Alexey Tsvetnov прислал подробный план действий (http://www.opennet.me/base/sys/freebsd_base.txt.html) по первоначальной установке и настройке нового FreeBSD сервера.URL: http://www.opennet.me/base/sys/freebsd_base.txt.html
Новость: http://www.opennet.me/opennews/art.shtml?num=6951
1) зачем 3 гига на /var/tmp?
2) swap != ram, swap = 1,5-2ram
3)<i>а) Удалить каталог /tmp и создать символическую ссылку /tmp на /var/tmp
'rm -rf /tmp && ln -s /var/tmp /tmp'. Это сделает единое хранилище
временных файлов в отдельном разделе.</i>Вот вместо этого гораздо лучше сказать
# mdmfs -M -S -o async -s 16m md1 /tmp и сделать соответствующую запись в /etc/fstab
Как обычно кто-то начитался непонятно чего и выложил свои кривые конфиги в виде статьи. Достало уже это.вот за этот бред
/dev/ad0s1d/var/tmp ufs rw,nosuid,noexec,noatime,nodev 2 2
вместе с этим
Удалить каталог /tmp и создать символическую ссылку /tmp на /var/tmp
'rm -rf /tmp && ln -s /var/tmp /tmp'. Это сделает единое хранилище
временных файлов в отдельном разделе.автору в руки нагадить, ибо он ни разу не запускал mergemaster на такой смонтированной файлухе.
Ну и остальное с такого же разряда. Даже не буду комментировать. Маразм.
>вот за этот бред
>/dev/ad0s1d/var/tmp ufs
> rw,nosuid,noexec,noatime,nodev 2 2>автору в руки нагадить, ибо он ни разу не запускал mergemaster на
>такой смонтированной файлухе.О, комментатор - ясновидящий! Правда не удавшийся малость...
Скажи, кто тебе мешает, перед запуском mergemaster перемонтировать без noexec ? Или ради того, чтобы раз в несколько месяцев между обновлением системы mergemaster, как собственно и make installworld отработали без ошибок, ты предлагаешь разрешать запуск binary с /tmp ? Браво! Прекрасное решение!
>Ну и остальное с такого же разряда. Даже не буду комментировать. Маразм.
А ты потрудись... прокомментировать конструктивно, а не "как обычно".
>Скажи, кто тебе мешает, перед запуском mergemaster перемонтировать без noexec ? Или
>ради того, чтобы раз в несколько месяцев между обновлением системы mergemaster,да собственно это тебе понятно, другой будет искать долго.
Кроме mysql ты ничего не знаешь? сюрприз что к примеру postgresql пишет сокет в /tmp. Да и куда другого софта так делает.
Еще раз говорю - не надо выкладывать свои конфиги - они никому не нужны.
> А ты потрудись... прокомментировать конструктивно, а не "как обычно".-2-4G * N- /var/cache # (squid, frox)
бред, сквид поставленный из портов пишет в /usr/local/squid свой кэш.
фрокс в /tmp-полное незнание hier(7). не надо гадить в системе если ты не в курсе зачем что лежит: mkdir /var/pkgs && mkdir /usr/ports/packages && \
ln -s /var/pkgs /usr/ports/packages/All-/dev/ad0s1h /var ufs rw,nodev
откровенный идиотизм. bind начиная с 5.3 идет в chroot и создает в /var/named свои девайсы.-юзеры у вас свои бинари не выполняют?
/dev/ad0s1g /home ufs rw,nosuid,noexec,noatime,nodevдальше продолжать?
у тебя так на каждом шагу.
не нужны твои конфиги, не нужны. да еще гордо обозванные статьей.
>откровенный идиотизм. bind начиная с 5.3 идет в chroot и создает в
>/var/named свои девайсы.Да что ты говоришь...
# mount
/dev/ad0s1g on /var (ufs, local, nodev, soft-updates)
devfs on /var/chroot/named/dev (devfs, local)>-юзеры у вас свои бинари не выполняют?
конечно, нет. Если бы выполняли, то не было бы noexec
>дальше продолжать?
продолжай, не бойся... ;)
>не нужны твои конфиги, не нужны.
Если не нужны - не читай. Я же не тебе лично прислал.
Проходя - проходи!
>>откровенный идиотизм. bind начиная с 5.3 идет в chroot и создает в
>>/var/named свои девайсы.
>
>Да что ты говоришь...
>
># mount
>/dev/ad0s1g on /var (ufs, local, nodev, soft-updates)
>devfs on /var/chroot/named/dev (devfs, local)Хорошо, с этим ошибся.
>>-юзеры у вас свои бинари не выполняют?
>
>конечно, нет. Если бы выполняли, то не было бы noexecНафиг тогда выделать отдельный /home. такие аккаунты никому не нужны где стоит noexec. И сам автор походу любо сидит с под-рута либо не написал ни одного скрипта в жизни, иначе такие б пермишены не ставил.
>>дальше продолжать?
>
>продолжай, не бойся... ;)Я не боюсь, как показали ваши ответы с 80% критики справедливо.
Просто жаль рабочего времени, которое никто не оплатит.>>не нужны твои конфиги, не нужны.
>
>Если не нужны - не читай. Я же не тебе лично прислал.
>
>Проходя - проходи!Просто потом появится куча криков в форуме я вот настроил так у меня ничего не работает, помогите. Другим потом это расхлебывать.
Я всего лишь хочу предостеречь не совсем опытных пользователей от того что вы написали.
>>конечно, нет. Если бы выполняли, то не было бы noexec
>Нафиг тогда выделать отдельный /home.8-)) Лично я выделяю /home в отдельный раздел по нескольким причинам:
1. Специфические параметры монтирования (nosuid, noexec и т.д.)
2. Не даёт пользователю, "засрав" свой home, переполнить /usr/>такие аккаунты никому не нужны где стоит noexec.
noexec не на акаунты выставляется!
Хочу открыть большую тайну для Вас: скрипты не обязательно запускать из домашнего каталога... Но если есть такая необходимость, то можно убрать noexec и оставить nosuid.А если вообще всё НЕ важно в жизни, то разбиваем на диске один большой раздел / и ни в коем случае не применяем всякие там noexec или nosuid. Зачем ограничивать себя ради какой-то там безопасности... ;)
> И сам автор походу любо сидит с под-рута либо не
>написал ни одного скрипта в жизни, иначе такие б пермишены не
>ставил.Опять пытаетесь предсказывать ?.. Бросьте это дело и займитесь лучше тем, что лучше всего получается!
Хочу так же напомнить комментатору про существование незаменимой программы sudo. Она конечно не идёт в поставке с базовой системой, и глубоко уважаемый собеседник мог о ней ни чего не знать.>Просто жаль рабочего времени, которое никто не оплатит.
Зачем же вам такое "рабочее время", если за него ни кто не платит?
>Просто потом появится куча криков в форуме я вот настроил так у
>меня ничего не работает, помогите.Появятся крики - поможем. Всё что в тексте написано, взято не с потолка, а с вполне рабочей системы.
>>>конечно, нет. Если бы выполняли, то не было бы noexec
>>Нафиг тогда выделать отдельный /home.
>
>8-)) Лично я выделяю /home в отдельный раздел по нескольким причинам:
>1. Специфические параметры монтирования (nosuid, noexec и т.д.)
>2. Не даёт пользователю, "засрав" свой home, переполнить /usr/есть квоты вообщето. которые не дадут засрать только свой /home/xz а не весь /home как произойдет в вашем случае.
>>такие аккаунты никому не нужны где стоит noexec.
>
>noexec не на акаунты выставляется!я в курсе он выставляется на $HOME
>Хочу открыть большую тайну для Вас: скрипты не обязательно запускать из домашнего
>каталога... Но если есть такая необходимость, то можно убрать noexec и
>оставить nosuid.ага и где юзеру хранить свои скрипты? $HOME аще-то для этого и предназначен. или вы предлагаете свалить все скриты юзерам куданибудть в /var/xz и там уж самим разбирать че да как?
>А если вообще всё НЕ важно в жизни, то разбиваем на диске
>один большой раздел / и ни в коем случае не применяем
>всякие там noexec или nosuid. Зачем ограничивать себя ради какой-то там
>безопасности... ;)я уже писал, про аккаунты выше.
>> И сам автор походу любо сидит с под-рута либо не
>>написал ни одного скрипта в жизни, иначе такие б пермишены не
>>ставил.
>
>Опять пытаетесь предсказывать ?.. Бросьте это дело и займитесь лучше тем, что
>лучше всего получается!как вы тогда объясните факт noexec на свой home? или скрипты вы все кладете в систему /usr/local/sbin и пр?
>Хочу так же напомнить комментатору про существование незаменимой программы sudo. Она конечно
>не идёт в поставке с базовой системой, и глубоко уважаемый собеседник
>мог о ней ни чего не знать.идет и далее что?
>>Просто жаль рабочего времени, которое никто не оплатит.
>
>Зачем же вам такое "рабочее время", если за него ни кто не
>платит?мне никто не платит за то что я указываю вам на ошибки и разжевываю прописные истины.
>>Просто потом появится куча криков в форуме я вот настроил так у
>>меня ничего не работает, помогите.
>
>Появятся крики - поможем. Всё что в тексте написано, взято не с
>потолка, а с вполне рабочей системы.это вы сейчас такой красивый и пушистый, что будет через год-2 никто не знает.
dawnshade, на этот раз ты не прав. Статья хорошая и полезная. Про nosuid,noexec для /tmp автор абсолютно верный совет дал. А для mergemaster есть ключ -t.
ибо он ни разу не запускал mergemaster на
>такой смонтированной файлухе.автор не слышал о переменной окружения TMPDIR ?
а вместо этого еще лучше сделать
grep ^tmp /etc/defaults/rc.conf
tmpmfs="AUTO" # Set to YES to always create an mfs /tmp, NO to never
tmpsize="20m" # Size of mfs /tmp if created
tmpmfs_flags="-S" # Extra mdmfs options for the mfs /tmpпочитать и проникнуться.
>Вот вместо этого гораздо лучше сказать
># mdmfs -M -S -o async -s 16m md1 /tmp и сделать
>соответствующую запись в /etc/fstab
> вместо этого еще лучше сделать
> grep ^tmp /etc/defaults/rc.conf
> tmpmfs="AUTO" # Set to YES to always create an mfs /tmp, NO to never
> tmpsize="20m" # Size of mfs /tmp if created
> tmpmfs_flags="-S" # Extra mdmfs options for the mfs /tmpУ меня в 6.0 при запуске boost regression tests (www.boost.org) при настроенном tmpmfs (300m из 512m RAM + 500m swap), ноут просто перезагружался без единой записи в /var/log/messages. Насколько я помню даже установка TMP и TMPDIR не помогала.
Пришлось отказаться.
Буду очень признателен за исправление моего дефекта рук :)
>> tmpmfs_flags="-S" # Extra mdmfs options for the mfs /tmpI found out my problem with crashing in default configuration.
Quote:
-M Create a malloc(9) backed disk (MD_MALLOC) instead of a swap-
backed disk.
solution is to override default config found in /etc/defaults/rc.conf:
Code:
tmpmfs_flags="-S -M"
with this in /etc/rc.conf:
Code:
tmpmfs_flags="-S -o noatime,noexec,nosuid,nosymfollow"
quick install
pkg_add -r instant-server
>quick install
>pkg_add -r instant-serverТы б ещё предложил: 'cd /usr/ports/ && make install'
не нравится мне с некоторых пор /usr выделять ( а тем более 20G :)
/ 600MB без softupdates (вся система + маленько софта влезет...)
/var 1-2G (иногда и 200М выше крыши)
дальше
/xyz/src on /usr/src (nullfs, local)
/xyz/obj on /usr/obj (nullfs, local)
/xyz/ports on /usr/ports (nullfs, local)
на ws можно
/boo/X11R6 on /usr/X11R6 (nullfs, local)
/boo/local on /usr/local (nullfs, local)
/boo/compat on /usr/compat (nullfs, local)на серваке все одно jail'ов придется разводить...
тогда и var/.. расползется по jail'ам и/или nullfs'ама резать диск на 10 слайсов :(
/
swap
/var
/varX
/jail
/trash
и хватит пока> Если не нужны - не читай. Я же не тебе лично прислал.
> Проходя - проходи!
присоединяюсь к предидущему оратору :)
Под /var/db/xSQL?Минимум 10G иначе при переходе на InnoDB будут пляски.
Автору респект. Понятно что это не руководство для начинающих, а план действий для которого главное ничего не забыть, а пропустить ненужное ума хватит.К слову, про критику, лучше бы handbook критиковали, там давно пытаются избавиться от разных старых хвостов и ляпов :-)
> а план действий для которого главное ничего не забыть8-))
Именно в таком ключе и создавалось!
Имхо, пошаговая инструкция. Почти каждый пункт сопроваждается
коммандами: хотелось бы в последствии объединить всё в один скрипт...
Что вы прикапались к человеку??Ну не нравиться статья, напишите свою!
Кому-нибудь да она пригодиться!
И тем более сценариев установки и настройки сервера FreeBSD море!
Я как то FreeBSD по FTP через инет ставил! и что? давайте я напишу с десяток вариантов как её мона по FTP поставить! Суть то от этого не изменится!
Человек старался, писал!
А вы обливаете его говном! :(
>Что вы прикапались к человеку??
>
>Ну не нравиться статья, напишите свою!
>
>Кому-нибудь да она пригодиться!написал, не думаю что кому-то может пригодиться, поэтому лежит у меня на всякий случай, если память дырявая станет.
Есть ИДЕЯ!
Организовать коллекцию рабочих конфигураций на разные случаи жизни. Не писать сотни статей, а открыть несколько конкретных тем.
ВЕБ_СЕРВЕР
ПОЧТОВЫЙ_СЕРВЕР
МАЗДАЙНЫЙ_ДОМЕН_КОНТРОЛЛЕР
etc.Каждый маздайный ламмер сможет постить предложения, но не каждые предложения будут включены в конфигурацию.
Такими HOWTO хоть пользоваться можно будет.
>Есть ИДЕЯ!
>Организовать коллекцию рабочих конфигураций на разные случаи жизни. Не писать сотни статей,
>а открыть несколько конкретных тем.
> ВЕБ_СЕРВЕР
> ПОЧТОВЫЙ_СЕРВЕР
> МАЗДАЙНЫЙ_ДОМЕН_КОНТРОЛЛЕР
> etc.
Даже не просто How-to то и готовые конфиги желательно сделать.
Или даже готовый pdf с пошаговой инструкцией, чтоб сделал и галочку поставил.МАЗДАЙНЫЙ_ДОМЕН_КОНТРОЛЛЕР - это очень шикарная тема.
Предприятия сейчас пинают чтоб лицензионный софт покупали, а это значит винды. Простой расчет показывает, что:
Windows Svr Std 2003 w/SP1 Win32 Russian CD 5 Clt - 1000$
Windows Server CAL 2003 Russian MLP 5 Device/User CAL - 200$
Итого лицензии на 50 машин - 2800$.Может проще все таки не платить пендосам денег, а сделать один раз нормальный конфиг для системы + Samba и инсталлировать его по потребности за 200$ (ну или у кого насколько наглости хватит)
ПОЧТОВЫЙ_СЕРВЕР - та же лялька
Exchange Svr Ent 2003 English CD 25 Clt - 6700$
Exchange CAL 2003 English MLP 5 Device/User CAL - 420$
Итого на те же 50 машин - 8800$Только прежде чем делать надо точно цели поставить.
Тот же Exchange не только почтовый сервер но и news и средство групповой работы и интегрирование с LDAP-базой (которая в AD)
И клиент для этого Outlook не только почту перебирает, но и позволяет задания в группе раздавать. Время планировать.Вобщем работы (действительно нужной!!!) море.
>Даже не просто How-to то и готовые конфиги желательно сделать.
>Или даже готовый pdf с пошаговой инструкцией, чтоб сделал и галочкуДа, было бы клёво.
Публикация статеек от СУБЖа себя давно изжила.
Раньше первопроходцев было мало, пионерами были люди технически грамотные и любой опыт был на вес золота.
Сейчас эти статейки "как я провёл лето у бабушки" уже достали.
Их мечут как икру тысячами и захламили сеть некомпетентностью и маздайным ламмерством.Любой опыт нужен и важен, на любой опыт потрачено драгоценное время.
Но надо как то концентрировать этот опыт, фильтровать песочек и складывать в кучку крупинки золота, проверенные реально работающие результаты.В настоящее время этой кучей мусора просто невозможно пользоваться, она непрактична. Почти невозможно найти нужное, сутками можно рыть без результата.
dawnshade
тыб свою статью выложил мыб почитали (:
ЛОЛ
> dawnshade тыб свою статью выложил мыб почитали (:
> ЛОЛА имя написать слабо? или стыдно потом бить будут? Повадились, блин, гадить анонимусы.
Как обычно, поиском пользоватся онанимусы не умеют. ну и как следствие статей не пишут, вдруг кто узнает?P.S. Автору хотя бы за это твердая 5, что не постеснялся написать свое имя. В отличие от. Его основная ошибка в том, что невозможно создать универсальную конфигурацию под нужды всех: кто-то использует одну БД, кто-то вторую; кто-то умеет пользоватся strace, кто-то нет; кто-то mergemaster выполняет раз в день кто-то раз в 2-3 года и пр...
P.P.S. на визг анонимусов больше не отвечаю.
Как правило, чем более опытен пользователь тем более ленив, особенно если дело касается обобщения опыта и изложения сего на общее рассмотрение. Ну ломает его описывать все те грабли, на которые в свое время наступал. Ужо много их очень. Но заприметив несколько ляпов в опусе другого пользователя, просыпается сразу непреодолимая жгучая ревность какая-то, прямо бяда! И начинается обстоятельное обкакивание чужого мнения. Себе в удовольствие, людям на потеху.
>Как правило, чем более опытен пользователь тем более ленив, особенно если дело
>касается обобщения опыта и изложения сего на общее рассмотрение. Ну ломает
>его описывать все те грабли, на которые в свое время наступал.
>Ужо много их очень. Но заприметив несколько ляпов в опусе другого
>пользователя, просыпается сразу непреодолимая жгучая ревность какая-то, прямо бяда! И начинается
>обстоятельное обкакивание чужого мнения. Себе в удовольствие, людям на потеху.
ошибаетесь :)
я просто уже отошел от чистого администрирования серваков. и все мои грабли теперь отображаются в официальной документации к продуктам.
Интересно почитать.
Почитал, поделюсь своим опытом :)Изначально в статье не указано, под что затачивается система, поэтому и возник такой флейм.
1. Разбивка по разделам
Согласно man tuning, алгоритм своппинга FreeBSD показывает наилучшую производительность при объеме свопа не менее 2x объемов RAM. Так что имеет смысл выделить под своп объем, равный 2 * RAM.3Gb в /var/tmp при таком разбиении, в общем-то, перебор.. Если вы не собираетесь компилить OpenOffice или native JDK из исходников, то вполне хватит 1Gb.
Охаивание выделения /var/cache можно смело поскипать.. Уж лучше так, чем кэш прокси в /usr/local. Ибо /usr/local - для софта, не являющегося базовой системой. И писать туда постоянно, имхо - плохой тон. Можно считать, что это аналог /usr. Кстати, при использовании oops лучше вообще отдать ему раздел на диске.
Насчет /var/db и mysql, добавлю, что сам ручками выношу туда же каталог data постгреса. Причины описаны выше.
С переносом /cdrom в /mnt есть ньюанс. sysinstall, насколько я помню, монтирует установочный CD именно в /cdrom. Хотя возможно это потому, что он у меня не был удален из fstab. Но если собираетесь что-то делать с установочным CD и sysinstall (например пекиджи с него ставить), то следует проверить.
С опцией noatime на /var/mail я был бы осторожнее.. не уверен, что какой-либо софт после этого не начнет странно глючить.
Пункты 6e и 6ж можно пропустить, если будет подниматься и настраиваться firewall. Имхо, проще и логичнее зарубить серые сети файрволом.
Раздел 7, про recv- и sendspace. Перед выставлением конкретных цифр, лучше внимательно прочитать man tuning. Хотя я оставлял эти настройки as is (правда, я в основном роутеры настраивал).
Раздел 8.
background_fsck="NO" - смотря какой сервер :) Если надо, чтобы машина после аварийной перезагрузки как можно быстрее начала обслуживание клиентов (почтовый сервер, например), при этом можно пожертвовать падением производительности дисковой подсистемы, то лучше пусть fsck идет в фоне. Если же это именно файл-сервер, и производительность файловой системы в работе критична, то лучше прогнать fsck при загрузке.local_startup="/usr/local/etc/rc.d"# Только для сервера!
Не понял, что тут имелось в виду.. Исключение из процесса загрузки /usr/X11R6/etc/rc.d или то, что на рабочей станции нельзя выполнять при загрузке скрипты из /usr/local/etc/rc.d?Вся инициализация консоли для сервера может быть опущена.
usbd в RELENG_6 кажется прибили в пользу devd. А вот devd, если вы не меняли /etc/devfs.conf или не используете замену чего-либо в компьютере на ходу (например, жесткие диски или PCMCIA-устройсва), лучше отключить. Есть там возможность для утечки памяти (см. /etc/rc.d/devd).
Насчет firewall_type. Лучше написать конфиг ipfw в отдельном файле (/etc/ipfw.conf например), и указать firewall_type="/etc/ipfw.conf". Это лишит вас необходимости "склеивать" rc.firewall при mergemaster. Да и вообще, удобнее, имхо.
Пункт 9ж. Если лог-файл растет быстро, то лучше его сворачивать не раз в сутки, а по достижению определенного размера. В конце-концов, можно указать оба параметра - максимальный размер и время суток.
Пункт 11в. Локальные скрипты в периодику сейчас лучше класть в /usr/local/etc/periodic. Конфигурируются они из того же /etc/periodic.conf. Например, так работает скрипт, обеспечивающий vacuuming и резервное копирование PostgreSQL.
Тайный смысл пункта 12и мне не постичь..
В конфиги ядра.
# Polling (НЕ РАБОТАЕТ С SMP) - работает, просто разработчики перестраховались, ибо была вероятность. Еще до 6.0-RELEASE фича была переписана и теперь точно работает. До релиза можно было включить поллинг на SMP сходив в исходники ядра и закомментировав там кусочек. Какой именно кусок править - ищите в гугле, я на память не помню. У меня точно работала 5.3-RELEASE на 2хпроцессорной машине с поллингом.14. snd_driver_load="YES" - не слишком ли круто? :) Достаточно определить, какой именно драйвер звуковухи используется, и потом загружать именно его, а не все имеющиеся в наличии драйвера.
15. Перед изменением make.conf очень рекомендуется ознакомиться с его комментариями. Если у вас нет /etc/make.conf, ищите его пример в /usr/share/examples/etc/make.conf.
CPUTYPE= pentium2
CPUTYPE?= pentium2
Первую строчку лучше выкинуть. Вторая позволяет в случае чего переопределить тип CPU прямым дефайном или переменной окружения make.Далее, c 6.0-RELEASE конструкции NO<knob> заменены на NO_<knob>.
16. Полный список переменных, понимаемых fetch, можно узнать в man 3 fetch.
17 и 18. Всегда имеет смысл ознакомиться с /usr/src/Makefile насчет действий, которые надо предпринять в процессе сборки и установки ОС из исходников. Также не надо забывать про /usr/src/UPDATING, где в самом конце есть пункт "COMMON ITEMS", также описывающий данный порядок. До кучи, рекомендую смотреть в /usr/ports/UPDATING при каждом апдейте дерева портов. Эти простые инструкции могут сильно облегчить жизнь после апгрейда.
Ну и не забываем читать handbook, где все это подробно описано (и даже местами на русском языке).
--
Jay
>С опцией noatime на /var/mail я был бы осторожнее.. не уверен, что
>какой-либо софт после этого не начнет странно глючить.Спешу заверить, что уже несколько месяцев стабильно работает на почтовом сервере (postfix).
>Пункты 6e и 6ж можно пропустить, если будет подниматься и настраиваться firewall.
>Имхо, проще и логичнее зарубить серые сети файрволом.Конечно, фаервол ни кто не отменял. НО! Возьмём случай, когда на вторичном по иеирархии маршрутизаторе в локальной сети для определённой группы IP разрешён весь трафик, а в той же локальной сети (во всей структуре в целом) используется адресное пространство 10.10/16 и только это. Так вот если будет лететь пакет через этот вторичный с нужного IP пакет на 10.0.0.1, он просто вылетит на default router и дальше с этим разбираться первичному. А зачем его напрягать фильтрацией того, чего вообще быть не должно? Именно из-за подобной, реально возникшей ситуации и были добавлены маршруты в blackhole
>background_fsck="NO" - смотря какой сервер :) Если надо, чтобы машина после аварийной
>перезагрузки как можно быстрее начала обслуживание клиентов (почтовый сервер, например)Опять же. Параметр в настройках появился на реальном горьком опыте и кстати тоже не почтовом сервере. После неудачной презагрузки по питанию, сервер стартовал и на глазах его загрузка начала стремительно рости. Буквально через несколько минут, уже нельзя было зайти по ssh. С громадными задержками я смог залогиниться с консоли (благо дело, сервер был не далеко, а если бы нет?) и увидел коэф. средней загрузки 49. Да, именно 49! Пришлось выйти в однопользовательский режим, пройтись польностью fsck и стартануть по "чистому". С тех пор только background_fsck="NO" ;)
>local_startup="/usr/local/etc/rc.d"# Только для сервера!
>Не понял, что тут имелось в виду.. Исключение из процесса загрузки /usr/X11R6/etc/rc.dДа, именно так.
>Вся инициализация консоли для сервера может быть опущена.
Не скажи, я люблю наблюдать украинский язык по ssh ;o
>указать firewall_type="/etc/ipfw.conf". Это лишит вас необходимости >"склеивать" rc.firewall при mergemaster.
Firewall вообще не описывался в статье. Я тоже использую вынесенный в отдельный файл, даже иерархическую структуру файлов, фаервол. Действительно удобно!
>В конце-концов, можно указать оба параметра - максимальный размер и время >суток.
А вот это надо будет попробовать.
>Тайный смысл пункта 12и мне не постичь..
Этот пункт (вернее, его отсутствие)стоил мне когда-то двух бессонных недель...
Если запретить вход всех кроме/etc/login.access:
-:ALL EXCEPT user1 user2:ALLто раз в неделю, в 4:15, периодический скрипт /etc/periodic/weekly/310.locate пытается выполнить комманду от имени nobody, переходя в него через su -fm nobody и получает запрет. В лог пишется сообщение о неудачной авторизации и админ начинает сходить с ума...
># Polling (НЕ РАБОТАЕТ С SMP) - работает, просто разработчикиценная информация.
>14. snd_driver_load="YES" - не слишком ли круто? :)
Эх! Если бы я тут указал свою звуковуху, то флейма было бы в три раза больше. Конечно, на реальной системе надо делать так, как ты говоришь
>>Вся инициализация консоли для сервера может быть опущена.
>
>Не скажи, я люблю наблюдать украинский язык по ssh ;oОткрою секрет ;) При работе по ssh/telnet эти настройки не используются. То, что описано в rc.conf - это только настройки локального syscons'a. А при работе через ssh практически все будет зависеть от LANG и немного от TERM :) Единственное, зачем это может пригодиться на сервере - если у вас есть логи с национальными символами, которые вы просматриваете на мониторе или serial-консоли.
>Этот пункт (вернее, его отсутствие)стоил мне когда-то двух бессонных недель...
>Если запретить вход всех кроме
>
>/etc/login.access:
>-:ALL EXCEPT user1 user2:ALL
>
>то раз в неделю, в 4:15, периодический скрипт /etc/periodic/weekly/310.locate пытается выполнить комманду
>от имени nobody, переходя в него через su -fm nobody и
>получает запрет. В лог пишется сообщение о неудачной авторизации и админ
>начинает сходить с ума...Ну как вариант, наверное, можно явно разрешить юзеру nobody логиниться локально.. Просто опять же при обновлении системы придется объяснять mergemaster'у, что тут все так и задумано :) Лишняя энтропия в системе :)
--
Jay
>>/etc/login.access:
>>-:ALL EXCEPT user1 user2:ALL
>>
>>то раз в неделю, в 4:15, периодический скрипт /etc/periodic/weekly/310.locate пытается выполнить комманду
>>от имени nobody, переходя в него через su -fm nobody и
>>получает запрет. В лог пишется сообщение о неудачной авторизации и админ
>>начинает сходить с ума...
>
>Ну как вариант, наверное, можно явно разрешить юзеру nobody логиниться локально.. Просто
>опять же при обновлении системы придется объяснять mergemaster'у, что тут все
>так и задумано :) Лишняя энтропия в системе :)Не придется - mergemaster нормально понимает
/etc/login.access:
+:root toor nobody mysql:LOCAL
.... себя добавить ....
-:ALL:ALL
Я имел в виду изменения в скрипте /etc/periodic/weekly/310.locate. Суть та же, но кроме login.access (он в статье все равно изменяется) придется еще и про 310.locate рассказывать mergemaster'у лишний раз.--
Jay
> Я имел в виду изменения в скрипте /etc/periodic/weekly/310.locate.
>Суть та же, но кроме login.access (он в статье все равно изменяется)
>придется еще и про 310.locate рассказывать mergemaster'у лишний раз.Справедливо. Учтено.
Благодарю Всех за комментарии и отзывы!
Неточности я постарался исправить.
Откровенно говоря, не ожидал, что статья вызовет такую дискуссию... Буду очень рад, если она кому-то пригодится. 8-)