Vixual

Samba 這個套件的功用，可以讓你把 Linux 伺服器變成 Windows 裡的「網路上的芳鄰」中的一台電腦，提供檔案伺服器的服務，即使在沒有網域管理(Domain)的區域網路環境中，也可以提供比 Windows 網路上的芳鄰更多的權限控管。

本教學只介紹兩種常用的配置方式:

安裝好 Samba 套件之後，就可以開始進行設定了。

安裝 Samba

apt-get install samba

service smb start

service smb reload

開放式的設定

開放式的意思，就是不用任何身份驗證，就可以存取提供 Samba 服務的伺服器。以下的範例，是設定區域網路裡的任何用戶都可存取伺服器，並分享 [/tmp] 裡的檔案:

[global]
#欲加入的群組名稱
workgroup = WORKGROUP
#在「網路上的芳鄰」顯示的電腦名稱，如果不設定，就會以目前的 HostName 去掉網域名稱顯示。
netbios name = FileServer
#伺服器的註解
server string = Samba 檔案伺服器
#設定哪些電腦可以存取伺服器(以空白隔開)
hosts allow = 192.168.1.0/255.255.255.0 127.0.0.1
#顯示繁體中文
client code page = 950
#身份驗證的方式
security = share

#分享 [/tmp]
[tmp]
  path = /tmp
  comment = 檔案暫存區
  public = yes
  writable = yes
  create mode = 0666
  directory mode = 0777

service smb restart

需要身份驗證的設定

如果你希望用戶要連到伺服器時，必須先輸入帳號、密碼才可以進入，並且可以存取自己的家目錄及 [/tmp]，請依照下列設定:

[global]
#欲加入的群組名稱
workgroup = WORKGROUP
#在「網路上的芳鄰」顯示的電腦名稱，如果不設定，就會以目前的 HostName 去掉網域名稱顯示。
netbios name = FileServer
#伺服器的註解
server string = Samba 檔案伺服器
#設定哪些電腦可以存取伺服器(以空白隔開)
hosts allow = 192.168.1.0/255.255.255.0 127.0.0.1
#顯示繁體中文
client code page = 950
#身份驗證的方式
security = user
#將密碼加密傳輸
encrypt passwords = yes
#指定密碼檔位置
smb passwd file = /etc/samba/smbpasswd

#讓用戶可以存取自己的家目錄
[homes]
  comment = 個人資料夾
  public = no
  browseable = no
  valid users = %S
  writable = yes
  create mode = 0600
  directory mode = 0700

#分享 [/tmp]
[tmp]
  path = /tmp
  comment = 檔案暫存區
  public = no
  writable = yes
  create mode = 0666
  directory mode = 0777

cat /etc/passwd | mksmbpasswd.sh > /etc/samba/smbpasswd
chmod 600 /etc/samba/smbpasswd
chown root.root /etc/samba/smbpasswd

service smb restart

smbpasswd UserName

其它有用的參數

以下介紹其它有用的參數，這些參數必須放在宣告的分享資源的區段下:

Samba 的變數

新增 Samba 用戶

關於 Samba 上的用戶帳號，有一些規則要說明:

因此，如果你要新增 Samba 用戶，你就必須先在 Linux 系統增加一個本機用戶，新增本機用戶之後，再輸入下列指令將用戶的帳號及密碼加入至 Samba 的密碼檔:

smbpasswd -a UserName

以後如果只是要變更該用戶的密碼，只要輸入:

smbpasswd UserName

用戶自行變更密碼

原本 Samba 有提供一個 Swat 套件，就是 Samba 的網頁管理介面，不過，我覺得似乎不太夠用(給管理者用還可以)。如果我希望用戶可以自行變更 Linux 系統的密碼，並同步變更 Samba 的密碼，那就要試試 ChangePassword 套件:

cd /tmp
wget http://www.vixual.net/download/source/ChangePassword/changepassword-0.9.tar.gz
tar -xzvf changepassword-0.9.tar.gz
cd changepassword-0.9
./configure --enable-cgidir=/var/www/cgi-bin --enable-smbpasswd=/etc/samba/smbpasswd --disable-squidpasswd

make
make install

這樣就安裝完成了，以後你就可以到 “http://host.example.com/cgi-bin/changepassword.cgi” 同步變更 Linux 系統及 Samba 的密碼。

網頁管理介面

這個套件(Swat)其實不是那麼必要(尤其是有了上面的 ChangePassword 套件之後)，但仍然列出安裝步驟給大家參考:

apt-get install samba-swat

disable = yes

disable = no

only_from = 127.0.0.1

only_from = 192.168.1.0/24

service xinetd restart

http://host.example.com:901/

參考網頁

今天有一位朋友問我「幫人家架設 Linux 伺服器，以及轉移電子信箱該如何收費」相關的問題，我上網去找了一下，從 Google 的討論群組看到這一則討論: 架設 linux 網站，如何收費?，裡面有一段話，讓我深感認同，這段話就是…

奉勸各位，千萬別給公眾如下的印像:

• Linux 很容易 (no! 它比許多人想像的專業多了！)
• Linux 很便宜 (no! 專業服務是一分錢一分活的！)

本程式無法處理 IPv6 的問題，請改用功能更強大、更完整的 Fail2Ban，請參考本站文章:

• 安裝 Fail2Ban 防止 ssh 與 vsftp 遭使用「暴力密碼」入侵

粉久之前寫了一支 Log 分析的程式，可以統計、分析前一天系統的 Log，在這一份報表裡面，總是會看到有一些人使用「暴力法」，嘗試以各種帳號、密碼，藉由 SSH 或 FTP 入侵伺服器! 而我只能看著「前一天」的報表，分析他們用過哪些帳號、統計他們嘗試了幾次…實在有點不是滋味。
Read more

我們公司的郵件伺服器是用 IMap 協定來讀取電子郵件 (因為 IMap 的郵件是放在伺服器上，不怕用戶的電腦中毒，就算用戶的硬碟毀了，郵件也都還在)，因為這個原因，所以我必須要找一個可以支援 IMap 的 Webmail。
Read more

原因

請參考這一篇…

Read more

平常我都是用 SecureNetTerm，今天試用 PieTTY，發現這也是一支好用的 Telnet/SSH 終端機連線程式。PieTTY 修改自 Putty 0.57，對「亞洲語系」的相容性更高，用起來更方便、順手。

PieTTY 的特點

• 半透明顯示方式增為三種繪製方式以配合各種硬體。
• 內建 Big5-2003+中國海字集，免裝「Unicode 補完」!
• 內建簡易中文簡繁轉換(使用 autrijus 的表格) 。
• 使用界面大幅加強：無框視窗模式、記住最後視窗位置…
• 全新的視覺效果：視窗陰影！
• 可設為系統 telnet:// 處理程式
• 加強顯示非系統預設的語系，如在英文版Windows上設英文字型並同時顯示中文與韓文。
• 加強剪貼方式方便性，BBS 與 IRC 互貼彩色不是夢！
• 徹底解決之前各版點選網址的相關問題。

PieTTY 的缺點

• 沒有站台管理。

screen 是一個很方便的終端機管理程式，可以讓你在同一個終端機開啟多個 Session 來操作，加強多工的處理。即使你要離開電腦，也可以將 Session 執行脫離，或直接關閉終端機，這時執行中的程式還是會繼續執行，下次登入終端機時再取回 Session 來操作即可。

首先執行 Screen 程式，開始一個 Session:

$ screen

某些終端機視窗會在標題列顯示目前在操作的終端機編號，如果沒有顯示，你也可以輸入:

$ tty

來了解你目前正在哪個終端機中。

以快速鍵操作

切換時的快速鍵一開始都是 Ctrl + A

• 新增 Session:
  Ctrl + A → Ctrl + C
• 切換到上一個編號的 Session:
  Ctrl + A → Ctrl + P
• 切換到下一個編號的 Session:
  Ctrl + A → Ctrl + N
• 切換到指定編號的 Session:
  Ctrl + A → 數字鍵
• 切換到下一個編號的 Session:
  Ctrl + A → Space
• 在兩個 Session 之間互相切換:
  Ctrl + A → Ctrl + A
• 鎖定 Session:
  Ctrl + A → Ctrl + X
• 顯示 Session 列表，可供你選取:
  Ctrl + A → ⇧Shift + "
• 新視窗的標題列顯示所有的 Session 編號 (其中有加上 * 表示是目前使用的 Session) :
  Ctrl + A → Ctrl + W
• 水平分割視窗 (可以持續分割) :
  Ctrl + A → ⇧Shift + S
• 垂直分割視窗 (可以持續分割，只有特定版本才支援，請參考後方的說明) :
  Ctrl + A → ⇧Shift + |
• 在分割的視窗做切換:
  Ctrl + A → Tab
• 關閉分割的視窗:
  Ctrl + A → ⇧Shift + Q
• 將所有的 Session 脫離(Detach)，並回到執行 screen 前的狀態:
  Ctrl + A → Ctrl + D
  在這種狀態下，用戶可以不須理會這些 Session。不管用戶離線或是要從別的地方登入，只要下次登入時執行:

  screen -r

  將所有 Session 叫回來繼續操作。

• 重新命名 Session:
  Ctrl + A → ⇧Shift + A
• 顯示日期、主機名稱及負載:
  Ctrl + A → Ctrl + T
• 將畫面暫停 (程式仍繼續執行):
  Ctrl + A → Ctrl + S
• 將暫停的畫面恢復:
  Ctrl + A → Ctrl + Q

screen 的相關指令

• 啟動 Screen 程式，開始一個 Session:

  $ screen

  或指定 Id

  $ screen -S SessionId

• 查看同一帳號共開啟過多少個 Session 及其 Id:

  $ screen -ls

• 取回被脫離執行的 Session:

  $ screen -r

  或

  $ screen -r SessionId

• 將其它的 Session 強制脫離:

  $ screen -d

  或

  $ screen -d SessionId

  這功能適用於原本操作的電腦當機或斷線了，讓你可以在下次取回還在主機中執行的 Session。

• 同步操作終端機 Session (兩邊必須登入相同的帳號):

  $ screen -x

  或

  $ screen -x SessionId

• 移除 Session:

  $ screen -wipe SessionId

模擬頁籤顯示

如果要在畫面底部秀出現在在哪個編號的 Session，請編輯 /etc/screenrc 或 ~/.screenrc，加入:

hardstatus alwayslastline "%-w%{= BW}%50>%n %t%{-}%+w%<"

同步作業說明

假設我在我目前所操作的終端機 Session 要分享給另一端的登入者查看，並且可以操作 (或者是我不想將遠端登入的用戶脫離 Session)，則我要先以我的帳號登入主機並且執行 screen -S 特定名稱，然後另一端的登入者:

1. 以相同的帳號登入主機
2. 以 screen -ls 查看要取回的終端機 Session
3. 以 screen -x 特定名稱 或 screen -x SessionId 進入相同的終端機 Session

垂直分割視窗

因為 screen 只能水平分割視窗，不能充分利用寬螢幕的特性實在有點可惜! 這裡有新版可垂直分割功能的 screen:

垂直分割 screen 視窗

請自行編譯安裝。

命令別名

因為 screen 很實用，於是我在 bashrc 建立兩個 screen 指令的別名:

alias scr='screen -d -r Normal || screen -S Normal'
alias scl='screen -ls'

我只要登入終端機就先打一次 scr，以取回上一次沒關閉的 Session。如果沒有上一次沒關閉的 Session，則會建立一個新的 Session。

scl 則可以列出目前有幾個屬於我的 session。

參考網頁

• screen 教學

轉載自: 小紅帽技術論壇

Part I

AllowOverride 的屬性功能

AllowOverride Limit 允許覆寫原連結屬性的範圍
AllowOverride Authconfig 可做密碼設定: 如: 藏密
AllowOverride Options 可將該目錄之 Options 功能覆寫
AllowOverride FileInfo 可將該目錄之任何文件型態覆寫, 如: DefaultType, ErrorType
AllowOverride Indexs 可將該目錄之顯示列印功能覆寫, 如: AddIcon, HeaderName, ReadName

Options 的屬性功能

Indexs 當無 index.html 可用列印目錄方式顯示, 如: center3 homepage 若用 -Indexs 則看不見 listing
FollowSymLinks 加一屬性如 +FollowSymLinks 可允許使用 symbol link 時, 依舊可瀏覽
ExecCGI 當為 +ExecCGI 可執行 CGI SCRIPT
Includes 可執行 Server site include, 若為 +Includes
IncludesNOEXEC 可執行 Server site include, 若為 +Includes, 但不可執行 CGI
None 沒有任何功能可用
All 均可
總之, 以 +, - 符號可加或刪減其功能, 若未給符號, 則只有初步功能

Read more

測硬碟速度:

hdparm -tT /dev/hda

UDMA3(ATA33):

# hdparm -X66 -c1 -d1 -m16 /dev/hda

UDMA4(ATA66):

# hdparm -X68 -c1 -d1 -m16 /dev/hda

UDMA5(ATA100):

# hdparm -X69 -c1 -d1 -m16 /dev/hda

轉載自: 中文 PHP 資訊站

基本操作

增加一個用戶 newuser ：

useradd newuser
passwd newuser

然後根據提示兩次輸入新用戶的密碼，請注意，用useradd增加一個用戶後應該立刻用passwd給新用戶修改密碼，沒有密碼的新帳號將不能使用。在/etc/passwd文件中，沒有密碼的新用戶的記錄是如下一行：

newuser:!!:506:506::/home/newuser:/bin/bash

在這一行裏，用戶的密碼域被設置成了”！！”，這就意味著用戶密碼還沒有設置，用戶不能登陸。(passwd文件的格式是 用戶名：密碼：用戶ID（UID）：組ID（GID）：全名：用戶目錄：外殼腳本)。

當然你可以用-d參數設置新用戶的主目錄（例如：useradd newuser -d /www），也可以用-g參數為用戶指定新組名（例如：useradd newuser -g linuxusers）,你還可以用-G參數把新用戶設成系統其他一些組的成員（例如：useradd newuser -G users,shutdown）。所有這些，你都可以在本站的命令查詢中得到詳細資訊。

附注：相應的，僅僅增加一個新組可以用命令groupadd。

修改現有用戶的帳號：

usermod -s(new shell path)(username)

usermod -d(new home directory)(username)

usermod -d -m/www/newuser newuser

usermod -u UID username

username -g(group name) or GID username

usermod -e MM/DD/YY username

usermod -e 12/31/01 newuser

usedel bluewind

本文中的所有命令都可以在linuxaid獲得中文詳細的幫助，下面我們一起來繼續探討有關用戶管理的高級內容。

建立多個超級用戶

不少新系統管理員認為root用戶是唯一的超級用戶，其實root只是系統默認的超級用戶的名稱，root並非因為它叫root而成為超級用戶的。隨便打開一個/etc/passwd文件的例子，你就會發現如下幾行：

root:asiewhgYfaoO/J:0:0:root:/root:/bin/tcsh
bin:*:1:1:bin:/bin:
daemon:*:2:2:daemon:/sbin:
lanf:Yuao56Ioyefg:0:0:bluewind:/home/bluewind:/bin/bash
jake:gUyfaiIodashfj:501:501:jake cheng:/home/jake:/bin/tcsh
apache:!!:502:502::/usr/local/apache:/bin/false

可以看到，root的UID和GID都被設置為0了。實際上，超級用戶的充要條件就是UID和GID都等於0。也就是說，任何用戶，只要它的UID和GID都為0，就與常被稱為root超級用戶沒有什麼兩樣了。比如上面那個例子裏面的lanf，也是一個超級用戶。

所以，可以將任何普通用戶變成超級用戶。但是，這樣做並沒有好處，很多時候這都會增加系統的隱患。除非在組織中需要多個系統管理員管理同一個系統，這就需要有多個超級用戶帳號。這有利於各個管理員明確責任，通過日誌知道不同的人分別做過什麼事。

還有一種情況，也可能出現多個超級用戶帳號，那就是黑客入侵後設置一個看起來象普通帳號的用戶，卻修改了UID和GID使之為0。這樣根本就不需要知道root用戶密碼，就可以執行超級用戶許可權了。而從我們的系統管理員的一方來說，我們不可能時刻注意passwd文件的變化的，沒有那個時間也沒有那個精力。這時只好編寫一個腳本來幫助監視，例如：

/bin/grep '0:0' /etc/passwd |awk 'BEGIN{FS=":"}{print $1}'|mail -s "`date +"%D%T"`"root

這是一個很小的腳本程式，使用了一些常規的命令來查看/etc/passwd文件，把UID和GID為0的行寄給root用戶。把這個腳本放在/etc/cron.daily文件中讓cron運行，root將每天收到一封信，報告當前的超級用戶。

實際上，由於PAM（可插入驗證模組）的限制，在telnet上是不允許超級用戶登入的，也就是說，黑客修改了自己的UID和GID後，想再次登陸從而獲得超級用戶的許可權的話，不修改/etc/seuretty文件是不可能的–除非你傻到自己添加了為TTY設備ROOT用戶登陸許可權。一般可以讓超級用戶先用普通用戶帳號登陸，再su（su命令相關內容請參考本站命令查詢部分）。

為普通用戶分配特權

使用sudo命令可以允許普通用戶執行超級用戶才能執行的命令。無論是基於信任的建立需要時間，還是基於是否存在這種必要，我們都不會把超級用戶的所有權限輕易許人的。這是網管工作的原則。所以，當一些用戶必須訪問某些內容時，我們可以配置sudo以允許單獨的普通用戶運行特權命令。

sudo命令允許已經在/etc/sudoers文件中指定的用戶運行超級用戶命令。例如，一個已經獲得許可的普通用戶可以運行：

sudo vi /etc/passwd

實際上，sudo的配置完全可以讓我們指定某個列入/etc/sudoers文件的普通用戶可以做什麼、不可以做什麼。/etc/sudoers的配置行如下：

Host_Alias REDHAT=binbu,qd

其中binbu和qd是倆主機名，你可以用REDHAT（別名）統稱它們。

user host= [run as user ] command list

在user處指定一個真正的用戶名或定義過的別名，同樣的，host也可以是一個真正的主機名或者定義過的主機別名。默認情況下，sudo執行的所有命令都是以root身份執行。如果你想使用其他身份可以指定。至於command list可以是以逗號分隔的命令列表，也可以是一個已經定義過的別名。例如：

lanf binbu=/sbin/shutdown

這一句說明lanf可以在binbu主機上運行關機命令。

注意：

下面是一個sudoers文件的例子：

#sudoers files#User alias specificationUser_Alias ADMIN=yourid:POWERUSER=hisid,herid#user privilege specification ADMIN ALL=ALLPOWERUSER ALL=ALL,!/bin/su

第三行定義了兩個別名ADMIN和POWERUSER，第五行說明在所有主機上ADMIN都可以以root身份執行所有命令。第六行給POWERUSER除了運行su命令外同等ADMIN的許可權。