Debian学习笔记

使用mount命令就可在Linux中挂载各种文件系统，如：

debian:~# mount -t vfat /dev/hda1 /mnt/hda1

上面这条命令就把/dev/hda1这个fat分区挂载到了/mnt/hda1目录下。“-t”参数指定文件系统类型，常见的文件类型见上面“Linux文件系统类型”一表的内容。在挂载硬盘时，还有一个“-o”参数，它可指定挂载文件系统时的一些选项，如：

mount命令的参数选项是很丰富的，以上介绍的只是常用一些功能，详细介绍请参考man手册。

使用mkfs命令可以创建文件系统，如：

debian:~# mkfs -t ext2 /dev/fd0 1400

这条命令在软盘上创建一个容量为1.44M的ext2文件系统。

使用fsck命令可以检查文件系统，如：

debian:~# fsck -t ext2 /dev/hda3

使用mkswap命令可以创建swap空间，如：

debian:~# mkswap -c /dev/hda4
debian:~# swapon /dev/hda4      #启用新创建的swap空间，停用可使用swapoff命令

设备文件是Linux中一种特殊的文件，它对应每种硬件设备，如硬盘、软驱等。它可以像文件一样对它进行读写操作。设备文件位于/dev目录下，/dev/hda代表第一个IDE硬盘，/dev/fd0代表第一个软驱。/dev/null是一个虚设的设备，它就像一个无底的黑洞，任何对/dev/null的写入都会成功，但数据会消失得无影无踪，没有任何反馈。所以我们经常把不想在屏幕显示的信息全部送到/dev/null中。下面是一个设备文件的信息：

brw-rw----  1 root disk 3, 0 2005-07-07 05:29 /dev/hda

大家注意文件的size列，它是由逗号分隔的两个数字（3，0），第一个值代表主设备号（major device number），第二个值代表次设备号（minor device number）。主设备号对应内核相应的功能，而次设备号对应由驱动程序管理的特定设备。所以同一类设备的主设备号都是相同的，次设备号则不同。内核根据主设备号将I/O的要求导向到适当的驱动程序上，而该驱动程序以次要编号来判断出指定要使用的设备。系统安装同，默认已安装了大部份的设备文件，在/dev目录下可查询到很多的设备文件。但有时我们也需新增一设备文件，这时我们可使用mknod命令，命令格式如下：

mknod -m permissions name type major minor
-m permissions参数可有可无，主要用于设置设备文件的权限
name是所要创建的设备名，要有完整的路径，如/dev/rhda
type是设备文件的类型，c代表字符设备，b代表块设备
major指定设备的主编号
minor指定设备的次编号

示例：
#  mknod -m 644 /dev/random c 1 8

使用dumpe2fs device | more可显示文件系统的详细信息。如：

debian:/var/log# dumpe2fs /dev/hdb1 |more
dumpe2fs 1.37 (21-Mar-2005)
Filesystem volume name:   <none>
Last mounted on:          <not available>
Filesystem UUID:          ef214b73-810a-4098-bf01-ab9a85d9c651
Filesystem magic number:  0xEF53
Filesystem revision #:    1 (dynamic)
Filesystem features:      filetype sparse_super
Default mount options:    (none)
Filesystem state:         not clean
Errors behavior:          Continue
Filesystem OS type:       Linux
Inode count:              3662848
Block count:              7323624
Reserved block count:     366181
Free blocks:              428630
Free inodes:              3470727
First block:              0
Block size:               4096
Fragment size:            4096
Blocks per group:         32768       #文件系统中每个块组的大小
Fragments per group:      32768
Inodes per group:         16352
Inode blocks per group:   511
Last mount time:          Thu Jul  7 20:09:57 2005
Last write time:          Thu Jul  7 23:42:51 2005
Mount count:              15
Maximum mount count:      30
Last checked:             Fri Jun 17 05:31:36 2005
Check interval:           2592000 (1 month)
Next check after:         Sun Jul 17 05:31:36 2005
Reserved blocks uid:      0 (user root)
Reserved blocks gid:      0 (group root)
First inode:              11
Inode size:               128

superblock是每个分区中最重要的信息，如果分区的superblock信息被破坏，则分区就不能使用。所以每个分区的superblock都被备份了。如果ext2文件系统的块组大小是32768，则superblock备份就存放在以32769开始的块组中。使用e2fsck -f -b 32769 /dev/hdb1就可用superblock备份信息修复文件系统的superblock

Linux系统以安全性高著称，它有完善的文件和目录权限控制机制。使用ls -l命令可查看系统中文件和目录的权限。如：

debian:~# ls -l
drwxr-xr-x   3 root     root       4096 2005-05-05 02:01 SAPGUI
-rw-r--r--   1 root     root      66842 2005-03-27 17:20 Screenshot.png
-rw-r--r--   1 root     root         72 2005-03-03 20:24 setup.log
-rwxr-xr-x   1 root     root        268 2005-03-13 15:44 test
...

最左边的一串字符是文件和目录的权限控制字符串，权限字符串的第一个字母代表文件类型，不同字符代表不同的意思：

后面9个字符分成三组，分别代表user(用户)，group(组)和other(其它)的许可权限。每组有三个权限位，代表具体的权限：

常用目录权限设置

当我们在linux中创建一个文件或目录时，系统通过umask环境变量来控制默认的权限位设置。umask的值多为022，在profile文件里设置。设置格式如下：

...
umask 022
...

在umask值的2表示屏蔽写权限，7表示屏蔽读写权限。最常用的值是022，027和077。

使用chmod，chown和chgrp改变文件的访问权限，使用setuid和setgid来改变特殊位。

使用ls -i filename命令可以列出文件的inode信息。如：

localhost:~# ls -i simple.png
32563 simple.png
32563就是simple.png的inode节点的值。

inode值相同的链接是硬链接，inode值不同的是软链接。

硬链接示例：

localhost:~# ls -li simple.png
32563 -rw-r--r-- 1 root root 1574 2005-12-15 14:59 simple.png
localhost:~# ln simple.png simple1.png            #创建硬链接
localhost:~# ls -il simple1.png
32563 -rw-r--r-- 2 root root 1574 2005-12-15 14:59 simple1.png
localhost:~# ls -li simple1.png
32563 -rw-r--r-- 2 root root 1574 2005-12-15 14:59 simple1.png   #inode值与simple.png一样。链接值变成2
#改变互为硬链接的文件内容时，另一个文件的内容也相应被改变。但删除一个文件不会影响另一个文件。

软链接示例：

localhost:~# ls -il simple.png
32563 -rw-r--r-- 1 root root 1574 2005-12-15 14:59 simple.png
localhost:~# ln -s simple.png simple1.png    #创建软链接
localhost:~# ls -il simple.png
32563 -rw-r--r-- 1 root root 1574 2005-12-15 14:59 simple.png
localhost:~# ls -il simple1.png
32836 lrwxrwxrwx 1 root root 10 2006-04-27 13:16 simple1.png -> simple.png   #inode值与simple.png不一样了。
#软链接相当于重新创建一个链接文件，inode值不同了。源文件的链接值也不会增加。删除源文件，软链接文件也失效。

使用lsattr和chattr命令可以显示和改变文件属性。

传统的Linux文件系统的权限控制是通过user、group、other与r（读）、w（写）、x（执行）的不同组合来实现的。随着应用的发展，这些权限组合已不能适应现时复杂的文件系统权限控制要求。例如，我们可能需把一个文件的读权限和写权限分别赋予两个不同的用户或一个用户和一个组这样的组合。传统的权限管理设置起来就力不从心了。为了解决这些问题，Linux开发出了一套新的文件系统权限管理方法，叫文件访问控制列表（Access Control Lists，ACL）。

要启用ACL，需内核提供ACL支持和安装ACL管理工具。现在的2.6内核都提供ACL支持，在编译内核时只要在file systems分支下，把Ext2 POSIX Access Control Lists或Ext3 POSIX Access Control Lists选中就可以了。用以下命令挂接硬盘启用文件系统ACL。

debian:~# mount -t ext2 -o acl /dev/hda1 /mnt/hda1

我们也可把选项写到/etc/fstab文件中，在需启用acl的分区选项包含acl参数。

ACL有两种，一种是存取ACL（access ACLs），针对文件和目录设置访问控制列表。一种是默认ACL（default ACLs），只能针对目录设置。如果目录中的文件没有设置ACL，它就会使用该目录的默认ACL。要设置ACL，首先要安装管理工具，它们分别是getfacl和setfacl，在debian中只要安装acl软件包即可。

debian:~# apt-get install acl

setfacl工具可为文件和目录ACL，命令格式如下：

setfacl -m <rules> <files>

rules的格式如下，多条规则间可用逗号分隔。

u:uid:perms   #为用户设置ACL，perms为r、w、x的组合
g:gid:perms   #为组设置ACL
o:perms      #为其它组设置ACL
m:perms      #设置有效权限屏蔽

下面是setfacl的实例：

debian:~# setfacl -m u:jims:rw testfile.txt   
#-m选项表示添加或修改文件或目录的权限访问列表

debian:~# setfacl -x u:jims:rw testfile.txt
#-x选项表示删除文件或目录的访问列表

要设置默认的ACL，只在rules前加一个d:，以表示指定一个目录，如：

debian:~# setfacl -m d:o:rx /data

getfacl用以显示文件或目录的ACL，如：

debian:getfacl debian.xml
# file: debian.xml
# owner: jims
# group: jims
user::rwx
group::r--
other::r--

	tar和dump工具不能备份ACL文件，如果我们要备份ACL文件系统，可以使用star工具。另外，samba可通过--with-acl-support编译选项支持ACL。

如果你想对保存在磁盘中的目录和文件进行加密，保护你个人信息的安全，我们可以使用加密文件系统。在Linux中的加密文件系统有很多种选择，如encfs（Encrypted Filesystem），cfs（Cryptographic Filesystem）和truecrypt等。

debian:~# apt-get install encfs fuse-utils

yangjing@localhost:~$ encfs ~/encode ~/decode                                          #创建命令，要用绝对路径
The directory "/home/yangjing/encode/" does not exist. Should it be created? (y,n) y   #创建加密文件系统目录
The directory "/home/yangjing/decode" does not exist. Should it be created? (y,n) y    #创建加密文件系统加载点
Creating new encrypted volume.
Please choose from one of the following options:
 enter "x" for expert configuration mode,
 enter "p" for pre-configured paranoia mode,
 anything else, or an empty line will select standard mode.
?> p

Paranoia configuration selected.

Configuration finished.  The filesystem to be created has
the following properties:
Filesystem cipher: "ssl/aes", version 2:1:1
Filename encoding: "nameio/block", version 3:0:1
Key Size: 256 bits
Block Size: 512 bytes, including 8 byte MAC header
Each file contains 8 byte header with unique IV data.
Filenames encoded using IV chaining mode.
File data IV is chained to filename IV.

-------------------------- WARNING --------------------------
The external initialization-vector chaining option has been
enabled.  This option disables the use of hard links on the
filesystem. Without hard links, some programs may not work.
The programs 'mutt' and 'procmail' are known to fail.  For
more information, please see the encfs mailing list.
If you would like to choose another configuration setting,
please press CTRL-C now to abort and start over.

Now you will need to enter a password for your filesystem.
You will need to remember this password, as there is absolutely
no recovery mechanism.  However, the password can be changed
later using encfsctl.

New Encfs Password:                               #输入验证密码
Verify Encfs Password:
yangjing@localhost:~$ df -h
Filesystem            Size  Used Avail Use% Mounted on
/dev/hda3             9.4G  7.6G  1.4G  85% /
tmpfs                 153M     0  153M   0% /dev/shm
tmpfs                  10M   56K   10M   1% /dev
//t02/yangjing         29G   26G  3.1G  90% /root/data
/dev/hda1             8.7G  7.7G  616M  93% /mnt/hda1
encfs                 9.4G  7.6G  1.4G  85% /home/yangjing/decode       #成功加载encfs文件系统
yangjing@localhost:~$

yangjing@localhost:~$ cd decode/
yangjing@localhost:~/decode$ mkdir test
yangjing@localhost:~/decode$ echo 'encfs test' > test.txt
yangjing@localhost:~/decode$ ls
test  test.txt
yangjing@localhost:~/decode$ cd ../encode/
yangjing@localhost:~/encode$ ls
09LTiJuKxiD20yIN0k,l8Q5p  KaUAfbP3JMH8PAstrS-5b7eO   #文件和目录已自动生成并已加密
yangjing@localhost:~/encode$ cat 09LTiJuKxiD20yIN0k,l8Q5p
[e?f%v;-?B?'TDN{K6                                   #内容也已加密
yangjing@localhost:~/encode$  

yangjing@localhost:~$ fusermount -u ~/decode          #卸载encfs文件系统
yangjing@localhost:~$ cd decode/
yangjing@localhost:~/decode$ ls                       #目录为空
yangjing@localhost:~/decode$ cd ../encode/
yangjing@localhost:~/encode$ ls                       #目录内容已加密
09LTiJuKxiD20yIN0k,l8Q5p  KaUAfbP3JMH8PAstrS-5b7eO
yangjing@localhost:~/encode$ cat 09LTiJuKxiD20yIN0k,l8Q5p
[e?f%v;-?B?'TDN{K6
yangjing@localhost:~/encode$ df                       #加密文件已卸载
Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/hda3              9851340   7906980   1443936  85% /
tmpfs                   156208         0    156208   0% /dev/shm
tmpfs                    10240        56     10184   1% /dev
//t02/yangjing        30233600  27056640   3176960  90% /root/data
/dev/hda1              9068616   7977548    630408  93% /mnt/hda1

localhost:/etc# id
uid=0(root) gid=0(root) groups=0(root)
localhost:/etc# cd /home/yangjing/encode/
localhost:/home/yangjing/encode# ls
09LTiJuKxiD20yIN0k,l8Q5p  KaUAfbP3JMH8PAstrS-5b7eO          #密文
localhost:/home/yangjing/encode# vi 09LTiJuKxiD20yIN0k,l8Q5p
localhost:/home/yangjing/encode# cat 09LTiJuKxiD20yIN0k,l8Q5p
[e?f%v;-?B?'TDN{K6                                          #密文
localhost:/home/yangjing/encode#                            

还有通过loop文件系统来实现加密文件系统的方法，请参考以下链接：

微软也推出一个免费的文件加密软件叫Microsoft Private Floder，可对电脑中的文件进行加密，其他用户没有密码就不能访问，即使是管理员也一样。

RAID（Redundant Array of Inexpensive/independent Disks）是冗余磁盘陈列，可提高Linux磁盘性能和数据安全。

RAID级别介绍

Bash的用户接口也就是我们经常说的字符界面，这是我们与系统交互的主要环境，我们可通过这个接口管理我们的系统。在系统引导时，第一个需要运行的进程是init，由init再衍生出一个getty终端进程，该进程打开一个终端窗口，提供标准输入、标准输出和标准错误。然后执行程序/bin/login，login程序提示输入密码，加密并验证密码。通过验证后系统进入登录shell，也就是bash。不同的登录shell可在passwd文件设置。bash会通过几个配置文件来初始化用户环境。首先bash会查找/etc/profile，并执行其中的命令，初始化系统级别环境。然后在用户目录下查找.bash_profile文件，并执行里d面的命令，初始化用户级别的环境。用户级别的设置可覆盖系统级别设置。最后会执行.bashrc用户环境设置文件，这时，默认提示符美元符号将显示在屏幕上。

jims@localhost:~$           #位于jims用户的主目录
jims@localhost:~$ cd .      
jims@localhost:~$           #没变化
jims@localhost:~$ cd ..
jims@localhost:/home$       #移动到上层目录
jims@localhost:/home$ cd ~
jims@localhost:~$           #回到用户主目录
jims@localhost:~$ pwd       #显示当前目录
/home/jims                      

jims@localhost:~$ ls *.py         #显示当前目录下所有以.py结尾的文件
jims@localhost:~$ ls *.[cho]      #显示当前目录下所有以c，h，o结尾的文件
jims@localhost:~$ ls ???          #显示所有文件名为三个字符的文件

localhost:~/python# echo a{a,b,c}a
aaa aba aca

jims@localhost:~$ ls *.{c,h,o}    #效果同ls *.[cho]

$ ls > filename     #输出重定向到filename文件，也就是生成一个filename文件，内容为ls命令执行的结果。
$ grep < filename   #grep的命令参数从filename文件读取。

$ ls -l | more           #先进行ls -l操作，再对操作结果进行more操作

$ tar zxvf xen.tar.gz&
[1] 2547              

变量是随系统运行而变化的，灵活使这些变量可简化我们的操作和更好地控制bash shell的行为。

$# 脚本的参数个数
$* 以一个单字符串显示所有向脚本传递的参数。与位置变量不同，此选项参数可超过9个
$$ 脚本运行的当前进程ID号
$! 后台运行的最后一个进程的进程ID号
$@ 与$*相同，但是使用时加引号，并在引号中返回每个参数
$- 显示shell使用的当前选项，与set命令功能相同
$? 显示最后命令的退出状态。0表示没有错误，其他任何值表明有错误。
$0 脚本名称
$1..$9 第N个参数

为使Bash更好地为我们服务，我们需定制bash shell环境。

2.3.1. .bash_profile、.bashrc、和.bash_logout

1. 上面这三个文件是bash shell的用户环境配置文件，位于用户的主目录下。其中.bash_profile是最重要的一个配置文件，它在用户每次登录系统时被读取，里面的所有命令都会被bash执行。.profile(由Bourne Shell和Korn Shell使用)和.login(由C Shell使用)两个文件是.bash_profile的同义词，目的是为了兼容其它Shell。在Debian中使用.profile文件代替.bash_profile文件。

2. .bashrc文件会在bash shell调用另一个bash shell时读取，也就是在shell中再键入bash命令启动一个新shell时就会去读该文件。这样可有效分离登录和子shell所需的环境。但一般来说都会在.bash_profile里调用.bashrc脚本以便统一配置用户环境。

3. .bash_logout在退出shell时被读取。所以我们可把一些清理工作的命令放到这文件中。

在/etc目录的bash.bashrc和profile是系统级（全局）的配置文件，当在用户主目录下找不到.bash_profile和.bashrc\时，就会读取这两个文件。.bash_history是bash shell的历史记录文件，里面记录了你在bash shell中输入的所有命令。可通过HISSIZE环境变量设置在历史记录文件里保存记录的条数。alias l = 'ls -l'是设置别名的语句，把它放在这些配置文档中就可使我们能用简单的'l'命令，代替'ls -l'命令。

	当我们修改了这些配置件后，可用source .bash_profile命令使它修改内容马上生效。

emacs                  进入emacs编辑模式
vi                     进入vi编辑模式
ignoreeof              不允许单独使用Ctrl_D退出的用法，要使用exit。与IGNOREEOF=10等价
noclobber              不允许重定向覆盖已存在文件
noglob                 不允许扩展文件名通配符
nounset                使用未定义的变量时给出错误

cdspell          自动改正cd命令参数中的小错误
hostcomplete     以@开头时，按tab键可进行主机名的自动完成
dotgblob         以点开始的文件名被包含在路径名扩展中
mailwarn         显示邮件警告信息

-p          显示可设置选项及当前取值
-s          设置每一选项为on
-u          设置每一选项为off
-q          不输出信息
-o          

软件包管理是区分不同发行版的一大特征，如RedHat使用RPM软件包来管理软件，Debian使用Deb软件包来管理软件。apt-get是Debian的Deb软件包管理工具，它的最低底层还是调用dpkg包管理程序，通过apt-get工具可使我们很好地解决软件包的依赖关系，方便软件的安装和升级。它是Debian发行版的最大特色，一定要好好掌握。

要使用好apt-get就要配置好一个名为sources.list的资源列表，资源列表指向Debian系统的软件库，apt-get会从该软件库安装各种软件包。sources.list文件位于/etc/apt目录下，下面是Sarge、Etch和Sid三个版本的写法，你可任选一种，最好不要多版本混用：

#sources.list for Sarge(stable):
deb http://http.us.debian.org/debian stable main contrib non-free
deb http://non-us.debian.org/debian-non-US stable/non-US main contrib non-free
deb http://security.debian.org stable/updates main contrib non-free
#Uncomment if you want the apt-get source function to work
#deb-src http://http.us.debian.org/debian stable main contrib non-free
#deb-src http://non-us.debian.org/debian-non-US stable/non-US main contrib non-free

#sources.list for Etch(testing):
deb http://http.us.debian.org/debian testing main contrib non-free
deb http://non-us.debian.org/debian-non-US testing/non-US main contrib non-free
deb http://security.debian.org testing/updates main contrib non-free
#Uncomment if you want the apt-get source function to work
#deb-src http://http.us.debian.org/debian testing main contrib non-free
#deb-src http://non-us.debian.org/debian-non-US testing/non-US main contrib non-free

#sources.list for Sid(unstable):
deb ftp://ftp.us.debian.org/debian unstable main contrib non-free
deb ftp://non-us.debian.org/debian-non-US unstable/non-US main contrib non-free
#Uncomment if you want the apt-get source function to work
#deb-src http://http.us.debian.org/debian unstable main contrib non-free
#deb-src http://non-us.debian.org/debian-non-US unstable/non-US main contrib non-free

sources.list文件的内容决定了Debian的版本。安全更新只存在于stable和testing版中，unstable没有安全更新。进入stable的软件都经过严格的依赖测试和安全测试，所以如果你想系统稳定，用于工作，最好使用stable，如果你想使用最新版的软件，就使用testing或unstable。Woody、Sarge和Sid是Debian 3.x三个版本中的代号，我们一般都是以代号来称呼debian不同版本。所有Debian发行版的代号全都取自电影Toy Story，Woody是那个牛仔，Sarge是绿色塑胶军队的领导，Sid是破坏玩具的小孩。

apt-cache是一个apt软件包管理工具，它可查询apt的二进制软件包缓存文件。通过它我们可查询软件包的状态信息。

apt-file是一个软件包查找工具，可以查到软件包所含的文件和安装的位置。

apt-key是Debian软件包的安全管理工具。每个发布的deb包，都是通过密钥认证的，apt-key用来管理密钥。

wajig是一个简单的软件包管理前端，和apt-get类似，但功能更多，它把apt-get、dpkg等Debian系统下的软件包管理工具都集成在一起，只用一个wajig命令就能完成各种复杂的管理工作。wajig是要额外安装的软件，同时需要python支持。base系统自带的软件包管理工具还是apt-get。

用apt-get install wajig即可安装wajig。它还有一个Gnome GUI前端界面，能通过鼠标点击完成所有的软件包管理工作。有关wajig的详细介绍请参考http://wajig.togaware.com/。

我们有时喜欢用一个Debian版本作为主系统，并使用其它版本的软件包，如我们用testing版为主系统，但有时又会用到unstable版里的新软件包。设置主系统你需编辑/etc/apt/apt.conf文件，在文件中加入以下内容：

APT::Default-Release "version";

这里的version就是Debian的发行版本，包括stable，testing和unstable。要从Debian另外的版本中安装软件包，需用以下的APT命令：

# apt-get -t version install package

为使上面的命令正常工作，需要在sources.list包含有相应的version资源连接。

你也可用以下命令指定安装软件包的版本。如：

# apt-get install nautilus=2.2.4-1

	安装不同版本的软件包容易造成系统包依赖性出错，所以应尽量避免在工作环境中使用。

apt-show-versions可显示已安装软件包的版本，它提供了一种安全的方法从混合版本环境中升级指定版本的软件包。如以下命令只升级unstable的软件包：

# apt-get install `apt-show-versions -u -b | grep unstable`

有时你或许不想升级某些软件包，这时我们可“pin”住这些软件包，使它们不能被升级。我们可很容易实现该功能，只要编辑/etc/apt/preferences配置文件。该文件的格式如下：

Package: <package>                       
     Pin: <pin definition>                       
     Pin-Priority: <pin's priority>

Nautilus是GNOME桌面环境中一个优秀的图形化文件管理工具，通过该工具，我们能方便地管理和浏览我们的文件。它是为文件管理而设计的，但它也可作为ftp，smb，WebDAV等基于WEB的应用程序的客户端。除了固定的功能外，我们还可通过编写自已的脚本来扩展它的功能，下面介绍如何使用该功能。

以后每新建一个脚本，都要使用nautilus访问一次~/.gnome2/nautilus-scripts才能使新脚本生效。这种用户可随意添加脚本的功能使nautilus的功能可无限扩展。Nautilus官方网站上已有很多脚本可下载使用。网址是：http://www.gnome.org/projects/nautilus/。

Nautilus文件管理器是Gonme中使用频率最高的工具之一，下面介绍几个提高Nautilus性能的方法，使我们能有效地使用该工具。

在Nautilus中，与性能相关的首选项通常都可有三个可选项值，通过调整这三个选项值可达到调整Nautilus性能的目的，这三个选项值分别是：

下面介绍使用这些选项的首选项，每一个首选项代表Nautilus的一个功能。你可用上面介绍的选项值进行配置，以达到性能最优。

XFree86系统有两套的字体系统，这也是为什么X window中字体设置较复杂的原因之一。这两套的字体系统分别是：核心X11字体系统和Xft字体系统。核心X11字体系统是应用最广泛的一套字体系统，所有的X系统都支持。Xft字体系统是一个新的字体技术，只能用在基于XFree86系统的X系统上，但该套字体系统配置简单，容易使用，将是未来发展的方向。

7.1.2. X11核心字体系统

配置X11核心字体有两步，第一步是建立字体目录，在该目录中包含字体文件。第二步是配置X服务器，使它能使用这些字体。下面我以配置simsun.ttc字体为例说明：

• X服务器的字体目录一般默认已建好，如/usr/X11R6/lib/X11/fonts/truetype。我们把simsun.ttc拷贝到该目录。

• 生成字体索引文件，如果是位图字体则只有一个fonts.dir索引文件，如果是像simsun.ttc这样的可缩放字体则还需要一个fonts.scale索引文件。索引文件可通过工具自动生成，如果是TrueType字体，可使用ttmkfdir工具。其它的字体可用mkfontdir和mkfontscale这两个工具来生成。simsun.ttc是TrueType字体，所以我用ttmkfdir工具生成fonts.scale:

  debian:/usr/X11R6/lib/X11/fonts/truetype# ttmkfdir
  

  fonts.dir文件和fonts.scale内容是一样的，所以可直接拷贝。如果不用拷贝的方式，用mkfontdir命令也可以，结果是一样的。

• 设置XF86config-4配置文件，确定包含上述字体路径和正确加载X字体模块。

  Section "Files"
  #       FontPath        "unix/:7110"                    # local font server
          # if the local font server has problems, we can fall back on these
          FontPath        "/usr/X11R6/lib/X11/fonts/truetype"
          FontPath        "/usr/lib/X11/fonts/misc"
          FontPath        "/usr/lib/X11/fonts/cyrillic"
          FontPath        "/usr/lib/X11/fonts/100dpi/:unscaled"
          FontPath        "/usr/lib/X11/fonts/75dpi/:unscaled"
          FontPath        "/usr/lib/X11/fonts/Type1"
          FontPath        "/usr/lib/X11/fonts/CID"
          FontPath        "/usr/lib/X11/fonts/Speedo"
          FontPath        "/usr/lib/X11/fonts/100dpi"
          FontPath        "/usr/lib/X11/fonts/75dpi"
  EndSection
  
  Section "Module"
  #       Load    "GLcore"
          Load    "bitmap"
          Load    "dbe"
          Load    "ddc"
          Load    "dri"
          Load    "extmod"
  #       Load    "freetype"
          Load    "glx"
          Load    "int10"
          Load    "record"
          Load    "speedo"
          Load    "type1"
          Load    "vbe"
          Load    "xtt"
  EndSection
  

  从XFree86转到X.org后，配置文件使用/etc/X11/xorg.conf代替原来的XF86Config-4。在X.org中，使用开源的freetype模块，所以要注释掉xtt模块，重新启用freetype。

  Section "Module"
  #       Load    "xtt"
          Load    "GLcore"
          Load    "bitmap"
          Load    "dbe"
          Load    "ddc"
          Load    "dri"
          Load    "extmod"
          Load    "freetype"
          Load    "glx"
          Load    "int10"
          Load    "record"
          Load    "speedo"
          Load    "type1"
          Load    "vbe"
  EndSection
  

  如果没启用freetype模块，则系统会找不到GB2312和GB18030编码的X11核心中文字体，影响freemind、xmms等要使用X11核心字体程序的中文显示。

  字体模块列表：

  • bitmap：位图字体，支持的字体文件有*.bdf，*.pcf和*.snf。

  • type1：Type1字体，支持的字体文件有*.pfa和*.pfb，还有CIDFonts。

  • speedo：Bitstream Speedo字体，支持的字体文件有*.spd。

  • freetype：TrueType字体，支持的字体文件有*.ttf和*.ttc。，在X.org系统中，xtt模块功能合并到该模块中。

  • xtt：另一个的TrueType字体模块，支持的字体文件有*.ttf和*.ttc。在X.org系统中，不使该模块，该模块的功能合并到freetype模块中。

• 重启X服务器后就可使用simsun中文字体了，或者使用xset fp rehash命令重新刷新字体。xlsfonts命令可列出系统中已安装的X11核心字体。

	如果你是使用Debian系统，则可使用defoma(Debian Font Manager)工具来帮你完成以上设置。该工具的使用请参考本文“Debian的安装和配置”一章的内容。

GTK+1.x程序使用X11核心字体系统。要在GTK+1.x程序中使用simsun字体，需配置/etc/gtk/gtkrc.zh_CN文件，内容如下：

# This file defines the fontsets for Chinese language (zh) using
# the simplified chinese standard GuoBiao as in mainland China (CN)
#
# 1999, Pablo Saratxaga <pablo@mandrakesoft.com>
#

style "gtk-default-zh-cn" {
fontset = "-*-bitstream vera Serif-medium-r-normal-*-*-120-*-*-p-*-microsoft-cp1252,\
-*-simsun-medium-r-normal-*-12-*-*-*-*-*-gbk-0"
}
class "GtkWidget" style "gtk-default-zh-cn" 

这样GTK+1.x程序可显示中文了，中文使用simsun字体，英文使用bitstream vera sans字体。

电脑通过网卡连接网络，每块网卡都有一个独一无二的48位地址，为便以记忆，我们把这些地址写成6组以冒号分隔的的十六进制数字，如：00:20:E0:C1:0F:F6。前3组是网卡制造商的标识码，由IANA分配。这种地址我们称它为介质访问控制器地址（MAC地址，Media Access Controller Address）。在网络通信中，最终是使用该地址来标识每台电脑的。

每台联网的电脑都需要有一个唯一的IP地址标识，就好象我们家的门牌号码一下。IP地址可以手工分配，也可以由电脑自动分配。手工分配是IP地址是固定不变的，叫静态IP地址分配模式。由电脑通过DHCP服务器自动分配的IP地址是不固定的，叫动态IP分配模式。动态IP分配模式一般在网络较大的环境下使用。电脑自动维护一个IP地址池，当客户有需要时从这个IP地址池中临时租用一个IP地址来使用。使用动态IP能有效减少网管员的维护工作量。

特殊的IP地址

	对于一台网络主机，它只能接收要本机IP地址广播地址和组播地址。

IP地址伪装（IP masquerading，也称为IPMASQ）技术允许私有网络中的一台或多台没有公共IP地址的计算机与Internet通信。充当IPMASQ服务器的电脑相当于一个网关，私有网络中的电脑对外网来说是完全不可见的。外网看到的只是作为IPMASQ服务器的IP地址。因为当私有网络需与Internet通信时，数据包会被发送到IPMASQ服务器，IPMASQ服务器会改写数据包的IP报头使它们看上去就好象全部出自IPMASQ服务器。当外部的应答数据包到达时，IPMASQ服务器持先反转对刚才外出数据包的IP报头所做的改写，再把它们转发给相应的内部电脑。从而实现内部私有网络对Internet的访问。

网络地址转换（NAT，Network Address Translation）是另一种应用范围更广的技术，具有NAT功能的网络设备能把某个IP空间里IP地址转换为另一个IP地址空间里的IP地址。它与IP伪装技术的主要区别是：NAT技术可以把某个内部网络里的每一个IP地址分别转换成独立的外部IP地址。另外，当转换后，外部地址也可以访问内部地址。

Debian发行版为我们提供了灵活的安装方式，可以先安装一个很小的(几十兆)base系统，再通过网络更新系统和安装其它应用软件。这种方式要求有较好的网络环境，比如ADSL。我就是采用这种方式安装的，下面是我的具体操作步骤：

debootstrap可以在一个运行中的Debian系统中安装一套全新的Deiban base系统，我们可以把新系统安装在一个目录中或一个分区中。安装完成后用chroot命令就可进入新安装的系统中，就好象在我们的系统中多了一套全新的操作系统一样，这对我们进行系统和服务的测试是很有用的。

安装方法很简单，先下载debootstrap软件包。

debian:~# apt-get install debootstrap

安装完debootstrap后，我们就可用它来安装Debian base系统啦，debootstrap的命令格式如下：

debootstrap --arch <架构> <版本> <debian的安装挂载点> <镜像站点的URL>

我在i386机器的电脑上安装sid版的debian系统，安装在/root/base目录下，选用的镜像站点为http://debian.cn99.com/debian。

debian:~# debootstrap --arch i386 sid base http://debian.cn99.com/debian
I: Retrieving Release
I: Retrieving Packages
I: Validating Packages
I: Resolving dependencies of required packages...
I: Resolving dependencies of base packages...
I: Found additional base dependencies: update-inetd
I: Checking component main on http://debian.cn99.com/debian...
I: Retrieving adduser
I: Validating adduser
I: Retrieving apt
I: Validating apt
I: Retrieving apt-utils
I: Validating apt-utils
I: Retrieving aptitude

...

安装完成后，我们就可以用chroot命令进入新的系统。为了使一些程序正常运行，我们还要挂装proc文件系统。

debian:~# chroot base
debian:/# mount proc

光盘上的内核较旧，所以成功安装完成系统后，一般都要更新内核，以支持更多的硬件和提高系统性能。在Debian发行版中，更新内核也可使用apt-get install kernel-image-2.x.x方式来直接更新。但这样更新有两个问题，一是内核包的更新要滞后于Linux内核的更新速度，也就是说采用该方式你用不到最新的内核；二是内核包不是针对你的计算机编译的，所以性能和配置可能会不符合你的要求。我一般不用这种方式更新我的内核，而是采用直接编译内核源码，再用make-kpkg命令打包的方式来安装。make-kpkg是Debian的内核打包工具，它可编译Linux源码，并打包成Debian格式的内核安装包。这样我们即可使用最新的Linux内核，又可用Debian的方式安装和管理内核包，一举两得。现在来看看具体的安装过程，我把2.4.20内核更新到最新的2.6.10。

	如想用dpkg -i 重新安装相同内核，要做一些清理工作。需把/boot/System.map-2.6.10、/boot/vmlinuz-2.6.10和/lib/modules/2.6.10改名备份起来或删除掉，但为了安全，建议采用改名备份方式。安装时会提示需重启来重建/lib/modules/2.6.10目录，按继续即可。

2.6.10内核配置备忘录

	在配置内核时要小心，对一些自已不清楚的内核功能最好不要去动它，最好保护默认设置。还有要养成备份随时.config文件的习惯，以便在内核配置出错时能快速恢复回正确的配置。

安装完GNOME后，在应用程序栏中有一个“Debian菜单”项，默认是空白的，什么菜单项也没有。这个“Debian菜单”栏是Debian系统特有的，它参考了一些窗口管理器（FVWM2）的菜单管理方式，设计成一个通用的Debian菜单管理系统，不论你使用什么桌面环境或窗口管理器，在“Debian菜单”栏中都能找到Debian系统所安装的软件。要使用该菜单，需安装menu软件包，并用update-meuns命令生成Debian菜单项。

	第一次运行update-menus后，需重启X会话才能生成Debian菜单。

基本上每一个Debian系统的应用程序都会有一个菜单配置文件，用以定义该程序的菜单项名称、位置和命令行选项等参数。该配置文件一般位于/usr/lib/menu、/etc/menu或~/.menu目录下。下面是Gnumeric程序菜单项的配置文件格式示例：

?package(gnumeric):\                定义软件包名，每条配置信息要在一行中写完，所以要用反斜杠续行
       needs="X11"\                 定义该菜单项需在X11环境中使用
       section="Apps/Math"\         定义菜单项的路径位置
       title="Gnumeric"\            定义菜单项的标题
       command="gnumeric" \         定义命令和选项
       hints="Gnome,Spreadsheets" \ 定义一些提示信息
       icon="/usr/share/pixmaps/gnumeric.xpm"  定义菜单项的图标

该配置文件一般由Debian软件包管理者维护，在软件安装时通过软件配置脚本，把配置文件拷贝到相应的menu路径，并调用update-menus命令更新“Debian菜单”栏。这样，每安装一个新软件包，在“Debian菜单”栏就可找到它的菜单项了，且不受桌面系统或窗口管理器的限制，实现了统一的菜单界面接口。

有关Debian菜单系统的详细介绍可参考Debian的官方文档，位于http://www.nl.debian.org/doc/packaging-manuals/menu.html/index.html。

xfce是一个轻量级的桌面环境,可运行在多种类UNIX平台。它的口号是“让一切运行得更快”。它有自已的一套窗口管理器、文件管理器和面板管理器等组件。安装方法很简单，用以下命令安装即可：

debian:~# apt-get install xfce4

相关的依赖软件包都会自动安装，我是用startx命令启动X系统的。以前我在系统中安装了KDE，所以默认是进入KDE桌面环境。现在我要把默认的桌面环境切换到Xfce4。要实现该功能，我们只要使用update-alternatives命令把默认的窗口管理器换成Xfce4的即可。

可用以命令显示当前系统安装的窗口管理器：

debian:~# update-alternatives --display x-window-manager
x-window-manager - status is manual.
 link currently points to /usr/bin/kwin
/usr/bin/kwin - priority 50
/usr/bin/xfwm4 - priority 60
 slave x-window-manager.1.gz: /usr/share/man/man1/xfwm4.1.gz
Current `best' version is /usr/bin/xfwm4.

用以下命令设置：

update-alternatives --config x-window-manager

There are 2 alternatives which provide `x-window-manager'.

  Selection    Alternative
-----------------------------------------------
      1        /usr/bin/kwin
*+    2        /usr/bin/xfwm4

Press enter to keep the default[*], or type selection number: 2
Using `/usr/bin/xfwm4' to provide `x-window-manager'.

用startx启动X系统时就会自动进入Xfce4桌面环境了，Xfce的Logo是一个奔跑的小老鼠，喻意小巧、快速。进入Xfce4桌面环境，我们可看到一个很简洁的桌面。屏幕顶部是一条任务栏，屏幕底部是一组快捷按钮。Xfce的中文支持做得不错，界面基本上都是中文的，使用起来很方便。要配置Xfce，我们可点击屏幕底部的“设置”快捷按钮来配置。它会打开一个Xfce配置管理器，可对Xfce桌面环境的窗口管理器、文件管理器和会话管理器等进行配置。通过右击桌面还可显示一个弹出菜单，Xfce所有的功能都可在这里配置和使用。

用过Xfce后，感觉它的菜单反应速度真的很快，基本上是即点即出。装载程序也比在KDE和GNOME里快了一点。喜欢简洁、快捷桌面环境的朋友赶快安装Xfce试一试吧。

NVIDIA显卡是现时市面上最常用的显卡，下面介绍在Debian系统中NVIDIA显卡驱动程序的安装方法。我的Linux内核是2.6.10，到NVIDIA的官方网站http://www.nvidia.com下载最新for linux IA32的驱动程序。我安装时的最新版本是Version 1.0-7174，下载的驱程文件名为NVIDIA-Linux-x86-1.0-7174-pkg1.run。这个版本的驱动可在2.6内核中正常工作，旧一些的版本在2.6内核的Linux系统中安装会出现问题。具体的安装过程如下：

在/usr/share/doc/NVIDIA_GLX-1.0目录下的README文件中有nvidia驱动程序的安装说明和配置说明。在安装NVIDIA驱动程序时，最好先浏览一下该文档。我们还可通过nvidia-settings程序来调整显卡的参数。

参考http://www.xfree86.org/4.4.0/里的Mouse Support in XFree86一章的内容，配置XF86Config-4文件，内容如下：

Section "InputDevice"
        Identifier      "Configured Mouse"
        Driver          "mouse"
        Option          "CorePointer"
        Option          "Device"                "/dev/ttyS0"
        Option          "Protocol"              "IntelliMouse"
        Option          "Emulate3Buttons"       "true"
        Option          "ZAxisMapping"          "4 5"
EndSection

关键是要选对Protocol，不要用Auto。可手工配置/etc/X11/XF86config-4文件，也可用dpkg-reconfigure xserver-xfree86命令自动配置。配置后重启X服务器使配置生效。串口鼠标的滑轮可正常工作，左右键同时按可粘贴鼠标选中的内容，相当于Ctrl+v的复制功能。

	Protocol不能设为“Auto”，否则，滑轮不能正常使用。

中文字体模糊不清的原因是字体配置不好引起的，有关X window的字体系统在上面已讲过，这里就不再细讲了。现在多数的程序都支持Xft字体系统的fontconfig库，所以调整该字体系统就可使程序达到很好的显示效果。具体调整方法是把以下代码加入到~/.fonts.conf中的<fontconfig>和</fontconfig>元素内。Xft字体的配置文件有三个，其中/etc/fonts/local.conf是本地字体配置文件，我们可在该文件内添加或修改字体配置，但好象新版的Xft的配置文件又有了变化，不使用local.conf文件了。fonts.conf是系统级的字体配置文件，一般不要修改该文件，它通过include指令应用local.conf文件里的配置信息。~/.fonts.conf是用户级字体配置文件，优先级最高。

	~/.fonts.conf默认是没有的，我们可参照/etc/fonts/local.conf手工创建或直接拷贝该文件。

<!--my fonts additions configure-->
<!-- 关闭所有10至15号字体的抗锯齿功能-->
<match target="font" >
   <test compare="more" name="pixelsize" qual="any">
      <double>10</double>
   </test>
   <test compare="less" name="pixelsize" qual="any">
      <double>15</double>
   </test>
   <edit mode="assign" name="antialias" >
      <bool>false</bool>
   </edit>
</match>

<!-- 调整文字间距过大问题 -->
<match target="font">
<test target="pattern" name="lang" compare="contains">
<string>zh-tw</string>
<string>zh-cn</string>
<string>ja</string>
<string>ko</string>
</test>
<edit name="spacing">
<const>proportional</const>
</edit>
<edit name="globaladvance">
<bool>false</bool>
</edit>
</match>

<!-- 重排字体显示的优先级，使中英文字体更美观，排在最前面的字体会优先显示，如果没有该字体，则使用下一行的字体，以次类推。 -->
<alias>
      <family>serif</family>
      <prefer>
         <family>Bitstream Vera Serif</family>
         <family>Times New Roman</family>
         <family>Times</family>
         <family>AR PL New Sung</family>
         <family>AR PL Mingti2L Big5</family>
         <family>AR PL SungtiL GB</family>
         <family>Ming(ISO10646)</family>
         <family>SimSun</family>
         <family>Kochi Mincho</family>
         <family>Baekmuk Batung</family>
      </prefer>
  </alias>

<alias>
      <family>sans-serif</family>
      <prefer>
         <family>Bitstream Vera Sans</family>
         <family>Arial</family>
         <family>Verdana</family>
         <family>Helvetica</family>
         <family>AR PL New Sung</family>
         <family>Ming(ISO10646)</family>
         <family>AR PL kaitiM Big5</family>
         <family>AR PL kaitiM GB</family>
         <family>Kochi Gothic</family>
         <family>Baekmuk Dotum</family>
      </prefer>
  </alias>

<alias>
      <family>monospace</family>
      <prefer>
         <family>Bitstream Vera Sans Mono</family>
         <family>Courier New</family>
         <family>Courier</family>
         <family>AR PL New Sung</family>
         <family>Ming(ISO10646)</family>
         <family>Kochi Mincho</family>
         <family>Baekmuk Batung</family>
      </prefer>
  </alias>

Firefox是基于Mozilla的一种轻便型Web浏览器，以快速、灵活和功能强大而深得自由软件爱好的青睐。在Debian中有现成的deb软件包，安装很简单方便。用以下命令即可完成Firefox中文版的安装：

debian:~# apt-get install mozilla-firefox mozilla-firefox-locale-zh-cn

在Debian系统中暂时还没有acroread包，所以我们需到Adobe网站下载源码或rpm文件安装。下载的地址是：ftp://ftp.adobe.com/pub/adobe/reader/unix/7x/7.0/。我下载的是rpm包，用rpm -ivh安装即可。默认它是安装在/usr/local/Adobe/Acrobat7.0目录。

rxvt是一个功能强大的的终端，它占用资源少，启动速度快,很多人都喜欢使用它。所以我在这里介绍一下Debian系统中rxvt中文终端的安装。在Debian中有很多个rxvt包，可用apt-cache search rxvt命令查询。主要有以下三类，一个就叫rxvt，不支持中文显示；一个叫rxvt-ml，支持GB和BIG5中文编码；还有一个叫rxvt-unicode，支持unicode编码。第一种不支持中文，这里就不讨论了。下面分别讨论rxvt-ml和rxvt-unicode两种rxvt终端的安装。

	在使用rxvt中文终端前，需先把GNOME或KDE桌面的中文环境配置好。这样才能在rxvt中正常显示中文和使用中文输入法（我用fcitx）。

rxvt的配置选项是很丰富的，你可通过命令行或X资源文件来配置。命令行方式只能一次性改变rxvt的设置，如：

debian:~# rxvt -fn 8X16 -fg black -bg white      
上句的设置表示使用8X16的字体，终端屏幕为白底黑字。

有时我想把调整好的配置保存起来，不用每次都在命令行输入大量的配置信息。这时我们可以用X系统的资源文件~/.Xresources，如果用户主目录如没有可自行创建。内容如下：

! my rxvt setting  
Rxvt.background:black
Rxvt.foreground:white
Rxvt.colorBD:yellow
Rxvt.colorUL:green
Rxvt.multichar_encoding:gb2312
Rxvt.scrollBar:True
Rxvt.scrollBar_right:True
Rxvt.scrollBar_floating: False
Rxvt.scrollstyle: next
Rxvt.saveLines:1500
Rxvt.color0:black
Rxvt.color1:red
Rxvt.color2:#3a5da3
Rxvt.color3:#4b76cc
Rxvt.color4:RoyalBlue4
Rxvt.color5:magenta
Rxvt.color6:#a1b5dd
Rxvt.color7:#8a95aa
Rxvt.color8:#616668
Rxvt.color9:#075982
Rxvt.color10:#0f82bc
Rxvt.color11:#13a9f4
Rxvt.color12:SkyBlue2
Rxvt.color13:#63c2f2
Rxvt.color14:#6caccc
Rxvt.color15:#dbeff9
Rxvt.font:-b&h-lucidatypewriter-medium-r-normal-*-14-*-*-*-*-*-iso8859-*
Rxvt.mfont:-*-*-medium-r-normal-*-16-*-*-*-c-*-gb*-*
Rxvt.menu:/etc/X11/rxvt.menu
Rxvt.preeditType:Root

	在rxvt-unicode中资源文件的名称前缀改为rxvt，而不是Rxvt。

修改完资源文件后，需运行以下命令使配置生效，或重启X会话。一般我们选择前者：

debian:~# xrdb .Xresources

rxvt的配置参数有很多，可使我们定置出个性化的终端。详细的参数可查询man页或用rxvt --help列出。配置很简单方便的，有兴趣的朋友可测试一下。我在这里就不一一介绍了。

	GNOME和KDE环境下rxvt中文终端的设置方式是一样的。

fcitx输入法在rxvt中好象不能通过设置单击L_SHIFT键进行中英文切换，只能设置“双击中英文切换=1”，通过双击L_SHIFT进行中英文切换。

KDE是一个强大的桌面环境，用QT开发，发展到现在，已与Windows平台十分地相似，使用起来十分方便。下面介绍在Debian下安装中文KDE桌面环境的过程

开源软件都是跨平台的，在KDE中我们也可使用GNOME平台（基于GTK+）的程序，如firefox。在Debian系统的KDE中有一个软件包叫gtk2-engines-gtk-qt，可帮我们在KDE平台下管理GTK+程序的主题和字体配置，使GTK+程序就就像QT程序一样方便地进行配置。该套软件包中的主题配置引擎叫GTK-Qt Theme Engine，是由Freedesktop.org维护的，Freedesktop.org通过开发软件和制定标准，志在消除各X window桌面平台间的差异。GTK-Qt Theme Engine的网址是：http://www.freedesktop.org/wiki/Software_2fgtk_2dqt。在KDE中安装和配置gtk2-engines-gtk-qt软件包的方法如下：

这里以KDE环境为例说明，GNOME和其它桌面环境也大同小异。我安装了kde-core软件包，所以只有基本的kde系统，很多功能还没有，要手工配置，其中多媒体声音系统就是其中之一。我是以2.6.10内核，ES1371声卡为例进行说明的，具体的安装步骤如下：

ALSA声音系统的设备文件位于/dev/snd目录下，而Oss声音系统的设备文件位于/dev目录下，如/dev/audio、dev/dsp、/dev/midi、/dev/mixer、/dev/music、/dev/sequencer等。如果装了OSS模拟层，在ALSA声音系统下也会有/dev/dsp等文件。

ALSA项目的网址：http://www.alsa-project.org/

minicom是一个串口通信工具，就像Windows下的超级终端。可用来与串口设备通信，如调试交换机和Modem等。它的Debian软件包的名称就叫minicom，用apt-get install minicom即可下载安装。

第一次运行minicom时会提示没有默认的配置文件，但不影响使用。进入minicom程序后会自动连接串口设备，我连接的串口设备是外置式的实达捷豹2000 Modem。如果成功连接，则显示OK和一些初始化信息。如：

Welcome to minicom 2.1

OPTIONS: History Buffer, F-key Macros, Search History Buffer, I18n           
Compiled on Dec  9 2004, 08:45:12.                                           
                                                                             
Press CTRL-A Z for help on special keys                                      
                                                                             
                                                                             
OK                                                                           
AT S7=45 S0=0 L1 V1 X4 &c1 E1 Q0                                             
OK                          

在这个状态下我们就可用Modem的AT命令与modem交互。如：

at&v   #显示配置表

---ACTIVE PROFILE---
B0 L2 M1 X4 W2 N1 E1 Q0 V1 T &O0 &Q0 &P0 &Y0 &J0 &R1 &D2 &C1 &S0 &U0 &K3 \N5 \V 
S0:0 S1:0 S2:43 S3:13 S4:10 S5:8 S6:6 S7:60 S8:2 S9:6 S10:14 S11:95 S12:100 S13 
---STORED PROFILE 0---                               
B0 L2 M1 X4 W2 N1 E1 Q0 V1 T &O0 &Q0 &P0 &Y0 &J0 &R1 &D2 &C1 &S0 &U0 &K3 \N5 \V 
S0:0 S2:43 S3:13 S4:10 S5:8 S6:6 S7:60 S8:2 S9:6 S10:14 S11:95 S12:100 S19:0 S2 
---STORED PROFILE 1---
B0 L2 M1 X4 W2 N1 E1 Q0 V1 T &O0 &Q0 &P0 &Y0 &J0 &R1 &D2 &C1 &S0 &U0 &K3 \N5 \V 
S0:0 S2:43 S3:13 S4:10 S5:8 S6:6 S7:60 S8:2 S9:6 S10:14 S11:95 S12:100 S19:0 S2 
---TELEPHONE NUMBER---
&Z0=
&Z1=96169
&Z2=2025819220065

OK

atdt96169    #拔96169
CONNECT 48000/V42BIS
                                                                                
*********************************                                               
* Quidway A8010 Internet Server *                                               
* welcome!!                     *                                               
*********************************                                               
please input username:1                                                         
please input password:*                                                         
Entering PPP mode.                                                              
Async interface address is unnumbered(Ethernet0)                                
Header compression will match your system.                                      
Your IP address is: 218.20.82.129 MTU is 1500 bytes

要挂机的话可先按Ctrl+A切换到命令模式，再H键。当屏幕很花时，在命令模式下按C键可清屏。AT命令还有很多，下面给出一些常用的以供参考。

AT&F             恢复出厂设置
ATZ0             软复位
AT&V             显示配置表
AT&W0,1          存写配置表0,1
ATDT96169        音频拔号96169
AT&Z0=96169      保存电话号码到Z0位置,从配置表可查看位置信息
ATDS 0           拔第一个位置的号码
AT&S0=0          禁止自动应答功能
AT&S0=N(1-255)   振铃N次后自动应答
ATM0             关闭扬声器声音
ATM1             接收载波时（拔通后）关闭扬声器声音
ATM2             扬声器一直处于开状态
ATM3             正在接收载波和拔号时关闭扬声器声音
ATL1,2,3         设置扬声器的音量     

默认的minicom配置文件位于/etc/minicom目录下，文件名为minirc.dfl。

一般来说，在使用minicom前需进行配置，以便正确连接串口设备。有两种方式可配置minicom，一种是用minicom -s命令直接从命令行进入配置菜单；另一种方式是用不带参数的minicom命令进入minicom后，在命令模式中配置。minicom的命令模式可Ctrl+A进行切换。按Z键可查看所有的命令。按O键，可进入minicom的配置菜单。在这里我们可配置上传下载文件保存的路径、串口的参数、拔号参数等。配置完成后，可用Save setup as..菜单把配置参数以文件的形式保存起来，下次就可直接用minicom filename命令调用该参数文件了。用Save setup as dfl命令可把配置存在minirc.dfl这个默认配置文件中。

minicom的使用不难，关键是要先了解你所连接串口设备的参数。用man minicom可查看详细的帮助。

Modem拔号网络的速度慢，但在一些环境下还是很有用。如传真和点对点连接。下面这篇有关Modem设置的文章就是我在配置Fax服务器时记录下来。

在配置拔号网络前，请先用上面介绍的Minicom工具与Modem通信，确定Modem在Linux下能正常工作。Modem拔号采用PPP协议与远程的拔号服务器建立连接。在Debian系统下，有一个叫pppconfig配置可帮助我们快速配置pppd拔号网络。运行pppconfig，按向导一步下配置下去就可以了。配置完成保存后，在/etc/ppp/peers目录下会生成一个配置文件，默认是provider。用以下命令启动拔号连接：

debian:~# pon provider       #如果你的连接名不是provider，请用你所起的连接名代替

用以下命令可查看连接日志：

debian:~# plog                 
Aug 29 09:54:01 debian pppd[1708]: sent [IPCP ConfReq id=0x3 <addr 218.20.81.4> <ms-dns1 61.144.56.101> <ms-dns3 202.96.128.86>]
Aug 29 09:54:01 debian pppd[1708]: rcvd [IPCP ConfAck id=0x3 <addr 218.20.81.4> <ms-dns1 61.144.56.101> <ms-dns3 202.96.128.86>]
Aug 29 09:54:01 debian pppd[1708]: Cannot determine ethernet address for proxy A RP
Aug 29 09:54:01 debian pppd[1708]: local  IP address 218.20.81.4
Aug 29 09:54:01 debian pppd[1708]: remote IP address 218.20.64.62
Aug 29 09:54:01 debian pppd[1708]: primary   DNS address 61.144.56.101
Aug 29 09:54:01 debian pppd[1708]: secondary DNS address 202.96.128.86
Aug 29 09:54:01 debian pppd[1708]: Script /etc/ppp/ip-up started (pid 1711)
Aug 29 09:54:02 debian pppd[1708]: Script /etc/ppp/ip-up finished (pid 1711), status = 0x0

用以下命令关闭连接：

debian:~# poff

用以下命令显示连接状态信息：

debian:~# pppstats
      IN   PACK VJCOMP  VJUNC  VJERR  |      OUT   PACK VJCOMP  VJUNC NON-VJ
    9532    145      0      0      0  |       97      5      0      0      5

另外一种方法是利用wvdial这个拔号工具实现Modem拔号上网。操作方法也很简单，先下载wvdial软件包：

debian:~# apt-get install wvdial

下载完软件后会自动运行wvdial的配置程序，要求输入电话号码、用户名和密码。配置程序会自动检测你的Modem并生成/etc/wvdial.conf文件。文件内容如下：

[Dialer Defaults]          #默认的拔号设置，可设置多个Dialer
Phone = 96169
Username = 1
Password = 1
New PPPD = yes
Modem = /dev/ttyS0
Baud = 115200
Init1 = ATZ
Init2 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
ISDN = 0
Modem Type = Analog Modem

当然，我们也可手动运行wvdialconf这个配置程序，如：

debian:~# wvdialconf /etc/wvdial.conf
Scanning your serial ports for a modem.

ttyS0<*1>: ATQ0 V1 E1 -- OK
ttyS0<*1>: ATQ0 V1 E1 Z -- OK
ttyS0<*1>: ATQ0 V1 E1 S0=0 -- OK
ttyS0<*1>: ATQ0 V1 E1 S0=0 &C1 -- OK
ttyS0<*1>: ATQ0 V1 E1 S0=0 &C1 &D2 -- OK
ttyS0<*1>: ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0 -- OK
ttyS0<*1>: Modem Identifier: ATI -- TP560 Data/Fax/Voice 56K Modem
ttyS0<*1>: Speed 4800: AT -- OK
ttyS0<*1>: Speed 9600: AT -- OK
ttyS0<*1>: Speed 19200: AT -- OK
ttyS0<*1>: Speed 38400: AT -- OK
ttyS0<*1>: Speed 57600: AT -- OK
ttyS0<*1>: Speed 115200: AT -- OK
ttyS0<*1>: Max speed is 115200; that should be safe.
ttyS0<*1>: ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0 -- OK

Found a modem on /dev/ttyS0.
Modem configuration written to /etc/wvdial.conf.
ttyS0<Info>: Speed 115200; init "ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0"

配置完成后，用wvdial命令启动拔号：

debian:~# wvdial       #启动默认拔号器，如有多个拔号器，可用wvdial dialer格式指定
--> WvDial: Internet dialer version 1.53
--> Initializing modem.
--> Sending: ATZ
ATZ
OK
--> Sending: ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
OK
--> Modem initialized.
--> Sending: ATDT96169
--> Waiting for carrier.
ATDT96169
CONNECT 45333/V42BIS
--> Carrier detected.  Waiting for prompt.
*********************************
* Quidway A8010 Internet Server *
* welcome!!                     *
*********************************
please input username:
--> Looks like a login prompt.
--> Sending: 1
--> Don't know what to do!  Starting pppd and hoping for the best.
--> Starting pppd at Tue Aug 30 11:11:39 2005
--> pid of pppd: 1858

出现以上信息说明pppd连接成功，用ifconfig可以查看到一个ppp0的连接。

很多笔记本电脑都集成有软猫，下面介绍在Debian/Linux上如何驱动软猫。

我的内核版本环境：

debian:~# uname -a
Linux debian 2.6.17.1 #1 Thu Aug 24 10:20:25 CST 2006 i686 GNU/Linux

用lspci -v命令列出我笔记本电脑上软猫的信息如下：

00:01.6 Modem: Silicon Integrated Systems [SiS] AC'97 Modem Controller (rev a0) (prog-if 00 [Generic])
        Flags: bus master, medium devsel, latency 173, IRQ 9
        I/O ports at 1800 [size=256]
        I/O ports at 1080 [size=128]
        Capabilities: [48] Power Management version 2

到http://linmodems.technion.ac.il下载一个叫scanModem的检测工具。它会详细检测你的系统和modem，检查完成后，在当前目录生成一个Modem的目录，有关检测结果就包含在里面。Modemdata.txt显示了主板上集成软猫的更详细的信息。

card 1: Modem [SiS SI7013 Modem], device 0: Intel ICH - Modem [SiS SI7013 Modem - Modem]

要驱动这个软猫，要重新编译内核，选中以下选项：

Device Drivers --->Sound --->Advanced Linux Sound Architecture  --->PCI devices  ---> Intel/SiS/nVidia/AMD MC97 Modem (EXPERIMENTAL)

编译完成后，会生成snd_intel8x0m模块，这是软猫的内核驱动，它直接与硬件通信，最后我们还需安装一个支持软猫的驱动程序sl-modem-daemon。

debian:~# apt-get install sl-modem-daemon

sl-modem-daemon软件包会进行一些自动配置，生成/dev/modem和/dev/ttySL0链接。

重启电脑，用lsmod命令可以查看snd-intel8x0m模块是否已加载。

debian:~# lsmod
Module                  Size  Used by
smbfs                  53688  2
ppdev                   6788  0
lp                      8260  0
thermal                11016  0
fan                     3300  0
button                  4976  0
processor              15568  1 thermal
ac                      3492  0
battery                 8356  0
usb_storage            52992  0
8250_pci               18112  0
snd_intel8x0m          13196  5                       #成功加载snd_intel8x0m模块
snd_ac97_codec         80352  1 snd_intel8x0m
snd_ac97_bus            1856  1 snd_ac97_codec
snd_pcm                65864  4 snd_intel8x0m,snd_ac97_codec
snd_timer              17316  1 snd_pcm
snd                    35864  12 snd_intel8x0m,snd_ac97_codec,snd_pcm,snd_timer
sis_agp                 5956  1
agpgart                26320  1 sis_agp
8250_pnp                8352  0
8250                   16180  2 8250_pci,8250_pnp
serial_core            14560  1 8250
parport_pc             33220  1
parport                28296  3 ppdev,lp,parport_pc
joydev                  7488  0
evdev                   7296  0
soundcore               6592  1 snd
snd_page_alloc          7400  2 snd_intel8x0m,snd_pcm

如果能正常加载snd-intel8x0m模块，就可以启动sl-modem-daemon进程了。

debian:/etc/init.d# ./sl-modem-daemon start
starting SmartLink Modem driver for: modem:1.
Creating /dev/modem symlink, pointing to: /dev/ttySL0.

正常启动sl-modem-daemon进程后，我们就可使用软猫啦。通过上面我们介绍的minicom和wvdial工具可以测试软猫。注意，软猫的设备端口号是/dev/ttySL0。

远程维护能有效减轻系统管理员的工作强度，并能提高管理效率。所以公司一般都会设置有VPN服务器以支持远程安全登录。现在的VPN服务器一般都同时支持pptp和IPSec两种协议，在Debian中我们可通过pptp client连接远程VPN服务器。pptp client是一种开源的pptp客户端，位于http://pptpclient.sourceforge.net/，网站上有pptp client的详细介绍。要使用pptp client，我们可手工安装配置，也可通过图形化的配置工具来进行安装和配置。安装方法如下：

pptpconfig是GTK+程序，需在X window环境下才能运行。但有时我们会在字符终端模式下启用SSH连接，以进行远程维护。这时我们要用到pon、poff程序。pon用于VPN拔号，poff用于断开VPN连接。要正常使用这两个程序，前提是要按上面的配置方法成功配置了一个VPN连接。假设我们已建立了一个名为remote的VPN连接，则可用以下命令连接VPN服务器。

debian:~# pon remote      # 建立一个VPN连接
debian:~# plog            # 查看VPN连接状态信息
#如要访问另一网段192.168.3.0，需为这个VPN通道添加一条到192.168.3.0网段的路由信息
debian:~# route add -net 192.168.3.0 netmask 255.255.255.0 dev ppp1   
debian:~# poff remote     # 断开VPN连接

remote这个VPN连接的信息主要存放在两个文件中，分别是/etc/ppp/chap-secrets和/etc/ppp/peers/remote。如果没有pptpconfig这个图形化配置工具，我们也可参考这两个文件的配置格式，手工配置。

如果你要挂接的Windows分区是ntfs分区，而Linux系统采用的locale是zh_CN.GB2312或zh_CN.GBK，分区成功挂接后，会出现一些中文文件名的文件不能识别文件类型的情况。解决办法是把Linux的locale换成zh_CN.UTF-8。在挂接分区时把iocharset参数的值由gb2312换成utf8即可。

Fcitx的全称是Free Chinese Input Toy for X，这是一个由中国人开发的输入法软件，项目网址位于http://www.fcitx.org。Fcitx已进入Debian软件包系统，用apt-get install fcitx即可安装。它的配置文件是~/.fcitx/config。该文件是GB2312编码的，编辑时要注意。你可在该文件中配置输入法的字体，显示效果和快捷键等，配置简单明。

[程序]
显示字体(中)=*
显示字体(英)=Courier
显示字体大小=14
主窗口字体大小=12
是否使用AA字体=1

[输出]
数字后跟半角符号=1
Enter键行为=2
分号键行为=2
大写字母输入英文=1
转换英文中的标点=1
联想方式禁止翻页=1

[界面]
候选词个数=5
主窗口是否使用3D界面=0
输入条使用3D界面=2
主窗口隐藏模式=1
显示虚拟键盘=1
是否自动隐藏输入条=1
输入条是否居中=1
首次显示输入条=1
#输入条固定宽度仅适用于码表输入法，0表示不固定宽度
输入条固定宽度=400
序号后加点=0
显示打字速度=1
光标色=92 210 131
主窗口背景色=220 220 220
主窗口线条色=100 180 255
主窗口输入法名称色=170 170 170 150 200 150 0 0 255
输入窗背景色=240 240 240
输入窗提示色=255 0 0
输入窗用户输入色=0 0 255
输入窗序号色=200 0 0
输入窗第一个候选字色=0 150 100
#该颜色值只用于拼音中的用户自造词
输入窗用户词组色=0 0 255
输入窗提示编码色=100 100 255
#五笔、拼音的单字/系统词组均使用该颜色
输入窗其它文本色=0 0 0
输入窗线条色=100 200 255
输入窗箭头色=255 150 255
虚拟键盘窗背景色=220 220 220
虚拟键盘窗字母色=80 0 0
虚拟键盘窗符号色=0 0 0

#除了“中英文快速切换键”外，其它的热键均可设置为两个，中间用空格分隔
[热键]
打开/关闭输入法=CTRL_SPACE
#中英文快速切换键 可以设置为L_CTRL R_CTRL L_SHIFT R_SHIFT
中英文快速切换键=L_SHIFT
双击中英文切换=0
击键时间间隔=250
光标跟随=CTRL_K
GBK支持=CTRL_M
联想支持=CTRL_L
反查拼音=CTRL_ALT_E
全半角=SHIFT_SPACE
中文标点=ALT_SPACE
上一页=-
下一页==
第二三候选词选择键=SHIFT

[输入法]
使用拼音=1
使用双拼=0
使用区位=0
使用码表=1
提示词库中的词组=0

[拼音]
使用全拼=0
拼音自动组词=1
保存自动组词=0
增加拼音常用字=CTRL_8
删除拼音常用字=CTRL_7
删除拼音用户词组=CTRL_DELETE
#拼音以词定字键，等号后面紧接键，不要有空格
拼音以词定字键=[]
#重码调整方式说明：0-->不调整  1-->快速调整  2-->按频率调整
拼音单字重码调整方式=2
拼音词组重码调整方式=1
拼音常用词重码调整方式=0
是否模糊an和ang=0
是否模糊en和eng=0
是否模糊ian和iang=0
是否模糊in和ing=0
是否模糊ou和u=0
是否模糊uan和uang=0
是否模糊c和ch=0
是否模糊f和h=0
是否模糊l和n=0
是否模糊s和sh=0
是否模糊z和zh=0

版本=3.2.1
主窗口位置X=500
主窗口位置Y=1
输入窗口位置X=312
输入窗口位置Y=668
是否全角=0
是否中文标点=1
是否GBK=0
是否光标跟随=0
是否联想=0
当前输入法=1
禁止用键盘切换=1
简洁模式=0

9.21.3. 在KDE环境下设置fcit开机自启动

在正确定安装KDE中文桌面环境的前提下，具体的操作方式请参见上面的相关内容。在/etc/X11/Xsession.d/目录下新建一个文件92fcitx，内容如下：

export LANG="zh_CN.UTF-8"     #设置中文locales，如果不设，fcitx启动后乱码，不能使用。
export XIM_PROGRAM=fcitx
export XIM=fcitx
export XMODIFIERS="@im=fcitx"
fcitx&

	在kdm中好象不能像GDM一样设置locales，所以需手动用export设置。

在/etc/X11/Xsession.d/目录下的所有配置文件在X启动时都会被自动执行。所以我就利用了这个特性，在该目录下新建了一个92fcitx文件，用以启动fcitx。类似于gnome环境下的/etc/X11/Xsession.d/55gnome-session_gnomerc文件的作用。注意，这不是唯一的方法，因为在x启动过程中会自动运行很多个脚本，所以在这些脚本中插入fcitx的启动脚本也是可行的。这就是linux高可配置的体现。

update-alternatives是dpkg的实用工具，用来维护系统命令的符号链接，以决定系统默认使用什么命令。在Debian系统中，我们可能会同时安装有很多功能类似的程序和可选配置，如Web浏览器程序(firefox，konqueror)、窗口管理器(wmaker、metacity)和鼠标的不同主题等。这样，用户在使用系统时就可进行选择，以满足自已的需求。但对于普通用户来说，在这些程序间进行选择配置会较困难。update-alternatives工具就是为了解决这个问题，帮助用户能方便地选择自已喜欢程序和配置系统功能。下面一个显示可选的窗口管理器的示例：

root@debian:~# update-alternatives --display x-window-manager
x-window-manager - status is auto.                 #当前配置状态为自动方式
 link currently points to /usr/bin/metacity        #当前的窗口管理器是metacity
/usr/X11R6/bin/twm - priority 40                   #下面是可选的窗口管理器列表，后面的数字表示优先级
 slave x-window-manager.1.gz: /usr/X11R6/man/man1/twm.1x.gz
/usr/bin/wmaker - priority 50
 slave x-window-manager.1.gz: /usr/share/man/man1/wmaker.1x.gz
/usr/bin/larswm - priority 20
 slave x-window-manager.1.gz: /usr/share/man/man1/larswm.1x.gz
/usr/bin/fluxbox - priority 50
 slave x-window-manager.1.gz: /usr/share/man/man1/fluxbox.1.gz
/usr/bin/xfwm - priority 20
 slave x-window-manager.1.gz: /usr/share/man/man1/xfwm.1.gz
/usr/bin/icewm - priority 50
 slave x-window-manager.1.gz: /usr/share/man/man1/icewm.1x.gz
/usr/bin/metacity - priority 60
 slave x-window-manager.1.gz: /usr/share/man/man1/metacity.1.gz
Current `best' version is /usr/bin/metacity.        #自动选择方式会选择优先级高的程序

重新设置窗口管理器方法：

root@debian:~# update-alternatives --config x-window-manager

There are 7 alternatives which provide `x-window-manager'.

  Selection    Alternative
-----------------------------------------------
      1        /usr/X11R6/bin/twm
      2        /usr/bin/wmaker
      3        /usr/bin/larswm
      4        /usr/bin/fluxbox
      5        /usr/bin/xfwm
      6        /usr/bin/icewm
*+    7        /usr/bin/metacity

Press enter to keep the default[*], or type selection number:

星号表示当前系统使用的，加号表示优先级最高的。输入数值可修改默认配置，直接按回车保持原来状态。

修改debian系统默认浏览器的示例：

debian:~#update-alternatives --config x-www-browser

There are 3 alternatives which provide `x-www-browser'.

  Selection    Alternative
-----------------------------------------------
      1        /usr/bin/mozilla
*+    2        /usr/bin/epiphany
      3        /usr/bin/mozilla-firefox

Press enter to keep the default[*], or type selection number: 3
Using `/usr/bin/mozilla-firefox' to provide `x-www-browser'.

下面再举一个通过update-alternatives修改鼠标主题的示例。

同上示例，通过以下命令可列出当前鼠标可用主题：

root@debian:~# update-alternatives --config x-cursor-theme

There are 5 alternatives which provide `x-cursor-theme'.

  Selection    Alternative
-----------------------------------------------
      1        /etc/X11/cursors/core.theme
      2        /etc/X11/cursors/redglass.theme
      3        /etc/X11/cursors/whiteglass.theme
      4        /etc/X11/cursors/handhelds.theme
*+    5        /usr/share/themes/Industrial/cursor.theme

Press enter to keep the default[*], or type selection number:

现在我们从网上下载一个新的主题，要把它安装到系统上，并设置新安装的鼠标主题为默认配置。

学习开源软件，需查看大量的英文资料，所以翻译软件是必须的一个工具。星际译王是一个由中国人开发的开源翻译软件，支持真人发音。软件主页是http://stardict.sourceforge.net，下面是我在Debian系统中的安装过程。

星际译王还支持在pdf文件中即点即译功能，我在Adobe Reader7.0已测试通过。用Adobe Reader打开pdf文件时，默认是"hand tool"模式，也就是光显示是手型的。这时是不能即点即译的。需设置"select tool"模式，也就是光标是"工"字型时我们就可点选pdf文件中的单词进行即时翻译。

rmvb和rm是最常用的视频文件格式，网上的压缩电影多数都是使用这些格式。在Debian中，其实也可说是在Linux中，播放rmvb和rm格式文件的方法有两种。一种是使用最正宗的RealPlayer播放器，另一种是使用xine或Mplayer等播放软件再加上相应的解码器。下面我将分别介绍这两种方法。

# chmod a+x RealPlayer10GOLD.bin
# ./RealPlayer10GOLD.bin

在Linux下使用Mplayer和totem也可以播放Windows平台的wmv和asf文档。只要安装相应的解码包就可以了。如果你使用的提Totem，则可以到http://www.mplayerhq.hu/MPlayer/releases/codecs/下载essential-20060501.tar.bz2解码包。解压后把essential-20060501目录下的所有文件拷贝到~/.gnome2/totem-addons/目录。这样，你的Totem就可以播放wmv和asf文件啦。

直接用apt-get install xchm即可。

GDM即是GNOME显示管理器（GNOME Display Manager），用来管理你的X会话，提供登录窗口。类似XDM，但比XDM稳定和有趣得多。它的主页位于http://yippi.hypermall.com/gdm/index.shtml。

splash主题就是在输入用户名称密码登录后，载入gnome时，在屏幕中间显示系统加载进度的图片。该图片放在/usr/share/images/desktop-base/或/usr/share/pixmaps/splash目录下。在Debian中它属可选系统，可用update-alternatives工具来配置，配置的参数是desktop-splash。配置方法如下：

QEMU是一个开源的Pc模拟器，功能和Vmware类似，但Vmware是商业产品。QEMU项目位于以下网址：http://fabrice.bellard.free.fr/qemu/。QEMU现时能支持的操作系统已有很多，包括Windows系列平台和各Unix like平台，具体的情况可到QEMU的项目网站查看。和Vmware相比，暂时来说，模拟的系统的运行速度还不理想，但QEMU的开发社区很活跃，软件更新较快，是很有前途的一个开源模拟器，让我们多些关注它的发展。

我在Debian系统上安装了QEMU，并在QEMU的模拟环境中成功安装了Winme系统。下面是我的安装过程。

qemu的命令行参数是很灵活的，可用qemu -h查看。我的电脑配置是PII 600 256M内存，用qemu模拟的Windows Me速度较慢，还达不到可正常使用的水平。作为一个开源的模拟器，做到这个程度已很不错了，希望qemu开发组能尽提高模拟器的性能，为开源社区提供一个可行的模拟器解决方案，让我们能彻底放弃vmware这些商业的模拟器。qemu还有一个加速的patch，可使qeum的速度大大提高，但好象在debian的软件包中没有包含该patch，所以还没测试过。

Debian软件包管理系统会自动管理软件的依赖关系，使我们在安装软件时方便了很多，不用理会复杂的软件依赖关系，这也是Debian发行版的一大特色。但了解软件包的依赖关系对你熟悉Linux和进行系统开发是很有好处的，所以Debian也提供了工具帮我们生成软件包的依赖关系图。操作步骤如下，首先，安装相关的工具：

debian:~# apt-get install apt-rdepends springgraph

用以下命令生成软件包的依赖关系图：

debian:~# apt-rdepends -d zope | springgraph > zope.png

这样就生成了zope软件包的依赖关系图zope.png。

Windows提供了一种远程桌面系统，可使用户远程登录进行系统管理或作为终端服务器运行各种应用软件。要连接Windows远程桌面，需在Windows客户端安装相应的软件（tsclient）。如果你是Windows服务器管理员肯定使用过该工具，因为远程桌面能大大方便系统管理员远程维护服务器。在Linux系统中，我们也可通过rdesktop工具连接Windows远程桌面。

debian:~# apt-get install rdesktop

使用方法：

debian:~# rdesktop -f -a 16 192.168.0.2

-f表示全屏显示，-a 16表示使用16 bit色，192.168.0.2是Windows服务器地址。

	退出远程桌面时要选择“注销”，不要选择“关机"。

在我的GNOME桌面环境中使用了ALSA声音系统。装好系统后，终于可在Linux中听我喜欢的爱尔兰风笛了。但美中不足的是每次重启电脑后，音量设置都复位了，需重新调整音量。经研究，原来是我没有把ALSA声音系统的当前设置状态保存到/var/lib/alsa/asound.state中。而每次重启电脑时，ALSA系统的初始化脚本（/etc/init.d/alsa）会用/var/lib/alsa/asound.state这个默认的配置文件来设置ALSA系统的状态。所以就造成用户自已配置的状态失效，每次重启都还原到初始状态。OK，知道原因了，就可对症下药了。有一个工具叫alsactl，它可自动把当前配置信息保存到/var/lib/alsa/asound.state中。alsactl包含在alsa-utils软件包中。用以下命令安装：

debian:~# apt-get install alsa-utils

把音量、音色等调整好后，再用以下命令把当前声卡的状态保存到/var/lib/alsa/asound.state文件中：

debian:~# alsactl store

重启电脑，马上就可聆听到自由的声音了。

在Linux下有很多屏幕载图的工具，下面简单介绍一下：

WebDAV的全称是“Web-base Distributed Authoring and Versioning”。它是HTTP协议的扩展，允许我们在远程管理和编辑Web服务器上的文件。现在很多Web服务器都支持WebDAV，包括最有名的Apache和Zope。要访问WebDAV服务，需要安装客户端，这里介绍的一个工具叫Cadaver，它是一个字符界面的工具，类似于FTP。支持文件的上传、下载和在线编辑等功能。它是一个自由软件，在GNU GPL协议下发布。

安装方法很简单，使用apt-get install cadaver即可完成。下面介绍一下主要的用法：

Linux下的办公套件首选OpenOffice，功能极为强大，完全能满足正常办公的需求。安装命令如下：

debian~:# apt-get install openoffice.org openoffice.org-l10n-zh-cn openoffice.org-help-zh-cn

OpenOffice软件包有70多兆，下载的时间较长，请耐心等待。

Gaim是一个跨平台的IM客户端，支持多种IM协议，如AIM、MSN和Jabber等。Google talk是Google推出的IM服务，它采用了开放的XMPP协议。下面介绍如何在Gaim中登Google talk。

登录Google talk需要有Gmail帐号，在登录前请先准备好。在Debian中安装Gaim软件很简单，Debian已有一个gaim软件包，真接apt-get install gaim即可。

安装完成后就可运行gaim了。点击“帐户”--“添加”按钮添加一个新帐户。依次填入以下信息：

协议：Jabber
用户名：jims.yang       #不含Gmail.com后缀的Gmail帐户名
服务器：gmail.com       
资源：Gaim              #默认值       
密码：xxxx              
别名：Jims              #别名，可选填写

接着点击“显示全部选项”，配置Jabber选项：

选中“若可用则使用TLS”和“允许在不加密流上的纯文本验证”两个选项
端口：5222
连接服务器：talk.google.com
代理类型：无代理

点击“保存”，完成帐户设置。点击在线即可连接google talk。

Freemind是一种名为Mind Mapping（思维导图）的软件，可帮助我们整理头脑中的放射性思维。在Debian中的freemind是0.7.1版的，已比较旧了，少了很多功能。所以我们不安装该版本。我们直接到freemind官方网站上去下载最新的Debian软件包。freemind的官方网址是：http://freemind.sourceforge.net/

我的安装过程如下：

用freemind命令即可进入程序，程序菜单已全部汉化，使用起来很方便。freemind创建的文件格式是以.mm为后缀的。它可导出多种文件格式，如XHTML、PNG和OpenOffice文档等。如果你想把你做的.mm文件放到网站使其他人访问，你可以处用freemind-browser软件包。该软件包在http://sourceforge.net/projects/freemind/下载。解开后有两个文件，分别是freemindbrowser.html和freemindbrowser.jar。把它们和要显示的freemind文件拷贝到Web服务器上，最后修改freemindbrowser.html文件，如：

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML//EN">
<html>
<!-- This launcher works fine with Explorer (with Javascript or without) as
     well as with Mozilla on Windows -->
<head>
  <title>2006年工作计划</title>            #改这里
  <!--   ^ Put the name of your mind map here -->
</head>
<body leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
  <APPLET CODE="freemind.main.FreeMindApplet.class"
          ARCHIVE="freemindbrowser.jar" WIDTH="100%" HEIGHT="100%">
  <PARAM NAME="type" VALUE="application/x-java-applet;version=1.4">
  <PARAM NAME="scriptable" VALUE="false">
  <PARAM NAME="modes" VALUE="freemind.modes.browsemode.BrowseMode">
  <PARAM NAME="browsemode_initial_map"
         VALUE="http://localhost/freemind/2006.mm">    #改这里，指向你要显示的freemind文件名
  <!--          ^ Put the path to your map here  -->
<param NAME="initial_mode" VALUE="Browse">
<param NAME="selection_method" VALUE="selection_method_direct">
</applet>
</body>
</html>

在浏览器上打上http://localhost/freemiad/freemindbrowser.html即可访问你的2006.mm文件了。通过这种方式访问freemind文件，你可在浏览器中通过点击来打开和关闭层次。你也可把导出的HTML文档全部拷贝到Web服务器上，在浏览器上直接访问。

freemind通过Plugin扩展freemind的功能。下面分别介绍：

Emacs无疑是编辑器的王者，历史悠久，功能强大，我这篇笔记就是使用emacs加psgml-mode完成的。现在Emacs对中文的支持已很好了，完全可以用于中文的生产环境。本章主要介绍Emacs在Debian下的安装和配置过程。具体的使用可参考我的Emacs学习笔记。

通过KIO-enable的应用软件，如Konqueror。我们能象本地文件一样访问和操作网络上的文件。KIO支持多种网络协议的透明访问，如ftp,smb,ldap，ssh,nfs,webdav等。这些由KIO支持的协议叫kioslaves。

KDE下的打开文件对话框也是KIO-enable的，我们可在该对话框里用fish://等的格式打开远程主机上的文件。这里有个完整的kioslaves列表。http://docs.kde.org/stable/en_GB/kdebase/kioslave/index.html。

在Linux上已经有了FireFox这么好的浏览器，为什么我们还需要IE呢。对一般用户来说可能不需要，但对Web开发人员来说就不同啦。为了获得最好的用户体验，Web应用程序应该能适应多种主流的浏览器。这使得他们在开发程序时需在不同的浏览器上进行测试。在Linux平台下，利用Wine软件我们已可完美地运行IE浏览器。这使得Web开发人员不需在Linux和Windows平台间来回切换。

IEs4Linux是一个快速安装IE的脚本，我们可到http://www.tatanka.com.br/ies4linux/index-en.html下载。在运行该脚本前，请确认系统已安装Wine和cabextract。安装过程如下：

localhost:~/inst/ies4linux-2.0beta8# ./ies4linux
Wine exited with a successful status
You are root! This is very discouraged! IE is too insecure for you to give him root access.
Want a tip from a friend? Run me as your normal user or, what's better, if you can, create a separate user ju
st do handle your IEs.              #警告信息：因为IE不安全，以root用户运行会有安全隐患

Welcome, root! I'm IEs4Linux.
I can install IE 6, 5.5 and 5.0 for you easily and quickly.
You are just four 'enter's away from your IEs.

I'll ask you some questions now. Just answer y or n (default answer is the bold one)

IE 6 will be installed automatically.
Do you want to install IE 5.5 SP2 too? [ y | n ] n          #选择n，不安装IE 5.5 SP2

And do you want to install IE 5.01 SP2? [ y | n ] n         #选择n，不安装IE 5.01 SP2

IEs can be installed using one of the following locales:
EN-US PT-BR DE FR ES IT PT HU RU NL SV
JA KO NO DA CN TW FI PL AR HE CS EL TR
Default is EN-US. Hit enter to keep it or choose a different one:
CN     #输入CN

By default, I will install everything at /root/.ies4linux
I will also install Flash 8 plugin and create Desktop shortcuts.
Is that ok for you? (To configure advanced options type n) [ y | n ]     #选择默认的安装目录就可以啦

All right! Let's start the installations...

Downloading everything we need       #脚本自动到网上下载安装IE所需的文件
 DCOM98.EXE
 mfc40.cab
 249973USA8.exe
 ADVAUTH.CAB
 CRLUPD.CAB
 HHUPD.CAB
 IEDOM.CAB
 IE_S1.CAB
 IE_S2.CAB
 IE_S5.CAB
 IE_S4.CAB
 IE_S3.CAB
 IE_S6.CAB
 SCR56EN.CAB
 SETUPW95.CAB
 FONTCORE.CAB
 FONTSUP.CAB
 VGX.CAB
 swflash.cab
[ OK ]

Installing IE 6                     #开始安装
 Initializing
 Creating Wine Prefix
 Extracting CAB files
 Processing inf file
Wine exited with a successful status
 Installing IE 6
 Installing TTF Fonts
 Installing RICHED20
Wine exited with a successful status
 Installing ActiveX MFC40
Wine exited with a successful status
 Installing DCOM98
Wine exited with a successful status
 Installing registry
 Finalizing
[ OK ]

Installing Flash Player 8
 Extracting files
 Installing flash on ie6
Wine exited with a successful status
[ OK ]

IEs 4 Linux installations finished!  #安装成功，自动运行IE

Mutt是一个功能强大的邮件客户端软件，它使用Linux传统的字符界面。

安装:

debian:#~ apt-get install mutt

全局配置文件是/etc/Muttrc，每用户配置文件是~/.muttrc。

在命令行状态直接打mutt即可进入mutt，一些常用键说明：

常用配置说明：

邮件的附件都是MIME(Multi-Purpose Internet Mail Extension)格式的，在Mutt中可以直接打开，控制使用什么程序打开附件的设置位于mailcap文件中。全局配置位于/etc/mailcap中，用户配置位于~/.mailcap中。

Mutt项目网站上有详细的配置和使用说明，这里就不一一介绍啦，请到Mutt项目网址：http://www.mutt.org查看。

gpg是pgp加密软件的免费版本，由Gnu工程开发，不存在任何专利或许可问题。它符合RFC2440号文档所定义的OpenPGP标准。gpg在加密文件时使用的是公共密钥加密方法。下面介绍使用gpg的步骤：

创建gpg密钥，过程如下：

debian:~# gpg --gen-key
gpg (GnuPG) 1.4.5; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

请选择您要使用的密钥种类：
   (1) DSA 和 ElGamal (默认)
   (2) DSA (仅用于签名)
   (5) RSA (仅用于签名)
您的选择？ 1                             #选择密钥种类
DSA 密钥对会有 1024 位。
ELG-E 密钥长度应在 1024 位与 4096 位之间。
您想要用多大的密钥尺寸？(2048)           #选择密钥长度
您所要求的密钥尺寸是 2048 位
请设定这把密钥的有效期限。
         0 = 密钥永不过期
      <n>  = 密钥在 n 天后过期
      <n>w = 密钥在 n 周后过期
      <n>m = 密钥在 n 月后过期
      <n>y = 密钥在 n 年后过期
密钥的有效期限是？(0)                    #选择密钥有效期
密钥永远不会过期
以上正确吗？(y/n)y                       #确认以上选择

您需要一个用户标识来辨识您的密钥；本软件会用真实姓名、注释和电子邮件地址组合
成用户标识，如下所示：
    “Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>”

真实姓名：jims.yang                      #输入用户标识，包括真实姓名，邮件地址和注释
电子邮件地址：jims.yang@gmail.com
注释：jims.yang's GnuPG key
您选定了这个用户标识：
    “jims.yang (jims.yang's GnuPG key) <jims.yang@gmail.com>”

更改姓名(N)、注释(C)、电子邮件地址(E)或确定(O)/退出(Q)？o       #确认以上输入
您需要一个密码来保护您的私钥。           #输入口令短语

我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
鼠标、读写硬盘之类的)，这会让随机数字发生器有更好的机会获得足够的熵数。
.++++++++++++++++++++++++++++++.+++++++++++++++.+++++.++++++++++.+++++++++++++++..++++++++++..+++++++++++++++++++++++++..++++++++++++++++++++.+++++.>+++++.............+++++
我们需要生成大量的随机字节。这个时候您可以多做些琐事(像是敲打键盘、移动
鼠标、读写硬盘之类的)，这会让随机数字发生器有更好的机会获得足够的熵数。
+++++.+++++.++++++++++....+++++...+++++..+++++++++++++++.++++++++++++++++++++..++++++++++.++++++++++.+++++.+++++++++++++++++++++++++++++++++++....++++++++++.+++++++++++++++....>+++++.+++++^^^
gpg: 密钥 4688E183 被标记为绝对信任
公钥和私钥已经生成并经签名。

gpg: 正在检查信任度数据库
gpg: 需要 3 份勉强信任和 1 份完全信任，PGP 信任模型
gpg: 深度：0 有效性：  1 已签名：  0 信任度：0-，0q，0n，0m，0f，1u
pub   1024D/4688E183 2006-10-31
密钥指纹 = 7C15 5515 0E08 9ACB 37C1  0C6F 67BE 56AB 4688 E183
uid                  jims.yang (jims.yang's GnuPG key) <jims.yang@gmail.com>
sub   2048g/53BF4033 2006-10-31
debian:~#

完成密钥创建后，生成一对密钥，一个是私用密钥，一个是公共密钥。私用密钥要保存好，不能泄漏给任何人，私钥已被你输入的口令短语加密。公钥需分发给其他人，用来加密将要发送给你的文件。你收到加密文件后，就可用你的私钥进行解密。公钥可用以下命令提取出来：

debian:~# gpg --armor --export > jims.key
debian:~# cat jims.key
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.5 (GNU/Linux)
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=Uff0
-----END PGP PUBLIC KEY BLOCK-----
debian:~#

--armor开关表示以ASCII格式输出内容。生成的jims.key文件的内容就是我的公钥，我们可以通过电子邮件把公钥分发出去。当我们收到很多人的公钥时，为了使用和保管方便，gpg提供一个文件专门存放公钥。这个文件叫pubring.gpg，位于~/.gnupg目录下。用以下命令可把公钥导入该文件。

debian:~# gpg --import test.key

重复以上命令可以添加多个公钥，要查看pubring.gpg文件中保存了多少个公钥，可用以下命令：

debian:~# gpg -kv
/root/.gnupg/pubring.gpg
------------------------
pub   1024D/4688E183 2006-10-31
uid                  jims.yang (jims.yang's GnuPG key) <jims.yang@gmail.com>
sub   2048g/53BF4033 2006-10-31

下面测试使用公钥来加密一个文件。

debian:~# gpg -ea -r 4688E183 a.py

-e开关表示加密，-a开关（--armor）表示使用ASCII格式加密，-r开关指定加密公钥。运行该命令后，在当前目录下会生成一个a.py.asc文件，该文件就是经过加密的文件。使用-a开头生成的加密文件比源文件大了不少，我们也可不用-a开头，生成的加密文件后缀会变为.gpg，文件大小与源文件相差不大。那我们什么时候应该使用-a开关，什么时候不应该使用呢？当我们通过电子邮件附件的形式发送加密文件，由于不同邮件服务器或邮件客户端对附件的处理会有不同，所以我们在这种情况下应该使用-a开关，把加密文件存成ASCII格式。如果加密文件是通过HTTP、scp或ftp等协议进行传输，则不用使用-a开关，以节省磁盘空间。总而言之，只要用来传送加密文件的传输机制有能力处理二进制文件，就不需要加-a加关。

当我们收到使用公钥加密的文件时，就可以使用我们私钥进行解密。

debian:~# gpg -o a.py -d a.py.asc

您需要输入密码，才能解开这个用户的私钥：“jims.yang (jims.yang's GnuPG key) <jims.yang@gmail.com>”
2048 位的 ELG-E 密钥，钥匙号 53BF4033，建立于 2006-10-31 (主钥匙号 4688E183)

gpg: 由 2048 位的 ELG-E 密钥加密，钥匙号为 53BF4033、生成于 2006-10-31
      “jims.yang (jims.yang's GnuPG key) <jims.yang@gmail.com>”

-o选项表示输出的文件名，-d选项表示进行解密操作。

OpenSSL作为Apache和SSH的加密组件已为大家所熟知，OpenSSL软件包并非只有libcrypto或libssl这样的动\\ 态链接库，还有一个命令行程序叫openssl，利用openssl程序我们可以用多种加密算法对文件进行加密操作，如：

debian:~# openssl enc -bf -e -a -in a.py -out a.bf
enter bf-cbc encryption password:
Verifying - enter bf-cbc encryption password:
生成一个a.bf加密文件，内容如下：
2FsdGVkX1/V1j1vzqspuhvxKPvHfb8uXgP6dlT+yrwQz0tJ9eT2f0aTTD0dUJWb
ZSY4jtoqdzmO3U0KFLOMHj+Wac+QW49bts9vQ8dAZi6JPzPvCiJNbNUKWZy33Z1X
khs473aE3dgSZbxCT/0VpQ==

enc -bf选项表示使用blowfish算法；-e选项表示加密；-a选项表示使用ASCII格式进行编码。-in选项指定要\ 加密的文件，-out选项指定加密后生成的文件名。解密的语法与加密类似：

debian:~# openssl enc -bf -d -a -in a.bf -out a.bf.txt
enter bf-cbc decryption password:

解密的选项与加密差不多，-d表示解密，其它选项的作用与加密时一样。

硬件配置情况：一台IBM X335服务器，配置Intel Xeon 2.8G CPU，1G内存，两个36G硬盘(RAID 1)，BroadCom bcm5700千兆网卡。软件配置：Debian woody stable 3.0，采用bootbf2.4.iso进行网络安装，安装步骤如下：

由于默认安装的2.4.20内核不支持超线程技术和大内存，所以需重新编译内核。我以编译2.4.28内核为例说明，2.6内核的编译方法也是一样的。

2.6内核的编译过程和上面的一样。主要是配置内核时菜单会有些不同。在2.6内核中，模块是用module-init-tools来管理的，所以如果需加载模块，就要安装该工具。

Linux是一个开放的、高可配置的操作系统，一个合格的Linux系统管理员应该可支持不同应用环境的要求。下面介绍一些管理工具，可帮助我们了解系统状态和优化系统。

Apache是Internet上应用最广的Web Server。Apache2是Apache1.x的升级版本，集成了大量最新的技术。

Listen 80
Listen 8000

<VirtualHost *:80>
 ServerName www.example1.com
 DocumentRoot /var/www/example1
</VirtualHost>

<VirtualHost *:8000>             
 ServerName www.example2.com
 DocumentRoot /var/www/example2
</VirtualHost>

<IfModule prefork.c>
StartServers 10
MinSpareServers 10
MaxSpareServers 15
ServerLimit 2000
MaxClients 1000
MaxRequestsPerChild 10000
</IfModule>

Zope是一个开源的、面向对象的Web服务器，主要用Python语言编写。在Debian平台上也有相应的软件包，安装方式也比其它平台简单很多。下面介绍一下Zope2.7的安装步骤：

Zope 3.1.0b1是Zope 3第一个正式发布的版本，它取消了X代号，表示Zope 3已逐渐成熟，可用于产品开发。Debian的Sarge版软件包还没有包含Zope 3，所以只能从源码安装。具体的安装步骤如下：

Zope 3的安装已完成，Zope 3与Zope 2在设计思路上有很大的不同，我们需花时间熟悉一下Zope 3的管理界面和开发方法。

Zope3.1已发布，从源码编译安装的方法和上面介绍的一样。在Debian的Sid系统中已可用apt-get命令安装Zope3包了，大大简化了安装过程。

MySQL是最著名的开源数据库，现在正在开发的5.0版将具有大量的新特性，如存储过程和事务处理等。MySQL的性能正一步步地迫近Oracle、DB2等商业大型数据库，给这些产品造成了很大的压力。

在Debian中安装MySQL服务器是很方便的，使用apt-get命令即可完成。

debian:~# apt-get install mysql-server mysql-client

mysql-server是服务器程序，mysql-client是客户端程序。我们可通过客户端程序来管理服务器，也可通过一些开源的GUI程序来维护服务器，如phpmyadmin，mysqlcc等。推荐使用phpmyadmin这个B/S的管理程序，通过浏览器就可方便高效地管理网络上的数据库。

有关MySQL数据库的管理的操作请参考本站的MySQL学习笔记。

Samba服务器是Linux平台上的Windows文件服务器和打印服务器，可供Windows用户或Linux用户共同使用，是Linux与Windows之间信息沟通的桥梁。安装命令如下：

debian~:# apt-get install samba smbclient

samba是服务器软件包，smbclient是客户端软件包，可选安装。Samba服务器的配置文件叫smb.conf，位于/etc/samba/目录下。在/usr/share/samba/目录下也有一个smb.conf文件备份，如果你在配置服务器时把/etc/samba/smb.conf改乱了，就可以用该文件来恢复到初始状态。启动脚本位于/etc/init.d/目录下，叫samba，如果修改了smb.conf配置文件，可用samba restart命令重启Samba服务器。

/etc/default/samba文件可设置samba服务器的启动方式，是daemons还是inetd，默认的设置是采用daemons方式的：

# Defaults for samba initscript
# sourced by /etc/init.d/samba
# installed at /etc/default/samba by the maintainer scripts
#

#
# This is a POSIX shell fragment
#

# How should Samba (smbd) run? Possible values are "daemons"
#       or "inetd".
RUN_MODE="daemons"

关闭服务器可用smbcontrol这个程序。命令格式如下：

debian:~# smbcontrol smbd shutdown

为使Samba服务器正常使用，还需作一些设置。

这样，最基本的Samba服务器就设置好了，在Windows上就可用test用户名访问Samba服务器上的/home/test目录了。我们还设置了一个共享目录d，指向本机的/mnt/hda5目录。该共享只能由root用户访问。当然，同test用户一样，在连接前要先用smbpasswd -a root命令创建叫root的samba用户。在Linux下我们可以用smbclient //samba_server/sharename命令访问samba服务器共享目录。

Samba服务器的功能是很强大的，有关Samba服务器的详细配置和使用介绍请参考网站上的Samba学习笔记。

我们可通过quota来设置磁盘的配额，限定某个用户只能使用有限的硬盘空间，这在文件服务器和邮件服务器上是很常用的。Linux通过quota程序支持磁盘配额，它以分区(partition)为单位进行设置的。设置步骤如下：

在Debian系统中安装openldap是很简单的，它有一个配置向导可帮我们快速建立一个目录服务。安装命令如下：

debian:~# apt-get install slapd ldap-utils

与目录服务相关的软件包系统会自动安装。安装完成后，系统会自动运行一个配置向导，依次回答以下问题即可：

Domain name         #目录的根
Organization name   #根下的组织
Admin password      #目录服务器的管理员密码
Verify password     #验证密码
Allow LDAPv2 protocol     #是否允许LDAPv2

配置完成后，可用以下命令测试目录服务器：

debian:~# ldapsearch -x -b 'cn=admin,dc=com'
# extended LDIF
#
# LDAPv3
# base <cn=admin,dc=com> with scope sub
# filter: (objectclass=*)
# requesting: ALL
#

# admin, com
dn: cn=admin,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

dc=com是我的目录服务器的根，cn=admin,dc=com是我的目录服务器的根管理员。这个管理员在我的目录服务器中拥有像Linux系统中root一样的权限。

推荐使用phpldapadmin这Web管理程序来管理ldap服务器。有关openldap的详细配置说明和使用请参考网站上的openldap学习笔记。

HylaFAX是一个开放源码的传真服务器，它可为企业提供一个强大而可靠的传真服务。HylaFAX基于C/S架构，在局域网内只要有一台连接FAX Modem的HylaFAX传真服务器，就可为局域网内所有的用户提供传真功能。作为企业应用，高负载能力是必须具备的，HylaFAX可连接多台Modem，为企业提高优异的传真性能。

CountryCode:            86       #国际区号
AreaCode:               020      #国内区号
FAXNumber:              85528685 #传真号码
LongDistancePrefix:     1
InternationalPrefix:    011
DialStringRules:        /etc/hylafax/dialrules
ServerTracing:          1
SessionTracing:         11
RecvFileMode:           0600     #接收到的传真文档的访问权限
LogFileMode:            0600     #日志文档的访问权限
DeviceMode:             0600     #设备的访问权限
RingsBeforeAnswer:      4        #响4声后才开始传真
SpeakerVolume:          off
GettyArgs:              "-h %l dx_%s"
LocalIdentifier:        "NothingSetup"
TagLineFont:            etc/lutRS18.pcf
TagLineFormat:          "From %%l|%c|Page %%P of %%T"
MaxRecvPages:           25
#
#
# Modem-related stuff: should reflect modem command interface
# and hardware connection/cabling (e.g. flow control).
#
ModemType:              Class1          # use this to supply a hint
ModemRate:              19200           # rate for DCE-DTE communication
ModemFlowControl:       rtscts          # default
#
ModemNoFlowCmd:         AT&K0           # setup no flow control
ModemHardFlowCmd:       AT&K3           # setup hardware flow control
ModemSoftFlowCmd:       AT&K4           # setup software flow control
ModemSetupDTRCmd:       AT&D2           # setup so DTR drop resets modem
ModemSetupDCDCmd:       AT&C1           # setup so DCD reflects carrier (or not)
#
ModemMfrQueryCmd:       !Rockwell
ModemModelQueryCmd:     !RC288DPi
ModemRevQueryCmd:       ATI3            # product information
#
ModemDialCmd:           ATDT%s          # T for tone dialing

debian:#~ cd /var/spool/hylafax
debian:#~ ./bin/faxrcvd recvq/fax000000011.tif ttyS0 "000000032" ""

Jabber是一个IM（即时通信）服务器，使用开放的XMPP协议，它的信息流是XML格式的,可实现跨平台通信。通过Jabber转换器，Japper还可与MSN，Yahoo等即时通信服务器连接。一举打破现时IM平台互不兼容的格局。Google talk就是使用Jabber/XMPP来实现的。

Jabber服务器软件有很多种，具体可到这个网址查询：http://www.jabber.org/software/servers.shtml。其中jabberd是用C写的一个Jabber服务器，在Debian中有一个jabber软件包可安装jabberd1.4.3服务器。现在最新的jabberd是2.x版本的，包含了jabber的最新功能，但支持的组件较少，jabberd1.4.x版本中没有包含最新的功能，如不支持SASL。但它的支持组件很多，而且很稳定。所以这里我以jabberd1.4.3版的jabberd服务器进行介绍。

用Debian标准的软件安装方法即可完成软件包的下载和安装。

debian:~# apt-get install jabber

安装完软件后，jabberd服务就会自动启动。我们可用telnet程序与服务器连接测试一下服务器是否能正常工作。

debian:~# telnet localhost 5222   #5222是jabberd服务的默认端口号
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.

在上面的状态下输入以下xml文本内容：

<stream:stream
  to='localhost'
  xmlns='jabber:client'
  xmlns:stream='http://etherx.jabber.org/streams'>

按回车，jabber服务器会显示如下信息：

<?xml version='1.0'?><stream:stream xmlns:stream='http://etherx.jabber.org/streams' id='431E92B1' xmlns='jabber:client' from='localhost'>

如果出现如下的信息，则说明jabberd服务器已正常运行。我们可用</stream:stream>语句关闭信息流，退同telnet状态。。

下面我们可以开始配置jabber服务器。jabber的配置文件在/etc/jabber目录下，叫jabber.xml。首先，我们需配置主机名，上面我们是用localhost主机名来测试的。正式使用的话需要有一个唯一的名称来标识该服务器。用vi程序打开该文件，找到这句：

 <host><jabberd:cmdline flag="h">localhost</jabberd:cmdline></host>

把localhost改成你的主机名，我的主机名是debian，存盘退出。现在我们就可用主机名来访问jabberd服务了，如：

debian:~# telnet debian 5222
Trying 127.0.0.1...
Connected to debian.      #主机名已改变
Escape character is '^]'.

现在我们可以添加一个jabber帐号了，我们可以通过gaim之类的jabber客户端软件自动添加，也可手动方法添加。下面介绍用telnet手动添加的方法，这种方法可让我们详细了解jabberd服务的添加用户的处理过程。

debian:~# telnet debian 5222
Trying 127.0.0.1...
Connected to debian.
Escape character is '^]'.
<stream:stream 
to="debian"
xmlns="jabber:client"
xmlns:stream="http://etherx.jabber.org/streams">

系统显示以下信息：

<?xml version='1.0'?><stream:stream xmlns:stream='http://etherx.jabber.org/streams' id='431E9B0B' xmlns='jabber:client' from='debian'>

使用以下XML查询注册需提供些什么信息：

<iq id='reg1' type='get'>
  <query xmlns='jabber:iq:register'/>
</iq>

查询的结果如下：

<iq id='reg1' type='result'>
  <query xmlns='jabber:iq:register'><password/><password/>
        <instructions>Choose a username and password to register with this server.</instructions>
        <name/>
        <email/>
      <username/></query>
</iq>

这里显示注册需提供password，username，email和name四项信息。下面我把按要求把注册信息发给服务器：

<iq id="reg2" type="set">
<query xmlns="jabber:iq:register">
<username>test</username>
<password>12345</password>
<name>test</name>
<email>test@debian</email>
</query>
</iq>     #在这里按回车，如果出现以下信息，则说明注册成功。
<iq id='reg2' type='result'/>

每个注册用户的信息保存在/var/lib/jabber/目录下。现在我们可以用刚注册的帐号登录jabber服务器了，在登录之前，我们可用以下XML命令查询服务器登录需要些什么信息：

<iq id="auth1" type="get">
<query xmlns="jabber:iq:auth">
<username>test</username>
</query>
</iq>

返回的信息如下：

<iq id='auth1' type='result'>
<query xmlns='jabber:iq:auth'>
<username>test</username>
<digest/><password/><resource/></query>
</iq>

<digest/>和<password/>分别表示加密格式的密码和纯文本格式的密码，只需选其中一种即可。<resource>是必须填的，表示连接服务的资源，如我们现在采用的telnet。登录的XML命令如下，我们采用的是不加密的密码方式：

<iq id="auth2" type="set">
<query xmlns="jabber:iq:auth">
<username>test</username>
<password>12345</password>
<resource>telnet</resource>
</query>
</iq>         #这里按回车，如果出现以下信息，则说明登录成功。
<iq id='auth2' type='result'/>

最后，我们要把test用户切换到在线状态。

<presence/>          #按回车后会显示以下的欢迎信息
<message from='debian' to='test@debian'>
        <subject>Welcome!</subject>
        <body>Welcome to the Jabber server -- we hope you enjoy this service! For information about how to us
e Jabber, visit the Jabber User&apos;s Guide at http://jabbermanual.jabberstudio.org/</body>
      <x xmlns='jabber:x:delay' from='test@debian' stamp='20050907T08:01:29'>Offline Storage</x></message>

现在，我们就可发送和接收信息了。发送信息的XML命令格式如下：

<message to="jims@debian">
<body>hello jims</body>
</message>

如果jims用户已在gaim中登录，则会显示“hello jims”的信息。如果在gaim中发一条叫“hello test,this m essage form gaim.”给test@debian，则会在telnet里收到如下格式的信息：

<message type='chat' to='test@debian/telnet' from='yangjing@debian/Gaim'><x xmlns='jabber:x:event'><composing
/></x><body>hello test,this message form gaim.</body><html xmlns='http://jabber.org/protocol/xhtml-im'><body 
xmlns='http://www.w3.org/1999/xhtml'>hello test,this message form gaim.</body></html></message>

用以下命令可退出会话：

</stream:stream>

从上面的信息可以看到，在jabber传送的信息流是XML格式的。这为jabber服务的扩展提供了很好的发展空间。

jabberd2服务器还没正式进入Debian的软件包，但我们可从源码开始安装。下面介绍如何在Debian平台中如何从源码安装jabberd-2.0s10。这里的2.0s10表示jabberd2.0的第十个stable发行版。

服务器启动后，我们就可用Gaim等客户端连接它。具体操作和上一节内容一样，这里就不再讲了。

除了上面介绍的使用MySQL数据库作为用户认证数据库外，我们还可使用LDAP目录服务进行用户认证。下面介绍具体的配置过程，我选用的LDAP服务器是OpenLDAP，版本号是2.2.23-8。

在jabberd2中，我们可以设置默认的好友列表模板，当用户第一次登录系统时就会自动获得该列表，不用手动一个用户一个用户地添加。要启用该功能，首先要在sm.xml配置文件的内进行配置。jabberd2默认是没有打开该功能的，我们只要在sm.xml文件中把template内的roster标签前的注释符删除即可。如：

...
    <!-- Templates. If defined, the contents of these files will be
         stored in the users data store when they are created. -->
    <template>

        <roster>/usr/local/jabberd2/etc/jabberd/templates/roster.xml</roster>

    </template>
...

从上面的配置可以看以，默认的模块是存放在/usr/local/jabberd2/etc/jabberd/templates/roster.xml目录下的。我们编辑roster.xml文件，按以下格式添加用户列表。

<!-- This is the roster template. If enabled in sm.xml, new users will
     get this roster by default. -->
<query xmlns='jabber:iq:roster'>
  <!--
  <item name='Helpdesk' jid='helpdesk@localhost' subscription='both'><group>Support</group></item>
  -->
  <item name='ringkee' jid='ringkee@company.com' subscription='both'><group>IT</group></item>
  <item name='diu167' jid='diu167@company.com' subscription='both'><group>IT</group></item>
  <item name='dongrui' jid='dongrui@company.com' subscription='both'><group>IT</group></item>
  <item name='sally' jid='sally@company.com' subscription='both'><group>IT</group></item>
  <item name='xmr' jid='xmr@company.com' subscription='both'><group>IT</group></item>
</query>

上面设置了一个IT组，里面有5个用户。修改roster.xml文件后，不用重启服务器就可使修改生效。当用户首次登录时，这5个用户列表会自动下载到客户端。这种下载动作只会在用户首次登录系统时发生。当用户第一次登录时，jabberd2会在active表中插入一条记录，记录登录的用户帐号名和登录时间等信息。jabberd2以此判断用户是否第一次登录。同时把模板中的用户列表信息按登录用户的不同保存在roster-items和roster-groups两个表中。当用户第二次登录时，jabberd2在active中可以查询到用户帐号信息，就不会再把模板中的用户列表信息保存到roster-items和roster-groups表中。而是直接下载roster-items和roster-groups表中的用户列表信息来使用。当用户在客户端手工删除用户列表后，jabberd2会直接删除roster-items和roster-groups表中的用户列表信息。这样，下次用户登录时就找不到用户列表了，所以我们不要随便删除用户列表信息。为了使删除后的用户列表能重新下载或更新，我们可在active表中删除该用户的帐号记录。下次用户登录系统时，系统还会把你当成是首次登录，又会自动下载模板中的用户列表。

jabberd2系统的所有信息都保存在MySQL数据库的jabberd2数据库中。一面介绍jabberd2数据库各个表的作用。

jabberd2服务器由一系列的进程组成，各进程互相依赖。如果要手动杀死jabberd2进程，则要按一定的顺序。如：

#!/bin/bash
killall router
killall resolver
killall c2s
killall s2s
killall sm

由于Jabber协议的开放性，造就了众多的开源的Jabber客户端，在http://www.jabber.org上有一个Jabber Client软件的列表可供参考。我试过几种，从功能和中文支持上推荐Psi和Gaim两种。还有一个基于Web的Jabber客户端jwchat，它利用punjab这个HTTP jabber client接口和Ajax技术，可在浏览器上登录jabber服务器进行即时通信。jwchat网站上有一个Demo，大家可以去看看，很不错的。但我没安装成功，有谁成功安装，请指点一二。

MoinMoin是用Python语言写的一个开源WiKi服务器，由德国人开发，基于GNU GPL协议发布。MoinMoin的软件架构很灵活，通过Python能很容易进行功能扩展，现在已开发出大量的Plugins。MoinMoin不使用后台数据库存放数据，而是以文本的形式存放在服务器目录中。debin Wiki网站使用的WiKi系统就是MoinMoin。Moin是德国北部方言"好"、"早上好"的意思，MoinMoin是"很好"的意思。

#acl [+-]User[,SomeGroup,...]:[right[,right,...]] [[+-]OtherUser:...] [[+-]Trusted:...] [[+-]Known:...] [[+-]All:...] [Default]
参数说明：
User      用户名
SomeGroup 组名
Trusted   一个特殊组，包括所有通过HTTP-Basic-authentication验证的用户
Known     一个特殊组，包括所有有效用户 (使用 cookie 验证方法)
All       一个特殊组，包括所有用户 
Default   一个特殊项，使用配置文件中acl_rights_default中的值
right     表示权限，可以是 read、write、delete、revert 和 admin的组合，允许为空，表示没有任何权限。

权限说明：
read     读权限
write    编辑权限
delete   删除页面和附件的权限
revert   有还原旧版本的权限
admin    具有管理ACL的权限

#acl moin_admin:read,write,delete,revert,admin All:read

这是网页正文。
MoinMoin ACL示例。
...

#acl moin_admin:read,write,delete,revert,admin All:read
 *test1
 *test2
 *test3
... 

#acl SomeUser:read,write SomeGroup:read,write,admin All:read
可以写成：
#acl -SomeUser:admin SomeGroup:read,write,admin All:read
或
#acl +All:read -SomeUser:admin SomeGroup:read,write,admin

...
from MoinMoin.auth import http
...
class Config(DefaultConfig):
...
   user_autocreate=1
   auth=[http]
...

Alias /wiki/ "/usr/share/moin/htdocs/"

<Location /portal>
  AuthType Basic
  AuthName "Portal"
  AuthUserFile "/etc/apache2/moinmoin.passwd"
  Require valid-user
  SetHandler python-program
# Add the path of your wiki directory
  PythonPath "['/data/moin/portal/'] + sys.path"
  PythonHandler MoinMoin.request::RequestModPy.run
</Location>

debian:/etc/apache2/mods-enabled# ln -s /etc/apache2/mods-available/auth_ldap.load auth_ldap.load

Alias /wiki/ "/usr/share/moin/htdocs/"
#LDAP连接Cache参数
LDAPSharedCacheSize 200000
LDAPCacheEntries 1024
LDAPCacheTTL 600
LDAPOpCacheEntries 1024
LDAPOpCacheTTL 600

<Location /portal>
  AuthType Basic                                    #验证类型
  AuthName "Portal"                                 #验证名，显示在验证栏
  AuthLDAPEnabled on                                #启用LDAP验证
  AuthLDAPBindDN cn=admin,dc=com                    #连接LDAP服务器的用户
  AuthLDAPBindPassword '1'                          #连接LDAP服务器的用户密码
  AuthLDAPURL ldap://127.0.0.1/dc=user,dc=company,dc=com?uid?   #连接URL
  AuthLDAPAuthoritative on                          #只允许LDAP验证方式
  Require valid-user
  SetHandler python-program
# Add the path of your wiki directory
  PythonPath "['/data/moin/portal/'] + sys.path"
  PythonHandler MoinMoin.request::RequestModPy.run
</Location>

<Location /cache-info>
SetHandler ldap-status
</Location>
~

debian:/usr/share/xml/docbook/stylesheet# chown -R www-data.www-data nwalsh  

#format docbook
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE book PUBLIC "-//OASIS//DTD DocBook XML V4.2//EN"
                    "http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd"
                    >
<book>
  <chapter>
    <title>test</title>
     <para>test</para>
  </chapter>
</book>

Trac是用Python写的一个基于Web的事件跟踪系统，它使用WiKi作为文档的格式，Subversion作为版本控制系统。可帮助开发人员进行源码版本管理、Bug跟踪和讨论。Debian Sarge带的Trac是0.8版本，该版本好象有问题，安装完成后不能创建Trac环境。Sid带是0.9版的，可正常使用。下面以0.9版为例介绍安装过程。

Subversion是新一代的开源版本控制系统，用以取代CVS。有关Subversion最详尽的资料就是官方的Subversion Book了。它是由开源社区编写的自由图书，已通过O'Reilly Media出版。下面简单介绍一下Subversion在Debian下的安装和配置过程。

上面我使用了file:///形式的URL来访问Subversion库，这表示在本地通过文件系统访问。但我们的Subversion库可能需要通过网络被其它用户访问，这就需要用到其它的协议，下表是Subversion支持的各种访问协议：

下面介绍与Apache组合通过WebDAV方式访问Subversion库的方式：

CUPS是Linux/UNIX环境下的打印系统，它把应用程序输出的数据转换成打印机能够识别的数据，然后输出到打印设备进行打印。现在的CUPS已得到大多数打印设备厂商的支持，能够支持大量的打印设备。

CUPS自带了一些常用型号的打印机驱动程序，一般的打印机它都能很好地驱动。如果驱动不了，我们也可到http://linuxprinting.org/网站上去查，它上面有大量的有关Linux打印驱动的信息。

运行以下命令安装CUPS：

debian:~# apt-get install cupsys

安装完成后，登录http://localhost:631即可进入CUPS的管理界面。在这个界面我们可以添加打印机和管理打印作业。下面以添加网络上Win98共享出来的HP LaserJet 5100打印机为例进行介绍。

到此为止，我们就成功完成一台HP激光打印机的安装，安装其它打印机的步骤也大同小异。这里就不一一介绍啦。CUPS的配置文档位于/etc/cups/目录下，其中printer.conf文档就是打印机配置文档，我们也可通过手动修改该文档来配置打印机。

如何评价一个系统的安全程度，美国国家计算机安全中心(NCSC)制定了可信任计算机标准评价准则(TCSEC Trusted Computer System Evaluation Criteria)对计算机系统进行分级。共有4个类别7个等级，分别是：

TCSEC标准是计算机系统安全评估的第一个正式标准，于1985年12月由美国国防部公布。最初的TCSEC是一个军用的标准，后来延用于民用领域。随着技术的不断发展，新的功能被不断开发出来，对安全的评价标准提出了新的要求。欧洲四国(英、法、德、荷)提出了评价满足保密性、完整性、可用性要求的信息技术安全评价准则(ITSEC)。之后，美国联合英、法、德、荷和加拿大，会同国际化标准化组织(OSI)共同提出信息技术安全评价通用准则(CC for ITSEC)。

CC是目前最全面的安全评价准则，1996年6月，CC的第一版发布；1998年5月，第二版发布；1999年10月CC V2.1版发布，并正式成为ISO标准。

有关各种安全评价准则的详细介绍请参考相关的文档，这里就不一一展开说明了。

在这个世界上没有绝对的安全，我们说这台服务器安全并不是说它绝对不会有安全风险，不会受到损害。只能说明该台服务器的安全可信度高，不易受到侵害。相反，如果我们说这台服务器不安全，即可信度低，则这台服务器可能是一些服务的配置有安全漏洞或没有做数据冗余。每种环境、每种应用的可信度要求是有不同的，不能一概而论，如作为企业中心数据库服务器的可信度要求就比内部WEB服务器的可信度要求高。需投入更多的资金和时间对数据库服务器进行配置和优化。为确保系统安全，我们需制定安全策略。安全策略涉及系统、网络、数据和人员等方方面面，制定的安全策略应考虑以下几个安全要素。

为了使安全策略更有效，更符合实际情况，我们在制定安全策略前需先进行风险评估，风险评估的内容包括：

风险评估的步骤：

无论你采取什么措施和投入多少资源，安全风险都是不能完全消除的。但我们可以把风险减低到我们可以接收的程度。同时，要求系统管理员不断跟踪系统变化和最新威胁，及时更新系统，才能使系统处于高可信度的状态。

一个完善的安全系统还包含一系列的说明文档，如安全策略、安全标准和安全指南。

制定安全策略应注意的内容：

安全是一个过程，需不断改进、验证和调整。

我们使用密码控制用户登录系统，授予相应的访问权限，用加密算法对信息进行加密和签名后，才在网上进行传输，密码和加密技术是我们确保系统安全的第一道屏障。密码学原理是这个技术的理论基础，这一节我们简单介绍一下密码学的原理。

常用算法

信息安全的定义

下面介绍如何一步步地强化我们的Linux系统。

debian:#~ id
uid=0(root) gid=0(root) groups=0(root)
	

debian:#~ w
 10:18:15 up  1:50,  1 user,  load average: 0.11, 0.23, 0.27
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     :0       -                08:34   ?xdm?   8:42m  0.09s /bin/sh /usr/bin/startkde

debian:#~ passwd -l username

debian:~# iptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

强化完我们的系统后，我们还要对我们网络运行状况进行监控，随时了解网络的健康情况，及时发现问题，及时处理。在Linux下提供了强大的软件包帮助我们完成这个任务，下面简单介绍几个。

PAM（Pluggable Authentication Modules 可插拔式身份验证模块）是一种系统身份验证机制，最先在Solaris操作系统上实现，现在已应用到包括Linux在内的绝大多数Unix like系统上。开发使用PAM是为了改进Unix上传统单一的/etc/passwd和/etc/shadow口令文件式的身份验证方式。PAM可为我们提供更高的安全性和更灵活的配置方式。通过PAM我们可为不同的应用程序配置不同的身份验证方式，随时增加新的模块来支持不同的身份验证方式。下面介绍有关PAM的配置和使用。

cd /etc
mkdir pam.d
cd pam.d
vi test
在test文件中输入以下内容：
auth        required         pam_unix.so
account     required         pam_unix.so
password    required         pam_unix.so
session     required         pam_unix.so

auth    required    pam_wheel.so    use_uid    qroup=wheel

chroot是change root的缩写，顾名思义，就是改变根目录的意思。它可以让系统管理员在一个权限受到限制的根目录中执行一个shell或运行进程。如果在chroot环境下以根用户权限运行进程，则有很多种方法可以逃离chroot环境，对系统造成危害。所以运行在chroot环境下的进程一般都运行在非根用户权限下，一旦chroot环境被黑客攻破，也不会影响系统其它服务的正常运行。chroot环境是我们强化服务安全的一个有力技术，系统管理员一定要掌握好它。

创建chroot环境的步骤如下：

使用chroot环境应注意的问题：

SSH是Security Shell的简写，它即是程序名，也是一种协议的名称。目前使用中的有SSH1和SSH2两个版本，SSH1的安全性较差，难以防御"内容插入"攻击，它使用了RSA算法，该算法是一种专利算法，但它的专利保护期已经过去了。SSH2是较新的一种协议，在SSH1的基础上做了改进，考虑的安全问题更全面。它使用了一种非专利算法---DSA算法。SSH服务使用了22端口，如果我们要通过SSH连接内网的机器，则要在防火墙上设置规则允许TCP 22端口通过。OpenSSH是SSH应用的开源实现，也是Linux默认的SSH服务器，一般默认已安装。

Debian提供openssh-client和openssh-server两个软件包分别对应客户端程序和服务器程序。安装了openssh-client包后，就会有几个以ssh开头的程序，其中ssh是最重要的一个程序，它是telnet的替代程序，可登录远程主机。sshd是SSH服务器。/etc/ssh/ssh_config是ssh客户端的配置文件，/etc/ssh/sshd_config是SSH服务器的配置文件。这些配置文件默认已可正常工作，但为了达到更好的安全性，建议根据运行环境的要求进行定置。

ssh_config的内容如下：

#       $OpenBSD: ssh_config,v 1.19 2003/08/13 08:46:31 markus Exp $

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for various options

# Host *
#   ForwardAgent no
#   ForwardX11 no
#   ForwardX11Trusted yes
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
#   PasswordAuthentication yes
#   HostbasedAuthentication no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   Port 22
#   Protocol 2,1
#   Cipher 3des
#   Ciphers aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour,aes192-cbc,aes256-cbc
#   EscapeChar ~

HOST *以下的内容为系统的默认配置，如果要修改默认配置，可以先删除#注释字符再修改选项。sshd_config的内容如下：

# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 600
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes

# Change to yes to enable tunnelled clear text passwords
PasswordAuthentication yes


# To change Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#AFSTokenPassing no
#KerberosTicketCleanup no

# Kerberos TGT Passing does only work with the AFS kaserver
#KerberosTgtPassing yes

X11Forwarding no
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
KeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

使用ssh

在Linux中，有大量的免费工具可帮助我们检测安全问题和解决安全问题。下面介绍一些常用的网络安全工具。

这三个配置文件用于系统帐号管理，都是文本文件，可用vi等文本编辑器打开。/etc/passwd用于存放用户帐号信息，/etc/shadow用于存放每个用户加密的密码，/etc/group用于存放用户的组信息。

login.defs是设置用户帐号限制的文件，在这里我们可配置密码的最大过期天数，密码的最大长度约束等内容。该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项，则以/etc/shadow里的设置为准，也就是说/etc/shadow的配置优先级高于/etc/login.defs。下面内容是该文件的节选：

...
#
# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password change.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
...
#
# Number of significant characters in the password for crypt().
# Default is 8, don't change unless your crypt() is better.
# If using MD5 in your PAM configuration, set this higher.
#
PASS_MAX_LEN            8
...

该文件可控制根用户登录的设备，该文件里记录的是可以作为根用户登录的设备名，如tty1、tty2等。用户是不能从不存在于该文件里的设备登录为根用户的。这种情况用户只能以普通用户登录进来，再用su命令转为根用户。/etc/securetty文件的格式如下：

# /etc/securetty: list of terminals on which root is allowed to login.
# See securetty(5) and login(1).
console

# for people with serial port consoles
ttyS0

# for devfs
tts/0

# Standard consoles
tty1
tty2
tty3
...

如果/etc/securetty是一个空文件，则根用户就不能从任务的设备登录系统。只能以普通用户登录，再用su命令转成根用户。如果/etc/securetty文件不存在，那么根用户可以从任何地方登录。这样会引发安全问题，所以/etc/securetty文件在系统中是一定要存在的。

作用：GNOME桌面系统的用户级启动文件，该文件里的脚本在GNOME桌面系统启动时会自动执行，如果在用户主目录中没有该文件，用户可自行创建。该脚本是由GNOME系统级启动文件/etc/X11/Xsession.d/55gnome-session_gnomerc所触发的。在我的的系统中，该配置文件的内容如下：

# 配置GTK+程序的打开文件窗口字体编码为GBK
export G_FILENAME_ENCODING=GBK           
#下面设置fcitx输入法的环境变量
export XIM_PROGRAM=fcitx
export XIM=fcitx
export XMODIFIERS="@im=fcitx"
#启动fcitx中文输入法
fcitx&                                   

G_FILENAME_ENCODING参数的官方解析可参考网址：http://developer.gnome.org/doc/API/2.0/glib/glib-running.html

作用：设置GTK+ 1.x程序的配置文件，默认已有字体配置选项，与上面的~/.gnomerc配置文件中的配置GTK+程序打开文件窗口的编码选项配合使用，可使GTK+ 1.x程序能在打开文件窗口显示中文的文件名。配置文件内容如下 ：

style "gtk-default-zh-cn" {
        fontset = "-adobe-helvetica-medium-r-normal--12-*-*-*-*-*-iso8859-*,\
                         -*-*-medium-r-normal--14-*-*-*-*-*-gb2312.1980-0"
}
class "GtkWidget" style "gtk-default-zh-cn"

该文件的全局配置文件是/etc/gtk/gtkrc。如果需统一设置所有用户的gtk中文设置，可在该文件中配置。文件的内容和上面的一样。

作用：gtk2.0程序的设置文件，如果不存在，可手工创建。配置GTK2.0程序字体的配置如下：

style "gtk-default-zh-cn" {
    font_name = "Bitstream Vera Sans 10,SimSun 10"
    }
    class "GtkWidget" style "gtk-default-zh-cn"

该文件也有一个全局配置文件/etc/gtk-2.0/gtkrc，注意是gtkrc，而不是gtkrc-2.0，默认该文件也是没有的，需手工创建。一旦存在~/.gtkrc-2.0或/etc/gtk-2.0/gtkrc文件，则该文件的配置优先级是最高的，即使用gnome-font-properties字体配置程序也不能改变。例如你在~/.gtkrc-2.0里设置了字体是SimSun 10号字，则你不能用gnome-font-properties字体配置程序更改该设置。

内核模块文件，里面列出的模块会在系统启动时自动加载。可用modconf工具配置，也可用文本编辑器配置。

GDM配置文件

kdm的配置文件，默认kdm是不允许root用户登录的，如果我们需以root用户登录，我们需修改kdmrc文件，把

AllowRootLogin=false

改为

AllowRootLogin=true

kdmrc的大多数参数也可在KDE的"控制中心--系统管理--登录管理器"上进行配置。

Internet网络服务文件，记录网络服务名和它们对应使用的端口号及协议。文件中的每一行对应一种服务，它由4个字段组成，中间用TAB或空格分隔，分别表示“服务名称”、“使用端口”、“协议名称”以及“别名”。下面是这个文件的节选内容。

tcpmux          1/tcp                           # TCP port service multiplexer
echo            7/tcp
echo            7/udp
discard         9/tcp           sink null
discard         9/udp           sink null
systat          11/tcp          users
daytime         13/tcp
daytime         13/udp
netstat         15/tcp
qotd            17/tcp          quote
msp             18/tcp                          # message send protocol
msp             18/udp
chargen         19/tcp          ttytst source
chargen         19/udp          ttytst source
ftp-data        20/tcp
ftp             21/tcp
fsp             21/udp          fspd
ssh             22/tcp                          # SSH Remote Login Protocol
ssh             22/udp
telnet          23/tcp
smtp            25/tcp          mail
time            37/tcp          timserver

一般情况下，不要修改该文件的内容，因为这些设置都是Internet标准的设置。一旦修改，可能会造成系统冲突，使用户无法正常访问资源。

Linux系统的端口号的范围为0--65535，不同范围有不同的意义。

0              不使用
1--1023        系统保留，只能由root用户使用
1024---4999    由客户端程序自由分配
5000---65535   由服务器端程序自由分配

该文件是网络协议定义文件，里面记录了TCP/IP协议族的所有协议类型。文件中的每一行对应一个协议类型，它有3个字段，中间用TAB或空格分隔，分别表示“协议名称”、“协议号”和“协议别名”。下面是该文件的节选内容。

# Internet (IP) protocols
#
# Updated from http://www.iana.org/assignments/protocol-numbers and other
# sources.
# New protocols will be added on request if they have been officially
# assigned by IANA and are not historical.
# If you need a huge list of used numbers please install the nmap package.

ip      0       IP              # internet protocol, pseudo protocol number
#hopopt 0       HOPOPT          # IPv6 Hop-by-Hop Option [RFC1883]
icmp    1       ICMP            # internet control message protocol
igmp    2       IGMP            # Internet Group Management
ggp     3       GGP             # gateway-gateway protocol
ipencap 4       IP-ENCAP        # IP encapsulated in IP (officially ``IP'')
st      5       ST              # ST datagram mode
tcp     6       TCP             # transmission control protocol
egp     8       EGP             # exterior gateway protocol
igp     9       IGP             # any private interior gateway (Cisco)
pup     12      PUP             # PARC universal packet protocol

不要对该文件进行任何修改。

网络接口参数配置文件，下面是一个配置示例，它在一个网络接口中配置了两个静态IP地址：

# /etc/network/interfaces -- configuration file for ifup(8), ifdown(8)

# The loopback interface
auto lo
iface lo inet loopback

# The first network card - this entry was created during the Debian installation
# (network, broadcast and gateway are optional)
auto eth0
iface eth0 inet static
        address 192.168.1.1
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
#       gateway 192.168.1.1
#       name 以太网局域网网卡

auto eth0:0
iface eth0:0 inet static
        address 192.168.1.2
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
        gateway 192.168.1.1

下面是一个从DHCP服务器自动获得IP地址的示例：

# /etc/network/interfaces -- configuration file for ifup(8), ifdown(8)

# The loopback interface
auto lo
iface lo inet loopback

# The first network card - this entry was created during the Debian installation
# (network, broadcast and gateway are optional)
auto eth0
iface eth0 inet dhcp

该文件是DNS域名解析的配置文件，它的格式很简单，每行以一个关键字开头，后接配置参数。resolv.conf的关键字主要有四个，分别是：

nameserver   #定义DNS服务器的IP地址
domain       #定义本地域名
search       #定义域名的搜索列表
sortlist     #对返回的域名进行排序

/etc/resolv.conf的一个示例：

domain ringkee.com
search www.ringkee.com ringkee.com
nameserver 202.96.128.86
nameserver 202.96.128.166

最主要是nameserver关键字，如果没指定nameserver就找不到DNS服务器，其它关键字是可选的。

当系统中同时存在DNS域名解析和/etc/hosts主机表机制时，由该/etc/host.conf确定主机名解释顺序。示例：

order hosts,bind    #名称解释顺序
multi on            #允许主机拥有多个IP地址
nospoof on          #禁止IP地址欺骗

order是关键字，定义先用本机hosts主机表进行名称解释，如果不能解释，再搜索bind名称服务器(DNS)。

设置IP地址与主机名对应表，可用该文件来进行主机名称解释。如：

#格式：IP地址     主机名       别名
127.0.0.1 localhost localhost.localdomain
192.168.1.1 debian debian
192.168.0.2 t02 t02.tiger
192.168.0.4 t04 t04.tiger

该文件只有一行，记录着本机的主机名。如：

debian

这两个文件是tcpd服务器的配置文件，tcpd服务器可以控制外部IP对本机服务的访问。这两个配置文件的格式如下：

#服务进程名:主机列表:当规则匹配时可选的命令操作
server_name:hosts-list[:command]

/etc/hosts.allow控制可以访问本机的IP地址，/etc/hosts.deny控制禁止访问本机的IP。如果两个文件的配置有冲突，以/etc/hosts.deny为准。下面是一个/etc/hosts.allow的示例：

ALL:127.0.0.1         #允许本机访问本机所有服务进程
smbd:192.168.0.0/255.255.255.0     #允许192.168.0.网段的IP访问smbd服务

192.168.6.100代表一个主机，192.168.6.代表整个网段。同理，ringkee.com代表一台主机，.ringkee.com代表ringkee.com域内的所有主机。

ALL关键字匹配所有情况，EXCEPT匹配除了某些项之外的情况，PARANOID匹配你想控制的IP地址和它的域名不匹配时(域名伪装)的情况。KNOWN关健字匹配一台名字和地址（通过各种名字解析服务）已知的主机。LOCAL匹配任何一个不包含"."字符的主机名。我们应该尽量使用IP地址，因为主机名或域名会出现名称解析出错的问题，从而造成匹配失效。

tcpdchk程序可用于检查这两个配置文档是否有错，因为tcpd依赖许多配置文档（/etc/services，/etc/inetd.conf，/etc/hosts.allow和/etc/hosts.deny），并且要求这些文档中的相关信息必须一致。有了tcpdchk，就可帮我们自动检查。还有一个有用的工具叫tcpdmatch，它可以模拟一个进入的连接，测试tcpd的行为。

通过spawn选项，我们还可以根据匹配情况执行各种命令。如发邮件或记录日志等。下面是一个示例：

ALL:ALL : spawn (/bin/echo Security Alter from %a on %d on `date`| \
tee -a /var/log/Security_alter | mail jims.yang@gmail.com)

这是NSS（Name Switching Service，名字交换服务）的配置文件，该文件的作用是告诉系统到哪里寻找各种信息（主机地址、用户密码和网络协议等）。它的内容如下：

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat
group:          compat
shadow:         compat

hosts:          files  dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

hdparm命令是很有用的，它可以设置驱动器的运行参数，以提高系统性能，如硬盘的DMA开关就是通过该命令设置的。所以在Debian系统中已设置了开机自启动hdparm命令的Script，该Script位于/etc/rcS.d/目录下。当Debian系统启动时会自动运行该Script，并从/etc/hdparm.conf配置文件中读出配置参数来运行hdparm命令，从而达到自动设置驱动器运行参数的目的。/etc/hdparm.conf里列出了所有的配置参数说明，并有几个典型的示例。我们只要修改一下示例就可以用了。如：

...

#Samples follow:
#First three are good for devfs systems, fourth one for systems that do
#not use devfs.  The fifth example uses straight hdparm command line
#syntax.  Any of the blocks that use command line syntax must begin with
#the keyword 'command_line', and no attempt is made to validate syntax.
#It is provided for those more comfortable with hdparm syntax.

#/dev/discs/disc0/disc {
#       mult_sect_io = 16
#       write_cache = off
#       spindown_time = 240
#}

#/dev/discs/disc1/disc {
#       mult_sect_io = 32
#       spindown_time = 36
#       write_cache = off
#}

#/dev/cdroms/cdrom0 {
#       dma = on
#       interrupt_unmask = on
#       io32_support = 0
#}

/dev/hda {
        mult_sect_io = 16
        write_cache = off
        dma = on
}

#command_line {
#       hdparm -q -m16 -q -W0 -q -d1 /dev/hda
#}

重启电脑就可使配置生效。

inode(发音：eye-node)节点是一种在磁盘上用来描述并保存文件属性和位置的数据结构。在inode中包含以下信息：

ELF是Linux采用的二进制文件的格式。

在编译Linux程序时，我们经常会看到动态链接和静态链接这两个术语。这两个术语中是我Linux的共享函数库（shared libraries）相关的。共享函数库就象Windows系统里的.dll文件，它里面包含有很多程序常用的函数。为了方便程序开发和减少程序的冗余，程序当中就不用包含每个常用函数的拷贝，只是在需要时调用系统中共享函数库中常函数功能即可。这种方式我们称之为动态链接(Dynamically Linked)。但有时为了程序调试方便或其它原因，我们不希望叫程序去调用共享函数库的函数，而是在函数代码直接链接入程序代码中，也就是说，在程序本身拥有一份共享函数库中函数的副本。这种方式我们称之为静态链接（Statically Linked）。

虚拟内存是在磁盘上的一块区域，用以扩充主存的容量。虚拟内存里放的数据是内核不常用的信息，内存管理机制会把这些不常用的内存块保存到磁盘上，当要使用时再重新调入主存。虚拟内存的速度比主存慢很多。用作虚拟内存的磁盘空间叫交换空间(swap)。在Linux下，交换空间可以是一个分区，叫交换分区；也可以是一个文件，叫交换文件。交换分区速度快，但一旦设置，不易修改分区大小；交换文件速度较交换分区慢，但它的容量可随意调整。建议使用交换分区的形式。

GPL（General Public Licence）是最著名的一个开源许可协议，开源社区最著名的Linux内核就是在GPL下发布的。它由自由软件基金会（Free Software foundation）创建。协议的详细内容请参考这里。

官方网站：http://www.gnu.org/copyleft/lgpl.html

MPL(Mozilla Public Licence)