标签: freebsd

我想将我的根服务器的访问权限授予外部系统管理员，但我想确保仔细检查他对我的服务器所做的事情，例如复制我不希望他们做的数据等等。我还想跟踪访问的任何文件，即使是只读且未编辑的文件。

我怎样才能做到这一点？

自从更换处理器后，我更新了这篇文章，但我的问题的核心（不幸的是结果也是如此）是相同的。

我构建了我的第一个 FreeNAS 盒子，并想使用 ECC RAM，因为我想存储关键数据。因为我的预算有限，所以我想寻找仍然支持 ECC RAM 的最实惠的解决方案。

经过一番研究，我发现我需要一个支持 ECC 的主板、内存和 CPU。我选择的主板是“Gigabyte X150M-Pro ECC”，它有 C232 芯片组、DDR4 和 LGA1151 插槽。

我还购买了由金士顿制造的两个 DIMM 套件，型号为“KVR21E15S8K2/8”（规格表）。技嘉发布了一份经过测试的内存模块列表，我的模块似乎支持工作 ECC（支持模块列表）。

由于我的预算有限，我需要一个支持 ECC 的经济实惠的 Skylake CPU。根据英特尔的说法，赛扬 G3900 确实支持 ECC，所以我选择了那个。

构建计算机后，我想验证我的系统是否确实使用 ECC 内存运行并进入了主板的 BIOS。从各种互联网站点，我发现有些主板有一个特殊部分，可以告诉 ECC 是否正常工作，但我的主板似乎没有。我检查了所有菜单，但找不到类似的部分。

在做了更多的研究之后，在 Unix&Linux stackexchange 上找到了一篇没有解决我的问题的帖子。我尝试了最新的memtest86+，据我所知，它甚至没有显示值“ECC”。我尝试了Puget 系统使用的较旧的 4.20 版本，该版本显示“ECC：关闭”。然而，在阅读了前面提到的帖子后，我怀疑它说的是实话（也许这就是该功能被删除的原因？）。两个版本也没有读出 DIMM 的正确速度和延迟，这增加了我对memtest86+.

另一种确定 ECC 是否正常工作的流行方法是发出dmidecode -t memory命令并读出Total Width和Data Width。我的结果分别是 …

我有一个特定的用例，我真的希望能够使用一个没有交互性的命令来更改用户的密码。这是以安全的方式完成的（通过 SSH，并且在只有一个用户能够登录的系统上），因此可以在命令行上公开新密码（甚至旧密码，如有必要）。FWIW，它是一个 Ubuntu 系统。

我只是想避免只为这一项任务向这个系统添加类似 Expect 的东西。

我想在 FreeBSD 9.1 中禁用邮件检查。我的登录 shell 是 BASH，所以我尝试添加

unset MAILCHECK

在/root/.bashrc和 中/root/.profile，但我仍然收到这些消息。

题

有没有办法摆脱这些消息？

我目前正在 RAIDZ1 卷中“重新组织”文件结构。将目录从一个数据集移动到另一个数据集，它们都包含在同一卷中。

SSH 进入机器并做了一个很好的老式：

mv * 目的地

这不应该是瞬间的吗？我知道它分布在三个驱动器上，但同时，文件本身并不真正需要移动 - 我只是希望它调整这些文件的指针，并且基本上是瞬时的。绝对不是。我有大约 500G 的数据要移动，它现在已经运行了大约半小时。oO

为什么不是近乎即时？

规格： CPU：Intel G3220
MB：Gigabyte GA-B85-HD3
MEM：Kingston DDR3-1600 8GB
磁盘：RAIDZ1 卷中的 3x2TB WD Green

我正在尝试example.filename在我的 FreeBSD 服务器上找到 的所有副本。最好/最简单/最有效的方法是什么？

我正在和几个朋友讨论的事情，我们无法弄清楚。在 FreeBSD 和 OpenSolaris/Solaris 中，当您对驱动器进行分区时，会创建一个覆盖整个磁盘的分区：

da0s1c
c0d0s2

例如，我的 OpenSolaris 服务器中主硬盘的输出：

xistence@Keyhole.network.lan:/dev/rdsk# prtvtoc /dev/rdsk/c4d0s2
* /dev/rdsk/c4d0s2 partition map
*
* Dimensions:
*     512 bytes/sector
*      63 sectors/track
*     255 tracks/cylinder
*   16065 sectors/cylinder
*    7296 cylinders
*    7294 accessible cylinders
*
* Flags:
*   1: unmountable
*  10: read-only
*
* Unallocated space:
*       First     Sector    Last
*       Sector     Count    Sector 
*           0     16065     16064
*
*                          First     Sector    Last
* Partition  Tag  Flags    Sector     Count    Sector  Mount Directory
       0      2 …

我已经使用 FreeBSD 大约 5 年了——服务器/桌面——我倾向于带着我的 apt-get/yum 升级一切习惯（我也管理 Debian/RHEL/Cent 盒子——我知道，我知道......无论平台如何，都应该更加挑剔）。所以它通常是：

portsnap fetch
portsnap update
portmanager -u

对于端口

有时后跟一个：

freebsd-update fetch
freebsd-update install

对于系统...等。然后在之后清理任何混乱......如果它们发生。

我意识到，这是一种相当过度的非 BSD 做事方式。您对 BSD 盒子的理念是什么？您是否运行 portaudit/portversion -- 检查输出然后在仔细考虑后更新（make deinstall ...等）？

我对 OpenBSD 还很陌生，我承认。我看到自己 cvsupping 端口树，运行“过时”脚本，然后只是升级关键端口——但不理会内核/二进制文件，每六个月升级一次。您是否修补/重新编译/重建内核、二进制文件 --- 为什么？

对于 BSD 机器上的关键服务（相当关键——这不是没有银行或医院），什么是保守的方法？您是否在 Linux 机器上使用类似的方法？我通常不会接触任何服务器上的内核，除非安全警报让我感到恐惧。

是的，有大量的文档和书籍——你们这些人实际上是做什么的？假设我们知道基础知识——智慧是什么？用例/环境和场景各不相同，利益相关者/利益相关者/用户也是如此。书籍和手册页涵盖了工具和用途，但缺乏实际应用。如果您知道涵盖它的书，请推荐一本书！

谢谢阅读！

布诺夫

结论~ 感谢所有花时间回答这篇文章的人。我现在的总体策略是遵循两个 BSD 的邮件列表，并且比过去更有选择性/更敏锐地进行更新。

FreeBSD ~ Portaudit 是一个很好的答案。有了邮件列表和勤奋的审计，我认为这将在这里很好地发挥作用。有趣的是，OpenBSD 和 FreeBSD 之间对端口的重视程度不同。

OpenBSD ~ 将遵循邮件列表并在认为关键的地方使用软件包工具（ pkg_info 和 pkg_add -u ）。升级：看起来您每年至少需要升级一次。他们支持最新版本加一个版本——所以现在是 4.8 和 4.7。

再次感谢。

我可以访问一个以前设置的 FreeBSD 盒子，上面有许多监狱。其中一个监狱是一个 SQL 服务器，它没有启用 ssh。

如何从主机访问该监狱上的 shell？（我拥有它的 root 权限。）

在我们公司，我们有大约100个可以上网的工作站，从上网来做私人工作和在社交网站上浪费时间的角度来看，每天的情况越来越糟。

心胸开阔 我不喜欢屏蔽 Facebook、YouTube 和其他类似网站，但我的同事每天都没有完成他们的任务，每当我查看他们的显示器时，他们正在运行 Internet Explorer 或 Mozilla Firefox，聊天以及诸如此类的事情。另一方面，当我们的互联网访问速度非常低时，我想阻止 YouTube。

以下是我的问题：

• 其他公司会屏蔽社交网站吗？
• 我是否需要专用设备，例如硬件防火墙或超级昂贵的路由器？或者我可以用我现有的 FreeBSD 6.1 自制路由器和两个 LAN 卡并配置 NAT 来像路由器一样工作吗？

我试图使用ipfw和 routerfirewall来做到这一点，但没有成功。我的代码看起来像：

ipfw add 25 deny tcp from 192.168.0.0/20 to www.facebook.com
ipfw add 25 deny udp from 192.168.0.0/20 to www.facebook.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny udp from 192.168.0.0/20 to www.dernek.
ipfw add 25 deny tcp from 192.168.0.0/20 to www.youtube.
ipfw add 25 deny udp from 192.168.0.0/20 to www.youtube.com

我能做些什么来解决这个问题？