Debian衰人手记

Debian衰人手记

终于不能抵挡Debian简单、方便的包管理机制，还是做了一台Debian 3.1（注：以下以Debian代称）的测试服务器。

base安装还是很方便的。论坛里有些朋友问是否要下载所有的二十几张安装盘，当然不需要。安装了基本系统之后，只要调整 /etc/apt/sources.list中的源就可以方便地使用您的网络来更新、升级您的系统，安装您需要的软件。下面是我用的源：

[code:1:18dea25837]
deb http://ftp.us.debian.org/debian sarge main contrib non-free
deb-src http://ftp.us.debian.org/debian sarge main contrib non-free
deb http://people.debian.org.tw/~koster/debian/sid ./
deb-src http://people.debian.org.tw/~koster/debian/sid ./
[/code:1:18dea25837]
基本系统安装之后，设置一下网络。编辑/etc/network/interfaces。

[code:1:18dea25837]
auto eth0 #设置设备名称
iface eth0 inet static #设置接口类型，static为静态ip，或者为dhcp
address 192.168.1.1 #接口地址
netmask 255.255.255.0 #掩码
gateway 192.168.1.254 #网关
[/code:1:18dea25837]

编辑之后保存，执行：[code:1:18dea25837]/etc/init.d/networking restart[/code:1:18dea25837]ping 一下内网的机器，O.K。更新系统执行：[code:1:18dea25837]apt-update&&apt-upgrade[/code:1:18dea25837]

再开一个终端（ctrl+alt+f2）。编辑/etc/inittab,注释几个虚拟终端，开始个就够用了。runlevel看看原来在 2 下（呵呵，和RedHat还有些不同），进入/etc/rc2.d，看到很多连接文件，多是S开头的。一个一个地mv它们为 K 开头。这里不删除是怕将来启用的时候再link。保留 S10sysklogd、 S20ssh、S11klogd 、S89cron 就够了。当然，您要是需要别的也可以自己link。呵呵，现在看来基本调整好了服务了。再拷贝一个iptables的脚本过来放到这个目录，并且写成 Sxxiptables样子。（升级系统后执行了一下，很好用没有出现问题。）不过，现在也还没有完全弄明白Debian启动脚本的顺序。呵呵，暑假慢慢看。

切回去看看升级还没有完成。教育网就是这么慢啊！出去打篮球吧。──不小心打了篮球后就吃饭去了，呵呵回来后发觉升级已经完成了。好现在添加个用户，也不能总待在昏暗的机房里啊。:(

[code:1:18dea25837]groupadd wheel &&useradd PopZslam -g wheel[/code:1:18dea25837]
唉！又是名字不规范，啥时可以像FreeBSD似的允许大写的用户名啊。[code:1:18dea25837]useradd popzslam -g wheel&&passwd popzslam[/code:1:18dea25837]嘿居然没有创建home。手动创建一个吧。

[code:1:18dea25837]mkdir $(grep popzslam /etc/passwd|sed 's/^.*:://'|tr : ' ')&&chown popzslam:wheel /home/popzslam[/code:1:18dea25837]

cd /etc/ssh&& vi sshd_config，修改[code:1:18dea25837]PermitRootLogin yes[/code:1:18dea25837]为[code:1:18dea25837]PermitRootLogin no[/code:1:18dea25837]这样就禁止了root使用ssh远程登陆。

[code:1:18dea25837]cd /etc/pam.d&&vi su[/code:1:18dea25837]，打开 [code:1:18dea25837]auth required pam_wheel.so[/code:1:18dea25837]这样就要求su的用户必须是wheel组的。

为了使用新的系统：[code:1:18dea25837]#shutdown -r now[/code:1:18dea25837]

关上机房的门，回到办公室去。
 

登陆我的帐号，打开putty。连接到新的测试机器。要求用户名，O.K测试一下root，呵呵，不允许。当然了，我设定了规则嘛。使用 popzslam吧。奇怪！居然也禁止！密码错误？试了几次都不成功。看来是配置有误。应该不是iptables的问题，这个脚本在我另一台机器上跑的很好。虽然有可能是它的问题，但是我后来发现不是iptables的问题。也不会是sshd没有启动，因为分明要求我登陆了。那么，问题出在哪里呢？sshd_config?机房路上，思考着。

坐在机器前，使用root登陆。正常。看了看服务启动了。注释掉不允许root登陆的开关，重新启动ssh服务。root登陆正常。好，这个服务是没有问题的。改回不允许root登陆。

是我新帐号的问题？打开个虚拟控制台，使用popzslam登陆。啊，不允许！这是什么奇怪的安全策略？不会是我的帐号有问题吧？使用base- config再创建一个用户tom。tom没有遇见jarry，不过即使没有那只老鼠，他也没有能够登陆。哈哈，奇怪啊。重新查看那些登陆相关文件。

首先看了看/etc/login.defs，没有什么特别啊。嗯，看看/etc/pam.d下的login吧。也没有什么特别啊。不过，这里有一行一引起主意：

[code:1:18dea25837]
# Disallows other than root logins when /etc/nologin exists
# (Replaces the `NOLOGINS_FILE' option from login.defs)
auth requisite pam_nologin.so
[/code:1:18dea25837]

好吧，看看/etc/下有没有倒霉的nologin。嘿嘿，果然啊。现在忽然想起了在使用popzslam登陆的时候，在login和passwd之间有一行信息！呵呵，居然是这样的。把这个文件删除，popzslam和tom都可以登陆了。

原来是这个文件在捣鬼！不过，为什么会有这么个文件呢？难道每次都要手动删除？好吧，写个脚本删除它。转到/etc/rc2.d下后发现，这里有一个K99rmnologin。嗯，这个文件应该是最后执行的。看看内容，哦。是用来删除/etc/nologin的。嘿嘿，被我取消了。唉！改回来吧。保险起见，重新启动了系统，嗯，登陆没有问题了（其实也不是什么问题啊）。

popzslam为什么不能su成root呢？取消了/etc/pam.d/su中wheel组的设置就没有问题。不可能是禁止了wheel组su 的安全策略啊。那么，只有popzslam不是wheel组成员的可能。编辑/etc/group，在wheel组后添加popzslam，保存。 popzslam su 成功。

好了，现在回到办公室当良民，偷偷登陆到机器上来试验吧。开个google，看看apt的使用方法，嗯……不错^_^

zonzi 回复于：2005-06-28 01:50:35

支持一下，我也刚安装了debian, 一切都非常简单

双眼皮的猪 回复于：2005-06-28 08:57:28

好东东.顶一把...

7758 回复于：2005-06-28 09:02:48

包管理确实方便

原文转自：http://www.ltesting.net