C.1.1. Списки рассылки
Общие списки: Ниже представлены общие списки рассылки, к которым каждый может (и приглашается) присоединиться:
Изменения, вносимые в дерево исходных текстов FreeBSD | |
В защиту FreeBSD | |
Важные события и вехи проекта | |
Обсуждения архитектуры и дизайна системы | |
Обсуждения, относящиеся к поддержке базы данных сообщений о проблемах FreeBSD и соответствующим инструментам | |
Сообщения о проблемах | |
Не-технические темы, относящиеся к сообществу FreeBSD | |
Разработка инструментов установки и настройки FreeBSD | |
Обсуждения, относящиеся к использованию FreeBSD-CURRENT | |
Вопросы использования FreeBSD провайдерами | |
Вакансии и резюме, относящиеся к FreeBSD, с полной и частичной занятостью | |
Рассылка FreeBSD для новых пользователей | |
Публикация правил FreeBSD Core team. Только для чтения, малое количество сообщений | |
Вопросы пользователей и техническая поддержка | |
Уведомления безопасности | |
Обсуждения, относящиеся к использованию FreeBSD-STABLE | |
Рассылка для отправки тестовых сообщений (вместо обычных списков рассылки |
Технические списки: Следующие списки предназначены для технических обсуждений. Вам необходимо внимательно прочитать описание перед подпиской или отправкой почты в один из этих списков, поскольку они предназначены для использования внутри проекта.
Разработка ACPI и системы управления энергопотреблением | |
Портирование AFS на FreeBSD | |
Разработка драйверов для Adaptec® AIC 7xxx | |
Портирование FreeBSD на Alpha | |
Портирование FreeBSD на системы AMD64 | |
Обсуждение портов, относящихся к Apache | |
Портирование FreeBSD на процессоры ARM® | |
Использование ATM сетей с FreeBSD | |
Проект аудита исходных текстов | |
Дизайн и разработка системы бинарных обновлений | |
Использование FreeBSD в кластерах | |
Поддержка CVSweb | |
Обсуждение использования и разработки баз данных под FreeBSD | |
Создание относящихся к FreeBSD документов | |
Эмуляция других систем, таких как Linux/DOS/Windows® | |
Техническое обсуждение FreeBSD FireWire® (iLink, IEEE 1394) | |
Файловые системы | |
Относящиеся к GEOM обсуждения и реализации | |
Портирование GNOME и приложений GNOME | |
Общее техническое обсуждение | |
Общее обсуждение оборудования для FreeBSD | |
Интернационализация FreeBSD | |
FreeBSD на платформе IA-32 (Intel® x86) | |
Портирование FreeBSD на будущие системы Intel IA64 | |
Технические обсуждения, относящиеся к переработке кода IP брандмауэра | |
Разработчики ISDN | |
Разработчики Java™ и люди, портирующие JDK™ на FreeBSD | |
Портирование KDE и приложений KDE | |
Портирование LFS на FreeBSD | |
Второе поколение программы установки системы и пакетов | |
Портирование FreeBSD на MIPS® | |
Обсуждение портативных компьютеров | |
Портирование Mozilla на FreeBSD | |
Мультимедиа приложения | |
Технические обсуждения архитектуры шины | |
Обсуждения, относящиеся к сети и исходному тексту TCP/IP | |
Портирование OpenOffice.org и StarOffice™ на FreeBSD | |
Вопросы оптимизации производительности для быстрых/работающих под большой нагрузкой серверов | |
Поддержка различных относящихся к perl портов | |
Относится к портам для платформ не-Intel архитектуры | |
Обсуждения коллекции портов | |
Обсуждения относящихся к портам ошибок/PR | |
Портирование FreeBSD на PowerPC® | |
Обсуждение гарантий качества (Quality Assurance), обычно перед релизом | |
Разработка расширений реального времени для FreeBSD | |
Подсистема SCSI | |
Сообщения безопасности, касающиеся FreeBSD | |
Использование FreeBSD во встроенных приложениях | |
Обсуждение [не]симметричной мультипроцессорной архитектуры | |
Портирование FreeBSD на системы, основанные на Sparc® | |
Соответствие FreeBSD стандартам C99 и POSIX® | |
Потоки в FreeBSD | |
Тестирование производительности и стабильности FreeBSD | |
Поддержка Token Ring в FreeBSD | |
Обсуждение инфраструктуры VuXML | |
Сопровождение и поддержка X11 в FreeBSD |
Ограниченные списки: Следующие списки рассылки предназначены для более специализированной (и более официальной) аудитории и вероятно не могут заинтересовать широкую публику. Вероятно хорошей идеей будет сначала наладить общение в технических списках рассылки перед присоединением к ограниченным спискам, так вы сможете освоить этику общения.
Люди, поддерживающие зеркала (поддержка инфраструктуры) | |
Координация групп пользователей | |
Координация поставщиков перед релизом | |
Ответственные за |
CVS рассылки: Следующие рассылки предназначены для людей, заинтересованных в просмотре сообщений об изменении в различных областях дерева исходных текстов. Это списки только для чтения и вы не должны отправлять туда почту.
/usr/(CVSROOT|doc|ports|projects|src) | Все изменения в любой области дерева исходных текстов (надмножество других списков рассылки cvs) | |
/usr/(doc|www) | Все изменения в дереве исходных текстов документации и веб сервера | |
/usr/ports | Все изменения в дереве портов | |
/usr/projects | Все изменения в дереве проектов | |
/usr/src | Все изменения в дереве исходных текстов системы |
C.1.2. Как подписаться
Для подписки на рассылку, нажмите на название списка рассылки выше или воспользуйтесь ссылкой и нажмите на имя рассылки, которой вы заинтересовались. Страница списка рассылки содержит все необходимые инструкции по подписке.
Для отправки сообщения в выбранный список рассылки, отправьте письмо в <listname@FreeBSD.org>. Это письмо будет разослано участникам рассылки по всему миру.
Для отписки от рассылки, нажмите на ссылку, находящуюся внизу каждого письма, отправляемого через список рассылки. Возможна также отписка путем отправки письма на freebsd-[listname]-unsubscribe@FreeBSD.org.
Напоминаем, что обсуждение в технических списках рассылки должно оставаться в рамках технической темы. Если вас интересует только получение важных анонсов, мы предлагаем подписаться на рассылку с небольшим трафиком freebsd-announce.
C.1.3. Описание рассылок
Все списки рассылки FreeBSD имеют определенные основные правила, которых должен придерживаться каждый использующий их. Несоблюдение этих правил приведет к отправлению двух (2) предупреждений от FreeBSD Postmaster postmaster@FreeBSD.org>, после которых, после третьего нарушения, подписчик будет удален из всех списков рассылки FreeBSD и дальнейшие его сообщения будут отфильтровываться. Мы сожалеем, что эти правила и меры вообще необходимы, но современный интернет это довольно суровая среда и многие его механизмы довольно слабы.
Основные правила:
Тема любого сообщения должна соответствовать назначению списка рассылки, в который это сообщение отправляется. Например, если список рассылки посвящен техническим вопросам, сообщение должно быть техническим. Продолжающееся обсуждение вне темы, или флейм только понижают ценность рассылки для всех ее участников и поэтому не разрешаются. Для обсуждений вне какой-либо определенной темы необходимо использовать Список рассылки, посвящённый неформальным беседам о FreeBSD, специально для этого предназначенный.
Ни одно сообщение не должно отправляться более чем в 2 рассылки, отправка сообщения в 2 рассылки должна выполняться только при наличии простой и очевидной причины для дублирования сообщения. В большинстве рассылок подписчикам уже приходит много избыточного материала, и за исключением редких случаев (скажем, ``-stable & -scsi''), на самом деле нет причины отправлять сообщение более чем в один список рассылки. Если сообщение отправлено вам так, что в поле Cc находятся несколько списков рассылки, необходимо урезать поле Cc перед отправкой ответа. Именно вы отвечаете за собственные сообщения, независимо от того, кто был автором исходного письма.
Персональные нападки и профанация (в контексте аргументов) не разрешены, это относится и к пользователям, и к разработчикам. Грубые нарушения сетевой этики, такие как цитирование или пересылка личной переписки без специального на то разрешения, осуждаются но специальные меры в этом случае не принимаются. Однако, существует несколько специальных случаев, когда такие письма не отвечают назначению списка рассылки и, следовательно, могут повлечь отправку предупреждения (или исключение из списка рассылки).
Реклама не- FreeBSD продуктов или сервисов строго запрещена и исключение из списка рассылки последует незамедлительно, если станет очевидным, что это спам.
Описания рассылок:
Разработка ACPI и системы управления энергопотреблением
Andrew File System
Этот список предназначен для обсуждения портирования и использования AFS от CMU/Transarc
Важные события / вехи проекта
Этот список рассылки предназначен для тех, кто интересуется только периодическими анонсами значительных событий FreeBSD. Сюда включаются анонсы снэпшотов и других релизов, а также новых возможностей FreeBSD. Рассылка может содержать призыв к добровольцам и т.п. Это строго модерируемый список рассылки с малым объемом трафика.
Обсуждение архитектуры и дизайна системы
Эта рассылка предназначена для обсуждения архитектуры FreeBSD. Сообщения в основном строго технические. Примеры подходящих тем:
Как изменить систему сборки для одновременной сборки нескольких по-разному настроенных систем.
Что необходимо исправить в VFS для включения слоев Heidemann.
Как необходимо изменить интерфейс драйверов устройств для использования одних и тех же драйверов на множестве шин и архитектур.
Как написать сетевой драйвер.
Проект аудита исходных текстов
Это список рассылки для проекта аудита исходных текстов FreeBSD. Хотя первоначально он предназначался для изменений, связанных с безопасностью, его назначение было расширено для пересмотра всех изменений кода.
В эту рассылку отправляется большой объем исправлений, и она вероятно не представляет интереса для обычного пользователя FreeBSD. Обсуждения безопасности, не относящиеся к определенному изменению в коде, ведутся в freebsd-security. Разработчикам предлагается отправлять изменения в этот список рассылки для просмотра, особенно если эти изменения затрагивают части кода, ошибки в которых могут повлечь нарушение целостности системы.
Проект бинарного обновления FreeBSD
Этот список предназначен для обсуждений системы бинарного обновления системы, или binup.
В этой рассылке обсуждаются вопросы дизайна, детали реализации, исправления, сообщения об ошибках, сообщения о статусе, запросы на расширение функциональности, протоколы коммитов, и все, что относится к binup.
Координация усилий по обработке сообщений о проблемах
Назначение этой рассылки в координации и предоставлении места для обсуждения для лиц, обслуживающих базу данных сообщений о проблемах (bugmeister, bugbusters) и для всех сторон, интересующихся базой данных PR. Эта рассылка не предназначена для обсуждения отдельных проблем, исправлений или PR.
Сообщения об ошибках
Этот список рассылки предназначен для отправки сообщений об ошибках в FreeBSD. Когда это возможно, сообщения должны отправляться с использованием send-pr(1) или через к send-pr.
Не-технические темы, относящиеся к сообществу FreeBSD
В эту рассылку входят все темы, не подходящие для других рассылок, с не-технической, социальной информацией. Она включает обсуждения на темы: кто пьет слишком много кофе, где варят лучшее пиво, кто варит пиво в своем подвале, и так далее. Нерегулярные анонсы важных событий (такие как будущие встречи, свадьбы, дни рождения, новая работа и т.д.) могут быть опубликованы в технических рассылках, но ответы должны отправляться в -chat.
freebsd-core
Команда FreeBSD core
Это внутренний список рассылки, используемый членами core. Сообщения в эту рассылку могут быть отправлены по серьезной, имеющей отношение к FreeBSD причине, которая требует рассмотрения на самом высоком уровне.
Обсуждения, касающиеся использования FreeBSD-CURRENT
Это список рассылки для пользователей FreeBSD-CURRENT. Он включает предупреждения о новых возможностях, вносимых в -CURRENT, влияющих на пользователей, и инструкции относительно действий, которые должны быть предприняты для поддержки -CURRENT. Всякий, работающий с ``CURRENT'', должен подписаться на эту рассылку. Это технический список рассылки, все сообщения должны быть строго техническими.
FreeBSD CVSweb Project
Технические обсуждения использования, разработки и поддержки FreeBSD-CVSweb.
Проект документирования
Этот список рассылки предназначен для обсуждения вопросов и проектов, относящихся к созданию документации для FreeBSD. Члены этой рассылки все вместе обозначаются как ``The FreeBSD Documentation Project''. Это открытая рассылка; присоединяйтесь и участвуйте!
FireWire (iLink, IEEE 1394)
Это список рассылки, предназначенный для обсуждения дизайна и реализации подсистемы FireWire (также известной как IEEE 1394 или iLink) в FreeBSD. Соответствующие темы относятся к стандартам, устройствам шины и их протоколам, наборам плат/карт/чипов адаптера, а также архитектуре и реализации кода для их правильной поддержки.
Файловые системы
Обсуждения, относящиеся к файловым системам FreeBSD. Это технический список рассылки, предназначенный только для технических обсуждений.
GEOM
Обсуждения, относящиеся к GEOM и связанным с GEOM реализациям. Это технический список рассылки, предназначенный только для технических обсуждений.
GNOME
Обсуждения, относящиеся к десктопу GNOME для системы FreeBSD. Это технический список рассылки, предназначенный только для технических обсуждений.
IP брандмауэр
Это форум для технических обсуждений, относящихся к редизайну кода IP брандмауэра в FreeBSD. Это технический список рассылки, предназначенный только для технических обсуждений.
Портирование FreeBSD на IA64
Это технический список рассылки для тех, кто активно работает над портированием FreeBSD на платформу IA-64 от Intel, предназначенный для поднятия вопросов или обсуждения альтернативных решений. Те, кто интересуется обсуждаемыми проблемами, также приглашаются к участию в рассылке.
ISDN соединения
Это список рассылки для обсуждения разработки поддержки ISDN для FreeBSD.
Разработка Java
Этот список рассылки предназначен для обсуждения ключевых приложений Java для FreeBSD, а также портирования и поддержки JDK.
freebsd-jobs
Предложение и поиск работы
Это форум для публикации вакансий и резюме, относящихся к FreeBSD. Например, если вы ищете работу, относящеюся к FreeBSD, или у вас есть работа, связанная с FreeBSD, вы можете разместить соответствующую информацию именно здесь.
Эта рассылка не предназначена для обсуждения общих вопросов о приеме на работу, поскольку форумы на соответствующие темы уже существуют на других сайтах.
Имейте ввиду, что эта рассылка, как и другие рассылки на FreeBSD.org, распространяется по всему миру. Поэтому вам необходимо четко указать свое местоположение и область, с которой возможны телекоммуникации или помощь в перемещении.
Письма должны быть составлены только в открытых форматах -- предпочтителен чистый текст, но Portable Document Format (PDF), HTML, и некоторые другие форматы могут быть прочитаны многими. Закрытые форматы, такие как Microsoft® Word (.doc) будут отброшены сервером почтовой рассылки.
KDE
Обсуждения, относящиеся к KDE в системах FreeBSD. Это технический список рассылки, предназначенный только для технических обсуждений.
Технические обсуждения
Это форум для технических обсуждений, относящихся к FreeBSD. Это в основном технический список рассылки. Он предназначен для тех, кто активно работает над FreeBSD, и служит для поднятия вопросов или обсуждения альтернативных решений. Те, кто интересуется обсуждаемыми вопросами, также приглашаются к участию в обсуждении. Это технический список рассылки, предназначенный только для технических обсуждений.
Общее обсуждение оборудования FreeBSD
Общее обсуждение типов оборудования, на котором работает FreeBSD, различных проблем и предложений относительно того, какое оборудование можно покупать а какое нет.
Сайты зеркал
Анонсы и обсуждения для поддерживающих зеркала FreeBSD.
Вопросы использования FreeBSD провайдерами
Этот список рассылки предназначен для обсуждения тем, имеющих значение для провайдеров, использующих FreeBSD. Это технический список рассылки, предназначенный только для технических обсуждений.
Обсуждение деятельности новых пользователей
Эта рассылка охватывает всю деятельность новых пользователей, которая не обсуждается где-то еще. Сюда включаются: независимое обучение и техника решения проблем, поиск и использование ресурсов и запрос помощи где-то еще, как использовать списки рассылки и какие из них использовать, разговоры на общие темы, обсуждение ошибок, хвастовство, обмен идеями, истории, моральная (но не техническая) поддержка, активное участие в сообществе FreeBSD.
Мы сообщаем о своих проблемах и отправляем запросы на поддержку в freebsd-questions, а freebsd-newbies используем для встречи с темы, кто делает то же, что и мы, будучи новыми пользователями.
OpenOffice.org
Обсуждения, относящиеся к портированию и поддержке OpenOffice.org и StarOffice.
Обсуждения оптимизации или повышения скорости FreeBSD
Этот список рассылки существует как место для обсуждения тем, имеющих отношение к производительности FreeBSD, хакерами, администраторами, и/или заинтересованными сторонами. Приемлемые темы включают обсуждения установок FreeBSD, которые находятся под высокой нагрузкой и сталкиваются с проблемами производительности, или преодоление ограничений FreeBSD. Заинтересованным сторонам, собирающимся работать над улучшением производительности FreeBSD, настоятельно рекомендуется подписаться на эту рассылку. Это техническая рассылка, идеально подходящая для пользователей, хакеров или администраторов, заинтересованных в скорости, стабильности и расширяемости FreeBSD. Это не рассылка вопросов-и-ответов, заменяющая чтение документации, а место, где можно внести свой вклад или получить информацию по еще незатронутой теме, связанной с производительностью.
Портирование на не-Intel платформы
Кросс-платформенные вопросы FreeBSD, общее обсуждение и предложения для не-Intel портов FreeBSD. Это технический список рассылки, предназначенный только для технических обсуждений.
Правила core team
Это рассылка с малым количеством сообщений, только для чтения, предназначенная для публикации решений FreeBSD Core Team.
Обсуждения ``ports''
Обсуждения, относящиеся к ``коллекции портов'' FreeBSD, (/usr/ports), инфраструктуры портов и общих усилий по координации портов. Это технический список рассылки, предназначенный только для технических обсуждений.
Обсуждение проблем в ``ports''
Обсуждения, относящиеся к сообщениям о проблемах для ``коллекции портов'' FreeBSD (/usr/ports), предлагаемых портов, или изменений к портам. Это технический список рассылки, предназначенный только для технических обсуждений.
Вопросы пользователей
Это список рассылки по вопросам о FreeBSD. Вы не должны отправлять вопросы ``как сделать'' в технические рассылки, если только не уверены, что ваш вопрос чисто технический.
Подсистема SCSI
Это список рассылки для тех, кто работает над подсистемой SCSI для FreeBSD. Это технический список рассылки, предназначенный только для технических обсуждений.
Вопросы безопасности
Вопросы безопасности FreeBSD (DES, Kerberos, известные проблемы безопасности и исправления, и т.п.). Это технический список рассылки, предназначенный только для технических обсуждений. Обратите внимание, что это не рассылка вопросов-и-ответов, но дополнения в FAQ (И вопрос И ответ) приветствуются.
Уведомления безопасности
Уведомления о проблемах безопасности FreeBSD и исправления. Эта рассылка не предназначена для обсуждений. Для обсуждения предназначена рассылка FreeBSD-security.
Использование FreeBSD во встроенных приложениях
В этой рассылке обсуждаются темы, связанные с необычно малыми и встроенными установками FreeBSD. Это технический список рассылки, предназначенный только для технических обсуждений.
Обсуждения, касающиеся использования FreeBSD-STABLE
Этот список рассылки предназначен для пользователей FreeBSD-STABLE. Он включает предупреждения о новых возможностях, добавляемых в -STABLE, и влияющих на пользователей, и инструкции по действиям, которые необходимы для поддержки системы в состоянии -STABLE. Всякий, использующий ``STABLE'', должен подписаться на эту рассылку. Это технический список рассылки, предназначенный только для технических обсуждений.
Соответствие C99 и POSIX
Это форум для технических обсуждений, относящихся к соответствию FreeBSD стандартам C99 и POSIX.
Список координации групп пользователей
Этот список рассылки предназначен для обсуждения вопросов координаторами каждой группы пользователей и назначенным членом Core Team. Обсуждения в этой рассылке ограничены темой встреч и координацией проектов, относящихся к группам пользователей.
Поставщики
Обсуждения, относящиеся к координации между FreeBSD Project и поставщиками программного и аппаратного обеспечения для FreeBSD.
C.1.4. Фильтрация списков рассылки
Списки рассылки FreeBSD фильтруются различными способами для предотвращения распространения спама, вирусов, и другой нежелательной почты. Действия по фильтрации, описанные в этом разделе, не включают всех используемых для фильтрации списков рассылки проекта действий.
Только определенные типы вложений разрешены в списках рассылки. Все вложения с типами MIME содержимого, не входящие в список ниже, будут вырезаться перед тем, как письмо будет отправлено в список рассылки.
application/octet-stream
application/pdf
application/pgp-signature
application/x-pkcs7-signature
message/rfc822
multipart/alternative
multipart/related
multipart/signed
text/html
text/plain
text/x-diff
text/x-patch
Замечание: Некоторые из списков рассылки могут пропускать вложения других типов MIME, но список выше применим к большинству рассылок.
Если письмо содержит как HTML, так и только текстовую версию, версия HTML будет удалена. Если письмо содержит только HTML версию, она будет конвертирована в простой текст.
C.1. Списки рассылки
Хотя многие участники разработки FreeBSD читают USENET, мы не можем всегда гарантировать, что ответим на ваши вопросы в краткий срок (или вообще), если вы отправите их только в группы comp.unix.bsd.freebsd.*. Вопросы, отправленные в соответствующий список рассылки, достигнут и нас и обширной аудитории FreeBSD, что несомненно гарантирует лучшую (или как минимум более быструю) поддержку.
Внимание: Все сообщения в приведенные ниже списки рассылки должны быть составлены только на английском языке.
Описание каждой рассылки дано в конце этого документа. Пожалуйста, прочтите описание перед подпиской или отправкой почты в любой из списков. Большинство наших подписчиков получают многие сотни относящихся к FreeBSD сообщений каждый день, и определяя правила использования рассылок мы стремимся удержать высокое соотношение ``сигнал к шуму''. При меньшем соотношении списки рассылки перестанут быть эффективной средой общения участников проекта.
Архивы поддерживаются для всех списков рассылки и поиск по ним организован на WWW сервере FreeBSD. Поиск в архиве по ключевым словам дает отличный способ получения ответов на часто задаваемые вопросы и должен быть выполнен перед отправкой вопроса.
C.2. Новостные группы Usenet
В дополнение к двум относящимся к FreeBSD группам новостей, существуют множество других, где обсуждается FreeBSD или куда помещается другая информация, относящаяся к пользователям FreeBSD. доступны для некоторых из этих новостных групп благодаря Warren Toomey wkt@cs.adfa.edu.au>.
C.3. Серверы World Wide Web
, Costa Rica, Indonesia, Kyrgyzstan, Thailand, Австралия, Австрия, Аргентина, Бельгия, Бразилия, Великобритания, Венгрия, Германия, Гонконг, , , Ирландия, Исландия, Испания, , , , , , , , Нидерланды, , Норвегия, , Португалия, , Румыния, , Сан Марино, Сингапур, , Словения, Тайвань, , Украина, Филиппины, Финляндия, Франция, , Швейцария, , Эстония, , Япония.
(as of 2004/09/30 09:40:24 UTC)
Центральные серверы
Costa Rica
Indonesia
Kyrgyzstan
Thailand
Австралия
Австрия
(IPv6)
Аргентина
Бельгия
Бразилия
Великобритания
(IPv6)
Венгрия
Германия
(IPv6)
Гонконг
Греция
Дания
(IPv6)
Ирландия
Исландия
Испания
Италия
Канада
Китай
Корея
Кувейт
Латвия
Литва
Нидерланды
Новая Зеландия
Норвегия
(IPv6)
Польша
Португалия
Россия
Румыния
США
(IPv6)
(IPv6)
Сан Марино
Сингапур
Словацкая Республика
Словения
Тайвань
Турция
Украина
Филиппины
Финляндия
Франция
Чехия
Швейцария
Швеция
Эстония
Южная Африка
Япония
(IPv6)
C.4. Адреса Email
Следующие группы пользователей предоставляют для своих участников почтовые адреса. Приведенные в списке администраторы оставляют за собой право удалить адреса при любом злоупотреблении.
ukug.uk.FreeBSD.org | Только пересылка | freebsd-users @uk. FreeBSD. org> | Lee Johnston lee@uk. FreeBSD. org> |
C.5. Shell доступ
Следующие группы пользователей предоставляют shell доступ для тех, кто активно поддерживает проект FreeBSD. Приведенные в списке администраторы оставляют за собой право закрыть учетную запись при любом злоупотреблении.
storm.uk.FreeBSD.org | Только SSH | Cvs только для чтения, место для личной странички, почта | Brian Somers brian@FreeBSD.org> |
dogma.freebsd-uk.eu.org | Telnet/FTP/SSH | Email, место для сайта, Anonymous FTP | Lee Johnston lee@uk.FreeBSD.org> |
Текстовые редакторы
Большинство настроек в FreeBSD производится путем редактирования текстовых файлов. Соответственно, вам нужно будет освоиться с каким-либо текстовым редактором. Вместе с FreeBSD поставляются лишь некоторые из них, гораздо больше редакторов доступно из коллекции портов.
Самым простым в изучении и использовании, по-видимому, можно назвать ee, что расшифровывается как ``easy editor'', т.е. ``простой редактор''. Чтобы начать редактировать какой-либо файл, наберите в командной строке ee filename, где filename имя редактируемого файла. Например, для редактирования файла /etc/rc.conf, наберите ee /etc/rc.conf. В верхней части экрана вы увидите список основных команд редактора. Символ каретки (^) означает клавишу Ctrl, таким образом, ^e означает комбинацию клавиш Ctrl+e. Чтобы выйти из редактора, нажмите клавишу Esc, затем Enter. Если остались какие-либо не сохраненные данные, вам потребуется подтвердить выход, сохранив результат работы или оставив файл без изменения.
В FreeBSD присутствует также более мощный текстовый редактор vi, а редакторы emacs и vim можно найти в коллекции портов (editors/emacs и editors/vim). Эти редакторы более сложны в изучении, но их возможности порой превосходят всякие ожидания! Если в будущем вам потребуется часто редактировать большие объемы текстов, то потраченное на изучение этих редакторов время окупится с лихвой.
B
Berkeley Software Distribution
(BSD)
Это имя, которое в Computer Systems Research Group из Berkeley дали улучшениям и изменениям в AT&T's 32V UNIX®.
Феномен, заключающийся в том, что многие активно участвуют в обсуждении простой темы, в то время как сложная тема привлекает мало внимания или вообще остается незамеченной. Информация о происхождении этого термина находится в FAQ.
BSD
См.:
Что позволяет делать IPFW?
Программное обеспечение IPFW, поставляемое с FreeBSD, это система фильтрации и учета пакетов, находящаяся в ядре и снабженная пользовательской утилитой настройки, ipfw(8). Вместе они позволяют определять и просматривать правила, используемые ядром при маршрутизации.
IPFW состоит из двух связанных частей. Межсетевой экран осуществляет фильтрацию пакетов. Часть, занимающаяся учетом IP пакетов, отслеживает использование маршрутизатора на основе правил подобных тем, что используются в части межсетевого экрана. Это позволяет администратору определять, например, объем трафика, полученного маршрутизатором от определенного компьютера, или объем пересылаемого WWW трафика.
Благодаря тому, как реализован IPFW, вы можете использовать его и на компьютерах, не являющихся маршрутизаторами для фильтрации входящих и исходящих соединений. Это особый случай более общего использования IPFW, и в этой ситуации используются те же команды и техника.
Что такое межсетевой экран?
Есть два четко различающихся типа межсетевых экранов, повседневно используемых в современном интернет. Первый тип правильнее называть маршрутизатор с фильтрацией пакетов. Этот тип межсетевого экрана работает на машине, подключенной к нескольким сетям и применяет к каждому пакету набор правил, определяющий переправлять ли этот пакет или блокировать. Второй тип, известный как прокси сервер, реализован в виде даемонов, выполняющих аутентификацию и пересылку пакетов, возможно на машине с несколькими сетевыми подключениями, где пересылка пакетов в ядре отключена.
Иногда эти два типа межсетевых экранов используются вместе, так что только определенной машине (известной как защитный хост (bastion host)) позволено отправлять пакеты через фильтрующий маршрутизатор во внутреннюю сеть. Прокси сервисы работают на защитном хосте, что обычно более безопасно, чем обычные механизмы аутентификации.
FreeBSD поставляется с встроенным в ядро фильтром пакетом (известным как IPFW), ему будет посвящена оставшаяся часть раздела. Прокси серверы могут быть собраны на FreeBSD из программного обеспечения сторонних разработчиков, но их слишком много и невозможно описать их в этом разделе.
Дискеты
Первоначальный текст предоставил Julio Merino. Переписал Martin Karlsson.
Хранение данных на дискетах иногда бывает полезным, например, когда нет других съёмных носителей или когда необходимо перенести небольшой объём данных на другой компьютер.
В этом разделе будет описано, как использовать дискеты во FreeBSD. В основном речь пойдёт о форматировании и использовании дискет DOS размером 3.5 дюйма, однако общие принципы применимы и для других форматов гибких дисков.
Файловая система
Теперь ваша дискета готова к высокоуровневому форматированию. При этом на неё будет помещаться новая файловая система, которая позволит FreeBSD читать и записывать информацию на диск. После создания новой файловой системы метка диска уничтожается, так что если вы захотите переформатировать диск, вам придётся создавать метку диска повторно.
Файловой системой для дискеты может служить UFS или FAT. Вообще говоря, FAT для дискет походит лучше.
Для размещения на дискете новой файловой системы, выполните:
# /sbin/newfs_msdos /dev/fd0
Теперь диск готов к работе.
Форматирование
Перед тем, как дискетой можно будет воспользоваться, её необходимо отформатировать на низком уровне. Обычно это выполняется производителем, однако форматирование является хорошим способом проверить целостность носителя. Большинство гибких дисков предназначены для использования с размером 1440kB, однако возможно задать меньший или больший размер.
Для низкоуровневого форматирования дискет вам нужно использовать fdformat(1). В качестве параметра этой утилите передаётся имя устройства.
Обратите внимание на появление сообщений об ошибках, так как они могут помочь определить, хорошая это дискета или плохая.
Форматирование в 4.X и более ранних релизах
Для форматирования дискет используйте устройства /dev/fdN.size. Вставьте новую 3.5-дюймовую дискету в дисковод и введите команду:
# /usr/sbin/fdformat /dev/fd0.1440
Форматирование в 5.0 и более новых релизах
Для форматирования гибких дисков используйте устройства /dev/fdN. Вставьте новую 3.5-дюймовую дискету в дисковод и введите команду:
# /usr/sbin/fdformat -f 1440 /dev/fd0
Глоссарий FreeBSD
Этот глоссарий содержит специфичные для FreeBSD термины и сокращения.
Использование ACL
ACL файловой системы можно просмотреть с помощью утилиты . Например, для просмотра настроек ACL файла test, может использоваться команда:
% getfacl test
#file:test #owner:1001 #group:1001 user::rw- group::r-- other::r--
Для изменения ACL этого файла, вызовите утилиту setfacl(1). Выполните:
% setfacl -k test
Параметр -k удалит все установленные на данный момент ACL из файла или файловой системы. Более предпочтительный метод это использование параметра -b, который оставит необходимые для работы ACL поля.
% setfacl -m u:trhodes:rwx,group:web:r--,o::--- test
В вышеприведенной команде параметр -m использован для изменения записей ACL по умолчанию. Поскольку предустановленных записей не было (они были удалены предыдущей командой), эта команда восстановит параметры по умолчанию и задаст приведенные параметры. Имейте ввиду, при добавлении пользователя или группы, которых нет в системе, на stdout будет выведена ошибка ``Invalid argument''.
Использование дискет
Для работы с гибким диском смонтируйте его при помощи утилит mount_msdos(8) (для 4.X и более ранних релизов) или mount_msdosfs(8) (в 5.0 и последующих релизах). Можно также использовать пакет emulators/mtools из коллекции портов.
Изменение правил IPFW
Синтаксис этой формы команды такой:
ipfw [-N] команда [номер] действие [log] протокол адреса [параметры]
При использовании этой формы команды доступен один флаг:
-N
Разрешение адресов и имен сервисов при отображении.
Задаваемая команда может быть сокращена до более короткой уникальной формы. Существующие команды:
add
Добавление правила к списку фильтрации/учета
delete
Удаление правила из списка фильтрации/учета
Предыдущие версии IPFW использовали отдельные записи для фильтрации и учета пакетов. Современные версии учитывают пакеты для каждого правила.
Если указано значение номер, оно используется для помещения правила на определенную позицию в цепочке. Иначе правило помещается в конец цепочки с номером на 100 больше, чем у предыдущего правила (сюда не включается правило по умолчанию с номером 65535).
С параметром log соответствующие правила выводят информацию на системную консоль, если ядро собрано с опцией IPFIREWALL_VERBOSE.
Существующие действия:
reject
Отбросить пакет и отправить в адрес источникаICMP пакет, сообщающий о недостижимости хоста или порта.
allow
Пропустить пакет как обычно. (синонимы: pass, permit, и accept)
deny
Отбросить пакет. Источнику не выдается ICMP сообщение (как если бы пакет вообще не достиг цели).
count
Обновить счетчик пакета, но не применять по отношению к нему правила allow/deny. Поиск продолжится со следующего правила в цепочке.
Каждое действие может быть записано в виде более короткого уникального префикса.
Могут быть определены следующие протоколы:
all
Соответствует всем IP пакетам
icmp
Соответствует ICMP пакетам
tcp
Соответствует TCP пакетам
udp
Соответствует UDP пакетам
Поле адреса формируется так:
источник адрес/маска [порт] цель адрес/маска [порт] [via интерфейс]
Вы можете указать port только вместе с протоколами, поддерживающими порты (UDP и TCP).
Параметр via опционален и может содержать IP адрес или имя домена локального IP интерфейса, или имя интерфейса (например ed0), он настраивает правило на соответствие только тем пакетам, которые проходят через этот интерфейс.
Номера интерфейсов могут быть заменены на опциональную маску. Например, ppp* будет соответствовать PPP интерфейсам ядра.
Синтаксис, используемый для указания адреса/маски:
адрес
или
адрес/маска-биты
или
адрес:маска-шаблон
Вместо IP адреса возможно указание существующего имени хоста. маска-биты это десятичный номер, указывающий количество бит, которые должны быть установлены в маске адреса. Например, 192.216.222.1/24 создаст маску, соответствующую всем адресам подсети класса C (в данном случае, 192.216.222). A valid hostname may be specified in place of the IP address. маска-шаблон это IP, который будет логически перемножен с заданным адресом. Ключевое слово any может использоваться для обозначения ``любого IP адреса''.
Номера портов указываются в следующем формате:
порт [,порт [,порт [...]]]
для указания одного порта или списка портов, или
порт-порт
для указания диапазона портов. Вы можете также комбинировать указание одного диапазона со списком портов, но диапазон всегда должен указываться первым.
Доступные параметры:
frag
Срабатывает, если пакет не является первым пакетом дейтаграммы.
in
Соответствует входящим пакетам.
out
Соответствует исходящим пакетам.
ipoptions spec
Срабатывает, если заголовок IP содержит перечисленный через запятую список параметров, указанных в spec. Поддерживаемые параметры IP: ssrr (strict source route), lsrr (loose source route), rr (record packet route), и ts (time stamp). Действие отдельных параметров может быть изменено путем указания префикса !.
established
Срабатывает, если пакет является частью уже установленного TCP соединения (т.е. если установлены биты RST или ACK). Вы можете поднять производительность межсетевого экрана, поместив правило с established
близко к началу цепочки.
setup
Соответствует, если пакет является попыткой установки TCP соединения (установлен бит SYN, а бит ACK не установлен).
tcpflags флаги
Срабатывает, если заголовок TCP содержит список перечисленных через запятую флагов. Поддерживаемые флаги: fin, syn, rst, psh, ack, и urg.Действие правил по отдельным флагам может быть изменено указанием префикса !.
icmptypes типы
Срабатывает, если тип пакета ICMP находится в списке типы. Список может быть указан в виде любой комбинации диапазонов и/или отдельных типов, разделенных запятыми. Обычно используемые типы ICMP: 0 echo reply (ping reply), 3
destination unreachable, 5 redirect, 8 echo request (ping request), и 11 time exceeded (используется для обозначения истечения TTL, как с traceroute(8)).
K
(KSE)
Поддерживаемая ядром система потоков. Обратитесь к домашней странице проекта за более детальной информацией.
KSE
См.:
M
(MFC)
Означает добавление функциональности или исправлений из ветви -CURRENT в другую ветвь, чаще всего в -STABLE.
(MFS)
При нормальном ходе разработки FreeBSD, изменение вносится для тестирования в ветвь -CURRENT перед внесением в -STABLE. В редких случаях изменение сначала вносится в -STABLE, а затем переносится в -CURRENT.
Этот термин также используется, когда исправление переносится из -STABLE в ветвь исправлений безопасности.
См. также: .
MFC
См.:
MFS
См.:
Маршрутизаторы с фильтрацией пакетов
Маршрутизатор это машина, пересылающая пакеты между двумя или несколькими сетями. Маршрутизатор с фильтрацией пакетов запрограммирован на сравнение каждого пакета со списком правил перед тем как решить, пересылать его или нет. Большинство современного программного обеспечения маршрутизации имеет возможности фильтрации, и по умолчанию пересылаются все пакеты. Для включения фильтров, вам потребуется определить набор правил.
Для определения того, должен ли быть пропущен пакет, межсетевой экран ищет в наборе правило, совпадающее с содержимым заголовков пакета. Как только совпадение найдено, выполняется действие, присвоенное данному правилу. Действие может заключаться в отбрасывании пакета, пересылке пакета, или даже в отправлении ICMP сообщения в адрес источника. Учитывается только первое совпадение, поскольку правила просматриваются в определенном порядке. Следовательно, список правил можно назвать ``цепочкой правил''.
Критерий отбора пакетов зависит от используемого программного обеспечения, но обычно вы можете определять правила, зависящие от IP адреса источника пакета, IP адреса назначения, номера порта источника пакета, номера порта назначения (для протоколов, поддерживающих порты), или даже от типа пакета (UDP, TCP, ICMP, и т.д.).
Метка диска
После низкоуровневого форматирования диска вам нужно поместить на него метку диска. Эта метка будет потом разрушена, но она будет нужна системе для определения размера диска и его характеристик.
Новая метка диска будет касаться диска в целом, и будет содержать полную информацию о параметрах дискеты. Значения геометрии для метки диска перечислены в файле /etc/disktab.
Теперь вы можете запустить disklabel(8) примерно так:
# /sbin/disklabel -B -r -w /dev/fd0 fd1440
Замечание: Начиная с FreeBSD5.1-RELEASE, на смену старой программе disklabel(8) пришла утилита . У bsdlabel(8)
отсутствуют некоторые устаревшие опции и параметры; в примере выше параметр -r не может использоваться с bsdlabel(8). Для получения дополнительной информации обратитесь к справочной странице п о bsdlabel(8).
Межсетевые экраны
Предоставили Gary Palmer, Alex Nash.
Интерес к межсетевым экранам (брандмауэр, firewall) со стороны людей, подключенных к интернет, все возрастает и появились даже приложения для локальной сети, предоставляющие повышенный уровень безопасности. В этом разделе мы надеемся изложить что такое межсетевые экраны, как их использовать, и как использовать возможности, предоставляемые ядром FreeBSD для их реализации.
Замечание: Люди часто думают, что наличие межсетевого экрана между внутренней сетью и ``Большим плохим интернетом'' решит все их проблемы безопасности. Это может помочь, но плохо настроенный межсетевой экран представляет более серьезную угрозу безопасности, чем его полное отсутствие. Межсетевой экран добавляет еще один уровень безопасности вашим системам, но не может остановить проникновение решительно настроенного взломщика в вашу сеть. Если вы снижаете внутреннюю безопасность системы, поскольку верите в надежность межсетевого экрана, это существенно упрощает работу взломщика.
Накладные расходы и оптимизация IPFW
Многие пользователи хотят знать, как сильно IPFW нагружает систему. Ответ в основном зависит от набора правил и скорости процессора. При небольшом наборе правил для большинства приложений, работающих в Ethernet ответ ``незначительно''. Для тех, кому нужен более точный ответ, и предназначен этот раздел.
Последующие измерения были выполнены с 2.2.5-STABLE на 486-66. (Хотя IPFW немного изменился в последующих релизах FreeBSD, скорость осталась приблизительно той же.) IPFW был модифицирован для измерения времени, затраченного ip_fw_chk, с выводом на консоль результата после каждого 1000-го пакета.
Были протестированы два набора из 1000 правил. Первый был составлен для демонстрации плохого набора правил путем повторения правила:
# ipfw add deny tcp from any to any 55555
Этот набор правил плох, поскольку большая часть правил IPFW не соответствует проверяемым пакетам (из-за номера порта). После 999-й итерации этого правила следует правило allow ip from any to any.
Второй набор правил был разработан для быстрейшей проверки каждого правила:
# ipfw add deny ip from 1.2.3.4 to 1.2.3.4
Не совпадающий IP адрес источника в правиле выше приведет к очень быстрой проверке этих правил. Как и прежде, 1000-е правило allow ip from any to any.
Затраты на проверку пакета в первом случае приблизительно 2.703 мс/пакет, или приблизительно 2.7 микросекунд на правило. Теоретический предел скорости проверки около 370 пакетов в секунду. Предполагая подключение через 10 Mbps Ethernet и размер пакета приблизительно 1500 байт, получаем только 55.5% использования пропускной способности.
Во втором случае каждый пакет был проверен приблизительно за 1.172 мс, или приблизительно 1.2 микросекунд на правило. Теоретический предел скорости проверки около 853 пакетов в секунду, что делает возможным полное использование пропускной способности 10 Mbps Ethernet.
Чрезмерное количество проверяемых правил и их вид не позволяет составить картину близкую к обычным условиям -- эти правила были использованы только для получения информации о времени проверки. Вот несколько рекомендаций, которые необходимо учесть для создания эффективного набора правил:
Поместите правило established как можно раньше для обработки большей части TCP трафика. Не помещайте перед ним правила allow tcp.
Помещайте часто используемые правила ближе к началу набора чем редко используемые (конечно же, без изменения действия всего набора). Вы можете определить наиболее часто используемые правила путем проверки счетчиков пакетов командой ipfw -a l.
Настройка IPFW
Настройка программного обеспечения IPFW выполняется с помощью утилиты ipfw(8). Синтаксис этой команды выглядит очень сложным, но он становится относительно прост как только вы поймете его структуру.
В настоящее время утилита использует четыре различных категории команд: добавление/удаление (addition/deletion), просмотр (listing), сброс (flushing) и очистка (clearing). Добавление/удаление используется для создания правил, определяющих как пакеты принимаются, отбрасываются и протоколируются. Просмотр используется для определения содержимого набора правил (называемого еще цепочкой) и счетчиков пакетов (учет). Сброс используется для удаления всех правил цепочки. Очистка используется для обнуления одного или нескольких счетчиков.
Очистка счетчиков пакетов IPFW
Синтаксис для очистки одного или нескольких счетчиков пакетов:
ipfw zero [index]
При использовании без аргумента номер будут очищены все счетчики пакетов. Если index указан, операция очистки применяется только к указанному правилу цепочки.
P
Principle Of Least Astonishment
(POLA)
При развитии FreeBSD, видимые пользователю изменения должны быть как можно менее неожиданны. Например, произвольное перемещение переменных в /etc/defaults/rc.conf нарушает POLA. Разработчики учитывают POLA при внесении видимых пользователю изменений.
POLA
См.:
Примеры команд для ipfw
Следующая команда запретит все пакеты с хоста evil.crackers.org на telnet порт хоста nice.people.org:
# ipfw add deny tcp from evil.crackers.org to nice.people.org 23
Следующий пример запрещает и протоколирует весь TCP трафик из сети crackers.org (класса C) к компьютеру nice.people.org (на любой порт).
# ipfw add deny log tcp from evil.crackers.org/24 to nice.people.org
Если вы хотите запретить организацию X сессий в вашу сеть (часть сети класса C), следующая команда осуществит необходимую фильтрацию:
# ipfw add deny tcp from any to my.org/28 6000 setup
Для просмотра записей учета:
# ipfw -a list
или в краткой форме
# ipfw -a l
Вы можете также просмотреть время последнего срабатывания правил с помощью команды:
# ipfw -at l
Прокси серверы
Прокси серверы это компьютеры, где обычные системные даемоны (telnetd, ftpd, и т.д.) заменены специальными серверами. Эти серверы называются прокси серверами, поскольку они обычно работают только с входящими соединениями. Это позволяет запускать (например) telnet прокси сервер на межсетевом экране, и делать возможным вход по telnet на межсетевой экран, прохождение механизма аутентификации, и получение доступа к внутренней сети (аналогично, прокси серверы могут быть использованы для выхода во внешнюю сеть).
Прокси серверы обычно лучше защищены, чем другие серверы, и зачастую имеют более широкий набор механизмов аутентификации, включая системы ``одноразовых'' паролей, так что даже если кто-то узнает, какой пароль вы использовали, он не сможет использовать его для получения доступа к системе, поскольку срок действия пароля истекает немедленно после его первого использования. Поскольку пароль не дает доступа непосредственно к компьютеру, на котором находится прокси-сервер, становится гораздо сложнее установить в систему backdoor.
Прокси серверы обычно имеют способ дополнительного ограничения доступа, так что только определенные хосты могут получить доступ к серверам. Большинство также позволяют администратору указывать, пользователей и компьютеры, к которым они могут обращаться. Опять же доступные возможности в основном зависят от используемого программного обеспечения.
Просмотр правил IPFW
Синтаксис этой формы команды такой:
ipfw [-a] [-c] [-d] [-e] [-t] [-N] [-S] list
Для этой формы команды существует семь флагов:
-a
Показывать значения счетчиков. Этот параметр -- единственный путь для просмотра значений счетчиков.
-c
Просмотр правил в компактной форме.
-d
Показывать динамические правила в дополнение к статическим.
-e
Если определен параметр -d, показывать также динамические правила с истекшим сроком действия.
-t
Отображать последнее время срабатывание для каждого правила в цепочке. Этот список несовместим с синтаксисом, принимаемым ipfw(8).
-N
Попытаться разрешить заданные адреса и имена сервисов.
-S
Отображать набор, к которому принадлежит каждое правило. Если этот флаг не указан, заблокированные правила не будут отображены.
Размер диска в 4.X и более ранних релизах
Имеются также устройства /dev/fdN.size, где size обозначает размер дискеты в килобайтах. Эти файлы устройств используются во время низкоуровневого форматирования для задания размера устройства. В последующих примерах будет использоваться размер в 1440kB.
Иногда записи в каталоге /dev необходимо создавать повторно. Для этого выполните следующее:
# cd /dev && ./MAKEDEV "fd*"
Размер диска в 5.0 и последующих релизах
devfs(5)
управляет файлами устройств в каталоге /dev в автоматическом режиме, так что использование MAKEDEV необязательно.
Требуемый размер диска передаётся утилите fdformat(1) при помощи параметра -f. Поддерживаемые размеры перечислены в fdcontrol(8), но, по нашему мнению, лучше всего работает 1440kB.
Сброс правил IPFW
Синтаксис для сброса правил:
ipfw flush
Все правила в цепочке будут удалены, за исключением правила по умолчанию, устанавливаемого ядром (номер 65535). Будьте осторожны при сбросе правил; правило, отбрасывающее пакеты по по умолчанию отключит систему от сети, пока разрешающие правила не будут добавлены в цепочку.
Создание межсетевого экрана с фильтрацией пакетов
Замечание: Следующие рекомендации означают только одно: рекомендации. Требования к каждому межсетевому экрану различаются, и мы не можем рассказать вам, как создать межсетевой экран, отвечающий вашим потребностям.
При первоначальной настройке межсетевого экрана, до тестирования производительности и введения сервера в строй, настоятельно рекомендуется использовать версии команд с протоколированием и включить протоколирование в ядре. Это позволит вам быстро выявить проблемные области и исправить настройку без больших усилий. Даже после завершения первоначальной настройки рекомендуется использовать протоколирование для `deny', поскольку это позволяет отслеживать возможные атаки и изменять правила межсетевого экрана, если требования к нему изменятся.
Замечание: Если вы используете версию команды accept с протоколированием, будьте осторожны, поскольку она может создать большой объем протокольных данных. Будет произведено протоколирование каждого пакета, проходящего через межсетевой экран, поэтому большие объемы FTP/http и другого трафика существенно замедлят систему. Это также увеличит задержку таких пакетов, поскольку ядру требуется выполнить дополнительную работу перед тем, как пропустить пакет. syslogd также будет использовать гораздо больше времени процессора, поскольку он отправит все дополнительные данные на диск, и раздел /var/log может быть быстро заполнен.
Вам потребуется включить межсетевой экран в /etc/rc.conf.local или /etc/rc.conf. Соответствующая страница справочника разъясняет что именно необходимо сделать и содержит примеры готовых настроек. Если вы не используете предустановленную настройку, команда ipfw list может поместить текущий набор правил в файл, откуда он может быть помещен в стартовые файлы системы. Если вы не используете /etc/rc.conf.local или /etc/rc.conf для включения межсетевого экрана, важно убедиться в том, что он включается после настройки интерфейсов.
Далее необходимо определить, что именно делает ваш межсетевой экран! Это в основном зависит от того, насколько широкий доступ вы хотите открыть снаружи к вашей сети.
Вот несколько общих правил:
Заблокируйте доступ снаружи к портам TCP с номерами ниже 1024. Здесь расположена большая часть критичных для безопасности сервисов, таких как finger, SMTP (почта) и telnet.
Заблокируйте весь входящий трафик UDP. Есть очень немного полезных сервисов, работающих через UDP, но они обычно представляют угрозу безопасности (например, Sun RPC и NFS протоколы). У этого способа есть и недостатки, поскольку протокол UDP не поддерживает соединения, и запрещение входящих пактов заблокирует также ответы на исходящий UDP трафик. Это может стать проблемой для тех, кто использует внешние серверы, работающие с UDP. Если вы хотите открыть доступ к этим сервисам, потребуется разрешить входящие пакеты с соответствующих портов. К примеру, для ntp вам может потребоваться разрешить пакеты, приходящие с порта 123.
Заблокировать весь трафик снаружи к порту 6000. Порт 6000 используется для доступа к серверам X11, и может быть угрозой безопасности (особенно если у пользователей есть привычка выполнять на своих рабочих станциях команду xhost +). X11 может использовать диапазон портов, начинающийся с 6000, верхний предел определяется количеством X дисплеев, которые могут быть запущены на машине. Верхний предел, определенный RFC 1700 (Assigned Numbers), равен 6063.
Проверьте порты, используемые внутренними сервисами (например, SQL серверами и т.п.). Возможно хорошей идеей является блокирование и этих портов, поскольку они обычно не попадают в диапазон 1-1024, указанный выше.
Еще один список для проверки настроек межсетевого экрана доступен на CERT по адресу http://www.cert.org/tech_tips/packet_filtering.html
Как сказано выше, все эти правила всего лишь руководство. Вы сами сможете решить, какие правила фильтрации будут использованы в межсетевом экране. Мы не можем нести НИКАКОЙ ответственности в случае взлома вашей сети, даже если вы следовали советам, представленным выше.
Списки контроля доступа файловой системы (ACL)
Предоставил Tom Rhodes.
В дополнение к другим расширениям файловой системы, таким как снимки (snapshots), FreeBSD 5.0 и более поздние версии системы предлагают защиту с помощью списков контроля доступа файловой системы (File System Access Control Lists, ACLs).
Списки контроля доступа расширяют стандартную модель прав UNIX® высоко совместимым (POSIX®.1e) способом. Эта возможность позволяет администратору получить преимущество от использования более интеллектуальной модели безопасности.
Для включения поддержки ACL в файловой системе UFS, следующая строка:
options UFS_ACL
должна быть добавлена в файл настройки ядра. Если параметр не добавлен, при попытке монтирования систем, поддерживающих ACL, появится предупреждающее сообщение. Этот параметр включен в ядро GENERIC. ACL основывается на дополнительных атрибутах, встроенных в файловую систему. Дополнительные атрибуты поддерживаются по умолчанию следующим поколением файловых систем UNIX, UFS2.
Замечание: Для включения дополнительных атрибутов в UFS1 требуется больше усилий по сравнению с UFS2. Производительность дополнительных атрибутов в UFS2 также существенно выше. По этим причинам для работы с списками контроля доступа предпочтительно использование UFS2
ACL включаются во время монтирования флагом acls, который добавляется к /etc/fstab. Этот флаг также можно сделать постоянным с помощью tunefs(8), изменив флаг ACL в заголовке файловой системы. Вообще говоря, использование флага в суперблоке предпочтительно по нескольким причинам:
Постоянный ACL флаг не может быть изменен путем перемонтирования системы (mount(8) -u), а только через umount(8) и mount(8). Это означает, что ACL нельзя включить на корневой файловой системе после загрузки. Это также означает, что вы не можете изменить флаг на используемой файловой системе.
Установка флага в суперблоке приводит к постоянному монтированию файловой системы с включенным ACL, даже если нет записи в fstab или при смене порядка устройств. Это предотвращает случайное монтирование файловой системы без ACL, которое может повлечь за собой проблемы с безопасностью.
Замечание: Мы можем изменить поведение ACL
для включения флага без полного перемонтирования, но считаем, что желательно исключить случайное монтирование без ACL, поскольку вы можете попасть в неприятную ситуацию, если включите ACL, затем выключите их, затем опять включите без сброса расширенных атрибутов. Обычно, как только вы включили ACL в файловой системе, они не должны быть выключены, поскольку получающаяся защита файлов может быть не совместима с той, что применяется пользователями системы, и повторное включение ACL может подключить предыдущие списки контроля доступа к файлам, права на которые изменены, что приведет к непредсказуемому поведению.
Файловые системы с включенными ACLs показывают знак + при просмотре прав на файлы. Например:
drwx------ 2 robert robert 512 Dec 27 11:54 private drwxrwx---+ 2 robert robert 512 Dec 23 10:57 directory1 drwxrwx---+ 2 robert robert 512 Dec 22 10:20 directory2 drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directory3 drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html
Здесь мы видим, что каталоги directory1, directory2, и directory3 используют преимущества ACL. Каталог public_html их не использует.
Устройство
Доступ к гибким дискам, как, впрочем, и к остальным устройствам, осуществляется через соответствующие файлы в каталога /dev. Чтобы обратиться к дискете при использовании релизов 4.X и ранее, необходимо работать с /dev/fdN, где N обозначает номер привода, обычно 0, или /dev/fdNX, где X обозначает букву.
В 5.0 и более новых релизах просто используйте /dev/fdN.
Включение IPFW в FreeBSD
Поскольку основная часть системы IPFW находится в ядре, вам потребуется добавить один или несколько параметров в файл настройки ядра, в зависимости от требуемых возможностей, и пересобрать ядро. Обратитесь к главе о пересборке ядра () за подробным описанием этой процедуры.
Внимание: Правилом IPFW по умолчанию является deny ip from any to any. Если вы не добавите других правил во время загрузки для разрешения доступа, то заблокируете доступ к серверу с включенным в ядро межсетевым экраном после перезагрузки. Мы предлагаем указать firewall_type=open в файле /etc/rc.conf при первоначальном добавлении межсетевого экрана, а затем, после тестирования его работоспособности, отредактировать правила в файле /etc/rc.firewall. Дополнительной предосторожностью может быть первоначальная настройка межсетевого экрана с локальной консоли, вместо входа через ssh. Кроме того, возможна сборка ядра с параметрами IPFIREWALL и IPFIREWALL_DEFAULT_TO_ACCEPT. В этом случае правило IPFW по умолчанию будет изменено на allow ip from any to any, что предотвратит возможную блокировку.
Существует четыре параметра настройки ядра, относящихся к IPFW:
options IPFIREWALL
Включает в ядро код для фильтрации пакетов.
options IPFIREWALL_VERBOSE
Включает протоколирование пакетов через syslogd(8). Без этого параметра, даже если вы укажете в правилах фильтрации протоколировать пакеты, это не сработает.
options IPFIREWALL_VERBOSE_LIMIT=10
Ограничивает число пакетов, протоколируемых каждым правилом через syslogd(8). Вы можете использовать этот параметр если хотите протоколировать работу межсетевого экрана, но не хотите делать возможной DoS атаку путем переполнения syslog.
Когда для одного из правил в цепочке достигается определенный параметром предел, протоколирование для этого правила выключается. Для включения протоколирования, вам потребуется сбросить соответствующий счетчик с помощью утилиты ipfw(8):
# ipfw zero 4500
где 4500 это номер правила, для которого вы хотите возобновить протоколирование.
options IPFIREWALL_DEFAULT_TO_ACCEPT
Изменяет правило по умолчанию с ``deny'' на ``allow''. Это предотвращает возможное блокирование, если ядро загружено с поддержкой IPFIREWALL, но межсетевой экран еще не настроен. Этот параметр также полезен, если вы используете ipfw(8) в качестве средства от определенных проблем по мере их возникновения. Тем не менее, используйте параметр с осторожностью, поскольку он открывает межсетевой экран и изменяет его поведение.
Замечание: Предыдущие версии FreeBSD содержали параметр IPFIREWALL_ACCT. Этот параметр устарел, поскольку код автоматически включает возможность учета.
Цели Проекта FreeBSD
Предоставил Jordan Hubbard.
Целью Проекта FreeBSD является предоставление программного обеспечения, которое может быть использовано для любых целей и без дополнительных ограничений. Многие из нас вносят значительный вклад в код (и проект) и совершенно не требуют за это какой-либо финансовой компенсации сейчас и в последствии, хотя мы определенно не собираемся отказываться от нее. Мы верим, что первая и основная наша ``миссия'' это предоставление кода для всех, кому он необходим, и для любых целей, поэтому этот код становится все более и более распространен и предоставляет самые широкие возможности. Это, я верю, является одной из основных целей Свободного Программного Обеспечения и мы с энтузиазмом поддерживаем ее.
Тот код в нашем дереве исходных текстов, который попадает под Общую Публичную Лицензию GNU (GPL) или Общую Публичную Лицензию Библиотек GNU (LGPL), предоставляется с дополнительными условиями, хотя они обеспечивают только возможность доступа а не его ограничение. По причине дополнительных сложностей, которые могут появится при коммерческом использовании GPL продуктов, мы предпочитаем ПО, предоставленное под более свободной лицензией BSD, когда это возможно.
Краткая история FreeBSD
Предоставил Jordan Hubbard.
Проект FreeBSD возник в первой половине 1993 года, частично как результат развития ``Неофициального комплекта исправлений к 386BSD (patchkit) '', последними 3-мя координаторами этого проекта: Nate Williams, Rod Grimes и мною.
Нашей главной задачей было привести промежуточный снэпшот 386BSD в порядок, исправив множество проблем, которые механизм patchkit не мог решить. Некоторое из вас возможно помнят раннее название этого проекта: ``386BSD 0.5'' или ``386BSD Interim''.
386BSD была операционной системой Била Джоилца, который на тот момент находился строго говоря, в состоянии полного пренебрежения к ней. Так как patchkit разрастался, его поддержание становилось более неудобным день от дня, мы пришли к единодушному соглашению что что-то нужно делать и решили помочь Биллу путем предоставления промежуточных ``очистных'' снэпшотов. Эти планы были грубо оборваны, когда Билл внезапно решил прекратить поддержку проекта без всяких ясных комментариев, что должно быть сделано.
Нам потребовалось немного времени, чтобы прийти к решению продолжать следовать той же цели, даже без поддержки Билла, и мы приняли имя ``FreeBSD'' приобретенное Дэвидом Гринмэном. Наши начальные цели были определены после консультаций с пользователями существовавшей системы, и как только стало понятно, что проект на пути к тому, чтобы стать реальностью, я связался с Walnut Creek CDROM с идеями о путях последующего улучшения каналов распространения FreeBSD для множества пользователей без доступа к Internet. Walnut Creek CDROM не только поддержал идею распространения FreeBSD на CD, но также пошел далеко вперед и предоставил проекту компьютер для работы и быстрый доступ к Internet. Без почти беспрецедентной веры Walnut Creek CDROM в этот в то время полностью неизвестный проект, вряд ли FreeBSD зашел бы так далеко и так быстро, как сегодня.
Первым дистрибутивом, распространяемым как на CDROM, так и в сети, стал FreeBSD1.0, выпущенный в декабре 1993 года. Эта версия была выполнена на основе ленты 4.3BSD-Lite (``Net/2'') из Калифорнийского Университета в Беркли, с многочисленными добавлениями из проекта 386BSD и Фонда Свободного Программного Обеспечения.
Это был довольно внушительный успех для первого предложения, и мы закрепили его с выходом FreeBSD 1.1 RELEASE в мае 1994 года.
В это же время, на горизонте сгустились тучи в связи с назревающим скандалом между Novell и Калифорнийским Университетом, Беркли. Это был вяло-текущий судебный процесс о легальности версии Net/2 из Беркли. Обстоятельства тяжбы с Калифорнийским Университетом заключались в том, что большие куски Net/2 были ``загромождены'' кодом, права на который принадлежат Novell, которая в свою очередь, получила их (права на код) ранее от AT&T. Чтоб вернуть ``благословение'' Novell, Беркли выпустил версию 4.4BSD-Lite, которая была объявлена полностью ``свободной'' и всем пользователям Net/2 было рекомендовано переключится на ее использование. Это также касалось FreeBSD, и проекту было дано время до конца Июля 1994 года для прекращения распространения его продукта базирующегося на Net/2. На этих условиях проекту было разрешено выпустить последний релиз до окончания срока, это был FreeBSD 1.1.5.1.
Тогда FreeBSD приступил к сложной задаче буквально полному изобретению себя из абсолютно новой и довольно неполной системы 4.4BSD-Lite. ``Lite'' был в прямом смысле light (легким) потому, что CSRG Berkeley удалил большие куски кода, необходимого для создания реально загружающейся системы (по причине различных лицензионных требований), и фактически порт 4.4BSD для платформы Intel был очень неполным. Проекту потребовалось время почти до ноября 1994 года для того, чтобы выполнить этот переход и на этом этапе FreeBSD 2.0 была опубликована в сети и на CDROM (в конце декабря). Несмотря на множество ``острых углов'' в этой версии, она пользовалась значительным успехом и была продолжена более устойчивой и простой в установке FreeBSD 2.0.5, выпущенной в июне 1995 года.
Мы выпустили FreeBSD 2.1.5 в августе 1996, и она стала достаточно популярной среди большого количества ISP и коммерческих производителей, чтобы выпустить еще один релиз из ветви 2.1-STABLE.
Это была FreeBSD 2.1.7.1, вышедшая в феврале 1997 и завершившая главную ветвь разработки 2.1-STABLE. Сейчас в режиме поддержки, в эту ветвь (RELENG_2_1_0) вносятся только расширения безопасности и другие критически важные исправления.
FreeBSD 2.2 была ответвлена от основной линии разработки (``-CURRENT'') в ноябре 1996 как ветвь RELENG_2_2, а первая полная версия (2.2.1) появилась в апреле 1997. Последующие версии ветви 2.2 появлялись летом и в конце 97 года, а последняя версия (2.2.8) вышла в ноябре 1998. Первая официальная версия 3.0 была подготовлена к выходу в октябре 1998, завершив развитие ветви 2.2
Третье ветвление произошло 20 января 1999 года, появились ветви 4.0-CURRENT и 3.X-STABLE. Из ветви 3.X-STABLE были получены: 3.1 - 15 февраля 1999, 3.2 - 15 мая 1999, 3.3 - 16 сентября 1999, 3.4 - 20 декабря 1999, 3.5 - 24 июня 2000, за которым последовал через несколько дней немного обновленный 3.5.1, который содержал несколько исправлений в области безопасности Kerberos. Это был последний релиз из ветви 3.X.
Последнее на данный момент ветвление было выполнено 13 марта 2000 года, в результате чего появилась ветвь 4.X-STABLE, в настоящее время считающейся ``текущей -stable ветвью''. Из этой ветви было выпущено несколько релизов: 4.0-RELEASE был представлен в марте 2000 года, самый свежий 4.10-RELEASE был выпущен May 2004. Из ветви 4.X-stable (RELENG_4) будут выпущены и следующие релизы.
Долгожданный 5.0-RELEASE был анонсирован 19 января 2003 года. Он стал кульминацией приблизительно трех лет работы, с этого релиза начался курс FreeBSD на расширенную поддержку мультипроцессорности и потоков в приложениях, была также представлена поддержка платформ UltraSPARC® и ia64. За этим релизом последовал релиз 5.1 в июне 2003 года. Помимо множества новых возможностей, релизы 5.X принесли также существенные улучшения внутренней архитектуры системы. Однако, вместе с этими преимуществами, в систему пришло огромное количество нового и мало протестированного кода.По этой причине, релизы 5.X считаются ``Новыми технологическими'', а 4.X релизы ``Продуктивными''. Со временем 5.X будут объявлены стабильными, и начнется работа над новой ветвью, 6.0-CURRENT.
На данный момент, долговременные разработки и проекты продолжаются в ветке 5.X-CURRENT, и по ходу разработки будут доступны снэпшот-релизы 5.X на CDROM (и, конечно же, в сети), постоянно выкладываемые на сервер снэпшотов как промежуточные результаты.
Модель Разработки FreeBSD
Предоставил Satoshi Asami.
Разработка FreeBSD это очень открытый и гибкий процесс -- FreeBSD, буквально выражаясь, создан из кода, предоставленного сотнями людей со всего мира, в чем вы можете убедится взглянув на список этих людей. Мы постоянно ищем новых разработчиков и новые идеи, и тот, кто заинтересован в более тесном взаимодействии и хочет принять участие в проекте, должен просто связаться с нами в рассылке freebsd-hackers. Для тех кто желает использовать FreeBSD в различных областях для работы, доступен Список рассылки анонсов FreeBSD.
Если участвуете в процессе разработки FreeBSD независимо или тесно сотрудничая с нами, полезно знать следующее:
Главное дерево исходных текстов FreeBSD поддерживается с помощью CVS (Concurrent Versions System), свободно доступной системой контроля исходных текстов, которая поставляется вместе с FreeBSD. Основной располагается на компьютере, находящемся в городе Санта Клара, Калифорния (США), откуда и распространяется на множество зеркал по всему миру. Дерево CVS, содержащее ветви и -STABLE, может быть легко скопировано на ваш локальный компьютер. Обратитесь к разделу за информацией об этом процессе.
Коммиттеры это люди, которые имеют доступ на запись к главному дереву CVS, и имеют право вносить изменения в главное дерево исходных текстов FreeBSD (термин ``коммиттер'' появился от названия команды cvs(1) commit, которая используется для внесения изменений в CVS репозиторий). Лучший способ для предоставления ваших изменений на рассмотрение коммиттеров - это использование команды send-pr(1). Если что-то произошло с системой, вы можете достучаться до них посылкой письма по адресу cvs-committers.
CORE группа FreeBSD могла бы быть эквивалентом Совета Директоров, если бы Проект FreeBSD был компанией. Главная задача CORE группы -- убедиться, что проект в целом в хорошем состоянии и движется в правильном направлении. Приглашение постоянных и ответственных разработчиков присоединится к группе коммиттеров одна из функций CORE группы, также как приглашение новых членов в CORE группу по мере того, как другие уходят.
Нынешний состав группы был выбран из рядов коммиттеров путем общего голосования в июле 2004 года. Выборы проходят каждые 2 года.
Некоторые члены CORE группы имеют особые области ответственности, это означает, что они являются ответственными за работу отдельной большой части системы. За полным списком разработчиков FreeBSD и областей их ответственности обращайтесь к Списку участников.
Замечание: Большинство членов CORE группы являются волонтерами и не получают никакой финансовой выгоды от участии в проекте, поэтому вы не должны рассматривать их работу как ``гарантированную поддержку''. Аналогия с ``советом директоров'' не очень точна и вероятно гораздо правильнее будет сказать, что это люди, которые посвятили себя FreeBSD, пожертвовав личной жизнью!
Внешняя помощь
Последней, но однозначно не менее значимой, наибольшей группой разработчиков являются пользователи, которые предоставляют комментарии и исправления ошибок нам на почти постоянной основе. Основной путь участвовать в не централизованной разработке это подписка на , где обсуждаются подобные вещи. Обратитесь к за дальнейшей информацией о различных списках рассылки FreeBSD.
Список контрибьюторов FreeBSD очень длинный и постоянно растет, поэтому почему бы вам не присоединится к нему предоставив что-нибудь FreeBSD сегодня?
Предоставление кода не единственный способ помочь проекту; для более-менее полного списка вещей, которые необходимо сделать пожалуйста обратитесь к веб сайту проекта FreeBSD.
Вообще говоря, наша модель разработки организована как ``нечеткий набор концентрированных колец''. Централизованная модель разработана для удобства пользователей FreeBSD, которые получают простую систему контроля за одной центральной базой кода, и позволяет не оставить за бортом проекта потенциальных помощников! Мы желаем предоставить стабильную операционную систему с большим количеством когерентных , которые пользователи смогут легко установить и использовать -- наша модель работает очень хорошо для этой задачи.
Мы все приглашаем тех, кто хотел бы присоединится к нам как разработчик FreeBSD, выделить немного времени и привнести свой взнос в постоянный успех FreeBSD!
О Проекте FreeBSD
В следующей части рассказывается о том, что из себя представляет проект, включая краткую историю, цели проекта и модель разработки проекта.
Текущая Версия FreeBSD
FreeBSD - это свободно доступный, основанный на 4.4BSD-Lite релиз с полными исходными текстами для компьютерных систем, основанных на Intel i386™, i486™, Pentium®, Pentium Pro, Celeron®, Pentium II, Pentium III, Pentium 4 (или совместимыми), Xeon™, DEC Alpha™ и Sun UltraSPARC. В основном он основан на программном обеспечении от группы CSRG, U.C. Berkley, с некоторым дополнениями из NetBSD, OpenBSD, 386BSD и Free Software Foundation.
Со времен FreeBSD версии 2.0 в конце 94, производительность, возможности, и стабильность FreeBSD выросла многократно. Самое большое изменение это полное обновление системы виртуальной памяти с объединенным VM/файловым буферизованным кэшем, который не только увеличивает производительность, но и уменьшает количество используемой памяти, делая 5 MB конфигурацию более доступным минимумом. Другие улучшения включают в себя полную поддержку NIS (клиент и сервер), поддержка транзакций TCP, поддержка "звонка-по-запросу" в PPP, встроенная поддержка DHCP, улучшенная подсистема SCSI, поддержка ISDN, ATM, FDDI, Fast и Gigabit Ethernet (1000 Mbit) адаптеров, улучшенная поддержка последних версий контролеров Adaptec и многие тысячи исправленных ошибок.
В дополнение к базовой системе, FreeBSD предоставляет коллекцию портированого ПО, включающую в себя тысячи популярных программ. На время подготовки этого документа она включала в себя более 10,500 портов! В коллекцию входят множество программ от http (WWW) серверов, до игр, языков программирования, текстовых редакторов и всего прочего. Полная коллекция портов требует приблизительно 300 MB дискового пространства, потому что порт представляет собой ``изменения'' оригинальных исходных текстов. Это сильно упрощает нам процесс обновления портов, и очень сильно уменьшает количество занимаемого дискового места по сравнению со старой (1.0) коллекцией портов. Для того, чтобы скомпилировать и установить программу, необходимо всего лишь войти в каталог порта программы, набрать make install и дать системе сделать все остальное.
Исходные тексты для каждого порта, который вы устанавливаете, загружаются автоматически с CDROM или локального FTP сервера, поэтому вам нужно только дисковое пространство для сборки тех портов, которые вам необходимы. Почти каждый порт также предоставляется как пред-компилированный ``пакет'', который может быть установлен с помощью простой команды (pkg_add) теми, кто предпочитает не компилировать порты из исходных текстов. Дополнительная информация о пакетах и портах находится здесь: Гл. 4.
Множество дополнительных документов, которые вы можете найти очень полезными в процессе установки и использования FreeBSD, находятся в каталоге /usr/share/doc на любой машине, работающей под управлением современной версии FreeBSD. Вы можете просматривать локально установленные документы с помощью любого браузера, поддерживающего HTML, используя следующие ссылки:
Руководство FreeBSD
FreeBSD FAQ (Часто задаваемые вопросы)
Вы также можете просмотреть основные (и наиболее часто обновляемые) копии на http://www.FreeBSD.org/ru/.