從有為青年變成有為中年男子的生活札記

Bandwidthd 是個流量監控並可產出報表的系統，可針對 TCP/IP 的網段及個別 IP 的使用情況做分析

目前可以看到 HTTP, TCP, UDP, ICMP, VPN, and P2P 等細部情況，這是官方所提供的 Demo URL，可以先嚐鮮看看

Bandwidthd 可以在很多平台安裝，包含 Windows，不過建議的還是在 Unix 上安裝，所需的函式庫為 libpcap、libgl 和 libpng

這篇是簡單介紹一下怎麼在 FreeBSD 把它給架設起來

首先您至少要有一個 WebServer，可以直接裝 Apache 進來

# cd /usr/ports/www/apache22

# make install clean

裝好之後請在 /etc/rc.conf 加入一行 apache22_enable="YES"

接下來安裝 Bandwidthd，一樣也是透過 Ports 安裝

# cd /usr/ports/net-mgmt/bandwidthd

# make install clean

接下來開始設定 Bandwidthd，把預設的 Config copy 一份出來

# cd /usr/local/bandwidthd/etc

# cp bandwidthd.conf-dist bandwidthd.conf

接下來編輯它，原則上要改的東西很少

subnet 192.168.100.0/24  <- 要監控的網段

dev "em0"  <-  監聽的網卡

接下來將 Bandwidthd 的網址連結至網頁根目錄下

# cd /usr/local/www/apache22/data

# ln -s /usr/local/bandwidthd/htdocs/ bandwidthd

最後我們來啟動 Bandwidthd

# /usr/local/etc/rc.d/apache22 start

# cp /usr/local/etc/rc.d/bandwidthd.sh.sample /usr/local/etc/rc.d/bandwidthd.sh

# /usr/local/etc/rc.d/bandwidthd.sh start

等個幾分鐘後就可以來看 Bandwidthd 產生出來的報表了

http://Your_URL/bandwidthd/

補充說明，若想要看到公司或企業內所有網段的話，可以用 Port Mirror 的方式接到有裝架 Bandwidthd 的機器即可

新版 Office 的附檔名多了一個 "x"，例如 doc 變成 docx

今天吳老師說用 IE 下載時附檔名會變成 .zip，找了一下解決辦法是要在 mime.types 動點手腳加入這一行

application/vnd.openxmlformats       docx pptx xlsx

重啟 Apache 就解決了

【參考資料】

Office 2007 MIME types for Apache

我的版本是 FreeBSD 8.1，在 kernel 預設應該是已經有支援 usb  裝置了

用指令 fdisk da0 就可以看到哪幾個分割區跟檔案格式

假設我要掛載 NTFS 格式的 usb 硬碟到 FreeBSD 裡，要下這樣的指令

# mkdir /mnt/usb
# mount_ntfs -C Big5 /dev/da0s1 /mnt/usb

相關說明請參考 www.twbsd.org 的第六章檔案系統管理

＊2011-02-14 10:23 修正部份資料，TFTP 改用 tftp-hpa 解決 TFTP Timeout 的問題！

＊2011-02-05 10:25 修正部份資料，新增改用 NFS 來開機，快多了！

＊2011-02-04 10:50 修正部份資料，改用 Ports 裡的 Syslinux 解決了開機不會倒數的問題

這是我這次實作的環境，簡略說明一下好了

平常管理電腦教室時，我們希望做到大量佈署安裝的效果，只要管理好 Source 機器，把新的 Image 扔到 Server 上就可以很方便同步給所有 Client

為了達到這效果，我選用了國人所開發的 Clonezilla，也就是所謂的再生龍 ~ 不過我是把 Clonezilla Live 光碟內的東西放進 PXE Server 來開機

在這裡面我安裝了 DHCP , TFTP , PXE , Clonezilla , NFS 這幾個服務

最近看到這篇文章 用 ramdisk 加速 freebsd 編譯 ports 的速度

因此就來研究一下該如何在 FreeBSD 啟用 ramdisk 的功能，找了一些文章目前有二種方式可以建立 ramdisk

一種是 tmpmfs，另一種是 tmpfs

tmpmfs 在 FreeBSD 5 導進來的，而 tmpfs 是從 FreeBSD 7 才放進來的

整體來看這二個功能面都蠻像的，都可以有效達到加速存取的效果

不過仔細比較二者的運作方式，引用一下 FreeBSD China 這篇文章所說的

tmpfs是一個直接使用VM（以swap為後端存儲）的FS，tmpmfs是透過md配合ufs的一種用法，並不是一個FS。

還有 FreeBSD Forum 討論的這篇 [Solved] tmpfs little help

Before people get confused: if you read this thread, be sure to distinguish between tmpmfs ("old and trusted") and tmpfs ("new and experimental"). They perform the same function, but they are very different.

"理論上"來說，tmpfs 或許在效能上會比 tmpmfs 快，這部份我還沒有仔細去測，但透過 tmpfs 或 tmpmfs 來編某個 ports 的套件時，速度是差不多快的

接下來說明如何啟用這二種 ramdisk

為了怕有時誤刪檔案，可以在 /etc/csh.cshrc 加入一行

alias rm '/bin/rm -i'

這樣下次刪檔案時就會先確認了 !!

參考資料

下rm指令時詢問是否刪除

首先在安裝 Squid 時，在 Ports 裡要把 SQUID_LDAP_AUTH 給編進去

接下來在 squid.conf 裡面要加入這三行的設定，可以加在下面這行之前

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "ou=xxx,dc=xxx" -f "uid=%s" -h ldap://LDAP_Server -v 3

acl ldapauth proxy_auth REQUIRED

http_access allow ldapauth

http_access deny all

重新啟動 Proxy Server 就可以了，下面這幾個連結再參考一下，有些有詳細介紹參數

1. Configure squid for LDAP authentication using squid_ldap_auth helper

2. Squid + LDAP 的設定方式

3. Proxy透過LDAP認證瀏覽網頁

4. Proxy服務器的配製

For tcsh

以分為單位

vi .cshrc or /etc/csh.cshrc

set autologout = 20

近來因工作需求在測試一些支援 IMAP 的 WebMail，目前有測過 IMP、SquirrelMail 及 RoundCube

簡單來說，IMP 真的是個很難搞的東西，但功能很多；SquirrelMail 畫面最陽春簡單，但該有的都有，也不會太難裝；RoundCube 畫面還不賴，也很好裝，但是功能非常之陽春

這三個軟體我分別寫三篇來介紹，首先柿子挑軟的，先挑 RoundCube 這個簡易安裝好設定的東西

RoundCube 的基本環境可用常見的 Apache + PHP 5.2.1 + MySQL

官網有特別註記 PHP 最好在 5.2.1 以上的版本喔，所以安裝時要注意一下，另外 User 的所有個人化設定都會扔到 MySQL 裡面，所以它才需要被安裝啦

目前小弟安裝時，RoundCube 出到 0.4 版，原則上我是這樣裝的

# cd /usr/ports/mail/roundcube ; make fetch

這樣就可以把最新的程式抓回來，它會存在 /usr/ports/distfiles 目錄下的 roundcubemail-0.4-beta.tar.gz

把它解開放到網頁根目錄底下即可，我目前先把目錄命名為 r

另外請先去 MySQL 裡建立一個 Database 叫 roundcube，我建了一個 User 叫 roundcube，密碼也一樣，針對 Databae roundcube 有全部的權限

然後請把 temp 和 logs 這二個目錄設為 777 ，接下來就可以開始安裝了

http://your_domain/r/installer/

原則上就三個步驟，一開始再做個確認即可，看完就可以按 START INSTALLATION

1.Check environment，盡量全部都 OK，我只有 MySQLi 跟 PostgreSQL 沒有 OK

2.Create config，這裡是關鍵，請盡量把每個參數都看過並設定下去，接下來會產生 main.inc.php 及 db.inc.php，請把這二個檔案放到 config 目錄裡

3.Test config，這邊就是做最後的檢查，請確認每個選項都 OK

都設定好之後，請移除 installer 這個目錄即可，這樣就結束了嗎？是的，就是這樣而已！

接下來請開始使用 RoundCube 吧！但是你一定會發現，它的功能真的有點少，希望它可以繼續開發下去！

自從 Mail Server 的帳號整合到 LDAP 後，從此就不必在 Mail Sever 上倒帳號了

而使用者登入透過 Openwebmail 登入系統時，自動就會建立 /home/user_account/mail 這路徑了 ( 紅色的字為自動建立出來的 )

上星期接到學生反應說，為什麼個人網頁空間不能使用，看了一下系統

使用者確實有在自己的目錄下建立 www 這目錄，並將檔案放至此目錄中，但老是一直出現 403 沒有權限存取的訊息

本來一直以為是 Apache 設定的問題，但也不是所有使用者會這樣，而是移轉到 LDAP 後的使用者才會發生此情形

後來查啊查的，才發現原來在 /home/user_account 這裡的權限被設為 700，難怪我不論在 /home/user_account/www 改成 777 的權限仍不可瀏覽 ( 一度以為自己見到鬼 )

原來，Openwebmail 有一個設定參數為 create_syshomedir，而我目前是設定為 yes 的屬性，也就是登入系統時自動建立相關檔案

然而這個自動建立出來的目錄，預設權限都會設定成 700

解決辦法是，去修改 .openwebmail.pl 這程式，將此部份改成 755 就好了！

# create the user's syshome directory if necessary.
# this must be done before changing to the user's uid.
   if (!-d $homedir && $config{'create_syshomedir'}) {
      if (mkdir($homedir, 0755)) {

總算解決這個見鬼的問題了 :-p

目前系統的環境是 Postfix + Dovecot

這是最近出現在 maillog 訊息

Mar 15 08:49:49 mail postfix/local[4491]: C7EFD2B7C9D: to=<xxx@xxx.edu.tw>, orig_to=<xxx2008>, relay=local, delay=21, delays=0.06/0/0/21, dsn=4.2.0, status=deferred (cannot update mailbox /var/mail/xxx for user maxling. unable to lock for exclusive access: Resource temporarily unavailable)

因為郵件系統內設定有許多 Aliases，當有人正在針對特定的 Aliases 寄送信件，且此群組內某一個人正好在使用 POP3 收信時，可能就會發生 Lock 的情況，導致系統會重新再寄信該封信件，變成同一封信會收到 2 次以上 ( 大容量信件更是可怕 )

目前查了相關資訊，建議是將 Postfix 和 Dovecot Lock 的機制都設定為一樣，還不確定是否可以解決，正在觀察是否會出現相同的情況

Postfix 目前的設定

mailbox_delivery_lock = flock, dotlock

Dovecot 目前的設定

mbox_read_locks = flock dotlock
mbox_write_locks = flock dotlock

參考的資料如下

酷學園 - postfix 產生cannot update mailbox 和 Resource temporarily unavailable

Mool - maillog 出現 Resource temporarily unavailable

記。回憶 - Postfix + Dovecot , mbox Lock 問題

Dovecot - Mbox Locking

http://security.freebsd.org/advisories/FreeBSD-SA-09:12.bind.asc

今天 DNS 有點小問題，更新完就 OK 了

首先不用說，先把 openwebmail 裝起來！

要讓 openwebmail 可以去向 LDAP 做驗證，在安裝時記得要勾選 PAM 的選項

接下來設定 openwebmail.conf

將原本的

auth_module auth_unix.pl

改成

auth_module auth_pam.pl

另外再新增一行，這樣讓使用者登入時可以自動建立相關的目錄與檔案

create_syshomedir yes

接下來要來設定 PAM 這部份，我用的版本是 2.53，在 openwebmail 裡面有個 auth 的目錄，裡面有個 auth_pam.pl

其中裡面有一行就是說要去看 pam.d 裡面哪個檔案，預設是 login

my $servicename = $conf{'servicename'} || "login";

所以我去編輯 /etc/pam.d/login 並修改 auth 那區塊

# auth
auth            sufficient      pam_self.so             no_warn
auth            sufficient      /usr/local/lib/pam_ldap.so      no_warn try_first_pass
auth            include         system

改好後這樣就可以和系統做驗證了！

ps. 待補上修改密碼的設定

最近學校的 E-mail Server 即將在七月要轉移，本次將轉往 HP 刀鋒系列的伺服器，本來預計主機一台要裝 FreeBSD 7 64 bit

裝了 64 位元的版本可以突破記憶體 4G 的上限，這樣系統的效能也會有所提升

但經過測試，Nopam 這個防廣告的套件在 64  位元的版本怎麼裝就是裝不起來，所以本次的架構如圖所示

See ~ Postfix 那台主機仍用 FreeBSD 7 64 位元版，而 Nopam 主機則安裝 32 位元版，這樣才能達到我們的需求！

Postfix + SASL2 安裝我先略過再補上，接下來僅談 Nopam 安裝的部份，這邊有安裝使用手冊

在安裝 Nopam 時，incoming MTA Server IP 和 outgoing MTA Server IP 都記得填 Postfix 的 IP 就是了

在 main.cf 要加入這一行

content_filter = smtp:[10.1.17.4]:10024

在  master.cf 要加入這些

10.1.17.18:10023 inet n - - - - smtpd
 -o content_filter=
 -o local_recipient_maps=
 -o myhostname=localhost

IP 就參考上述的架構圖來填寫吧 !! BTW，Postfix 和 Nopam 的整合真的還蠻簡單的 ^^

接下來談和 LDAP 整合的部份，我希望使用者寄信時透過 SASL -> PAM ( SMTP ) -> LDAP 驗證帳號和密碼正不正確

而收信時透過 Dovecot -> PAM ( POP3 ) -> LDAP 來驗證，總之就是不要再看 /etc/passwd 啦！

首先要先安裝 openldap-client ，因為我的 LDAP Server 用的是 2.3，所以 Client 也用 2.3-client

# cd /usr/ports/net/openldap23-client

# make install clean

接下來要安裝 nss_ldap ( 可以取得使用者帳號、群組 )、pam_ldap( 用來驗證使用者的、pam_mkhomedir ( 可以自動建立目錄 )

# cd /usr/ports/net/nss_ldap/

# make install clean

# cd /usr/ports/security/pam_ldap

# make install clean

# cd /usr/ports/security/pam_mkhomedir

# make install clean

接下來來去修改相關設定，首先去設定 /usr/local/etc/openldap/ldap.conf

必須設定好 BASE 和 URI ！請依您的 LDAP 架構做調整

然後再來去設定跟 NSS、PAM 有關的設定

# cp /usr/local/etc/ldap.conf.dist /usr/local/etc/ldap.conf

 host LDAP_Server_IP or LDAP_Server_Domain_Name
 uri ldap://LDAP_Server_IP or ldap://LDAP_Server_Domain_Name
 base ou=employee,dc=ldap,dc=bojack,dc=edu,dc=tw
 rootbinddn cn=root,dc=ldap,dc=bojack,dc=edu,dc=tw
 pam_filter objectclass=posixAccount
 pam_login_attribute uid

接下來做一個 Symbol Link

# cd /usr/local/etc

# ln -s ldap.conf nss_ldap.conf

然後再建立並設定 nss_ldap.secret

# cd /usr/local/etc

# vi nss_ldap.secret ( 輸入 LDAP 管理者 root 密碼 )

# chmod 400 nss_ldap.secret

# ln -s nss_ldap.secret ldap.secret

接來是設定 nsswitch.conf，請改成下面的樣子

# vi /etc/nsswitch.conf

#group: compat
#group_compat: nis
hosts: files dns
networks: files
#passwd: compat
#passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
group: files ldap
passwd: files ldap

做到這裡時，可以停一下 ~ 先來測試系統能不能來去找 LDAP 做帳號和密碼的驗證

# id bojack
uid=1263(bojack) gid=1000 groups=1000

# finger bojack
Login: bojack                           Name: bojack
Directory: /home/admin/bojack           Shell: /bin/tcsh
Last login Mon Jul  6 14:16 (CST) on ttyp0 from x.x.x.x
Mail last read Mon Jul  6 22:33 2009 (CST)

接下來去設定 PAM 的相關，首先是讓 SSH 可以透過 PAM 去向 LDAP 做驗證

# vi /etc/pam.d/sshd

# auth
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
#auth           sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            sufficient      /usr/local/lib/pam_ldap.so      no_warn try_first_pass
auth            required        pam_unix.so             no_warn try_first_pass

# account
account         required        pam_nologin.so
#account        required        pam_krb5.so
account         required        pam_login_access.so
account         required        pam_unix.so

# session
#session        optional        pam_ssh.so
session         required        /usr/local/lib/pam_mkhomedir.so
session         required        pam_permit.so

# password
#password       sufficient      pam_krb5.so             no_warn try_first_pass
password        required        pam_unix.so             no_warn try_first_pass

應該到步驟就可以讓你的 User 可以利用 SSH 登入系統，並且是透過 LDAP Server 做驗證喔 ^^

那如果我有安裝 FTP Server 是不是也可以利用 LDAP 來做驗證呢，答案當然是可以，這是我的 /etc/pam.d/ftp

# auth
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
#auth           sufficient      pam_krb5.so             no_warn
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            sufficient      /usr/local/lib/pam_ldap.so      no_warn try_first_pass
auth            required        pam_unix.so             no_warn try_first_pass

# account
account         required        pam_nologin.so
#account        required        pam_krb5.so
account         required        pam_unix.so

# session
session         required        /usr/local/lib/pam_mkhomedir.so
session         required        pam_permit.so

至於想要讓 User 可以透過 Postfix + SASL -> PAM ( SMTP ) -> LDAP 做身份證驗的話

我個人就直接是 copy ftp 的設定過去就好了

# cp /etc/pam.d/ftp /etc/pam.d/smtp

這樣在寄信時，Server 就會去向 LDAP 做驗證了！

最後一個是 POP3 Server，我是安裝 Dovecot

# cd /usr/ports/mail/dovecot

# make install clean

# vi /etc/rc.conf 加入
dovecot_enable="YES"

接下來設定 dovecot

# cd /usr/local/etc

# cp /dovecot-example.conf dovecot.conf

# vi dovecot.conf

protocols = pop3 ( 我只用 pop3 )
ssl_disable = yes ( 先停用 SSL 相關設定 )
#找下面這２個參數的設定，並修改成這樣就可以讓 Dovecot 去用 PAM ( POP3 ) -> LDAP 了
passdb pam {
     args = *
  }
userdb passwd {
  }

最後就是修改 /etc/pam.d/pop3

# auth
#auth           sufficient      pam_krb5.so             no_warn try_first_pass
#auth           sufficient      pam_ssh.so              no_warn try_first_pass
auth            sufficient      /usr/local/lib/pam_ldap.so      no_warn try_first_pass
auth            required        pam_unix.so             no_warn try_first_pass

# account
#account        required        pam_nologin.so
account         required        pam_unix.so

大概就是這樣子了！

[1] Weithenn Study Daily: OpenLDAP-PAM NSS 設定
[2] Izero@庶務三科 ㄎㄎㄎ - 在FreeBSD上架設IMAP/POP3 server -使用dovecot
[3] 酷學園 - Fedora6 + LDAP + POSTFIX + DOVECOT 替代成功方案 ^^
[4] Nopam 無痛式垃圾郵件過濾系統

這２天在思考 LDAP 的一個密碼的問題，先前我們請廠商開發程式，可以讓我批次塞資料到 LDAP Server 裡面

但是最近發現了一個小問題，當我用 PHP 去將 LDAP 裡每筆 Entry 抓出來後，發現密碼的資料被完整的抓了出來

也就是若當初我密碼給 123456 ，LDAP 就將 123456 完整抓出來 ~ 按照常理說，這是不合邏輯的

密碼應該是經過加密後再存進去才可以 ~

今天在酷學園詢問了一篇文章，才大概了解若想要讓密碼是以加密後的型態存進去該怎麼做 ( 感謝 Twu2 學長 )

答案是在塞入 LDAP 的時候就要做好加密的動作了！也就是我的 userPassword 的屬性值必須先加密，可以用２種方式 ( 以 MD5 為例 )

方法１：

在系統內產生

# slappasswd -h "{MD5}"
New password: ( 輸入新密碼 )
Re-enter new password: ( 再確認一次 )

把產生出來的值複製下來，貼到要塞入的 LDIF 裡面就可以了

方法２：

利用 PHP 產生新密碼

$newpass = "明文的密碼";
$newpassword = "{MD5}".base64_encode(pack("H*",md5($newpass)));
echo $newpassword;

一樣把產生出來的值複製下來，貼到要塞入的 LDIF 裡面就可以了

這樣子密碼就是以 MD5 加密的方式存在 LDAP 裡面了，再也不必擔心被其它人撈出原來的密碼！

安裝 LDAP 的需求是要給未來 E-mail、Radius、Proxy及無線網路用的 ^^

1. 安裝 LDAP Server

# cd /usr/ports/net/openldap23-server

# make install clean

2. 安裝好之後，需先設定 LDAP 管理者 root 的密碼，並記下來等會兒設定至 slapd.conf

# slappasswd ( 就會產生出利用 SSHA 編碼後的密碼 )

3. 修改 slapd.conf，此檔案為 LDAP Server 主要 Config 檔，以下是我的設定檔

第一次碰到這麼棘手的問題

昨天回來時就看到機器在重開機，看了一下是該需要進 single mode fsck 的時候

修了第一次，突然吐出一行

# fsck_ufs: cannot alloc % bytes for inoinfo ( % 是號碼 )

就沒辦法修下去了

經過不停的嘗試，修了好幾次總是過不去那個磁區 ~ 最後終於在這裡找到解決方法

簡單來說，修改完 pass1.c 後，需要再 make;make install 才會讓指令重編

我一開始改完後就又去 fsck ，但怎麼做都是一樣，原來是少了上述的步驟

老實說解決這個問題也蠻心虛的，因為真正的原因其實我還是摸不著頭緒，但直覺就是硬碟八成有問題了

從昨晚七點半維修至今天下午一點才恢復運作，唉，能力真差

2009.03.19 補充

修復完畢後，已經有使用者反應自己的資料不見了 -_-

Weithenn Study Daily: Newsyslog.conf

小紅帽技術論壇 - 關於 FreeBSD 的 logfile 說明..

( 曾幾何時，它是我每天必上閱讀的網站，沒想到今非往昔了 )

設是我今天加入在 httpd.conf 的設定，還沒有試過 mod_rewrite 的用法

SetEnvIfNoCase Referer "^http://my\.domain\.edu\.tw/" local_ref=1
<FilesMatch "\.(png|mp3|rar|zip|bmp)">
     Order Allow,Deny
     Allow from env=local_ref
     Allow from 127.0.0.1
</FilesMatch>

永遠的真田幸村 - 透過Apache的.htaccess設置圖片防盜連功能

Jamyy's Weblog - apache http server 防止盜連的方法

鍵盤語言 (Keyboard Languag) - Apache 防止盜連網站資源的方法

自從 FreeBSD 6.2 後多了一個以 binary update 方式的指令，就是 freebsd-update

假設我要更新 FreeBSD 7.0-RELEASE-p3 到 7.0-RELEASE-p10

首先先更新 update Server

# vi /etc/freebsd-update.conf

ServerName update.tw.FreeBSD.org

接下來就開始抓更新檔

# freebsd-update fetch

# freebsd-update install

# reboot

若要跨版本更新的話，例如將 FreeBSD 7.0-RELEASE-p5 到 7.1-RELEASE-p3

# freebsd-update upgrade -r 7.1-RELEASE

( 略.... )

# freebsd-update install -r 7.1-RELEASE

Installing updates...
Kernel updates have been installed.  Please reboot and run
"/usr/sbin/freebsd-update install" again to finish installing updates.

# reboot

# freebsd-update install

# reboot

# uname -ra

參考資料：Upgrading FreeBSD 7.0 to 7.1