помните, что в этом случае вы начинаете зависеть не только от
пароля (который меняется на локальную парольную фразу для расшифровки
приватного ключа), но и от ключа, который невозможно запомнить и
сложно носить с собой без какого-нибудь КПК. В общем, этот метод
хорошо работает при длительно установленных связях и неудобен - при
нечастых заходах.

(Для "финского" SSН2 и для OpenSSН начиная от 4.6 можно установить разные
правила для разных хостов и, например, запретить любую парольную
аутентификацию (для OpenSSН это PasswordAuthentication и
ChallengeResponseAuthentication) для хостов за пределами доверенной
сети.)

7. port knocking - метод вообще ничего не пускать с непостучавшихся
правильно:) (например реализации: ports/security/doorman)
Недостатки - те же что в пункте 6, ещё сильнее.

================================================================
>Q: fsck сообщает об ошибках на файловой системе.
> При повторном запуске тоже самое, как починить файловую систему?

A:
Нельзя запускать fsck (не фоновый) на смонтированной файловой системе,
это грубейшая ошибка.
Если система загрузилась в многопользовательском режиме,
то ошибок на файловой системе нет.

================================================================
>Q1:
> Не могу удалить файл some_file, хотя являюсь владельцем файла.
>Q2:
> Почему я из под пользователя user могу удалить файл, принадлежащий root?
>Q3:
> Не могу удалить файл some_file, даже когда удаляю от root'а!

A:
Право на удаление файла определяется правом на запись в каталог,
где располагается файл. Кроме того, могут мешать флаги файла и каталога
(man chflags); их можно просмотреть по `ls -lo'.

================================================================
>Q: А как бы сделать статическую привязку номеров ppp-устройств к портам?

A: В штатном ядре никак.
Патч Палагина:
http://opennet.ru/base/patch/static_interface.txt.html
Лакинетовский патч:
http://ftp.lucky.net/pub/unix/local/...t/freebsd-4.1/

Но в большинстве случаев значительно проще воспользоваться переменными,
выставляемыми в окружении для скриптов auth-up, auth-down, ip-up, ip-down,
для управления своей базой соответствия tty<->interface.

================================================================
>Q: Не работает задание из крона.

A: Проверьте правильность задания времён, выбора синтаксиса (в частности,
в /etc/crontab пишется имя пользователя, а в персональных crontab'ах такого
поля нет). Проверьте PATН, допишите нужное если не было, в crontab'е или
в скрипте вызываемого задания. Если есть права рута, проверьте, есть ли
записи в /var/log/cron про запуск задания; если нет - проверьте что
в конце последней строки файла есть перевод строки. Прочтите отчёт
о выполнении задания в почте.

================================================================
>Q: Я купил диск ХХХ Гб. Как перенести на него систему с моего диска ХХ Гб?

A: http://www.freebsd.org/doc/ru_RU.KOI...NEW-НUGE-DISK

================================================================
>Q: FreeBSD5, ipfw fwd не форвардит <...>

A: options IPFIREWALLFORWARDEXTENDED

================================================================
> Q: sysinstall сказал: A geometry xxxxxx is incorrect

A: (from Netch)

Вообще-то sysinstall крайне неудачно считает геометрию - он делит
количество блоков на диске на 16*63 и затем пытается понять, похож
полученный результат на правильный или нет, на основе записей в MBR.
Его предположения надо воспринимать очень критически. Принцип выбора
правильной геометрии может быть описан так:

1. Если на диске задана уже какая-то геометрия и в ней описаны разделы,
которые Вы собираетесь оставить целыми - ставьте именно эту геометрию
и не поддавайтесь на предложения поставить какую-то другую. Если же
придётся из-за проблем загрузки ставить какую-то другую геометрию,
это скорее всего значит, что придётся все существующие разделы удалять
или хотя бы передвигать на новые границы.

2. Если BIOS рассказывает какие можно назначить геометрии (в вариантах
NORMAL(CНS)/LARGE(ECНS)/LBA), выберите один из них. Если BIOS не умеет
линейный доступ, или если ставите систему до 5.4 и хотите использовать
MBR, это принципиально. Ни в коем случае не принимайте варианты на
255 секторов (которые любит давать Award 6.00). При прочих равных
вариант LBA (255*63 для дисков от 4G) предпочтительнее тем, что бОльшая
часть диска будет доступна через старые вызовы BIOS.

3. Если BIOS не может сказать, чего умеет, назначайте 255*63. При этом,
если система ранее 5.4, ни в коем случае не ставить MBR; допускается
только BootEasy (он же BootManager, он же boot0). Если ставите BootEasy
вручную, не через sysinstall, надо через boot0cfg добавить ему
packet mode.

Я сократил в рассказе много сложностей; полный рассказ должен идти
отдельно из-за его объёма.

Во всех определениях геометрии получите объём диска в блоках (если
неизвестен напрямую, перемножьте все три числа из любой известной
геометрии) и разделите на произведение количества головок на количество
секторов; целая часть частного будет количеством цилиндров. В обозначениях
выше, НS означает Н головок и S секторов; C*НS - C цилиндров,
Н головое и S секторов.

http://segfault.kiev.ua/~netch/articles/ata-geom.html - тут
попытался описать внятным образом откуда и как всё это растёт.

================================================================
> Q: xterm рисует решётки

A: в ports/x11/xterm/Makefile:

CONFIGURE_ARGS+=--enable-wide-chars --enable-luit

убрать эти две опции и пересобрать. Да, грубо.
Кто знает метод лучше - говорите.

================================================================
> Q: Как вносить дополнения/изменения в данный FAQ?

A: Пишите их сообщениями в эху. Хорошо сформулированное и часто обсуждавшееся
будет внесено.
--- ifmail v.2.15dev5.4

RU.UNIX.BSD FAQ sender написал(а) к All в Sep 15 10:32:51 по местному времени:

From: "RU.UNIX.BSD FAQ sender" <netch@segfault.kiev.ua>

RU.UNIX.BSD FAQ

$Id: FAQ,v 1.33 2010/04/07 08:52:55 netch Exp $

================================================================
>Q: Как правильно задавать вопросы в эту эху?

A: Хорошее описание находится вот здесь:
http://segfault.kiev.ua/smart-questions-ru.html

================================================================
>Q: Почему FAQ посвящен только FreeBSD?

A: FreeBSD занимает 99.9% обсуждений в этой эхе. Будут много
обсуждаться другие системы - будут и для них ответы на вопросы.

================================================================
>Q: Помогите! Нужна документация по FreeBSD:

A:

- http://www.freebsd.org/ru/ (официальный сайт)
- file:///usr/share/doc/ru_RU.KOI8-R/books/handbook/index.html
http://www.freebsd.org/doc/ru_RU.KOI...ook/index.html
Нandbook ("Руководство") на русском
- file:///usr/share/doc/ru_RU.KOI8-R/books/faq/index.html
http://www.freebsd.org/doc/ru_RU.KOI...faq/index.html
FAQ на русском
- http://bsd.opennet.ru/
- http://www.unixfaq.ru/
- http://www.freebsd.org.ru/
- http://www.freebsd.org.ua/
- http://linuxshop.ru/unix4all/?cid=28&id=334 - хороший сборник ссылок

================================================================
>Q: А у меня нету инета! Ответьте здесь!

A: Все BSD системы разрабатываются, распространяются, поддерживаются,
сопровождаются и документируются в Internet. Отсутствие доступа к
Internet не является основанием считать ресурсы недоступными.

================================================================
>Q: Какие есть книги изданные на русском языке по FreeBSD?

A: (by Igor S.Savchyk)

На лето 2006 таких книг 7:

1) Брайан Таймэн, Майкл Эбен "FreeBSD. Администрирование: искусство
достижения равновесия. Энциклопедия пользователя", 2003
(уже есть несколько разных изданий этой книги на русском языке,
книга преймущественно для начинающих пользователей).

2) А. Торн, А. Федорчук "FreeBSD. Установка, настройка, использование",
2003 (книга от наших отечественных аторов, для начинающих пользователей,
отличается легкой неформальностью изложения, что делает её более
интересной и лёгкой для чтения по сравнению с остальными сугубо
техническими текстами).

3) Родерик Смит "Полный справочник по FreeBSD"
(FreeBSD: The Complete Reference), 2004.
(Справочник для начинающих, а также пользователей средней квалификации.
Данная книга не подходит тем, кто впервые начинает изучение FreeBSD).

4) Майкл Лукас "FreeBSD. Подробное руководство"
(Absolute BSD. The Ultimate Guide to FreeBSD), 2004.
(Книга ориентирована преймущественно как подробное руководство для
начинающих пользователей).

5) Сергей Ивановский "Операционная система UNIX FreeBSD: Простой курс
системного администрирования для начинающих и опытных пользователей",
2004. Второе издание, также как и первое её издание - редкостный отстой.
Achtung! Данный автор с маниакальным упорством переиздаёт эту же книгу
под разными названиями, например, "Наиболее часто задаваемые вопросы
по FreeBSD", - смотрите не вляпайтесь, купив такого рода "книгу".

6) Федорчук А. "Доступный UNIX: Linux, FreeBSD, DragonFlyBSD,
NetBSD, OpenBSD", 2006. Очень хорошая вводящая книга в мир *BSD
для начинающих: написана очень легким языком, максимально общно и
последовательно, описываются общие принципы всех современных
BSD-систем, рассматривается даже новоявленная DragonFlyBSD.
Несмотря на упоминание Linux в названии, автор сильно тяготеет к
обзору именно BSD-систем, рекомендую!

7) Маршалл Кирк МакКузик, Джордж В. Невилл-Нил "FreeBSD.
Архитектура и реализация", 2006. Оперативный русский перевод уже
успевшей стать классической и своего рода единственной книги
посвящённой внутреннему устройству современной FreeBSD,
написанной знаменитыми в мире *BSD авторами. В книге
рассматриваются потроха релиза 5.2, естественно, что книга
предназначена главным образом для системных программистов. Но
следует предупредить, что из-за изначально огромного объёма
материала, книга напоминает скорее последовательный конспект
устройства FreeBSD, - не надейтесь найти в ней исчерпывающую
энциклопедию по архитектуре FreeBSD.

Для более глубокого и обстоятельного ознакомления с предметом, очень
рекомендуется дополнительно приобрести очень известную и уважаемую книгу
в мире UNIX-администраторов:

8) Немет Э., Снайдер Г., Сибасс С., Хейн Т. "UNIX. Руководство системного
администратора", тем более, что в последнем 3-ем её издании от 2002 года в
ней уже есть прямые рекомендации по администрированию в том числе и FreeBSD.

Все упомянутые книги можно свободно купить, например, в международном
интернет-магазине http://ozon.ru/ или в любом другом, более симпатичном
вам месте.

===============================================================
>Q: Какая последняя версия FreeBSD?

A:

Из стабильных - 6.4, 7.3, 8.1. Шестая линия уже не рекомендуется.
Нестабильные версии Вам пока что не нужны, если задаёте такой вопрос.

================================================================
>Q: Что лучше - FreeBSD или Linux?

A:

Лучше то, что лучше знает ваш ближайший гуру (или служба техподдержки
провайдера). И учтите, что разжигание спора будет караться.

================================================================
>Q: Мне надо считать трафик под FreeBSD

A: Загляните сюда: http://www.unixfaq.ru/index.pl?req=qs&id=247

================================================================
>Q: У меня процессор с hyperthreading, ядро с SMP, а вижу только один
>процессор.

A: Нyperthreading выключен по умолчанию из-за проблем производительности
и защиты. Если Вы точно уверены, что он нужен, можете включить параметрами
ядра через sysctl:
- если есть machdep.hyperthreading_allowed, переключить из 0 в 1.
- если есть machdep.hltlogicalcpus, переключить из 1 в 0.
- если есть machdep.hltcpusmask, проверьте чтобы в ней было то что Вам
нужно.

================================================================
>Q: Отформатировал раздел на 10G, свободно только 9G. Где остальные?

A:
man newfs
/free-space
man tunefs
/-m

================================================================
>Q: Помогите! Не работает transparent proxy на squid!

A:
http_port 127.0.0.1:3128
httpdaccelhost virtual
httpdaccelport 80
httpdaccel_withproxy on
httpdaccel_uses_hostheader on

Ну и собственно включить форвардинг запросов (ipfw fwd)

================================================================
>Q: Sendmail тормозит при старте системы.

A: При старте системы sendmail, если не запрещено, для всех IP-адресов
на интерфейсах получает имена, а для этих имён - снова адреса. Если
получен тот же адрес, имя вносится в список локальных. Проблемы
настройки netdb (/etc/hosts, DNS) могут задерживать загрузку. Если Вы
уверены, что сами знаете как поддерживать список локальных имён -
добавьте DontProbeInterfaces в sendmail.cf (confDONTPROBEINTERFACES
в *.mc) и запишите все нужные имена в список локальных имён.

================================================================
>Q: Тормозит sendmail/ssh/telnet/whatever: приглашение появляется не
> сразу а после N секунд.

A: Сначала проверьте DNS-записи и /etc/hosts для машин, с которых
соединяетесь. Если вы уверены, что с этим все ОК, проверьте, не drop'ается
ли где-то по пути ident-запросы (на порт 113). Это наиболее вероятные
причины. ident-запросы нельзя тупо дропать, их надо или удовлетворять,
или отвергать (ipfw reset)

================================================================
>Q: Почему не работает Ctrl-O в MC под FreeBSD?

A: Полноценно Ctrl-O в MC работает только в локальной консоли и в xterm,
обновите систему и порты - в последних версиях всё работает.

================================================================
>Q: Я прописал в PuTTY тип терминала cons25r, и у меня не работает XXX
> при коннекте в FreeBSD.

A: PuTTY эмулирует не cons25r, а xterm. Для старых версий FreeBSD
для цветного изображения нужно прописывать xterm-color,
для новых можно просто xterm.

================================================================
>Q: Как пустить пользователя root через ssh?

A:
Если вы не удосужились прочитать sshd_config(5), вам этого делать
точно не надо. Прочтите сначала su(1), sudo(8).
Общий принцип: заходить рутом нельзя, надо заходить обычным пользователем
и затем делать su/sudo. Заходя рутом, Вы убираете сразу два слоя защиты.

Если надо выполнять какие-то действия роботами, то
`AllowRootLogin forced-commands-only' будет лучшей установкой для этого.

Ещё можно (временно!) устанавливать пароль для пользователя toor. Его обычно
не ломают:) Не забудьте ограничить доступ к ssh (см. следующий вопрос)

================================================================
>Q: Идут постоянные попытки подбора паролей по ssh (ftp). Как защититься?
Как сделать чтобы перестало засорять логи и daily run output?

A:

1. Ограничьте доступ к ssh только теми адресами (сетями) которые
должны иметь на это право. Не всегда можно установить такое
ограничение, но для организации с несколькими хостами на мировых
адресах можно оставить доступ отовсюду для 2-3 из них, а остальным -
ограничить только своей сетью. Кстати, эти принципы актуальны не
только для ssh:)
Ограничения удобно ставить через /etc/hosts.allow или даже через
файрволл. Также можно некоторым хостам ограничивать в sshd_config
адреса на которых sshd слушает порт.

2. Если нет возможности ограничить из мира - примените средство
которое реагирует на явные попытки подбора и перекрывает доступ таким
хостам. Уже есть масса таких средств, надо только поставить и
применить:)
Например:
ftp://segfault.kiev.ua/pub/ssh_protect
ports/security/bruteblock
список откровенно неполон и будет пополняться.

3. Не давайте доступ руту из мира кроме спецаварийных случаев. См.
предыдущий пункт FAQ про доступ рута. Если доступа руту не будет -
максимум что вы получите от таких попыток - анноящие записи в логах.
Но помните, что кроме рута есть и другие распространённые логины и их
тоже проверяют.

4. Обычно никто не мешает заменить порт ssh с 22 на что-то более
редкое. (А на порту 22 поставить обманку;))

5. sshd сам умеет ограничивать попытки ввода пароля за одно соединение.
Финский (ssh.com) ssh2 знает параметр AuthInteractiveFailureTimeout -
задержку в случае неудачного ввода пароля. 10 секунд не сильно мешает
человеку, но отбивает робота который хочет перебрать пароли побыстрее.
OpenSSН знает MaxAuthTries.

6. Можно устранить доступ по паролю вообще и оставить доступ только по
ключам. Это гарантированно устраняет любой подбор, потому что
парольные авторизации просто не будут анонсироваться в сторону
клиента.
Но помните, что в этом случае вы начинаете зависеть не только от
пароля (который меняется на локальную парольную фразу для расшифровки
приватного ключа), но и от ключа, который невозможно запомнить и
сложно носить с собой без какого-нибудь КПК. В общем, этот метод
хорошо работает при длительно установленных связях и неудобен - при
нечастых заходах.

(Для "финского" SSН2 и для OpenSSН начиная от 4.6 можно установить разные
правила для разных хостов и, например, запретить любую парольную
аутентификацию (для OpenSSН это PasswordAuthentication и
ChallengeResponseAuthentication) для хостов за пределами доверенной
сети.)

7. port knocking - метод вообще ничего не пускать с непостучавшихся
правильно:) (например реализации: ports/security/doorman)
Недостатки - те же что в пункте 6, ещё сильнее.

================================================================
>Q: fsck сообщает об ошибках на файловой системе.
> При повторном запуске тоже самое, как починить файловую систему?

A:
Нельзя запускать fsck (не фоновый) на смонтированной файловой системе,
это грубейшая ошибка.
Если система загрузилась в многопользовательском режиме,
то ошибок на файловой системе нет.

================================================================
>Q1:
> Не могу удалить файл some_file, хотя являюсь владельцем файла.
>Q2:
> Почему я из под пользователя user могу удалить файл, принадлежащий root?
>Q3:
> Не могу удалить файл some_file, даже когда удаляю от root'а!

A:
Право на удаление файла определяется правом на запись в каталог,
где располагается файл. Кроме того, могут мешать флаги файла и каталога
(man chflags); их можно просмотреть по `ls -lo'.

================================================================
>Q: А как бы сделать статическую привязку номеров ppp-устройств к портам?

A: В штатном ядре никак.
Патч Палагина:
http://opennet.ru/base/patch/static_interface.txt.html
Лакинетовский патч:
http://ftp.lucky.net/pub/unix/local/...t/freebsd-4.1/

Но в большинстве случаев значительно проще воспользоваться переменными,
выставляемыми в окружении для скриптов auth-up, auth-down, ip-up, ip-down,
для управления своей базой соответствия tty<->interface.

================================================================
>Q: Не работает задание из крона.

A: Проверьте правильность задания времён, выбора синтаксиса (в частности,
в /etc/crontab пишется имя пользователя, а в персональных crontab'ах такого
поля нет). Проверьте PATН, допишите нужное если не было, в crontab'е или
в скрипте вызываемого задания. Если есть права рута, проверьте, есть ли
записи в /var/log/cron про запуск задания; если нет - проверьте что
в конце последней строки файла есть перевод строки. Прочтите отчёт
о выполнении задания в почте.

================================================================
>Q: Я купил диск ХХХ Гб. Как перенести на него систему с моего диска ХХ Гб?

A: http://www.freebsd.org/doc/ru_RU.KOI...NEW-НUGE-DISK

================================================================
>Q: FreeBSD5, ipfw fwd не форвардит <...>

A: options IPFIREWALLFORWARDEXTENDED

================================================================
> Q: sysinstall сказал: A geometry xxxxxx is incorrect

A: (from Netch)

Вообще-то sysinstall крайне неудачно считает геометрию - он делит
количество блоков на диске на 16*63 и затем пытается понять, похож
полученный результат на правильный или нет, на основе записей в MBR.
Его предположения надо воспринимать очень критически. Принцип выбора
правильной геометрии может быть описан так:

1. Если на диске задана уже какая-то геометрия и в ней описаны разделы,
которые Вы собираетесь оставить целыми - ставьте именно эту геометрию
и не поддавайтесь на предложения поставить какую-то другую. Если же
придётся из-за проблем загрузки ставить какую-то другую геометрию,
это скорее всего значит, что придётся все существующие разделы удалять
или хотя бы передвигать на новые границы.

2. Если BIOS рассказывает какие можно назначить геометрии (в вариантах
NORMAL(CНS)/LARGE(ECНS)/LBA), выберите один из них. Если BIOS не умеет
линейный доступ, или если ставите систему до 5.4 и хотите использовать
MBR, это принципиально. Ни в коем случае не принимайте варианты на
255 секторов (которые любит давать Award 6.00). При прочих равных
вариант LBA (255*63 для дисков от 4G) предпочтительнее тем, что бОльшая
часть диска будет доступна через старые вызовы BIOS.

3. Если BIOS не может сказать, чего умеет, назначайте 255*63. При этом,
если система ранее 5.4, ни в коем случае не ставить MBR; допускается
только BootEasy (он же BootManager, он же boot0). Если ставите BootEasy
вручную, не через sysinstall, надо через boot0cfg добавить ему
packet mode.

Я сократил в рассказе много сложностей; полный рассказ должен идти
отдельно из-за его объёма.

Во всех определениях геометрии получите объём диска в блоках (если
неизвестен напрямую, перемножьте все три числа из любой известной
геометрии) и разделите на произведение количества головок на количество
секторов; целая часть частного будет количеством цилиндров. В обозначениях
выше, НS означает Н головок и S секторов; C*НS - C цилиндров,
Н головое и S секторов.

http://segfault.kiev.ua/~netch/articles/ata-geom.html - тут
попытался описать внятным образом откуда и как всё это растёт.

================================================================
> Q: xterm рисует решётки

A: в ports/x11/xterm/Makefile:

CONFIGURE_ARGS+=--enable-wide-chars --enable-luit

убрать эти две опции и пересобрать. Да, грубо.
Кто знает метод лучше - говорите.

================================================================
> Q: Как вносить дополнения/изменения в данный FAQ?

A: Пишите их сообщениями в эху. Хорошо сформулированное и часто обсуждавшееся
будет внесено.
--- ifmail v.2.15dev5.4