IT博客-network

postfix邮件服务器安全策略

network — Wed, 09 Jul 2008 08:22:00 GMT

postfix邮件服务器安全策略

作者：曹江华文章来源：计世网更新时间：2006-4-12 9:23:10

　　邮件系统是Linux网络应用的重要组成，一个完整的邮件系统包括三个部分：底层操作系统（Linux Operation），邮件传送代理（Mail Transport Agent，MTA）,邮件分发代理（Mail Delivery Agent，MDA），邮件用户代理（Mail User Agent，MUA）。

　　Postfix是一个非常优秀的MTA，她素以高效、安全的特点而著称。Postfix是作者在UNIX上所见过的MTA中在反垃圾邮件（Anti-Spam或Anti-UCE）方面做得最好的一个，甚至有很多公司在Postfix代码的基础上进行二次开发而推出反垃圾邮件网关产品。MTA的反垃圾邮件功能，实际上就是在MTA处理过程中对会话进行过滤。这个过滤不但过滤了发往自身的垃圾邮件，而且还防止了自身被恶意利用发送垃圾邮件。Postfix实现了目前所有主要的MTA过滤技术。postfix是Wietse Venema在IBM的GPL协议之下开发的MTA（邮件传输代理）软件。和Sendmail相比Postfix更快、更容易管理、更灵活、更安全，同时还与sendmail保持足够的兼容性。Sendmail相比Postfix对比见表1.

　　表1 Sendmail与Postfix的对比

MTA	成熟性	安全性	特色	性能	Sendmail兼容性	模块化设计
Postfix	中	中	中	中	支持	是
Sendmail	高	低	中	低		否

　　垃圾邮件(SPAM) 也称作UCE (Unsolicited Commercial Email，未经许可的商业电子邮件) 或UBE (Unsolicited Bulk Email,未经许可的大量电子邮件) 。中国互联网协会对垃圾邮件给出了一个正式的定义，只要是符合下述四条之一的电子邮件都可被称为垃圾邮件：

　　（1）收件人事先没有提出要求或同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件。

　　（2）收件人无法拒收的电子邮件。

　　（3）隐藏发件人身份、地址、标题等信息的电子邮件；。

　　（4）含有虚假的信息源、发件人、路由等信息的电子邮件。
　　垃圾电子邮件成为了人们最头疼的问题之一。在Windows操作系统中也许您已经尝够了垃圾邮件给您带来的苦头，不要以为在Linux操作系统平台中就能避免垃圾电子邮件给我们带来的骚扰，反击和过滤垃圾电子邮件是一件很重要的工作。下面是一些在Linux中广泛使用的防垃圾邮件技术。

　　（1）SMTP用户认证

　　目前常见并十分有效的方法是，在邮件传送代理（Mail Transport Agent，MTA）上对来自本地网络以外的互联网的发信用户进行SMTP认证，仅允许通过认证的用户进行远程转发。这样既能够有效避免邮件传送代理服务器为垃圾邮件发送者所利用，又为出差在外或在家工作的员工提供了便利。如果不采取SMTP认证，则在不牺牲安全的前提下，设立面向互联网的Web邮件网关也是可行的。此外，如果SMTP服务和POP3服务集成在同一服务器上，在用户试图发信之前对其进行POP3访问验证（POP before SMTP）就是一种更加安全的方法，但在应用的时候要考虑到当前支持这种认证方式的邮件客户端程序还不多。

　　（2）逆向名字解析

　　无论哪一种认证，其目的都是避免邮件传送代理服务器被垃圾邮件发送者所利用，但对于发送到本地的垃圾邮件仍然无可奈何。要解决这个问题，最简单有效的方法是对发送者的IP地址进行逆向名字解析。通过DNS查询来判断发送者的IP与其声称的名字是否一致，例如，其声称的名字为mx.hotmail.com，而其连接地址为20.200.200.200，与其DNS记录不符，则予以拒收。这种方法可以有效过滤掉来自动态IP的垃圾邮件，对于某些使用动态域名的发送者，也可以根据实际情况进行屏蔽。但是上面这种方法对于借助Open Relay的垃圾邮件依然无效。对此，更进一步的技术是假设合法的用户只使用本域具有合法互联网名称的邮件传送代理服务器发送电子邮件。例如，若发件人的邮件地址为someone@yahoo.com，则其使用的邮件传送代理服务器的Internet名字应具有yahoo.com 的后缀。这种限制并不符合SMTP协议，但在多数情况下是切实有效的。需要指出的是，逆向名字解析需要进行大量的DNS查询。

　　（3）实时黑名单过滤

　　以上介绍的防范措施对使用自身合法域名的垃圾邮件仍然无效。对此比较有效的方法就是使用黑名单服务了。黑名单服务是基于用户投诉和采样积累而建立的、由域名或IP组成的数据库，最著名的是RBL、DCC和Razor等，这些数据库保存了频繁发送垃圾邮件的主机名字或IP地址，供MTA进行实时查询以决定是否拒收相应的邮件。但是，目前各种黑名单数据库难以保证其正确性和及时性。例如，北美的RBL和DCC包含了我国大量的主机名字和IP地址，其中有些是早期的Open Relay造成的，有些则是由于误报造成的。但这些迟迟得不到纠正，在一定程度上阻碍了我国与北美地区的邮件联系，也妨碍了我国的用户使用这些黑名单服务。其中使用BRL认证过程见图1.

图1 使用BRL过滤垃圾邮件的过程

　　（4）内容过滤

　　即使使用了前面诸多环节中的技术，仍然会有相当一部分垃圾邮件漏网。对此情况，目前最有效的方法是基于邮件标题或正文的内容过滤。其中比较简单的方法是，结合内容扫描引擎，根据垃圾邮件的常用标题语、垃圾邮件受益者的姓名、电话号码、Web地址等信息进行过滤。更加复杂但同时更具智能性的方法是，基于贝叶斯概率理论的统计方法所进行的内容过滤，该算法最早由Paul Graham提出（http://www.paulgraham.com/spam.html），并使用他自己设计的Arc语言实现。这种方法的理论基础是通过对大量垃圾邮件中常见关键词进行分析后得出其分布的统计模型，并由此推算目标邮件是垃圾邮件的可能性。这种方法具有一定的自适应、自学习能力，目前已经得到了广泛的应用。最有名的垃圾邮件内容过滤是Spamassassin，它使用Perl语言实现，集成了以上两种过滤方法，可以与当前各种主流的MTA集成使用。内容过滤是以上所有各种方法中耗费计算资源最多的，在邮件流量较大的场合，需要配合高性能服务器使用。下面以RHEL 4.0为例，介绍上面几种技术应对安全隐患。
安装postfix

　　1、查询Sendmail是否安装：

　　＃rpm -qa |grep sendmail

　　2、强行卸载Sendmail

　　# rpm -e sen

　　dmail sendmail-cf sendmail-doc –nodeps

　　3、用以下命令杀死运行中的sendmail进程：

　　# kill all sendmail

　　4、下载安装Posfix

　　#wget ftp://ftp.midvalleyhosting.com/pub/postfix/official/postfix-2.1.4.t ar.gz /tmp

　　＃tar -vxf postfix-2.1.4.tar.gz

　　#cd postfix-2.1.4

　　5．编译源代码包

　　# make

　　6．建立一个新用户“postfix”，该用户必须具有唯一的用户ID号和组ID号，同时应该让该用户不能登录到系统，也即不为该用户指定可执行的登录外壳程序和可用的用户宿主目录。我们可以先用adduser postfix 添加用户再编辑/etc/passwd文件中的相关条目如下所示：

　　# useradd postfix

　　＃ postfix:*:12345:12345:postfix:/no/where:/no/shell

　　#groupadd postdrop

　　7．确定/etc/aliases文件中包含如下的条目：

　　# postfix: root

　　8．以root用户登录，在/tmp/ postfix目录下执行命令：

　　# ./INSTALL.sh

　　9.启动postfix

　　# postfix start

　　postfix的配置文件位于/etc/postfix下，这四个文件就是postfix最基本的配置文件，它们的区别在于：mail.cf：是postfix主要的配置文件。Install.cf：包含安装过程中安装程序产生的postfix初始化设置。　　　　　master.cf：是postfix的master进程的配置文件，该文件中的每一行都是用来配置postfix的组件进程的运行方式。postfix-script：包装了一些postfix命令，以便我们在linux环境中安全地执行这些postfix命令。

　　10、使用postfix本身规则拒收垃圾邮件：

　　1、使用头信息过滤邮件：

　　通常我们可以使用例如To、From、Subject等这样标准的邮件头来拒收垃圾邮件。在mail.cf中加入一行：header_checks = regexp:/etc/postfix/header_checks，它告诉postfix读取名为/etc/postfix/reject-headers的文件，因为缺省地，postfix不进行信头过滤。

　　格式是：regexp REJECT ；其中regexp是常规表达式，下面是一个标准的/etc/postfix/reject-headers文件其中一般以下包括内容：

　　/^To You @xoom\.com $/ REJECT

　　/^From mailer-daemon @myclient.com $ / REJECT

　　/^Subject: Make menoey fast / REJECT
　　以上三行分别说明：

　　1、拒收邮件头中包括字符串：You @xoom\.com 的邮件。

　　2、拒收来自mailer-daemon @myclient.com的邮件。

　　3、拒收邮件主题：包括Make menoey fast内容的邮件。

　　2、通过阻止IP地址或主机名方式访问邮件服务器来拒收邮件：

　　（1）在main.cf配置文件中使用以下行定义网络地址“

　　# mynetwork=192.168.1.0/24

　　表示除非客户端的ip地址符合$mynetworks参数定义的范围则接受该客户端的连接请求，才转发该邮件。

　　（2）添加一行拒绝本地网络以外的主机访问本地邮件服务器：

　　smtpd_client_restrictions = permit_mynetworks, reject_unknown_client

　　（3）在postfix中添加RBL功能

　　RBL（Realtime Blackhole List）是实时黑名单。国外有一些机构提供RBL服务，它们把收集到的专发垃圾邮件的IP地址加入他们的黑名单，我们只要在postfix中加入RBL认证功能，就会使我们的邮件服务器在每次收信时都自动到RBL服务器上去查实，如果信件来源于黑名单，则postfix会拒收邮件，从而少受垃圾邮件之苦。通常在mail.cf加入

　　map_rb1_domains=mail-abuse.org

　　smtp_client_restrictions=reject_map1_rb1

　　其中第一行设置需要联系得到的RBL列表的所有主机，接着设置需要进行应用的限制。然后存盘，从新启动postfix服务器。

　　国外比较有名的RBL是http//www.ordb.org，他们的RBL可免费使用，去年国内的http://anti-spam.org.cn也提供类似的服务，但它必须先注册才能使用免费。

　　另外垃圾邮件的防范必须掌握好尺度，postfix本身提供了header_check、body_check、access、classes等方式来拒绝邮件，可以参考如下地址的样例，结合自己的情况进行修改也能阻止一部分垃圾邮件：
　　http://www.securitysage.com/guides/postfix_uce_header.html
　　http://www.securitysage.com/guides/postfix_uce_body.html
　　http://www.securitysage.com/guides/postfix_uce_access.html
　　http://www.securitysage.com/guides/postfix_uce_class.html
　　不过以上配置文件需要管理员根据自己情况手工进行修改，如果直接采用的话，那么国内很多邮件你将收不到。

　　二、安装IMSS

　　趋势科技的IMSS（InterScan Messaging Security Suite）版整合了垃圾邮件防治服务SPS（Spam Prevention Solution）2.0版。一般来说，过滤服务器上的垃圾邮件主要采取如下两种方法：一是根据设置的规则直接拒收垃圾邮件；二是将邮件接收下来后再实施过滤。相比来看，前一种方法具有更高的效率，对邮件直接拒收，既节省网络带宽，又可减小服务器的性能开销。但是，这样做常常容易“殃及无辜”，使邮件用户丢失信件。后一种方法尽管效率不高，却可能减少出错的频率。如果服务器首先对接收下来的邮件进行有效分析，然后再交由用户进行选择，那么用户就不会为E-mail的无故丢失而烦恼。IMSS属于后者。
IMSS主要功能：

　　1. 利用数据库对比实现垃圾邮件过滤：提供被动式的垃圾邮件拦阻方式，利用建立垃圾邮件的黑名单数据库，根据来源的IP地址、网域，寄件人的电子邮件地址或是内容、标头所含的关键词等做为数据库的基础。再将寄达的电子邮件与这已知的垃圾邮件数据库比对，藉以判别是否为垃圾邮件然后再来做拦阻的动作

　　2. 智能型判断过滤垃圾邮件：提供启发式（Heuristic）扫描引擎，实现主动式的智能拦阻方式，根据邮件的多项特征，包括内容、标头、格式等来判断这封email会不会是封垃圾邮件，再来针对这封电子邮件做处理。可以用来辨识和监测已识别及未识别的新型垃圾邮件。

　　3. 支持弹性设定垃圾邮件过滤器规则：为了规避误判风险，当SPS检测出垃圾邮件之后，还会依照确信程度的不同分作四种等级，再依据设定进行“只做标记”、“隔离邮件”及“直接删除”操作。

　　4. 支持黑名单及白名单功能：支持黑名单（恶意邮件地址）及白名单（可信邮件地址）功能。可以针对邮件来源网域，寄件者甚至是电子邮件本身的关键词来做特别处理的动作。这项功能可以实现针对某些网域或是寄件者的信件设定规则，不仅要严加看管，必要情况下可以直接列入拒绝往来列表。

　　5. 实现与IMSS邮件病毒过滤网关集成：通过产品的深度集成，可以实现多种判别条件的组合，能够更准确、更高效地进行网关级的邮件过滤，更完善地保护企业内部网络资源。

　　6. 多平台支持（Windows 2000/2003、Linux、Unix）。

　　硬件配置：CPU：Intel Pentium III processor 1 GHz 以上处理器,Memory：1 GB RAM,Disk Space：最小 2 GB 硬盘空间.交换空间2GB。

　　1．修改/etc/postfix/main.cf中如下参数，更改为：

　　myhostname = trendmicro.com.cn

　　mydomain = trendmicro.com.cn

　　myorigin = trendmicro.com.cn

　　inet_interfaces＝all

　　mydestination = trendmicro.com.cn

　　local_recipient_maps =

　　/黑色域名部分请填写对应的domain name.

　　2．在 /var/spool/postfix目录下新建etc目录，并运行：

　　# cp /etc/resolv.conf /var/spool/postfix/etc/

　　3、下载安装IMSS 5.5

　　下载之前需要到软件官方网站，注册并且得到一个AC—CODE，您需要提供以上激活码以得到病毒码及其他安全补丁的下载.下载链接：http://www.trendmicro.com/ftp/products/interscan/imss55linux1064.tar.gz

　　将下载文件拷贝到一个临时目录/tmp中。

　　# tar vxf imss55linux1064.tar.gz

　　#make;make install

　　#./isinst

　　系统提供了一个交换式的命令行界面，安装中请选择支持postfix，并根据实际情况确定是否安装集中管理平台（TMCM）。安装结束系统提示可以打开Web管理的IP地址和端口号：见图2。

　　图2 IMSS 5.5 安装完成
　　4、命令行下的参数配置：

　　1、/etc/postfix/main.cf文件末尾添加如下内容：

　　default_process_limit=200

　　imss_timeout=10m

　　imss_connect_timeout=1s

　　content_filter = imss:localhost:10025

　　imss_destination_recipient_limit=200

　　imss_destination_concurrency_limit=20

　　2、在/etc/postfix/master.cf文件末尾添加以下内容：

　　#IMSS: content filter smtp transport "imss" for IMSS

　　imss unix - - n - - smtp

　　-o disable_dns_lookups=yes

　　-o smtp_connect_timeout=$imss_connect_timeout

　　-o smtp_data_done_timeout=$imss_timeout

　　#IMSS: content filter loop back smtpd

l　　ocalhost:10026 inet n - n - 20 smtpd

　　-o content_filter=

　　-o smtpd_timeout=$imss_timeout

　　-o local_recipient_maps=

　　-o myhostname=localhost.$mydomain

　　3． Relay 控制

　　a．允许Relay的Domain设置：

　　编辑/etc/postfix/main.cf文件，在如下位置添加允许的任意Relay的Domain，如：

　　relay_domains = 263.net

　　b．允许接受的Domain设置：

　　编辑/etc/postfix/main.cf文件，在如下位置添加允许接受的Domain

　　mydestination = trendmicro.com.cn

　　c．不受Relay限制的地址设置

编辑/etc/postfix/main.cf文件，在如下位置添加允许接受的Domain

mynetworks = 10.11.240.0/24, 127.0.0.1

　　说明：所谓Relay就是指别人能用这台SMTP邮件服务器，给任何人发信，这样别有用心的垃圾发送者可以使用笔者单位的这台邮件服务器大量发送垃圾邮件，而最后别人投诉的不是垃圾发送者，而是单位的服务器。

　　参数relay_domains & mydestination的主要区别在于：

　　Postfix会转发目的地符合 $relay_domains及其子域的邮件；

　　Postfix会接受目的地符合 $mydestination的邮件，并且在没有smart host的情况下尝试对这些域进行本地落地处理，因而，为了能正常的接受这些邮件，一定要对齐设置smart host；IMSS UNIX的Relay 控制界面设置中的域，即是$mydestination参数值，因而，一定要在IMSS的Domain-Based Delivery中做相应Deliver设置。

　　5、重新启动Postfix服务器：

　　#postfix start

　　重新让postfix读取更改后的配置只需运行“postfix reload”即可。

　　打开服务器的8081端口：

　　# iptables -A FORWARD -i eth0 -p tcp --dport 8081 -j ACCEPT

　　iptables -A FORWARD -i eth0 -p udp --dport 8081 -j ACCEPT

　　 6、启用Web方式管理：

　　服务器从新启动完毕，可以进行Web方式管理，开Web浏览器中输入：http://yourip:8081/IMSS.html或者http://yourhost:8445/IMSS.html 即可。第一次进入Web界面时系统提示输入密码，此时密码是空的，可以直接用鼠标点击“Enter”键进入Web管理界面后，马上设定管理员密码。见图3。

图－3 首次登陆界面

　　点击“Policy Manager”选项，下面就可以制定自己的邮件服务器邮件管理策略，见图4。

图－4 基于Web方式的IMSS 5.5的邮件管理策略界面
　　5 、软件升级

　　可以采取两种方法Web方式和命令行，这里笔者喜欢在命令行下操作：

　　下载升级布丁，链接：http://www.trendmicro.com/ftp/products/ patches/isem522-imss55-linux-patch1.tar.gz

　　＃mv isem522-imss55-linux-patch1.tar.gz /tmp

　　#cd /tmp

　　#gunzip isem522-imss55-linux-patch1.tar.gz

　　#./patchinstall install

　　软件升级过程中IMSS5.5服务将暂时中止，升级后系统会自动启动IMSS 5.5服务。见图－5。

图5 升级IMSS数据库

　　三、使用专用工具防止垃圾邮件

　　还可以利用其他的专用工具来防止垃圾邮件，比较著名的有由Matt Sergeant、Craig Hughes和Justin Mason于发布的SpamAssassin（SA）。目前最新版本是3.0.2，它是较为流行的反垃圾邮件软件，据SpamAssassin供应商 Deersoft的统计，目前大约有3万台Unix服务器上使用了SpamAssassin。SpamAssassin利用Perl语言来对邮件内容进行规则匹配，从而达到判断过滤垃圾邮件的目的。它的判断方式是基于评分的方式，也就是说如果这封邮件符合某条规则，则给与一定分值；当累计的分值超过了一定限度时，则判定该邮件为垃圾邮件。对Sendmail、Qmail、Postfix和Exim等各种邮件平台都适用。当它被最终用户或系统管理员调用时，它可以方便地与大多数流行的邮件处理系统进行接口互连。SpamAssassin在对一封信件应用了各项规则之后，生成一个分值来表示其为垃圾邮件的可能性。它可以设置上百条规则，包括对邮件头的处理、对邮件内容的处理及对邮件结构的处理等。每条规则都对应一个分值（可正、可负），每封信件的分值就是所匹配规则的分值之和。如果分值为负，表示这封信件是正常的；相反，如果分值为正，则表示信件有问题。如果超过了某个默认的分值，过滤器就会标识其可能为垃圾邮件，然后交由用户做出最终抉择。SpamAssassin的安装过程比较简单。启动SpamAssassin服务器：

　　# service spamassassin start （启动SpamAssassin服务器）

　　Starting spamd:[ 确定 ]

　　配置过程：

　　SpamAssassin预设了许多默认规则，可以在/usr/share/spamassassin下找到，用户想添加自己的规则，可以配置通过/etc/mail/spamassassin/local.cf文件实现。要在其中添加白名单（即可以确信不会发送垃圾邮件的发件人列表）。设置代码如下：

　　whitelist_from_rcvd people@basic.com

　　whitelist_from_rcvd @ people.com

　　以上两条规则将people@basic.com 邮箱和@ people.com 整个域加入了白名单。下面还要把SpamAssassin与Sendmail（此处以Postfix为例、Qmail略有不同）整合在一起。最简单的方法是使用procmail来调用SpamAssassin过滤器。procmail来调用SpamAssassin的过程见图6。

　　图6 procmail来调用SpamAssassin的过程
　　添加以下内容到/etc/procmailrc文件：

:0fw

| /usr/bin/spamassassin

：0

* X-Spam-Status: Yes

spam

　　如果希望SpamAssassin不检查大邮件，可以对其做出限制，添加一行：

:0fw * < 1000000 | /usr/bin/spamassassin

　　这段代码表示把邮件检查的大小限制在1000K字节以内。SpamAssassin还提供了一个专门的spamd后台守护程序，可以设置为系统启动时自动启动它。在Mail-SpamAssassin-3.-0.2/spamd/下有一个redhat-rc-script.sh脚本，将此脚本放入Red Hat的启动目录/etc/rc.d/init.d/下即可。同时，还需要对/etc/procmailrc文件做如下修改：

:0fw

| /usr/bin/spamc -s 100000

　　这样就可以通过控制spamd进程来调整过滤器的运行状态。配置完成后，可以发邮件进行测试。如果看到在邮件头出现与spam检查相关的几项内容，表示SpamAssassin已经开始发挥作用。

　　除了设置内部的规则之外，SpamAssassin也可以访问其它外部的垃圾邮件过滤规则集，这样可以进一步增强其适用性。Chinese_rules.cf是用于垃圾邮件过滤系统SpamAssassin的中文垃圾邮件过滤规则集。由于以前没有中文的过滤规则集，SpamAssassin对中文邮件过滤的准确性不高。CCERT反垃圾邮件研究小组推出了第一个基于SpamAssassin的中文垃圾邮件过滤规则集Chinese_rules.cf。该规则集每周更新一次。把Chinese_rules.cf复制到/usr/share/spamassassin配置文档中的命令：

# wget -N -P /usr/share/spamassassin www.ccert.edu.cn/spam/sa/Chinese_rules.cf

　　自动更新：

　　CCERT每周更新一次规则集，更新使用CCERT反垃圾邮件服务在6个月内处理过的垃圾邮件为样本。经常更新Chinese_rules.cf会使过滤效果更好。

　　Linux有一个称为crond的守护程序，主要功能是周期性地检查 /var/spool/cron目录下的一组命令文件的内容，并在设定的时间执行这些文件中的命令。用户可以通过crontab 命令来建立、修改、删除这些命令文件。例如用 crontab命令实现每周一08:35自动更新：

　　首先建立一个文件，文件名称myproject(名称自己设定)：

＃crontab －e

　　文件内容：

　　35 08 * * 1 wget -N -P /usr/share/spamassassin 　　www.ccert.edu.cn/spam/sa/Chinese_rules.cf; /etc/init.d/init-script restart 用vi编辑后存盘退出。

　　（3）使用 crontab命令添加到任务列表中：

　　＃crontab myproject

　　这样Linux服务器会在每星期一的8点35分会自动下载Chinese_rules.cf更新规则。

　　SpamAssassin使用基于规则的垃圾邮件过滤技术，比分布式黑名单运行得更快，因为分布式黑名单需要查询网络服务器。对大多数用户而言，它能捕捉几乎所有的垃圾邮件，而不需要隔离合法邮件。实际上它还提供了无限的调整和定制选项。

　　四、其他措施

　　1.隐藏邮件服务器IP地址

　　如果网络中有专门发送邮件的中央邮件服务器，为许多主机提供访问，那么必须隐藏邮件地址的主机名部分，（以postfix邮件服务器为例）例如一条名为：pc-jok.cao.com的主机上有一个jok用户那么它的邮件名称是：jok@pc-jok.cao.com main.cf加入两行：

masquerade_domain=$mydomian

masquerade_exceptions=root

　　第一行通知postfix邮件服务器对所在德域允许地址化装，通过$mydomian变量完成，这样jok@pc-jok.cao.com变为jok@cao.com，第二行将root用户排除，即不对root用户伪装。

　　 2.防范DOS攻击：

　　DOS（拒绝服务攻击）一段时间以来成为许多单位邮件服务器的最大杀手。对于邮件服务器的拒绝服务攻击原理很简单，就是不断地向邮件服务器发送大量的邮件，直到超过最大容量而崩溃为止。拒绝服务攻击有时并非有针对性的黑客行为，现在的病毒常常会利用自身的SMTP引擎，向感染电脑里的存在的地址狂发大量邮件。如果中小企业认为自己的公司小，不会成为攻击目标，这种想法已经不现实了。对于中小企业来说，要预防DOS攻击比大型企业要容易，因为小型企业往往不会有太多的邮件来往，我们可以根据业务量的大小，限制每个连接的邮件数，以及每封邮件的收件人数。这样，用户对于DOS攻击就可以做到尽早地发现并采取措施，而不会等到服务器崩溃的时候才发现被人实施了DOS攻击。步骤如下：

　　2. 限制服务器使用的进程数目

　　可以通过指定/etc/postfix/main.cf文件的下列参数来控制使用的并发进程总量：

　　default_process_limit = 50

　　这样服务器被允许同时允许60个并发进程（例如smtp客户端、smtp服务器端和本地分发）。如果希望增加同时接受1000条信息，可以修改 /etc/postfix/ master.cf文件，使smtp服务的最大进程达到1000,如下所示：

#=============================================================

# service type private unpriv chroot wakeup maxproc command + args

# (yes) (yes) (yes) (never) (60)

# ===========================================

smtp inet n - n - 1000 smtpd

　　3.控制最大邮件尺寸

可以修改/etc/postfix/main.cf如下参数控制邮件尺寸

message_size_limit = 1073741824

这样服务器可以处理最大邮件尺寸是1073741824字节 (10兆).

　　4. 控制同时发送一个远程服务器的邮件数量

同时向远程服务器发送太多SMTP连接是不合理的，也是危险的（可能会被认为是
发送垃圾邮件）。一些大的ISP站点（AOL、 Yahoo!、 Hotmail）通常要求优
化等到许可才能使用发送并发连接。Postfix 也能通过下面参数设定一个站点的最
大并发连接数量：

default_destination_concurrency_limit = 20

这样使到达单一站点的并发连接数量不能超过20个。

　　5.安装防病毒软件：

F-Prot Antivirus软件包安装和配置过程：软件包格式： fp-linux-ws.rpm

软件包的大小（KB）：3970KB，下载地址：
http://files.f-prot.com/files/linux-x86/fp-linux-ws.rpm

安装F-Prot Antivirus软件包前，请先启动SpamAssassin服务器：

Wget http://files.f-prot.com/files/linux-x86/fp-linux-ws.rpm

Wget －ivh fp-linux-ws.rpm

升级的F-Prot Antivirus病毒库的操作：

# cd /usr/local/f-prot/tools/

# ./check-updates.pl （升级命令）

***************************************

* F-Prot Antivirus Updater *

***************************************

Nothing to be done...

　　总结：Postfix是目前比较流行的，拥有相当好的安全性和高效率的邮件系统。
Postfix自身带了很多反垃圾邮件的功能可以阻止一部

network 2008-07-09 16:22 发表评论

RAR for linux 命令详解

network — Sun, 29 Jun 2008 12:18:00 GMT

命令格式： rar - - <@listfiles...>

a 向压缩包中添加文件

c 添加压缩注释

cf 添加文件注释

cw 向文件中写压缩注释

d 从压缩包中删除文件

e 在当前目录下解压缩文件

f 刷新压缩文件中的文件

i[par]= 在压缩包中查找指定字符串

k 锁住压缩包

l[t,b] 列出压缩包的内容[t(technical)详细列表，b(bare)简单列表]

m[f] 向压缩包里移动内容[f(files only)只移动文件]

p 在标准输出上打印文件内容

r 修复压缩包

rc 修复丢失卷

rn 重命名压缩的文件

rr[N] 添加数据恢复记录

rv[N] 创建恢复卷

s[name|-] 将压缩包转换为自解压文件，或从自解压文件转换为压缩包

t 测试压缩文件

u 更新压缩包中的文件

v[t,b] 列出压缩包中文件(冗长型)[t(technical)详细列表，b(bare)简单列表]

x 以全路径方式解压文件

- 停止switches扫描

ad 在目的路径后添加压缩文件名

ag[format] 用当前日期生成压缩文件名

ap 设置压缩包内部的路径

as 同步压缩内容

av 设置授权认证(注册版功能)

av- 禁用授权认证检查

c- 禁止内容显示

cfg- 不读取设置

cl 将名称转换为小写

cu 将名称转换为大写

df 在压缩完成后删除源文件

dh 打开共享文件

ds 对于固实压缩包，禁用名称排序

e 设置文件不包含的属性

ed 不添加空目录

en 不设置‘压缩文件尾标志’块

ep 在名称中去掉路径

ep1 在名称中去掉基本路径

ep2 展开全路径

f 刷新文件

hp[password] 对文件数据和文件头都进行加密

idp 禁用百分比显示

ierr 给标准错误输出发送所有信息

ilog[name] 生成错误日志文件(注册版功能)

inul 禁用所有信息

isnd 启用声效

k 锁住压缩包

kb 保留破损的解压文件

m<0..5> 设置压缩率(0-存储...3-默认...5-最大)

mc 设置高级压缩参数

md 以KB显示大小(64,128,256,512,1024,2048,4096 或者A-G)

ms[ext;ext] 指定存储的文件类型

o+ 覆盖已存在文件

o- 不覆盖已存在文件

ol 将符号链接保存为链接而不是文件

ow 保存或恢复文件属主/组

p[password] 设置密码

p- 不查询密码

r 对子目录内容循环

r0 只对通配符进行子目录内容循环

rr[N] 添加数据恢复记录

rv[N] 创建恢复卷

s[,v[-],e] 创建固实压缩包

s- 禁用固实压缩

sfx[name] 创建自解压压缩包

t 压缩后进行解压测试

ta 处理在(YYYYMMDDHHMMSS格式)日期后修改的文件

tb 处理在(YYYYMMDDHHMMSS格式)日期前修改的文件

tk 保留初始压缩时间

tl 设置压缩时间为最新文件的时间

tn 处理在时间后修改的文件

to 处理在时间前修改的文件

ts[N] 保存或恢复文件时间(修改，创建，访问)

u 更新文件

v 以自动分卷大小分卷压缩，或列出所有分卷

v[k,b] 以*1000大小分卷压缩[k-*1024, b-*1]

ver[n] 文件版本控制

vn 使用旧的分卷命名方式

vp 每次分卷前暂停

w 设置工作目录

x 排除指定文件

x@ 从标准输入中读取要排除的文件名

x@ 排除列表文件中指定的文件

y 对所有问题均回复yes

z 从文件中读取压缩包内容

============================================

查看压缩包中的文件

$rar l XXX.rar 或者 $rar v XXX.rar

查看压缩包中的文件(只看有什么文件)

$rar lb XXX.rar 或者 $rar vb XXX.rar

查看压缩包中的文件(详细信息)

$rar lt XXX.rar 或者 $rar vt XXX.rar

============================================

把压缩包的内容解压到当前目录

$rar e XXX.rar

把压缩包的内容解压到指定目录，比如/home/yxd/tmp/下面

$rar e XXX.rar /home/yxd/tmp/

把压缩包解的内容压到指定目录，比如/home/yxd/tmp/下面，包含压缩包中的路径

$rar x XXX.rar /home/yxd/tmp/

============================================

压缩指定的一个文件，比如aaa，以默认压缩率

$rar a XXX.rar aaa

压缩指定的一个文件，比如aaa，以最大压缩率

$rar a -m5 XXX.rar aaa

压缩指定的一个目录下的所有文件，比如ddd目录下的所有文件

$rar a XXX.rar ddd/

压缩指定的一个目录下的所有文件，比如ddd目录下的所有文件和所有子目录

$rar a -r XXX.rar ddd/

压缩指定的一个目录下的所有文件，比如ddd目录下的所有文件和所有子目录，但是不包含空目录

$rar a -r -ed XXX.rar ddd/

压缩指定的一个目录下的所有文件，比如ddd目录，连目录也一起压缩，包括子目录

$rar a XXX.rar ddd

============================================

分卷压缩指定的一个文件，比如aaa，分卷大小为5000B

$rar a -v5 XXX.rar aaa

分卷压缩指定的一个文件，比如aaa，分卷大小为5k(5*1024B)

$rar a -v5k XXX.rar aaa

分卷压缩指定的一个文件，比如aaa，分卷大小为5B

$rar a -v5b XXX.rar aaa

============================================

压缩指定文件并加密

rar a -p xxx.rar aaaa

给压缩文件加注解

rar c xxx.rar // 以 Ctrl + d 结束

network 2008-06-29 20:18 发表评论

linux下的rar安装

network — Sun, 29 Jun 2008 12:16:00 GMT

1。下载rarlinux-3.7.b1.tar.gz —— rar的Linux版本。

地址：http://www.skycn.com/soft/3455.html

如果在Linux上可以使用wget下载文件。

2。上传到Liux服务器。

3。解压安装包：

# tar xvfz rarlinux-3.7.b1.tar.gz

# cd rar
# make
#make install
这样就行了。我以为还有什么配置文件还要启动呢都不用安装好的就行了就可以用rar这个命令了
很简单吧不过如果遇到

# rar x cussbak.rar cussbak/

rar: /lib/tls/libc.so.6: version `GLIBC_2.4' not found (required by rar)这样的问题

需要GLIBC_2.4。如果没有GLIBC_2.4可以

# cp ./rar/rar_static /usr/local/bin/rar

rar_static 版是 static linking 版本，不会有 glibc 程式库版本不和的问题。

恩这样就行了下面就是一些关于rar在linux里的命令了

network 2008-06-29 20:16 发表评论

深入理解软件包的配置

network — Sun, 29 Jun 2008 03:06:00 GMT

深入理解软件包的配置、编译与安装(转)

作者：金步国

前言

从源代码安装过软件的朋友一定对 ./configure && make && make install 安装三步曲非常熟悉了。然而究竟这个过程中的每一步幕后都发生了些什么呢？本文将带领你一探究竟。深入理解这个过程将有助于你在LFS的基础上玩出自己的花样来。不过需要说明的是本文对 Makefile 和 make 的讲解是相当近视和粗浅的，但是对于理解安装过程来说足够了。

概述

用一句话来解释这个过程就是：

根据源码包中 Makefile.in 文件的指示，configure 脚本检查当前的系统环境和配置选项，在当前目录中生成 Makefile 文件(还有其它本文无需关心的文件)，然后 make 程序就按照当前目录中的 Makefile 文件的指示将源代码编译为二进制文件，最后将这些二进制文件移动(即安装)到指定的地方(仍然按照 Makefile 文件的指示)。

由此可见 Makefile 文件是幕后的核心。要深入理解安装过程，必须首先对 Makefile 文件有充分的了解。本文将首先讲述 Makefile 与 make ，然后再讲述 configure 脚本。并且在讲述这两部分内容时，提供了尽可能详细的、可以运用于实践的参考资料。
Makefile 与 make

用一句话来概括Makefile 与 make 的关系就是：
Makefile 包含了所有的规则和目标，而 make 则是为了完成目标而去解释 Makefile 规则的工具。
make 语法

首先看看 make 的命令行语法：

make [options] [targets] [VAR=VALUE]...

[options]是命令行选项，可以用 make --help 命令查看全部，[VAR=VALUE]是在命令行上指定环境变量，这两个大家都很熟悉，将在稍后详细讲解。而[targets]是什么呢？字面的意思是"目标"，也就是希望本次 make 命令所完成的任务。凭经验猜测，这个[targets]大概可以用"ckeck","install"之类(也就是常见的测试和安装命令)。但是它到底是个啥玩意儿？不带任何"目标"的 make 命令是什么意思？为什么在安装 LFS 工具链中的 Perl-5.8.8 软件包时会出现"make perl utilities"这样怪异的命令？要回答这些问题必须首先理解 Makefile 文件中的"规则"。
Makefile 规则

Makefile 规则包含了文件之间的依赖关系和更新此规则目标所需要的命令。

一个简单的 Makefile 规则是这样写的：
TARGET : PREREQUISITES
COMMAND
TARGET
规则的目标。也就是可以被 make 使用的"目标"。有些目标可以没有依赖而只有动作(命令行)，比如"clean"，通常仅仅定义一系列删除中间文件的命令。同样，有些目标可以没有动作而只有依赖，比如"all"，通常仅仅用作"终极目标"。
PREREQUISITES
规则的依赖。通常一个目标依赖于一个或者多个文件。
COMMAND
规则的命令行。一个规则可以有零个或多个命令行。

OK! 现在你明白[targets]是什么了，原来它们来自于 Makefile 文件中一条条规则的目标(TARGET)。另外，Makefile文件中第一条规则的目标被称为"终极目标"，也就是你省略[targets]参数时的目标(通常为"all")。

当你查看一个实际的 Makefile 文件时，你会发现有些规则非常复杂，但是它都符合规则的基本格式。此外，Makefile 文件中通常还包含了除规则以外的其它很多东西，不过本文只关心其中的变量。
Makefile 变量

Makefile 中的"变量"更像是 C 语言中的宏，代表一个文本字符串(变量的值)，可以用于规则的任何部分。变量的定义很简单：VAR=VALUE；变量的引用也很简单：$(VAR) 或者 ${VAR}。变量引用的展开过程是严格的文本替换过程，就是说变量值的字符串被精确的展开在变量被引用的地方。比如，若定义：VAR=c，那么，"$(VAR) $(VAR)-$(VAR) VAR.$(VAR)"将被展开为"c c-c VAR.c"。

虽然在 Makefile 中可以直接使用系统的环境变量，但是也可以通过在 Makefile 中定义同名变量来"遮盖"系统的环境变量。另一方面，我们可以在调用 make 时使用 -e 参数强制使系统中的环境变量覆盖 Makefile 中的同名变量，除此之外，在调用 make 的命令行上使用 VAR=VALUE 格式指定的环境变量也可以覆盖 Makefile 中的同名变量。
Makefile 实例

下面看一个简单的、实际的Makefile文件：
CC=gcc
CPPFLAGS=
CFLAGS=-O2 -pipe
LDFLAGS=-s
PREFIX=/usr

all : prog1 prog2

prog1 : prog1.o
$(CC) $(LDFLAGS) -o prog1 prog1.o

prog1.o : prog1.c
$(CC) -c $(CFLAGS) prog1.c

prog2 : prog2.o
$(CC) $(CFLAGS) $(LDFLAGS) -o prog2 prog2.o

prog2.o : prog2.c
$(CC) -c $(CPPFLAGS) $(CFLAGS) prog2.c

clean :
rm -f *.{o,a} prog{1,2}

install : prog1 prog2
if ( test ! -d $(PREFIX)/bin ) ; then mkdir -p $(PREFIX)/bin ; fi
cp -f prog1 $(PREFIX)/bin/prog1
cp -f prog2 $(PREFIX)/bin/prog2

check test : prog1 prog2
prog1 < sample1.ref > sample1.rz
prog1 < sample2.ref > sample3.rz
cmp sample1.ok sample1.rz
cmp sample2.ok sample2.rz

从中可以看出，make 与 make all 以及 make prog1 prog2 三条命令其实是等价的。而常用的 make check 和 make install 也找到了归属。同时我们也看到了 Makefile 中的各种变量是如何影响编译的。针对这个特定的 Makefile ，你甚至可以省略安装三步曲中的 make 命令而直接使用 make install 进行安装。

同样，为了使用自定义的编译参数编译 prog2 ，我们可以使用 make prog2 CFLAGS="-O3 -march=athlon64" 或 CFLAGS="-O3 -march=athlon64" && make -e prog2 命令达到此目的。
Makefile 惯例

下面是Makefile中一些约定俗成的目标名称及其含义：
all
编译整个软件包，但不重建任何文档。一般此目标作为默认的终极目标。此目标一般对所有源程序的编译和连接使用"-g"选项，以使最终的可执行程序中包含调试信息。可使用 strip 程序去掉这些调试符号。
clean
清除当前目录下在 make 过程中产生的文件。它不能删除软件包的配置文件，也不能删除 build 时创建的那些文件。
distclean
类似于"clean"，但增加删除当前目录下的的配置文件、build 过程产生的文件。
info
产生必要的 Info 文档。
check 或 test
完成所有的自检功能。在执行检查之前，应确保所有程序已经被创建(但可以尚未安装)。为了进行测试，需要实现在程序没有安装的情况下被执行的测试命令。
install
完成程序的编译并将最终的可执行程序、库文件等拷贝到指定的目录。此种安装一般不对可执行程序进行 strip 操作。
install-strip
和"install"类似，但是会对复制到安装目录下的可执行文件进行 strip 操作。
uninstall
删除所有由"install"安装的文件。
installcheck
执行安装检查。在执行安装检查之前，需要确保所有程序已经被创建并且被安装。
installdirs
创建安装目录及其子目录。它不能更改软件的编译目录，而仅仅是创建程序的安装目录。

下面是 Makefile 中一些约定俗成的变量名称及其含义：

这些约定俗成的变量分为三类。第一类代表可执行程序的名字，例如 CC 代表编译器这个可执行程序；第二类代表程序使用的参数(多个参数使用空格分开)，例如 CFLAGS 代表编译器执行时使用的参数(一种怪异的做法是直接在 CC 中包含参数)；第三类代表安装目录，例如 prefix 等等，含义简单，下面只列出它们的默认值。
AR   函数库打包程序，可创建静态库.a文档。默认是"ar"。
AS   汇编程序。默认是"as"。
CC   C编译程序。默认是"cc"。
CXX C++编译程序。默认是"g++"。
CPP C/C++预处理器。默认是"$(CC) -E"。
FC   Fortran编译器。默认是"f77"。
PC   Pascal语言编译器。默认是"pc"。
YACC Yacc文法分析器。默认是"yacc"。

ARFLAGS     函数库打包程序的命令行参数。默认值是"rv"。
ASFLAGS     汇编程序的命令行参数。
CFLAGS      C编译程序的命令行参数。
CXXFLAGS    C++编译程序的命令行参数。
CPPFLAGS    C/C++预处理器的命令行参数。
FFLAGS      Fortran编译器的命令行参数。
PFLAGS      Pascal编译器的命令行参数。
YFLAGS      Yacc文法分析器的命令行参数。
LDFLAGS     链接器的命令行参数。

prefix      /usr/local
exec_prefix $(prefix)
bindir      $(exec_prefix)/bin
sbindir     $(exec_prefix)/sbin
libexecdir $(exec_prefix)/libexec
datadir     $(prefix)/share
sysconfdir $(prefix)/etc
sharedstatedir $(prefix)/com
localstatedir $(prefix)/var
libdir      $(exec_prefix)/lib
infodir     $(prefix)/info
includedir $(prefix)/include
oldincludedir $(prefix)/include
mandir      $(prefix)/man
srcdir      需要编译的源文件所在的目录，无默认值
make 选项

最后说说 make 的命令行选项(以Make-3.81版本为准)：
-B, --always-make
无条件的重建所有规则的目标，而不是根据规则的依赖关系决定是否重建某些目标文件。
-C DIR, --directory=DIR
在做任何动作之前先切换工作目录到 DIR ，然后再执行 make 程序。
-d
在 make 执行过程中打印出所有的调试信息。包括：make 认为那些文件需要重建；那些文件需要比较它们的最后修改时间、比较的结果；重建目标所要执行的命令；使用的隐含规则等。使用该选项我们可以看到 make 构造依赖关系链、重建目标过程的所有信息，它等效于"-debug=a"。
--debug=FLAGS
在 make 执行过程中打印出调试信息。FLAGS 用于控制调试信息级别：
a
输出所有类型的调试信息
b
输出基本调试信息。包括：那些目标过期、是否重建成功过期目标文件。
v
除 b 级别以外还包括：解析的 makefile 文件名，不需要重建文件等。
i
除 b 级别以外还包括：所有使用到的隐含规则描述。
j
输出所有执行命令的子进程，包括命令执行的 PID 等。
m
输出 make 读取、更新、执行 makefile 的信息。
-e, --environment-overrides
使用系统环境变量的定义覆盖 Makefile 中的同名变量定义。
-f FILE, --file=FILE, --makefile=FILE
将 FILE 指定为 Makefile 文件。
-h, --help
打印帮助信息。
-i, --ignore-errors
忽略规则命令执行过程中的错误。
-I DIR, --include-dir=DIR
指定包含 Makefile 文件的搜索目录。使用多个"-I"指定目录时，搜索目录按照指定顺序进行。
-j [N], --jobs[=N]
指定并行执行的命令数目。在没有指定"-j"参数的情况下，执行的命令数目将是系统允许的最大可能数目。
-k, --keep-going
遇见命令执行错误时不终止 make 的执行，也就是尽可能执行所有的命令，直到出现致命错误才终止。
-l [N], --load-average[=N], --max-load[=N]
如果系统负荷超过 LOAD(浮点数)，不再启动新任务。
-L, --check-symlink-times
同时考察符号连接的时间戳和它所指向的目标文件的时间戳，以两者中较晚的时间戳为准。
-n, --just-print, --dry-run, --recon
只打印出所要执行的命令，但并不实际执行命令。
-o FILE, --old-file=FILE, --assume-old=FILE
即使相对于它的依赖已经过期也不重建 FILE 文件；同时也不重建依赖于此文件任何文件。
-p, --print-data-base
命令执行之前，打印出 make 读取的 Makefile 的所有数据（包括规则和变量的值），同时打印出 make 的版本信息。如果只需要打印这些数据信息，可以使用 make -qp 命令。查看 make 执行前的预设规则和变量，可使用命令 make –p -f /dev/null 。
-q, --question
"询问模式"。不运行任何命令，并且无输出，只是返回一个查询状态。返回状态为 0 表示没有目标需要重建，1 表示存在需要重建的目标，2 表示有错误发生。
-r, --no-builtin-rules
取消所有内嵌的隐含规则，不过你可以在 Makefile 中使用模式规则来定义规则。同时还会取消所有支持后追规则的隐含后缀列表，同样我们也可以在 Makefile 中使用".SUFFIXES"定义我们自己的后缀规则。此选项不会取消 make 内嵌的隐含变量。
-R, --no-builtin-variables
取消 make 内嵌的隐含变量，不过我们可以在 Makefile 中明确定义某些变量。注意，此选项同时打开了"-r"选项。因为隐含规则是以内嵌的隐含变量为基础的。
-s, --silent, --quiet
不显示所执行的命令。
-S, --no-keep-going, --stop
取消"-k"选项。在递归的 make 过程中子 make 通过 MAKEFLAGS 变量继承了上层的命令行选项。我们可以在子 make 中使用"-S"选项取消上层传递的"-k"选项，或者取消系统环境变量 MAKEFLAGS 中的"-k"选项。
-t, --touch
更新所有目标文件的时间戳到当前系统时间。防止 make 对所有过时目标文件的重建。
-v, --version
打印版本信息。
-w, --print-directory
在 make 进入一个目录之前打印工作目录。使用"-C"选项时默认打开这个选项。
--no-print-directory
取消"-w"选项。可以是用在递归的 make 调用过程中，取消"-C"参数将默认打开"-w"。
-W FILE, --what-if=FILE, --new-file=FILE, --assume-new=FILE
设定 FILE 文件的时间戳为当前时间，但不改变文件实际的最后修改时间。此选项主要是为实现了对所有依赖于 FILE 文件的目标的强制重建。
--warn-undefined-variables
在发现 Makefile 中存在对未定义的变量进行引用时给出告警信息。此功能可以帮助我们调试一个存在多级套嵌变量引用的复杂 Makefile 。但是：我们建议在书写 Makefile 时尽量避免超过三级以上的变量套嵌引用。
configure

此阶段的主要目的是生成 Makefile 文件，是最关键的运筹帷幄阶段，基本上所有可以对安装过程进行的个性化调整都集中在这一步。

configure 脚本能够对 Makefile 中的哪些内容产生影响呢？基本上可以这么说：所有内容，包括本文最关心的 Makefile 规则与 Makefile 变量。那么又是哪些因素影响着最终生成的 Makefile 文件呢？答曰：系统环境和配置选项。

配置选项的影响是显而易见的。但是"系统环境"的概念却很宽泛，包含很多方面内容，不过我们这里只关心环境变量，具体说来就是将来会在 Makefile 中使用到的环境变量以及与 Makefile 中的变量同名的环境变量。
通用 configure 语法

在进一步讲述之前，先看看 configure 脚本的语法，一般有两种：

configure [OPTIONS] [VAR=VALUE]...

configure [OPTIONS] [HOST]

不管是哪种语法，我们都可以用 configure --help 查看所有可用的[OPTIONS]，并且通常在结尾部分还能看到这个脚本所关心的环境变量有哪些。在本文中将对这两种语法进行合并，使用下面这种简化的语法：

configure [OPTIONS]

这种语法能够被所有的 configure 脚本所识别，同时也能通过设置环境变量和使用特定的[OPTIONS]完成上述两种语法的一切功能。
通用 configure 选项

虽然每个软件包的 configure 脚本千差万别，但是它们却都有一些共同的选项，也基本上都遵守相同的选项语法。
脚本自身选项
--help
显示帮助信息。
--version
显示版本信息。
--cache-file=FILE
在FILE文件中缓存测试结果(默认禁用)。
--no-create
configure脚本运行结束后不输出结果文件，常用于正式编译前的测试。
--quiet, --silent
不显示脚本工作期间输出的"checking ..."消息。
目录选项
--srcdir=DIR
源代码文件所在目录，默认为configure脚本所在目录或其父目录。
--prefix=PREFIX
体系无关文件的顶级安装目录PREFIX ，默认值一般是 /usr/local 或 /usr/local/pkgName
--exec-prefix=EPREFIX
体系相关文件的顶级安装目录EPREFIX ，默认值一般是 PREFIX
--bindir=DIR
用户可执行文件的存放目录DIR ，默认值一般是 EPREFIX/bin
--sbindir=DIR
系统管理员可执行目录DIR ，默认值一般是 EPREFIX/sbin
--libexecdir=DIR
程序可执行目录DIR ，默认值一般是 EPREFIX/libexec
--datadir=DIR
通用数据文件的安装目录DIR ，默认值一般是 PREFIX/share
--sysconfdir=DIR
只读的单一机器数据目录DIR ，默认值一般是 PREFIX/etc
--sharedstatedir=DIR
可写的体系无关数据目录DIR ，默认值一般是 PREFIX/com
--localstatedir=DIR
可写的单一机器数据目录DIR ，默认值一般是 PREFIX/var
--libdir=DIR
库文件的安装目录DIR ，默认值一般是 EPREFIX/lib
--includedir=DIR
C头文件目录DIR ，默认值一般是 PREFIX/include
--oldincludedir=DIR
非gcc的C头文件目录DIR ，默认值一般是 /usr/include
--infodir=DIR
Info文档的安装目录DIR ，默认值一般是 PREFIX/info
--mandir=DIR
Man文档的安装目录DIR ，默认值一般是 PREFIX/man
体系结构选项

玩交叉编译的朋友对这些选项已经很熟悉了，并且对于通常的交叉编译情况而言，HOST == BUILD != TARGET 。但是对于不使用交叉编译的朋友也不必担心，将它们三个都设为相同即可。
--host=HOST
运行工具链的机器，默认是 config.guess 脚本的输出结果。
--build=BUILD
用来建立工具链的机器，默认值是 HOST
--target=TARGET
工具链所生成的二进制代码最终运行的机器，默认值是 HOST
特性选项
--enable-FEATURE
启用FEATURE特性
--disable-FEATURE
禁用FEATURE特性
--with-PACKAGE[=DIR]
启用附加软件包PACKAGE，亦可同时指定PACKAGE所在目录DIR
--without-PACKAGE
禁用附加软件包PACKAGE
通用环境变量

除了上述通用的选项外，下列环境变量影响着最终生成的 Makefile 文件：
CPP
C预处理器命令
CXXCPP
C++预处理器命令
CPPFLAGS
C/C++预处理器命令行参数
CC
C编译器命令
CFLAGS
C编译器命令行参数
CXX
C++编译器命令
CXXFLAGS
C++编译器命令行参数
LDFLAGS
连接器命令行参数

至于设置这些环境变量的方法，你可以将它们 export 为全局变量在全局范围内使用，也可以在命令行上使用 [VAR=VALUE]... configure [OPTIONS] 的语法局部使用。此处就不详细描述了。

看完上述内容以后，不用多说你应当自然而然的明白该进行如何对自己的软件包进行定制安装了。祝你好运

network 2008-06-29 11:06 发表评论

dhcp install

network — Tue, 17 Jun 2008 16:37:00 GMT

下载最新的dhcp***.tar.gz

cp dhpc***.tar.gz /tmp
   tar xvzf dhcp***.tar.gz
   cd dhcp***
   ./configure

   make
   make install

   cp server/dhcpd.conf /etc/

   /etc/init.d/dhcdbd start

开机启动
chkconfig --add dhcdbd
  chkconfig --level 2345 dhcdbd on

设置单域dhcp

vi /etc/dhcpd.conf

#option domain-name "example";

ddns-update-style ad-hoc

option domain-name-servers 192.168.1.1;

default-lease-time 600;

   max-lease-time 7200;

authoritative;

subnet 192.168.1.0 netmask 255.255.255.0 {
            range 192.168.1.10 192.168.1.200;
            option routers 192.168.1.254;
   }

更多配置,请查看dhcpd.conf

  还有一个要注意的地方,

那就是以tar安装的包..在/tmp/dhcp***/server/dhcpd.leases.5中有个说明,
需要一个DHCP Client database

dhcpd.leases - DHCP client lease database

有这样一段

hen dhcpd is first installed, there is no lease database.   However,
dhcpd requires that a lease database be present before it will start.
To make the initial lease database, just create an empty file called
DBDIR/dhcpd.leases.   You can do this with:
.PP
.nf
        touch DBDIR/dhcpd.leases

所以在启动服务前最好在

/var/state/dhcp/ 目录下面新建一个dhcpd.leases

touch /var/state/dhcp/dhcpd.leases

另在/tmp/dhcp***/README 中找到一段在LINUX下安装DHCP服务器的说明
如下:
LINUX: BROADCAST

If you are running a recent version of Linux, this won't be a problem,
but on older versions of Linux (kernel versions prior to 2.2), there
is a potential problem with the broadcast address being sent
incorrectly.

In order for dhcpd to work correctly with picky DHCP clients (e.g.,
Windows 95), it must be able to send packets with an IP destination
address of 255.255.255.255. Unfortunately, Linux changes an IP
destination of 255.255.255.255 into the local subnet broadcast address
(here, that's 192.5.5.223).

This isn't generally a problem on Linux 2.2 and later kernels, since
we completely bypass the Linux IP stack, but on old versions of Linux
2.1 and all versions of Linux prior to 2.1, it is a problem - pickier
DHCP clients connected to the same network as the ISC DHCP server or
ISC relay agent will not see messages from the DHCP server. It *is*
possible to run into trouble with this on Linux 2.2 and later if you
are running a verson of the DHCP server that was compiled on a Linux
2.0 system, though.

It is possible to work around this problem on some versions of Linux
by creating a host route from your network interface address to
255.255.255.255. The command you need to use to do this on Linux
varies from version to version. The easiest version is:

route add -host 255.255.255.255 dev eth0

On some older Linux systems, you will get an error if you try to do
this. On those systems, try adding the following entry to your
/etc/hosts file:

255.255.255.255 all-ones

Then, try:

route add -host all-ones dev eth0

Another route that has worked for some users is:

route add -net 255.255.255.0 dev eth0

If you are not using eth0 as your network interface, you should
specify the network interface you *are* using in your route command.

LINUX: IP BOOTP AGENT

Some versions of the Linux 2.1 kernel apparently prevent dhcpd from
working unless you enable it by doing the following:

echo 1 >/proc/sys/net/ipv4/ip_bootp_agent

LINUX: MULTIPLE INTERFACES

Very old versions of the Linux kernel do not provide a networking API
that allows dhcpd to operate correctly if the system has more than one
broadcast network interface. However, Linux 2.0 kernels with version
numbers greater than or equal to 2.0.31 add an API feature: the
SO_BINDTODEVICE socket option. If SO_BINDTODEVICE is present, it is
possible for dhcpd to operate on Linux with more than one network
interface. In order to take advantage of this, you must be running a
2.0.31 or greater kernel, and you must have 2.0.31 or later system
headers installed *before* you build the DHCP Distribution.

We have heard reports that you must still add routes to 255.255.255.255
in order for the all-ones broadcast to work, even on 2.0.31 kernels.
In fact, you now need to add a route for each interface. Hopefully
the Linux kernel gurus will get this straight eventually.

Linux 2.1 and later kernels do not use SO_BINDTODEVICE or require the
broadcast address hack, but do support multiple interfaces, using the
Linux Packet Filter.

LINUX: 802.1q VLAN INTERFACES

If you're using 802.1q vlan interfaces on Linux, it is necessary to
vconfig the subinterface(s) to rewrite the 802.1q information out of
packets received by the dhcpd daemon via LPF:

vconfig set_flag eth1.523 1 1

Note that this may affect the performance of your system, since the
Linux kernel must rewrite packets received via this interface. For
more information, consult the vconfig man pages.

这个文件告诉我们..
It is possible to work around this problem on some versions of Linux
by creating a host route from your network interface address to
255.255.255.255.   The command you need to use to do this on Linux
varies from version to version.   The easiest version is

说明一些版本的LINUX上运行可能出再错误,我们需要添加一条
路由
route add -host 255.255.255.255 dev eth0

On some older Linux systems, you will get an error if you try to do
this.   On those systems, try adding the following entry to your
/etc/hosts file:
255.255.255.255 all-ones

在一些老的版本的LINUX 可能会出现错误.所以我们得编辑
/etc/hosts
加入下面一行

255.255.255.255 all-ones (这个名字可以自己定义,方便记忆.你也可以写成255.255.255.255 dhcp.)

然后在添加路由的时候,你可以用下面的命令:

  route add -host all-ones dev eth0;

Another route that has worked for some users is:

route add -net 255.255.255.0 dev eth0
If you are not using eth0 as your network interface, you should
specify the network interface you *are* using in your route command.

这个是说明是为了在你不使用eth0的时候.你可以用其它接口代替命令行中的接口.

Some versions of the Linux 2.1 kernel apparently prevent dhcpd from
working unless you enable it by doing the following:

              echo 1 >/proc/sys/net/ipv4/ip_bootp_agent

             在现在新的版本里,可能用到的是

          echo 1 >/proc/sys/net/ipv4/ip_forward

有一些版本的内核可能不允许dhcp工作.你就得使用下面的命令
echo 1 >/proc/sys/net/ipv4/ip_bootp_agent

端口多路复用问题.是针对一些老板本的内核.自己看着办吧!

最后就是一个802.1Q虚拟接口的问题....
没有研究过...

network 2008-06-18 00:37 发表评论

vsftp 安装过程

network — Wed, 11 Jun 2008 16:16:00 GMT

先下载最新的vsftp包.

tar -xvzf vsftp-****.tar.gz

cd vsftp0****

make

make install

cp vsftpd.conf /etc/vsftpd.conf

创建/var/ftp目录.

groupadd ftp

useradd -g ftp -d /var/ftp ftp

network 2008-06-12 00:16 发表评论

VSFTPD.CONF online

network — Wed, 11 Jun 2008 13:09:00 GMT

VSFTPD.CONF

Section: File Formats (5)
Index Return to Main Contents

NAME

vsftpd.conf - config file for vsftpd

DESCRIPTION

vsftpd.conf may be used to control various aspects of vsftpd's behaviour. By default, vsftpd looks for this file at the location /etc/vsftpd.conf. However, you may override this by specifying a command line argument to vsftpd. The command line argument is the pathname of the configuration file for vsftpd. This behaviour is useful because you may wish to use an advanced inetd such as xinetd to launch vsftpd with different configuration files on a per virtual host basis.

FORMAT

The format of vsftpd.conf is very simple. Each line is either a comment or a directive. Comment lines start with a # and are ignored. A directive line has the format:

option=value

It is important to note that it is an error to put any space between the option, = and value.

Each setting has a compiled in default which may be modified in the configuration file.

BOOLEAN OPTIONS

Below is a list of boolean options. The value for a boolean option may be set to YES or NO.

allow_anon_ssl

Only applies if ssl_enable is active. If set to YES, anonymous users will be allowed to use secured SSL connections.

Default: NO

anon_mkdir_write_enable

If set to YES, anonymous users will be permitted to create new directories under certain conditions. For this to work, the option write_enable must be activated, and the anonymous ftp user must have write permission on the parent directory.

Default: NO

anon_other_write_enable

If set to YES, anonymous users will be permitted to perform write operations other than upload and create directory, such as deletion and renaming. This is generally not recommended but included for completeness.

Default: NO

anon_upload_enable

If set to YES, anonymous users will be permitted to upload files under certain conditions. For this to work, the option write_enable must be activated, and the anonymous ftp user must have write permission on desired upload locations.

Default: NO

anon_world_readable_only

When enabled, anonymous users will only be allowed to download files which are world readable. This is recognising that the ftp user may own files, especially in the presence of uploads.

Default: YES

anonymous_enable

Controls whether anonymous logins are permitted or not. If enabled, both the usernames ftp and anonymous are recognised as anonymous logins.

Default: YES

ascii_download_enable

When enabled, ASCII mode data transfers will be honoured on downloads.

Default: NO

ascii_upload_enable

When enabled, ASCII mode data transfers will be honoured on uploads.

Default: NO

async_abor_enable

When enabled, a special FTP command known as "async ABOR" will be enabled. Only ill advised FTP clients will use this feature. Additionally, this feature is awkward to handle, so it is disabled by default. Unfortunately, some FTP clients will hang when cancelling a transfer unless this feature is available, so you may wish to enable it.

Default: NO

background

When enabled, and vsftpd is started in "listen" mode, vsftpd will background the listener process. i.e. control will immediately be returned to the shell which launched vsftpd.

Default: NO

check_shell

Note! This option only has an effect for non-PAM builds of vsftpd. If disabled, vsftpd will not check /etc/shells for a valid user shell for local logins.

Default: YES

chmod_enable

When enables, allows use of the SITE CHMOD command. NOTE! This only applies to local users. Anonymous users never get to use SITE CHMOD.

Default: YES

chown_uploads

If enabled, all anonymously uploaded files will have the ownership changed to the user specified in the setting chown_username. This is useful from an administrative, and perhaps security, standpoint.

Default: NO

chroot_list_enable

If activated, you may provide a list of local users who are placed in a chroot() jail in their home directory upon login. The meaning is slightly different if chroot_local_user is set to YES. In this case, the list becomes a list of users which are NOT to be placed in a chroot() jail. By default, the file containing this list is /etc/vsftpd.chroot_list, but you may override this with the chroot_list_file setting.

Default: NO

chroot_local_user

If set to YES, local users will be (by default) placed in a chroot() jail in their home directory after login. Warning: This option has security implications, especially if the users have upload permission, or shell access. Only enable if you know what you are doing. Note that these security implications are not vsftpd specific. They apply to all FTP daemons which offer to put local users in chroot() jails.

Default: NO

connect_from_port_20

This controls whether PORT style data connections use port 20 (ftp-data) on the server machine. For security reasons, some clients may insist that this is the case. Conversely, disabling this option enables vsftpd to run with slightly less privilege.

Default: NO (but the sample config file enables it)

deny_email_enable

If activated, you may provide a list of anonymous password e-mail responses which cause login to be denied. By default, the file containing this list is /etc/vsftpd.banned_emails, but you may override this with the banned_email_file setting.

Default: NO

dirlist_enable

If set to NO, all directory list commands will give permission denied.

Default: YES

dirmessage_enable

If enabled, users of the FTP server can be shown messages when they first enter a new directory. By default, a directory is scanned for the file .message, but that may be overridden with the configuration setting message_file.

Default: NO (but the sample config file enables it)

download_enable

If set to NO, all download requests will give permission denied.

Default: YES

dual_log_enable

If enabled, two log files are generated in parallel, going by default to /var/log/xferlog and /var/log/vsftpd.log. The former is a wu-ftpd style transfer log, parseable by standard tools. The latter is vsftpd's own style log.

Default: NO

force_dot_files

If activated, files and directories starting with . will be shown in directory listings even if the "a" flag was not used by the client. This override excludes the "." and ".." entries.

Default: NO

force_local_data_ssl

Only applies if ssl_enable is activated. If activated, all non-anonymous logins are forced to use a secure SSL connection in order to send and receive data on data connections.

Default: YES

force_local_logins_ssl

Only applies if ssl_enable is activated. If activated, all non-anonymous logins are forced to use a secure SSL connection in order to send the password.

Default: YES

guest_enable

If enabled, all non-anonymous logins are classed as "guest" logins. A guest login is remapped to the user specified in the guest_username setting.

Default: NO

hide_ids

If enabled, all user and group information in directory listings will be displayed as "ftp".

Default: NO

listen

If enabled, vsftpd will run in standalone mode. This means that vsftpd must not be run from an inetd of some kind. Instead, the vsftpd executable is run once directly. vsftpd itself will then take care of listening for and handling incoming connections.

Default: NO

listen_ipv6

Like the listen parameter, except vsftpd will listen on an IPv6 socket instead of an IPv4 one. This parameter and the listen parameter are mutually exclusive.

Default: NO

local_enable

Controls whether local logins are permitted or not. If enabled, normal user accounts in /etc/passwd may be used to log in.

Default: NO

log_ftp_protocol

When enabled, all FTP requests and responses are logged, providing the option xferlog_std_format is not enabled. Useful for debugging.

Default: NO

ls_recurse_enable

When enabled, this setting will allow the use of "ls -R". This is a minor security risk, because a ls -R at the top level of a large site may consume a lot of resources.

Default: NO

no_anon_password

When enabled, this prevents vsftpd from asking for an anonymous password - the anonymous user will log straight in.

Default: NO

no_log_lock

When enabled, this prevents vsftpd from taking a file lock when writing to log files. This option should generally not be enabled. It exists to workaround operating system bugs such as the Solaris / Veritas filesystem combination which has been observed to sometimes exhibit hangs trying to lock log files.

Default: NO

one_process_model

If you have a Linux 2.4 kernel, it is possible to use a different security model which only uses one process per connection. It is a less pure security model, but gains you performance. You really don't want to enable this unless you know what you are doing, and your site supports huge numbers of simultaneously connected users.

Default: NO

passwd_chroot_enable

If enabled, along with chroot_local_user , then a chroot() jail location may be specified on a per-user basis. Each user's jail is derived from their home directory string in /etc/passwd. The occurrence of /./ in the home directory string denotes that the jail is at that particular location in the path.

Default: NO

pasv_enable

Set to NO if you want to disallow the PASV method of obtaining a data connection.

Default: YES

pasv_promiscuous

Set to YES if you want to disable the PASV security check that ensures the data connection originates from the same IP address as the control connection. Only enable if you know what you are doing! The only legitimate use for this is in some form of secure tunnelling scheme, or perhaps to facilitate FXP support.

Default: NO

port_enable

Set to NO if you want to disallow the PORT method of obtaining a data connection.

Default: YES

port_promiscuous

Set to YES if you want to disable the PORT security check that ensures that outgoing data connections can only connect to the client. Only enable if you know what you are doing!

Default: NO

run_as_launching_user

Set to YES if you want vsftpd to run as the user which launched vsftpd. This is useful where root access is not available. MASSIVE WARNING! Do NOT enable this option unless you totally know what you are doing, as naive use of this option can create massive security problems. Specifically, vsftpd does not / cannot use chroot technology to restrict file access when this option is set (even if launched by root). A poor substitute could be to use a deny_file setting such as {/*,*..*}, but the reliability of this cannot compare to chroot, and should not be relied on. If using this option, many restrictions on other options apply. For example, options requiring privilege such as non-anonymous logins, upload ownership changing, connecting from port 20 and listen ports less than 1024 are not expected to work. Other options may be impacted.

Default: NO

secure_email_list_enable

Set to YES if you want only a specified list of e-mail passwords for anonymous logins to be accepted. This is useful as a low-hassle way of restricting access to low-security content without needing virtual users. When enabled, anonymous logins are prevented unless the password provided is listed in the file specified by the email_password_file setting. The file format is one password per line, no extra whitespace. The default filename is /etc/vsftpd.email_passwords.

Default: NO

session_support

This controls whether vsftpd attempts to maintain sessions for logins. If vsftpd is maintaining sessions, it will try and update utmp and wtmp. It will also open a pam_session if using PAM to authenticate, and only close this upon logout. You may wish to disable this if you do not need session logging, and you wish to give vsftpd more opportunity to run with less processes and / or less privilege. NOTE - utmp and wtmp support is only provided with PAM enabled builds.

Default: NO

setproctitle_enable

If enabled, vsftpd will try and show session status information in the system process listing. In other words, the reported name of the process will change to reflect what a vsftpd session is doing (idle, downloading etc). You probably want to leave this off for security purposes.

Default: NO

ssl_enable

If enabled, and vsftpd was compiled against OpenSSL, vsftpd will support secure connections via SSL. This applies to the control connection (including login) and also data connections. You'll need a client with SSL support too. NOTE!! Beware enabling this option. Only enable it if you need it. vsftpd can make no guarantees about the security of the OpenSSL libraries. By enabling this option, you are declaring that you trust the security of your installed OpenSSL library.

Default: NO

ssl_sslv2

Only applies if ssl_enable is activated. If enabled, this option will permit SSL v2 protocol connections. TLS v1 connections are preferred.

Default: NO

ssl_sslv3

Only applies if ssl_enable is activated. If enabled, this option will permit SSL v3 protocol connections. TLS v1 connections are preferred.

Default: NO

ssl_tlsv1

Only applies if ssl_enable is activated. If enabled, this option will permit TLS v1 protocol connections. TLS v1 connections are preferred.

Default: YES

syslog_enable

If enabled, then any log output which would have gone to /var/log/vsftpd.log goes to the system log instead. Logging is done under the FTPD facility.

Default: NO

tcp_wrappers

If enabled, and vsftpd was compiled with tcp_wrappers support, incoming connections will be fed through tcp_wrappers access control. Furthermore, there is a mechanism for per-IP based configuration. If tcp_wrappers sets the VSFTPD_LOAD_CONF environment variable, then the vsftpd session will try and load the vsftpd configuration file specified in this variable.

Default: NO

text_userdb_names

By default, numeric IDs are shown in the user and group fields of directory listings. You can get textual names by enabling this parameter. It is off by default for performance reasons.

Default: NO

tilde_user_enable

If enabled, vsftpd will try and resolve pathnames such as ~chris/pics, i.e. a tilde followed by a username. Note that vsftpd will always resolve the pathnames ~ and ~/something (in this case the ~ resolves to the initial login directory). Note that ~user paths will only resolve if the file /etc/passwd may be found within the _current_ chroot() jail.

Default: NO

use_localtime

If enabled, vsftpd will display directory listings with the time in your local time zone. The default is to display GMT. The times returned by the MDTM FTP command are also affected by this option.

Default: NO

use_sendfile

An internal setting used for testing the relative benefit of using the sendfile() system call on your platform.

Default: YES

userlist_deny

This option is examined if userlist_enable is activated. If you set this setting to NO, then users will be denied login unless they are explicitly listed in the file specified by userlist_file. When login is denied, the denial is issued before the user is asked for a password.

Default: YES

userlist_enable

If enabled, vsftpd will load a list of usernames, from the filename given by userlist_file. If a user tries to log in using a name in this file, they will be denied before they are asked for a password. This may be useful in preventing cleartext passwords being transmitted. See also userlist_deny.

Default: NO

virtual_use_local_privs

If enabled, virtual users will use the same privileges as local users. By default, virtual users will use the same privileges as anonymous users, which tends to be more restrictive (especially in terms of write access).

Default: NO

write_enable

This controls whether any FTP commands which change the filesystem are allowed or not. These commands are: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE and SITE.

Default: NO

xferlog_enable

If enabled, a log file will be maintained detailling uploads and downloads. By default, this file will be placed at /var/log/vsftpd.log, but this location may be overridden using the configuration setting vsftpd_log_file.

Default: NO (but the sample config file enables it)

xferlog_std_format

If enabled, the transfer log file will be written in standard xferlog format, as used by wu-ftpd. This is useful because you can reuse existing transfer statistics generators. The default format is more readable, however. The default location for this style of log file is /var/log/xferlog, but you may change it with the setting xferlog_file.

Default: NO

NUMERIC OPTIONS

Below is a list of numeric options. A numeric option must be set to a non negative integer. Octal numbers are supported, for convenience of the umask options. To specify an octal number, use 0 as the first digit of the number.

accept_timeout

The timeout, in seconds, for a remote client to establish connection with a PASV style data connection.

Default: 60

anon_max_rate

The maximum data transfer rate permitted, in bytes per second, for anonymous clients.

Default: 0 (unlimited)

anon_umask

The value that the umask for file creation is set to for anonymous users. NOTE! If you want to specify octal values, remember the "0" prefix otherwise the value will be treated as a base 10 integer!

Default: 077

connect_timeout

The timeout, in seconds, for a remote client to respond to our PORT style data connection.

Default: 60

data_connection_timeout

The timeout, in seconds, which is roughly the maximum time we permit data transfers to stall for with no progress. If the timeout triggers, the remote client is kicked off.

Default: 300

file_open_mode

The permissions with which uploaded files are created. Umasks are applied on top of this value. You may wish to change to 0777 if you want uploaded files to be executable.

Default: 0666

ftp_data_port

The port from which PORT style connections originate (as long as the poorly named connect_from_port_20 is enabled).

Default: 20

idle_session_timeout

The timeout, in seconds, which is the maximum time a remote client may spend between FTP commands. If the timeout triggers, the remote client is kicked off.

Default: 300

listen_port

If vsftpd is in standalone mode, this is the port it will listen on for incoming FTP connections.

Default: 21

local_max_rate

The maximum data transfer rate permitted, in bytes per second, for local authenticated users.

Default: 0 (unlimited)

local_umask

The value that the umask for file creation is set to for local users. NOTE! If you want to specify octal values, remember the "0" prefix otherwise the value will be treated as a base 10 integer!

Default: 077

max_clients

If vsftpd is in standalone mode, this is the maximum number of clients which may be connected. Any additional clients connecting will get an error message.

Default: 0 (unlimited)

max_per_ip

If vsftpd is in standalone mode, this is the maximum number of clients which may be connected from the same source internet address. A client will get an error message if they go over this limit.

Default: 0 (unlimited)

pasv_max_port

The maximum port to allocate for PASV style data connections. Can be used to specify a narrow port range to assist firewalling.

Default: 0 (use any port)

pasv_min_port

The minimum port to allocate for PASV style data connections. Can be used to specify a narrow port range to assist firewalling.

Default: 0 (use any port)

trans_chunk_size

You probably don't want to change this, but try setting it to something like 8192 for a much smoother bandwidth limiter.

Default: 0 (let vsftpd pick a sensible setting)

STRING OPTIONS

Below is a list of string options.

anon_root

This option represents a directory which vsftpd will try to change into after an anonymous login. Failure is silently ignored.

Default: (none)

banned_email_file

This option is the name of a file containing a list of anonymous e-mail passwords which are not permitted. This file is consulted if the option deny_email_enable is enabled.

Default: /etc/vsftpd.banned_emails

banner_file

This option is the name of a file containing text to display when someone connects to the server. If set, it overrides the banner string provided by the ftpd_banner option.

Default: (none)

chown_username

This is the name of the user who is given ownership of anonymously uploaded files. This option is only relevant if another option, chown_uploads, is set.

Default: root

chroot_list_file

The option is the name of a file containing a list of local users which will be placed in a chroot() jail in their home directory. This option is only relevant if the option chroot_list_enable is enabled. If the option chroot_local_user is enabled, then the list file becomes a list of users to NOT place in a chroot() jail.

Default: /etc/vsftpd.chroot_list

cmds_allowed

This options specifies a comma separated list of allowed FTP commands (post login. USER, PASS and QUIT are always allowed pre-login). Other commands are rejected. This is a powerful method of really locking down an FTP server. Example: cmds_allowed=PASV,RETR,QUIT

Default: (none)

deny_file

This option can be used to set a pattern for filenames (and directory names etc.) which should not be accessible in any way. The affected items are not hidden, but any attempt to do anything to them (download, change into directory, affect something within directory etc.) will be denied. This option is very simple, and should not be used for serious access control - the filesystem's permissions should be used in preference. However, this option may be useful in certain virtual user setups. In particular aware that if a filename is accessible by a variety of names (perhaps due to symbolic links or hard links), then care must be taken to deny access to all the names. Access will be denied to items if their name contains the string given by hide_file, or if they match the regular expression specified by hide_file. Note that vsftpd's regular expression matching code is a simple implementation which is a subset of full regular expression functionality. Because of this, you will need to carefully and exhaustively test any application of this option. And you are recommended to use filesystem permissions for any important security policies due to their greater reliability. Example: deny_file={*.mp3,*.mov,.private}

Default: (none)

dsa_cert_file

This option specifies the location of the DSA certificate to use for SSL encrypted connections.

Default: (none - an RSA certificate suffices)

email_password_file

This option can be used to provide an alternate file for usage by the secure_email_list_enable setting.

Default: /etc/vsftpd.email_passwords

ftp_username

This is the name of the user we use for handling anonymous FTP. The home directory of this user is the root of the anonymous FTP area.

Default: ftp

ftpd_banner

This string option allows you to override the greeting banner displayed by vsftpd when a connection first comes in.

Default: (none - default vsftpd banner is displayed)

guest_username

See the boolean setting guest_enable for a description of what constitutes a guest login. This setting is the real username which guest users are mapped to.

Default: ftp

hide_file

This option can be used to set a pattern for filenames (and directory names etc.) which should be hidden from directory listings. Despite being hidden, the files / directories etc. are fully accessible to clients who know what names to actually use. Items will be hidden if their names contain the string given by hide_file, or if they match the regular expression specified by hide_file. Note that vsftpd's regular expression matching code is a simple implementation which is a subset of full regular expression functionality. Example: hide_file={*.mp3,.hidden,hide*,h?}

Default: (none)

listen_address

If vsftpd is in standalone mode, the default listen address (of all local interfaces) may be overridden by this setting. Provide a numeric IP address.

Default: (none)

listen_address6

Like listen_address, but specifies a default listen address for the IPv6 listener (which is used if listen_ipv6 is set). Format is standard IPv6 address format.

Default: (none)

local_root

This option represents a directory which vsftpd will try to change into after a local (i.e. non-anonymous) login. Failure is silently ignored.

Default: (none)

message_file

This option is the name of the file we look for when a new directory is entered. The contents are displayed to the remote user. This option is only relevant if the option dirmessage_enable is enabled.

Default: .message

nopriv_user

This is the name of the user that is used by vsftpd when it wants to be totally unprivileged. Note that this should be a dedicated user, rather than nobody. The user nobody tends to be used for rather a lot of important things on most machines.

Default: nobody

pam_service_name

This string is the name of the PAM service vsftpd will use.

Default: ftp

pasv_address

Use this option to override the IP address that vsftpd will advertise in response to the PASV command. Provide a numeric IP address.

Default: (none - the address is taken from the incoming connected socket)

rsa_cert_file

This option specifies the location of the RSA certificate to use for SSL encrypted connections.

Default: /usr/share/ssl/certs/vsftpd.pem

secure_chroot_dir

This option should be the name of a directory which is empty. Also, the directory should not be writable by the ftp user. This directory is used as a secure chroot() jail at times vsftpd does not require filesystem access.

Default: /usr/share/empty

ssl_ciphers

This option can be used to select which SSL ciphers vsftpd will allow for encrpyted SSL connections. See the ciphers man page for further details. Note that restricting ciphers can be a useful security precaution as it prevents malicious remote parties forcing a cipher which they have found problems with.

Default: DES-CBC3-SHA

user_config_dir

This powerful option allows the override of any config option specified in the manual page, on a per-user basis. Usage is simple, and is best illustrated with an example. If you set user_config_dir to be /etc/vsftpd_user_conf and then log on as the user "chris", then vsftpd will apply the settings in the file /etc/vsftpd_user_conf/chris for the duration of the session. The format of this file is as detailed in this manual page! PLEASE NOTE that not all settings are effective on a per-user basis. For example, many settings only prior to the user's session being started. Examples of settings which will not affect any behviour on a per-user basis include listen_address, banner_file, max_per_ip, max_clients, xferlog_file, etc.

Default: (none)

user_sub_token

This option is useful is conjunction with virtual users. It is used to automatically generate a home directory for each virtual user, based on a template. For example, if the home directory of the real user specified via guest_username is /home/virtual/$USER, and user_sub_token is set to $USER, then when virtual user fred logs in, he will end up (usually chroot()'ed) in the directory /home/virtual/fred. This option also takes affect if local_root contains user_sub_token.

Default: (none)

userlist_file

This option is the name of the file loaded when the userlist_enable option is active.

Default: /etc/vsftpd.user_list

vsftpd_log_file

This option is the name of the file to which we write the vsftpd style log file. This log is only written if the option xferlog_enable is set, and xferlog_std_format is NOT set. Alternatively, it is written if you have set the option dual_log_enable. One further complication - if you have set syslog_enable, then this file is not written and output is sent to the system log instead.

Default: /var/log/vsftpd.log

xferlog_file

This option is the name of the file to which we write the wu-ftpd style transfer log. The transfer log is only written if the option xferlog_enable is set, along with xferlog_std_format. Alternatively, it is written if you have set the option dual_log_enable.

Default: /var/log/xferlog

network 2008-06-11 21:09 发表评论

openssl+apache

network — Thu, 05 Jun 2008 16:50:00 GMT

http://www.7880.com/Info/Article-62f7b180.html
先安装openssl

rpm -qa openssl

rpm –e –-nodeps openssl

tar xvzf openssl***.tar.gz

cd openssl***

./config --prefix=/usr/local/openssl shared

make

make test

make install

安装apache

tar xvzf apache***.tar.gz

cd apache***

./configure --prefix=/usr/local/apache --enable-rewrite --enable-so --enable-ssl with-ssl=/usr/local/openssl

make

make install

安装openssl后，在openssl下有一个CA.sh文件，就是利用此文件来签证，
来签三张证书，然后利用这三张证书来布SSL服务器。

1、在/usr/local/apache/conf下，建立一个ssl.crt目录，将CA.sh文件copy至/usr/local/apache/conf/ssl.crt/目录

代码:

[root@win ssl]# cp /usr/local/openssl/ssl/misc/CA.sh /usr/local/apache/conf/ssl.crt/CA.sh

2、运行CA.sh -newca，他会找你要CA需要的一个CA自己的私有密钥密码文件。如果没有这个文件？按回车会自动创建，输入密码来保护这个密码文件。之后会要你的一个公司信息来做CA.crt文件。最后在当前目录下多了一个./demoCA这样的目录../demoCA/private/cakey.pem就是CA的key文件啦，./demoCA/cacert.pem就是CA的crt文件了

代码:

[root@win ssl.crt]# ./CA.sh -newca

要求输入如下信息：

引用:

这样就建好了一个CA服务器，有了一个根证书的私钥cakey.pem及一张根证书cacert.pem,现在就可以cacert.pem来给签证了

3、签署服务器证书
生成服务器私钥：

代码:

[root@win ssl.crt]# openssl genrsa -des3 -out server.key 1024

生成服务器证书请求

代码:

[root@win ssl.crt]# openssl req -new -key server.key -out server.csr

会要求输入信息

代码:

Country Name (2 letter code) [GB]:CN
State or Province Name (full name) [Berkshire]:FUJIAN
Locality Name (eg, city) [Newbury]:FUZHOU
Organization Name (eg, company) [My Company Ltd]:FJJM
Organizational Unit Name (eg, section) []:FD
Common Name (eg, your name or your server's hostname) []:WIN
Email Address []:WIN@WIN.COM
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:WIN
An optional company name []:WING

最后把server.crt文件mv成newreq.pem,然后用CA.sh来签证就可以了

代码:

[root@win ssl.crt]# mv server.csr newreq.pem
[root@win ssl.crt]# ./CA.sh -sign

这样就生成了server的证书newcert.pem
把newcert.pem改名成server.crt

代码:

[root@win ssl.crt]# mv newcert.pem server.crt

4、处理客户端：
生成客户私钥：

代码:

[root@win ssl.crt]# openssl genrsa -des3 -out client.key 1024

请求

代码:

[root@win ssl.crt]# openssl req -new -key client.key -out client.csr

签证：

代码:

[root@win ssl.crt]# openssl ca -in client.csr -out client.crt

把证书格式转换成pkcs12格式

代码:

[root@win ssl.crt]# openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

5、这时就有了三张证书和三个私钥，一个是demoCA下的根证书,ssl.crt下的服务器证书和客户证书。及demoCA/private下的根key,ssl.crt下的服务器key和客户key,在conf下的ssl.conf下指定证书的位置和服务器key的位置.

我是在conf下建立一个ssl.crt目录，并将所有的key和证书放到这里

代码:

#cp demoCA/cacert.pem cacert.pem

同时复制一份证书，更名为ca.crt

代码:

#cp cacert.pem ca.crt

、编辑ssl.conf

代码:

#cd /usr/local/apache/conf

编辑ssl.conf

代码:

指定服务器证书位置
SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt
指定服务器证书key位置
SSLCertificateKeyFile /usr/local/apache/conf/ssl.crt/server.key
证书目录
SSLCACertificatePath /usr/local/apache/conf/ssl.crt
根证书位置
SSLCACertificateFile /usr/local/apache/conf/ssl.crt/cacert.pem
开启客户端SSL请求
SSLVerifyClient require
SSLVerifyDepth 1

启动ssl

代码:

/usr/local/apache/bin/apachectl startssl

会要求输入server.key的密码
启动，这样一个默认的SSL服务器及http服务器就启动了，

安装和使用证书
把刚才生成的证书：根证书ca.crt和客户证书client.pfx下到客户端，并安装，
ca.crt安装到信任的机构，client.pfx直接在windows安装或安装到个人证书位置，然后用IP访问HTTP和https服务器。

network 2008-06-06 00:50 发表评论

关于openssl 和openssh安装

network — Thu, 05 Jun 2008 16:29:00 GMT

     首先安装好openssl

   tar xvzf openssl***.tar.gz

cd openssl***

./config --prefix=/usr/local/openssl shared

make

make test

make install

安装好后.就更新系统动态连接库

echo /usr/local/openssl/lib >> /etc/ld.so.conf

ldconfig

这是再安装 openssh

在安装前请先删除系统原来的openssh

rpm -qa |grep openssh

rpm –e –-nodeps openssh

tar -xvzf openssh****.tar.gz

cd openssh****

./configure --prefix=/usr/local/openssh --with-ssl-dir=/usr/local/openssl

然后就可以启动sshd服务了

/usr/local/openssh/sbin/sshd -f /usr/local/openssh/etc/sshd_config

这时系统如果没有报错,就可以使用客户端进行边接..

如果在Linux/UNIX下，那么用OpenSSH带的ssh客户端就OK了，如果在Windows下，强烈建议采用SecureCRT

本文参考:
http://bbs.netbuddy.org/unix/737.html

network 2008-06-06 00:29 发表评论

OpenSSL-0.9.8g 安装与配置指南

network — Thu, 05 Jun 2008 14:06:00 GMT

OpenSSL-0.9.8g 安装与配置指南

作者：金步国

版权声明

本文作者是一位自由软件爱好者，所以本文虽然不是软件，但是本着 GPL 的精神发布。任何人都可以自由使用、转载、复制和再分发，但必须保留作者署名，亦不得对声明中的任何条款作任何形式的修改，也不得附加任何其它条件。您可以自由链接、下载、传播此文档，但前提是必须保证全文完整转载，包括完整的版权信息和作译者声明。

其他作品

本文作者十分愿意与他人共享劳动成果，如果你对我的其他翻译作品或者技术文章有兴趣，可以在如下位置查看现有作品的列表：

金步国作品列表

BUG报告，切磋与探讨

由于作者水平有限，因此不能保证作品内容准确无误，请在阅读中自行鉴别。如果你发现了作品中的错误，请您来信指出，哪怕是错别字也好，任何提高作品质量的建议我都将虚心接纳。如果你愿意就作品中的相关内容与我进行进一步切磋与探讨，也欢迎你与我联系。联系方式：Email: csfrank@citiz.net ； QQ: 70171448 ； MSN: csfrank122@hotmail.com

系统需求

OpenSSL可以在多种操作系统上安装，但是本文只讨论在Linux或BSD系统上的安装。

安装OpenSSL的系统需求很低，只要有 ANSI C 编译器(推荐GCC)、Perl 5 、make 即可。但是OpenSSL的测试程序依赖于GNU BC，如果你需要运行测试程序的话，就要事先安装好它。

编译选项

将下载回来的压缩包解压，进入解压后的目录，即可使用 config 或 Configure 脚本进行配置。OpenSSL的配置脚本与大多数典型的软件包不同，它有自己的一套规则。详细的安装信息位于源码树下的 INSTALL Configure(特别是"PROCESS_ARGS"段) Makefile.shared Makefile.org 文件中。安装后的使用与配置信息位于 doc 目录中， FAQ 文件也可以提供一些参考。

config 脚本检查系统环境并调用 Configure 完成配置，因此配置选项是通过 config 脚本向 Configure 传递的。事实上 config 脚本的作用相当于 config.guess ，所以如果你想直接调用 Configure 的话就一定要正确指定"操作系统-目标平台"(笔者推荐这个用法)。所有可用的目标机器列表可以使用"./Configure LIST"命令获取。Configure 脚本除了根据 Makefile.org 生成 Makefile 之外，还在 crypto/opensslconf.h 中定义了许多宏(基于 crypto/opensslconf.h.in)。

在 config 或 Configure 命令行上可以使用许多选项，大体上可以分为3类。

全局选项

第一类是全局性选项：

--openssldir=OPENSSLDIR: 安装目录，默认是 /usr/local/ssl 。
--prefix=PREFIX: 设置 lib include bin 目录的前缀，默认为 OPENSSLDIR 目录。
--install_prefix=DESTDIR: 设置安装时以此目录作为"根"目录，通常用于打包，默认为空。
zlib zlib-dynamic no-zlib: 使用静态的zlib压缩库、使用动态的zlib压缩库、不使用zlib压缩功能。
threads no-threads: 是否编译支持多线程的库。默认支持。
shared no-shared: 是否生成动态连接库。
asm no-asm: 是否在编译过程中使用汇编代码加快编译过程。
enable-sse2 no-sse2: 启用/禁用SSE2指令集加速。如果你的CPU支持SSE2指令集，就可以打开，否则就要关闭。
gmp no-gmp: 启用/禁用GMP库
rfc3779 no-rfc3779: 启用/禁用实现X509v3证书的IP地址扩展
krb5 no-krb5: 启用/禁用 Kerberos 5 支持
ssl no-ssl ssl2 ssl3 no-ssl2 no-ssl3 tls no-tls: 启用/禁用 SSL(包含了SSL2/SSL3) TLS 协议支持。
dso no-dso: 启用/禁用调用其它动态链接库的功能。[提示]no-dso仅在no-shared的前提下可用。

[提示]为了安装Apache的mod_ssl成功，SSLv2/SSLv3/TLS都必须开启。

算法选项

第二类用于禁用crypto目录下相应的子目录(主要是各种算法)。虽然理论上这些子目录都可以通过"no-*"语法禁用，但是实际上，为了能够最小安装libcrypto,libssl,openssl，其中的大部分目录都必须保留，实际可选的目录仅有如下这些：

no-md2,no-md4,no-mdc2,no-ripemd: 这些都是摘要算法，含义一目了然。
no-des,no-rc2,no-rc4,no-rc5,no-idea,no-bf,no-cast,no-camellia: 这些都是对称加密算法，含义一目了然。"bf"是"Blowfish"的意思。
no-ec,no-dsa,no-ecdsa,no-dh,no-ecdh: 这些都是不对称加密算法，含义一目了然。
no-comp: 数据压缩算法。因为目前实际上并没有压缩算法，所以只是定义了一些空接口。
no-store: 对象存储功能。更多细节可以查看 crypto/store/README 文件。

[提示]OpenSSH 只依赖于该软件包的加密库(libcrypto)，而带有 HTTPS 支持的 Apache 则依赖于该软件包的加密库和 SSL/TLS 库(libssl)。因此，如果你不打算使用 HTTPS 的话，可以只安装加密库(no-ssl no-tls)；更多介绍可以查看 README 文件的"OVERVIEW"部分。事实上，为了能够让OpenSSH安装成功，ripemd,des,rc4,bf,cast,dsa,dh目录不能被禁止。

编译器选项

第三类是编译器选项。大多数软件包都是通过在运行 configure 脚本的时候定义 CPPFLAGS CFLAGS LDFLAGS 环境变量来设置编译选项的，但是OpenSSL却不是这样。OpenSSL的 Configure 脚本允许你在命令行上直接输入 CPPFLAGS CFLAGS 的内容。比如：-DDEVRANDOM='"/dev/urandom"' 可以用来指定随机设备， -DSSL_FORBID_ENULL 则可以用于禁止使用NULL加密算法。`echo $CFLAGS` 则可以将 CFLAGS 变量添加上来。另一方面，LDFLAGS却是无法通过Configure进行设置的。因为Configure会强制清空Makefile中的LDFLAGS，所以在运行完Configure之后，可以使用一个sed修改所有Makefile中的 LDFLAGS(用于连接openssl)和SHARED_LDFLAGS(用于连接libcrypto,libssl库)。

比如笔者就经常这样使用 Configure 进行配置：

./Configure ... -DSSL_FORBID_ENULL -DDEVRANDOM='"/dev/urandom"' `echo $CFLAGS`
find . -name "Makefile*" -exec sed -r -i -e"s|^(SHARED_)?LDFLAGS=|& $LDFLAGS |" {} \;

[提示]不能省略find命令内"Makefile*"两边的引号。

编译、测试、安装

配置完毕后，需要使用 make depend 重新建立依赖关系，特别是你使用了"no-*"选项之后，否则编译可能会失败。

然后使用 make 命令编译。如果编译成功，那么最好使用 make test 进行一下测试。

如果测试也通过了，那么接下来就是安装了。安装很简单，一条 make install 命令即可。你还可以使用 make install INSTALL_PREFIX=/other/dir 来将 /other/dir 当作"根"进行安装，这通常用于打包。

配置文件

安装完毕之后，接下来就是配置。OpenSSL的配置文件是 openssl.cnf ，位于 --openssldir 指定的目录下。

在实践中，OpenSSL 的一个重要用途就是证书签发和管理，这需要配置文件的配合。如果你只是使用它的加密库，而不使用证书功能的话，就不需要了解如何配置OpenSSL 。

下面是一个简单的 openssl.cnf 文件，已经可以用于证书签发了。当然，这份配置用来自己玩玩还行，指望用这个去做真正的"Big Brother"，没人会信你 :)

########################
# OpenSSL 配置文件示范 #
########################
# [注意]这个示范文件并不是默认设置。
########
# 语法 #
########
#
# 变量 = 值
#
# 语法很简单，一看就懂，但是有几点需要说明：
# 1. 字符串值最好使用双引号界定，并且其中可以使用"\n","\r","\t"这些转义序列("\"怎么表示?)。
# 2. 可以使用 ${变量名} 的形式引用同一字段中的变量，使用 ${字段名::变量名} 的形式引用其它字段中的变量。
# 3. 可以使用 ${EVP::环境变量} 的形式引用操作系统中定义的环境变量，若变量不存在则会导致错误。
# 4. 可以在默认字段定义与操作系统环境变量同名的变量作为默认值来避免环境变量不存在导致的错误。
# 5. 如果在同一字段内有多个相同名称的变量，那么后面的值将覆盖前面的值。
#
############
# 默认字段 #
############
# 此部分是默认字段[配置段]，必须放在所有字段之前。
# 读取配置文件数据时，会首先根据字段名称去寻找相应的配置段，如果没有找到则会使用这里的默认字段。
# 定义 HOME 的默认值，防止操作系统中不存在 HOME 环境变量。
HOME = .
# 默认的随机数种子文件，建议设置为 /dev/random 或 /dev/urandom
RANDFILE = $ENV::HOME/.rnd
# 扩展对象定义
# 比如，OpenSSL中并未定义X.509证书的扩展项，在使用到的时候就会从下面对扩展对象的定义中获取。
# 定义的方法有两种，第一种(反对使用)是存储在外部文件中，也就是这里"oid_file"变量定义的文件。
#oid_file = $ENV::HOME/.oid
# 第二种是存储在配置文件的一个字段中，也就是这里"oid_section"变量值所指定的字段。
oid_section = new_oids
[ new_oids ]
# 可以在这里添加扩展对象的定义，例如可以被'ca'和'req'使用。
# 格式如下：
# 对象简称 = 对象数字ID
############################################################################################################
####################
##  证书请求配置  ##
####################
# 在申请证书之前通常需要首先生成符合 PKCS#10 标准的证书请求封装格式。
# openssl 的 req 指令实现了产生证书请求的功能，其相关选项的默认值就来自于这里的设置。
# 证书请求的配置分成几个字段，包括一个基本字段和几个附属字段。
##### 证书请求配置的"基本字段"，其它附属字段都以它为入口 #####
[ req ]
# 生成的证书中RSA密钥对的默认长度，取值是2的整数次方。建议使用4096以上。
default_bits = 1024
# 保存生成的私钥文件的默认文件名
default_keyfile = privkey.pem
# 生成的私钥文件是否采用口令加密保护，可以设为yes或no。
encrypt_key = yes
# 读取输入私钥文件时的口令，如果未设置那么将会提示输入。
# input_password = secret
# 保存输出私钥文件时的口令，如果未设置那么将会提示输入。
# output_password = secret
# 签名默认使用的信息摘要算法，可以使用：md5,sha1,mdc2,md2
default_md = md5
# 为一些字段设置默认的字符串类型，比如证书请求中的城市和组织名称。可能的取值和解释如下：
# default: 包含了 PrintableString, T61String, BMPString 三种类型
# pkix  : 包含了 PrintableString, BMPString 两种类型
# utf8only: 只使用 UTF8 字符串。推荐使用这个，这样可以完美的包含任意字符。
# nombstr : 包含了 PrintableString, T61String 两种类型(不使用 BMPStrings 或 UTF8String 两种多字节字符类型)
string_mask = nombstr
# 如果设为yes，那么不管是命令行还是配置文件中的字符串都将按照UTF-8编码看待。默认值no表示仅使用ASCII编码。
utf8 = no
# 如果设为no，那么 req 指令将直接从配置文件中读取证书字段的信息，而不提示用户输入。
prompt = yes
# 定义输入用户信息选项的"特征名称"字段名，该扩展字段定义了多项用户信息。
distinguished_name = req_distinguished_name
# 定义证书请求属性的字段名，该扩展字段定义了证书请求的一些属性，但openssl的证书签发工具并不使用它们。
attributes = req_attributes
# 证书请求扩展的字段名，该扩展字段定义了要加入到证书请求中的一系列扩展项。
# req_extensions = v3_req
# 生成自签名证书时要使用的证书扩展项字段名，该扩展字段定义了要加入到证书中的一系列扩展项。
x509_extensions = v3_ca
##### "特征名称"字段包含了用户的标识信息 #####
[ req_distinguished_name ]
countryName = CN  #只能使用2字母的国家代码
stateOrProvinceName = BeiJin
organizationName = 组织名
commonName = 公司名
##### 证书请求属性字段定义了证书请求的一些属性(都不是必须的) #####
[ req_attributes ]
##### 要加入到证书请求中的一系列扩展项 #####
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
#### 生成自签名证书时使用的证书扩展项 #####
### 因为这部分是非必须的，所以不翻译了，事实上你完全可以删除这部分内容
[ v3_ca ]
# PKIX recommendation.
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer:always
# This is what PKIX recommends but some broken software chokes on critical
# extensions.
#basicConstraints = critical,CA:true
# So we do this instead.
basicConstraints = CA:true
# Key usage: this is typical for a CA certificate. However since it will
# prevent it being used as an test self-signed certificate it is best
# left out by default.
# keyUsage = cRLSign, keyCertSign
# Some might want this also
# nsCertType = sslCA, emailCA
# Include email address in subject alt name: another PKIX recommendation
# subjectAltName = email:copy
# Copy issuer details
# issuerAltName = issuer:copy
# DER hex encoding of an extension: beware experts only!
# obj=DER:02:03
# Where 'obj' is a standard or added object
# You can even override a supported extension:
# basicConstraints = critical, DER:30:03:01:01:FF
############################################################################################################
####################
##  证书签发配置  ##
####################
# openssl 的 ca 指令实现了证书签发的功能，其相关选项的默认值就来自于这里的设置。
# 这个字段只是通过唯一的default_ca变量来指定默认的CA主配置字段的入口(-name 命令行选项的默认值)
[ ca ]
default_ca = CA_default
##### 默认的CA主配置字段 #####
[ CA_default ]
# 保存所有信息的文件夹，这个变量只是为了给后面的变量使用
dir = ./demoCA
# 存放CA本身根证书的文件名
certificate = $dir/cacert.pem
# 存放CA自身私钥的文件名
private_key = $dir/private/cakey.pem
# 签发证书时使用的序列号文本文件，里面必须包含下一个可用的16进制数字。
serial = $dir/serial
# 存放新签发证书的默认目录，证书名就是该证书的系列号，后缀是.pem
new_certs_dir = $dir/newcerts
# 已生成的证书的默认保存目录
certs = $dir/certs
# 保存已签发证书的文本数据库文件，初始时为空。
database = $dir/index.txt
# 存放当前CRL编号的文件，对于v1版本的CRL则必须注释掉该行
crlnumber = $dir/crlnumber
# 当前CRL文件
crl = $dir/crl.pem
# 生成的证书撤销列表(CRL)的默认保存目录
crl_dir = $dir/crl
# 同一个subject是否只能创建一个证书，设为no表示可以创建多个
unique_subject = yes
# 签发新证书以及CRL时默认的摘要算法，可以使用：md5,md2,mdc2,sha1
default_md = sha1
# 通常，证书签发的特种名称(DN)域的各个参数顺序与证书策略的参数顺序一致。
# 但是，如果这里设为yes则保持与证书请求中的参数顺序一致。
preserve = no
# 当用户需要确认签发证书时显示可读证书DN域的方式。可用值与 x509 指令的 -nameopt 选项相同。
name_opt = ca_default
# 当用户需要确认签发证书时显示证书域的方式。
# 可用值与 x509 指令的 -certopt 选项相同，不过 no_signame 和 no_sigdump 总被默认设置。
cert_opt  = ca_default
# 新证书默认的生效日期，如果未设置则使用签发时的时间，格式为：YYMMDDHHNNSSZ(年月日时分秒Z)
# default_startdate = 080303223344Z
# 新证书默认的失效日期，格式为：YYMMDDHHNNSSZ(年月日时分秒Z)
# default_enddate = 090303223344Z
# 新签发的证书默认有效期，以天为单位
default_days = 365
# 从当前CRL(证书撤销列表)到下次CRL发布的间隔天数
default_crl_days = 30
# 是否将证书请求中的扩展项信息加入到证书扩展项中去。取值范围以及解释：
# none: 忽略所有证书请求中的扩展项
# copy: 将证书扩展项中没有的项目复制到证书中
# copyall: 将所有证书请求中的扩展项都复制过去，并且覆盖证书扩展项中原来已经存在的值。
copy_extensions = none
# 定义用于证书请求DN域匹配策略的字段，用于决定CA要求和处理证书请求提供的DN域的各个参数值的规则。
policy  = policy_match
# 定义X.509证书扩展项的字段。如果没有提供这个字段则生成X.509v1而不是v3格式的证书。
x509_extensions = usr_cert
# 定义生成CRL时需要加入的扩展项字段。如果没有定义则生成v1而不是v2版本的CRL。
# crl_extensions = crl_ext
##### 证书请求信息的匹配策略 #####
# 变量名称是DN域对象的名称，变量值可以是：
# match: 该变量在证书请求中的值必须与CA证书相应的变量值完全相同，否则拒签。
# supplied: 该变量在证书请求中必须提供(值可以不同)，否则拒签。
# optional: 该变量在证书请求中可以存在也可以不存在(相当于没有要求)。
# 除非preserve=yes或者在ca命令中使用了-preserveDN，否则在签发证书时将删除匹配策略中未提及的对象。
[ policy_match ]
countryName  = match
stateOrProvinceName = match
organizationName = match
commonName  = supplied
organizationalUnitName = optional
emailAddress  = optional
### 下面的部分由于都是非必须的部分，因此也不翻译了。
### 事实上你完全可以从配置文件中删除这些内容
[ usr_cert ]
# These extensions are added when 'ca' signs a request.
# This goes against PKIX guidelines but some CAs do it and some software
# requires this to avoid interpreting an end user certificate as a CA.
basicConstraints=CA:FALSE
# Here are some examples of the usage of nsCertType. If it is omitted
# the certificate can be used for anything *except* object signing.
# This is OK for an SSL server.
# nsCertType   = server
# For an object signing certificate this would be used.
# nsCertType = objsign
# For normal client use this is typical
# nsCertType = client, email
# and for everything including object signing:
# nsCertType = client, email, objsign
# This is typical in keyUsage for a client certificate.
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# This will be displayed in Netscape's comment listbox.
nsComment   = "OpenSSL Generated Certificate"
# PKIX recommendations harmless if included in all certificates.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
# This stuff is for subjectAltName and issuerAltname.
# Import the email address.
# subjectAltName=email:copy
# An alternative to produce certificates that aren't
# deprecated according to PKIX.
# subjectAltName=email:move
# Copy subject details
# issuerAltName=issuer:copy
#nsCaRevocationUrl  = http://www.domain.dom/ca-crl.pem
#nsBaseUrl
#nsRevocationUrl
#nsRenewalUrl
#nsCaPolicyUrl
#nsSslServerName
[ crl_ext ]
# CRL extensions.
# Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.
# issuerAltName=issuer:copy
authorityKeyIdentifier=keyid:always,issuer:always
[ proxy_cert_ext ]
# These extensions should be added when creating a proxy certificate
# This goes against PKIX guidelines but some CAs do it and some software
# requires this to avoid interpreting an end user certificate as a CA.
basicConstraints=CA:FALSE
# Here are some examples of the usage of nsCertType. If it is omitted
# the certificate can be used for anything *except* object signing.
# This is OK for an SSL server.
# nsCertType   = server
# For an object signing certificate this would be used.
# nsCertType = objsign
# For normal client use this is typical
# nsCertType = client, email
# and for everything including object signing:
# nsCertType = client, email, objsign
# This is typical in keyUsage for a client certificate.
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# This will be displayed in Netscape's comment listbox.
nsComment   = "OpenSSL Generated Certificate"
# PKIX recommendations harmless if included in all certificates.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always
# This stuff is for subjectAltName and issuerAltname.
# Import the email address.
# subjectAltName=email:copy
# An alternative to produce certificates that aren't
# deprecated according to PKIX.
# subjectAltName=email:move
# Copy subject details
# issuerAltName=issuer:copy
#nsCaRevocationUrl  = http://www.domain.dom/ca-crl.pem
#nsBaseUrl
#nsRevocationUrl
#nsRenewalUrl
#nsCaPolicyUrl
#nsSslServerName
# This really needs to be in place for it to be a proxy certificate.
proxyCertInfo=critical,language:id-ppl-anyLanguage,pathlen:3,policy:foo

network 2008-06-05 22:06 发表评论