top -mio – показать I/O по процессам
top -S – показать системные процессы в топе (по дефолту они не показываются)
gstat – нагрузка на диски
iostat -d -w1 -c7 – нагрузка на диски
systat -io start 1
diskinfo -t da0 – тест на дисковую производительность
tunefs -p /var/ – информация о настройках файловой системы
vmstat -z чего не хватает
vmstat -i прерывания по устройствам
netstat -i ошибки на интерфейсах
systat -ifstat – интенсивность передачи трафика
netstat -inb – передано через интерфейс в байтах
netstat -w1 – количество пакетов/ошибок/байт на интерфейсе
sysctl kern.ipc.numopensockets – количество открытых сокетов
df -H – количество свободного места
df -i – количество свободных инодов
freecolor – очень симпатичная утилита для мониторинга использования памяти (ставится из портов)

Для детальной информации по расходу памяти:

fetch -o /usr/local/bin/free http://people.freebsd.org/~rse/dist/freebsd-memory
chmod +x /usr/local/bin/free
free

Предупреждение: Бездумное копирование опций не всегда приводит к приросту производительности!!!

/etc/sysctl.conf

 ###### Формат записей " параметр=значение # значение по умолчанию " 

NETWORK
Запрет ответа при обращении на закрытые порты. 
По стандарту, если на закрытый порт сервера приходит SYN-пакет, машина должна ответить RST-пакетом.
Это упрощает сканирование портов, а также дает достаточное количество информации (в виде ответов от сканируемого сервера) для определения версии ОС.
«Черные дыры» заставляют FreeBSD быть предельно лаконичной, не отсылая ничего в ответ на запросы к закрытым портам.

 net.inet.tcp.blackhole=2 # 0 net.inet.udp.blackhole=1 # 0 

Увеличение размера очереди.
Защита очереди от SYN атак

 kern.ipc.somaxconn=4096 # 128 

Чтобы сервер не стал жертвой DoS-атаки, можно включить механизм syncookies, который служит для защиты сервера от SYN-флуда. 
Когда новое соединение не помещается в переполненный syncache, FreeBSD переходит в режим «syncookies» (TCP SYN cookies).

При серьезной атаке может не менее серьезно выручить.

 net.inet.tcp.syncookies=1 # 1  

Запрет ответа на широковещательный ECHO
Современная система не должна отвечать на широковещательные пинги, но и по сей день существуют сети, которые могут стать источником DoS-атаки.
Чтобы не попасть в их список, выставляем:

 net.inet.icmp.bmcastecho=0 # 0 

Дропать все пакеты с флагами SYN+FIN.
Если не нужна поддержка смешного протокола T/TCP (TCP for Transactions), то пакеты с флагами SYN+FIN можно смело отбрасывать как неликвидные .
Протокол редко где используется, а потому это имеет смысл

 net.inet.tcp.drop_synfin=1 

Запрет ридеректов

 net.inet.icmp.drop_redirect=1 # 1 net.inet.icmp.log_redirect=1 # 1 net.inet.ip.redirect=0 # 1 #net.inet6.ip6.redirect=0 #ipv6 disable in kernel 

Очистка таблицы ARP через …. секунд

 net.link.ether.inet.max_age=1200 # 1200 

Запрет на «прощупывание» внутренней сети

 net.inet.ip.sourceroute=0 # 0 net.inet.ip.accept_sourceroute=0 # 0 

Запрет запроса маски адреса, 
запрет широковещательного запроса временного штампа (timestamp)

 net.inet.icmp.maskrepl=0 # 0 

Максимальное количество пакетов ICMP <<Недостижимо>> (icmp type 3), а также количество отсылок TCP RST пакетов в секунду.

 net.inet.icmp.icmplim=100 # 200 

Увеличение размера TCP-буферов, для оптимизации при большом потоке данных HTTP FTP.
Но стоит помнить, что слишком объемные буферы быстро приведут к исчерпанию памяти при большом количестве подключений. Для веб-сервера, который принимает много коротких запросов и отправляет большие объемы данных, размер выходного буфера рекомендуется увеличить в ущерб входного.

 net.inet.tcp.sendspace=32768 # 32768 net.inet.tcp.recvspace=65536 # 65536

Выставляет maximum segment lifetime.
Определяет максимальное время жизни сегмента (Maximum Segment Life — MSL)
После того как соединение закрывается сокет переходит в состояние TIME_WAIT
Это максимальное количество времени ожидания ACK в ответ на SYN-ACK или FIN-ACK в миллисекундах
В этом состоянии он может находится по умолчанию в течение 60 секунд.
Время можно изменить через sysctl (в миллисекундах деленных на 2, 2 x 30000 MSL = 60 секунд)

 net.inet.tcp.msl=7500 # 30000 

Во FreeBSD 6.2 TIME_WAIT сокеты обрабатываются отдельно (нужна лишь
часть информации 48 байт из 1 Кб. Ограничение вне лимита kern.ipc.maxsockets)

 net.inet.tcp.maxtcptw=40960 # 40960 

По умолчанию исходящие соединения инициируются с диапазона портов 49152-65535 (16 тыс.). Во FreeBSD 8.1 — порты 10000 - 65535
Их неплохо увеличить (1024-65535):

 net.inet.ip.portrange.first=1024 # 10000 net.inet.ip.portrange.last=65535 

Не менять ttl при транзите пакетов

 net.inet.ip.stealth=0 # 0 

Включение пуллинга

kern.polling.enable=0 # 0 

Pooling

 kern.polling.each_burst=5 # 5 kern.polling.burst_max=1000 # 150 

Установка значения ttl под Windows

 net.inet.ip.ttl=128 # 64 

Максимальаня длина приёмной очереди, при переполнении которой стек дропает входящие пакеты

 net.inet.ip.intr_queue_maxlen=4096 # 50 

Увеличить максимальное число открытых сокетов

 sysctl kern.ipc.maxsockets=204800 # 25600 

Если машина обрабатывает несколько десятков тысяч соединений, то tcb hash позволяет быстро
определять принадлежность пришедшего пакета к определенному соединению.

 net.inet.tcp.tcbhashsize=4096 # 4096

Для использования портов по порядку, вместо случайной выборки (для исключения ошибки повторного коннекта с одного порта до отработки TIME_WAIT):

 net.inet.ip.portrange.randomized=0 # 1 

Во FreeBSD 6.2 появилась возможность не создавать состояние TIME_WAIT для соединений в рамках localhost:

 net.inet.tcp.nolocaltimewait=1 # 0 

DummyNET — шейпинг на IPFW
net.inet.ip.dummynet.io_fast — если трафик помещается в заданную полосу, не пропускать его через очередь и отдельный поток. Если нет необходимости эмулировать задержки и потери в канале — очень сильно сохраняет ресурсы. При использовании этой опции практически отпадает необходимость в распараллеливании dummynet

net.inet.ip.dummynet.io_fast=1  

net.inet.ip.intr_queue_maxlen, net.route.netisr_maxqlen — фактически — размеры входящей и исходящей очередей. При большой нагрузке в режиме маршрутизации есть смысл увеличивать эти значения. Непоместившийся пакет выбрасывается. Это условно спасет при кратковременных перегрузках (часть пакетов пролетит с большой задержкой), но совершенно не спасет при хроничеких.

net.isr.direct — обрабатывать исходящие пакеты непосредственно при попытке отправки (в т.ч. прохождение ipfw на выходе). Т.е. не откладывать в очередь, которую в отдельном потоке разгребает netisr. Есть смысл включать, если количество ядер меньше или равно количеству сетевых карточек. Влияет на скорость ОТПРАВКИ пакетов. Для серверов это хорошо, для роутеров — не очень. Если нагрузка на сетевые карты неравномерная, или когда есть хотя бы одно хронически недогруженое ядро — выключать. При включеном net.inet.ip.fastforwarding будет еще 1 спецэффект.

net.isr.direct_arp — обрабатывать исходящие ARP пакеты непосредственно при попытке отправки. Есть смысл держать включенным в большинстве случаев (разумного варианта, когда стоит отправлять такие запросы в очередь я придумать не могу). Добавлено для того, чтобы обработкой ARP система могла заниматься с бОльшим приоритетом даже при net.isr.direct=0

net.isr.maxthreads — собственно, количество потоков, разгребающих очередь пакетов. Есть смысл ставить меньшим количества ядер в системе. Нужно прикинуть, сколько ресурсов съедается на обработке прерываний от сетевух и не только, сколько в пике потребляет прочий софт (БД, httpd, прочие демоны) и на оставшееся распределить роутинг. Если, к примеру, сетевухи потребляют по 80% с 2х ядер и софт еще до 100% одного ядра, а всего ядер 4, то остается 140% гарантированного времени. Т.е. полтора ядра Тут можно смело ставить роутинг в 2 потока. Если нагрузки по софту кратковременные, а на роутинг с трудом хватает — можно даже попробовать 3.

net.inet.ip.fastforwarding — обрабатывать входящие пакеты непосредственно в момент приема (в т.ч. прохождение ipfw на входе, до попадания в очередь netisr). Есть смысл включать, если количество ядер меньше или равно количеству сетевых карточек, так же как и net.isr.direct. Влияет на скорость ПРИЕМА пакетов. Обработка пакета происходит прямо в обработчике прерывания. Следует учесть, что не все сетевухи и не все драйвера нормально умеют складировать новые пакеты в очередь, пока обрабатывается текущий. При включеном net.inet.ip.fastforwarding будет еще 1 спецэффект — маршрутизация пакета и прохождение ipfw (оба раза) будут происходить в том же обработчике прерывания. Фактически, на время обработки входящего пакета сетевая карта будет заблокирована. Это неплохо смотрится при преобладающем входящем трафике и на однопроцессорных машинах.

Файловая система
Запрет возможности монтирования файловых систем непривилегированными пользователями.

 vfs.usermount=0 # 0

Ресурсы системы  
Увеличение числа mbuf кластеров
Можно увеличить до 262144
(в loader.conf — vm.kmem_size=1G, в ядре options KVA_PAGES=512)

 kern.ipc.nmbclusters=65536 # 25600 

Приложения работают не с сокетами, а с файлами. По этому для каждого
сокета нужна структура, которая описывает файл.
kern.maxfiles — всего файлов в системе
kern.maxfilesperproc — максимальное число файлов на один процесс.

 kern.maxfiles=204800 kern.maxfilesperproc=200000 

Можно динамически изменить параметры shared memory

 sysctl -a | grep shm 

Вычисляется следующим образом:

 SHMMAX = SHMALL * PAGE_SIZE + 1 Где PAGE_SIZE равно 4096 Б для i386 SHMALL = k * RAM * 1024 / PAGE_SIZE Где RAM – физическая оперативная память в МБ; k – коэффициент, равный 0.5; PAGE_SIZE – размер одной страницы в КБ, PAGE_SIZE = 4 КБ для i386. 

Например, для машины с памятью 512 МБ,

 SHMALL = 0.5 * 512 * 1024 / 4 = 65536. 

В случае, если предполагается, что приложение будет работать на специально выделенном для этого сервере, и кроме него никаких других серьезных сервисов запущено не будет, то коэффициент k, можно увеличивать до 0.75, это 3/4 от физической оперативной памяти. Рекомендую также посмотреть утилиту  ipcs.
Например для сервера PostgreSQL можно выставить следующие значения:

 kern.ipc.shmall=65536 kern.ipc.shmmax=536870912 kern.ipc.semmap=256 

/boot/loader.conf Увеличить лимита физической памяти, которую может использовать ядро (по умолчанию 320Мб). Увеличим до 1Гб:

 vm.kmem_size=1G 

для amd64 оказалось недостаточно указать vm.kmem_size_max=1G в /boot/loader.conf, (параметр был просто игнорирован) по-этому это надо сделать в файле конфигурации ядра:

 options VM_KMEM_SIZE=1073741824 options VM_KMEM_SIZE_MAX=1073741824 

В /boot/loader.conf для обеих платформ нужно добавить vm.kmem_size_max=1G Увеличение syncache и syncookies( на этапе загрузки).

 net.inet.tcp.syncache.hashsize=1024 net.inet.tcp.syncache.bucketlimit=100 

Задаем какой буфер использовать для сетевых карточек (должен быть реально)

## Для карточек Intel с драйвером em hw.em.rxd=4096 hw.em.txd=4096 ## Для новых карточек Intel с драйвером igb hw.igb.rxd=4096 hw.igb.txd=4096 

Увеличение количества семафоров

 kern.ipc.semmnu=256 kern.ipc.semmns=32000 kern.ipc.shmmni=4096 

Опции ядра Увеличение адресного пространства ядра, которое на i386 платформе — 1Гб. Для увеличения до 2Гб. На платформе amd64 KVA всегда 2G.

 options KVA_PAGES=512 

Данная опция в FreeBSD 8.x предназначена для ускорения маршрутизации. При больших потоках трафика проц вгоняется в полку, поэтому настоятельно рекомендую вырубать ее нафиг, чтоб не наблюдать , как ваш роутер уходит в нирвану…

 #options FLOWTABLE # per-cpu routing cache 

Следующие два пункта касаются поведения ОС при попытке подключиться на порты, которые не слушаются приложениями. При штатных настройках, в таком случае, система посылает пакет с флагом RST, и закрывет подключение. Удалённый хост получает примерно следующее (если пробовать telnet`ом подключиться): Connection reset by peer.
net.inet.tcp.blackhole=2 — данный пункт указывает, что происходит при получении TCP-пакета на закрытый порт (не слушаемый никакими приложениями)Если стоит «1″, то SYN пакеты (пакет, устанавливающий соединение) на закрытый порт будут отклоняться без отсылки отправителю RST пакета (перезагрузка (соединения, не машины )). При установке в «2″, вообще все (а не только SYN) пакеты на закрытый порт отбрасываются без каких-либо действий. Данный пункт позволяет разгрузить ЦП, т.к. обработка пакетов не производится, и интернет-канал сервера — т.к. не надо слать ответных пакетов.

net.inet.udp.blackhole=1 — очень похож на предыдущий пункт, по результату, но для протокола UDP. Ввиду того, что протокол UDP работает без установки соединения, есть только два, а не три варианта установки, когда эта переменная установлена в 1, то отбрасываются все UDP пакеты, адресованые закрытым портам.

kern.ipc.somaxconn=1024 — увеличивает размер очереди для сокетов, чем помогает предотвратить SYN-атаку, когда очередь сокета переполняется некорректными попытками соединений. Конечно от мощной атаки это не спасёт, но от слабой и средней — должно помочь. Значение по дефолту — 128.

Следующие 4 пункта необходимы для невозможности удалённого изменения таблицы маршрутизации на Вашем хосте. Надо заметить, что установив эти пункты как указано, я столкнулся с проблемами в собственной сети — как оказалось между некоторыми подсетями маршрутизация была криво настроена (причём сам же знал, что криво, сам же криво и делал — быстрей, быстрей! — а потом всё недосуг было заняться) — соответственно клиентские компы начали терять некоторые сети. Пришлось сделать всё по-уму

net.inet.icmp.drop_redirect=1 — уничтожать icmp-датаграммы переадресации

net.inet.icmp.log_redirect=1 — записывать в журнал событий icmp-датаграммы с указанием переадресации

net.inet.ip.redirect=0 — может ли эта машина посылать дейтаграммы переадресации другим (вот из-за изменения этого пункта у меня сеть и плющщило, но менять его надо, просто надо сразу сетку корректно настраивать)

net.inet6.ip6.redirect=0 — предыдущий пункт, но для IPv6

Пара пунктов отвечающих за работу TCP. Общий смысл такой: ОСь не отвечет на каждый пакет, что он получен или неполучен сразу, а ждёт, пока придёт (или подготовится к отправке) некоторое количество инфы, а потом разом всё это отправляет. Тем самым удаётся разгрузить сеть, т.к. уменьшается общее число пересланных байт (меньше накладных расходов). Очень полезно при интенсивной нагрузке на сеть в одну сторону (HTTP, FTP, & etc). Эти два параметра позволяют установить размер окна приёма и передачи соостветственно. Ограничение по RFC (RFC1323, RFC2018) составляет 64k, но реально можно поставить и больше — тока надо быть уверенным, что и с клиентской стороны подддерживается такое большое окно. Если поставить больше то могут возикнуть проблемы: клиент данные шлёт, а подтверждения не получает, по достижении 64k он думает, что, по неизветстным причинам пропали все пакеты и начинает слать их заново… А Ваш всё ждёт… )) Дефолтовые значения современных FreeBSD — sendspace=32768 и recvspace=57344. (Насколько я понимаю, у старых было меньше 32k). Пробовал увеличить до 65536 — вроде косяков не заметил…

net.inet.tcp.sendspace=65536 — размер `окна` отправки

net.inet.tcp.recvspace=65536 — размер `окна` приёма

net.link.ether.inet.max_age=1200 — время устаревания записей ARP, в секундах. По истечении этого времени запись удаляется. Тоже помогает против соответствующего типа атаки — когда в таблице ARP создаётся много неверных записей. По дефолту оно 1200 и есть, но возможно, имеет смысл, уменьшить это значение.

net.inet.ip.sourceroute=0 и net.inet.ip.accept_sourceroute=0 — При помощи маршрутизации отправителя (это когда в пакете, ещё и маршрут нарисован, по которому его надо дальше передавать) возможно прощупать вашу внутреннюю сеть снаружи (даже если это частная сеть!). Значения по-умолчанию (0) запрещают такое делать. Так что менять не надо.

net.inet.icmp.bmcastecho=0 — Установка в этого пункта в `0` (а по-умолчанию он так и стоит) зарубает ICMP-сообщения типов 0 и 8 (эхо-запрос и эхо-ответ) на широковещательном адресе.

net.inet.icmp.maskrepl=0 — Также, с помощью icmp можно запросить маску Вашей сети, и узнать её размер (не то, чтобы прям такая ценная инфа, но облегчать работу противника не надо ни в чём.).
По умолчанию этот параметр в `0` — что запрещает такие запросы. Не надо его ставить в `1`
# net.inet.tcp.msl=15000 — Есть такая феня, как максимальное время жизни сегмента (Maximum Segment Life — MSL) — максимальное время ожидания ASK в ответ на SYN-ACK или FIN-ACK (миллисекунд). По RFC 753 оно 120 секунд. Но это писалось в 1979 году и многое поменялось. В современных FreeBSD оно равно 30 секунд. Имеет смысл поставить его меньше.

net.inet.icmp.icmplim=100 — Для уменьшения урона от атак, при который генерится много ответных пакетов, можно поставить ограничение на количество ICMP тип 3 (адресат недостижим) и TCP RST (перезагрузка соединения). По дефолту оно стоит 200. Можно поставить меньше.

security.bsd.see_other_uids=0 и security.bsd.see_other_gids=0 — Для увеличения безопасности машин, на которые есть шелл у других пользователей, можно сделать так, чтобы каждому пользователю показывались только его процессы, а чужие он невидел. На 4.11 такого пункта нет, в 6.0 есть. Пятую ветку надо проверять. По дефолту значение `1` — все всё видят. Если поставить `0` — то только свои процессы.

security.bsd.conservative_signals=0 — Запрет посылать сигналы, от непривелигированных процессов, процессам которые сменили свой uid/gid.

security.bsd.unprivileged_proc_debug=0 — Непривелигированные процесы могут использовать средства отладки процессов.

security.bsd.unprivileged_read_msgbuf=0 — непривелигированные процессы могут читать буфер сообщений ядра (dmesg).

security.bsd.hardlink_check_uid=0 — непривелигированные процессы не могут делать жёсткие ссылки на файлы других пользователей.

security.bsd.hardlink_check_gid=0 — непривелигированные процессы не могут делать жёсткие ссылки на файлы других групп.
vfs.usermount=0 — возможность непривелигированным пользователям монтировать и отмонтировать устройства (при условии соответсвующих прав на устройство и точку монтирования).

net.inet.tcp.log_in_vain=0 и net.inet.udp.log_in_vain=0 — Логгирование всех попыток подключения к портам которые никто не слушает (в M$-сетях, чревато большим потоком логов… Да и в инете тоже..)

net.inet.tcp.sack.enable=0 — тюнинг сетевой подсистемы — при большой нагрузке на запрсы отвечатеся селективно.

Выключаемся, вставляем новый диск (у меня он ad2). Он у меня немного поменьше, потому внимательно смотрим

$ df -m

- и думаем, какую файловую систему насколько можно ужать.
Подумали — можно приступать.

# sysinstall

идем в меню Configure->Fdisk, в нем удаляем существующие партиции и создаем одну новую на весь диск. Сложностей никаких. Есть тонкость — выходить нужно по Q, не нажимая W. (Если в задумчивости нажали, катастрофы нет — но перед следующей операцией придется перегружаться).

На вопрос про Boot Manager отвечаем Standard.

Переходим в пункт меню Label.

Здесь нас поджидает еще одна тонкость. Будущий корневой раздел должен быть создан с меткой ad2s1a, но sysinstall не позволяет задавать метку вручную, а при указании точки монтирования отличной от / автоматически присваеват имя ad2s1d. У меня сработала такая последовательность: сперва создал раздел с точкой монтирования / — и он получил правильную метку, а потом нажал M — и изменил точку монтирования на /tmp/root.

Далее без каких-либо сложностей создаются раздел подкачки ad2s1b и файловые системы с точками монтирования /tmp/usr и /tmp/var (соотношение меток и точек монтирования сверяйте с вашим /etc/fstab — если, конечно, у вас нет охоты переделать все по-новому).
Выход из Label нажатием W (появляется большое ругательное окно, с вопросом, понимаете ли вы, что творите. Нужно ответить Yes) и потом Q.

Выходим из sysinstall и смотрим на новые файловые системы:

$ mount

Теперь переносим на них содержимое старого диска:

# cd /
# find . -xdev -print | cpio -p -m /tmp/root
# cd /usr
# find . -xdev -print | cpio -p -m /tmp/usr
# cd /var
# find . -xdev -print | cpio -p -m /tmp/var

Чтобы веселее было ждать конца копирования, у cpio можно добавить опцию —verbose
(команда копирования может быть и такой:

pax -rw -X -pe . /tmp/root

— так короче, но вариант find+cpio просто привычнее — и переносимее — кто-нибудь видел pax напр. под Linux? — про другие unix-like системы уже молчу).
Вот и весь процесс. Выключаемся, ставим новый диск на место старого — и грузим систему.

#
# File   : tcsh config for Frenzy 1.0
# Author : Sergei Mozhaisky (technix@frenzy.org.ua)
# 

setenv	EDITOR		vi
setenv	PAGER		more
setenv	BLOCKSIZE	K

set path = (/sbin /bin /usr/sbin /usr/bin /usr/local/sbin /usr/local/bin /usr/X11R6/bin $HOME/bin)

# if this is not interactive shell - exit
if ($?USER == 0 || $?prompt == 0) exit

set autocomplete
set autoexpand
set autolist
set filec
set ellipsis
#set nobeep
set listjobs
set rmstar
set prompt = "%{\033[31m%}%n@%m:%{\033[34m%}%c02%{\033[0m%}%# "
set prompt2 = "%R?"
set history = 10000
set savehist = (10000 merge)
set inputmode = insert
set symlinks = chase
limit coredumpsize 0
unset autologout
        set mail = (/var/mail/$USER)
        if ( $?tcsh ) then
                bindkey "^W" backward-delete-word
                bindkey -k up history-search-backward
                bindkey -k down history-search-forward
        endif

## Alias section
alias today     "date '+%Y%m%d'"
alias mess      'clear ; tail -f /var/log/messages'
alias ff        'find . -name $*'
alias h		'history 25'
alias j 	'jobs -l'
alias la	'ls -a'
alias lf	'ls -FA'
alias ll	'ls -lA'

# enter command name and press F1 to see man on this prog
alias helpcommand man

## Bindkey section

# F1 : help on command currently typed(if 'ls passwd', help on 'ls').
bindkey ^[[M run-help
bindkey [OP  run-help

if ($term == "xterm" || $term == "vt100" || $term == "vt102" || $term !~ "con*") then
# bind keypad keys for console, vt100, vt102, xterm
bindkey "\e[1~" beginning-of-line  # Home
bindkey "\e[7~" beginning-of-line  # Home rxvt
bindkey "\e[2~" overwrite-mode     # Ins
bindkey "\e[3~" delete-char        # Delete
bindkey "\e[4~" end-of-line        # End
bindkey "\e[8~" end-of-line        # End rxvt
else
# INSERT : toggles overwrite or insert mode.
bindkey ^[[L  overwrite-mode
bindkey ^[[2~ overwrite-mode        # for x
# DELETE : delete char at cursor position.
bindkey ^?    delete-char
bindkey ^[[3~ delete-char           # for x
# HOME : go to the beginning of the line.
bindkey ^[[H beginning-of-line
# END : go to the end of the line.
bindkey ^[[F end-of-line
endif

Для того, что бы история сохранялась более надёжно (не только по команде exit) нужно добавить в файл .logout строчку

history -S

ports, packages.

Packages или пакеты, это уже собранные(binaries — исполняемый код) пакеты
для того или иного FreeBSD RELEASE из портов для этих RELEASE.

Порты постоянно обновляются, поэтому готовые пакеты собираются и проверяются
только для выпускаемого RELEASE. Термин port — сокращение от portability,
портабельность, существует много программного обеспечения Freeware или под
лицензиями GPL (http://www.gnu.org/licenses/licenses.html) и «AS IS» BSD-лицензия (http://www.bsdnewsletter.com/bsd/license.html), команда разработчиков
FreeBSD занимается адоптацией или портированием такого программного обеспечения
для OS FreeBSD.

Это касательно портов, пакеты — это собранные порты за конкретную дату,
те(то есть) порты для выпущенного FreeBSD RELEASE. Обычно собранные для RELEASE
пакеты идут на 3 и 4′ом ISO-Images и доступны:

ftp://ftp.freebsd.org/pub/FreeBSD/releases/i386/ISO-IMAGES/X.Y[.Z]/

где X.Y[.Z] цифры соответствующие тому или иному релизу

или

ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-X.Y[.Z]-release/

в то время как полное дерево портов для каждого релиза можно взять:

ftp://ftp.freebsd.org/pub/FreeBSD/releases/i386/X.Y[.Z]-RELEASE/ports/ports.tgz

или используя cvsup:

- установить cvsupit из портов (/usr/ports/net/cvsupit/), а лучше взять
готовый пакет: cvsup16.1e
советую брать без GUI, гораздо удобнее использовать командную строку и
скрипты, например: скрипты cvsup

Совет: всегда сохраняйте сперва предыдущую копию портов, на всякий случай

отдельные порты можно выкачивать, например bash2:

сохраняем на всякий случай старый порт
# cd /usr/ports/shells
# mv bash2 bash2.old

выкачиваем свежий порт
# wget -Y off -t 0 -c -r -nH —cut-dirs=6 ftp://ftp.ru.freebsd.org/pub/FreeBSD/branches/-current/ports/shells/bash2/

когда выкачиваете отдельные порты, имейте ввиду что они могут требовать
других свежих портов, ищите в Makefile’е интересующего вас порта
ключевые слова DEPENDS, кроме этого могут изменяться *.mk файлы для утилиты
make: /usr/ports/Mk/, из-за чего возникают ошибки при сборке портов на этапе
разбора самого Makefile’а.

прим: чтобы не загружать основные сервера ftp.freebsd.org или cvsup.freebsd.org
используйте ближайшие к вам географические зеркала:

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/mirrors-ftp.html

man ports — всегда поможет и ответит на многие вопросы

дерево портов: /usr/ports/категория

конкретный порт: /usr/ports/категория/название_порта

содержимое директории порта:

/usr/ports/категория/название_порта/Makefile — файл сборки проекта
/usr/ports/категория/название_порта/distinfo — md5 контрольные суммы дистрибутивов которые будут собраны
/usr/ports/категория/название_порта/files — директория в которой содержатся freebsd-related патчи для данного программного продукта
/usr/ports/категория/название_порта/scripts — директория со скриптами создания дополнительной конфигурации или зависимого Makefile.inc

файлы:

pkg-comment — краткое описание данного продукта
pkg-desc — чуть более расширенное описание данного продукта
pkg-plist — список всего что будет установлено в систему посредством make install
pkg-message — важное сообщение которое будет выдано после make install
pkg-install — обычно скрипт дополнительняющий набор необходимых действий при «make install»

терминология структуры портов:

/usr/ports — все дерево портов
/usr/ports/INDEX — список всех портов
/usr/ports/INDEX.db — база портов
/usr/ports/README — прочти меня
/usr/ports/distfiles — место куда будет затягиваться дистрибутив необходимый для сборки порта
/usr/ports/Mk — необходимые make includes файлы для сборки портов в дополнение к /usr/share/mk

обычный или mini-port — обычный порт
мета, meta-port — порт большого программного продукта, в реалии пустышка из нескольких mini-port’ов необходимых для сборки ПОЛНОГО meta-port’а.

прим.: когда то вместо meta портов, были мега порты, которые удобней
было собирать в отличие от мета портов, имейте ввиду что для сборки XFree86,
mozilla, openoffice вам понадобится очень много free-space и возможно
потребуется переопределить рабочую директорию через переменную WRKDIR.

Например:

/usr/ports/x11/XFree86-4 — это мета-порт объединяющий установку нескольких
мини-портов необходимых для установки всего XFree86-4, список мини-портов
указан в /usr/ports/x11/XFree86-4/Makefile

прим.: если у вас уже установлен предыдущий порт XFree86-4, и вы скачали
новый и хотите его установить, лучше удалить предыдущий XFree86 и все его
depends, в этом случае проблем не будет.

Сборка:

1) cd /usr/ports/категория/название_порта

2) make

по команде make, будет просматриваться содержимое /usr/ports/distfiles
на предмет наличия в нем дистрибутива[ов] cat distinfo, если таковые
отсутствуют там, будет производиться скачивание данного дистрибутива
с основного сайта: ftp.freebsd.org.

Управлять этим процессом можно определив ряд необходимых переменных
в файле /etc/make.conf (который создается на основе /etc/defaults/make.conf)

MASTER_SITE_BACKUP?= \
ftp://ftp.freebsd.org/pub/FreeBSD/ports/distfiles/${DIST_SUBDIR}/

закоментарим две верхние строчки и зададим ближайший к нам сайт с зеркалом
distfiles, например:

#MASTER_SITE_BACKUP?= \
# ftp://ftp.freebsd.org/pub/FreeBSD/ports/distfiles/${DIST_SUBDIR}/
#—lavr

MASTER_SITE_BACKUP?= \
ftp://ftp.ru.freebsd.org/pub/FreeBSD/ports/distfiles/${DIST_SUBDIR}/

MASTER_SITE_OVERRIDE?= ${MASTER_SITE_BACKUP}

MASTER_SORT_REGEX?= ^file: ^ftp://ftp\.FreeBSD\.org/pub/FreeBSD/ports/local-distfiles/ ://[^/]*\.ru/ ://[^/]*\.ru\.

если у нас выход в Internet через PROXY, определяем следующие переменные
в том же файле, если PROXY с авторизацией, man 3 fetch:

FETCH_ENV= FTP_PROXY=ftp://10.0.0.1:21
FETCH_ENV= HTTP_PROXY=http://10.0.0.1:80

При сборке портов можно использовать много полезных переменных среды,
полезно в тех или иных случаях:

# less /usr/share/mk/bsd.README
# less /usr/ports/Mk/bsd.port.mk

# man ports

некоторые наиболее полезные переменные:

- PORTSDIR
- WRKDIR
- DISTDIR
- PREFIX
- BATCH

с их помощью можно изменять директории структуры портов, местонахождения
sources, рабочую директории для сборки, путь установки и тд и тп.
При сборке порта, как уже было сказано, ищется дистрибутив, проверяется
его контрольная сумма по md5:

имя дистрибутива обычно указыватся в файле distinfo, например, рассмотрим
mpg123 из портов:

[alone]~ > ls -la /usr/ports/audio/mpg123
total 24
drwxr-xr-x 3 root wheel 512 Feb 11 12:21 .
drwxr-xr-x 336 root wheel 6656 Feb 12 12:04 ..
-rw-r—r— 1 root wheel 2662 Feb 11 12:21 Makefile
-rw-r—r— 1 root wheel 268 Apr 10 2001 distinfo
drwxr-xr-x 2 root wheel 512 Feb 11 12:21 files
-rw-r—r— 1 root wheel 52 Jul 10 1997 pkg-comment
-rw-r—r— 1 root wheel 242 Aug 5 1999 pkg-descr
-rw-r—r— 1 root wheel 11 Aug 17 1998 pkg-plist
[alone]~ >

Makefile — проект сборки
distinfo — файл содержаший md5 контрольные суммы дистрибутива, той или иной
версии, патчи и другие необходимые sources:

[alone]~ > cat /usr/ports/audio/mpg123/distinfo
MD5 (mpg123-0.59r-pl1.tar.gz) = 2648708fac9203ef58292adf5e54e4ba
MD5 (mpg123-059r-v6-20000713b.diff.gz) = b830cefc8805c8ad827f73985c03d27f
MD5 (l3.diff.gz) = b8749f4709ed1a9df8a00d51c4a02dd5
MD5 (mpg123-059r-recode-20010410.diff.gz) = 8f9e18cf27f9e048c5369cf3b78b6b11
[alone]~ >

files — если в порту есть такая директория, она обычно содержит патчи и
дополнительные файлы конфигурации данного порта

pkg-comment и pkg-descr — файлы описания данного порта-продукта, короткое
описание и более полное

pkg-plist — это список всех файлов которые будут установлены в систему
относительно пути в PREFIX и некоторые дополнительные действия которые
будут произведены при `make install`

3) make install

после успешной сборки п.2, произвести установку собранного продукта в
систему, обычно: PREFIX=/usr/local, где /usr/local — альтернативная
структура базовой системы: «/», «/etc», «/bin», «/sbin», «/usr/lib» и тд

4) make clean

удалить все что осталось после сборки, обычно директорию work в данном
продукте и всех зависимостях которые были собраны и автоматически установлены при сборке данного продукта

Удалить установленные порты или пакеты можно:

# make de-install или man pkg_delete

при сборке порта, в пункте 2)

make — производит несколько операций, скачивание, накладывание патчей,
конфигурирование проекта перед сборкой и саму сборку, при необходимости,
мы можем выполнять по шагам вместо make:

make fetch
make checksum
make depends
make extract
make patch
make configure
make build

все вышеуказанные действия могут быть выполнены самостоятельно и по шагам,
допустим мы хотим поправить некий порт под себя, шаги:

- скачиваем порт:
# make fetch
- проверка контрольной суммы дистрибутива:
# make checksum
- разврачиваем дистрибутив в рабочую директорию, у большинства портов это
директория /usr/ports/category/portname/work
# make extract
- если используется многоплатформенный гнушный конфигуратор configure
# make configure

теперь мы можем наложить свои патчи, затем при помощи команды diff создать
нужные нам правки: файлы patch-xy, где xy — это буквы aa/ab/ac/… и тд и тп
и положить их в директорию files — все порт с нашими правками готов, теперь
можно его очистить:
# make clean
и собрать по шагам, чтобы убедиться что нет ошибок или затратить меньше
времени на их исправления, все — наш порт, порт с нашими правками готов.

чтобы в реалии не выполнять make, а лишь посмотреть что будет сделано:

# make -n [install|или другие опции]

иногда удобно в командной строке задать все необходимые команды (см. используемый вами SHELL):

# cd /usr/ports/категория/название_порта
# make && make install && make clean

однако некоторые порты требуют интерактивного вмешательства, чтобы
этого не произошло, необходимо посмотреть Makefile, записать все
необходимые опции с которыми мы будем собирать данный порт и выполнить:

make WITH_ИМЯОПЦИИ=yes WITHOUT_ИМЯОПЦИИ=yes BATCH=yes install && make clean

BATCH=yes обеспечивает пакетную сборку порта.

Материал для изучения:

http://www.freebsd.org/doc/en_US.ISO8859-1/books/porters-handbook/index.html

http://www.FreeBSD.org.ua/porters-handbook/ — на русском

прим.: конечно можно и нужно удалять то что осталось после сборки портов,
глобально:

# cd /usr/ports
# make clean

можно для каждой категории:

# cd /usr/ports/category
# make clean

зависимости тоже будут удалены, но все это очень долгая история, лично мне
удобнее прежде посмотреть, что не было очищено после установки того или иного
порта:

# find /usr/ports/ -name «work» -print
или
# find /usr/ports/ -name «.instal*» -print

после чего без всякий `make clean` — это ну очень долго, использовать:

# find /usr/ports/ -name «work» -exec rm -rf {} \;

все что нужно удалено, быстро и удобно.

После установки портов и пакетов, в директории /var/db ведется база
установленных пакетов и портов (для последних можно использовать переменную

FORCE_PKG_REGISTER= YES

в файле /etc/make.conf, это очень удобно.

в директории /var/db/pkg — можно найти весь список портов, это директории
с именами: /var/db/pkg/PortName-Version, внутри которых есть несколько
информативных файлов, например:

[alone]~ > ls -la /var/db/pkg/mpg123-esound-0.59r_8/
total 28
-rw-r—r— 1 root wheel 52 Feb 11 12:05 +COMMENT
-rw-r—r— 1 root wheel 660 Feb 11 12:05 +CONTENTS
-rw-r—r— 1 root wheel 242 Feb 11 12:05 +DESC
-r—r—r— 1 root wheel 7457 Feb 11 12:05 +MTREE_DIRS
-rw-r—r— 1 root wheel 14 Feb 16 21:28 +REQUIRED_BY
drwxr-xr-x 2 root wheel 512 Feb 16 21:28 .
drwxr-xr-x 371 root wheel 9728 May 22 15:47 ..
[alone]~ >

если вспомнить описанную ранее структуру порта:

+COMMENT — комментарий (pkg-comment)
+CONTENTS — то что было установлено в систему (pkg-plist)
+DESC — описание (pkg-descr)
+MTREE_DIRS — дерево с указанием владельца и режимов файлов и директорий
+REQUIRED_BY — если есть, то для какого порта или пакета, данный програмный
продукт был зависимостью

Packages — пакеты.

Всё, что ей для этого необходимо это snp модуль, который достаточно собрать из сурцов а программа сама его подгрузит:

# cd /usr/src/sys/modules/snp/
# make && make install

Теперь выбираем цель:

# w
9:16PM up 55 days, 52 mins, 2 users, load averages: 0.08, 0.06, 0.00
USER TTY FROM LOGIN@ IDLE WHAT
nlo1 p0 nlo.habr.ru 9:06PM - w
nlo2 p1 nlo.habr.ru 9:16PM - -bash (bash)

И подсматриваем за интересной нам консолью(TTY).

# watch p1

Принцип данной реализации следующий. Весь сетевой софт на компе (ну или не весь) форвардится на назначенный порт (вашего локалхоста), на котором висит сервис, соединенный по SSH с сервером (а как мы знаем, соединение по SSH протоколу шифруется) и туннелирующий все запросы; далее, весь ваш трафик (уже не в зашифрованном виде) может форвардится с нашего сервера на прокси (поддерживающий туннерирование) или сокс, который передают весь трафик к необходимым адресам. Наличие прокси или сокса не обязательно, но если нам нужна полнейшая конспирация, то мы можем организовать данный сервис (proxy/socks) на другом сервере (данная схема нужна для создания цепочки адресов), но об этом позже.

Теперь давайте разберемся с минимальным набором инструментов и сервисов необходимых для организации данного процесса. В первую очередь нам нужна программа для организации туннеля по SSH-протоколу. Для этой задачи мы можем применить VanDyke Entunnel (http://www.vandyke.com/products/entunnel/) или Putty (http://www.web-hack.ru/download/info.php?go=35) (вкладка Connection\SSH\Tunnels). В наших примерах я буду использовать оба клиента. Далее мы можем вручную прописывать в каждой программе работу через прокси или использовать специализированную программу для перенаправления запросов, такую как ProxyCap (http://proxylabs.netwu.com), SocksCap (http://www.socks.nec.com), FreeCap (http://www.freecap.ru) и т.п. В нашем примере будет использоваться ProxyCap, как наиболее удобная софтина (кстати, через ProxyCap мы сможем сделать туннерирование даже WebMoney, которая известна защитой от такого вида софта, для скрытия IP). Так же нам понадобится SSH-аккаунт (на сервере желательно расположенном за пределами вашей страны =), который можно без проблем достать (например, я покупаю VPS-хостинг для этого) и socks`ы.

Первым делом создаем SSH-аккаунт. Далее, я предлагаю вам использовать socks-сервер, а не proxy, т.к. не все прокси поддерживают туннелирование. Также может оказаться, что сегодня прокси анонимный, а завтра уже и не нет (если, конечно, не вы сами отвечаете за него). Кстати, проверить свою анонимность можно здесь (http://ip.xss.ru). Как я уж говорил, мы можем использовать сокс на удаленной машине (для большей безопасности). Для примера я покажу, как установить сокс-демон. Наиболее популярные и продвинутые демоны под никсы это socks5 от Permeo/NEC (http://freeware.sgi.com/source/socks5/), Dante (http://www.inet.no/dante/) и отечественный продукт 3proxy (http://www.security.nnov.ru/soft/3proxy/). Для примера я выбрал классический демон на FreeBSD — socks5.

Для тестирования использовалась FreeBSD 5-ой ветки. Я устанавливал socks5 из портов (/usr/ports/net/socks5/), но и из сорцов под фряхой тоже все хорошо собирается и ставится:

cd /usr/ports/net/socks5/
make install clean
rehash

Для нормальной работы демона необходим конфиг к демону socks5.conf и файл паролей socks5.passwd (если необходима аутификация к сокс-серверу по паролю):

touch /usr/local/etc/socks5.conf
touch /usr/local/etc/socks5.passwd

Далее добавляем в конфиг следующие строчки:

auth - - u
permit u - - - - -
SET SOCKS5_BINDINTFC 1.2.3.4:8080
SET SOCKS5_CONFFILE /usr/local/etc/socks5.conf
SET SOCKS5_PWDFILE /usr/local/etc/socks5.passwd
SET SOCKS5_MAXCHILD 128
SET SOCKS5_NOIDENT
SET SOCKS5_NOREVERSEMAP
SET SOCKS5_NOSERVICENAME
SET SOCKS5_V4SUPPORT
SET SOCKS5_ENCRYPT
SET SOCKS5_FORCE_ENCRYPT
SET SOCKS5_UDPPORTRANGE 1023-5000

Первые две строчки указывают, что необходима аутификация по логин/пароль. SOCKS5_BINDINTFC указывает на какой IP (если у сервера несколько алиасов) и порт повесить демон. SOCKS5_MAXCHILD по умолчанию 64, я советую увеличить до 128, чтобы всем юзерам (если их много) хватило потоков. Далее, идут строчки для ускорения работы демона. SOCKS5_V4SUPPORT — поддержка 4-ой версии протокола. SOCKS5_ENCRYPT и SOCKS5_FORCE_ENCRYPT поддержка шифрования, если клиент это поддерживает. За более подробной информацией по установка обращайтесь к файлам README и INSTALL, а за информацией по настройке к манам socks5(1) и socks5.conf(5).

Далее, заполняем файл паролей. Он имеет обычный текстовый формат и login/password разделяются в нем пробелами:

user password
root toor

Теперь можно запускать демон и приступить к настройке клиентского софта:

/usr/local/bin/socks5

Запускам ProxyCap (http://forum.web-hack.ru/index.php?showtopic=29262), кликаем правой кнопкой мыши на значке в трее, Preferences. На вкладке «Proxies» вписываем 127.0.0.1:8080 и устанавливаем в «Require Authorization» наш login/password на сокс. На вкладке «Rules» добавляем сначала правило для Entunnel, указав в «Rule Type» — Force direct connetion. Далее, создаем правило, для всего остального софта, трафик от которого будет шифроваться и туннелироваться через сокс. В правиле указываем «All Programs», «Tunnel through proxy» и в выпадающем меню наш сокс. Так же можно создать правило не для всего софта, а только выборочный софт пускать через туннель или наоборот, создать правило для всего софта, но для некоторого софта сделать прямой доступ в инет (Force direct connetion). В качестве дополнения могу сказать, что если ваша сетевая программа поддерживает работу через сокс/прокси (и нет необходимости пускать сразу весь сетевой софт через туннель), то в качестве настроек прокси вы можете указать забинденный Entunnel`ем адрес и порт — 127.0.0.1:8080.

Запускаем Entunnel и создаем в нем новое соединение по SSH. Далее, в свойствах соединения (Port Forwarding) добавляем наш сокс. В категории «Local» вписываем 127.0.0.1:8080, а в категории «Remote» вписываем IP и порт нашего сокс-сервера. Настройка закончена! Если что-то не работает, то еще раз перечитайте все пункты настройки.

В случае, если вы хотите использовать SSH-аккаунт, как конечную точку (т.е. не юзать соксы или прокси), то ваши настройки должны быть следующие (на примере для Putty): на вкладке Connection\SSH\Tunnels в строке «Source port» указываем порт, на который Putty забиндится на локалхосте (например, 8080), далее ставим влажок на «Dynamic» и идем на вкладку «Session» прописывать адрес и порт сервера с SSH. Коннектимся…

Какие плюсы данной системы:

1. Для организации данной схемы не нужно устанавливать серверный софт (т.к. SSH-аккаунт и сокс можно без проблем достать в инете);
2. Т.к. при SSH-соединении трафик шифруется и сжимается, то мы получаем небольшой прирост скорости работы в инете (это верно, когда сокс-демон находится на том же сервере);
3. В случае, когда сокс-сервер находится на другом хосте, то мы получаем дополнительную цепочку серверов, которые повышают нам безопасность и анонимность;

Cредства; 1, Достаточно мощный компьютер: — процессор+оперативная память+обьёмный винчестер+сетевая карта = должны быть хорошими по характеристикам и достаточно современными, 2, Постоянное соединение с быстрым интернетом, 3. Зарегестрированное имя домена и наличие DNS (Domain Name Server). на котором этот домен припаркован,

Начали: Грузим OS http://www.ubuntu.com/getubuntu/download Здесь надо выбрать OS соответствующую архитектуре железа: x86 или AMD64. Я буду писать для AMD64, что впрочем подходит с небольшими изменениями и для x86 После того, как файл загрузился, надо записать его в том же формате т.е. .iso, чтобы с него можено было запускать компьютер.

Надеюсь всё прошло хорошо и сомпьютер запустился с СДишки. Предупреждаю, компьютер должен быть отведен специально для цели служить СЕРВЕРОМ. Т.е. всё, что было в нём прежде, будет утрачено !!!

Ubuntu установить очень просто, достаточно выбрать язык установки и следовать указаниям. Важно сделать правильную разметку диска. Для root или «/» достаточно 8 ГБ , swap расчитывается по формуле active RAM x 2. т.е. если общий размер оперативной памяти составляет 1 ГБ, то swap должен быть не меньше 2 ГБ. Остальное пространство отдадим /home. Там будет сидеть всё хозяйство сервера.

После того как система задышала и ты в неё вошёл первым делом добавь терминал на панель. Ну и понеслись: (Я буду писать коды для терминала, тебе надо их скопировать, вставить и нажать «enter». Свои пояснения я буду отделять запятыми, скобками или кавычками, чтобы программа их не распознала, даже если ты их по ошибке и введешь)

sudo apt-get update

sudo apt-get upgrade

(процесс получения обновлений, надо будет ввести пароль)

sudo aptitude install mysql-server

(ждём пока установится)

sudo mysql_secure_installation

(на все вопросы — yes и устанавливаем пароль, очень важно его не забыть и сделать достаточно сложныи)

(Установим дополнительные библиотеки)

sudo aptitude install build-essential libtool libltdl3-dev libgd-dev libmcrypt-dev libxml2-dev libmysqlclient15-dev flex m4 awk automake autoconf bison make libbz2-dev libpcre3-dev libssl-dev zlib1g-dev vim re2c libjpeg-dev libpng-dev

(Мы будем собирать PHP с PHP-FPM заплаткой из источника.)

cd /usr/local/src

wget http://us.php.net/get/php-5.2.10.tar.gz/from/ru.php.net/mirror

tar xzvf php-5..10.tar.gz

wget php-fpm.org/downloads/php-5.2.10-fpm-0.5.13.diff.gz

gzip -cd php-5.2.10-fpm-0.5.13.diff.gz | patch -d php-5.2.10 -p1

cd php-5.2.10

./configure —enable-fastcgi —enable-fpm —enable-exif —with-mcrypt —with-zlib —enable-mbstring —with-openssl —with-mysql —with-mysql-sock —with-gd —with-gettext —with-jpeg-dir=/usr/lib —enable-gd-native-ttf —without-sqlite —disable-pdo —disable-reflection —with-libdir=lib64 —with-pgsql=/usr/lib/pgsql —with-mysql=/usr/lib64/mysql

(Если сборка будет жаловаться, что не хватает чего то, то можно будет найти и установить недостающее через Synaptic)

make all install

strip /usr/local/bin/php-cgi

( Теперь отрегулируем PHP-FPM, о котором хочу сказать особо. Php-fpm — это продукт напряжённого бескорыстного труда нашего соотечественника Андрея Нигматулина, И этим продуктом, как и NGINXом от Игоря Сысоева, уже пользуются миллионы админов по всему миру, несмотря на то, что мало кто из из них говорит и понимает по русски и что отсутствует подробная документация. Золото видно издалека …. И цена его понятна на любых языкахMoney mouth )

sudo gedit /usr/local/etc/php-fpm.conf

(линия 63 убрать стрелки и тире перед и за кодом и поменять nobody на)

www-data

( то же самое для линии 66)

www-data

(Устанавливаем NGINX web server)

cd /usr/local/src

wget sysoev.ru/nginx/nginx-0.7.61.tar.gz

tar xzvf nginx-0.7.61.tar.gz

cd nginx-0.7.61

(нам не нужны почтовые функции NGINX потому, что мы будем использовать внешний почтовый агент чтобы не нагружать сервер)

./configure —sbin-path=/usr/local/sbin —with-http_ssl_module —without-mail_pop3_module —without-mail_imap_module —without-mail_smtp_module

make

make install

(настроим NGINX)

sudo gedit /usr/local/nginx/conf/nginx.conf

(см. прикрерплённый файл)

http://vkimo.org/files/nginx.txt

(Обрати внимание на «root /home/TVOI FOLDER/$host;» — здесь надо указать путь к папке, где будет сидеть всё содержание сайта. «$host» это абсолютное значение, которое вытащит и опубликует любой сайт если он зарегестрирован, находится на работающем домайн найм сервере и сидит в отдельной папке в твоей домашней папке «TVOI FOLDER» под названием твоего сайта т.е. «moisite.com». А также на «server_name » Символ » _ » — это Изумительное по простоте и удобству решение автора NGINX Игоря Сысоева http://sysoev.ru/nginx/ способа адресовать виртуальные хосты. Apache и даже Lighttpd здесь отдыхают плотно.

Теперь создадим место для содержимого нашего вебсайта и изменим соответственно /home/TVOI FOLDER/$host

sudo mkdir /home/www

sudo mkdir /home/www/точное название твоего сайта (мойсайт.ru)

sudo chmod -R tvoeimya:tvoeimya /home/www/moisite.ru (tvoeimya надо поменять на имя пользователя, под которым ты работаешь в своём сервере, Это даст тебе возможность управлять содержимым папки сайта без необходимости входить в сервер под привелегированным пользователем — root.

(Создадим также два файла внутри папки сайта)

gedit /home/www/moi site.ru/index.html

(вставить в пустой файл что-нибудь вроде — Это мой первый сайт !!! )

gedit /home/www/moisite.ru/info.php

(Вставить этот код в пустой файл сохранить и закрыть)

phpinfo();
?>

Продолжаем: надо отрегулировать fastcgi_params)

sudo gedit /usr/local/nginx/conf/fastcgi_params

(и в самый верх добавляем)

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

(а также выключаем, ставим «#» перед #fastcgi_param REDIRECT_STATUS 200; примочку для арача потому что мы его здесь не имеем )

(Полируем PHP код)

sudo gedit /usr/local/lib/php.ini

(вставить это в пустой файл)

_________________________________________________________________________________________

magic_quotes_gpc=0
[xcache-common]
#zend_extension = /usr/local/lib/php/extensions/no-debug-non-zts-20060613/xcache.so
[xcache]
#xcache.shm_scheme = «mmap»
#xcache.size = 64M
default_charset = “utf-8″
[memcache]
#extension = memcache.so
#memcache.hash_strategy=»consistent»
[memcache]
[suhosin]
#extension = suhosin.so
#extension = apc.so
#apc.shm_size = 48
[suhosin]
; For Unix only. You may supply arguments as well (default: «sendmail -t -i»).
sendmail_path = /usr/sbin/sendmail -i -t
upload_max_filesize=8M
[eaccelerator]
#zend_extension=»/usr/local/lib/php/extensions/no-debug-non-zts-20060613/eaccelerator.so»
#eaccelerator.shm_size=»16″
#eaccelerator.cache_dir=»/tmp/eaccelerator»
#eaccelerator.enable=»1″
#eaccelerator.optimizer=»1″
#eaccelerator.check_mtime=»1″
#eaccelerator.debug=»0″
#eaccelerator.filter=»"
#eaccelerator.shm_max=»0″
#eaccelerator.shm_ttl=»0″
#eaccelerator.shm_prune_period=»0″
#eaccelerator.shm_only=»0″
#eaccelerator.compress=»1″
#eaccelerator.compress_level=»9″
[eaccelerator]

_________________________________________________________________________________________

(Как видно, большинство примочек выключено. Это на потом, потому что ни одна из тех примочек ещё у тебя не установлена. Мы это сделаем позже)

(Надо попробовать стартануть php-fpm)

php-fpm start

(Теперь NGINX)

nginx

(Если ошибок нет — будь горд собой !!!)

(Надо теперь сделать так чтобы оба сервиса запускались автоматически вместе с запуском сервера)

cd /etc/init.d/

ln -s /usr/local/sbin/php-fpm php-fpm

/usr/sbin/update-rc.d -f php-fpm defaults

(Это было просто для php-fpm, немного сложнее для NGINX)

sudo kill `cat /usr/local/nginx/logs/nginx.pid`
sudo gedit /etc/init.d/nginx
(и вставить этот код в пустой файл)

_________________________________________________________________________________________

### BEGIN INIT INFO
# Provides: nginx
# Required-Start: $all
# Required-Stop: $all
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: starts the nginx web server
# Description: starts nginx using start-stop-daemon
### END INIT INFO

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
DAEMON=/usr/local/sbin/nginx
NAME=nginx
DESC=nginx

test -x $DAEMON || exit 0

# Include nginx defaults if available
if [ -f /etc/default/nginx ] ; then
. /etc/default/nginx
fi

set -e

case «$1″ in
start)
echo -n «Starting $DESC: »
start-stop-daemon —start —quiet —pidfile /usr/local/nginx/logs/nginx.pid \
—exec $DAEMON — $DAEMON_OPTS
echo «$NAME.»
;;
stop)
echo -n «Stopping $DESC: »
start-stop-daemon —stop —quiet —pidfile /usr/local/nginx/logs/nginx.pid \
—exec $DAEMON
echo «$NAME.»
;;
restart|force-reload)
echo -n «Restarting $DESC: »
start-stop-daemon —stop —quiet —pidfile \
/usr/local/nginx/logs/nginx.pid —exec $DAEMON
sleep 1
start-stop-daemon —start —quiet —pidfile \
/usr/local/nginx/logs/nginx.pid —exec $DAEMON — $DAEMON_OPTS
echo «$NAME.»
;;
reload)
echo -n «Reloading $DESC configuration: »
start-stop-daemon —stop —signal HUP —quiet —pidfile /usr/local/nginx/logs/nginx.pid \
—exec $DAEMON
echo «$NAME.»
;;
*)
N=/etc/init.d/$NAME
echo «Usage: $N {start|stop|restart|force-reload}» >&2
exit 1
;;
esac
exit 0

_________________________________________________________________________________________

(разумеется его надо сохранить, закрыть и сделать исполняемым)

sudo chmod +x /etc/init.d/nginx
sudo /usr/sbin/update-rc.d -f nginx defaults

(Увидишь примерно такой выход):

Adding system startup for /etc/init.d/nginx …
/etc/rc0.d/K20nginx -> ../init.d/nginx
/etc/rc1.d/K20nginx -> ../init.d/nginx
/etc/rc6.d/K20nginx -> ../init.d/nginx
/etc/rc2.d/S20nginx -> ../init.d/nginx
/etc/rc3.d/S20nginx -> ../init.d/nginx
/etc/rc4.d/S20nginx -> ../init.d/nginx
/etc/rc5.d/S20nginx -> ../init.d/nginx

(Последнее в этом уроке:

Если мы ожидаем хорошее движение на сайте, то необходимо создать файл для logrotate, который автоматически будет сжимать и удалять старые файлы и давать нам возможность контролировать кто бывал на нашем сайте)
sudo gedit /etc/logrotate.d/nginx

(вставить это в пустой файл и сохранить)

_________________________________________________________________________________________

/usr/local/nginx/logs/*.log {
daily
missingok
rotate 9
compress
delaycompress
notifempty
postrotate
kill -USR1 `cat /usr/local/nginx/logs/nginx.pid`
endscript
}

1) создаем открытый и закрытый ключ нашей локальной системы
$ ssh-keygen -t rsa
жмем энтер отказываясь от ключевой фразы

2) если в системе есть программа ssh-copy-id, то настраиваем удаленную систему на то, что бы оно авторизировало ssh по открытому ключу
$ ssh-copy-id -i ~/.ssh/id_rsa user@remote.org.ua
переходим к шагу 4)

3) если ssh-copy-id нет то можно сделать это ручками. вот последовательность действий с объяснениями

3.1) копируем открытый ключ на удаленную систему
$ scp ~/.ssh/id_rsa.pub user@remote.org.ua:~ незабываем ввести пароль. ведь мы еще не настроили беспарольный вход Ж:-)

3.2) логинимся на удаленный сервер
$ ssh user@remoute.org.ua

3.3) заносим открытый ключ нашей локальный системы в авторизированые ключи удаленной системы, устанавливаем правильные права и убираем за собой мусор:
remote$ [ -d ~/.ssh ] || (mkdir ~/.ssh; chmod 711 ~/.ssh) # создадим ~/.ssh директорию если ее нет и дадим нужные права
remote$ cat ~/id_rsa.pub >> ~/.ssh/authorized_keys # добавляем открытый ключ к авторизированым ключам
remote$ chmod 600 ~/.ssh/authorized_keys # и делаем правильные права(иначе ssh откажется брать отсюда ключи)
remote$ rm ~/id_rsa.pub # удаляем ненужное

4) проверяем что все работает. запускаем на локальном хосту
$ ssh user@remoute.org.ua
или например
$ scp .zshrc user@remoute.org.ua:~
должно сработать без пароля.