IT博客-1，2，3。。。大道以多岐路亡羊，学者以多方丧生。-随笔分类-软件的使用

Enterprise Architect 8.0.864下载及注册码

爱易 — Mon, 05 Dec 2011 03:56:00 GMT

{9699EED2-BE87-9ee4-9996-9BAE4-FW71-DAWA-VG5W-4RUQ-C0}

{880300E9-20C2-18c4-A5C0-4D322-FW70-E936-8362-4EQA-C0}

{4B2DEEBC-C889-653a-3158-3545C-FW70-A5CM-UU9K-NGK3-C0}

{27B034BE-E297-d84e-02B5-C05D1-FW71-C70N-QO3O-E0AO-C0}

------------------------

低版本的也能用，而且，7.0的keygen生成的key也能用在8.0.864上面。

在官网下载的试用版无法使用这些key，请从下面的链接进行下载。

下载：115网盘下载

爱易 2011-12-05 11:56 发表评论

Ettercap-交换环境下的嗅探器使用方法

爱易 — Wed, 05 Dec 2007 06:44:00 GMT

一:安装

你可以在网上很多地方下载到它的最新版本,比如http://ettercap.sourceforge.net 下载完后,先解压缩:
[root@CIEL root]#tar zxpvf ettercap-0.6.tar.gz
[root@CIEL root]#cd ettercap-0.6
[root@CIEL ettercap-0.6]#./configure&&make&&make install
[root@CIEL ettercap-0.6]#make plug-ins
[root@CIEL ettercap-0.6]#make plug-ins_install
安装完成后,输入"ettercap --help"就可以看见帮助文档.基本用法是
ettercap [option] [host:port] [host:port] [mac] [mac]

二：功能介绍

嗅探：它有5种工作模式
-a --arpsniff 基于arp的欺骗,分3小种：arpbased,smartcarp和publicarp
-s --sniff 属于IPBASED,目标可以是任何主机
-m --macsniff 属于MACBASED

需要说明的是-s -m两选项带来的是传统嗅探模式,分别基于IP地址和MAC地址.也就是说它们必需先把网卡置于混杂,然后才可以正常工作。所以在交换环境下,这两项会完全失效,-a选项是基于ARP欺骗的,是一种中间人攻击模型。实质是利用了ARP协议的漏洞，攻击者分别欺骗了A和B机。让A机把数据传给嗅探者,然后再由嗅探机器把数据转发给B机,A和B却没有意识到数据包的中转过程，这样我们就可以劫获数据甚至修改数据包.

下面分别介绍五种用法:
1：ettercap -Nza ip1 ip2 mac1 mac2 (arpbased) 劫获IP1与IP2间的数据.缺省状态下
只接收TCP数据包

2： ettercap -Na ip mac (smartcarp) 劫获此ip与外部所有通讯数据,这种方式比较剧烈,启动时采用的是ARP风暴,很容易被发现.如果别人在用TCPDUMP监听,就会看见攻击者发出的无数的ARP请求,再傻的管理员都明白什么事情发生了.不过由于修改了指定主机的ARP表中关于被监听主机的MAC地址，还修改了被监听主机中的那些指定主机的MAC地址,处在完全的中间人工作状态，这时候你可以作的事情多些,比如更改数据包,截取SSH口令.

3：ettercap -Nza ip mac (publicarp) 同上,不同点在于发送ARP请求的方式,上面采用的是ARP广播,这里只是对特定主机发送ARP请求.这样,不易引起管理员的怀疑.不过也带来了问题,被监听者自己也会收到这个以广播方式发送的ARP响应包,于是便会弹出"检测到IP地址于硬件地址冲突"之类的警告.不过不会影响目标主机正常通信,还有一点就是发往被监听主机的数据包会送给监听者，而监听者发出的数据包却被直接送往真正的目的主机，没有经过监听者的主机.所以我们只能截取不完全的通信内容.

4：ettercap -Nzs IP:80 (ipbased sniffing) 基于IP地址的嗅探。这里仅劫获目标机器HTTP消息,你也可以指定其他端口，比如23 。如果没有指定，所有都会被截取

5：ettercap -zm mac1 mac 2 (macbased) 基于MAC的嗅探.只要输入MAC地址

需要说明的是，4，5两种方式只适合于共享网络,在交换网络下一概无效.MAC地址的获取很简单，直接在终端输入“ettercap -l"就会列出所有在线主机。或者你先PING一下某个IP，不管有没有回应（没有回应可能是对方开了防火墙），再用ARP命令就可以获取其MAC地址。如果无法获取，则此IP不存在 ,这也是探测防火墙后的主机是否在线的一个好方法。

包过滤：由于网络流量实在很大，当你面对大量记录数据时，你可能会感到手足无措，你想找到自己需要的数据无疑是一项艰巨的工作，这时侯，我们可以通过—F 选项加载自己的过滤规则，这样，很多无用的数据就会被忽略，删节。和注射字符一样，我们进行包过滤时有必要的话也要注意到正确的TCP序列号和确认序列号等因素。一旦你加载了自己的过滤链，你就可以有目的的得到自己最需要的数据了。一条过滤规则看起来就象汇编程序一样，当然，还是有差距的，用列阵形容可能更确切些。一条过滤规则大概如下：《协议，源端口，目标端口，承载数据》

一个空的搜索字符串总可以成立，比如端口如果没有指定，所有的都会被记录下来。只要那些规则匹配，你的过滤链就可以工作了.

例如有如下数据流
packet 1: "var1=123&var2=400"
packet 2: "var1=124&var2=420"
packet 3: "var1=125&var2=460"
packet 4: "var1=126&var2=540"
packet 5: "var1=127&var2=700
......
......
我们可以写如下规则
Search: "var1=[3*]"
Replace: "var1=000"
被过滤后的流就会如下
packet 1: "var1=000&var2=400"
packet 2: "var1=000&var2=420"
packet 3: "var1=000&var2=460"
packet 4: "var1=000&var2=540"
packet 5: "var1=000&var2=700"
如果“var1”后面没有被指定，默认则“var1=000”

最后是关于ssh的嗅探：

由于传输数据被加密,我们必需自己掌握密钥,具体实现方法如下:我们先截取服务器的明码密钥,保存在一边.自己再生成另一明码密钥,用来加密本机与客户机通讯数据,收到客户机数据后,自然可以解密,在用服务器明码密钥加密,发送给服务器,如此一来,可以偷天换柱.

三：工作参数：

下面列出它的主要选项,虽然它本身有28个,不过限于篇幅,下面只列出一些常用的:
-N --simple 非交互方式，很常用的
-z --silent 静模式(启动时不是发送ARP风暴)
-O --passive 被动模式嗅探
-b --broadping 广播PING ,替代了ARPPING
-S --spoof 用IP1这地址发送ARP请求获取其他机器信息
-H --hosts 嗅探的目标主机的IP,可以是很多台
-n --netmask 扫描由输入子网掩码确定的子网
-v --version 检查最新版本
-h --help 帮助文档

组合选项 (一般和N绑定一齐执行)
-u --udp 嗅探UDP数据,缺省是TCP
-p --plugin 运行指定名字的插件
-l --list 列出所有在线主机ip和mac.实质就是发送255个ARP请求,等待回音,如果你的子网掩码是255.255.0.0,就会发送255*255个请求,就是ARP风暴吧!
-C --colletc 仅搜集用户名和对应密码 Eg:ettetcap -NCzs IP：port 它规则不是很严格，所以你IP或PORT不填也没有关系
-c --check 检察网络里有没其他机器正在嗅探
-x --hexview 用16进制表达数据,这样,如果你想自己创建一个包的话会比较方便.比如建个文件写上"\x01\x02\x00\x00\xFF\xFF\x00\ x02here the pass".注意:ettercap不仅可以嗅探包,也可以创建包的.所以你可以更改穿过你机器的任何一段数据
-L --logtofile 记录所有数据到指定位置
-k --newcert 创建一个新的CERT文件,用以进行HTTPS攻击
-F --filter 从指定文件列加载过滤规则
-f --fingerprint 指定主机的OS判别,采用的是nmap的数据库,所以准确性得到保障,不过也有无法辨别的时候.
-t --linktype 判断自己处在什么样的网络环境中，交换或是HUB

实战篇
210.197.248.192是确定在线的主机，先判断它操作系统
[root@CIEL root]# ettercap -Nf 218.197.248.192
ettercap 0.6.0 (c) 2001 ALoR & NaGA
Your IP: 218.197.248.226 with MAC: 00:00:E8:7B:CA:4E on Iface: eth0
Fingerprinting 218.197.248.192...
Operating System:
Windows NT 5 Beta2 or Beta3
Windows Me or Windows 2000 RC1 through final release
MS Windows2000 Professional RC1/W2K Advance Server Beta3
Windows Millenium Edition v4.90.3000

现在小试牛刀，看看对方正在做什么
[root@CIEL root]# ettercap -Nza 218.197.248.192 218.197.248.254 MAC1 MAC2

这里218.197.248.254是网关。这样，我们就是中间人了，它与外网所有数据都会在我们这里流过。不过被嗅探机器的内网数据交换我们将看不到.下面是截取到的2段典型的HTTP交互数据，从第一段可以看出客户正在看的网页，脚本，浏览器语言以及客户的操作系统等信息。从第2段可以看出主机的 bannner等等,都是网站的基本资料
GET /pcedu/script/title_edu.js HTTP/1.1.
Accept: */*.
Referer: http://wwwb.pconline.com.cn/pcedu/soft/doc/nt/10308.htm.
Accept-Language: zh-cn.
Accept-Encoding: gzip, deflate.
If-Modified-Since: Mon, 09 Sep 2002 09:18:53 GMT.
If-None-Match: "6f67c-2d5-3d7c677d".
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt).
Host: wwwb.pconline.com.cn.
Connection: Keep-Alive.

HTTP/1.1 200 OK.
Date: Sat, 01 Mar 2003 08:25:37 GMT.
Server: Apache/1.3.20 (Unix) PHP/4.1.2 mod_ssl/2.8.4 OpenSSL/0.9.6a.
X-Powered-By: PHP/4.1.2.
Keep-Alive: timeout=15, max=100.
Connection: Keep-Alive.
Transfer-Encoding: chunked.
Content-Type: text/html.

当然，它还可以记下很多网页内容，全是HTML源代码，你可以抓下来，用HTM后缀保存，再用浏览器打开，好了，你看到的是什么，别人看到的就是什么。不过它对中文支持不很好，所以别人看见的中文你将无法看到，另一个程序LCRZOEX就很不错，在中文终端里，可以把所有中文网页完整抓下来。

一般黑客最感兴趣的无非是密码了，比如下面的组合，h是帮助，它会提供帮助信息
[root@CIEL root]# ettercap -NCzs
ettercap 0.6.0 (c) 2001 ALoR & NaGA
Your IP: 218.197.248.226 with MAC: 00:00:E8:7B:CA:4E on Iface: eth0
Resolving 1 hostnames...
Press 'h' for help...
Sniffing (IP based): ANY:0 <--> ANY:0
TCP packets only... (default)
Collecting passwords...
[qQ] - quit
[lL] - log all trafic to file(s)
space - stop/cont sniffing

15:52:51 218.197.248.21:1027 <--> 61.114.4.41:23 telnet
USER: root
PASS: root

15:54:53 218.197.248.46:1041 <--> 61.135.132.99:80 http
USER:dalin
PASS:7895865
http://www.sohu.com/

16:13:14 218.197.248.192:2278 <--> 218.197.249.172:21 ftp
USER: CshjPASS: 123456如果你输入lL,系统在/ROOT下会自动生成“20030301-Collected-passwords.log",里面会记录下所有能嗅探到的密码，看来TELNET，HTTP，FTP密码都不能逃过，这些记录简洁明了，在机器上挂一天，不知道可以记录多少了：）

爱易 2007-12-05 14:44 发表评论

用Diff和Patch维护源码

爱易 — Thu, 14 Jun 2007 09:25:00 GMT

在linux系统下，维护源码可以使用很多方法，简单的版本维护工作并没有必要使用复杂的CVS等专门的版本维护工具，linux标配中的diff和patch工具就可以完成代码的简单备份和升级工作。
    diff以"行"为单位比较两个文件（也可以是目录较），并将不同之处以某种格式输出到指定输出上；patch可以读入这种输出，并按照一定指令使源文件（目录）按照目标文件（目录）更新。Linux内核源码就是按照这种方式保持更新的，我们在www.kernel.org 上可以下载到最新内核的patch文件的bzip2包。本文以介绍diff和patch工具的使用。

1．diff
diff既可以用来比较两个文件，也可以用来比较两个目录中每个文件。使用-r（--recursive）参数时还可以在目录中嵌套比较。比较目录时除比较同名文件外，对不同名的文件当成新文件处理。对于比较C程序文件，diff还提供了专门的参数（-p，--show-c-function）来标识不同之处所在的函数名。

    diff的输出格式有三种：列举方式、命令模式和上下文模式，其中命令模式有分为两种：ed命令格式和RCS（Revision Control System，版本控制系统）命令格式，上下文模式也按格式分为老版和新版两种。
    新版格式较之老版要紧凑一些，Linux内核源码的升级就是按照新版上下文格式用diff组织的，比如patch-2.6.16中所用的具体命令为：

diff -Nur linux-2.6.15 linux

参数N表示如果某个文件仅在一个目录中出现，则假定其在另一个目录中为空文件；u表示unified格式，r表示在目录中嵌套使用，linux-2.6.15显然是老核的目录名，而linux则为新核的目录名。

2．patch

尽管并没有指定patch和diff的关系，但通常patch都使用diff的结果来完成打补丁的工作，这和patch本身支持多种diff输出文件格式有很大关系。patch通过读入patch文件（可以从标准输入），对目标文件进行修改。通常先用diff命令比较新老版本，patch命令文件则采用diff的输出文件，从而保持原版本与新版本一致。

patch的标准格式为

patch [options] [originalfile] [patchfile]

如果patchfile为空则从标准输入读取patchfile内容；如果originalfile也为空，则从patchfile中读取需要打补丁的文件名。因此，如果需要修改的是目录，一般都必须在patchfile中记录目录下的各个文件名。绝大多数情况下，patch都用以下这种简单的方式使用：

patch -p[num]
patch命令可以忽略文件中的冗余信息，从中取出diff的格式以及所需要patch的文件名，文件名按照diff参数中的"源文件"、"目标文件"以及冗余信息中的"Index："行中所指定的文件的顺序来决定。也就是说，对于如下diff结果文件（Linux内核源码2.6.16升级包，部分）：

引用:

diff -Nur linux-2.6.15/Makefile linux/Makefile
--- linux-2.6.15/Makefile Thu Nov 22 17:22:58 2006
+++ linux/Makefile Sat Nov 24 16:21:53 2006
@@ -1,7 +1,7 @@
VERSION = 2
PATCHLEVEL = 6
-SUBLEVEL = 15
-EXTRAVERSION =-ubuntu
+SUBLEVEL = 16
+EXTRAVERSION =

KERNELRELEASE=$(VERSION).$(PATCHLEVEL).$(SUBLEVEL)$(EXTRAVERSION)
……

patch 首先尝试当前目录（或者-d参数指定的目录）下的linux-2.6.15/Makefile文件是否存在，如果不存在则试图对 linux/Makefile文件操作，仅当两者都不存在时（或者设置了POSIXLY_CORRECT环境变量）才会读取Index:的内容（此文件中没有标识）。

前面提到的-p参数决定了是否使用读出的源文件名的前缀目录信息，不提供-p参数，则忽略所有目录信息，-p0（或者-p 0）表示使用全部的路径信息，-p1将忽略第一个"/"以前的目录，依此类推。如/usr/src/linux-2.6.15/Makefile这样的文件名，在提供-p3参数时将使用linux-2.6.15/Makefile作为所要patch的文件。

对于刚才举的Linux内核源码 2.6.16升级包的例子，假定源码目录位于/usr/src/linux中，则在当前目录为/usr/src时使用"patch -p0
patch可以直接操作上下文格式以及混合ed格式的diff输出文件，而将ed格式文件通过管道提交给ed程序操作。

3．配合使用diff和patch升级源码

在此仅举一个简单的例子来说明如何用diff/patch工具维护源码升级。

假设program-1.0目录中为旧版，现开发完成的新版位于program-2.0目录中，将两个目录置于同一父目录下，然后在该父目录上执行：

diff -Nur program-1.0 program-2.0 >program-2.0.patch

将生成一个program-2.0.patch的补丁文件，发布该补丁文件（可以先压缩成bzip2格式）。

假设拿到的是program-2.0.patch.bz2文件，则在program-1.0目录同级执行：

bzcat program-2.0.patch.bz2 | patch -p0

如此即完成了从1.0到2.0的升级。

如果希望恢复到原版本，可以使用-R（--reverse）参数。

爱易 2007-06-14 17:25 发表评论

emacs 的简单使用及配置

爱易 — Wed, 30 May 2007 07:52:00 GMT

使用tags之前要先对源代码分析建立tags文件，在代码所在目录中运行：etags -R 即可。

我常用的就这几个命令和快捷键：

M-x visit-tags-table  FILE    选择tags文件
M-. [TAG]                          访问标签
M-*                                     返回
C-u M-.                                 寻找标签的下一个定义

cscope用用吧。它其实是一个独立的软件，完全可以脱离vi和emacs使用。但是结合emacs的强大功能，cscope就显得更加方便了。GNU Emacs默认自带cscope的支持。在使用之前，cscope也需要对代码进行索引。在emacs中可以这样做：

C-c s a             设定初始化的目录，一般是你代码的根目录
C-s s I             对目录中的相关文件建立列表并进行索引

建完索引之后，你就可以用cscope在代码里游荡了。常用的一些命令如下：

C-c s s             序找符号
C-c s g             寻找全局的定义
C-c s c             看看指定函数被哪些函数所调用
C-c s C             看看指定函数调用了哪些函数
C-c s e             寻找正则表达式
C-c s f             寻找文件
C-c s i             看看指定的文件被哪些文件include


简单配置

;;;; CC-mode..  http://cc-mode.sourceforge.net/
(require 'cc-mode)
(c-set-offset 'inline-open 0)
(c-set-offset 'friend '-)
(c-set-offset 'substatement-open 0)


;;;;..C/C++......

(defun my-c-mode-common-hook()
  (setq tab-width 4 indent-tabs-mode nil)
  ;;; hungry-delete and auto-newline
  (c-toggle-auto-hungry-state 1)
  ;;....
  (define-key c-mode-base-map [(control \`)] 'hs-toggle-hiding)
  (define-key c-mode-base-map [(return)] 'newline-and-indent)
  (define-key c-mode-base-map [(f7)] 'compile)
  (define-key c-mode-base-map [(meta \`)] 'c-indent-command)
;;  (define-key c-mode-base-map [(tab)] 'hippie-expand)
  (define-key c-mode-base-map [(tab)] 'my-indent-or-complete)
  (define-key c-mode-base-map [(meta ?/)] 'semantic-ia-complete-symbol-menu)

 ;;.....
  (setq c-macro-shrink-window-flag t)
  (setq c-macro-preprocessor "cpp")
  (setq c-macro-cppflags " ")
  (setq c-macro-prompt-flag t)
  (setq hs-minor-mode t)
  (setq abbrev-mode t)
  (global-font-lock-mode t)
)
(add-hook 'c-mode-common-hook 'my-c-mode-common-hook)

;;;;..C++......
(defun my-c++-mode-hook()
  (setq tab-width 4 indent-tabs-mode nil)
  (c-set-style "stroustrup")
;;  (define-key c++-mode-map [f3] 'replace-regexp)
)

// 函数跳转 
(require 'xcscope)
(setq cscope-do-not-update-database t)


Emacs常用命令速查 


     现在我已经能够熟练使用这些命令了,基本上可以算一个初段的Emacser了,哈哈,总结一下,把这些命令打印出来贴在电脑上,不记得了再查查,从今以后尽量做到写代码和文档都用Emacs来完成.

  1）与文件操作有关的命令

  C-x C-f    查找文件并且在新缓冲区中打开

  C-x C-v    读入另一个文件替换掉用C-x C-f打开的文件

  C-x i    把文件插入到光标的当前位置

  C-x C-s    保存文件

  C-x C-w    把缓冲区内容写入一个文件

  C-x C-c    退出Emacs



  2）与光标移动操作有关的命令

  C-f     光标前移一个字符（右）

  C-b     光标后移一个字符（左）

  C-p     光标前移一行（上）

  C-n     光标后移一行（下）

  M-f     前移一个单词

  M-b     后移一个单词

  C-a     移动到行首

  C-e     移动到行尾

  M-e     前移一个句子

  M-a     后移一个句子

  M-}     前移一个段落

  M-{     后移一个段落

  C-v     屏幕上卷一屏

  M-v     屏幕下卷一屏

  C-x ]    前移一页

  C-x [    后移一页

  M-<     前移到文件头

  M->;     后移到文件尾

  C-l     重新绘制屏幕，当前行放在画面中心

  M-n 或者 C-u n  重复执行n次后续命令

  按下M-x后在辅助输入区中输入"goto-line"跳到指定的行，输入"goto-char"跳到指定的字符



  3）与文件删除操作有关的命令

  C-d     删除光标位置上的字符

  DEL     删除光标前面的字符

  M-d     删除光标后面的单词

  M-DEL    删除光标前面的单词

  C-k     从光标位置删除到行尾

  M-k     删除光标后面的句子

  C-x DEL    删除光标前面的句子

  C-y     恢复被删除的文本或者粘贴最近删除或复制的文本

  C-w     删除文件块

  按下M-x后在辅助输入区中输入"kill-paragraph"删除光标后面的段落，按下"backward-kill-paragraph"删除光标前面的段落



  4）与文本块操作有关的命令

  C-@     标记文本块的开始（或结束）位置

  C-x C-x    互换插入点和文本标记的位置

  C-w 或 SHIFT-DEL 删除文本块

  M-w     复制文本块

  M-h     标记段落

  C-x C-p    标记页面

  C-x h    标记整个缓冲区



  5）与位置交换操作有关的命令

  C-t     交换两个字符的位置

  M-t     交换两个单词的位置

  C-x C-t    交换两个文本行的位置

  按下M-x后在辅助输入区中输入"transpose-sentences"交换两个句子的位置，按下"transpose-paragraph"交换两个段落的位置



  6）与改变字母大小写操作有关的命令

  M-c     单词首字母改为大写

  M-u     单词的字母全部改为大写

  M-l     单词的字母全部改为小写



  7）与查找操作相关的命令

  C-s     向前递增查找

  C-r     向后递增查找

  C-s C-w    开始递增查找，把光标位置的单词做查找字符串

  C-s C-y    开始递增查找，把光标位置到行尾之间的文本做查找字符串

  C-s return searchstring return  向前开始非递增查找操作

  C-r return searchstring return  向后开始非递增查找操作

  C-s return C-w  向前开始单词查找（不受换行符、空格、标点符号影响）

  C-r return C-w  向后开始单词查找（不受换行符、空格、标点符号影响）



  8) 与使用编辑缓冲区和窗口有关的命令

  C-x b    如果输入一个新的文件名则新建一个文件并且编辑,否则打开该文件

  C-x s    保存全部缓冲区

  C-x b    删除缓冲区

  M-x rename-buffer 重命名当前缓冲区

  C-x C-q    把当前编辑缓冲区设置为只读属性

  C-x 0    删除当前所在的窗口

  C-x 1    当前缓冲区满屏显示

  C-x 2    创建上下排列的窗口

  C-x 3    创建左右排列的窗口

  C-x o    在窗口之间移动

爱易 2007-05-30 15:52 发表评论

例解 autoconf 和 automake 生成 Makefile 文件

爱易 — Tue, 17 Apr 2007 05:36:00 GMT

文档选项

未显示需要 JavaScript 的文档选项

		将此页作为电子邮件发送
		样例代码

拓展 Tomcat 应用

下载 IBM 开源 J2EE 应用服务器 WAS CE 新版本 V1.1

级别: 初级

杨小华 (normalnotebook@126.com), Linux 内核研究员
苏春艳, 在读研究生

2006 年 9 月 21 日

本文介绍了在 linux 系统中，通过 Gnu autoconf 和 automake 生成 Makefile 的方法。主要探讨了生成 Makefile 的来龙去脉及其机理，接着详细介绍了配置 Configure.in 的方法及其规则。

引子

无论是在Linux还是在Unix环境中，make都是一个非常重要的编译命令。不管是自己进行项目开发还是安装应用软件，我们都经常要用到 make或 make install。利用make工具，我们可以将大型的开发项目分解成为多个更易于管理的模块，对于一个包括几百个源文件的应用程序，使用make和 makefile工具就可以轻而易举的理顺各个源文件之间纷繁复杂的相互关系。

但是如果通过查阅make的帮助文档来手工编写Makefile,对任何程序员都是一场挑战。幸而有GNU 提供的Autoconf及Automake这两套工具使得编写makefile不再是一个难题。

本文将介绍如何利用 GNU Autoconf 及 Automake 这两套工具来协助我们自动产生 Makefile文件，并且让开发出来的软件可以像大多数源码包那样，只需"./configure", "make","make install" 就可以把程序安装到系统中。

回页首

模拟需求

假设源文件按如下目录存放，如图1所示，运用autoconf和automake生成makefile文件。

图 1文件目录结构

假设src是我们源文件目录，include目录存放其他库的头文件，lib目录存放用到的库文件，然后开始按模块存放，每个模块都有一个对应的目录，模块下再分子模块，如apple、orange。每个子目录下又分core，include，shell三个目录，其中core和shell目录存放.c文件，include的存放.h文件，其他类似。

样例程序功能：基于多线程的数据读写保护（联系作者获取整个autoconf和automake生成的Makefile工程和源码，E-mail：normalnotebook@126.com）。

回页首

工具简介

所必须的软件：autoconf/automake/m4/perl/libtool（其中libtool非必须）。

autoconf是一个用于生成可以自动地配置软件源码包，用以适应多种UNIX类系统的shell脚本工具，其中autoconf需要用到 m4，便于生成脚本。automake是一个从Makefile.am文件自动生成Makefile.in的工具。为了生成Makefile.in， automake还需用到perl，由于automake创建的发布完全遵循GNU标准，所以在创建中不需要perl。libtool是一款方便生成各种程序库的工具。

目前automake支持三种目录层次：flat、shallow和deep。

1) flat指的是所有文件都位于同一个目录中。

就是所有源文件、头文件以及其他库文件都位于当前目录中，且没有子目录。Termutils就是这一类。

2) shallow指的是主要的源代码都储存在顶层目录，其他各个部分则储存在子目录中。

就是主要源文件在当前目录中，而其它一些实现各部分功能的源文件位于各自不同的目录。automake本身就是这一类。

3) deep指的是所有源代码都被储存在子目录中；顶层目录主要包含配置信息。

就是所有源文件及自己写的头文件位于当前目录的一个子目录中，而当前目录里没有任何源文件。 GNU cpio和GNU tar就是这一类。

flat类型是最简单的，deep类型是最复杂的。不难看出，我们的模拟需求正是基于第三类deep型，也就是说我们要做挑战性的事情：)。注：我们的测试程序是基于多线程的简单程序。

回页首

生成 Makefile 的来龙去脉

首先进入 project 目录，在该目录下运行一系列命令，创建和修改几个文件，就可以生成符合该平台的Makefile文件，操作过程如下：

1) 运行autoscan命令

2) 将configure.scan 文件重命名为configure.in，并修改configure.in文件

3) 在project目录下新建Makefile.am文件，并在core和shell目录下也新建makefile.am文件

4) 在project目录下新建NEWS、 README、 ChangeLog 、AUTHORS文件

5) 将/usr/share/automake-1.X/目录下的depcomp和complie文件拷贝到本目录下

6) 运行aclocal命令

7) 运行autoconf命令

8) 运行automake -a命令

9) 运行./confiugre脚本

可以通过图2看出产生Makefile的流程，如图所示：

图 2生成Makefile流程图

回页首

Configure.in的八股文

当我们利用autoscan工具生成confiugre.scan文件时，我们需要将confiugre.scan重命名为confiugre.in文件。confiugre.in调用一系列autoconf宏来测试程序需要的或用到的特性是否存在，以及这些特性的功能。

下面我们就来目睹一下confiugre.scan的庐山真面目：

# Process this file with autoconf to produce a configure script.
AC_PREREQ(2.59)
AC_INIT(FULL-PACKAGE-NAME, VERSION, BUG-REPORT-ADDRESS)
AC_CONFIG_SRCDIR([config.h.in])
AC_CONFIG_HEADER([config.h])
# Checks for programs.
AC_PROG_CC
# Checks for libraries.
# FIXME: Replace `main' with a function in `-lpthread':
AC_CHECK_LIB([pthread], [main])
# Checks for header files.
# Checks for typedefs, structures, and compiler characteristics.
# Checks for library functions.
AC_OUTPUT

每个configure.scan文件都是以AC_INIT开头，以AC_OUTPUT结束。我们不难从文件中看出confiugre.in文件的一般布局：

AC_INIT
 测试程序
 测试函数库
 测试头文件
 测试类型定义
 测试结构
 测试编译器特性
 测试库函数
 测试系统调用
AC_OUTPUT

上面的调用次序只是建议性质的，但我们还是强烈建议不要随意改变对宏调用的次序。

现在就开始修改该文件：

$mv configure.scan configure.in
$vim configure.in

修改后的结果如下：

		
#                                -*- Autoconf -*-
# Process this file with autoconf to produce a configure script.

AC_PREREQ(2.59)
AC_INIT(test, 1.0, normalnotebook@126.com)
AC_CONFIG_SRCDIR([src/ModuleA/apple/core/test.c])
AM_CONFIG_HEADER(config.h)
AM_INIT_AUTOMAKE(test,1.0)

# Checks for programs.
AC_PROG_CC
# Checks for libraries.
# FIXME: Replace `main' with a function in `-lpthread':
AC_CHECK_LIB([pthread], [pthread_rwlock_init])
AC_PROG_RANLIB
# Checks for header files.
# Checks for typedefs, structures, and compiler characteristics.
# Checks for library functions.
AC_OUTPUT([Makefile
		src/lib/Makefile
		src/ModuleA/apple/core/Makefile
		src/ModuleA/apple/shell/Makefile
		])

其中要将AC_CONFIG_HEADER([config.h])修改为：AM_CONFIG_HEADER(config.h), 并加入AM_INIT_AUTOMAKE(test,1.0)。由于我们的测试程序是基于多线程的程序，所以要加入AC_PROG_RANLIB，不然运行automake命令时会出错。在AC_OUTPUT输入要创建的Makefile文件名。

由于我们在程序中使用了读写锁，所以需要对库文件进行检查，即AC_CHECK_LIB([pthread], [main])，该宏的含义如下：

其中，LIBS是link的一个选项，详细请参看后续的Makefile文件。由于我们在程序中使用了读写锁，所以我们测试pthread库中是否存在pthread_rwlock_init函数。

由于我们是基于deep类型来创建makefile文件，所以我们需要在四处创建Makefile文件。即：project目录下，lib目录下，core和shell目录下。

Autoconf提供了很多内置宏来做相关的检测，限于篇幅关系，我们在这里对其他宏不做详细的解释，具体请参看参考文献1和参考文献2，也可参看autoconf信息页。

回页首

实战Makefile.am

Makefile.am是一种比Makefile更高层次的规则。只需指定要生成什么目标，它由什么源文件生成，要安装到什么目录等构成。

表一列出了可执行文件、静态库、头文件和数据文件，四种书写Makefile.am文件个一般格式。

表 1Makefile.am一般格式

对于可执行文件和静态库类型，如果只想编译，不想安装到系统中，可以用noinst_PROGRAMS代替bin_PROGRAMS，noinst_LIBRARIES代替lib_LIBRARIES。

Makefile.am还提供了一些全局变量供所有的目标体使用：

表 2 Makefile.am中可用的全局变量

在Makefile.am中尽量使用相对路径，系统预定义了两个基本路径：

表 3Makefile.am中可用的路径变量

在上文中我们提到过安装路径，automake设置了默认的安装路径：

1) 标准安装路径

默认安装路径为：$(prefix) = /usr/local，可以通过./configure --prefix=的方法来覆盖。

其它的预定义目录还包括：bindir = $(prefix)/bin, libdir = $(prefix)/lib, datadir = $(prefix)/share, sysconfdir = $(prefix)/etc等等。

2) 定义一个新的安装路径

比如test, 可定义testdir = $(prefix)/test, 然后test_DATA =test1 test2，则test1，test2会作为数据文件安装到$(prefix)/ /test目录下。

我们首先需要在工程顶层目录下（即project/）创建一个Makefile.am来指明包含的子目录：

SUBDIRS=src/lib src/ModuleA/apple/shell src/ModuleA/apple/core 
CURRENTPATH=$(shell /bin/pwd)
INCLUDES=-I$(CURRENTPATH)/src/include -I$(CURRENTPATH)/src/ModuleA/apple/include 
export INCLUDES

由于每个源文件都会用到相同的头文件，所以我们在最顶层的Makefile.am中包含了编译源文件时所用到的头文件，并导出，见蓝色部分代码。

我们将lib目录下的swap.c文件编译成libswap.a文件，被apple/shell/apple.c文件调用，那么lib目录下的Makefile.am如下所示：

noinst_LIBRARIES=libswap.a
libswap_a_SOURCES=swap.c
INCLUDES=-I$(top_srcdir)/src/includ

细心的读者可能就会问：怎么表1中给出的是bin_LIBRARIES，而这里是noinst_LIBRARIES？这是因为如果只想编译，而不想安装到系统中，就用noinst_LIBRARIES代替bin_LIBRARIES，对于可执行文件就用noinst_PROGRAMS代替 bin_PROGRAMS。对于安装的情况，库将会安装到$(prefix)/lib目录下，可执行文件将会安装到${prefix}/bin。如果想安装该库，则Makefile.am示例如下：

bin_LIBRARIES=libswap.a
libswap_a_SOURCES=swap.c
INCLUDES=-I$(top_srcdir)/src/include
swapincludedir=$(includedir)/swap
swapinclude_HEADERS=$(top_srcdir)/src/include/swap.h

最后两行的意思是将swap.h安装到${prefix}/include /swap目录下。

接下来，对于可执行文件类型的情况，我们将讨论如何写Makefile.am？对于编译apple/core目录下的文件，我们写成的Makefile.am如下所示：

noinst_PROGRAMS=test
test_SOURCES=test.c 
test_LDADD=$(top_srcdir)/src/ModuleA/apple/shell/apple.o $(top_srcdir)/src/lib/libswap.a 
test_LDFLAGS=-D_GNU_SOURCE
DEFS+=-D_GNU_SOURCE
#LIBS=-lpthread

由于我们的test.c文件在链接时，需要apple.o和 libswap.a文件，所以我们需要在test_LDADD中包含这两个文件。对于Linux下的信号量/读写锁文件进行编译，需要在编译选项中指明- D_GNU_SOURCE。所以在test_LDFLAGS中指明。而test_LDFLAGS只是链接时的选项，编译时同样需要指明该选项，所以需要 DEFS来指明编译选项，由于DEFS已经有初始值，所以这里用+=的形式指明。从这里可以看出，Makefile.am中的语法与Makefile的语法一致，也可以采用条件表达式。如果你的程序还包含其他的库，除了用AC_CHECK_LIB宏来指明外，还可以用LIBS来指明。

如果你只想编译某一个文件，那么Makefile.am如何写呢？这个文件也很简单，写法跟可执行文件的差不多，如下例所示：

noinst_PROGRAMS=apple
apple_SOURCES=apple.c
DEFS+=-D_GNU_SOURCE

我们这里只是欺骗automake，假装要生成apple文件，让它为我们生成依赖关系和执行命令。所以当你运行完automake命令后，然后修改apple/shell/下的Makefile.in文件，直接将LINK语句删除，即：

…….
clean-noinstPROGRAMS:
	-test -z "$(noinst_PROGRAMS)" || rm -f $(noinst_PROGRAMS)
apple$(EXEEXT): $(apple_OBJECTS) $(apple_DEPENDENCIES) 
	@rm -f apple$(EXEEXT)
#$(LINK) $(apple_LDFLAGS) $(apple_OBJECTS) $(apple_LDADD) $(LIBS)
…….

通过上述处理，就可以达到我们的目的。从图1中不难看出为什么要修改Makefile.in的原因，而不是修改其他的文件。

回页首

下载

名字	大小	下载方法
project.rar		HTTP


	关于下载方法的信息			Get Adobe® Reader®

参考资料

Kurt Wall，张辉译《GNU/Linux编程指南》清华大学出版社
Robert Mecklenburg，《GNU Make项目管理（第三版）》东南大学出版社 2006
http://www.cngnu.org/technology/index.html

作者简介


		杨小华，目前从事 Linux 内核方面的研究，喜欢捣鼓 Linux 系统，对 Linux 中断系统比较了解。可以通过 normalnotebook@126.com与他取得联系。


		苏春艳：在读研究生，主要在Linux系统下从事嵌入式开发。

爱易 2007-04-17 13:36 发表评论

Linux 下 Apache 与 Tomcat 整合的简单方法

爱易 — Wed, 29 Nov 2006 04:21:00 GMT

把安装过程大概做个说明记录，一是有个总结，二是希望能帮到其他的朋友，有不恰当的地方希望大家指正，呵呵
安装Redhat AS 3.0就不多说了，我是自定义安装，把以后需要的工具如gcc等都装上了，省的以后用的时候没有还得装，麻烦，呵呵，你就随便了

安装j2sdk-1_4_2_02-linux-i586-rpm.bin（或其他版本都ok）
下载后双击安装
______________________________________________________

配置环境变量
编辑/etc/profile 加入下面句：
PATH=/usr/j2se/bin （改为你安装j2sdk的路径）
JAVA_HOME=/usr/j2se （改为你安装j2sdk的路径）
CLASSPATH=/usr/j2se/lib/tools.jar:/usr/j2se/lib/dt.jar （改为你安装j2sdk的路径）
export PATH JAVA_HOME CLASSPATH

重新启动使之生效
_________________________________________________________________
Tomcat 5.0.25

在http://www.apache.org/下载得到jakart...t-5.0.25.tar.gz
#gunzip jakarta-tomcat-5.0.25.tar.gz
#tar xvf jakarta-tomcat-5.0.25.tar
#mv jakarta-tomcat-5.0.25 /usr/local/tomcat5.0.25
#cd /usr/local/tomcat5.0.25/bin
#./catalina.sh start

然后测试 http://localhost:8080/ 看到那个猫了吧，恭喜你tomcat安装ok

_____________________________________________________________________

安装apache2.0.50
估计用到的工具有：gcc,automake,autoconfig;libtools,m4 大家可以去下载rpm包安装就行了，别忘了写人环境变量噢 :-P

到http://www.apache.org/下载后

gunzip httpd-2.0.50.tar.gz
tar xvf httpd-2.0.50.tar
cd httpd-2.0.50/bin
./configure -prefix=/usr/local/apache2 -enable-so (可改为你自己的目录；-enable-so用于加载connector，不可省略，你还可以加上你自己的其他模块)
make
make install
cd /usr/local/apache2/conf
vi httpd.conf
更改：servername 你的机器ip或域名
group nobody
listen yourip:80 （apache2以后把port已经改成了listen）

保存后，cd ../bin
./apachectl start

测试：http://localhost/ 看到apache的欢迎界面了吧，ok

_____________________________________________________________________________________

整合apache2与tomcat5.0.25

用连接器jakarta-tomcat-connectors-jk2-src-current.tar.gz（就是jk2），大家可到http://jakarta.apache.org/site/sourceindex.cgi下载

gunzip jakarta-tomcat-connectors-jk2-src-current.tar.gz
tar xvf jakarta-tomcat-connectors-jk2-src-current.tar
cd jakarta-tomcat-connectors-jk2-src-current/jk/native2
./configure --with-apxs2=/usr/local/apache2/bin/apxs (注意改为你的apache安装目录)
make
cd ../build/jk2/apache2
/usr/local/apache2/bin/apxs -n jk2 -i mod_jk2.so
现在大家可以看到mod_jk2.so文件已经在你的apache/modules/ 中了

编辑apache/conf/httpd.conf
LoadModule jk2_module modules/mod_jk2.so 保存

在apache/conf/中新建文件workers2.properties，内容为下（注意其中目录要改为你的目录噢）：

[shm]
file=/usr/local/apache2/logs/shm.file
size=1048576
# Example socket channel， override port and host.
[channel.socket:localhost:8009]
port=8009
host=127.0.0.1
# define the worker
[ajp13:localhost:8009]
channel=channel.socket:localhost:8009
# Uri mapping
[uri:/*]
worker=ajp13:localhost:8009

保存后，就快大功告成啦，呵呵

cd apache2/bin
./apachectl start

测试：http://localhost/ 大家是不是看到了那个猫猫的界面啊，恭喜恭喜，整合成功咯！！！(可别忘了启动tomcat)

爱易 2006-11-29 12:21 发表评论

Linux 2.4 Packet Filtering HOWTO 简体中文版

爱易 — Wed, 01 Nov 2006 09:49:00 GMT

Rusty Russell, mailing list netfilter@lists.samba.org
$Revision: 1.3 $ $Date: 2002/06/05 13:21:56 $
简体中文：洋鬼鬼·NetSnake
感谢网中人netmanforever@yahoo.com 提供的繁体参照
此文档描述在Linux2.4 内核中，如何使用iptables过滤不正确的包
（译者：Packet在很多专业书籍中译为分组，此处根据大部分人的习惯，仍译为包）

1. 简介

2. 官方站点及邮件列表

3. 那么，什么是Packet Filter？

3.1 我为什么需要Packet Filter？

3.2 如何在Linux下进行包过滤？

3.2.1 iptables

3.2.2 创建永久性规则

7.3 过滤规格

7.3.2 反向指定

7.3.3 协议指定

7.3.4 接口指定

7.3.5 分片指定

7.3.6 iptables扩展：新的匹配

7.3.6.1 TCP 扩展

7.3.6.1.1 TCP标志的解释

7.3.6.2 UDP 扩展

7.3.6.3 ICMP扩展

7.3.6.4 其他匹配的扩展

7.3.6.5 状态匹配

7.4 目标规格

7.4.1 用户定义链

7.4.2 iptables扩展：新目标

7.4.3 特殊的内建目标

7.5 对整个链进行操作

7.5.1 创建新链

7.5.2 删除链

7.5.3 清空一个链

7.5.4 对链进行列表

7.5.5 重置（清零）计数器

7.5.6 设置原则（默认规则）

8. 使用ipchains和ipfwadm

9. NAT和包过滤的混合使用

10. iptables和ipchains之间的差别

11. 对制定包过滤器的建议

1. 简介

欢迎，亲爱的读者。

这篇文章假设你知道有关IP地址、网络地址、网络掩码、选路和DNS。如果不知道，我建议你先阅读网络概念的HowTo（Network Concepts HOWTO）。

这篇HOWTO并非一个简要的介绍（会让你发热、发毛，没有安全感），也非一个完全的原始的披露（最吃苦耐劳的人也会被搅晕，不过必定会有所斩获）。

你的网络并不安全。问题在于，必须获取快速、简洁的通讯，但又必须限于良好的、无恶意的行为，就如同在嘈杂的大戏院里，你可以高谈阔论，但是绝不能大喊：着火了！。这篇HOWTO不能解决这种问题。

（译者：所有安全都只是相对的，否则根本不会产生这种东西了）

因此，你只能决定在哪方面妥协。我想帮助你使用一些可用的工具和一些通常需要注意的漏洞，希望你将它们用在好的一面，而不是出于恶意的目的 -- 另一个同样重要的问题。

2、官方站点及邮件列表位置

这里有三个官方站点：
o Thanks to Filewatcher http://netfilter.filewatcher.org.
o Thanks to The Samba Team and SGI http://netfilter.samba.org.
o Thanks to Harald Welte http://netfilter.gnumonks.org.
你可以通过以下站点访问全部相关站点。
http://www.netfilter.org and http://www.iptables.org
以下是netfilter官方邮件列表
http://www.netfilter.org/contact.html#list.

3.那么，什么是包过滤器？

包过滤器是这样一种软件：它检查通过的每个包的头部，然后决定如何处置它们。可以这样对待它们：丢弃（也就是说，如果这个包从未被接受，那么丢弃它），通过（也就是说，让包通过），或者更复杂的（操作）。

Linux下，包过滤内建在内核中（内核模块，或者内建），而且我们还有处理包的一些技巧，不过检查头部和处理包的一般性原则仍在这里。

3.1 我为何要包过滤？

控制、安全、警戒。

控制：

当你用你的Linux服务器把你的内部网和另一个网络（就是Internet吧）连起来，你可以决定哪些通信是允许的，哪些不允许。例如，包头部包含了包的目标地址，你可以阻碍包发送到（你）确定的几个外部网络，另一个例子，我用NetScape连接到Dilbert archives。页面上有来自doubleclick.net的广告，然后NetScape浪费了我的时间愉快的下载他们。告诉包过滤器禁止任何来自或者发往doubleclick.net地址的包，问题就解决了。（当然有更好的办法，见Junkbuster）。

安全：

当Linux服务器是混乱的Internet和你良好的、有序的网络之间唯一的东西时，你最好能知道哪些东西可以进入你的大门。例如，你可以允许所有（包）从你的网络发出，不过你可能会为来自外部的著名的“Ping of Death”而焦急。另一个例子，你不希望外人telnet到你的Linux服务器，尽管所有账户都有密码。或许你只想（像绝大多数人）成为 Internet的旁观者，而非它的服务器（也可能愿意是吧）。简单的不允许任何人接入，设置包过滤器拒绝所有进入的包（是不错的办法）。

警戒：

有时，本地网络上错误配置的机器可能会向外部喷射出大量的包。最好是当（网络中）出现任何不正常现象时，让包过滤器告诉你。这样你可能可以做点什么，或者你天生就很好奇。

3.2 如何在Linux下进行包过滤？

Linux内核在其1.1系列中就有了包过滤功能。第一代，由Alan Cox 1994年移植于BSD的ipfw。这在Linux 2.0中由Jos Vos和其他人进行了加强；用户空间工具'ipfwadm'可用来控制内核过滤规则。1998年中，我在Michael Neuling的帮助下，为Linux 2.2进行了重写，推出了用户空间工具'ipchains'。最后，1999年中，基于Linux 2.4的第四代工具，'iptables'，和其他内核的改写正式推出。这就是这个iptables的HOWTO文档的所在。

译者：userspace根据台湾同胞的说法，是用来区别系统内存中的适用范围的，分为核心空间和使用者空间，不必深究）

你需要包含netfilter架构的内核。netfilter是Linux中的一个通用框架，也可以插入（plug in）其他内容（如iptables模块）。也就是说你需要2.3.15及以后版本，而且在配置内核时对CONFIG_NETFILTER回答'Y'。

iptables这个工具用来和内核交互并告诉它哪些包应该过滤。除非你是程序员或者特别好奇，否则这就是你用来控制包过滤的了。

3.2.1. iptables

iptables工具向内核的包过滤表中插入和删除规则。这就意味着无论怎样设置，启动后信息都会丢失；请参看“制定永久性规则”（Making Rules Permanent）来确定如何保证下次启动这些规则能被恢复。

iptables是ipfwadm和ipchains的替代品。如果你是它们的使用者，请参看 “使用ipchains和ipfwadm”，如何轻松使用iptables。

3.2.2 创建永久性规则

你当前的防火墙设置保存在内核中，所以重启后就会丢失。你可以试着用iptables-save和iptables-restore脚本来保存他们，并由一个文件恢复。

4. 你算老几，凭什么玩弄我的内核？

我是Rusty Russell。Linux IP防火墙的维护者，也是一个适当的时候出现在适当的地方的coder。我写了ipchains（参见“如何在Linux下进行包过滤？”看看实际的工作其实由哪些人完成），并希望能学到足够的东西修正这次的包过滤。

WatchGuard，一个非常出色的防火墙公司，总之一堆广告，此处省略一千字……

在此，我想澄清一个误解：我不是内核专家，我了解它，是因为我的核心工作让我接触了他们：David S. Miller, Alexey Kuznetsov, Andi Kleen, Alan Cox。无论如何，他们做了最深层的工作，轮到我时，已经非常安全和容易了。

5. Rusty的真正的包过滤快速指南

绝大部分人只有一个PPP连接到Internet，而且不希望有人由此进入他们的网络或者防火墙：

# 插入connection-tracking模块（如国内建在内核中就不需要）

# insmod ip_conntrack

# insmod ip_conntrack_ftp

# 对创建大量新的连接创建一个链，除非这些连接来自内部。

# iptables -N block

# iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT

# iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT

# iptables -A block -j DROP

# 由INPUT和FORWARD链跳往（刚刚创建的）那条链。

# iptables -A INPUT -j block

# iptables -A FORWARD -j block

6. 包是如何穿过过滤器的

内核由'filter'表中的以下三个规则开始。这些被称为防火墙链或就叫链。这三个链分别是 INPUT、OUTPUT和FORWARD。

对于ASCII艺术迷来说，链好象这样：（注意：这与2.0和2.2内核非常不同）

译者：ASCII艺术，这里指的是利用纯ASCII文本作图

                         _____
  Incoming                 /     \         Outgoing
         -->[Routing ]--->|FORWARD|------->
            [Decision]     \_____/        ^
                 |                        |
                 v                       ____
                ___                     /    \
               /   \                 |OUTPUT|
              |INPUT|                  \____/
               \___/                      ^
                 |                        |
                  ----> Local Process ----

三个圈代表上面说的三个链。当包到达图中的一个圈，那个链就检查并确定包的命运。如果链决定DROP包，包在那里就被杀死。但是如果链决定让包ACCEPT，包就继续在图中前进。

一个链是规则的列表。每个规则都会说：'如果包头看上去像这个的话，那么就这样处理'。如果规则和包不匹配，由链中的下一个规则处理。最后，如果再也没有要进行处理的规则了，内核就根据链的原则（policy，有时称为默认规则）来决定应当如何做。在一个注重安全的系统中，原则通常是让内核丢弃这个包。

1. 当一个包进入时（就是由以太网卡），内核首先检查包的目的地。这被称作“选路”。

2. 如果它就是进入本机的，包会向图中的下方移动，到达INPUT链。如果到了这里，任何等待这个包的进程都会收到它。

3. 否则，如果内核未被允许转发，或者不知道该如何转发这个包，它会被丢弃。如果允许转发，而且包的目的地是另一个网络接口（如果你有另一个的话），那么包向我们图中的右边行进，到达FORWARD链。如果允许通过（ACCEPT），它就被送了出去。

4. 最后，服务器上运行的程序可以发送网络包。这些包马上通过OUTPUT链。如果被允（ACCEPT），那么包继续向可以到达它的目的地的网络接口发送。

7. 使用iptables

iptables有着非常详尽的使用手册(man iptables)，而且如果你需要某个选项更详细的介绍。看看“iptables和ipchains的差别”可能对你非常有用。

使用iptables你可以做很多不同的事。开始的内建的三个链INPUT、OUTPUT和FORWARD是不能被删除的。让我们看看整个链的管理。

1. 创建一个新的链 (-N)。

2. 删除一个空链(-X)。

3.修改内建链的原则(-P)。

4. 显示链中的规则（表）(-L)。

5. 清空一个链(-F)。

6. 将链中所有规则的包和字节计数器清零(-Z)。

有几种办法操作链中的规则：

1. 向链中添加一条新规则(-A)。

2. 在链中某个位置插入一条新规则(-I)。

3. 替换某个位置的规则(-R)。

4. 删除链中某个位置的规则，或者是第一个被匹配的。(-D)。

7.1. 当计算机启动后你会看到的

ptables可以作为模块，称为'iptables_filter.o，可以在第一次运行iptables时自动被装载。也可以永久性的编到内核中。

在所有iptables命令执行之前（当心：某些发布版会在初始化脚本中运行iptables），所有内建链中都没有任何规则（'INPUT'、'FORWARD'和'OUTPUT')，所有链的原则都是ACCEPT。你可以在装载iptable_filter模块时，提供 'forward=0'选项来修改FORWARD的默认原则。

7.2. 对单个规则的操作

这是基本的包过滤：管理规则，添加(-A)和删除(-D)命令可能是最常用的。其他的(-I插入和-R替换）只是简单的扩展而已。

每个规则都有一组条件来匹配包，和如果匹配了该如何做（target）。例如，你可能希望丢弃所有来自127.0.0.1的ICMP包。这样我们的条件就是协议必须是ICMP，而且源地址必须是127.0.0.1，我们的目标是丢弃(DROP)。127.0.0.1是一个回送接口，即使你没有真正的网络连接它也会存在。你可以用ping程序生成这样的包（它简单的发送ICMP 类型8（echo request），所有愿意响应的主机都会用ICMP 类型0（echo reply）来响应）。这对于测试非常有用。

# ping -c 1 127.0.0.1

PING 127.0.0.1 (127.0.0.1): 56 data bytes

64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms

--- 127.0.0.1 ping statistics ---

1 packets transmitted, 1 packets received, 0% packet loss

round-trip min/avg/max = 0.2/0.2/0.2 ms

# iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP

# ping -c 1 127.0.0.1

PING 127.0.0.1 (127.0.0.1): 56 data bytes

--- 127.0.0.1 ping statistics ---

1 packets transmitted, 0 packets received, 100% packet loss

这里，第一个ping是成功的（'-c 1'告诉ping只发送一个包）

然后我们可以向'INPUT'链中添加（-A）一个规则，制定来自127.0.0.1('-s 127.0.0.1')的ICMP协议('-p icmp')包都将被丢弃('-j DROP')。

然后我们测试我们的规则，用第二个ping。在程序放弃等待永远不可能的响应之前，会暂停一下。

我们可以用两种办法中的任一种删除规则。首先，因为知道这是INPUT链中唯一的规则，我们用编号删除：

# iptables -D INPUT 1

删除INPUT链中的编号为1的规则

第二种办法是 -A 命令的映射，不过用-D替换-A。当你的链中规则很复杂，而你不想计算它们的编号的时候这就十分有用了。这样的话，我们可以使用：

# iptables -D INPUT -s 127.0.0.1 -p icmp -j DROP

-D的语法必须和-A（或者-I或者-R）一样精确。如果链中有多个相同的规则，只会删除第一个。

7.3 过滤规格

我们已经看了，用'-p'指定协议，用'-s'指定源地址，不过还有其他选项我们可以用来指定包的特征。下面是一个详细的手册。

7.3.1 指定源和目的IP地址

源（'-s'，'--source'或'--src'）和目的（'-d'，'--destination'或'-- dst'）IP地址可以用四种办法指定。最常用的方法是使用全名，就像'localhost'或者'www.linuxhq.com'。第二种办法是指定 IP地址，如'127.0.0.1'。

第三和第四种办法允许指定一组IP地址，就像'199.95.207.0/24'或者 '199.95.207.0/255.255.255.0'。这指定了从199.95.207.0到199.95.207.255范围内的所有IP地址。 '/'后面的数字说明哪部分IP地址是有效的。'32'或者'255.255.255.255‘为默认的（匹配整个IP地址）。用'/0'来指定任何IP 地址，像这样：

# '-s 0/0'在这里是多余的

# iptables -A INPUT -s 0/0 -j DROP

这很少用到，这和上面出现过的不指定'-s'结果完全一样。

7.3.2 反向指定

很多标记，包括'-s'（或'--source'）和'-d'（'--destination'）标记可以在前面加上'!'标志（读作'not'），来匹配所有和给出的 NOT 的地址。例如， '-s ! localhost'匹配所有不是来自本机的包。

7.3.3 协议指定

可以用'-p'（或'--protocol'）指定协议。协议可以是数字（如果你知道IP的协议数值）或者像'TCP'、'UDP'或者'ICMP'这类的名称。大小写无所谓，所以'tcp'和'TCP'一样。

协议名称前可加上'!'，以反向解释它，例如'-p ! TCP'将匹配所有不是TCP的包。

7.3.4 接口指定

'-i'（或'--in-interface'）和'-o'（或'--out-interface'）选项指定匹配的接口名。接口可以是包进入的('-i')或者送出('-o')的物理设备。你可以用ifconfig命令列出当前'up'的接口。（也就是说正在工作的）。

通过INPUT链的包不会有送出接口，所以在这个链中'-o'永远不会匹配。同样，通过OUTPUT链的包也没有进入接口，这个链中的'-i'也不会被匹配。

只有通过FORWARD链的包才有进入和送出两个接口。

可以指定一个当前不存在的接口。在这个接口可用之前，规则不能匹配任何东西。这对于拨号PPP连接及类似的非常有用（通常是ppp0接口）。

一个特殊情况，接口名后面是一个'+'，那就会匹配以这个字符串开头的所有接口（无论当前是否存在）。例如，指定一个匹配所有ppp接口的规则，要用到-i ppp+选项。

接口名也可以在前面插入 '!'，来匹配所有与指定接口不同的包，如-i ! ppp+。

7.3.5 分片指定

译者：为帮助大家理解，此处附上IP数据报的格式，摘自《Internetworking with TCP/IP》

0	4	8	16	19	24	31
版本号	首部长度	服务类型	总长度
标志符			标志	分片偏移量
寿命		协议	首部效验和
源IP地址
目的IP地址
IP选项					填充
数据
……

有时一个包太大，不可能适合所有线路。这样的话，包会被分成片，然后当作多个包发送。最终重组这些分片来重建整个包。

分片的问题是，被检查的初始片含有整个头部字段（IP+TCP，UDP和ICMP），但随后的包只有一部分头（没有附加协议字段的IP），因此，检查后面的分片的头部（就像有TCP、UDP和ICMP一样）是不可能的。

如果你在做NAT或连接追踪，那么所有分片在包过滤代码处理以前都会合并，所以你不需要为分片担心。

还请注意，到filter表中的INPUT链（或者任何由NF_IP_LOCAL_IN钩子程序钩入的表）的包实际上由核心IP栈片重组后到达。

否则，理解分片是如何被过滤规则处理的就非常重要了。任何过滤规则要求我们没有的信息，将被认为不匹配。这意味着（分片的）第一片像普通的包一样被处理。第二及后面的片则不会。因此，规则 -p TCP --sport www（指定源端口为'www'）永远不会匹配一个分片（的包）（除了第一片），相反的规则 -p TCP --sport ! www也不会。

无论如何，你可以用'-f'（或'--fragment'）标记指定专门处理第二及以后的分片的规则。当然也可以指定一个规则，让它不去匹配第二及以后的分片，在'-f'前加上'!'。

通常，让第二及以后的分片通过被认为是安全的，因为如果过滤处理了第一片，那么就无法在目标主机上进行重组。不过，已知的Bug是发送分片可能会轻易的让主机崩溃。你自己看着办吧。

网络高手注意：当这类检查进行时，畸形的包（防火墙读取的ICMP代码和类型过短的TCP、UDP和ICMP包）都将被丢弃。所以TCP分片从位置8开始。（译者：什么意思？大概是指IP包中的首部字段位置）

例如，下面的规则会丢弃任何发往192.168.1.1的分片。

# iptables -A OUTPUT -f -d 192.168.1.1 -j DROP

7.3.6 iptables扩展：新的匹配

iptables是可扩展的，也就是包括内核和iptables工具都可以扩充新的特性。

下列部分扩展是标准的，其他的则是派生的。其他人可以做出扩展并发布给合适的人。

内核扩展一般位于内核模块子目录，诸如/lib/modules/2.4.0-test10/kernel/net/ipv4/netfilter。如果你使用了CONFIG_KMOD设置来编译内核，那么它们要求被装载，所以你不需要手工插入。

iptables程序扩展通常是位于/usr/local/lib/iptables/下的共享库，当然也可能在/lib/iptables或者/usr/lib/iptables，具体的要根据不同的发行版本来确定。

扩展有两种：新的目标，新的匹配（我们马上会谈到新的目标）。有些协议自动给出新的测试：如下所示，现有的包括TCP、UDP和ICMP。

这样，你可以在命令行中在 '-p'选项后指定新的测试，就可以载入扩展（模块）了。当允许扩展时，可以用'-m'选项装入扩展。

在选项后面（'-p'，'-j'或者'-m'）加上 '-h'或'--help'来获取扩展的帮助。

# iptables -p tcp --help

7.3.6.1. TCP 扩展

如果指定了'-p tcp'，那么TCP扩展将自动加载，并提供下列选项（不匹配分片）。

--tcp-flags

可附加一个'!'。有两个标志字串可以通过TCP标记来过滤。第一个标志字符串是mask：你想要测验的标志列表。第二个指出哪些将要被设置。例如：

# iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

意思是所有标志都将被测试（'ALL'和'SYN, ACK,FIN,RST,URG,PSH'同义），不过只设置SYN和ACK。当然也可以用'NONE'表示无标志。

--syn

前面的'!'是可选的，是'--tcp-flags SYN, RST, ACK, SYN'的缩写

--source-port

后面可以跟一个'!'，可以是单个TCP端口，或一段端口。可以是/etc/services中的端口名或者数字。端口范围格式是低端口名 : 高端口名，或者（指定大于或等于给出的端口）是端口名 + ：，或者（指定小于或等于给出的端口）是: + 端口名。

--sport

就是 '--source-port'。

--destination-port

--dport

和上面类似，不过是指定匹配的目的端口（范围）。

--tcp-option

可以跟一个'!'和一个数字，匹配的是TCP选项和数字相等的包。如果试图用这个TCP选项匹配一个没有完整的TCP包头的包，那么这个包会被自动丢弃。

7.3.6.1.1. TCP标志的解释

有时只允许单向的TCP连接会很有用。例如，你可能会允许连接到外部WWW服务器，但不会允许来自那个服务器的连接。

最简单的举动可能是阻止来自那个服务器的包，可惜，TCP连接需要包双向传送（才能正常工作）。

解决办法是，只阻挡那些用来请求连接的包。这些包称为SYN包（OK，从技术上说，它们的SYN标志被设置，而没有设置RST和ACK标志，不过我们简单的称为SYN包）。通过只阻止这种包，我们就可以阻止来自那些地方的连接企图。

'--syn'标志是这样用的：只对指定了TCP协议的规则有效。例如，指定来自192.168.1.1的连接请求。

-p TCP -s 192.168.1.1 --syn

当然也可以在前面加上'!'，意即所有不是初始连接的包。

7.3.6.2 UDP 扩展

这些扩展在指定'-p udp'时自动加载。可以提供 '--source-port'、'--sport'、'--destination-port'和'--dport'等和TCP类似的选项。

7.3.6.3 ICMP扩展

这些扩展在指定'-p icmp'时自动加载。只提供一个新的选项：

--icmp-type

可以跟'!'，icmp类型名称（如'host-unreachable'）或者数值（如'3'），或者数值类型/代码（如'3/3'）。用'-p icmp --help'可以列出可用的icmp类型名。

7.3.6.4 其他匹配的扩展

这些netfilter包中的其他扩展尚属于演示阶段，（如果安装了的话）可以用'-m'来启用。

mac

--mac-source

可以跟一个'!'，后面是以太网地址，用冒号分隔的16近制表示，如`--mac-source 00:60:08:91:CC:B7'。

limit

此模块必须明确指定'-m limit'或'--match limit'。用来限制匹配的速率。就像抑制记录信息。只会匹配给定的数字/每秒（默认是每小时3个匹配，和5个触发）。可以有两个参数：

--limit

后面跟数字：指定每秒钟允许的匹配最大平均数。这个数字可以指定明确的单位，使用'/second'、`/minute'、`/hour' 或者 `/day'，或者只写一部分（如'5/second'和'5/s'一样）。

--limit-burst

后面跟一个数字，指明在上面的limit起作用前最大的触发值。

这个匹配（项）通常和LOG目标结合起来使用，以对速率限制进行记录。为了理解它是如何工作的，我们来看看下面这条规则，它使用默认限制参数记录包。

# iptables -A FORWARD -m limit -j LOG

当这条规则第一次启用时，包开始被记录。实际上，由于默认触发是5，前五个包会被记录。然后，每隔20分钟再记录一次包，无论这期间有多少包到达。而且，每个不匹配包的20分钟间隔里，会恢复一个触发（值）。如果100分钟都没有包到达这个规则，那么所有触发都会恢复，回到起点。

提示：你目前不能以大于59小时的时间来创建这种规则，所以如果你设置一个平均率为一天，那么你的触发率必须小于3。

你也可以将此模块用于避免使用快速响应速率的各类拒绝服务攻击(DoS，Denial of Server）。

（译者：以下是较著名的攻击）

Syn-flood protection:

# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Furtive port scanner:

# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Ping of death:

# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

这个模块工作原理类似于“节流阀”，以下是图示。



                 rate (pkt/s)
                       ^        .---.
                       |       / DoS \
                       |      /       \
          Edge of DoS -|.....:.........\....................... DoS的边界 = 
           = (limit *  |    /:          \
          limit-burst) |   / :           \         .-.
                       |  /  :            \       /   \
                       | /   :             \     /     \
          End of DoS  -|/....:..............:.../.......\..../.  DoS结束
           = limit     |     :              :`-'         `--'
          -------------+-----+--------------+------------------> time (s)
             LOGIC =>  Match | Didn't Match |    Match

我们匹配由五个包触发的每秒一个包，不过每秒钟第四个包才开始进入（这个规则），进行三秒钟，然后重新开始。

                  <--Flood 1-->           <---Flood 2--->

          Total  ^                   Line  __--      YNNN
          Packets|               Rate  __--      YNNN
                 |            mum  __--      YNNN
              10 |        Maxi __--         Y
                 |         __--            Y
                 |     __--               Y
                 | __--    YNNN
                 |-    YNNN
               5 |    Y
                 |   Y                                Key:  Y -> Matched Rule
                 |  Y                                       N -> Didn't Match Rule
                 | Y
                 |Y
               0 +-------------------------------------------------->  Time (seconds)
                  0   1   2   3   4   5   6   7   8   9  10  11  12

你可以看见，前五个包是允许超过一个包/每秒（这个速率）的，然后就开始限制。如果有一个暂停，那么另一个触发也是允许的，但不能超过规则设置的最大速率。

owner

--uid-owner userid

根据给出的有效的（数值）user id来匹配包的创建进程。

--gid-owner groupid

根据给出的有效的（数值）group id 来匹配包的创建进程。

--pid-owner processid

根据给出的process id 来匹配包的创建进程。

--sid-owner sessionid

根据给出的 session group 来匹配包的创建进程。

unclean

这是试验性模块，必须明确指定'-m unclean'或者'--match unclean'。它对包进行各种随机判断。此模块还未通过审核，所以不要用在安全设施上。（可能造成更糟糕的结果，它自己可能还有Bug）。没有提供选项。

7.3.6.5 状态匹配

最有用的匹配标准是'state'扩展。它负责解释'ip_conntrack'模块的connection-tracking分析。这是推荐使用的（好东东）。

通过指定'-m state'来允许附加的'--state'选项，匹配用逗号分割的状态列表（'!'标志表明不符合那些状态（的状态））。

NEW

由新连接创建的包

ESTABLISHED

属于已存在连接的包（也就是说，响应的包）

和一个已存在连接有关，但不是它的一部分的包。如ICMP错误，或者（已加载FTP模块）一个建立FTP数据连接的包。

INVALID

由于以下原因而不能被识别的包：包括内存不足和不是相应当前任何连接的ICMP错误。通常这些包会被丢弃。

这个强大的匹配扩展的一个例子：

# iptables -A FORWARD -i ppp0 -m state ! --state NEW -j DROP

7.4 目标规格

现在，我们知道了如何对包进行测试，但是我们还需要告诉那些匹配的包应该如何做。这被称作规则的目标。

有两个很简单的内建目标：DROP和ACCEPT。我们已经看过了。如果包匹配的规则，其目标是这二者中的一个，那么不再考虑更多的规则了：包的命运已经决定。

除此之外有两种目标：扩展的和用户定义的链。

7.4.1 用户定义链

iptables一个强大的特点是由ipchains继承来的可以让用户创建新的链，附加在三个内建的链上（INPUT、 FORWARD和OUTPUT）。按照惯例，用户定义链使用小写以区分他们。（我们会在“Operations on an Entire Chains”中描述如何创建新的用户定义链）。

当包匹配的链的目标是一个用户定义链时，包就转移到用户定义链中的规则。如果没有决定包的命运，那么包在（用户定义链）中的移动就结束了，并回到当前链的下一个规则。

搞搞ASCII艺术吧。考虑两个（笨蛋）链：INPUT（内建的）和test（用户定义的）。

                `INPUT'                         `test'
               ----------------------------    ----------------------------
               | Rule1: -p ICMP -j DROP   |    | Rule1: -s 192.168.1.1    |
               |--------------------------|    |--------------------------|
               | Rule2: -p TCP -j test    |    | Rule2: -d 192.168.1.1    |
               |--------------------------|    ----------------------------
               | Rule3: -p UDP -j DROP    |
               ----------------------------

考虑一个由192.168.1.1到1.2.3.4的TCP包。它进入INPUT链，由Rule1检查 - 不匹配。 Rule2匹配，那么它的目标就是test，所以下一个检查由test开始。test中的第一个规则 Rule1是匹配的，但是没有指定目标，所以由第二个规则Rule2检查。结果是不匹配，而我们到达了链的尾部。于是回到INPUT链，因为刚刚被Rule2检查，所以现在由Rule3来检查，仍然不匹配。

所以这个包的路线是：

                                       v    __________________________
                `INPUT'                |   /    `test'                v
               ------------------------|--/    -----------------------|----
               | Rule1                 | /|    | Rule1                |   |
               |-----------------------|/-|    |----------------------|---|
               | Rule2                 /  |    | Rule2                |   |
               |--------------------------|    -----------------------v----
               | Rule3                 /--+___________________________/
               ------------------------|---
                                       v

用户定义链可以跳转到另一个用户定义链（不过不能循环：如果发现循环，包就会被丢弃）。

7.4.2 iptables扩展：新目标

其他类型的扩展是目标。目标扩展由内核模块组成，而且iptables的一个可选扩展提供了新的命令行选项。有几个扩展是包含在默认netfilter发布中的。

LOG

--log-level

跟一个级别名称或数字。合适的名字是（忽略大小写）'debug'、'info'、'notice'、'warning'、 'err'、'crit'、'alert'和'emerg'，相当于数字7到0。请参考syslog.conf的手册获取这些级别的说明。默认是 'warning'。

--log-prefix

跟一个最多29个字符的字符串，它被写入到log信息的开始处，这样可以区别出来。

这个模块最有用的就是跟在limit match后面，这样你就不会被你的log淹没了。

REJECT

此模块和'DROP'效果一样，除了会发送一个'port unreachable'的ICMP错误报文。注意如果属于以下情况，ICMP错误报文不会发送：

o 包一开始就是ICMP错误报文，或者是未知的ICMP类型。

o 包被作为无头的分片过滤了。

o 我们已经向那里发送了太多的ICMP错误报文（参见/proc/sys/net/ipv4/icmp ratelimit）。

7.4.3 特殊的内建目标

有两个特殊的内建目标：RETURN和QUEUE。

RETURN如同到达这个链的尾部：如果是内建的链的规则，那么这个链的默认规则将被执行。如果是用户定义链，当跳至这个链中的这条规则（包含RETURN）时，回到前面的链继续匹配。

QUEUE是一个特别的目标，会为用户空间进程队列这个包。要这样使用，需要两个部件：

o 一个"queue handler"，处理用户空间与内核之间的机制。

o 和一个用户空间用来接收的应用程序，可能是操作，以及对包进行裁决。

IPv4 iptables的标准queue handler是 ip_queue 模块，跟随内核发布并标记为实验中。

下面是一个如何用iptables为用户空间进程队列包的快速例子：

# modprobe iptable_filter

# modprobe ip_queue

# iptables -A OUTPUT -p icmp -j QUEUE

在这个例子中，本地生成的送出ICMP包（如由ping产生）到达ip_queue模块，然后包被试图送往用户空间应用。如果没有用户空间应用在（那儿）等着，包就被丢弃了。

要写一个用户空间应用，需要libipq API。和iptables一起发布。在CVS的testsuite tools（如redirect.c）中可以找到相关例子。

可以通过这里检查ip_queue的状态：

/proc/net/ip_queue

队列的最大长度（也就是不包含返回包的送往用户空间包的数量）可以通过这里控制：

/proc/sys/net/ipv4/ip_queue_maxlen

默认队列长度是1024。一旦达到这个长度，新的包就会被丢弃，直到队列长度小于这个值。好的协议如TCP，会对丢弃的包作出拥挤的解释，而且在队列满了后会很理想的将它挡回。无论如何，如果默认值太小的话，最好是多实验以决定队列的最大长度。

7.5 对整个链进行操作

iptables一个非常有用的特性是可以将链中相关的规则成组。你可以随意给链取名，不过我建议使用小写字母以避免与内建的链和目标产生冲突。链的名称最长为31个字母。

7.5.1 创建新链

让我们创建一个新链。因为我是个充满想象的家伙，我叫它test。使用'-N'或'--new-chain'选项：

# iptables -N test

如此简单，现在你可以像上面说的那样放入规则了。

7.5.2 删除链

删除一个链同样简单，使用 '-X'或'--delete-chain'选项。为什么是'-X'？嗯，因为所有合适的字母都已经被使用了。

# iptables -X test

有几个删除链的限制：他们必须是空的（见下面的"Flushing a Chain"）而且他们不能是任何规则的目标。你也不能删除任何一个内建的链。

如果你不指定链名的话，所有可以被删除的用户定义链都将被删除。

7.5.3 清空一个链

这是清除一个链中所有规则的简单方法，使用'-F' 或 '--flush'命令。

# iptables -F FORWARD

如果不指定链的话，所有链都将被清空。

7.5.4 对链进行列表

用'-L'或'--list'命令，你可以列出一个链中的所有规则。

用户定义链中的'refcnt'是有多少链的规则指向了它。这个值必须为0，然后才可以删除这个链。

如果链名被忽略，所有链都将被列出，即便是空的。

'-L'可以有三个选项。'-n'(数字）选项对于阻止iptables试图查找IP地址时非常有用，因为（如果你像大多数人一样使用DNS）如果你的DNS设置不太合适的话，可能会造成长时间的停顿，或者你滤掉了DNS请求。它还会让TCP或UDP端口以数字显示。

'-v'选项显示所有规则的细节，包括饱和字节计数器，TOS比较，以及接口。否则这些值是被忽略的。

注意，报和字节计数器可以分别使用'K'、'M'或者'G'来代替1000、1,000,000 和1,000,000,000。使用'-x'（扩展数字）标志来打印整个值，不管它有多大。

7.5.5 重置（清零）计数器

可以重置计数器非常有用。可以用'-Z'或'--zero'来完成。

考虑下面的：

# iptables -L FORWARD

# iptables -Z FORWARD

在上述例子中，有些包在'-L'和'-Z'命令之间通过。因此，你可以把'-L'和'-Z'一起使用，读取时就清空计数器。

7.5.6 设置原则（默认规则）

我们在前面讨论包是如何通过链的时候，已经解释了当包到达内建链的尾部时会发生什么。这时，链的原则就决定包的命运。只有内建的链（INPUT、OUTPUT和FORWARD）有原则，因为如果包到达用户定义链的尾部会返回到前面的链。

原则可以是ACCEPT或DROP，例如：

# iptables -P FORWARD DROP

8. 使用ipchains和ipfwadm

netflter发布中有ipchains.o和ipfwadm.o模块。把其中一个加载到你的内核（注意：他们和ip_tables.o不兼容）。然后你就可以像以前那样使用ipchains和ipfwadm了。

这在一段时间内仍然被支持。我认为合理的计算方式是 2*(替代发布 - 初始的稳定版本），超过了这个时间，就应当使用替代的稳定版本了。这意味着在Linux 2.6或2.8中对它们的支持很可能被放弃。

9. NAT和包过滤的混合使用

想要做网络地址转换（参见NAT HowTo)和包过滤的已很常见。好消息是他们可以混合起来使用的，而且工作得非常好。

你可以完全忽略你的NAT，来定义你的包过滤。包过滤看见的包的源及目标是“真正”的源和目标。例如，如果你将任何发往 1.2.3.4 80端口的包DNAT到10.1.1.1的8080端口。包过滤器看见的是包发往10.1.1.1的8080端口（真正的目的地），而非1.2.3.4 的80端口。同样，你可以忽略伪装：看到的是包的真实外部IP地址（如10.1.1.1），而响应的则返回到那里。

你可以使用'state'匹配扩展，使包过滤器不需要做任何额外的工作，因为无论如何，NAT都会要求连接跟踪。扩展NAT HowTo中简单的伪装例子，以禁止任何来自ppp0接口的新的连接，你可以这样：

#对送至ppp0的包进行伪装

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# 禁止由ppp0进入的新的或不合适的包

iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP

iptables -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP

# 开启IP转发

echo 1 > /proc/sys/net/ipv4/ip_forward

10. iptables和ipchains之间的差别

o 首先，内建链的名称从小写改成了大写，因为现在的INPUT和OUTPUT链只获取指向本地和本地生成的包。他们用来检查所有进入和发送的包。

o '-i'标志现在表示进入接口的意思，而且只适用于INPUT和FORWORD链。FORWORD或OUTPUT链中的规则应该将'-i'改为'-o'。

o TCP和UDP端口现在必须用--source-port或--sport（或者--destination-port/--dport）拼写，而且必须放在'-p tcp'或'-p udp'选项之后，因为TCP或UDP扩展是分别加载的。

o TCP -y 标志现在是 --syn，而且必须在'-p tcp'之后。

o DENY目标现在是DROP.

o 对单个链，可以在列出其工作同时清零。

o 清空内建链同时清除了原则计数器。

o 列出链给出的是一个计数器的微型的快照。

o REJECT和LOG现在是扩展目标，意思是他们是独立的内核模块。

o 链的名称最多可以是31个字符。

o MASQ现在是MASQUERADE而且使用不同的语法。REDRIRECT，在保留相同的名字时，也经历了语法的改变。参见NAT-HOWTO以获取配置它们的更多信息。

o -o选项不再用于将包传递给用户空间设备了（见上面的-i）。现在通过 QUEUE目标传递到用户空间。

o 很可能还有一些我也忘了。

11. 对制定包过滤器的建议

在计算机安全领域中，最明智的办法是阻挡所有东西，然后对需要的开启。这通常称为“凡是没有明确允许的都是禁止的”。我建议这样做如果安全是你最关心的。

不要运行任何你不需要的服务，即使你认为你已经阻碍了对它们的访问。

如果你创建专用防火墙，开始时不运行任何东西，并阻止所有包，然后添加服务并让需要的包通过。

我强调安全：结合tcp-wrappers（对于包过滤器本身的连接），代理（通过包过滤器的连接），路由验证和包过滤。路由验证是如果包来自未预期的接口那么将被删除：例如，如果你的内部网络地址是10.1.1.0/24，而一个包的源地址是你的外部接口，那么它将被丢弃。对一个接口如ppp0来说可以这样：

# echo 1 > /proc/sys/net/ipv4/conf/ppp0/rp_filter

或者对所有已有的或将有的接口：

# for f in /proc/sys/net/ipv4/conf/*/rp_filter; do

# echo 1 > $f

# done

Debian在可能的范围了将这些设为默认。如果你使用非对称路由（如你期望包来自一个其他的方向），你可能需要在这些接口上禁止这一过滤。

记录对于当工作不正常时设置防火墙非常有用，但是在一个作为产品的防火墙上，总是应当将它与'limit'匹配结合，以防止有人充斥你的记录。

我极力推荐对安全系统使用连接追踪：它虽然会造成负担，因为所有连接都被追踪。但是对于控制对你的网络的访问非常有用。如果你的内核没有自动加载而且没有内建，你需要加载'ip_conntrack.o'这个模块。如果想要精确追踪复杂的协议，你需要加载合适的相关模块（如 'ip_conntrack_ftp.o'）。

# iptables -N no-conns-from-ppp0

# iptables -A no-conns-from-ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# iptables -A no-conns-from-ppp0 -m state --state NEW -i ! ppp0 -j ACCEPT

# iptables -A no-conns-from-ppp0 -i ppp0 -m limit -j LOG --log-prefix "Bad packet from ppp0:"

# iptables -A no-conns-from-ppp0 -i ! ppp0 -m limit -j LOG --log-prefix "Bad packet not from ppp0:"

# iptables -A no-conns-from-ppp0 -j DROP

# iptables -A INPUT -j no-conns-from-ppp0

# iptables -A FORWARD -j no-conns-from-ppp0

建造一个好的防火墙超越了这个HOWTO的范围，不过我的建议是“一切从严”。请参见Security HOWTO获取更多信息，来测试和探索你的服务器。

all pages ended here.

爱易 2006-11-01 17:49 发表评论

Vim/Cscope,Ctags

爱易 — Mon, 23 Oct 2006 10:15:00 GMT

今天试着配置了一下Cscope，用起来确实蛮方便的，如果和Ctags配合使用的好的话，的确可以和windows平台下的sourceinsight有的一拼。不过这个熟练的过程不会太轻松:-|

cscope

cscope应该不需要安装，一般linux的发行版都会带的有(也有可能是vim的dependence package，这个我没有研究)，在shell下输入cscope -V可以查看cscope的版本号，我这边是15.5。

cscope的配置和简单使用可以参考:The Vim/Cscope tutorial ，貌似还没有简体翻译版本，看了一下确实很简单，所以没人翻译啦。
还有就是man cscope(under shell)和:help cscope(in vim)

我配完之后有一个小问题:Cscope里对split window query mode的键盘绑定是Ctrl-Blankspace，对于中文用户来说，这一般也是中文输入法的short-key。这就需要修改 ~/.vim/plugin/cscope_maps.vim文件，把其中对ctrl+blankspace(在vim中表示为ctrl+@)的绑定修改为你特性的组合键。

ctags

ctags 可以在sf的站点上下载，编译安装后就可以使用了。

简单的使用方法是：

在你存放源代码的文件夹下运行ctags *，即对所有问题件做tag
此时，用vim -t funcname就可以直接用vim打开含有funcname函数的文件，光标也停留在该文件
在vim中，使用可以跳转到光标所在位置的函数实现(类似于vim帮助中的调准)，使用可以跳转回之前的光标位置。

其他参考资料

Introduc-tion to Programming in C/C++ with Vim (中英文)
Exuberant Ctags FAQ

爱易 2006-10-23 18:15 发表评论

ssh的安全限制

爱易 — Tue, 10 Oct 2006 03:06:00 GMT

适应操作系统：redhat

如果要正常使用ssh客户端和ssh服务，需要安装一个server和client

1。重新启动sshd

引文:
    /etc/init.d/sshd restart
2。限制root远程登录

往往有些不怀好心的人想通过暴力破解来获取系统的id，如果被他们获得root用户的id，那是非常危险的，所以我们除了限制ssh的ip段外，还可以限制root远程登录来达到一定的安全保障

引文:
    vi /etc/ssh/sshd_config

ESC /#PermitRootLogin yes

修改为PermitRootLogin no
记得把#去掉

改好以后，我们按照上面的方法重新启动sshd

3。限制远程登录的ip地址

这里，我们可以修改/etc/hosts.allow，也可以修改/etc/hosts.deny
一般情况下，我们在/etc/hosts.deny里头禁止掉所有的用户，内容如下

引文:
       sshd:ALL@ALL:spawn /bin/echo `date` %c >> /var/log/tcp_wrapper
然后在/etc/hosts.allow文件里头设置允许的ip段或者是ip地址
例如：
引文:
       sshd: 202.201.0.0/255.255.255.0,202.201.177.90
这样的效果是允许202.201.0.0的这个C类网路的所有用户和202.201.177.90这个用户拉

重新按照上面的方法重新启动sshd使之生效

爱易 2006-10-10 11:06 发表评论

Tcpdump命令的使用与示例——linux下的网络分析

爱易 — Tue, 10 Oct 2006 01:36:00 GMT

网络数据采集分析工具TcpDump的简介

顾名思义，TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump就是一种免费的网络分析工具，尤其其提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。

我们用尽量简单的话来定义tcpdump，就是：dump the traffice on a network.，根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的的系统管理员必备工具，tcpdump以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络，排查问题等所必备的东西之一。tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。

网络数据采集分析工具TcpDump的安装

http://anheng.com.cn/news/24/586.html 在linux下tcpdump的安装十分简单，一般由两种安装方式。一种是以rpm包的形式来进行安装。另外一种是以源程序的形式安装。http://anheng.com.cn/news/24/586.html rpm包的形式安装：这种形式的安装是最简单的安装方法，rpm包是将软件编译后打包成二进制的格式，通过rpm命令可以直接安装，不需要修改任何东西。以超级用户登录，使用命令如下：
#rpm -ivh tcpdump-3_4a5.rpmhttp://anheng.com.cn/news/24/586.html 这样tcpdump就顺利地安装到你的linux系统中。怎么样，很简单吧。

源程序的安装：既然rpm包的安装很简单,为什么还要采用比较复杂的源程序安装呢?其实，linux一个最大的诱人之处就是在她上面有很多软件是提供源程序的，人们可以修改源程序来满足自己的特殊的需要。所以我特别建议朋友们都采取这种源程序的安装方法。

第一步取得源程序在源程序的安装方式中，我们首先要取得tcpdump的源程序分发包，这种分发包有两种形式，一种是tar压缩包(tcpdump-3_4a5.tar.Z),另一种是rpm的分发包(tcpdump-3_4a5.src.rpm)。这两种形式的内容都是一样的，不同的仅仅是压缩的方式.tar的压缩包可以使用如下命令解开：
#tar xvfz tcpdump-3_4a5.tar.Z
rpm的包可以使用如下命令安装:
#rpm -ivh tcpdump-3_4a5.src.rpm
这样就把tcpdump的源代码解压到/usr/src/redhat/SOURCES目录下.
第二步做好编译源程序前的准备活动
在编译源程序之前，最好已经确定库文件libpcap已经安装完毕，这个库文件是tcpdump软件所需的库文件。同样，你同时还要有一个标准的c语言编译器。在linux下标准的c 语言编译器一般是gcc。在tcpdump的源程序目录中。有一个文件是Makefile.in，configure命令就是从Makefile.in文件中自动产生Makefile文件。在Makefile.in文件中，可以根据系统的配置来修改BINDEST 和 MANDEST 这两个宏定义，缺省值是
BINDEST = @sbindir@
MANDEST = @mandir@
第一个宏值表明安装tcpdump的二进制文件的路径名，第二个表明tcpdump的man 帮助页的路径名,你可以修改它们来满足系统的需求。
第三步编译源程序
使用源程序目录中的configure脚本，它从系统中读出各种所需的属性。并且根据Makefile.in文件自动生成Makefile文件，以便编译使用.make 命令则根据Makefile文件中的规则编译tcpdump的源程序。使用make install命令安装编译好的tcpdump的二进制文件。
总结一下就是:
# tar xvfz tcpdump-3_4a5.tar.Z
# vi Makefile.in
# . /configure
# make
# make install

3 网络数据采集分析工具TcpDump的使用

http://anheng.com.cn/news/24/586.html     普通情况下，直接启动tcpdump将监视第一个网络界面上所有流过的数据包。
# tcpdump
tcpdump: listening on fxp0
11:58:47.873028 202.102.245.40.netbios-ns > 202.102.245.127.netbios-ns: udp 50
11:58:47.974331 0:10:7b:8:3a:56 > 1:80:c2:0:0:0 802.1d ui/C len=43
                         0000 0000 0080 0000 1007 cf08 0900 0000
                         0e80 0000 902b 4695 0980 8701 0014 0002
                         000f 0000 902b 4695 0008 00
11:58:48.373134 0:0:e8:5b:6d:85 > Broadcast sap e0 ui/C len=97
                         ffff 0060 0004 ffff ffff ffff ffff ffff
                         0452 ffff ffff 0000 e85b 6d85 4008 0002
                         0640 4d41 5354 4552 5f57 4542 0000 0000
                         0000 00
^C

tcpdump支持相当多的不同参数，如使用-i参数指定tcpdump监听的网络界面，这在计算机具有多个网络界面时非常有用，使用-c参数指定要监听的数据包数量，使用-w参数指定将监听到的数据包写入文件中保存，等等。

然而更复杂的tcpdump参数是用于过滤目的，这是因为网络中流量很大，如果不加分辨将所有的数据包都截留下来，数据量太大，反而不容易发现需要的数据包。使用这些参数定义的过滤规则可以截留特定的数据包，以缩小目标，才能更好的分析网络中存在的问题。tcpdump使用参数指定要监视数据包的类型、地址、端口等，根据具体的网络问题，充分利用这些过滤规则就能达到迅速定位故障的目的。请使用man tcpdump查看这些过滤规则的具体用法。

显然为了安全起见，不用作网络管理用途的计算机上不应该运行这一类的网络分析软件，为了屏蔽它们，可以屏蔽内核中的bpfilter伪设备。一般情况下网络硬件和TCP/IP堆栈不支持接收或发送与本计算机无关的数据包，为了接收这些数据包，就必须使用网卡的混杂模式，并绕过标准的TCP/IP堆栈才行。在FreeBSD下，这就需要内核支持伪设备bpfilter。因此，在内核中取消bpfilter支持，就能屏蔽tcpdump之类的网络分析工具。

并且当网卡被设置为混杂模式时，系统会在控制台和日志文件中留下记录，提醒管理员留意这台系统是否被用作攻击同网络的其他计算机的跳板。

May 15 16:27:20 host1 /kernel: fxp0: promiscuous mode enabled

虽然网络分析工具能将网络中传送的数据记录下来，但是网络中的数据流量相当大，如何对这些数据进行分析、分类统计、发现并报告错误却是更关键的问题。网络中的数据包属于不同的协议，而不同协议数据包的格式也不同。因此对捕获的数据进行解码，将包中的信息尽可能的展示出来，对于协议分析工具来讲更为重要。昂贵的商业分析工具的优势就在于它们能支持很多种类的应用层协议，而不仅仅只支持tcp、udp等低层协议。

从上面tcpdump的输出可以看出，tcpdump对截获的数据并没有进行彻底解码，数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障，通常的解决办法是先使用带-w参数的tcpdump 截获数据并保存到文件中，然后再使用其他程序进行解码分析。当然也应该定义过滤规则，以避免捕获的数据包填满整个硬盘。FreeBSD提供的一个有效的解码程序为tcpshow，它可以通过Packages Collection来安装。

# pkg_add /cdrom/packages/security/tcpshow*
# tcpdump -c 3 -w tcpdump.out
tcpdump: listening on fxp0
# tcpshow < tcpdump.out
---------------------------------------------------------------------------
Packet 1
TIME:12:00:59.984829
LINK:00:10:7B:08:3A:56 -> 01:80:C2:00:00:00 type=0026
<*** No decode support for encapsulated protocol ***>
---------------------------------------------------------------------------
Packet 2
TIME:12:01:01.074513 (1.089684)
LINK:00:A0:C9:AB:3C:DF -> FF:FF:FF:FF:FF:FF type=ARP
ARP:htype=Ethernet ptype=IP hlen=6 plen=4 op=request
sender-MAC-addr=00:A0:C9:AB:3C:DF sender-IP-address=202.102.245.3
target-MAC-addr=00:00:00:00:00:00 target-IP-address=202.102.245.3
---------------------------------------------------------------------------
Packet 3
TIME:12:01:01.985023 (0.910510)
LINK:00:10:7B:08:3A:56 -> 01:80:C2:00:00:00 type=0026
<*** No decode support for encapsulated protocol ***>

tcpshow能以不同方式对数据包进行解码，并以不同的方式显示解码数据，使用者可以根据其手册来选择最合适的参数对截获的数据包进行分析。从上面的例子中可以看出，tcpshow支持的协议也并不丰富，对于它不支持的协议就无法进行解码。

除了tcpdump之外，FreeBSD的Packages Collecion中还提供了Ethereal和Sniffit两个网络分析工具，以及其他一些基于网络分析方式的安全工具。其中Ethereal运行在 X Window 下，具有不错的图形界面，Sniffit使用字符窗口形式，同样也易于操作。然而由于tcpdump对过滤规则的支持能力更强大，因此系统管理员仍然更喜欢使用它。对于有经验的网络管理员，使用这些网络分析工具不但能用来了解网络到底是如何运行的，故障出现在何处，还能进行有效的统计工作，如那种协议产生的通信量占主要地位，那个主机最繁忙，网络瓶颈位于何处等等问题。因此网络分析工具是用于网络管理的宝贵系统工具。为了防止数据被滥用的网络分析工具截获，关键还是要在网络的物理结构上解决。常用的方法是使用交换机或网桥将信任网络和不信任网络分隔开，可以防止外部网段窃听内部数据传输，但仍然不能解决内部网络与外部网络相互通信时的数据安全问题。如果没有足够的经费将网络上的共享集线器升级为以太网交换机，可以使用FreeBSD系统执行网桥任务。这需要使用option BRIDGE编译选项重新定制内核，此后使用bridge命令启动网桥功能。

tcpdump采用命令行方式，它的命令格式为：
　　tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]
　　　　　　　　　　[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]
　　　　　　　　　　[ -T 类型 ] [ -w 文件名 ] [表达式 ]http://anheng.com.cn/news/24/586.html

(1). tcpdump的选项介绍http://anheng.com.cn/news/24/586.html 　　　-a 　　　将网络地址和广播地址转变成名字；
　　　-d 　　　将匹配信息包的代码以人们能够理解的汇编格式给出；
　　　-dd 　　将匹配信息包的代码以c语言程序段的格式给出；
　　　-ddd 　　将匹配信息包的代码以十进制的形式给出；
　　　-e 　　　在输出行打印出数据链路层的头部信息；
　　　-f 　　　将外部的Internet地址以数字的形式打印出来；
　　　-l 　　　使标准输出变为缓冲行形式；
　　　-n 　　　不把网络地址转换成名字；
　　　-t 　　　在输出的每一行不打印时间戳；
　　　-v 　　　输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；
　　　-vv 　　输出详细的报文信息；
　　　-c 　　　在收到指定的包的数目后，tcpdump就会停止；
　　　-F 　　　从指定的文件中读取表达式,忽略其它的表达式；
　　　-i 　　　指定监听的网络接口；
　　　-r 　　　从指定的文件中读取包(这些包一般通过-w选项产生)；
　　　-w 　　　直接将包写入文件中，并不分析和打印出来；
　　　-T 　　　将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）

(2). tcpdump的表达式介绍

http://anheng.com.cn/news/24/586.html 表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会被截获。在表达式中一般如下几种类型的关键字。http://anheng.com.cn/news/24/586.html 第一种是关于类型的关键字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主机，net 202.0.0.0 指明 202.0.0.0是一个网络地址，port 23 指明端口号是23。如果没有指定类型，缺省的类型是host.http://anheng.com.cn/news/24/586.html 第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。http://anheng.com.cn/news/24/586.html 第三种是协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 'not ' '! ', 与运算是'and','&&';或运算是'or' ,'││'；这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。

http://anheng.com.cn/news/24/586.html A想要截获所有210.27.48.1 的主机收到的和发出的所有的数据包：
#tcpdump host 210.27.48.1
B想要截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中适用　　　括号时，一定要
#tcpdump host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包，使用命令：
#tcpdump ip host 210.27.48.1 and ! 210.27.48.2
D如果想要获取主机210.27.48.1接收或发出的telnet包，使用如下命令：
#tcpdump tcp port 23 host 210.27.48.1

(3). tcpdump的输出结果介绍

http://anheng.com.cn/news/24/586.html 下面我们介绍几种典型的tcpdump命令的输出信息http://anheng.com.cn/news/24/586.html A,数据链路层头信息http://anheng.com.cn/news/24/586.html 使用命令
#tcpdump --e host ice
ice 是一台装有linux的主机，她的MAC地址是0：90：27：58：AF：1A
H219是一台装有SOLARIC的SUN工作站，它的MAC地址是8：0：20：79：5B：46；上一条命令的输出结果如下所示：
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.telne
t 0:0(0) ack 22535 win 8760 (DF)

分析：21：50：12是显示的时间， 847509是ID号，eth0 <表示从网络接口eth0 接受该数据包，eth0 >表示从网络接口设备发送数据包, 8:0:20:79:5b:46是主机H219的MAC地址,它表明是从源地址H219发来的数据包. 0:90:27:58:af:1a是主机ICE的MAC地址,表示该数据包的目的地址是ICE . ip 是表明该数据包是IP数据包,60 是数据包的长度, h219.33357 > ice.telnet 表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口. ack 22535 表明对序列号是222535的包进行响应. win 8760表明发送窗口的大小是8760.

B,ARP包的TCPDUMP输出信息

http://anheng.com.cn/news/24/586.html 使用命令
#tcpdump arp
得到的输出结果是：
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析: 22:32:42是时间戳, 802509是ID号, eth0 >表明从主机发出该数据包, arp表明是ARP请求包, who-has route tell ice表明是主机ICE请求主机ROUTE的MAC地址。 0:90:27:58:af:1a是主机ICE的MAC地址。

C,TCP包的输出信息

http://anheng.com.cn/news/24/586.html 用TCPDUMP捕获的TCP包的一般输出信息是：
src > dst: flags data-seqno ack window urgent options
src > dst:表明从源地址到目的地址, flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) "." (没有标记); data-seqno是数据包中的数据的顺序号, ack是下次期望的顺序号, window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针. Options是选项.

D,UDP包的输出信息

http://anheng.com.cn/news/24/586.html 用TCPDUMP捕获的UDP包的一般输出信息是：
route.port1 > ice.port2: udp lenth
UDP十分简单，上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机ICE的port2端口，类型是UDP，包的长度是lenth

爱易 2006-10-10 09:36 发表评论

转载: 用红帽子的chkconfig管理Init脚本

爱易 — Mon, 29 May 2006 06:41:00 GMT

[OpenSource] 用红帽子的chkconfig管理Init脚本

作者：Jimmy Ball
译者：Fenng
日期：11-Dec-2001
出处：http://www.dbanotes.net
版本：0.99

你的管理工具中多了个简单但非常有用的东东。

我喜欢发现新的 UNIX 命令，尤其是那些关于系统管理的。当我得知红帽子发布 chkconfig 这个工具，我想起了在 IRIX --一个从 SGI而来的 UNIX 变种--下的 chkconfig。IRIX 的 chkconfig 用来激活/禁止系统初始化的时候的服务，无需编辑，重命名或是移动 /etc 中的 init 脚本。

类似，Red Hat 设计 chkconfig 的目的就是用来管理系统初始化的时候启动的服务。不过，在我仔细阅读手册并作了些测试后，我很快发现 Red Hat 扩展了chkconfig，通过管理 init 脚本的符号连接得以最终控制启动关闭时的系统任务，真是节省时间！

关于启动的基础知识

当你的 linux 启动时, 它显示的第一个进程是 init 。如果你以前没看到过显示 init 进程, 输入：

# ps -ef | grep init

就会看到 init 的 PID。简而言之，init 运行 /etc/inittab 中描述的任务。

/etc/inittab中说明的任务在init之后就会启动，不过其它的任务启动很简单。例如，默认情况下 Red Hat 的 /etc/inittab 对 Ctrl-Alt-Delete 键序设置了一个 trap，当这些键在控制台模式下（不是 xdm）同时按下，就会运行 shutdown 命令。在启动的时候，init 基于 /etc/inittab 的设置选项设定这个特性，不过在这个键序发生的时候才会执行。

inittab 的格式允许以"#"开始注释行，正常的条目用 ":" 界定。遵从如下的格式：

id:runlevel:action:process

id 代表用户定义的唯一的标志
runlevel 可以使0-6的组合或者为空
action 来自一个关键词keyword 描述init如何对待process
process 是要执行的命令

描述 action 字段的各种关键字可以在 inittab 的手册中找到。常用的关键字，不是全部，UNIX 平台包括这些:

initdefault 定义一个系统启动后进入的运行级
wait 会被执行一次的进程 (当进入运行级的时候)。init 进程将等待这个进程被终止
boot 定义一个启动的时候执行的进程
bootwait 与 boot 类似，不过 init在继续运行前等待进程的终止
sysinit 定义一个进程在 boot的时候执行，在任何 boot或者bootwait inittab 条目的前面执行。

runlevel 字段指明系统状态。例如，运行级 0 代表系统关机，运行级 6 代表系统重启。不幸的是，不是所有的 Linux 发布都遵循同样的运行级定义。在 Red Hat 中，默认情况下支持下面这些

0. 系统挂起
1. 但用户Single-user mode
2. 多用户，没有NFS
3. 完整的多用户Complete multiuser mode
4. 用户自定义
5. X11 (XDM 登录)
6. 重新启动

每一个运行级在 /etc/rc.d 下都有个相应的目录。如运行级 5，目录就是 /etc/rc.d/rc5.d 。包含启动这个运行级的时候运行的相关任务的相关文件。在 Red Hat 中, 这些文件一般都是 shell 脚本的符号连接，可以在 /etc/rc.d/init.d 中找到。

让我们用一个简单的例子看一下这些东西，下面这两个例子行来自我们的 inittab 文件：

id:3:initdefault: 
l3:3:wait:/etc/rc.d/rc 3

在 Red Hat 系统中这很典型。一旦 init 被启动，读取 /etc/inittab 。从第一行，我们知道 init 将在系统启动后从运行运行级3。一旦我们到了那个运行级，第二行告诉 init 去运行脚本 /etc/rc.d/rc 3 并且在执行前等待终止。

在 /etc/rc.d 目录的 rc 脚本收到 3 作为一个参数。这个 3 相当于运行级 3。结果 rc 脚本执行 /etc/rc.d/rc3.d 目录中的所有脚本。它首先用参数 "stop" 执行所有 K（代表 "kill"杀掉进程或者服务）打头的脚本，接下来，它运行所有以字母 S 打头的脚本，带有参数 "start" 启动进程或者服务。最后要指明，K 和 S 脚本的执行顺序是基于排序的；名为 S90mysql 的脚本将在 S95httpd 之前执行。

/etc/rc.d/rc3.d 中的脚本实际是对 /etc/rc.d/init.d 中文件的符号连接。UNIX管理员可以在rc3.d中放制文件，实际情况下 Red Hat 的 init.d 目录是所有脚本的第一位置，然后生成逻辑连接到 rc*.d 目录。手工进行这些文件的管理很烦人、琐碎。 chkconfig 现在接手这件事情! Red Hat 的这个 chkconfig 工具就是专为管理 /etc/rc.d/rc[0-6].d 中的符号连接而设计。

察看 chkconfig 的项（Entry）

chkconfig 的二进制软件在 /sbin 下，默认权限允许任何用户执行。不过没有 root 权限的用户只能察看当前的 chkconfig 配置。输入：

[root]# chkconfig --list | grep on

输出的部分内容大致如下：

gpm             0:off   1:off   2:on    3:on    4:on    5:on    6:off
syslog          0:off   1:off   2:on    3:on    4:on    5:on    6:off
network         0:off   1:off   2:on    3:on    4:on    5:on    6:off
random          0:off   1:off   2:on    3:on    4:on    5:on    6:off
rawdevices      0:off   1:off   2:off   3:on    4:on    5:on    6:off
atd             0:off   1:off   2:off   3:on    4:on    5:on    6:off
apmd            0:off   1:off   2:on    3:on    4:on    5:on    6:off
sendmail        0:off   1:off   2:on    3:on    4:on    5:on    6:off
sshd            0:off   1:off   2:on    3:off   4:on    5:on    6:off
portmap         0:off   1:off   2:off   3:off   4:on    5:on    6:off
crond           0:off   1:off   2:on    3:on    4:on    5:on    6:off
xinetd          0:off   1:off   2:off   3:on    4:on    5:on    6:off
xfs             0:off   1:off   2:on    3:off   4:on    5:on    6:off
httpd           0:off   1:off   2:off   3:on    4:off   5:off   6:off

在输出的每一行，最开始的段代表在 /etc/rc.d/init.d 中的 init 脚本名。其余的区段表示脚本进入各个运行级时的各运行级 0-6 的状态。例如，crond 应当在进入运行级 2、3、4、5 的时候启动，当进入 0、1、 6的时候停止。我们可以通过 find 命令查找在 /etc/rc.d 中所有 crond 结尾的文件确信我们设置的正确性：

[root]# find /etc/rc.d -name '*crond' -print 
/etc/rc.d/init.d/crond 
/etc/rc.d/rc0.d/K60crond 
/etc/rc.d/rc1.d/K60crond 
/etc/rc.d/rc2.d/S40crond 
/etc/rc.d/rc3.d/S40crond 
/etc/rc.d/rc4.d/S40crond 
/etc/rc.d/rc5.d/S40crond 
/etc/rc.d/rc6.d/K60crond

注意 chkconfig 报告的每个 "off" 节 (0, 1, 6)，一个 kill 脚本存在 script is in place 每一个 "on" 节 (2, 3, 4, 5)，有一个 start 脚本。接下来，执行一个不同的 find 命令以确信每个发现的文件的类型：

[root]# find /etc/rc.d -name '*crond' -exec file {} ; 
/etc/rc.d/init.d/crond: Bourne shell script text 
/etc/rc.d/rc0.d/K60crond: symbolic link to 
../init.d/crond 
/etc/rc.d/rc1.d/K60crond: symbolic link to 
../init.d/crond 
/etc/rc.d/rc2.d/S40crond: symbolic link to 
../init.d/crond 
/etc/rc.d/rc3.d/S40crond: symbolic link to 
../init.d/crond 
/etc/rc.d/rc4.d/S40crond: symbolic link to 
../init.d/crond 
/etc/rc.d/rc5.d/S40crond: symbolic link to 
../init.d/crond 
/etc/rc.d/rc6.d/K60crond: symbolic link to 
../init.d/crond

这表明在 init.d 中找到的 crond 是一个 shell 脚本，找到的所有其他的文件都是对 crond 脚本的符号连接。

调整 chkconfig 项

调整 chkconfig 的项几乎和列出现在的设置一样容易。格式:

chkconfig [--level <运行级>] <名字>

例如，如果我们决定在运行级 2 禁止crond，

# chkconfig --level 2 crond off

(root执行)会在运行级 2 关掉 crond。运行 chkconfig --list会确信crond的配置已经被调整。更进一步，下面的 find 命令显示一个 kill 脚本已经在目录 rc2.d 中代替了 start 脚本：

[root]# find /etc/rc.d -name '*crond' -print 
/etc/rc.d/init.d/crond 
/etc/rc.d/rc0.d/K60crond 
/etc/rc.d/rc1.d/K60crond 
/etc/rc.d/rc2.d/K60crond 
/etc/rc.d/rc3.d/S40crond 
/etc/rc.d/rc4.d/S40crond 
/etc/rc.d/rc5.d/S40crond 
/etc/rc.d/rc6.d/K60crond

切记： chkconfig 不是立即自动禁止或激活一个服务的，它只是简单的改变了符号连接，超级用户可以用这个命令 /etc/rc.d/init.d/crond stop 立刻禁止 crond 服务。最后，你可以用一个命令行激活/禁止多个运行级的某个命令。例如输入：

chkconfig --levels 2345 crond on

会设定 crond 在运行级2， 3， 4 和 5启动。

删掉一项

有的时候，删掉一个服务也很恰当。例如，针对 sendmail，在客户机上导入本地账号的邮件没有必要。运行 sendmail 作为守护进程就不是必要的了。这种情况，我发现禁止 sendmail 服务很有必要，减少了潜在的安全问题，从 chkconfig 中删掉 sendmail，输入：

chkconfig --del sendmail

在下面，我们的 find 命令显示该处没有符号连接了，不过 sendmail 的 init 脚本仍然有：

[root]# find /etc/rc.d -name '*sendmail' -print 
/etc/rc.d/init.d/sendmail

在我看来这很完美。脚本保留了，万一 sendmail 需要作为一个服务实现呢？不过所有的符号连接去掉了。我们能在每一个运行级禁止 sendmail 服务，这将在每一个 rc*.d 子目录中放置一个 kill 脚本，虽然 sendmail 从不在初始化阶段启动，是个不必要的任务，可是，我曾看到一些系统管理员需要在特定的场合手工启动服务。把 kill 脚本留在那里确保可以干净的杀掉服务。

添加chkconfig 项

到目前为止，一切顺利。我们已经知道使用 chkconfig 如何查看、调整、删掉服务。现在添加一个新的服务。看下面的脚本 oracle:

Listing 1. Oracle Script
#!/bin/sh

#chkconfig: 2345 80 05
#description: Oracle 8 Server

ORA_HOME=/usr/home/oracle/product/8.0.5
ORA_OWNER=oracle

if [ ! -f $ORA_HOME/bin/dbstart ]
then
  echo "Oracle startup: cannot start"
  exit
fi

case "$1" in
  "start")
     su - $ORA_OWNER -c $ORA_HOME/bin/dbstart
     su - $ORA_OWNER -c "$ORA_HOME/bin/lsnrctl start"
     ;;
  "stop")
     su - $ORA_OWNER -c $ORA_HOME/bin/dbshut
     su - $ORA_OWNER -c "$ORA_HOME/bin/lsnrctl stop"
     ;;
esac
-----------------------------------------------------

使用这个脚本，Oracle 8 可以以参数 "start" 启动，以 "stop" 参数停止。它符合 init 脚本的最小要求可以和 /etc/rc.d/rc 脚本联合使用。

把脚本放到 /etc/rc.d/init.d 中并运行(以 root) ：

chmod +x /etc/rc.d/init.d/oracle

使你的脚本可执行。如果你担心普通用户察看这个脚本，你可以设定更严格的文件权限。只要这个脚本可以被 root 作为单独的脚本运行就可以。

注意脚本中的两行注释:

#chkconfig: 2345 80 05 
#description: Oracle 8 Server

chkconfig 需要这些行来决定如何实现初始运行级添加服务，如何设定启动和停止顺序的优先级。这些行指明脚本将为运行级 2、3、4、5 启动 Oracle 8 服务。另外，启动优先权将被设定为 80 而停止优先权设定为 05。

现在脚本在合适的位置，并且有合适的执行权限，以及恰当的 chkconfig 注释，我们可以添加 init 脚本，以 root 用户执行，

# chkconfig --add oracle.

用 chkconfig 的查询，我们能核实我们所作的添加:

[root]# chkconfig --list | grep oracle 
oracle 0:off 1:off 2:on 3:on 4:on 5:on 6:off

而且，我们可以用标准的 find 命令察看 chkconfig 如何设定符号连接：

[root]# find /etc/rc.d -name '*oracle' -print 

/etc/rc.d/init.d/oracle 
/etc/rc.d/rc0.d/K05oracle 
/etc/rc.d/rc1.d/K05oracle 
/etc/rc.d/rc2.d/S80oracle 
/etc/rc.d/rc3.d/S80oracle 
/etc/rc.d/rc4.d/S80oracle 
/etc/rc.d/rc5.d/S80oracle 
/etc/rc.d/rc6.d/K05oracle

正如需要的那样，kill 连接的名字包含优先权 05 而 start 连接包含 80。如果你需要调整优先权，(如：我们停止的优先权需要设为 03)，简单的调整 oracle init 脚本的chkconfig 注释行并运行 reset命令 command，如下所示。符号连接会被改名：

[root]# chkconfig oracle reset 
[root]# find /etc/rc.d -name '*oracle' -print 
/etc/rc.d/init.d/oracle 
/etc/rc.d/rc0.d/K03oracle 
/etc/rc.d/rc1.d/K03oracle 
/etc/rc.d/rc2.d/S80oracle 
/etc/rc.d/rc3.d/S80oracle 
/etc/rc.d/rc4.d/S80oracle 
/etc/rc.d/rc5.d/S80oracle 
/etc/rc.d/rc6.d/K03oracle

Red Hat 7中的改进

大家可能都知道了，inetd在 Red Hat 7中已经被xinetd 所取代(参考本站 "使用xinetd" 一文)。而且，chkconfig 的功能已经被扩展，可以管理一些 xinetd 的 Internet 服务。例子如下：

[root]# chkconfig --list 
... 
xinetd based services: 
finger: on 
linuxconf-web: off 
rexec: off 
rlogin: off 
rsh: off 
ntalk: off 
talk: off 
telnet: on 
tftp: off 
wu-ftpd: on

禁掉一个 xinetd 服务，可能是 finger，你应该输入：

[root]# chkconfig finger off.

很简捷啊，呵呵。可是，这里有个问题。当配置已经改变，命令 /etc/init.d/xinetd reload 指明 xinetd 自动重载入新的配置，被 chkconfig 执行。这个脚本运行一个带有 SIGUSR2 信号的 kill 指示 xinetd 进行一个“硬“重配置。

那意味着什么？哦，当我测试的时候，通过 xinetd 提供的活动服务(如 Telnet, FTP 等)立刻被中止。如果你能计划在最合适的时间启动/禁止你的系统上的服务，可能不是个问题。作为一种替代方式，你可以调整你的 /etc/init.d/xinetd 脚本，这样 reload 选项发送一个 SIGUSR1 信号。这是个“软“重配置。这将重启动你的服务而不中断你现存的连接。

chkconfig 管理下，添加xinetd服务只要简单的添加xinetd服务文件到 /etc/xinetd.d目录中。chkconfig会自动的“捡起“它并使其可用，通过chkconfig 工具进行管理。简洁阿！

结论

现在你已经应该认识到红帽子的 chkconfig 工具管理 init 脚本的好处了，虽然它的功能似乎简单了些，但是它节省时间，这使其成为一个系统管理员适用的命令，值得记牢。

参考信息(译者提供)

chkconfig -http://www.fastcoder.net/~thumper/software/sysadmin/chkconfig/

使用 xinetd - http://www.dbanotes.net/OpenSource/Using_xinetd.html

本文译者

Fenng，某美资公司DBA，业余时间混迹于各数据库相关的技术论坛且乐此不疲。目前关注如何利用ORACLE数据库有效地构建企业应用。对Oracle tuning、troubleshooting有一点研究。
个人技术站点:http://www.dbanotes.net/ 。可以通过电子邮件 dbanotes@gmail.com 联系到他。

原文出处

http://www.dbanotes.net/OpenSource/Managing_Initscripts_with_RedHat's_chkconfig_CN.htm

回上页<-|->回首页

All Articles (by Fenng) are licensed under a Creative Commons License.
I would welcome any feedback. Please send questions, comments or corrections to dbanotes@gmail.com
Valid XHTML 4.01 / Valid CSS

爱易 2006-05-29 14:41 发表评论

简单的 mysql的摘要

爱易 — Wed, 24 May 2006 03:11:00 GMT

    打开一个DOS命令窗口，在MySQL中建立一个数据库，并添加一个用户:
   C:\mysql\bin> mysql -uroot -p      // 登陆   mysql [-u username] [-h host] [-p[password]] [dbname]
   ******** (输入root密码,如果还没有设置，直接输入回车即可)
   mysql> GRANT ALL ON db1.* TO user1@localhost IDENTIFIED BY '123';   //user@"%" 可以在其它的机子登陆本例是本机
   mysql> CREATE DATABASE db1;
   mysql> quit



   导入数据库的结构
   C:\mysql\bin> mysql -uuser1 -Ddb1 -p < [myicqd目录]\ttt.sql
   password: 123


   修改密码
   格式：mysqladmin -u用户名 -p旧密码 password 新密码

启动
　　 MySQL安装完成后启动文件mysql在/etc/init.d目录下，在需要启动时运行下面命令即可。
　　 [root@test1 init.d]# /etc/init.d/mysql start

　　停止
　　 /usr/bin/mysqladmin -u root -p shutdown
[root@test1 init.d]# /etc/init.d/mysql stop
重新启动MySQL服务
　　 [root@test1 init.d]# /etc/init.d/mysql　restart

   数据库的备份
     mysqldump --add-drop-table --add-locks --lock-tables $MYSQL_DBNAME -uroot -pcanada> $BACKUP_FILE
   数据库还原
    mysql $MYSQL_DBNAME -uroot -pcanada< $RESTORE_FILE

MySQL的常用操作

　　注意：MySQL中每个命令后都要以分号；结尾。

　　 2、显示数据库中的表
　　 mysql> use mysql; （打开库，对每个库进行操作就要打开此库，类似于foxpro ）
　　 Database changed

　　 3、显示数据表的结构：
　　 describe 表名;

　　 4、显示表中的记录：
　　 select * from 表名;
　　例如：显示mysql库中user表中的纪录。所有能对MySQL用户操作的用户都在此表中。
　　 Select * from user;

　　 5、建库：
　　 create database 库名;
　　例如：创建一个名字位aaa的库
　　 mysql> create databases aaa;
6、建表：
　　 use 库名；
　　 create table 表名 (字段设定列表)；
　　例如：在刚创建的aaa库中建立表name,表中有id(序号，自动增长)，xm（姓名）,xb（性别）,csny（出身年月）四个字段
　　 use aaa;
　　 mysql> create table name (id int(3) auto_increment not null primary key, xm char(8),xb char(2),csny date);
　　可以用describe命令察看刚建立的表结构。
　　 mysql> describe name;

　　 +-------+---------+------+-----+---------+----------------+
　　 | Field | Type　　| Null | Key | Default | Extra　　　　　|
　　 +-------+---------+------+-----+---------+----------------+
　　 | id　　| int(3)　|　　　| PRI | NULL　　| auto_increment |
　　 | xm　　| char(8) | YES　|　　 | NULL　　|　　　　　　　　|
　　 | xb　　| char(2) | YES　|　　 | NULL　　|　　　　　　　　|
　　 | csny　| date　　| YES　|　　 | NULL　　|　　　　　　　　|
　　 +-------+---------+------+-----+---------+----------------+

　　 7、增加记录
　　例如：增加几条相关纪录。
　　 mysql> insert into name values(\'\',\'张三\',\'男\',\'1971-10-01\');
　　 mysql> insert into name values(\'\',\'白云\',\'女\',\'1972-05-20\');
　　可用select命令来验证结果。
　　 mysql> select * from name;
　　 +----+------+------+------------+
　　 | id | xm　 | xb　 | csny　　　 |
　　 +----+------+------+------------+
　　 |　1 | 张三 | 男　 | 1971-10-01 |
　　 |　2 | 白云 | 女　 | 1972-05-20 |
　　 +----+------+------+------------+

　　 8、修改纪录
　　例如：将张三的出生年月改为1971-01-10
　　 mysql> update name set csny=\'1971-01-10\' where xm=\'张三\';

　　 9、删除纪录
　　例如：删除张三的纪录。
　　 mysql> delete from name where xm=\'张三\';

　　 10、删库和删表
　　 drop database 库名;
　　 drop table 表名；

爱易 2006-05-24 11:11 发表评论

CVS使用手册

爱易 — Wed, 24 May 2006 02:56:00 GMT

摘要
CVS是一个C/S系统，多个开发人员通过一个中心版本控制系统来记录文件版本，从而达到保证文件同步的目的。(2004-07-05 20:19:18)

By lanf, 出处：http://www.chedong.com/tech/cvs_card.html

作者：车东 Email: chedongATbigfoot.com/chedongATchedong.com

内容摘要：

CVS是一个C/S系统，多个开发人员通过一个中心版本控制系统来记录文件版本，从而达到保证文件同步的目的。工作模式如下：

       CVS服务器（文件版本库）
     /     |       \
     （版 本 同 步）
   /       |         \
开发者1  开发者2   开发者3

作为一般开发人员挑选2,6看就可以了，CVS的管理员则更需要懂的更多一些，最后还简单介绍了一些Windows下的cvs客户端使用，CVS远程用户认证的选择及与BUG跟踪系统等开发环境的集成问题。

CVS环境初始化：CVS环境的搭建管理员
CVS的日常使用：日常开发中最常用的CVS命令，开发人员管理员
CVS的分支开发：项目按照不同进度和目标并发进行管理员
CVS的用户认证：通过SSH的远程用户认证，安全，简单管理员
CVSWEB：CVS的WEB访问界面大大提高代码版本比较的效率管理员
CVS TAG：将$Id$ 加入代码注释中，方便开发过程的跟踪开发人员
CVS vs VSS: CVS和Virsual SourceSafe的比较开发人员管理员
WinCVS: 通过SSH认证的WinCVS认证设置
基于CVSTrac的小组开发环境搭建：通过CVSTrac实现web界面的CVS用户管理,集成的BUG跟踪和WIKI交流
CVS中的用户权限管理：基于系统用户的CVS权限管理和基于CVSROOT/passwd的虚拟用户管理

一个系统20%的功能往往能够满足80%的需求，CVS也不例外，以下是CVS最常用的功能，可能还不到它全部命令选项的20%，作为一般开发人员平时会用cvs update和cvs commit就够了，更多的需求在实际应用过程中自然会出现，不时回头看看相关文档经常有意外的收获。

CVS环境初始化 环境设置：指定CVS库的路径CVSROOT

tcsh
setenv CVSROOT /path/to/cvsroot
bash
CVSROOT=/path/to/cvsroot ; export CVSROOT

后面还提到远程CVS服务器的设置：
CVSROOT=:ext:$USER@test.server.address#port:/path/to/cvsroot CVS_RSH=ssh; export CVSROOT CVS_RSH

初始化：CVS版本库的初始化。
cvs init

一个项目的首次导入
cvs import -m "write some comments here" project_name vendor_tag release_tag
执行后：会将所有源文件及目录导入到/path/to/cvsroot/project_name目录下
vender_tag: 开发商标记
release_tag: 版本发布标记

项目导出：将代码从CVS库里导出
cvs checkout project_name
cvs 将创建project_name目录，并将最新版本的源代码导出到相应目录中。这个checkout和Virvual SourceSafe中的check out不是一个概念，相对于Virvual SourceSafe的check out是cvs update， check in是cvs commit。

CVS的日常使用

注意：第一次导出以后，就不是通过cvs checkout来同步文件了，而是要进入刚才cvs checkout project_name导出的project_name目录下进行具体文件的版本同步（添加，修改，删除）操作。

将文件同步到最新的版本
cvs update
不制定文件名，cvs将同步所有子目录下的文件，也可以制定某个文件名/目录进行同步
cvs update file_name
最好每天开始工作前或将自己的工作导入到CVS库里前都要做一次，并养成“先同步后修改”的习惯，和Virvual SourceSafe不同，CVS里没有文件锁定的概念，所有的冲突是在commit之前解决，如果你修改过程中，有其他人修改并commit到了CVS 库中，CVS会通知你文件冲突，并自动将冲突部分用
>>>>>>
content on cvs server
<<<<<<
content in your file
>>>>>>
标记出来，由你确认冲突内容的取舍。
版本冲突一般是在多个人修改一个文件造成的，但这种项目管理上的问题不应该指望由CVS来解决。

确认修改写入到CVS库里
cvs commit -m "write some comments here" file_name

注意：CVS的很多动作都是通过cvs commit进行最后确认并修改的，最好每次只修改一个文件。在确认的前，还需要用户填写修改注释，以帮助其他开发人员了解修改的原因。如果不用写-m "comments"而直接确认`cvs commit file_name` 的话，cvs会自动调用系统缺省的文字编辑器(一般是vi)要求你写入注释。
注释的质量很重要：所以不仅必须要写，而且必须写一些比较有意义的内容：以方便其他开发人员能够很好的理解
不好的注释，很难让其他的开发人员快速的理解：比如： -m "bug fixed" 甚至 -m ""
好的注释，甚至可以用中文: -m "在用户注册过程中加入了Email地址校验"

修改某个版本注释：每次只确认一个文件到CVS库里是一个很好的习惯，但难免有时候忘了指定文件名，把多个文件以同样注释commit到CVS库里了，以下命令可以允许你修改某个文件某个版本的注释：
cvs admin -m 1.3:"write some comments here" file_name

添加文件
创建好新文件后，比如：touch new_file
cvs add new_file
注意：对于图片，Word文档等非纯文本的项目，需要使用cvs add -kb选项按2进制文件方式导入(k表示扩展选项，b表示binary)，否则有可能出现文件被破坏的情况
比如：
cvs add -kb new_file.gif
cvs add -kb readme.doc

如果关键词替换属性在首次导入时设置错了怎么办？
cvs admin -kkv new_file.css

然后确认修改并注释
cvs ci -m "write some comments here"

删除文件
将某个源文件物理删除后，比如：rm file_name
cvs rm file_name
然后确认修改并注释
cvs ci -m "write some comments here"
以上面前2步合并的方法为：
cvs rm -f file_name
cvs ci -m "why delete file"
注意：很多cvs命令都有缩写形式：commit=>ci; update=>up; checkout=>co/get; remove=>rm;

添加目录
cvs add dir_name

查看修改历史
cvs log file_name
cvs history file_name

查看当前文件不同版本的区别
cvs diff -r1.3 -r1.5 file_name
查看当前文件（可能已经修改了）和库中相应文件的区别
cvs diff file_name
cvs的web界面提供了更方便的定位文件修改和比较版本区别的方法，具体安装设置请看后面的cvsweb使用

正确的通过CVS恢复旧版本的方法：
如果用cvs update -r1.2 file.name
这个命令是给file.name加一个STICK TAG： "1.2" ，虽然你的本意只是想将它恢复到1.2版本
正确的恢复版本的方法是：cvs update -p -r1.2 file_name >file_name
如果不小心已经加成STICK TAG的话：用cvs update -A 解决

移动文件/文件重命名
cvs里没有cvs move或cvs rename，因为这两个操作是可以由先cvs remove old_file_name，然后cvs add new_file_name实现的。

删除/移动目录
最方便的方法是让管理员直接移动，删除CVSROOT里相应目录（因为CVS一个项目下的子目录都是独立的，移动到$CVSROOT目录下都可以作为新的独立项目：好比一颗树，其实砍下任意一枝都能独立存活），对目录进行了修改后，要求其开发人员重新导出项目cvs checkout project_name 或者用cvs update -dP同步。

项目发布导出不带CVS目录的源文件
做开发的时候你可能注意到了，每个开发目录下，CVS都创建了一个CVS/目录。里面有文件用于记录当前目录和CVS库之间的对应信息。但项目发布的时候你一般不希望把文件目录还带着含有CVS信息的CVS目录吧，这个一次性的导出过程使用cvs export命令，不过export只能针对一个TAG或者日期导出，比如：
cvs export -r release1 project_name
cvs export -D 20021023 project_name
cvs export -D now project_name

CVS Branch：项目多分支同步开发 确认版本里程碑：多个文件各自版本号不一样，项目到一定阶段，可以给所有文件统一指定一个阶段里程碑版本号，方便以后按照这个阶段里程碑版本号导出项目，同时也是项目的多个分支开发的基础。

cvs tag release_1_0

开始一个新的里程碑：
cvs commit -r 2 标记所有文件开始进入2.x的开发

注意：CVS里的revsion和软件包的发布版本可以没有直接的关系。但所有文件使用和发布版本一致的版本号比较有助于维护。

版本分支的建立
在开发项目的2.x版本的时候发现1.x有问题，但2.x又不敢用，则从先前标记的里程碑：release_1_0导出一个分支 release_1_0_patch
cvs rtag -b -r release_1_0 release_1_0_patch proj_dir

一些人先在另外一个目录下导出release_1_0_patch这个分支：解决1.0中的紧急问题，
cvs checkout -r release_1_0_patch
而其他人员仍旧在项目的主干分支2.x上开发

在release_1_0_patch上修正错误后，标记一个1.0的错误修正版本号
cvs tag release_1_0_patch_1

如果2.0认为这些错误修改在2.0里也需要，也可以在2.0的开发目录下合并release_1_0_patch_1中的修改到当前代码中：
cvs update -j release_1_0_patch_1

CVS的远程认证通过SSH远程访问CVS 使用cvs本身基于pserver的远程认证很麻烦,需要定义服务器和用户组，用户名，设置密码等，

常见的登陆格式如下：
cvs -d :pserver:cvs_user_name@cvs.server.address:/path/to/cvsroot login
例子：
cvs -d :pserver:cvs@samba.org:/cvsroot login

不是很安全，因此一般是作为匿名只读CVS访问的方式。从安全考虑，通过系统本地帐号认证并通过SSH传输是比较好的办法，通过在客户机的 /etc/profile里设置一下内容：
CVSROOT=:ext:$USER@cvs.server.address#port:/path/to/cvsroot CVS_RSH=ssh; export CVSROOT CVS_RSH
所有客户机所有本地用户都可以映射到CVS服务器相应同名帐号了。

比如:

CVS服务器是192.168.0.3，上面CVSROOT路径是/home/cvsroot，另外一台开发客户机是192.168.0.4，如果 tom在2台机器上都有同名的帐号，那么从192.168.0.4上设置了：
export CVSROOT=:ext:tom@192.168.0.3:/home/cvsroot
export CVS_RSH=ssh
tom就可以直接在192.168.0.4上对192.168.0.3的cvsroot进行访问了（如果有权限的话）
cvs checkout project_name
cd project_name
cvs update
...
cvs commit

如果CVS所在服务器的SSH端口不在缺省的22，或者和客户端与CVS服务器端SSH缺省端口不一致，有时候设置了：
:ext:$USER@test.server.address#port:/path/to/cvsroot

仍然不行，比如有以下错误信息：
ssh: test.server.address#port: Name or service not known
cvs [checkout aborted]: end of file from server (consult above messages if any)

解决的方法是做一个脚本指定端口转向（不能使用alias，会出找不到文件错误）：
创建一个/usr/bin/ssh_cvs文件，假设远程服务器的SSH端口是非缺省端口：34567
#!/bin/sh
/usr/bin/ssh -p 34567 "$@"
然后：chmod +x /usr/bin/ssh_cvs
并CVS_RSH=ssh_cvs; export CVS_RSH

注意：port是指相应服务器SSH的端口，不是指cvs专用的pserver的端口

CVSWEB：提高文件浏览效率 CVSWEB就是CVS的WEB界面，可以大大提高程序员定位修改的效率:

使用的样例可以看：http://www.freebsd.org/cgi/cvsweb.cgi

CVSWEB的下载：CVSWEB从最初的版本已经演化出很多功能界面更丰富的版本，这个是我个人感觉安装设置比较方便的：
原先在：~~http://www.spaghetti-code.de/software/linux/cvsweb/~~，但目前已经删除，目前仍可以在本站下载CVSWEB，其实最近2年FreeBSD的CVSWeb项目已经有了更好的发展吧，而当初没有用FreeBSD那个版本主要就是因为没有彩色的文件Diff功能。
下载解包：
tar zxf cvsweb.tgz
把配置文件cvsweb.conf放到安全的地方（比如和apache的配置放在同一个目录下），
修改：cvsweb.cgi让CGI找到配置文件：
$config = $ENV{'CVSWEB_CONFIG'} || '/path/to/apache/conf/cvsweb.conf';

转到/path/to/apache/conf下并修改cvsweb.conf：

修改CVSROOT路径设置：
%CVSROOT = (
'Development' => '/path/to/cvsroot', #<==修改指向本地的CVSROOT
);
缺省不显示已经删除的文档：
"hideattic" => "1",#<==缺省不显示已经删除的文档
在配置文件cvsweb.conf中还可以定制页头的描述信息，你可以修改$long_intro成你需要的文字

CVSWEB可不能随便开放给所有用户，因此需要使用WEB用户认证：
先生成 passwd:
/path/to/apache/bin/htpasswd -c cvsweb.passwd user

修改httpd.conf: 增加

AuthName "CVS Authorization"
AuthType Basic
AuthUserFile /path/to/cvsweb.passwd
require valid-user

CVS TAGS: $Id: cvs_card.html,v 1.5 2003/03/09 08:41:46 chedong Exp $ 将$Id: cvs_card.html,v 1.9 2003/11/09 07:57:11 chedong Exp $ 加在程序文件开头的注释里是一个很好的习惯，cvs能够自动解释更新其中的内容成：file_name version time user_name 的格式，比如：cvs_card.txt,v 1.1 2002/04/05 04:24:12 chedong Exp，可以这些信息了解文件的最后修改人和修改时间

几个常用的缺省文件：
default.php
/*
 * Copyright (c) 2002 Company Name.
 * $Header: /home/cvsroot/tech/cvs_card.html,
 * v 1.9 2003/11/09 07:57:11 chedong Exp $
 */

?>
====================================
Default.java: 注意文件头一般注释用 /* 开始 JAVADOC注释用 /** 开始的区别
/*
 * Copyright (c) 2002 MyCompany Name.
 * $Header: /home/cvsroot/tech/cvs_card.html,
 * v 1.9 2003/11/09 07:57:11 chedong Exp $
 */

package com.mycompany;

import java.;

/**
 * comments here
 */
public class Default {
    /**
     * Comments here
     * @param
     * @return
     */
    public toString() {

    }
}
====================================
default.pl:
#!/usr/bin/perl -w
# Copyright (c) 2002 Company Name.
# $Header: /home/cvsroot/tech/cvs_card.html,
 * v 1.9 2003/11/09 07:57:11 chedong Exp $

# file comments here

use strict;

CVS vs VSS

CVS没有文件锁定模式，VSS在check out同时，同时记录了文件被导出者锁定。

CVS的update和commit， VSS是get_lastest_version和check in

对应VSS的check out/undo check out的CVS里是edit和unedit

在CVS中，标记自动更新功能缺省是打开的，这样也带来一个潜在的问题，就是不用-kb方式添加binary文件的话在cvs自动更新时可能会导致文件失效。

$Header: /home/cvsroot/tech/cvs_card.html,v 1.5 2003/03/09 08:41:46 chedong Exp $ $Date: 2003/11/09 07:57:11 $这样的标记在Virsual SourceSafe中称之为Keyword Explaination，缺省是关闭的，需要通过OPITION打开，并指定需要进行源文件关键词扫描的文件类型：*.txt,*.java, *.html...

对于Virsual SourceSafe和CVS都通用的TAG有：
$Header: /home/cvsroot/tech/cvs_card.html,v 1.5 2003/03/09 08:41:46 chedong Exp $
$Author: chedong $
$Date: 2003/11/09 07:57:11 $
$Revision: 1.9 $

我建议尽量使用通用的关键词保证代码在CVS和VSS都能方便的跟踪。

WinCVS 下载：

cvs Windows客户端：目前稳定版本为1.2
http://cvsgui.sourceforge.net
ssh Windows客户端
http://www.networksimplicity.com/openssh/

安装好以上2个软件以后：
WinCVS客户端的admin==>preference设置
1 在general选单里
设置CVSROOT： username@192.168.0.123:/home/cvsroot
设置Authorization: 选择SSH server

2 Port选单里
钩上：check for alternate rsh name
并设置ssh.exe的路径，缺省是装在 C:\Program Files\NetworkSimplicity\ssh\ssh.exe

然后就可以使用WinCVS进行cvs操作了，所有操作都会跳出命令行窗口要求你输入服务器端的认证密码。

当然，如果你觉得这样很烦的话，还有一个办法就是生成一个没有密码的公钥/私钥对，并设置CVS使用基于公钥/私钥的SSH认证（在general 选单里）。

可以选择的diff工具：examdiff
下载：
http://www.prestosoft.com/examdiff/examdiff.htm
还是在WinCVS菜单admin==>preference的WinCVS选单里
选上：Externel diff program
并设置diff工具的路径，比如：C:\Program Files\ed16i\ExamDiff.exe
在对文件进行版本diff时，第一次需要将窗口右下角的use externel diff选上。

基于CVSTrac的小组开发环境搭建 作为一个小组级的开发环境，版本控制系统和BUG跟踪系统等都涉及到用户认证部分。如何方便的将这些系统集成起来是一个非常困难的事情，毕竟我们不能指望 Linux下有像Source Offsite那样集成度很高的版本控制/BUG跟踪集成系统。

我个人是很反对使用pserver模式的远程用户认证的，但如果大部分组员使用WINDOWS客户端进行开发的话，总体来说使用 CVSROOT/passwd认证还是很难避免的，但CVS本身用户的管理比较麻烦。本来我打算自己用perl写一个管理界面的，直到我发现了 CVSTrac：一个基于WEB界面的BUG跟踪系统，它外挂在CVS系统上的BUG跟踪系统，其中就包括了WEB界面的CVSROOT/passwd文件的管理，甚至还集成了WIKIWIKI讨论组功能。

这里首先说一下CVS的pserver模式下的用户认证，CVS的用户认证服务是基于inetd中的：
cvspserver stream tcp nowait apache /usr/bin/cvs cvs --allow-root=/home/cvsroot pserver
一般在2401端口（这个端口号很好记：49的平方）

CVS用户数据库是基于CVSROOT/passwd文件，文件格式：
[username]:[crypt_password]:[mapping_system_user]
由于密码都用的是UNIX标准的CRYPT加密，这个passwd文件的格式基本上是apache的htpasswd格式的扩展（比APACHE的 PASSWD文件多一个系统用户映射字段），所以这个文件最简单的方法可以用
apache/bin/htpasswd -b myname mypassword
创建。注意：通过htpasswd创建出来的文件会没有映射系统用户的字段
例如：
new:geBvosup/zKl2
setup:aISQuNAAoY3qw
test:hwEpz/BX.rEDU

映射系统用户的目的在于：你可以创建一个专门的CVS服务帐号，比如用apache的运行用户apache，并将/home/cvsroot目录下的所有权限赋予这个用户，然后在passwd文件里创建不同的开发用户帐号，但开发用户帐号最后的文件读写权限都映射为apache用户，在SSH模式下多个系统开发用户需要在同一个组中才可以相互读写CVS库中的文件。

进一步的，你可以将用户分别映射到apache这个系统用户上。
new:geBvosup/zKl2:apache
setup:aISQuNAAoY3qw:apache
test:hwEpz/BX.rEDU:apache

CVSTrac很好的解决了CVSROOT/passwd的管理问题，而且包含了BUG跟踪报告系统和集成WIKIWIKI交流功能等，使用的 CGI方式的安装，并且基于GNU Public License：

在inetd里加入cvspserver服务：
cvspserver stream tcp nowait apache /usr/bin/cvs cvs --allow-root=/home/cvsroot pserver

xietd的配置文件：%cat cvspserver
service cvspserver
{
disable = no
socket_type = stream
wait = no
user = apache
server = /usr/bin/cvs
server_args = -f --allow-root=/home/cvsroot pserver
log_on_failure += USERID
}

注意：这里的用户设置成apache目的是和/home/cvsroot的所有用户一致，并且必须让这个这个用户对/home/cvsroot/下的 CVSROOT/passwd和cvstrac初始化生成的myproj.db有读取权限。

安装过程

下载：可以从http://www.cvstrac.org 下载
我用的是已经在Linux上编译好的应用程序包：cvstrac-1.1.2.bin.gz，
%gzip -d cvstrac-1.1.2.bin.gz
%chmod +x cvstrac-1.1.2.bin
#mv cvstarc-1.1.1.bin /usr/bin/cvstrac
如果是从源代码编译：
从 http://www.sqlite.org/download.html 下载SQLITE的rpm包：
rpm -i sqlite-devel-2.8.6-1.i386.rpm
从 ftp://ftp.cvstrac.org/cvstrac/ 下载软件包
解包，假设解包到/home/chedong/cvstrac-1.1.2下，并规划将cvstrac安装到/usr/local/bin目录下， cd /home/chedong/cvstrac-1.1.2 编辑linux-gcc.mk:
修改：
SRCDIR = /home/chedong/cvstrac-1.1.2
INSTALLDIR = /usr/local/bin
然后
mv linux-gcc.mk Makefile
make
#make install
初始化cvstrac数据库：假设数据库名是 myproj
在已经装好的CVS服务器上（CVS库这时候应该已经是初始化好了，比如：cvs init初始化在/home/cvsroot里），运行一下
%cvstrac init /home/cvsroot myproj
运行后，/home/cvsroot里会有一个的myproj.db库，使用CVSTRAC服务，/home/cvsroot/myproj.db /home/cvsroot/CVSROOT/readers /home/cvsroot/CVSROOT/writers /home/cvsroot/CVSROOT/passwd这几个文件对于web服务的运行用户应该是可写的，在RedHat8上，缺省就有一个叫 apache用户和一个apache组，所以在httpd.conf文件中设置了用apache用户运行web服务：
User apache
Group apache，
然后设置属于apache用户和apache组
#chown -R apache:apache /home/cvsroot
-rw-r--r-- 1 apache apache 55296 Jan 5 19:40 myproj.db
drwxrwxr-x 3 apache apache 4096 Oct 24 13:04 CVSROOT/
drwxrwxr-x 2 apache apache 4096 Aug 30 19:47 some_proj/
此外还在/home/cvsroot/CVSROOT中设置了：
chmod 664 readers writers passwd
在apche/cgi-bin目录中创建脚本cvstrac:
#!/bin/sh
/usr/bin/cvstrac cgi /home/cvsroot
设置脚本可执行：
chmod +x /home/apache/cgi-bin/cvstrac
从 http://cvs.server.address/cgi-bin/cvstrac/myproj 进入管理界面
缺省登录名：setup 密码 setup
对于一般用户可以从：
http://cvs.server.address/cgi-bin/cvstrac/myproj
在setup中重新设置了CVSROOT的路径后，/home/cvsroot
如果是初次使用需要在/home/cvsroot/CVSROOT下创建passwd, readers, writers文件
touch passwd readers writers
然后设置属于apache用户，
chown apache.apache passwd readers writers
这样使用setup用户创建新用户后会同步更新CVSROOT/passwd下的帐号

修改登录密码，进行BUG报告等，
更多使用细节可以在使用中慢慢了解。

对于前面提到的WinCVS在perference里设置：
CVSROOT栏输入：username@ip.address.of.cvs:/home/cvsroot
Authenitication选择：use passwd file on server side
就可以了从服务器上进行CVS操作了。

CVS的用户权限管理

CVS的权限管理分2种策略：

基于系统文件权限的系统用户管理：适合多个在Linux上使用系统帐号的开发人员进行开发。
基于CVSROOT/passwd的虚拟用户管理：适合多个在Windows平台上的开发人员将帐号映射成系统帐号使用。

为什么使用apache/apache用户？首先RedHat8中缺省就有了，而且使用这个用户可以方便通过cvstrac进行WEB管理。
chown -R apache.apache /home/cvsroot
chmod 775 /home/cvsroot

Linux上通过ssh连接CVS服务器的多个开发人员：通过都属于apache组实现文件的共享读写
开发人员有开发服务器上的系统帐号：sysuser1 sysuser2，设置让他们都属于apache组，因为通过cvs新导入的项目都是对组开放的：664权限的，这样无论那个系统用户导入的项目文件，只要文件的组宿主是apache，所有其他同组系统开发用户就都可以读写；基于ssh远程认证的也是一样。

apache(system group)
/ | \
sysuser1 sysuser2 sysuser3

Windows上通过cvspserver连接CVS服务器的多个开发人员：通过在passwd文件种映射成 apache用户实现文件的共享读写
他们的帐号通过CVSROOT/passwd和readers writers这几个文件管理；通过cvstrac设置所有虚拟用户都映射到apache用户上即可。

apache(system user)
/ | \
windev1 windev2 windev3

利用cvs + (WinCVS/cvsweb/cvstrac)，构成了一个相对完善的跨平台工作组开发版本控制环境。

转载：Grep学习笔记

爱易 — Tue, 23 May 2006 09:31:00 GMT

整理：Jims of 肥肥世家

<yjnet@21cn.com>

第一次发布时间：2004年7月16日

Table of Contents

1. grep简介
2. grep正则表达式元字符集（基本集）
3. 用于egrep和 grep -E的元字符扩展集
4. POSIX字符类
5. Grep命令选项
6. 实例

1. grep简介

grep （global search regular expression(RE) and print out the line,全面搜索正则表达式并把行打印出来）是一种强大的文本搜索工具，它能使用正则表达式搜索文本，并把匹配的行打印出来。Unix的grep家族包括grep、egrep和fgrep。egrep和fgrep的命令只跟grep有很小不同。egrep是grep的扩展，支持更多的re元字符， fgrep就是fixed grep或fast grep，它们把所有的字母都看作单词，也就是说，正则表达式中的元字符表示回其自身的字面意义，不再特殊。linux使用GNU版本的grep。它功能更强，可以通过-G、-E、-F命令行选项来使用egrep和fgrep的功能。

grep的工作方式是这样的，它在一个或多个文件中搜索字符串模板。如果模板包括空格，则必须被引用，模板后的所有字符串被看作文件名。搜索的结果被送到屏幕，不影响原文件内容。

grep可用于shell脚本，因为grep通过返回一个状态值来说明搜索的状态，如果模板搜索成功，则返回0，如果搜索不成功，则返回1，如果搜索的文件不存在，则返回2。我们利用这些返回值就可进行一些自动化的文本处理工作。

2. grep正则表达式元字符集（基本集）

^: 锚定行的开始如：'^grep'匹配所有以grep开头的行。
$: 锚定行的结束如：'grep$'匹配所有以grep结尾的行。
.: 匹配一个非换行符的字符如：'gr.p'匹配gr后接一个任意字符，然后是p。
*: 匹配零个或多个先前字符如：'*grep'匹配所有一个或多个空格后紧跟grep的行。 .*一起用代表任意字符。
[]: 匹配一个指定范围内的字符，如'[Gg]rep'匹配Grep和grep。
[^]: 匹配一个不在指定范围内的字符，如：'[^A-FH-Z]rep'匹配不包含A-R和T-Z的一个字母开头，紧跟rep的行。
$..$: 标记匹配字符，如'$love$'，love被标记为1。
\<: 锚定单词的开始，如:'\
\>: 锚定单词的结束，如'grep\>'匹配包含以grep结尾的单词的行。
x\{m\}: 重复字符x，m次，如：'0\{5\}'匹配包含5个o的行。
x\{m,\}: 重复字符x,至少m次，如：'o\{5,\}'匹配至少有5个o的行。
x\{m,n\}: 重复字符x，至少m次，不多于n次，如：'o\{5,10\}'匹配5--10个o的行。
\w: 匹配文字和数字字符，也就是[A-Za-z0-9]，如：'G\w*p'匹配以G后跟零个或多个文字或数字字符，然后是p。
\W: \w的反置形式，匹配一个或多个非单词字符，如点号句号等。
\b: 单词锁定符，如: '\bgrepb\'只匹配grep。

3. 用于egrep和 grep -E的元字符扩展集

+: 匹配一个或多个先前的字符。如：'[a-z]+able'，匹配一个或多个小写字母后跟able的串，如loveable,enable,disable等。
?: 匹配零个或多个先前的字符。如：'gr?p'匹配gr后跟一个或没有字符，然后是p的行。
a|b|c: 匹配a或b或c。如：grep|sed匹配grep或sed
(): 分组符号，如：love(able|rs)ov+匹配loveable或lovers，匹配一个或多个ov。
x{m},x{m,},x{m,n}: 作用同x\{m\},x\{m,\},x\{m,n\}

4. POSIX字符类

为了在不同国家的字符编码中保持一至，POSIX(The Portable Operating System Interface)增加了特殊的字符类，如[:alnum:]是A-Za-z0-9的另一个写法。要把它们放到[]号内才能成为正则表达式，如[A- Za-z0-9]或[[:alnum:]]。在linux下的grep除fgrep外，都支持POSIX的字符类。

[:alnum:]: 文字数字字符
[:alpha:]: 文字字符
[:digit:]: 数字字符
[:graph:]: 非空字符（非空格、控制字符）
[:lower:]: 小写字符
[:cntrl:]: 控制字符
[:print:]: 非空字符（包括空格）
[:punct:]: 标点符号
[:space:]: 所有空白字符（新行，空格，制表符）
[:upper:]: 大写字符
[:xdigit:]: 十六进制数字（0-9，a-f，A-F）

5. Grep命令选项

-?: 同时显示匹配行上下的？行，如：grep -2 pattern filename同时显示匹配行的上下2行。
-b，--byte-offset: 打印匹配行前面打印该行所在的块号码。
-c,--count: 只打印匹配的行数，不显示匹配的内容。
-f File，--file=File: 从文件中提取模板。空文件中包含0个模板，所以什么都不匹配。
-h，--no-filename: 当搜索多个文件时，不显示匹配文件名前缀。
-i，--ignore-case: 忽略大小写差别。
-q，--quiet: 取消显示，只返回退出状态。0则表示找到了匹配的行。
-l，--files-with-matches: 打印匹配模板的文件清单。
-L，--files-without-match: 打印不匹配模板的文件清单。
-n，--line-number: 在匹配的行前面打印行号。
-s，--silent: 不显示关于不存在或者无法读取文件的错误信息。
-v，--revert-match: 反检索，只显示不匹配的行。
-w，--word-regexp: 如果被\<和\>引用，就把表达式做为一个单词搜索。
-V，--version: 显示软件版本信息。

6. 实例

要用好grep这个工具，其实就是要写好正则表达式，所以这里不对grep的所有功能进行实例讲解，只列几个例子，讲解一个正则表达式的写法。

$ ls -l | grep '^a': 通过管道过滤ls -l输出的内容，只显示以a开头的行。
$ grep 'test' d*: 显示所有以d开头的文件中包含test的行。
$ grep 'test' aa bb cc: 显示在aa，bb，cc文件中匹配test的行。
$ grep '[a-z]\{5\}' aa: 显示所有包含每个字符串至少有5个连续小写字符的字符串的行。
$ grep 'w$es$t.*\1' aa: 如果west被匹配，则es就被存储到内存中，并标记为1，然后搜索任意个字符（.*），这些字符后面紧跟着另外一个es（\1），找到就显示该行。如果用egrep或grep -E，就不用"\"号进行转义，直接写成'w(es)t.*\1'就可以了。

爱易 2006-05-23 17:31 发表评论

转载：Awk学习笔记

爱易 — Tue, 23 May 2006 09:29:00 GMT

摘要: 整理：Jims of 肥肥世家 Copyrigh... 阅读全文

爱易 2006-05-23 17:29 发表评论

转载：Sed学习笔记

爱易 — Tue, 23 May 2006 09:28:00 GMT

作者：Jims of 肥肥世家

<jims.yang@gmail.com>

发布时间:2004年09月20日

最近更新:2005年12月22日，增加小技巧章节。

Table of Contents

1. Sed简介
2. 定址
3. Sed命令
4. 选项
5. 元字符集
6. 实例
7. 脚本
8. 小技巧

1. Sed简介

sed 是一种在线编辑器，它一次处理一行内容。处理时，把当前处理的行存储在临时缓冲区中，称为“模式空间”（pattern space），接着用sed命令处理缓冲区中的内容，处理完成后，把缓冲区的内容送往屏幕。接着处理下一行，这样不断重复，直到文件末尾。文件内容并没有改变，除非你使用重定向存储输出。Sed主要用来自动编辑一个或多个文件；简化对文件的反复操作；编写转换程序等。以下介绍的是Gnu版本的Sed 3.02。

2. 定址

可以通过定址来定位你所希望编辑的行，该地址用数字构成，用逗号分隔的两个行数表示以这两行为起止的行的范围（包括行数表示的那两行）。如1，3表示1，2，3行，美元符号($)表示最后一行。范围可以通过数据，正则表达式或者二者结合的方式确定。

3. Sed命令

调用sed命令有两种形式：

sed [options] 'command' file(s)
sed [options] -f scriptfile file(s)

a\

在当前行后面加入一行文本。

b lable

分支到脚本中带有标记的地方，如果分支不存在则分支到脚本的末尾。

c\

用新的文本改变本行的文本。

d

从模板块（Pattern space）位置删除行。

D

删除模板块的第一行。

i\

在当前行上面插入文本。

h

拷贝模板块的内容到内存中的缓冲区。

H

追加模板块的内容到内存中的缓冲区

g

获得内存缓冲区的内容，并替代当前模板块中的文本。

G

获得内存缓冲区的内容，并追加到当前模板块文本的后面。

l

列表不能打印字符的清单。

n

读取下一个输入行，用下一个命令处理新的行而不是用第一个命令。

N

追加下一个输入行到模板块后面并在二者间嵌入一个新行，改变当前行号码。

p

打印模板块的行。

P（大写）

打印模板块的第一行。

q

退出Sed。

r file

从file中读行。

t label

if分支，从最后一行开始，条件一旦满足或者T，t命令，将导致分支到带有标号的命令处，或者到脚本的末尾。

T label

错误分支，从最后一行开始，一旦发生错误或者T，t命令，将导致分支到带有标号的命令处，或者到脚本的末尾。

w file

写并追加模板块到file末尾。

W file

写并追加模板块的第一行到file末尾。

!

表示后面的命令对所有没有被选定的行发生作用。

s/re/string

用string替换正则表达式re。

=

打印当前行号码。

#

把注释扩展到下一个换行符以前。

以下的是替换标记

g表示行内全面替换。
p表示打印行。
w表示把行写入一个文件。
x表示互换模板块中的文本和缓冲区中的文本。
y表示把一个字符翻译为另外的字符（但是不用于正则表达式）

4. 选项

-e command, --expression=command: 允许多台编辑。
-h, --help: 打印帮助，并显示bug列表的地址。
-n, --quiet, --silent: 取消默认输出。
-f, --filer=script-file: 引导sed脚本文件名。
-V, --version: 打印版本和版权信息。

5. 元字符集

^: 锚定行的开始如：/^sed/匹配所有以sed开头的行。
$: 锚定行的结束如：/sed$/匹配所有以sed结尾的行。
.: 匹配一个非换行符的字符如：/s.d/匹配s后接一个任意字符，然后是d。
*: 匹配零或多个字符如：/*sed/匹配所有模板是一个或多个空格后紧跟sed的行。
[]: 匹配一个指定范围内的字符，如/[Ss]ed/匹配sed和Sed。
[^]: 匹配一个不在指定范围内的字符，如：/[^A-RT-Z]ed/匹配不包含A-R和T-Z的一个字母开头，紧跟ed的行。
$..$: 保存匹配的字符，如s/$love$able/\1rs，loveable被替换成lovers。
&: 保存搜索字符用来替换其他字符，如s/love/**&**/，love这成**love**。
\<: 锚定单词的开始，如:/\
\>: 锚定单词的结束，如/love\>/匹配包含以love结尾的单词的行。
x\{m\}: 重复字符x，m次，如：/0\{5\}/匹配包含5个o的行。
x\{m,\}: 重复字符x,至少m次，如：/o\{5,\}/匹配至少有5个o的行。
x\{m,n\}: 重复字符x，至少m次，不多于n次，如：/o\{5,10\}/匹配5--10个o的行。

6. 实例

删除：d命令

$ sed '2d' example-----删除example文件的第二行。
$ sed '2,$d' example-----删除example文件的第二行到末尾所有行。
$ sed '$d' example-----删除example文件的最后一行。
$ sed '/test/'d example-----删除example文件所有包含test的行。

替换：s命令

$ sed 's/test/mytest/g' example-----在整行范围内把test替换为mytest。如果没有g标记，则只有每行第一个匹配的test被替换成mytest。
$ sed -n 's/^test/mytest/p' example-----(-n)选项和p标志一起使用表示只打印那些发生替换的行。也就是说，如果某一行开头的test被替换成mytest，就打印它。
$ sed 's/^192.168.0.1/&localhost/' example-----&符号表示替换换字符串中被找到的部份。所有以192.168.0.1开头的行都会被替换成它自已加 localhost，变成192.168.0.1localhost。
$ sed -n 's/$love$able/\1rs/p' example-----love被标记为1，所有loveable会被替换成lovers，而且替换的行会被打印出来。
$ sed 's#10#100#g' example-----不论什么字符，紧跟着s命令的都被认为是新的分隔符，所以，“#”在这里是分隔符，代替了默认的“/”分隔符。表示把所有10替换成100。

选定行的范围：逗号

$ sed -n '/test/,/check/p' example-----所有在模板test和check所确定的范围内的行都被打印。
$ sed -n '5,/^test/p' example-----打印从第五行开始到第一个包含以test开始的行之间的所有行。
$ sed '/test/,/check/s/$/sed test/' example-----对于模板test和west之间的行，每行的末尾用字符串sed test替换。

多点编辑：e命令

$ sed -e '1,5d' -e 's/test/check/' example-----(-e)选项允许在同一行里执行多条命令。如例子所示，第一条命令删除1至5行，第二条命令用check替换test。命令的执行顺序对结果有影响。如果两个命令都是替换命令，那么第一个替换命令将影响第二个替换命令的结果。
$ sed --expression='s/test/check/' --expression='/love/d' example-----一个比-e更好的命令是--expression。它能给sed表达式赋值。

从文件读入：r命令

$ sed '/test/r file' example-----file里的内容被读进来，显示在与test匹配的行后面，如果匹配多行，则file的内容将显示在所有匹配行的下面。

写入文件：w命令

$ sed -n '/test/w file' example-----在example中所有包含test的行都被写入file里。

追加命令：a命令

$ sed '/^test/a\\--->this is a example' example<-----'this is a example'被追加到以test开头的行后面，sed要求命令a后面有一个反斜杠。

插入：i命令

$ sed '/test/i\\

new line

-------------------------' example

如果test被匹配，则把反斜杠后面的文本插入到匹配行的前面。

下一个：n命令

$ sed '/test/{ n; s/aa/bb/; }' example-----如果test被匹配，则移动到匹配行的下一行，替换这一行的aa，变为bb，并打印该行，然后继续。

变形：y命令

$ sed '1,10y/abcde/ABCDE/' example-----把1--10行内所有abcde转变为大写，注意，正则表达式元字符不能使用这个命令。

退出：q命令

$ sed '10q' example-----打印完第10行后，退出sed。

保持和获取：h命令和G命令

$ sed -e '/test/h' -e '$G example-----在sed处理文件的时候，每一行都被保存在一个叫模式空间的临时缓冲区中，除非行被删除或者输出被取消，否则所有被处理的行都将打印在屏幕上。接着模式空间被清空，并存入新的一行等待处理。在这个例子里，匹配test的行被找到后，将存入模式空间，h命令将其复制并存入一个称为保持缓存区的特殊缓冲区内。第二条语句的意思是，当到达最后一行后，G命令取出保持缓冲区的行，然后把它放回模式空间中，且追加到现在已经存在于模式空间中的行的末尾。在这个例子中就是追加到最后一行。简单来说，任何包含test的行都被复制并追加到该文件的末尾。

保持和互换：h命令和x命令

$ sed -e '/test/h' -e '/check/x' example -----互换模式空间和保持缓冲区的内容。也就是把包含test与check的行互换。

7. 脚本

Sed脚本是一个sed的命令清单，启动Sed时以-f选项引导脚本文件名。Sed对于脚本中输入的命令非常挑剔，在命令的末尾不能有任何空白或文本，如果在一行中有多个命令，要用分号分隔。以#开头的行为注释行，且不能跨行。

8. 小技巧

在sed的命令行中引用shell变量时要使用双引号，而不是通常所用的单引号。下面是一个根据name变量的内容来删除named.conf文件中zone段的脚本：
```
name='zone\ "localhost"'
sed "/$name/,/};/d" named.conf 
```

爱易 2006-05-23 17:28 发表评论

id	代表用户定义的唯一的标志
runlevel	可以使0-6的组合或者为空
action	来自一个关键词keyword 描述init如何对待process
process	是要执行的命令

initdefault	定义一个系统启动后进入的运行级
wait	会被执行一次的进程 (当进入运行级的时候)。init 进程将等待这个进程被终止
boot	定义一个启动的时候执行的进程
bootwait	与 boot 类似，不过 init在继续运行前等待进程的终止
sysinit	定义一个进程在 boot的时候执行，在任何 boot或者bootwait inittab 条目的前面执行。

IT博客-1，2，3。。。 大道以多岐路亡羊，学者以多方丧生。-随笔分类-软件的使用

Enterprise Architect 8.0.864下载及注册码

Ettercap-交换环境下的嗅探器使用方法

用Diff和Patch维护源码

emacs 的简单使用及配置

例解 autoconf 和 automake 生成 Makefile 文件

Linux 下 Apache 与 Tomcat 整合的简单方法

Linux 2.4 Packet Filtering HOWTO 简体中文版

Vim/Cscope,Ctags

cscope

ctags

其他参考资料

ssh的安全限制

Tcpdump命令的使用与示例——linux下的网络分析

转载: 用红帽子的chkconfig管理Init脚本

关于启动的基础知识

察看 chkconfig 的项（Entry）

调整 chkconfig 项

删掉一项

添加chkconfig 项

Red Hat 7中的改进

结论

参考信息(译者提供)

本文译者

原文出处

简单的 mysql的 摘要

CVS使用手册

转载：Grep学习笔记

整理：Jims of 肥肥世家

1. grep简介

2. grep正则表达式元字符集（基本集）

3. 用于egrep和 grep -E的元字符扩展集

4. POSIX字符类

5. Grep命令选项

6. 实例

转载 ：Awk学习笔记

转载 ：Sed学习笔记

作者：Jims of 肥肥世家

1. Sed简介

2. 定址

3. Sed命令

4. 选项

5. 元字符集

6. 实例

7. 脚本

8. 小技巧

IT博客-1，2，3。。。大道以多岐路亡羊，学者以多方丧生。-随笔分类-软件的使用

简单的 mysql的摘要

转载：Awk学习笔记

转载：Sed学习笔记