diff --git a/de_DE.ISO8859-1/books/handbook/basics/chapter.sgml b/de_DE.ISO8859-1/books/handbook/basics/chapter.sgml index e94c4c3703..11b9bbfebc 100644 --- a/de_DE.ISO8859-1/books/handbook/basics/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/basics/chapter.sgml @@ -1,1569 +1,1570 @@ Chris Shumway Umgeschrieben von Uwe Pierau Übersetzt von Unix Grundlagen Übersicht Grundlagen Das folgende Kapitel umfaßt die grundlegenden Kommandos und Funktionsweisen des Betriebssystems FreeBSD. Viel von dem folgenden Material gilt auch für jedes andere Unix-ähnliche System. Falls Sie mit dem Material schon vertraut sind, können Sie dieses Kapitel überlesen. Wenn FreeBSD neu für Sie ist, dann sollten Sie dieses Kapitel auf jeden Fall sehr genau lesen. Nachdem Sie dieses Kapitel gelesen haben, werden Sie folgendes wissen: wie Unix Zugriffsrechte funktionieren, was Prozesse, Dämonen und Signale sind, was eine Shell ist und wie Sie die Login Umgebung ändern, wie Sie mit Texteditoren umgehen, und wie Sie in den Manual-Pages nach weiteren Informationen suchen können. Zugriffsrechte Unix Die Grundlagen von FreeBSD, das ein direkter Abkömmling von BSD UNIX ist, stützen sich auf verschiedene UNIX Grundkonzepte. Das erste und ausgeprägteste: FreeBSD ist ein Multi-User Betriebssystem. Das System ermöglicht, daß mehrere User gleichzeitig an völlig verschiedenen und unabhängigen Aufgaben arbeiten können. Es ist verantwortlich für eine gerechte Auf- und Zuteilung von Nachfragen nach Hardware- und Peripheriegeräten, Speicher und CPU Zeit unter den Usern. Da das System mehrere Benutzer unterstützt, hat alles, was das System verwaltet, einen Satz von Rechten, die bestimmen, wer die jeweilige Ressource lesen, schreiben oder ausführen darf. Diese Zugriffsrechte stehen in zwei Achtergruppen, die in drei Teile unterteilt sind: einen für den Besitzer der Datei, einen für die Gruppe, zu der die Datei gehört und einen für alle anderen. Die numerische Darstellung sieht wie folgt aus: Zugriffsrechte Dateizugriffsrechte Wert Zugriffsrechte Auflistung im Verzeichnis 0 Kein Lesen, Kein Schreiben, Kein Ausführen --- 1 Kein Lesen, Kein Schreiben, Ausführen --x 2 Kein Lesen, Schreiben, Kein Ausführen -w- 3 Kein Lesen, Schreiben, Ausführen -wx 4 Lesen, Kein Schreiben, Kein Ausführen r-- 5 Lesen, Kein Schreiben, Ausführen r-x 6 Lesen, Schreiben, Kein Ausführen rw- 7 Lesen, Schreiben, Ausführen rwx ls Verzeichnisse Sie können auf der Kommandozeile von &man.ls.1; angeben, um eine ausführliche Verzeichnisauflistung zu sehen, die in einer Spalte die Zugriffsrechte für den Besitzer, die Gruppe und alle anderen enthält. Die erste Spalte von ls -l könnte wie folgt aussehen: -rw-r--r-- Das erste Zeichen von links ist ein Symbol, welches angibt, ob es sich um eine normale Datei, ein Verzeichnis, ein special- oder block-Device, ein Socket oder irgendeine andere Pseudo-Datei handelt. Die nächsten drei Zeichen, dargestellt als rw-, ergeben die Rechte für den Datei-Besitzer. Die drei Zeichen danach r-- die Rechte der Gruppe, zu der die Datei gehört. Die letzten drei Zeichen, r--, geben die Rechte für den Rest der Welt an. Ein Minus bedeutet, daß das Recht nicht gegeben ist. In diesem Fall sind die Zugriffsrechte also: der Eigentümer kann die Datei lesen und schreiben, die Gruppe kann lesen und alle anderen können auch nur lesen. Entsprechend obiger Tabelle wären die Zugriffsrechte für diese Datei 644, worin jede Ziffer die drei Teile der Zugriffsrechte dieser Datei verkörpert. Das ist alles schön und gut, aber wie kontrolliert das System die Rechte von Hardware Geräten? FreeBSD behandelt die meisten Hardware Geräte als Dateien, welche Programme öffnen, lesen und mit Daten beschreiben können wie alle anderen Dateien auch. Diese Spezial-Dateien sind im Verzeichnis /dev gespeichert. Verzeichnisse werden ebenfalls wie Dateien behandelt. Sie haben Lese-, Schreib- und Ausführ-Rechte. Das Ausführungs-Bit hat eine etwas andere Bedeutung für ein Verzeichnis als für eine Datei. Die Ausführbarkeit eines Verzeichnisses bedeutet, daß in das Verzeichnis zum Beispiel mit cd gewechselt werden kann. Das bedeutet auch, daß in dem Verzeichnis auf Dateien, deren Namen bekannt sind, zugegriffen kann, vorausgesetzt die Zugriffsrechte der Dateien lassen dies zu. Das Leserecht auf einem Verzeichnis erlaubt es, sich den Inhalt des Verzeichnisses anzeigen zu lassen. Um eine Datei mit bekanntem Namen in einem Verzeichnis zu löschen, müssen auf dem Verzeichnis Schreib- und Ausführ-Rechte gesetzt sein. Es gibt noch mehr Rechte, aber die werden vor allem in speziellen Umständen benutzt, wie zum Beispiel bei SetUID-Binaries und Verzeichnissen mit gesetztem Sticky-Bit. Mehr über Zugriffsrechte von Dateien und wie sie gesetzt werden, finden Sie in &man.chmod.1;. Verzeichnis-Strukturen Verzeichnis Hierarchien Die FreeBSD Verzeichnis Hierarchie ist die Grundlange, um ein umfassendes Verständnis des Systems zu erlangen. Das wichtigste Konzept, das Sie verstehen sollten, ist das Root-Verzeichnis /. Dieses Verzeichnis ist das erste, das während des Bootens eingehangen wird. Es enthält das notwendige Basissystem um das System in den Mehrbenutzerbetrieb zu bringen. Das Root-Verzeichnis enthält auch die Mountpunkte anderer Dateisysteme, die später eingehangen werden. Ein Mountpunkt ist ein Verzeichnis, in das zusätzliche - Dateisysteme ins / Verzeichnis eingepflanzt werden können. + Dateisysteme in das / Verzeichnis eingepflanzt + werden können. Standard Mountpunkte beinhalten /usr, /var, /mnt und /cdrom. Auf diese Verzeichnisse verweisen üblicherweise Einträge in der Datei /etc/fstab. /etc/fstab ist eine Tabelle mit verschiedenen Dateisystemen und Mountpunkten als Referenz des Systems. Die meisten der Dateisysteme in /etc/fstab werden beim Booten automatisch durch das Skript &man.rc.8; gemountet, wenn die zugehörigen Einträge nicht mit der Option versehen sind. Konsultieren Sie die &man.fstab.5; Man-Page für mehr Informationen über das Format der Datei /etc/fstab und den Optionen darin. Eine vollständige Beschreibung der Dateisystem-Hierarchie finden Sie in &man.hier.7;. Als Beispiel sein eine kurze Übersicht über die gebräuchlisten Verzeichnisse gegeben: Verzeichnis Beschreibung / Root-Verzeichnis des Dateisystems. /bin/ Grundlegende Werkzeuge für den Single-User-Modus sowie den Mehrbenutzerbetrieb. /boot/ Programme und Konfigurationsdateien, die während des Bootens benutzt werden. /boot/defaults/ Vorgaben für die Boot-Konfiguration, siehe &man.loader.conf.5;. /dev/ Gerätedateien, siehe &man.intro.4;. /etc/ System Konfigurationsdateien und Skripte. /etc/defaults/ Vorgaben für die System Konfigurationsdateien, siehe &man.rc.8;. /etc/mail/ Konfigurationsdateien von MTAs wie &man.sendmail.8;. /etc/namedb/ Konfigurationsdateien von named, siehe &man.named.8;. /etc/periodic/ Täglich, wöchentlich oder monatlich ablaufende Skripte, die von &man.cron.8; gestartet werden. Siehe &man.periodic.8;. /etc/ppp/ Konfigurationsdateien von ppp, siehe &man.ppp.8;. /mnt/ Ein leeres Verzeichnis, das von Systemadministratoren häufig als temporärer Mountpunkt genutzt wird. /proc/ Prozeß Dateisystem, siehe &man.procfs.5; und &man.mount.procfs.8;. /root/ Home Verzeichnis von root. /sbin/ Systemprogramme und administrative Werkzeuge, die grundlegend für des Single-User-Modus und den Mehrbenutzerbetrieb sind. /stand/ Programme, die ohne andere Programme oder Bibliotheken laufen. /tmp/ Temporäre Dateien, die für gewöhnlich nicht nach einem Reboot erhalten werden. Dies kann ein speicherbasiertes Dateisystem, siehe &man.mfs.8;, sein. /usr/ Der Großteil der Benutzerprogramme und Applikationen. /usr/bin/ Gebräuchliche Werkzeuge, Programmierhilfen und Applikationen. /usr/include/ Standard C include-Dateien. /usr/lib/ Bibliotheken. /usr/libdata/ Daten verschiedener Werkzeuge. /usr/libexec/ System-Dämonen und System-Werkzeuge, die von anderen Programmen ausgeführt werden. /usr/local/ Lokale Programme, Bibliotheken usw. Die Port Kollektion benutzt dieses Verzeichnis als Zielverzeichnis für zu installierende Applikationen. Innerhalb von /usr/local sollte das von &man.hier.7; beschriebene Layout für /usr benutzt werden. Das man Verzeichnis wird direkt unter /usr/local anstelle unter /usr/local/share angelegt. Die Dokumentation der Ports findet sich in share/doc/port. /usr/obj/ Von der Architektur abhängiger Verzeichnisbaum, der durch das Bauen von /usr/src entsteht. /usr/ports Die FreeBSD Ports-Kollektion (optional). /usr/sbin/ System-Dämonen und System-Werkzeuge, die von Benutzern ausgeführt werden. /usr/share/ Von der Architektur unabhängige Dateien. /usr/src/ Quelldateien zu BSD und/oder lokalen Ergänzungen. /usr/X11R6/ Optionale X11R6 Programme und Bibliotheken. /var/ Wird für mehrere Zwecke genutzt und enthält Logdateien, temporäre und Spooldateien. /var/log/ Verschiedene Logdateien des Systems. /var/mail/ Postfächer der Benutzer. /var/spool/ Verschiedene Spool-Verzeichnisse der Drucker- und Mailsysteme. /var/tmp/ Temporäre Dateien, die über Reboots erhalten bleiben. /var/yp NIS maps. Prozesse Da FreeBSD ein Multitasking Betriebssystem ist, sieht es so aus, als ob mehrere Prozesse zur gleichen Zeit laufen. Jedes Programm, das zu irgendeiner Zeit läuft, wird Prozeß genannt. Jedes Kommando startet mindestens einen Prozeß. Einige Systemprozesse laufen die ganze Zeit und stellen die Funktion des Systems sicher. Jeder Prozeß wird durch eine eindeutige Nummer identifiziert, die Prozeß-ID oder PID genannt wird. Prozesse haben ebenso wie Dateien einen Besitzer und eine Gruppe, die festlegen, welche Dateien und Geräte der Prozeß benutzen kann. Dabei finden die vorher beschriebenen Zugriffsrechte Anwendungen. Die meisten Prozesse haben auch einen Elternprozeß, der sie gestartet hat. Wenn Sie in der Shell Kommandos eingeben, dann ist die Shell ein Prozeß und jedes Kommando, das Sie starten ist auch ein Prozeß. Jeder Prozeß, den Sie auf diese Weise starten, besitzt den Shell-Prozeß als Elternprozeß. Die Ausnahme hiervon ist ein spezieller Prozeß, der init heißt. init ist immer der erste Prozeß und hat somit die PID 1. init wird vom Kernel beim Booten von FreeBSD gestartet. Die Kommandos &man.ps.1; und &man.top.1; sind besonders nützlich, um sich die Prozesse auf einem System anzusehen. &man.ps.1; zeigt eine statische Liste der laufenden Prozesse und kann deren PID, Speicherverbrauch und die Kommandozeile, mit der sie gestartet wurden, usw. anzeigen. &man.top.1; zeigt alle laufenden Prozesse an und aktualisiert die Anzeige, so daß Sie Ihrem Computer bei der Arbeit zuschauen können. Normal zeigt Ihnen &man.ps.1; nur die laufenden Prozesse, die Ihnen gehören. Zum Beispiel: &prompt.user; ps PID TT STAT TIME COMMAND 298 p0 Ss 0:01.10 tcsh 7078 p0 S 2:40.88 xemacs mdoc.xsl (xemacs-21.1.14) 37393 p0 I 0:03.11 xemacs freebsd.dsl (xemacs-21.1.14) 48630 p0 S 2:50.89 /usr/local/lib/netscape-linux/navigator-linux-4.77.bi 48730 p0 IW 0:00.00 (dns helper) (navigator-linux-) 72210 p0 R+ 0:00.00 ps 390 p1 Is 0:01.14 tcsh 7059 p2 Is+ 1:36.18 /usr/local/bin/mutt -y 6688 p3 IWs 0:00.00 tcsh 10735 p4 IWs 0:00.00 tcsh 20256 p5 IWs 0:00.00 tcsh 262 v0 IWs 0:00.00 -tcsh (tcsh) 270 v0 IW+ 0:00.00 /bin/sh /usr/X11R6/bin/startx -- -bpp 16 280 v0 IW+ 0:00.00 xinit /home/nik/.xinitrc -- -bpp 16 284 v0 IW 0:00.00 /bin/sh /home/nik/.xinitrc 285 v0 S 0:38.45 /usr/X11R6/bin/sawfish Wie Sie sehen, gibt &man.ps.1; mehrere Spalten aus. In der PID Spalte findet sich die vorher besprochene Prozeß-ID. PIDs werden von 1 beginnend bis 99999 zugewiesen und fangen wieder von vorne an, wenn die Grenze überschritten wird. TT zeigt den Terminal, auf dem das Programm läuft. STAT zeigt des Status des Programms und kann für die Zwecke dieser Diskussion ebenso wie TT ignoriert werden. TIME gibt die Zeit an, die das Programm auf der CPU gelaufen ist— dies ist nicht unbedingt die Zeit, die seit dem Start des Programms vergangen ist, da einige Programme viel Zeit mit dem Warten auf bestimmte Dinge verbringen, bevor sie wirklich CPU-Zeit verbrauchen. Unter der Spalte COMMAND finden Sie schließlich die Kommandozeile, mit der das Programm gestartet wurde. &man.ps.1; besitzt viele Optionen, um die angezeigten Informationen zu beeinflussen. Eine nützliche Kombination ist auxww. Mit werden Information über alle laufenden Prozesse und nicht nur Ihrer eigenen angezeigt. Der Name des Besitzers des Prozesses, sowie Informationen über den Speicherverbrauch werden mit angezeigt. zeigt auch Dämonen-Prozesse an, und vernlaßt &man.ps.1; die komplette Kommandozeile anzuzeigen, anstatt sie abzuschneiden, wenn sie zu lang für die Bildschirmausgabe wird. Die Ausgabe von &man.top.1; sieht ähnlich aus: &prompt.user; top last pid: 72257; load averages: 0.13, 0.09, 0.03 up 0+13:38:33 22:39:10 47 processes: 1 running, 46 sleeping CPU states: 12.6% user, 0.0% nice, 7.8% system, 0.0% interrupt, 79.7% idle Mem: 36M Active, 5256K Inact, 13M Wired, 6312K Cache, 15M Buf, 408K Free Swap: 256M Total, 38M Used, 217M Free, 15% Inuse PID USERNAME PRI NICE SIZE RES STATE TIME WCPU CPU COMMAND 72257 nik 28 0 1960K 1044K RUN 0:00 14.86% 1.42% top 7078 nik 2 0 15280K 10960K select 2:54 0.88% 0.88% xemacs-21.1.14 281 nik 2 0 18636K 7112K select 5:36 0.73% 0.73% XF86_SVGA 296 nik 2 0 3240K 1644K select 0:12 0.05% 0.05% xterm 48630 nik 2 0 29816K 9148K select 3:18 0.00% 0.00% navigator-linu 175 root 2 0 924K 252K select 1:41 0.00% 0.00% syslogd 7059 nik 2 0 7260K 4644K poll 1:38 0.00% 0.00% mutt ... Die Ausgabe ist in zwei Abschnitte geteilt. Im Kopf in den ersten fünf Zeilen finden sich die zuletzt zugeteilte PID, die Systemauslastung (load average), die Systemlaufzeit (die Zeit seit dem letzten Reboot) und die momentane Zeit. Die weiteren Zahlen im Kopf beschreiben wieviele Prozesse momentan laufen (im Beispiel 47), wieviel Speicher und Swap verbraucht wurde und wieviel Zeit das System in den verschiedenen CPU-Modi verbringt. Darunter befinden sich einige Spalten mit ähnlichen Informationen wie in der Ausgabe von &man.ps.1;. Wie im vorigen Beispiel können Sie die PID, den Besitzer, die verbrauchte CPU-Zeit und das Kommando erkennen. &man.top.1; zeigt auch den Speicherverbrauch des Prozesses an, der in zwei Spalten aufgeteilt ist. Die erste Spalte gibt den gesamten Speicherverbrauch des Prozesses an, in der zweiten Spalte wird der aktuelle Verbrauch angegeben. Netscape hat im gezeigten Beispiel insgesamt 30 MB Speicher verbraucht. Momentan benutzt es allerdings nur 9 MB. Die Anzeige wird von &man.top.1; automatisch alle zwei Sekunden aktualisiert. Der Zeitraum kann mit eingestellt werden. Dämonen, Signale und Stoppen von Prozessen Wenn Sie einen Editor starten, können Sie ihn leicht bedienen und Dateien laden. Sie können das, weil der Editor dafür Vorsorge getroffen hat und auf einem Terminal läuft. Manche Programme erwarten keine Eingaben von einem Benutzer und lösen sich bei erster Gelegenheit von ihrem Terminal. Ein Web-Server zum Beispiel verbringt den ganzen Tag damit, auf Anfragen zu antworten und erwartet keine Eingaben von Ihnen. - Programme, die email von einem Ort zu einem anderen Ort transportieren + Programme, die E-Mail von einem Ort zu einem anderen Ort transportieren sind ein weiteres Beispiel für diesen Typ von Applikationen. Wir nennen diese Programme Dämonen. Dämonen stammen aus der griechischen Mythologie und waren weder gut noch böse. Sie waren kleine dienstbare Geister, die meistens nützliche Sachen für die Menschheit vollbrachten. Ähnlich wie heutzutage Web-Server und Mail-Server nützliche Dienste verrichten. Seit langer Zeit ist daher das BSD Maskottchen dieser fröhlich aussehende Dämon mit Turnschuhen und Dreizack. Programme, die als Dämon laufen, werden entsprechend einer Konvention mit einem d am Ende benannt. BIND ist der Berkeley Internet Name Daemon und das tatsächlich laufende Programm heißt named. Der Apache Webserver wird httpd genannt, der Druckerspool-Dämon heißt lpd usw. Dies ist allerdings eine Konvention und keine unumstößliche Regel: Der Dämon der Applikation sendmail heißt sendmail und nicht maild, wie Sie vielleicht gedacht hatten. Manchmal müssen Sie mit einem Dämon kommunizieren und dazu benutzen Sie Signale. Sie können mit einem Dämonen oder jedem anderen laufenden Prozeß kommunizieren, indem Sie diesem ein Signal schicken. Sie können verschiedene Signale verschicken—manche haben eine festgelegte Bedeutung, andere werden von der Applikation interpretiert. Die Dokumentation zur fraglichen Applikation wird erklären, wie die Applikation Signale interpretiert. Sie können nur Signale zu Prozessen senden, die Ihnen gehören. Wenn Sie versuchen einem Prozeß, der nicht Ihnen gehört, ein Signal zu senden, so wird das Signal ignoriert. Der Benutzer root darf jedem Prozeß Signale schicken. In manchen Fällen wird FreeBSD Signale senden. Wenn eine Applikation schlecht geschrieben ist und auf Speicher zugreift, auf den sie nicht zugreifen soll, so sendet FreeBSD dem Prozeß das Segmentation Violation Signal (SIGSEGV). Wenn eine Applikation den &man.alarm.3; Systemaufruf benutzt hat, um nach einiger Zeit benachrichtigt zu werden, bekommt sie das Alarm Signal (SIGALRM) gesendet. Zwei Signale können benutzt werden, um Prozesse zu stoppen: SIGTERM und SIGKILL. Mit SIGTERM fordern Sie den Prozeß höflich zum Beenden auf. Der Prozeß kann das Signal abfangen und merken, daß er sich beenden soll. Er hat dann Gelegenheit Logdateien zu schließen und die Aktion, die er vor der Aufforderung sich zu beenden durchführte, abzuschließen. Er kann sogar SIGTERM ignorieren, wenn er eine Aktion durchführt, die nicht unterbrochen werden darf. SIGKILL kann von keinem Prozeß ignoriert werden. Das Signal läßt sich mit Mich interessiert nicht, was du gerade machst, hör sofort auf damit! umschreiben. Wenn Sie einem Prozeß SIGKILL schicken, dann wird FreeBSD diesen sofort beenden Das stimmt nicht ganz: Es gibt Fälle, in denen ein Prozeß nicht unterbrochen werden kann. Wenn der Prozesß zum Beispiel eine Datei von einem anderen Rechner auf dem Netzwerk liest und dieser Rechner aus irgendwelchen Gründen nicht erreichbar ist (ausgeschaltet, oder ein Netzwerkfehler), dann ist der Prozeß nicht zu unterbrechen. Wenn der Prozeß den Lesezugriff nach einem Timeout von typischerweise zwei Minuten aufgibt, dann wir er beendet. . Andere Signale, die Sie vielleicht verschicken wollen, sind SIGHUP, SIGUSR1 und SIGUSR2. Diese Signale sind für allgemeine Zwecke vorgesehen und verschiedene Applikation werden unterschiedlich auf diese Signale reagieren. Nehmen wir an, Sie haben die Konfiguration Ihres Webservers verändert und möchten dies dem Server mitteilen. Sie könnten den Server natürlich stoppen und httpd wieder starten. Die Folge wäre eine kurze Zeit, in der der Server nicht erreichbar ist. Die meisten Dämonen lesen Ihre Konfigurationsdatei beim Empfang eines SIGHUP neu ein. Da es keinen Standard gibt, der vorschreibt, wie auf diese Signale zu reagieren ist, lesen Sie bitte die Dokumentation zu dem in Frage kommenden Dämon. Mit &man.kill.1; können Sie, wie unten gezeigt, Signale verschicken. Verschicken von Signalen Das folgende Beispiel zeigt, wie Sie &man.inetd.8; ein Signal schicken. Die Konfigurationsdatei von &man.inetd.8; ist /etc/inetd.conf und &man.inetd.8; liest die Konfigurationsdatei erneut ein, wenn er ein SIGHUP empfängt. Suchen Sie Prozeß-ID des Prozesses, dem Sie ein Signal schicken wollen. Benutzen Sie dazu &man.ps.1; und &man.grep.1;. Mit &man.grep.1; können Sie in einer Ausgabe nach einem String suchen. Da &man.inetd.8; unter dem Benutzer root läuft und Sie das Kommando als normaler Benutzer absetzen, müssen Sie &man.ps.1; mit aufrufen: &prompt.user; ps -ax | grep inetd 198 ?? IWs 0:00.00 inetd -wW Die Prozeß-ID von &man.inetd.8; ist 198. In einigen Fällen werden Sie auch das grep inetd Kommando in der Ausgabe sehen. Dies hat damit zu tun, wie &man.ps.1; die Liste der laufenden Prozesse untersucht. Senden Sie das Signal mit &man.kill.1;. Da &man.inetd.8; unter dem Benutzer root läuft, müssen Sie zuerst mit &man.su.1; root werden: &prompt.user; su Password: &prompt.root; /bin/kill -s HUP 198 &man.kill.1; wird, wie andere Unix Kommandos auch, keine Ausgabe erzeugen, wenn das Kommando erfolgreich war. Wenn Sie versuchen, einem Prozeß, der nicht Ihnen gehört, ein Signal zu senden, dann werden Sie die Meldung kill: PID: Operation not permitted sehen. Wenn Sie sich bei der Eingabe der PID vertippen, werden Sie das Signal dem falschen Prozeß schicken, was schlecht sein kann. Wenn Sie Glück haben, existiert der Prozeß nicht und Sie werden mit der Ausgabe kill: PID: No such process belohnt. Warum soll ich <command>/bin/kill</command> benutzen? Viele Shells stellen kill als internes Kommando zur Verfügung, das heißt die Shell sendet das Signal direkt, anstatt /bin/kill zu starten. Das kann nützlich sein, aber die unterschiedlichen Shells benutzen eine verschiedene Syntax, um die Namen der Signale anzugeben. Anstatt jede Syntax zu lernen, kann es einfacher sein, /bin/kill ... direkt aufzurufen. Andere Signale senden Sie auf die gleiche Weise, ersetzen Sie nur TERM oder KILL entsprechend. Es kann gravierende Auswirkungen haben, wenn Sie zufällig Prozesse beenden. Insbesondere &man.init.8; mit der Prozeß-ID ist ein Spezialfall. Mit /bin/kill -s KILL 1 können Sie Ihr System schnell herunterfahren. Überprüfen Sie die Argumente von &man.kill.1; immer zweimal bevor Sie Return drücken. Anhängen und Abhängen von Dateisystemen Ein Dateisystem wird am besten als ein Baum mit der Wurzel / veranschaulicht. /dev, /usr, und die anderen Verzeichnisse im Rootverzeichnis sind Zweige, die wiederum eigene Zweige wie /usr/local haben können. Root-Dateisystem Es gibt verschiedene Gründe, bestimmte dieser Verzeichnisse auf eigenen Dateisystemen anzulegen. /var enthält log/, spool/ sowie verschiedene andere temporäre Dateien und kann sich daher schnell füllen. Es empfiehlt sich, /var von / zu trennen, da es schlecht ist, wenn das Root-Dateisystem voll läuft. Ein weiterer Grund bestimmte Verzeichnisbäume auf andere Dateisysteme zu legen, ist gegeben, wenn sich die Verzeichnisbäume auf gesonderten physikalischen oder virtuellen Platten, wie Network File System oder CDROM Laufwerken, befinden. Die <filename>fstab</filename> Datei Dateisysteme fstab Während des Boot Prozesses werden in /etc/fstab aufgeführte Verzeichnisse, sofern sie nicht mit der Option versehen sind, automatisch angehangen. Die Zeilen in /etc/fstab haben das folgende Format: device /mount-point fstype options dumpfreq passno device Ein existierender Gerätename wie oben in Benennung von Laufwerken beschrieben. mount-point Ein existierendes Verzeichnis, an das das Dateisystem angehangen wird. fstype Der Typ des Dateisystems, der an &man.mount.8; weitergegeben wird. Das default FreeBSD Dateisystem ist ufs. options Entweder für beschreibbare Dateisysteme oder für schreibgeschützte Dateisysteme, gefolgt von weiteren benötigten Optionen. Eine häufig verwendete Option ist für Dateisysteme, die während der normalen Bootsequenz nicht angehangen werden sollen. Weitere Optionen finden sich in &man.mount.8;. dumpfreq Gibt die anzahl der Tage an, nachdem das Dateisystem gesichert werden soll. Fehlt der Wert, wird 0 angenommen. passno Bestimmt die Reihenfolge, in der die Dateisysteme überprüft werden sollen. Für Dateisysteme, die übersprungen werden sollen, ist passno auf null zu setzen. Für das Root-Dateisystem, das vor allen anderen überprüft werden muß, sollte der Wert von passno eins betragen. Allen anderen Dateisystemen sollten Werte größer eins zugewiesen werden. Wenn mehrere Dateisysteme den gleichen Wert besitzen, wird &man.fsck.8; versuchen, diese parallel zu überprüfen. Das mount Kommando Dateisysteme anhängen &man.mount.8; hängt schließlich Dateisysteme an. In der grundlegenden Form wird es wie folgt benutzt: &prompt.root; mount device mountpoint Viele Optionen werden in &man.mount.8; beschrieben, die am häufigsten verwendeten sind: Mount Optionen Hängt alle Dateisysteme aus /etc/fstab an. Davon ausgenommen sind Dateisysteme, die mit noauto markiert sind, die mit der Option ausgeschlossen wurden und Dateisysteme, die schon angehangen sind. Führt den entsprechenden Systemcall nicht aus. Nützlich ist diese Option in Verbindung mit . Damit wird angezeigt, was mount tatsächlich versuchen würde, um das Dateisystem anzuhängen. Erzwingt das Anhängen eines unsauberen Dateisystems oder erzwingt die Rücknahme des Schreibzugriffs, wenn der Status des Dateisystems von beschreibbar auf schreibgeschützt geändert wird. Hängt das Dateisystem schreibgeschützt an. Das kann auch durch Angabe von zu der Option erreicht werden. fstype Hängt das Dateisystem mit dem angebenen Typ an, oder hängt nur Dateisysteme mit dem angegebenen Typ an, wenn auch angegeben wurde. Die Voreinstellung für den Typ des Dateisystems ist ufs. Aktualisiert die Mountoptionen des Dateisystems. Geschwätzig sein. Hängt das Dateisystem beschreibbar an. erwartet eine durch Kommata separierte Liste von Optionen, unter anderem die folgenden: nodev Beachtet keine Gerätedateien auf dem Dateisystem. Dies ist ein nützliches Sicherheitsfeature. noexec Verbietet das Ausführen von binären Dateien auf dem Dateisystem. Dies ist ein nützliches Sicherheitsfeature. nosuid SetUID und SetGID Bits werden auf dem Dateisystem nicht beachtet. Dies ist ein nützliches Sicherheitsfeature. Das <command>umount</command> Kommando Dateisysteme abhängen &man.umount.8; akzeptiert als Parameter entweder einen Mountpoint, einen Gerätenamen, oder die Optionen oder . Jede Form akzeptiert , um das Abhängen zu erzwingen, und , um etwas geschwätziger zu sein. Seien Sie bitte vorsichtig mit : Ihr Computer kann abstürzen oder es können Daten auf dem Dateisystem beschädigt werden, wenn Sie das Abhängen erzwingen. und werden benutzt um alle Dateisysteme, deren Typ durch modifiziert werden kann, abzuhängen. hängt das Rootdateisystem nicht ab. Shells Shells Kommandozeile Von der tagtäglichen Arbeit mit FreeBSD wird eine Menge mit der Kommandozeilen Schnittstelle der Shell erledigt. Die Hauptaufgabe einer Shell besteht darin, Kommandos der Eingabe anzunehmen und diese auszuführen. Viele Shells haben außerdem eingebaute Funktionen, um die tägliche Arbeit zu erleichtern, wie Dateiverwaltung, Editieren von Kommandozeilen, Makros und Umgebungsvariablen. FreeBSD enthält die Shells sh (die Bourne Shell) und tcsh (die verbesserte C-Shell) im Basissystem. Viele andere Shells, wie zsh oder bash, befinden sich in der Ports-Sammlung. Welche Shell soll ich benutzen? Das ist wirklich eine Geschmacksfrage. Sind Sie ein C Programmierer, finden Sie vielleicht eine C-artige Shell wie die tcsh angenehmer. Kommen Sie von Linux oder Ihnen ist eine Unix Kommandozeile neu, so könnten Sie die bash probieren. Der Punkt ist, daß jede Shell ihre speziellen Eigenschaften hat, die mit Ihrer bevorzugten Arbeitsumgebung harmonieren können oder nicht. Sie müssen sich eine Shell aussuchen. Ein verbreitetes Merkmal in Shells ist die Dateinamen-Vervollständigung. Sie müssen nur einige Buchstaben eines Kommandos oder eines Dateinamen eingeben und die Shell vervollständigt den Rest automatisch durch drücken der Tab-Taste. Hier ist ein Beispiel. Angenommen, Sie haben zwei Dateien foobar und foo.bar. Die Datei foo.bar möchten Sie löschen. Nun würden Sie an der Tastatur eingeben: rm fo[Tab]. [Tab]. Die Shell würde dannrm foo[BEEP].bar ausgeben. [BEEP] meint den Rechner-Piepser. Diesen gibt die Shell aus, um anzuzeigen, daß es den Dateinamen nicht vervollständigen konnte, da es mehrere Möglichkeiten gibt. Beide Dateien foobar und foo.bar beginnen mit fo, so konnte nur bis foo ergänzt werden. Nachdem Sie . eingaben und dann die Tab-Taste drückten, konnte die Shell den Rest für Sie ausfüllen. Umgebungsvariablen Eine andere Funktion der Shell sind die Umgebungsvariablen. Das sind veränderbare Schlüsselpaare im Umgebungsraum der Shell. Diesen Umgebungsraum kann jedes von der Shell aufgerufene Programm lesen. So kommt es, daß viel Programmkonfiguration darin enthalten ist. Hier eine Liste verbreiteter Umgebungsvariablen und was sie bedeuten: Umgebungsvariablen Variable Beschreibung USER Name des zur Zeit angemeldeten Benutzers. PATH Liste mit Verzeichnissen (getrennt durch Doppelpunkt) zum Suchen nach Programmen. DISPLAY Wenn gesetzt der Netzwerkname des X11 Bildschirms für die Anzeige. SHELL Die aktuelle Shell. TERM Name des Terminals des Benutzers. Benutzt, um die Fähigkeiten des Terminals bestimmen. TERMCAP Datenbankeintrag der Terminal Escape Codes, benötigt um verschieden Terminalfunktionen auszuführen. OSTYPE Typ des Betriebsystems. Z.B., FreeBSD. MACHTYPE Die CPU Architektur auf dem das System läuft. EDITOR Vom Benutzer bevorzugter Text-Editor. PAGER Vom Benutzer bevorzugter Text-Betrachter. MANPATH Liste mit Verzeichnissen (getrennt durch Doppelpunkt) zum Suchen nach Man-Pages. Das Anzeigen oder Setzen von Umgebungsvariablen funktioniert von Shell zu Shell unterschiedlich. Zum Beispiel benutzt man in C-artigen Shells wie der tcsh dazu setenv. Unter Bourne-Shells wie sh oder bash würde man set und export benutzen zum ansehen oder setzen von aktuellen Umgebungsvariablen. Um beispielsweise die Variable EDITOR mit csh oder tcsh zu setzen, würde folgendes Kommando die Variable EDITOR auf /usr/local/bin/emacs setzen: &prompt.user; setenv EDITOR /usr/local/bin/emacs Unter Bourne-Shells: &prompt.user; export EDITOR="/usr/local/bin/emacs" Sie können die meisten Shells Umgebungsvariablen expandieren lassen, in dem Sie in der Kommandozeile ein $ davor eingeben. Zum Beispiel gibt echo $TERM aus, worauf $TERM gesetzt ist, weil die Shell $TERM expandiert und das Ergebnis an echo gibt. Shells behandeln eine Menge an Spezialzeichen, sogenannte Metazeichen, als besondere Darstellungen für Daten. Das allgemeinste ist das Zeichen *, das eine beliebige Anzahl Zeichen in einem Dateinamen repräsentiert. Das Kommando echo * liefert nahezu das gleiche wie die Eingabe von ls, da die Shell alle Dateinamen die mit * übereinstimmen an echo weitergibt. Um zu verhindern, daß die Shell diese Sonderzeichen interpretiert, kann man sie schützen, indem man ihnen einen Backslash (\) voranstellt. echo $TERM gibt aus, auf was auch immer Ihr Terminal gesetzt ist. echo \$TERM gibt $TERM genauso aus, wie es hier steht. Ändern der Shell Der einfachste Weg Ihre Shell zu ändern, ist das Kommando chsh zu benutzen. chsh platziert Sie im Editor, welcher durch Ihre Umgebungsvariable EDITOR gesetzt ist, im vi wenn die Variable nicht gesetzt ist. Ändern Sie die Zeile mit Shell: entsprechend Ihren Wünschen. Sie können auch chsh mit der Option aufrufen, dann wird Ihre Shell gesetzt, ohne dasß Sie in einen Editor gelangen. Um Ihre Shell zum Beispiel auf die bash zu ändern, geben Sie das folgende Kommando ein: &prompt.user; chsh -s /usr/local/bin/bash Einfach chsh ohne Optionen und mit Editieren der entsprechenden Zeile würde auch funktionieren. Die von Ihnen gewünschte Shell muß in /etc/shells aufgeführt sein. Haben Sie eine Shell aus der Ports Sammlung installiert, sollte das schon automatisch erledigt werden. Installierten Sie die Shell von Hand, so müssen Sie sie dort eintragen. Haben Sie beispielsweise die bash nach /usr/local/bin installiert, wollen Sie dies tun: &prompt.root; echo "/usr/local/bin/bash" >> /etc/shells Danach können Sie chsh aufrufen. Text Editoren Text Editoren Editoren Eine Menge der Konfiguration bei FreeBSD wird durch das Editieren von Textdateien erledigt. Deshalb ist es eine gute Idee, mit einem Texteditor vertraut zu werden. FreeBSD hat ein paar davon im Basissystem und sehr viel mehr in der Ports Sammlung. ee Der am leichtesten und einfachsten zu erlernende Editor nennt sich ee, was für easy editor steht. Um ee zu starten, gibt man in der Kommandozeile ee filename ein, worin filename der Name der zu editierenden Datei ist. Um zum Beispiel /etc/rc.conf zu editieren, tippen Sie ee /etc/rc.conf. Einmal im Editor, finden Sie alle Editor-Funktionen oben im Display aufgelistet. Das Einschaltungszeichen ^ meint die Control (oft Steuerung) Taste, also ^e heißt, daß die Controltaste und dann der Buchstabe e gedrückt werden. Um ee zu verlassen, einfach die Escapetaste drücken und leave editor wählen. Der Editor fragt Sie nach, ob Sie speichern möchten, wenn die Datei verändert wurde. vi Text Editoren vi emacs Text Editoren emacs FreeBSD verfügt über leistungsfähigere Editoren wie vi als Teil des Basissystems und emacs oder vim als Teil der Ports Sammlung. Diese Editoren bieten höhere Funktionalität und Leistungsfähigkeit jedoch auf Kosten einer etwas schwierigeren Erlernbarkeit. Dennoch, wenn Sie viel Textdateien editieren werden, sparen Sie auf lange Sicht mehr Zeit ein durch das Erlernen solcher Editoren wie vim oder emacs. Geräte und Gerätedateien Der Begriff Gerät wird meist in Verbindung mit Hardware wie Laufwerken, Druckern, Grafikkarten oder Tastaturen gebraucht. Der Großteil der Meldungen, die beim Booten von FreeBSD angezeigt werden, beziehen sich auf gefundene Geräte. Sie können sich die Bootmeldungen später in /var/run/dmesg.boot ansehen. Gerätenamen, die Sie wahrscheinlich in den Bootmeldungen sehen werden, sind zum Beispiel acd0, das erste IDE CDROM oder kbd0, die Tastatur. Auf die meisten Geräte wird unter Unix über spezielle Gerätedateien im /dev Verzeichnis zugegriffen. Anlegen von Gerätedateien Wenn sie ein neues Gerät zu Ihrem System hinzufügen, oder die Unterstützung für zusätzliche Geräte kompilieren, muß oft ein Gerätetreiber erstellt werden. MAKEDEV Skript Auf Systemen ohne DEVFS müssen Gerätedateien mit &man.MAKEDEV.8; wie unten gezeigt angelegt werden: &prompt.root; cd /dev &prompt.root; sh MAKEDEV ad1 Im Beispiel werden alle Gerätedateien für das zweite IDE Laufwerk angelegt. devfs (Gerätedateisystem) Das Gerätedateisystem devfs ermöglicht durch den Namensraum des Dateisystems Zugriff auf den Namensraum der Geräte im Kernel. Damit müssen Gerätedateien nicht mehr extra angelegt werden, sondern werden von devfs verwaltet. Weitere Informationen finden Sie in &man.devfs.5;. In der Grundeinstellung benutzt FreeBSD 5.0 devfs. Weitere Informationen... Manual-Pages Manual-Pages Die umfassendste Dokumentation rund um FreeBSD gibt es in Form von Manual-Pages. Annähernd jedes Programm im System bringt eine kurze Referenzdokumentation mit, die die grundsätzliche Funktion und verschiedene Parameter erklärt. Diese Dokumentationen kann man mit dem man Kommando benutzen. Die Benutzung des man Kommandos ist einfach: &prompt.user; man Kommando Kommando ist der Name des Kommandos, über das Sie etwas erfahren wollen. Um beispielsweise mehr über das Kommando ls zu lernen, geben Sie ein: &prompt.user; man ls Die Online-Dokumentation ist in nummerierte Sektionen unterteilt: Benutzerkommandos. Systemaufrufe und Fehlernummern. Funktionen der C Bibliothek. Gerätetreiber. Dateiformate. Spiele und andere Unterhaltung. Verschiedene Informationen. Systemverwaltung und -Kommandos. Kernel Entwickler. In einigen Fällen kann dasselbe Thema in mehreren Sektionen auftauchen. Es gibt zum Beispiel ein chmod Benutzerkommando und einen chmod() Systemaufruf. In diesem Fall können Sie dem man Kommando sagen, aus welcher Sektion Sie die Information erhalten möchten, indem Sie die Sektion mit angeben: &prompt.user; man 1 chmod Dies wird Ihnen die Man-Page für das Benutzerkommando chmod zeigen. Verweise auf eine Sektion der Man-Pages werden traditionsgemäß in Klammern gesetzt. So bezieht sich &man.chmod.1; auf das Benutzerkommando chmod und mit &man.chmod.2; ist der Systemaufruf gemeint. Das ist nett, wenn Sie den Namen eines Kommandos wissen, und lediglich wissen wollen, wie es zu benutzen ist. Aber was tun Sie, wenn Sie Sich nicht an den Namen des Kommandos erinnern können? Sie können man benutzen, um nach Schlüsselbegriffen in den Kommandobeschreibungen zu suchen, indem Sie den Parameter benutzen: &prompt.user; man -k mail Mit diesem Kommando bekommen Sie eine Liste der Kommandos, deren Beschreibung das Schlüsselwort mail enthält. Diese Funktionalität erhalten Sie auch, wenn Sie das Kommando apropos benutzen. Nun, Sie schauen Sich alle die geheimnisvollen Kommandos in /usr/bin an, haben aber nicht den blassesten Schimmer, wozu die meisten davon gut sind? Dann geben Sie doch einfach &prompt.user; cd /usr/bin &prompt.user; man -f * oder &prompt.user; cd /usr/bin &prompt.user; whatis * ein, beides tut dasselbe GNU Info Dateien FreeBSD enthält viele Applikationen und Utilities der Free Software Foundation (FSF). Zusätzlich zu den Manual-Pages bringen diese Programme ausführlichere Hypertext-Dokumente (info genannt) mit, welche man sich mit dem Kommando info ansehen kann. Wenn Sie emacs installiert haben, können Sie auch dessen info-Modus benutzen. Um das Kommando &man.info.1; zu benutzen, geben Sie einfach ein: &prompt.user; info Eine kurze Einführung gibt es mit h; eine Befehlsreferenz erhalten Sie durch Eingabe von: ?. diff --git a/de_DE.ISO8859-1/books/handbook/ports/chapter.sgml b/de_DE.ISO8859-1/books/handbook/ports/chapter.sgml index 28d90a6afa..36f2b7df77 100644 --- a/de_DE.ISO8859-1/books/handbook/ports/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/ports/chapter.sgml @@ -1,1044 +1,1608 @@ - Installieren von Anwendungen: Die Ports-Sammlung - - Neu geschrieben von &a.jim;, 22 November 1999. - Ursprüngliche Version von verschiedenen Leuten. - Übersetzt von &a.de.pierau, Juli 2000 + + + + Uwe + Pierau + Übersetzt von + + + + + Installieren von Anwendungen: Pakete und Ports Übersicht - Die FreeBSD Ports-Sammlung erlaubt Ihnen das Übersetzen - und Installieren einer Vielzahl von Anwendungen mit minimalem - Aufwand. - - Ein Port ist gewöhnlich eine Gruppe von Gerüsten, die die minimalen - Anpassungen enthalten, welche nötig sind, damit sich - eine Anwendung unter FreeBSD übersetzen und installieren - läßt. - - Trotz des ganzen Geredes von offenen Standards kann es eine - verzwickte Angelegenheit werden, eine Anwendung unter verschiedenen - UNIX Versionen zu übersetzen. Sie können zufrieden sein, - wenn sich die Anwendung sauber übersetzen läßt, in die - richtigen Verzeichnisse installiert und out-of-the-box - fehlerfrei läuft. Dies wird aber sehr selten vorkommen. - Die meiste Zeit werden Sie Modifizierungen vornehmen müssen, damit - die Anwendung funktioniert. An diesem Punkt kommt die Ports-Sammlung - zum Zuge. - - Die Grundidee hinter der Ports-Sammlung ist, all die - verwirrenden Schritte zu eliminieren, welche nötig sind, - damit alles richtig funktioniert, so daß die Installation - einfach und schmerzlos ist. Mit der Ports-Sammlung ist die - ganze harte Arbeit bereits für Sie getan und Sie brauchen - zum Installieren eines Ports aus der Ports-Sammlung lediglich - make install eingeben. + Ports + Pakete + FreeBSD enthält sehr viele Systemwerkzeuge, die Teil des + Basissystems sind. Allerdings sind Sie früher oder später + auf Software Dritter angewiesen, damit Sie bestimmte Arbeiten + durchführen können. Um diese Software zu installieren, + stellt FreeBSD zwei, sich ergänzende, Methoden zur + Verfügung: Die Ports-Sammlung und binäre Softwarepakete. + Sie können beide Methoden benutzen, um Ihre Lieblingsanwendungen + von lokalen Medien oder über das Netzwerk zu + installieren. + + Nachdem Sie dieses Kapitel durchgearbeitet haben, werden Sie + wissen + + + + wie Sie binäre Softwarepakete installieren, + + + wie Sie Software Dritter mit der Ports-Sammlung bauen + und + + + wie Sie zuvor installierte Pakete oder Ports von einem + System entfernen. + + + + + + Installation von Software + + Wenn Sie schon einmal ein Unix System benutzt haben, werden Sie + wissen, daß zusätzliche Software meist wie folgt + installiert wird: + + + + Download der Software, die als Quelltext oder im + Binärformat vorliegen kann. + + + + Auspacken der Software, die typischerweise ein mit + &man.compress.1; oder &man.gzip.1; komprimiertes Tar-Archiv + enthält. + + + + Durchsuchen der Dokumentation, meist eine Datei namens + README oder mehrere Dateien im Verzeichnis + doc/, nach Informationen, wie die Software + zu installieren ist. + + + + Kompilieren der Software wenn sie als Quelltext vorliegt. + Dazu müssen Sie vielleicht das Makefile + anpassen, oder configure laufen lassen, oder + andere Arbeiten durchführen. + + + + Testen und installieren der Software. + + + + Das beschreibt aber nur den optimalen Fall. Wenn Sie + Software installieren, die nicht speziell für FreeBSD + geschrieben wurde, müssen Sie vielleicht sogar den Quelltext + anpassen, damit die Software funktioniert. + + Wenn Sie unbedingt wollen, können Sie mit FreeBSD Software + nach der althergebrachten Methode installieren. Mit + Paketen oder Ports bietet Ihnen FreeBSD allerdings zwei Methoden an, + die Ihnen sehr viel Zeit sparen können. Zur Zeit werden über + &os.numports; Anwendungen Dritter über diese Methoden zur + Verfügung gestellt. + + Das FreeBSD Paket einer Anwendung besteht aus einer einzigen + Datei, die Sie sich herunterladen müssen. Das Paket + enthält schon übersetzte Kommandos der Anwendung, sowie + zusätzliche Konfigurationsdateien oder Dokumentation. Zur + Handhabung der Pakete stellt FreeBSD Kommandos wie &man.pkg.add.1;, + &man.pkg.delete.1; oder &man.pkg.info.1; zur Verfügung. + + Mit diesem System können neue Anwendungen mit einem + Kommando, pkg_add, installiert werden. + + Der FreeBSD Port einer Anwendung ist eine Sammlung von Dateien, + die das Kompilieren der Quelltexte einer Anwendung + automatisieren. + + Die Dateien eines Ports führen für Sie alle oben + aufgeführten Schritte zum Installieren einer Anwendung durch. + Mit einigen wenigen Kommandos wird der Quellcode der Anwendung + automatisch heruntergeladen, ausgepackt, gepatcht, übersetzt und + installiert. + + Tatsächlich kann das Portsystem auch dazu benutzt werden, + Pakete zu generieren, die Sie mit den gleich beschriebenen Kommandos, + wie pkg_add, manipulieren können. + + Pakete und Ports beachten Abhängigkeiten zwischen + Anwendungen. Angenommen, Sie wollen eine Anwendung installieren, + die von einer Bibliothek abhängt und die Anwendung wie die + Bibliothek sind als Paket oder Port für FreeBSD verfügbar. + Wenn Sie pkg_add oder das Portsystem benutzen, + um die Anwendung zu installieren, werden Sie bemerken, daß + die Bibliothek zuerst installiert wird, wenn sie nicht schon vorher + installiert war. + + Sie werden sich fragen, warum FreeBSD Pakete und Ports + unterstützt, wo doch beide Methoden fast gleiches leisten. + Beide Methoden haben ihre Stärken und welche Sie einsetzen, + hängt letztlich von Ihren Vorlieben ab. + + + Vorteile von Paketen + + + Das komprimierte Paket einer Anwendung ist normalerweise + kleiner als das komprimierte Archiv der Quelltexte. + + + + Pakete müssen nicht mehr kompiliert werden. Dies ist + ein Vorteil, wenn Sie große Pakete, wie + Mozilla, KDE + oder GNOME auf langsamen Maschinen + installieren. + + + + Wenn Sie Pakete verwenden, brauchen Sie nicht zu verstehen, + wie Sie Software unter FreeBSD kompilieren. + + + + + Vorteile von Ports + + + Da die Pakete auf möglichst vielen System laufen sollen, + werden Optionen beim Übersetzen zurückhaltend gesetzt. + Wenn Sie eine Anwendung über die Ports installieren, + können Sie die Angabe der Optionen optimieren. Zum Beispiel + können Sie spezifischen Code für Pentium III oder + Athlon Prozessoren erzeugen. + + + + Die Eigenschaften einiger Anwendungen werden über + Optionen zum Zeitpunkt des Übersetzens festgelegt. + Apache kann zum Beispiel über + viele eingebaute Optionen konfiguriert werden. Wenn Sie das + Portsystem benutzen, können Sie die Vorgaben für die + Optionen überschreiben. + + Für einige Fälle existieren verschiedene + Pakete einer Anwendung, die beim Übersetzen + unterschiedlich konfiguriert wurden. Für + Ghostscript gibt es ein + ghostscript-Paket und ein + ghostscript-nox11-Paket, die sich durch die + X11 Unterstützung unterscheiden. Diese grobe Unterscheidung + ist mit dem Paketsystem möglich, wird aber schnell + unhandlich, wenn eine Anwendung mehr als ein oder zwei Optionen + zum Zeitpunkt des Übersetzens besitzt. + + + + Die Lizenzbestimmungen mancher Software verbietet ein + Verbreiten in binärer Form. Diese Software muß als + Quelltext ausgeliefert werden. + + + + Einige Leute trauen binären Distributionen nicht. Wenn + Sie den Quelltext besitzen, können Sie sich diesen + (zumindest theoretisch) durchlesen und nach möglichen Problemen + durchsuchen. + + + + Wenn Sie eigene Anpassungen besitzen, benötigen Sie den + Quelltext, um diese anzuwenden. + + + + Manch einer besitzt gerne den Quelltext, um ihn zu lesen, + wenn es einmal langweilig ist, ihn zu hacken, oder sich einfach + ein paar Sachen abzugucken (natürlich nur, wenn es die + Lizenzbestimmungen erlauben). + + + + Wenn Sie über aktualisierte Ports informiert sein wollen, + lesen Sie bitte die Mailingliste &a.ports;. + + Der Rest dieses Kapitels beschreibt, wie Sie Software Dritter mit + Paketen oder Ports auf einem FreeBSD System installieren und + verwalten. + + + + Suchen einer Anwendung + + Bevor Sie eine Anwendung installieren, müssen Sie deren + Art und Namen kennen. + + Die Zahl der nach FreeBSD portierten Anwendungen steigt + ständig. Zum Glück gibt es einige Wege, die richtige zu + finden. + + + + Eine aktuelle Liste verfügbarer Anwendungen, die sich + auch durchsuchen läßt, finden Sie unter http://www.FreeBSD.org/ports/. + Die Anwendungen sind in Kategorien unterteilt und Sie + können sich alle Anwendungen einer Kategorie anzeigen + lassen. Wenn Sie den Namen der Anwendung kennen, können + Sie natürlich auch direkt nach dem Namen suchen. + + + FreshPorts + + + FreshPorts, das von Dan Langille gepflegt wird, erreichen Sie + unter + http://www.FreshPorts.org/. FreshPorts verfolgt + Änderungen an Anwendungen aus den Ports. Mit FreshPorts + können Sie ein oder mehrere Ports beobachten und sich eine + E-Mail schicken lassen, wenn ein Port aktualisiert wird. + + + FreshMeat + + + Wenn Sie den Namen einer Anwendung nicht kennen, versuchen + Sie eine Webseite wie FreshMeat (http://www.freshmeat.net/), + um eine passende Anwendung zu finden. Schauen Sie dann auf der + FreeBSD Webseite nach, ob die Anwendung schon portiert + wurde. + + + + + + + Chern + Lee + Beigesteuert von + + + + + + Benutzen des Paketsystems + + + Installieren eines Pakets + + Pakete + installieren + + + + pkg_add + + Mit &man.pkg.add.1; können Sie ein FreeBSD Paket von einer + lokalen Datei oder über das Netzwerk installieren. + + + Download und Installation eines Paketes + + &prompt.root; ftp -a ftp2.FreeBSD.org +Connected to ftp2.FreeBSD.org. +220 ftp2.FreeBSD.org FTP server (Version 6.00LS) ready. +331 Guest login ok, send your email address as password. +230- +230- This machine is in Vienna, VA, USA, hosted by Verio. +230- Questions? E-mail freebsd@vienna.verio.net. +230- +230- +230 Guest login ok, access restrictions apply. +Remote system type is UNIX. +Using binary mode to transfer files. +ftp> cd /pub/FreeBSD/ports/packages/sysutils/ +250 CWD command successful. +ftp> get lsof-4.56.4.tgz +local: lsof-4.56.4.tgz remote: lsof-4.56.4.tgz +200 PORT command successful. +150 Opening BINARY mode data connection for 'lsof-4.56.4.tgz' (92375 bytes). +100% |**************************************************| 92375 00:00 ETA +226 Transfer complete. +92375 bytes received in 5.60 seconds (16.11 KB/s) +ftp> exit +&prompt.root; pkg_add lsof-4.56.4.tgz + + + Wenn Sie die Pakete nicht lokal vorliegen haben (zum Beispiel + auf den FreeBSD CDROMs), ist es wahrscheinlich einfacher den + Schalter von &man.pkg.add.1; zu verwenden. Das + Werkzeug bestimmt dann automatisch das nötige Objektformat und + die richtige Version des Pakets, lädt dieses dann von einem + FTP-Server und installiert das Paket. + + + pkg_add + &prompt.root; pkg_add -r lsof-4.56.4 + + Das obige Beispiel würde ohne weitere Interaktion das + richtige Paket herunterladen und installieren. + + Pakete werden im .tgz Format ausgeliefert. + Sie finden Sie unter + ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/packages/ oder + auf der FreeBSD CDROM Distribution. Jede CD der FreeBSD + Distribution (oder des PowerPaks) enthält Pakete im + Verzeichnis /packages. Die Struktur des + Paketbaums entspricht dem /usr/ports Baum. + Jede Kategorie besitzt ein eigenes Verzeichnis und alle + Pakete befinden sich im Verzeichnis + All. + + Die Verzeichnisstruktur des Paketbaums ist ein Abbild der + Ports, da beide Systeme eng zusammenarbeiten. + + + + Entfernen eines Pakets + + pkg_delete + + + Pakete + entfernen + + Um ein zuvor installiertes Paket zu entfernen, benutzen Sie das + Werkzeug &man.pkg.delete.1;. + + &prompt.root; pkg_delete xchat-1.7.1 + + + + Verwalten von Paketen + + + Pakete + verwalten + + &man.pkg.info.1; zeigt alle installierten Pakete und deren + Beschreibung an. + + + pkg_info + + &prompt.root; pkg_info +cvsup-16.1 A general network file distribution system optimized for CV +docbook-1.2 Meta-port for the different versions of the DocBook DTD +... + &man.pkg.version.1; vergleicht die Version installierter Pakete + mit der Version aus der Ports-Sammlung. + + pkg_version + + &prompt.root; pkg_version +cvsup = +docbook = +... + + Die Symbole in der zweiten Spalte zeigen das Alter des Pakets + im Vergleich zu der lokalen Version aus der Ports-Sammlung an. + + + + + + Symbol + Bedeutung + + + + + + = + Die Version des installierten Paketes stimmt mit der + Version aus der lokalen Ports-Sammlung überein. + + + + < + Die installierte Version ist älter als die der + verfügbaren Version aus der Ports-Sammlung. + + + + > + Die installierte Version ist neuer als die aus der + Ports-Sammlung (Eventuell ist die lokale Ports-Sammlung + veraltet). + + + + ? + Das installierte Paket konnte in der Ports-Sammlung + nicht gefunden werden. + + + + * + In der Ports-Sammlung befinden sich mehrere Versionen + der Anwendung. + + + + + + + + Verschiedenes + Informationen über alle installierte Pakete werden in + /var/db/pkg abgelegt. Das Verzeichnis + enthält Dateien, in denen sich die Beschreibungen der Pakete + und Listen von Dateien, die zu einem Paket gehören, + befinden. + + + Benutzen der Ports-Sammlung Die folgenden Abschnitte stellen die grundlegenden Anweisungen vor, um Anwendungen aus der Ports-Sammlung auf Ihren Rechner zu installieren oder zu löschen. + + Installation der Ports-Sammlung + + Bevor Sie einen Port installieren können, müssen Sie + zuerst die Ports-Sammlung installieren, die aus Makefiles, Patches + und Beschreibungen besteht. Die Ports-Sammlung wird + für gewöhnlich unter /usr/ports + installiert. + + Bei der FreeBSD Installation hatten Sie in + Sysinstall die Möglichkeit, die + Ports-Sammlung zu installieren. Wenn Sie die Sammlung damals nicht + installiert haben, können Sie das mit den folgenden + Anweisungen nachholen: + + + Installieren mit <application>Sysinstall</application> + + Sie können die Ports-Sammlung nachträglich mit + sysinstall installieren. + + + Führen Sie als root + /stand/sysinstall aus: + + &prompt.root; /stand/sysinstall + + + + Wählen Sie den Punkt Configure + aus und drücken Sie Enter. + + + + Wählen Sie dann Distributions aus + und drücken Sie Enter. + + + + In diesem Menü wählen Sie + ports aus und drücken die + Leertaste. + + + + Danach wählen Sie Exit aus und + drücken Enter. + + + + Legen Sie nun ein geeignetes Installationsmedium, wie CDROM + oder FTP, fest. + + + + Verlassen Sie sysinstall. + + + + Alternativ können Sie die Ports-Sammlung auch mit + CVSup installieren und aktualisieren. + Ein Beispiel für die Konfiguration von + CVSup finden Sie in + /usr/share/examples/cvsup/ports-supfile. + Weitere Informationen über CVSup + finden Sie in Benutzen von CVSup + . + + + Installieren mit <application>CVSup</application> + + Dies ist eine schnelle Methode um die Ports-Sammlung zu + aktualisieren. + + + Installieren Sie den net/cvsup Port. Weitere + Informationen finden Sie in Benutzen von CVSup. + + + + Kopieren Sie als root + /usr/share/examples/cvsup/ports-supfile an + einen neuen Ort, beispielsweise nach /root + oder in Ihr Heimatverzeichnis. + + + + Editieren Sie die Kopie von + ports-supfile. + + + + Ersetzen Sie + CHANGE_THIS.FreeBSD.org durch einen + CVSup-Server in Ihrer Nähe. + Eine vollständige Liste der + CVSup-Spiegel finden Sie in + CVSup Spiegel. + + + + Führen Sie cvsup aus: + + &prompt.root; cvsup -g -L 2 /root/ports-supfile + + + + Benutzen Sie dieses Kommando regelmäßig, um die + Ports-Sammlung zu aktualisieren. + + + + Ports installieren + + Ports + installieren + + Was ist mit einem Gerüst im Zusammenhang mit der Ports-Sammlung gemeint? In aller Kürze: ein - Gerüst eines Ports ist ein minimaler Satz von Dateien, die - für eine Anwendung benötigt werden, damit es sich - unter FreeBSD sauber übersetzen und installieren - läßt. Ein jeder Port beinhaltet: + Gerüst eines Ports ist ein minimaler Satz von Dateien, mit + denen das FreeBSD System eine Anwendung sauber übersetzen und + installieren kann. Ein jeder Port beinhaltet: Eine Datei Makefile. Das Makefile enthält verschiedene - Anweisungen, die spezifizieren, wie die Anwendung kompiliert - werden und wo sie auf Ihrem System installiert werden + Anweisungen, die spezifizieren, wie eine Anwendung kompiliert + wird und wo sie auf Ihrem System installiert werden sollte. Eine Datei distinfo. Diese - enthält Informationen, welche Dateien herunter geladen + enthält Informationen, welche Dateien heruntergeladen werden müssen, sowie Prüfsummen, um sicher zu gehen, daß diese Dateien während des Herunterladens nicht beschädigt wurden. Ein files Verzeichnis. Hierin liegen Patches, welche das Übersetzen und Installieren der Anwendung ermöglichen. Patches sind im Wesentlichen kleine Dateien, die Änderungen an speziellen Dateien spezifizieren. Sie liegen als reiner Text vor und sagen ungefähr: Lösche Zeile 10 oder Ändere Zeile 26 zu .... Patches sind auch bekannt unter dem Namen diffs, weil Sie mit dem Programm diff erstellt werden. Dieses Verzeichnis kann auch noch andere Dateien enthalten, - welche zum Bauen des Portes benutzt werden. + welche zum Bauen des Ports benutzt werden. Eine Datei pkg-comment. Eine einzeilige Beschreibung der Anwendung. Eine Datei pkg-descr. Eine ausführlichere, oft mehrzeilige Beschreibung der Anwendung. Eine Datei pkg-plist. Das ist eine Liste aller Dateien, die durch diesen Port installiert werden. - Außerdem sind hier Informationen enthalten, die bei der - Deinstallation des Ports benötigt werden. + Außerdem sind hier Informationen enthalten, die zum + Entfernen des Ports benötigt werden. + Einige Ports besitzen noch andere Dateien, wie + pkg-message, die vom Portsystem benutzt + werden, um spezielle Situationen zu handhaben. Wenn Sie mehr + über diese Dateien oder das Port-System erfahren sollen, lesen + Sie bitte im FreeBSD + Handbuch für Portierer weiter. + Nun haben Sie genug Hintergrund Informationen über die Ports-Sammlung und Sie können Ihren ersten Port - installieren. Es gibt dazu zwei Möglichkeiten, beide - werden im Folgenden erläutert. + installieren. Es gibt dazu zwei Möglichkeiten, die + im folgenden erläutert werden. Bevor Sie damit beginnen, müssen Sie sich natürlich einen Port zum Installieren aussuchen. Sie können dazu mehrere Wege gehen, als einfachste Methode gibt es die - Liste aller Ports auf - dem FreeBSD Web-Server. Sie können dort Suchen + Liste aller Ports auf + dem FreeBSD Web-Server. Sie können dort suchen oder in der Liste schmökern. Jeder Port enthält außerdem eine Beschreibung, so daß Sie sich vor der Entscheidung, welchen Port Sie installieren wollen, über den Port informieren können. Eine andere Methode bietet das Kommando whereis. Um whereis zu benutzen, geben Sie einfach - whereis <Programm, daß Sie - installieren möchten> ein. Wenn es auf - Ihrem System gefunden wird, wird das wie im folgenden Beispiel anzeigt: - + whereis Datei ein. + Setzen Sie für Datei den Namen des + Programms ein, das Sie suchen: - &prompt.root; whereis xchat -xchat: /usr/ports/irc/xchat -&prompt.root; + &prompt.root; whereis lsof +lsof: /usr/ports/sysutils/lsof - Dies sagt uns, daß xchat (ein IRC-Client) im - Verzeichnis /usr/ports/irc/xchat - gefunden werden kann. + Damit haben wir herausgefunden, daß sich + lsof, ein Systemwerkzeug, in + /usr/ports/sysutils/lsof befindet. - Ein noch anderer Weg, einen bestimmten Port zu finden ist, + Ein weiterer Weg, einen bestimmten Port zu finden, ist es, die eingebaute Suchfunktion der Ports-Sammlung zu benutzen. Dazu müssen Sie im Verzeichnis /usr/ports sein. Darin geben Sie - make search key=Anwendungsname ein, worin - Anwendungsname der Name der von Ihnen gesuchten - Anwendung ist. Wenn Sie zum Beispiel nach xchat suchten: + make search name=Anwendungsname + ein, worin Anwendungsname + der Name der von Ihnen gesuchten Anwendung ist. Wenn Sie + zum Beispiel nach lsof suchen: &prompt.root; cd /usr/ports -&prompt.root; make search key=xchat -Port: xchat-1.3.8 -Path: /usr/ports/irc/xchat -Info: An X11 IRC client using the GTK+ toolkit, and optionally, GNOME -Maint: jim@FreeBSD.org -Index: irc -B-deps: XFree86-3.3.5 bzip2-0.9.5d gettext-0.10.35 giflib-4.1.0 glib-1.2.6 gmake-3.77 gtk-1.2.6 - imlib-1.9.8 jpeg-6b png-1.0.3 tiff-3.5.1 -R-deps: XFree86-3.3.5 gettext-0.10.35 giflib-4.1.0 glib-1.2.6 gtk-1.2.6 imlib-1.9.8 jpeg-6b - png-1.0.3 tiff-3.5.1 +&prompt.root; make search name=lsof +Port: lsof-4.56.4 +Path: /usr/ports/sysutils/lsof +Info: Lists information about open files (similar to fstat(1)) +Maint: obrien@FreeBSD.org +Index: sysutils +B-deps: +R-deps: Der Teil der Ausgabe der Sie interessiert ist die Zeile, die mit Path: beginnt, weil sie Ihnen sagt, wo der Port zu finden ist. Die anderen Informationen werden zum Installieren des Ports nicht direkt benötigt, Sie brauchen sich darum jetzt nicht weiter zu kümmern. + Mit make search key=Text + können Sie erweiterte Suchen durchführen. + Damit werden Portnamen, Kommentare, Beschreibungen und + Abhängigkeiten nach Text + durchsucht. Dies kann sehr nützlich sein, wenn Sie den Namen + des Programms, nach dem Sie suchen, nicht kennen. + + In beiden Fällen wird Groß- und Kleinschreibung bei + der Suche ignoriert. Die Suche nach LSOF wird + dieselben Ergebnisse wie die Suche nach lsof + liefern. + Zum Installieren von Ports müssen Sie als Benutzer root angemeldet sein. - Jetzt, wo Sie den gewünschten Port gefunden haben, kann es - mit der eigentlichen Installation losgehen. + Jetzt, wo Sie den gewünschten Port gefunden haben, kann es + mit der eigentlichen Installation losgehen. Der Port enthält + Anweisungen, wie der Quelltext zu bauen ist, enthält aber + nicht den Quelltext selber. Den Quelltext erhalten Sie von einer + CDROM oder aus dem Internet. Quelltexte werden in einem Format + nach Wahl des jeweiligen Software-Autors ausgeliefert. Häufig + ist dies ein gezipptes Tar-Archiv, aber es kann auch mit einem + anderen Tool komprimiert oder gar nicht komprimiert sein. Der + Quelltext, in welcher Form er auch immer vorliegen mag, wird + Distfile genannt. Installation von einer CDROM - Wie Sie schon vermuten, geht dieser Abschnitt davon aus, - daß Sie eine FreeBSD-CDROM Zusammenstellung haben. - Wenn nicht, können Sie eine bei FreeBSD Mall - bestellen. - - Angenommen Ihre FreeBSD-CDROM ist im Laufwerk und nach - /cdrom eingebunden (und der Mount Punkt - muß das Verzeichnis - /cdrom sein), kann es mit dem Installieren - von Port losgehen. Zu Beginn gehen Sie in das Verzeichnis des - Portes, welchen Sie installieren möchten: - - &prompt.root; cd /usr/ports/irc/xchat - - Im Verzeichnis xchat kann man das Gerüst erkennen. Der + + Ports + Installation von einer CDROM + + Die offiziellen FreeBSD CDROMs enthalten keine Distfiles + mehr, da diese sehr viel Platz beanspruchen, der besser von + vorkompilierten Paketen genutzt werden kann. Andere FreeBSD CDROMs, + wie der FreeBSD PowerPak, enthalten Distfiles. + Diese CDROMs können Sie über einen Händler wie + FreeBSD Mall + beziehen. Dieser Abschnitt geht davon aus, daß Sie eine + solche CDROM Distribution besitzen. + + &prompt.root; cd /usr/ports/sysutils/lsof + + Im Verzeichnis lsof kann man das + Gerüst erkennen. Der nächste Schritt ist das Übersetzen (auch Bauen genannt) - des Portes. Dies wird durch Eingabe von make + des Ports. Dies wird durch Eingabe von make getan. Haben Sie das eingegeben, so werden Sie etwas lesen wie: &prompt.root; make ->> xchat-1.3.8.tar.bz2 doesn't seem to exist on this system. +>> lsof_4.57D.freebsd.tar.gz doesn't seem to exist in /usr/ports/distfiles/. >> Attempting to fetch from file:/cdrom/ports/distfiles/. -===> Extracting for xchat-1.3.8 ->> Checksum OK for xchat-1.3.8.tar.bz2. -===> xchat-1.3.8 depends on executable: bzip2 - found -===> xchat-1.3.8 depends on executable: gmake - found -===> xchat-1.3.8 depends on shared library: gtk12.2 - found -===> xchat-1.3.8 depends on shared library: Imlib.5 - found -===> xchat-1.3.8 depends on shared library: X11.6 - found -===> Patching for xchat-1.3.8 -===> Applying FreeBSD patches for xchat-1.3.8 -===> Configuring for xchat-1.3.8 +===> Extracting for lsof-4.57 +... +[Ausgabe des Auspackens weggelassen] +... +>> Checksum OK for lsof_4.57D.freebsd.tar.gz. +===> Patching for lsof-4.57 +===> Applying FreeBSD patches for lsof-4.57 +===> Configuring for lsof-4.57 ... [configure-Ausgabe weggelassen] ... -===> Building for xchat-1.3.8 +===> Building for lsof-4.57 ... [Ausgabe der Übersetzung weggelassen] ... &prompt.root; Ist die Übersetzungsprozedur beendet, sind Sie wieder in der Kommandozeile und der nächste Schritt ist das Installieren. Dazu hängen Sie einfach ein Wort an das make-Kommando, und dieses Wort ist install: &prompt.root; make install -===> Installing for xchat-1.3.8 -===> xchat-1.3.8 depends on shared library: gtk12.2 - found -===> xchat-1.3.8 depends on shared library: Imlib.5 - found -===> xchat-1.3.8 depends on shared library: X11.6 - found +===> Installing for lsof-4.57 ... [Ausgabe der Installation weggelassen] ... ===> Generating temporary packing list -===> Installing xchat docs in /usr/X11R6/share/doc/xchat -===> Registering installation for xchat-1.3.8 +===> Compressing manual pages for lsof-4.57 +===> Registering installation for lsof-4.57 +===> SECURITY NOTE: + This port has installed the following binaries which execute with + increased privileges. &prompt.root; - Wenn Sie wieder den Prompt haben, sollte Sie in der Lage - sein, die gerade installierte Anwendung laufen zu lassen. + Wenn Sie wieder den Prompt haben, sollten Sie in der Lage + sein, die gerade installierte Anwendung laufen zu lassen. Da + lsof eine Anwendung ist, die mit erhöhten + Rechten läuft, wird eine Sicherheitswarnung angezeigt. Sie + sollten alle Warnungen während des Baus und der Installation + eines Ports beachten. Sie können einen Schritt sparen, wenn Sie gleich - make install anstatt von + make install anstelle von make und dem anschließenden make install eingeben. Beachten Sie bitte, daß die Lizenzen einiger Ports die Einbeziehung auf der CDROM verbieten. Das könnte - aufgrund verschiedenster Gründe der Fall sein, beispielsweise + aufgrund verschiedener Gründe der Fall sein, beispielsweise weil man sich vor dem Herunterladen registrieren lassen muß oder eine Weiterverteilung verboten ist u.s.w. Wünschen Sie einen Port zu installieren, der nicht auf der CDROM enthalten ist, so müssen Sie online gehen und - mit Hilfe des nächsten - Abschnitts den Port installieren. + mit Hilfe des nächsten + Abschnitts den Port installieren. - Port vom Internet installieren + Ports vom Internet installieren Dieser Abschnitt setzt voraus, daß Sie eine Verbindung mit dem Internet haben. Haben Sie dies nicht, müssen Sie eine CDROM Installation durchführen. - Das Installieren eines Ports vom Internet wird genau so + Das Installieren eines Ports vom Internet wird genauso durchgeführt wie das Installieren von CDROM. Der einzige - Unterschied zwischen beiden ist, daß der Quellcode der - Anwendung vom Internet heruntergeladen und nicht von der CDROM + Unterschied zwischen beiden ist, daß das Distfile des + Ports vom Internet heruntergeladen und nicht von der CDROM genommen wird. Die durchgeführten Schritte sind identisch: &prompt.root; make install ->> xchat-1.3.8.tar.bz2 doesn't seem to exist on this system. ->> Attempting to fetch from http://xchat.org/files/v1.3/. -Receiving xchat-1.3.8.tar.bz2 (305543 bytes): 100% -305543 bytes transferred in 2.9 seconds (102.81 Kbytes/s) -===> Extracting for xchat-1.3.8 ->> Checksum OK for xchat-1.3.8.tar.bz2. -===> xchat-1.3.8 depends on executable: bzip2 - found -===> xchat-1.3.8 depends on executable: gmake - found -===> xchat-1.3.8 depends on shared library: gtk12.2 - found -===> xchat-1.3.8 depends on shared library: Imlib.5 - found -===> xchat-1.3.8 depends on shared library: X11.6 - found -===> Patching for xchat-1.3.8 -===> Applying FreeBSD patches for xchat-1.3.8 -===> Configuring for xchat-1.3.8 +>> lsof_4.57D.freebsd.tar.gz doesn't seem to exist in /usr/ports/distfiles/. +>> Attempting to fetch from ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/. +Receiving lsof_4.57D.freebsd.tar.gz (439860 bytes): 100% +439860 bytes transferred in 18.0 seconds (23.90 kBps) +===> Extracting for lsof-4.57 +... +[Ausgabe des Auspackens weggelassen] +... +>> Checksum OK for lsof_4.57D.freebsd.tar.gz. +===> Patching for lsof-4.57 +===> Applying FreeBSD patches for lsof-4.57 +===> Configuring for lsof-4.57 ... [configure-Ausgabe weggelassen] ... -===> Building for xchat-1.3.8 +===> Building for lsof-4.57 ... [Ausgabe der Übersetzung weggelassen] ... -===> Installing for xchat-1.3.8 -===> xchat-1.3.8 depends on shared library: gtk12.2 - found -===> xchat-1.3.8 depends on shared library: Imlib.5 - found -===> xchat-1.3.8 depends on shared library: X11.6 - found +===> Installing for lsof-4.57 ... [Ausgabe der Installation weggelassen] ... ===> Generating temporary packing list -===> Installing xchat docs in /usr/X11R6/share/doc/xchat -===> Registering installation for xchat-1.3.8 +===> Compressing manual pages for lsof-4.57 +===> Registering installation for lsof-4.57 +===> SECURITY NOTE: + This port has installed the following binaries which execute with + increased privileges. &prompt.root; Wie Sie sehen können, besteht der einzige Unterschied in der Zeile, die Ihnen sagt, woher das System den Quellcode - herholt. + holt. - Obiges erklärte Ihnen, wie Sie Ports auf Ihrem Computer - installieren können. Hiernach lernen Sie, wie Sie einen + Sie wissen nun, wie Sie Ports auf Ihrem Computer + installieren können. Jetzt lernen Sie, wie Sie einen Port wieder von Ihrem System löschen. Entfernen installierter Ports + + Ports + entfernen + Da Sie nun wissen, wie man einen Port installiert, wollen Sie - sicher auch wissen, wie man einen Port deinstalliert, für den - Fall, daß Sie versehentlich einen Falschen installiert haben. - Die nächsten Abschnitte decken genau dieses Thema ab. - - Nun wollen wir mal unser vorheriges Beispiel wieder + sicher auch wissen, wie man einen Port entfernt, für den + Fall, daß Sie versehentlich einen falschen installiert haben. + Nun wollen wir mal unser vorheriges Beispiel wieder löschen (für alle die nicht aufgepaßt haben, das - war xchat). Wie beim Installieren geht man zuerst in das - Verzeichnis des Portes, wie Sie sich erinnern werden war das - /usr/ports/irc/xchat. Danach ist man - in der Lage den Port zu deinstallieren. Dies wird mit dem - Kommando make deinstall getan (erscheint - sinnvoll, oder?): - - &prompt.root; cd /usr/ports/irc/xchat + war lsof). + Wie beim Installieren wechseln Sie zuerst in das Verzeichnis des + Ports /usr/ports/sysutils/lsof. Nachdem Sie + das Verzeichnis gewechselt haben, können Sie + lsof mit make deinstall + entfernen: + + &prompt.root; cd /usr/ports/sysutils/lsof &prompt.root; make deinstall -===> Deinstalling for xchat-1.3.8 -&prompt.root; +===> Deinstalling for lsof-4.57 - Das war leicht. Sie haben jetzt die Fähigkeit, xchat - von Ihrem System zu entfernen. Möchten Sie den Port doch + Das war leicht, Sie haben lsof + von Ihrem System entfernt. Möchten Sie den Port doch wieder neu installieren, geben Sie make reinstall im Verzeichnis - /usr/ports/irc/xchat ein. + /usr/ports/sysutils/lsof ein. + + make deinstall und make + reinstall funktionieren nicht mehr, wenn Sie einmal + make clean ausgeführt haben. Wenn Sie + dennoch einen Port nach einem make clean + entfernen möchten, benutzen Sie pkg_delete + wie im Abschnitt Benutzen des + Paketsystems beschrieben. + + Nach der Installation + + Nach der Installation einer neuen Anwendung wollen Sie + wahrscheinlich die mitgelieferte Dokumentation lesen und die + Konfigurationsdateien der Anwendung anpassen. Wenn die Anwendung + ein Dæmon ist, sollten Sie sicherstellen, daß die + Anwendung beim Booten startet. + + Die einzelnen Schritte sind natürlich von Anwendung zu + Anwendung verschieden. Wenn Sie sich allerdings nach der Installation + einer Anwendung die Frage Was nun? stellen, helfen die + folgenden Hinweise vielleicht weiter. + + + + Finden Sie mit &man.pkg.info.1; heraus, welche Dateien die + Anwendung wo installiert hat. Wenn Sie beispielsweise gerade + die Version 1.0.0 von FooPackage installiert haben, zeigt Ihnen + das folgende Kommando alle installierten Dateien des + Pakets: + + &prompt.root; pkg_info -L foopackage-1.0.0 | less + + Achten Sie besonders auf die Manual-Seiten, die Sie in + man/ Verzeichnissen finden und auf + Konfigurationsdateien, die in etc/ abgelegt + werden. Manche Pakete enthalten in doc/ + zusätzliche Dokumentation. + + Wenn Sie sich nicht sicher sind, welche Version einer + Anwendung Sie gerade installiert haben, können Sie mit dem + folgenden Kommando nach der Anwendung suchen: + + &prompt.root; pkg_info | grep foopackage + + Das Kommando zeigt alle installierten Pakete, deren + Paketname foopackage enthält. + Ersetzen Sie foopackage durch den + Namen der Anwendung, die Sie suchen. + + + + Nachdem Sie die Manual-Seiten der Anwendung gefunden haben, + lesen Sie diese bitte mit &man.man.1;. Schauen Sie sich auch die + Beispiele für Konfigurationsdateien und die zusätzliche + Dokumentation, wenn es welche gibt, an. + + + + Wenn es für die Anwendung eine Webseite gibt, suchen + Sie dort nach zusätzlicher Dokumentation wie FAQs + (häufig gestellte Fragen). Wenn Sie die Adresse der Webseite + nicht kennen, versuchen Sie das folgende Kommando: + + &prompt.root; pkg_info foopackage-1.0.0 + + Die Ausgabe enthält oft eine Zeile, die mit + WWW: beginnt und die URL der Webseite + enthält. + + + + Fehlersuche und -behebung - Die folgenden Zeilen beschreiben einige einfache + Der folgende Abschnitt beschreibt einige einfache Fehlerbehebungsmöglichkeiten beim Benutzen der Ports-Sammlung und ein paar Fehlerbehandlungen, falls ein Port kaputt ist. Einige Fragen und Antworten Ich dachte hierbei ging es um Modems??! Ah, Sie müssen an die serielle Schnittstelle auf der Rückseite Ihres Computers gedacht haben (engl. port). Wir benutzen hier Port als Ergebnis des - Portierens einer Anwendung von einer UNIX-Variante + Portierens einer Anwendung von einer Unix-Variante zu einer anderen. - - - Ich dachte man soll Packete (packages) benutzen, um - zusätzliche Anwendungen zu installieren? - - - - Ja, das ist gewöhnlich der schnellste und einfachste - Weg. - - - - - - Warum dann mit den Ports herumplagen? - - - - Aus verschiedenen Gründen: - - - - Die Lizenz-Bestimmungen einiger Software verbietet - Verteilung in binärer Form. Diese muß als - Quellcode verteilt werden. - - - - Einige Leute vertrauen bereits kompilierter Software - nicht. Mit dem Quellcode haben sie zumindest (in der - Theorie) die Möglichkeit, sich den Code anzusehen und - nach potentiellen Problemen für sich zu suchen. - - - - Haben Sie eigene Anpassungen, so benötigen Sie den - Quellcode, um diese vornehmen zu können. - - - - Sie könnten andere Ansichten darüber haben, - wie eine Anwendung übersetzt werden soll, als die Person - welche das Package erstellt hat — einige Leute haben - strenge Ansichten drüber, welche Optimierung benutzt, - ob eine Debug-Version erstellt oder ob anschließend - strip benutzt werden soll und so - weiter. - - - - Packages werden normalerweise mit recht konservativen - Einstellungen erstellt. Wenn ein Port spezielle Optionen - für einen speziellen Prozessor oder eine besondere - Karte in Ihrem Rechner hat, können Sie diese immer - benutzen und die Ersteller der Packages müssen nicht - sehr viele verschiedene davon bereitstellen. - - Die verbreiteste Ausnahme von dieser Regel ist das - Papierformat. Unterstützt ein Port von Haus aus - verschieden Formate, stellen wir auch verschiedene - packages bereit, eins pro Papierformat. - - - - Manche Menschen haben gerne Quellcode rumliegen, um - darin zu lesen, wenn ihnen langweilig ist, drin rumzuhacken, - sich etwas auszuleihen (natürlich, wenn es die Lizenz - erlaubt) und so weiter. - - - - Hast Du keinen Quellcode, ist es keine Software! - ;-) - - - - - Was ist ein Patch? Ein Patch ist eine kleine Datei, die beschreibt, wie man von einer Version einer Datei zu einer anderen kommt. Sie enthält reinen Text und sagt im Prinzip Dinge wie lösche Zeile 23, - füge diese zwei Zeilen hinter Zeile 468an , + füge diese zwei Zeilen hinter Zeile 468 an, oder ändere Zeile 197 hierzu. Sie sind auch bekannt als diffs, weil sie mit der Anwendung diff erstellt werden. + Tarball Worum gehts eigentlich bei diesen Tarballs? Das ist eine Datei mit der Endung .tar oder als Varianten mit .tar.gz, .tar.Z, .tar.bz2, oder auch .tgz. Vereinfacht ist das ein Verzeichnisbaum, welcher in eine einzelne Datei (.tar) archiviert und optional gepackt (.gz) wurde. Diese Technik wurde ursprünglich für Tape ARchives benutzt (daher der Name tar), aber stellt heute einen weit verbreiteten Weg da, im Internet Quellcode zu verbreiten und zu verteilen. - Sie können selber hineinsehen, was für Dateien - darin sind oder diese auspacken, indem Sie das UNIX-Programm - tar benutzen. Dies ist auch bei - FreeBSD dabei. Das sähe in etwa so aus: + Sie können nachsehen, welche Dateien im Archiv + enthalten sind oder diese auspacken, indem Sie das Unix-Programm + tar, das Teil des FreeBSD Basissystems ist, + benutzen. Das sähe in etwa so aus: &prompt.user; tar tvzf foobar.tar.gz &prompt.user; tar xzvf foobar.tar.gz &prompt.user; tar tvf foobar.tar &prompt.user; tar xvf foobar.tar + Prüfsumme Eine Prüfsumme? Das ist eine Zahl, die dadurch generiert wird, indem man die ganzen Daten einer Datei aufaddiert. Ändert sich ein Zeichen in dieser Datei, ist die Prüfsumme nicht mehr die gleiche und ein einfacher Vergleich ermöglicht das - Erkennen des Unterschiedes. + Erkennen des Unterschieds. Ich tat, was ihr zum Übersetzen von Ports von der CDROM geschrieben habt und es funktionierte auch prima, bis ich zum Port kermit kam. &prompt.root; make install >> cku190.tar.gz doesn't seem to exist on this system. >> Attempting to fetch from ftp://kermit.columbia.edu/kermit/archives/. Warum kann die Datei nicht gefunden werden? Habe ich eine kaputte CDROM? Wie im Abschnitt Installation von CDROM erläutert, dürfen einige Ports wegen Lizenz-Beschränkungen nicht auf CDROM veröffentlicht werden. Kermit ist ein solches Beispiel. Die Lizenz-Bestimmungen verbieten uns das Brennen des Tarballs auf CDROM, leider müssen Sie es sich von Hand aus dem Netz herunterladen — sorry! Der Grund für die ganzen Fehlermeldungen liegt darin, daß Sie zu diesem Zeitpunkt nicht mit dem Internet verbunden - waren. Haben Sie den Tarball von einer der MASTER_SITES - (aufgeführt im Makefile) gezogen, können Sie die + waren. Haben Sie den Tarball von einer der + MASTER_SITES (aufgeführt im + Makefile) gezogen, können Sie die Installation erneut starten. Das habe ich getan, aber als ich ihn ins Verzeichnis /usr/ports/distfiles legen wollte, erhielt ich eine Fehlermeldung bezüglich der Zugriffsrechte. - Der Ports Mechanimus sucht den Tarball in - /usr/ports/distfiles, aber Sie konnten ihn - dort nicht hinkopieren, da dieses Verzeichnis auf die CDROM - zeigt, die man nur gelesen kann. Sie können eine andere - Stelle angeben, indem Sie eingeben: - - &prompt.root; make DISTDIR=/wohin/Sie/es/legten install + Der Port-Mechanismus versucht heruntergeladene Tarballs in + /usr/ports/distfiles abzulegen. Dieses + Verzeichnis verweist aber oft auf ein Verzeichnis eines + Fileservers oder eine CDROM, die nur gelesen werden + können. Wenn dies der Fall ist, können Sie einen + anderen Ort zum Speichern der Tarballs angeben: + + &prompt.root; make DISTDIR=/Verzeichnis/mit/Schreibberechtigung install Funktioniert das Konzept der Ports nur, wenn alles in /usr/ports abläuft? Mein Systemadministrator sagt, daß ich alles unter /u/people/guests/wurzburger haben muß, aber das scheint nicht zu klappen. Sie können die Variablen PORTSDIR und PREFIX benutzen, um dem Ports-System zu sagen, daß es andere Verzeichnisse nutzen soll. Zum Beispiel würde, &prompt.root; make PORTSDIR=/u/people/guests/wurzburger/ports install den Port in /u/people/guests/wurzburger/ports kompilieren und alles unter /usr/local installieren. &prompt.root; make PREFIX=/u/people/guests/wurzburger/local install kompiliert in /usr/ports und installiert ihn in /u/people/guests/wurzburger/local. Und natürlich &prompt.root; make PORTSDIR=../ports PREFIX=../local install kombiniert die beiden Sachen. (Es ist aber ein wenig lang, um es hier komplett aufzuschreiben. Sie sollten aber die zugrunde liegende Idee erkennen.) + imake + Einige Ports, welche &man.imake.1; (Teil des X Window - Systems) benutzen, funktionieren nicht gut mit - PREFIX und bestehen dadrauf, unter - /usr/X11R6 installiert zu werden. In - ähnlicher Weise verhalten sich einige Perl Ports, die - PREFIX ignorieren und sich in den Perl - Verzeichnisbaum installieren. Zu erreichen, daß solche - Ports PREFIX beachten, ist schwierig oder - sogar unmöglich. - - Wenn Sie keine Lust haben, dies jedesmal einzutippen, + Systems) benutzen, funktionieren nicht gut mit + PREFIX und bestehen darauf, unter + /usr/X11R6 installiert zu werden. In + ähnlicher Weise verhalten sich einige Perl Ports, die + PREFIX ignorieren und sich in den Perl + Verzeichnisbaum installieren. Zu erreichen, daß solche + Ports PREFIX beachten, ist schwierig oder + sogar unmöglich. + + Wenn Sie keine Lust haben, dies jedesmal zu tippen, sollten Sie diese Variablen als Umgebungsvariablen setzen. - Lesen Sie die Man-Page Ihrer Shell, um zu erfahren, wie man das - anstellt. + Lesen Sie die Manual-Seite Ihrer Shell, um zu erfahren, wie man + das anstellt. Ich habe keine FreeBSD CDROM, würde aber gerne die Tarballs auf meinem Rechner liegen haben, damit ich nicht jedesmal auf das Herunterladen warten muß, wenn ich mal einen Port installieren will. Gibt es einen Weg, alle auf einmal zu holen? Um jeden einzelnen Tarball für die Ports-Sammlung zu holen geben Sie ein: &prompt.root; cd /usr/ports &prompt.root; make fetch Für alle Tarballs eines Ports-Verzeichnis: &prompt.root; cd /usr/ports/Verzeichnis &prompt.root; make fetch und für nur einen Port — gut, das haben Sie sicher schon erraten. Ich weiß, das es wohl schneller geht, wenn ich die Tarballs von einem FreeBSD Mirror in der Nähe hole. Kann ich sagen, daß andere als in MASTER_SITES angegebene - Server genommen werden soll? + Server genommen werden sollen? Ja. Zum Beispiel, wenn ftp.FreeBSD.org bei Ihnen näher dran + role="fqdn">ftp.FreeBSD.org näher bei Ihnen ist, als der in MASTER_SITES angegebene, machen Sie das wie folgt: &prompt.root; cd /usr/ports/directory &prompt.root; make MASTER_SITE_OVERRIDE= \ ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/ fetch - Ich würde gern vorher wissen, welche Dateien + Ich würde gerne vorher wissen, welche Dateien make holen wird, bevor es das versucht. make fetch-list gibt aus, welche Dateien für den Port benötigt werden. Gibt es einen Weg einen Port am Kompilieren zu hindern? Ich - möchter gern vor der Installation etwas im Quellcode hacken. + möchte gerne vor der Installation etwas im Quellcode hacken. Es ist aber etwas nervig, immer aufzupassen und im richtigen - Moment mit Control-C abzubrechen. + Moment mit + + Ctrl + C + + abzubrechen. Die Eingabe von make extract erreicht, daß der Port Quellcode nur geholt und entpackt wird. Ich versuche einen eigenen Port zu erstellen und will, daß der Port vor dem Übersetzen anhält, damit ich eine Chance habe zu sehen, ob meine Patches sauber funktionieren. Gibt es etwas wie make extract für Patches? Klar, make patch ist alles was Sie wünschen. Sie werden wahrscheinlich die Variable PATCH_DEBUG auch recht nützlich finden. Ach ja, und vielen Dank für Ihre Bemühungen! Stimmt es, daß einige Compiler Fehler machen? Wie kann ich sicher gehen, daß ich mit den richtigen Einstellungen übersetze? Ja, in der Version 2.6.3 des gcc (diese Version ist bei FreeBSD 2.1.0 und 2.1.5 dabei) kann die Option fehlerhafte Ergebnisse liefern, sofern man nicht auch die Option benutzt. (Die meisten Ports benutzen - nicht). Sie sollten die Compiler Optionen - etwa wie folgt spezifieren können: + nicht). Sie sollten die Compiler-Optionen + etwa wie folgt spezifizieren können: &prompt.root; make CFLAGS='-O2 -fno-strength-reduce' install - oder durch Editieren von /etc/make.conf, + Die Compiler-Optionen können Sie auch in + /etc/make.conf angeben, allerdings beachten das nicht alle Ports. Der sicherste Weg ist, - nach einem make configure ins Verzeichnis + nach einem make configure in das Verzeichnis mit dem Quellcode zu gehen und dort die Makefiles von Hand zu untersuchen. Das kann aber sehr mühselig werden, da es oft sehr viele Unterverzeichnisse mit eigenen Makefiles geben kann. Die bei FreeBSD voreingestellten Compiler Optionen sind - recht konservativ, so sollten Sie eigentlich keine Probleme + recht konservativ, Sie sollten eigentlich keine Probleme bekommen, wenn Sie diese nicht verändert haben. Das sind aber ganz schön viele Ports und es ist nicht - leicht den einen zu finden, den ich gerade möchte. Gibt es + leicht, den einen zu finden, den ich gerade möchte. Gibt es eine Liste der erhältlichen Ports? Schauen Sie in die Datei INDEX im Verzeichnis /usr/ports. Sie können auch die Ports-Sammlung nach einem Stichwort durchsuchen. Wollen Sie zum Beispiel alle Ports finden, die mit der Programmiersprache LISP zu tun haben, geben Sie ein: &prompt.user; cd /usr/ports &prompt.user; make search key=lisp Als ich den Port bla installieren wollte, hört das System auf einmal mit dem Kompilieren auf und fing an, den Port sülz zu erstellen. Was ist hier los? - Der Port bla braucht etwas, was mit dem - Port sülz mitkommt — beispielsweise, - wenn bla Grafik benutzt wird und der Port - sülz könnte dann eine Bibliothek mit + Der Port bla braucht etwas aus dem + Port sülz — beispielsweise, + wenn bla Grafik benutzt, könnte der Port + sülz eine Bibliothek mit nützlichen grafischen Routinen enthalten. Oder sülz könnte ein Werkzeug sein, das zum Übersetzen des Ports bla notwendig ist. Ich habe aus der Ports-Sammlung die Anwendung grizzle installiert und nun festgestellt, daß es reine Verschwendung von Plattenplatz ist. Ich will ihn wieder löschen, weiß aber nicht wohin der Port seine Dateien installiert hat. Tips? - Alles kein Problem, machen Sie nur: + Alles kein Problem, tippen Sie einfach: &prompt.root; pkg_delete grizzle-6.5 Sie können alternativ auch eingeben: &prompt.root; cd /usr/ports/somewhere/grizzle &prompt.root; make deinstall Moment, man muß die Versionsnummer wissen, um das - Kommando benutzen zu können. Es wird nicht wirklich - erwartet, daß ich mich daran noch erinnere, oder?? + Kommando benutzen zu können. Es wird aber nicht wirklich + erwartet, daß ich mich daran noch erinnere, oder? Nein, Sie finden diese Nummer durch folgende Eingabe heraus: - &prompt.root; pkg_info -a | grep grizzle + &prompt.root; pkg_info -a | grep 'grizzle*' Information for grizzle-6.5: grizzle-6.5 - the combined piano tutorial, LOGO interpreter and shoot 'em up arcade game. + + Die Versionsnummer finden Sie auch mit + pkg_info heraus, oder indem Sie + ls /var/db/pkg eingeben. + Apropos Plattenplatz, die Ports-Sammlung scheint recht viel - Platz einzunehmen. Ist es gefährlich dahin zu gehen und + Platz einzunehmen. Ist es gefährlich darin Sachen zu löschen? Nun, wenn Sie Anwendungen installiert haben und sicher sind, daß Sie den Quellcode nicht benötigen, gibt es - keinen Grund diesen herumliegen zu haben. Der beste Weg zum - Aufräumen ist: + keinen Grund diesen herumliegen zu haben. Der sicherste Weg + aufzuräumen ist: &prompt.root; cd /usr/ports &prompt.root; make clean Das geht durch alle Ports-Verzeichnisse und löscht für jeden Port alles bis auf das Gerüst. + + Dasselbe können Sie auch erreichen, ohne + rekursiv jedes Makefile aufzurufen. Die + work/ Verzeichnisse können Sie auch + mit dem folgenden Kommando löschen: + &prompt.root; find /usr/ports -depth -name work -exec rm -rf {} \; + Das habe ich probiert, aber da liegen immer noch diese Tarballs (oder wie die genannt werden) im Verzeichnis distfiles herum. Darf ich die auch löschen? Ja, wenn Sie mit denen fertig sind, können die auch verschwinden. Man kann sie von Hand löschen oder das Kommando make distclean benutzen. Ich finde es toll, tierisch viele Anwendungen zu haben und damit rumzuspielen. Gibt es einen Weg alle Ports auf einmal zu installieren? Machen Sie einfach: &prompt.root; cd /usr/ports &prompt.root; make install Vorsicht: Einige Ports könnten Dateien mit dem gleichen Namen installieren. Wenn man zwei grafische Ports installiert und beide eine Datei /usr/local/bin/plot anlegen, haben Sie ein Problem. Okay, das habe ich gemacht und da ich dachte, daß das sicherlich ziemlich lange dauert, ging ich zu Bett. Als ich heute morgen zum Computer kam, waren erst dreieinhalb Ports installiert. Hat da etwas nicht geklappt? Nein, das Problem ist, daß es Ports gibt, die Ihnen Fragen stellen, auf die wir die Antworten nicht für Sie geben konnten (z.B. Drucken Sie auf Papier im A4 oder US Letter Format?). In solchen Fällen muß jemand da sein und die Fragen beantworten. Ich möchte aber nicht wirklich einen ganzen Tag damit verbringen, auf den Monitor zu starren. Irgendeine bessere Idee? Klar, bevor Sie ins Bett/zur Arbeit/in den Park gehen, geben Sie ein: &prompt.root; cd /usr/ports &prompt.root; make -DBATCH install Das installiert Ihnen alle Ports, die keine Eingaben des Benutzers erfordern. - Wenn Sie dann zurück sind, geben Sie ein: + Die restlichen Ports installieren Sie, wenn Sie zurück + sind, mit dem Kommando: &prompt.root; cd /usr/ports -&prompt.root; make -DIS_INTERACTIVE install +&prompt.root; make -DINTERACTIVE install - um die Aufgabe zu beenden. Auf der Arbeit benutzen wir die Anwendung - frobble, das in der Ports-Sammlung ist. Wir - haben das aber etwas auf unsere Bedürfnisse angepaßt. - Können wir irgendwie eigene packages erstellen, so + frobble, die in der Ports-Sammlung ist. Wir + haben sie aber etwas auf unsere Bedürfnisse angepaßt. + Können wir irgendwie eigene Pakete erstellen, so daß wir die Anwendung auf unseren Rechnern leichter verteilen können? Kein Problem. Angenommen Sie wissen, wie Sie für Ihre Anpassungen Patches erzeugen: &prompt.root; cd /usr/ports/somewhere/frobble &prompt.root; make extract &prompt.root; cd work/frobble-2.8 [Ihre patche einspielen] &prompt.root; cd ../.. &prompt.root; make package Diese Geschichte mit den Ports ist wirklich clever. Ich habe keine Ahnung, wie ihr das hinbekommen habt. Was ist das Geheimnis dahinter? Keine Geheimnisse. Sehen Sie einfach in die Dateien bsd.port.mk und - bsd.port.subdir.mk in dem - makefiles - Verzeichnis auf Ihrem Rechner an. + bsd.port.subdir.mk im Verzeichnis + /usr/ports/Mk/. - (Lesern mit einer Aversion gegen komplizierte Shell-scripts - wird geraten, diesen Link nicht zu verfolgen...) + Lesern mit einer Aversion gegen komplizierte Shell-Skripte + wird geraten, dieses Verzeichnis nicht zu besuchen. Hilfe! Dieser Port ist kaputt! Stolpern Sie mal über einen Port, der bei Ihnen nicht funktioniert, könnten Sie zum Beispiel folgendes tun: - Reparieren Sie ihn! Der Abschnitt - Wie erstelle ich einen - Port sollte Ihnen dabei helfen. + Reparieren Sie ihn! Das Handbuch der + Portierer enthält eine detaillierte Beschreibung + des Portsystems. Damit sind Sie in der Lage, einen gelegentlich + kaputten Port zu reparieren oder einen eigenen Port zu + erstellen. Rummeckern — nur mittels E-Mail! Senden Sie zuerst eine E-Mail an den Betreuer des Ports. Geben Sie dazu make maintainer ein oder lesen Sie das Makefile im Verzeichnis des Ports, um an die E-Mail-Adresse zu kommen. Vergessen Sie nicht den Namen und die Version des Ports (schicken Sie die Zeile mit - $FreeBSD: aus dem Makefile) + $FreeBSD: aus dem + Makefile) und die Ausgabe bis zur Fehlermeldung mitzuschicken. Erhalten Sie vom Betreuer keine Resonanz, können Sie auch das send-pr Kommando benutzen, um einen Fehler-Report einzusenden. - Vergessen Sie es. Das ist der einfachste Weg — nur - sehr wenige Ports kann man als unverzichtbar - klassifizieren. Außerdem gibt eine große - Wahrscheinlichkeit, daß der Fehler in der nächsten - Version behoben ist, wenn der Port aktualisiert wurde. - - - - Holen Sie sich das Package von einem FTP-Server in Ihrer - Nähe. Die Basis Sammlung aller packages + Holen Sie sich das Paket von einem FTP-Server in Ihrer + Nähe. Die Basis Sammlung aller Pakete liegt auf ftp.de.FreeBSD.org im Verzeichnis packages. Aber versuchen Sie zuerst einen Mirror in - Ihrer Nähe! Die Methode mit den Packages geht um einiges - schneller. Benutzen Sie das Programm &man.pkg.add.1;, um - Packages auf Ihrem Rechner zu installieren. + Ihrer Nähe! Benutzen Sie das Programm &man.pkg.add.1;, um + Pakete auf Ihrem Rechner zu installieren. Dies hat zudem den + Vorteil, daß es schneller geht. - - Weitergehende Themen - - Dieser Abschnitt wurde ausgelagert und zu einem eigenständigen - Handbuch, dem - Porters-Handbuch, - Wenn Sie selber einen Port erstellen und einreichen - wollen, lesen Sie bitte dieses Handbuch. - diff --git a/de_DE.ISO8859-1/books/handbook/security/chapter.sgml b/de_DE.ISO8859-1/books/handbook/security/chapter.sgml index 790fc20fb8..329ecaba72 100644 --- a/de_DE.ISO8859-1/books/handbook/security/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/security/chapter.sgml @@ -1,3700 +1,3700 @@ Matthew Dillon Viel von diesem Kapitel stammt aus der security(7) Manual-Seite von Sicherheit Sicherheit Übersicht Dieses Kapitel bietet eine Einführung in die Konzepte der Systemsicherheit. Neben einigen Daumenregeln werden fortgeschrittene Themen wie S/Key, OpenSSL und Kerberos diskutiert. Die meisten der hier besprochenen Punkte treffen sowohl auf die Systemsicherheit sowie die Internetsicherheit zu. Das Internet hat aufgehört ein friedlicher Ort zu sein, an dem Sie nur nette Leute finden werden. Es ist unumgänglich, daß Sie Ihre Daten, Ihr geistiges Eigentum, Ihre Zeit und vieles mehr vor dem Zugriff von Hackern schützen. FreeBSD besitzt eine Reihe von Werkzeugen und Mechanismen, um die Integrität und die Sicherheit Ihrer Systeme und Netzwerke zu gewährleisten. Nach dem Sie dieses Kapitel durchgearbeitet haben, werden Sie: Grundlegende auf FreeBSD bezogene Sicherheitsaspekte kennen. Die verschiedenen Verschlüsselungsmechanismen von FreeBSD, wie DES oder MD5, kennen. Wissen, wie Sie S/Key ein Einmal-Paßwort Authentifizierungssystem aufsetzen. Wissen, wie Sie Kerberos, ein weiteres Authentifizierungssystem, aufsetzen. Firewalls mit IPFW erstellen können. Wissen, wie Sie IPSec konfigurieren. OpenSSH, FreeBSDs Implementation von ssh, konfigurieren und benutzen können. Bevor Die dieses Kapitel lesen, sollten Sie Grundlegende Konzepte von FreeBSD und dem Internet verstehen. Einführung Sicherheit ist ein Konzept, das beim Systemadministrator anfängt und aufhört. Obwohl alle BSD Unix Mehrbenutzersysteme über Sicherheitsfunktionen verfügen, ist es wohl eine der größten Aufgaben eines Systemadministrators zusätzliche Sicherheitsmechanismen zu erstellen und zu pflegen. Maschinen sind nur so sicher wie sie gemacht werden und Sicherheitsanforderungen stehen oft der Benutzerfreundlichkeit entgegen. Auf Unix Systemen können sehr viele Prozesse gleichzeitig laufen und viele dieser Prozesse sind Server, das heißt von außen kann auf sie zugegriffen werden. In einer Zeit, in der die Minicomputer und Mainframes von gestern die Desktops von heute sind und Rechner immer mehr vernetzt werden, kommt der Sicherheit eine große Bedeutung zu. Sicherheit wird am besten in mehreren Schichten implementiert. Kurz gesagt wollen Sie eine angemessene Zahl an Schichten einrichten, und dann das System auf Einbrüche hin beobachten. Die Sicherheitsmaßnahmen sollten nicht überzogen werden, da sie sonst das Entdecken von Einbrüchen stören und die Möglichkeit, Einbrüche zu entdecken, ist einer der wichtigsten Aspekte einer Sicherheitsmaßnahme. Es macht zum Beispiel wenig Sinn, jedes Programm mit der schg Option (siehe auch &man.chflags.1;) zu schützen, weil dies verhindert, daß ein Angreifer eine leicht zu entdeckende Veränderung vornimmt und vielleicht dazu führt, daß Ihre Sicherheitsvorkehrungen den Angreifer überhaupt nicht entdecken. Zur Systemsicherheit gehört auch die Beschäftigung mit verschiedenen Arten von Angriffen, auch solchen, die versuchen, ein System still zu legen, oder sonst unbrauchbar zu machen ohne root zu kompromittieren. Sicherheitsaspekte lassen sich in mehrere Kategorien unterteilen: Denial of Service Angriffe. Kompromittierte Benutzeraccounts. Kompromittierter root-account durch zugreifbare Server. Kompromittierter root-account durch kompromittierte Benutzeraccounts. Einrichten von Hintertüren. DoS Angriffe Denial of Service (DoS) Sicherheit DoS Angriffe Denial of Service (DoS) Denial of Service (DoS) Ein Denial of Service (Verhinderung von Diensten, DoS) Angriff entzieht einer Maschine Ressourcen, die sie zur Bereitstellung von Diensten benötigt. Meist versuchen Denial of Service Angriffe die Dienste oder den Netzwerkstack einer Maschine zu überlasten, um so die Maschine auszuschalten oder nicht nutzbar zu machen. Einige Angriffe versuchen, Fehler im Netzwerkstack auszunutzen, und die Maschine mit einem einzigen Paket auszuschalten. Diese Art des Angriffs kann nur verhindert werden, indem der entsprechende Fehler im Kernel behoben wird. Oft können Angriffe auf Dienste durch die Angabe von Optionen verhindert werden, die die Last, die ein Dienst auf das System unter widrigen Umständen ausüben kann, begrenzt. Angriffen auf das Netzwerk ist schwerer zu begegnen. Außer durch Trennen der Internetverbindung ist zum Beispiel einem Angriff mit gefälschten Paketen nicht zu begegnen. Diese Art von Angriff wird Ihr System zwar nicht unbrauchbar machen, kann aber die Internetverbindung sättigen. Sicherheit kompromittierte Accounts Kompromittierte Benutzeraccounts kommen noch häufiger als DoS Angriffe vor. Viele Systemadministratoren lassen auf ihren Maschinen noch die Dienste telnetd, rlogind, rshd und ftpd laufen. Verbindungen zu diesen Servern werden nicht verschlüsselt. Wenn Sie eine größere Benutzerzahl auf Ihrem System haben, die sich von einem entfernten System anmelden, ist die Folge davon, daß das Paßwort eines oder mehrerer Benutzer ausgespäht wurde. Ein aufmerksamer Systemadministrator wird die Logs über Anmeldungen von entfernten Systemen auf verdächtige Quelladressen, auch für erfolgreiche Anmeldungen, untersuchen. Es ist immer davon auszugehen, daß ein Angreifer, der Zugriff auf einen Benutzeraccount hat, Zugang zum root-Account erlangt. Allerdings gibt der Zugriff auf einen Benutzeraccount auf einem gut gesicherten und gepflegten System nicht notwendig Zugriff auf den root-Account. Diese Unterscheidung ist wichtig, da ein Angreifer, der keinen Zugang zu root besitzt, seine Spuren nicht verwischen kann. Er kann höchstens die Dateien des betreffenden Benutzers verändern oder die Maschine stillegen. Kompromittierte Benutzeraccounts sind sehr häufig, da Benutzer meist nicht dieselben Vorsichtsmaßnahmen wie Administratoren treffen. Sicherheit Hintertüren Es gibt viele Wege, Zugang zum root-Account eines Systems zu bekommen: Ein Angreifer kann das Paßwort von root kennen, er kann einen Fehler in einem Server entdecken, der unter root läuft und dann über eine Netzwerkverbindung zu diesem Server einbrechen. Oder er kennt einen Fehler in einem SUID-root Programm, der es ihm erlaubt, root zu werden, wenn er einmal einen Benutzeraccount kompromittiert hat. Wenn ein Angreifer einen Weg gefunden hat, root zu werden, braucht er vielleicht keine Hintertür auf dem System installieren. Viele der heute bekannten und geschlossenen Sicherheitslöcher, die zu einem root Zugriff führen, verlangen vom Angreifer einen erheblichen Aufwand, um seine Spuren zu verwischen. Aus diesem Grund wird er sich wahrscheinlich entschließen, eine Hintertür (engl. Backdoor) zu installieren. Eine Hintertür erlaubt es dem Angreifer leicht auf den root-Account zuzugreifen. Einem klugen Systemadministrator erlaubt sie allerdings auch, den Einbruch zu entdecken. Wenn Sie es einem Angreifer verwehren, Hintertüren zu installieren, kann das schädlich für Ihre Sicherheit sein, da es vielleicht verhindert, daß die Lücke, die der Angreifer für den Einbruch ausgenutzt hat, entdeckt wird. Sicherheitsmaßnahmen sollten immer in mehreren Schichten angelegt werden. Die Schichten können wie folgt eingeteilt werden: Absichern von root und Benutzeraccounts. Absichern von unter root laufenden Servern und SUID/SGID Programmen. Absichern von Benutzeraccounts. Absichern der Paßwort-Datei. Absichern des Kernels, der Geräte und von Dateisystemen. Schnelles Aufdecken von unbefugten Veränderungen des Systems. Paranoia. Die einzelnen Punkte der obigen Liste werden im nächsten Abschnitt genauer behandelt. Sicherheit Absichern Absichern von FreeBSD Kommandos und Protokolle In diesem Abschnitt wird fett verwendet, um Kommandos oder Applikationen zu kennzeichnen. Zum Beispiel wird ssh so gekennzeichnet, da es sowohl ein Protokoll wie auch ein Kommando ist. Die folgenden Abschnitte behandeln die im letzten Abschnitt erwähnten Methoden Ihr FreeBSD-System zu sichern. Absichern von <username>root</username> und Benutzeraccounts. su Zuallererst, kümmern Sie sich nicht um die Absicherung von Benutzeraccounts, wenn Sie root noch nicht abgesichert haben. Auf den meisten Systemen ist root ein Paßwort zugewiesen. Sie sollten immer davon ausgehen, daß dieses Paßwort kompromittiert ist. Das heißt nicht, daß Sie das Paßwort entfernen sollten, da es meist für den Konsolenzugriff notwendig ist. Vielmehr heißt es, daß Sie das Paßwort nicht außerhalb der Konsole, auch nicht zusammen mit &man.su.1;, verwenden sollten. Stellen Sie sicher, das Ihre PTYs in ttys als unsicher markiert sind und damit Anmeldungen von root mit telnet oder rlogin verboten sind. Wenn Sie andere Applikationen wie sshd zum Anmelden benutzen, vergewissern Sie sich, daß dort ebenfalls Anmeldungen als root verboten sind. Für ssh editieren Sie /etc/ssh/sshd_config und überprüfen, daß PermitRootLogin auf NO gesetzt ist. Beachten Sie jede Zugriffsmethode – Dienste wie FTP werden oft vergessen. Nur an der Systemkonsole sollte ein direktes Anmelden als root möglich sein. wheel Natürlich müssen Sie als Systemadministrator root-Zugriff erlangen können. Dieser sollte aber durch zusätzliche Paßwörter geschützt sein. Ein Weg, Zugang zu root zu ermöglichen, ist es, berechtigte Mitarbeiter in /etc/group in die Gruppe wheel aufzunehmen. Die Personen, die Mitglieder in der Gruppe wheel sind, können mit su zu root wechseln. Ihre Mitarbeiter sollten niemals die Gruppe wheel als primäre Gruppe in /etc/passwd besitzen. Mitarbeiter sollten der Gruppe staff angehören und über /etc/group in wheel aufgenommen werden. Es sollten auch nur die Mitarbeiter, die wirklich root Zugriff benötigen in wheel aufgenommen werden. Mit anderen Authentifizierungsmethoden müssen Sie niemanden in wheel aufnehmen. Wenn Sie z.B. Kerberos nutzen, wechseln Sie mit &man.ksu.1; zu root und der Zugriff wird mit der Datei .k5login geregelt. Dies ist vielleicht eine bessere Lösung, da es der wheel-Mechanismus einem Angreifer immer noch möglich macht, den root-Account zu knacken, nachdem er einen Mitarbeiter-Account geknackt hat. Obwohl der wheel-Mechanismus besser als gar nichts ist, ist er nicht unbedingt die sicherste Lösung. Indirekt können Sie die Accounts von Mitarbeitern und damit auch den Zugriff auf root schützen, indem Sie eine alternative Zugangsmethode verwenden und die Accounts der Mitarbeiter mit einem ungültigen verschlüsselten Paßwort versehen. Mit &man.vipw.8; können Sie jedes verschlüsselte Paßwort mit einem * Zeichen ersetzen. Das Kommando wird /etc/master.passwd und die Benutzer/Paßwort Datenbank aktualisieren und die Paßwort Authentifizierung abstellen. Ein Account wie der folgende foobar:R9DT/Fa1/LV9U:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh sollte wie folgt abgeändert werden: foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh Da ein verschlüsseltes Paßwort niemals ein * sein kann, verhindert dies die normale Anmeldung. Damit müssen sich die Mitarbeiter mit anderen Mechanismen wie &man.kerberos.1; oder &man.ssh.1; authentifizieren. Wenn Sie etwas wie Kerberos benutzen, müssen Sie die Maschinen, die die Kerberos-Server beheimaten und die Maschinen der Benutzer absichern. Wenn Sie öffentliche/private Schlüssel mit ssh benutzen, muß die Maschine von der die Anmeldung gestartet wird, gesichert werden. Als zusätzliche Sicherheitsschicht können Sie das Schlüsselpaar beim Erstellen mit &man.ssh-keygen.1; durch ein Paßwort schützen. Dadurch, daß Sie die Paßwörter Ihrer Mitarbeiter als ungültig markiert haben, stellen Sie sicher, daß sich die Mitarbeiter nur mit den sicheren Methoden, die Sie aufgesetzt haben, anmelden können. Dies zwingt alle Mitarbeiter, verschlüsselte Verbindungen für ihre Sitzungen zu verwenden, und schließt ein wichtiges Loch, daß gerne von Angreifern ausgenutzt wird: Das Abhören des Netzwerks von einer anderen weniger gesicherten Maschine. Die indirekten Sicherheitsmechanismen setzen voraus, daß Sie sich von einer restriktiven Maschine auf einer weniger restriktiven Maschine anmelden. Wenn zum Beispiel auf Ihrem Hauptrechner alle möglichen Arten von Servern laufen, so sollten auf Ihrer Workstation keine Server laufen. Um Ihre Workstation vernünftig abzusichern, sollten auf Ihr so wenig Server wie möglich bis hin zu keinem Server laufen. Sie sollten zudem über einen Bildschirmschoner verfügen, der mit einem Paßwort gesichert ist. Natürlich kann ein Angreifer, der physikalischen Zugang zu einer Maschine hat, jede Art von Sicherheitsmechanismen umgehen. Dieses Problem sollten Sie daher auch in Ihren Überlegungen berücksichtigen. Beachten Sie dabei aber, daß der Großteil der Einbrüche über das Netzwerk erfolgt und die Einbrecher keinen Zugang zu der Maschine besitzen. Kerberos Mit Kerberos können Sie das Paßwort eines Mitarbeiters an einer Stelle ändern und alle Maschinen, auf denen der Mitarbeiter einen Account hat, beachten die Änderung sofort. Wird der Account eines Mitarbeiter einmal kompromittiert, so sollte die Fähigkeit, das Paßwort mit einem Schlag auf allen Maschinen zu ändern, nicht unterschätzt werden. Mit einzelnen Paßwörtern wird es schwierig, das Paßwort auf N Maschinen zu ändern. Mit Kerberos können Sie auch Beschränkungen für Paßwörter festlegen: Nicht nur das Ticket kann nach einiger Zeit ungültig werden, Sie können auch festlegen, daß der Benutzer nach einer bestimmten Zeit, z.B. nach einem Monat, das Paßwort wechseln muß. Absichern von unter <username>root</username> laufenden Servern und SUID/SGID Programmen ntalk comsat finger Sandkästen sshd telnetd rshd rlogind Ein kluger Systemadministrator läßt nur die Dienste, die er wirklich braucht, laufen; nicht mehr und auch nicht weniger. Beachten Sie, daß Server von Dritten die fehleranfälligsten sind. Wenn Sie z.B. eine alte Version von imapd oder popper laufen lassen, ist das so, als würden Sie der ganzen Welt freien Zugang zu root geben. Lassen Sie keine Server laufen, die Sie vorher nicht genau überprüft haben. Viele Server müssen nicht unter root laufen, zum Beispiel können ntalk, comsat und finger in speziellen Sandkästen unter einem Benutzer laufen. Ein Sandkasten ist keine perfekte Lösung, wenn Sie nicht eine Menge Arbeit in die Konfiguration investieren, doch bewährt sich hier das Prinzip, die Sicherheit in Schichten aufzubauen. Wenn es einem Angreifer gelingt, in einen Server, der in einem Sandkasten läuft, einzubrechen, dann muß er immer noch aus dem Sandkasten selber ausbrechen. Je mehr Schichten der Angreifer zu durchbrechen hat, desto kleiner sind seine Aussichten auf Erfolg. In der Vergangenheit wurden praktisch in jedem Server, der unter root läuft, Lücken gefunden, die zu einem root Zugriff führten. Dies betrifft selbst die grundlegenden Systemdienste. Wenn Sie eine Maschine betreiben, auf der man sich nur mit sshd anmelden kann, dann stellen Sie die Dienste telnetd, rshd oder rlogind ab! In der Voreinstellung laufen unter FreeBSD ntalkd, comsat und finger nun in einem Sandkasten. Ein weiteres Programm, das in einem Sandkasten laufen sollte, ist &man.named.8;. In /etc/defaults/rc.conf sind die notwendigen Argumente, um named in einem Sandkasten laufen zu lassen, in kommentierter Form schon enthalten. Abhängig davon, ob Sie ein neues System installieren oder ein altes System aktualisieren, sind die hierfür benötigten Benutzer noch nicht installiert. Ein kluger Systemadministrator sollte immer nach Möglichkeiten suchen, Server in einem Sandkasten laufen zu lassen. sendmail Einige Server wie sendmail, popper, imapd und ftpd werden normalerweise nicht in Sandkästen betrieben. Zu einigen Servern gibt es Alternativen, aber diese wollen Sie vielleicht wegen der zusätzlich nötigen Arbeit nicht installieren (ein weiteres Beispiel für den Widerspruch zwischen Sicherheit und Benutzerfreundlichkeit). In diesem Fall müssen Sie die Server unter root laufen lassen und auf die eingebauten Mechanismen vertrauen, Einbrüche zu entdecken. Weitere potentielle Löcher, die zu einem root-Zugriff führen können, sind die auf dem System installierten SUID- und SGID-Programme. Die meisten dieser Programme wie rlogin stehen in /bin, /sbin, /usr/bin, oder /usr/sbin. Obwohl nichts 100% sicher ist, können Sie davon ausgehen, daß die SUID- und SGID-Programme des Basissystems ausreichend sicher sind. Allerdings werden ab und an in diesen Programmen Löcher gefunden. 1998 wurde in Xlib ein Loch gefunden, das xterm, der normal mit SUID installiert wird, verwundbar machte. Es ist besser auf der sicheren Seite zu sein, als sich später zu beklagen, darum wird der kluge Systemadministrator den Zugriff auf SUID-Programme mit einer Gruppe, auf die nur Mitarbeiter zugreifen können, beschränken. SUID-Programme, die niemand benutzt, sollten mit chmod 000 deaktiviert werden. Zum Beispiel braucht ein Server ohne Bildschirm kein xterm Programm. SGID-Programme sind vergleichbar gefährlich. Wenn ein Einbrecher Zugriff auf SGID-kmem Programm erhält, kann er vielleicht /dev/kmem und damit die verschlüsselte Paßwortdatei lesen. Dies kompromittiert unter Umständen jeden Account, der mit einem Paßwort geschützt ist. Alternativ kann ein Einbrecher, der in die Gruppe kmem eingebrochen ist, die Tastendrücke auf PTYs verfolgen. Dies schließt auch PTYs mit ein, auf denen sich ein Benutzer mit sicheren Methoden anmeldet. Ein Einbrecher, der Zugriff auf die tty Gruppe hat, kann auf fast jeden Terminal anderer Benutzer schreiben. Wenn der Benutzer einen Terminal-Emulator benutzt, der über eine Tastatur-Simulation verfügt, könnte der Angreifer Daten generieren, die den Terminal veranlassen, ein Kommando unter diesem Benutzer laufen zu lassen. Absichern von Benutzeraccounts Benutzeraccounts sind für gewöhnlich sehr schwierig abzusichern. Während Sie drakonische Beschränkungen für Ihre Mitarbeiter einrichten und deren Paßwörter als ungültig markieren können, werden Sie das vielleicht bei den normalen Benutzeraccounts nicht durchsetzen. Wenn Sie über ausreichend Macht verfügen, gelingt es Ihnen vielleicht doch, ansonsten müssen Sie diese Benutzeraccounts aufmerksam überwachen. Wegen der zusätzlichen Administrationsarbeit und der nötigen technischen Unterstützung ist die Verwendung von ssh und Kerberos mit normalen Benutzeraccounts erschwert, obwohl das natürlich sicherer als die Verwendung von verschlüsselten Paßwörtern ist. Absichern der Paßwort-Datei. Der einzig sichere Weg ist, soviele Accounts wie möglich als ungültig zu markieren und ssh oder Kerberos zu benutzen, um auf sie zuzugreifen. Obwohl die Datei /etc/spwd.db, die die verschlüsselten Paßwörter enthält, nur von root gelesen werden kann, mag ein Angreifer lesenden Zugriff auf diese Datei erlangen, ohne die Fähigkeit sie auch zu beschreiben. Ihre Überwachungsskripte sollten Änderungen an der Paßwort-Datei melden (siehe Überprüfen der Integrität von Dateien weiter unten). Absichern des Kernels, der Geräte und von Dateisystemen. Wenn ein Angreifer root-Zugriff erlangt, kann er so ziemlich alles mit Ihrem System anstellen, doch sollten Sie es ihm nicht zu leicht machen. Die meisten modernen Kernel haben zum Beispiel einen Gerätetreiber, der es erlaubt, Pakete abzuhören. Unter FreeBSD wird das Gerät bpf genannt. Für gewöhnlich wird ein Angreifer versuchen, dieses Gerät zu nutzen, um Pakete abzuhören. Sie sollten ihm diese Gelegenheit nicht geben und auf den meisten Systemen ist das Gerät bpf nicht nötig. sysctl Auch wenn Sie bpf nicht verwenden, müssen Sie sich immer noch um /dev/mem und /dev/kmem sorgen. Außerdem kann der Angreifer immer noch auf die rohen Geräte (raw devices) schreiben. Weiterhin gibt es ein Programm zum Nachladen von Modulen in den Kernel: &man.kldload.8;. Ein unternehmungslustiger Angreifer kann dies benutzen, um sein eigenes bpf oder ein anderes zum Abhören geeignetes Gerät in den laufenden Kernel einzubringen. Um diese Probleme zu vermeiden, müssen Sie den Kernel auf einer höheren Sicherheitsstufe, mindestens 1, laufen lassen. Die Sicherheitsstufe wird durch die Variable kern.securelevel, die mit sysctl gesetzt werden kann, angegeben. Nachdem Sie die Sicherheitsstufe auf 1 gesetzt haben, sind schreibende Zugriffe auf rohe Geräte verboten und die speziellen chflags Optionen, wie schg werden erzwungen. Sie müssen sicherstellen, daß die schg Option auf allen kritischen Programmen, Verzeichnissen und Skripten, die bis zum Setzen der Option laufen, aktiviert ist. Das mag übertrieben sein da eine Migration des Systems erschwert wird, wenn Sie auf einer höheren Sicherheitsstufe arbeiten. Sie können einen Kompromiß erreichen, indem Sie das System auf einer erhöhten Sicherheitsstufe laufen lassen, aber die schg Option nicht für jede Datei und jedes Verzeichnis auf der Welt setzen. Eine andere Möglichkeit besteht darin, / und /usr einfach schreibgeschützt einzuhängen. Bedenken Sie, daß Sie das Aufdecken eines Einbruchs vielleicht verhindern, wenn Sie zu drastische Maßnahmen zum Schutz Ihres Systems verwenden. Überprüfen der Integrität von Dateien Sie können die Systemkonfiguration und die Dateien nur so weit schützen, wie es die Benutzbarkeit des Systems nicht einschränkt. Wenn Sie zum Beispiel mit chflags die Option schg auf die meisten Dateien in / und /usr setzen, kann das Ihre Arbeit mehr behindern als nützen. Die Maßnahme schützt zwar die Dateien, schließt aber auch eine Möglichkeit, Veränderungen zu entdecken, aus. Die letzte Schicht des Sicherheitsmodells — das Aufdecken von Einbrüchen — ist sicherlich die wichtigste. Alle Sicherheitsmaßnahmen sind nichts wert, oder wiegen Sie in falscher Sicherheit, wenn Sie nicht in der Lage sind, einen möglichen Einbruch zu entdecken. Die Hälfte der Sicherheitsmaßnahmen hat die Aufgabe, einen Einbruch zu verlangsamen, um es zu ermöglichen, den Einbrecher auf frischer Tat zu ertappen. Der beste Weg, einen Einbruch zu entdecken, ist es, nach veränderten, fehlenden oder unerwarteten Dateien zu suchen. Der wiederum beste Weg, nach veränderten Dateien zu suchen, ist es, die Suche von einem anderen (oft zentralen) besonders geschützten System durchzuführen. Es ist wichtig, daß Ihre Sicherheitsüberprüfungen vor einem Angreifer verborgen bleiben und daher sind sie auf einem besonders geschützten System gut aufgehoben. Um dies optimal auszunutzen, müssen Sie dem besonders geschützten System Zugriffsrechte auf die zu schützenden Systeme geben. Sie können die Dateisysteme der zu schützenden Systeme schreibgeschützt für das besonders geschützte System exportieren, oder Sie können der besonders geschützten Maschine ssh auf die anderen Maschinen erlauben, indem Sie ssh Schlüsselpaare installieren. Mit Ausnahme des verursachten Netzwerkverkehrs ist die NFS-Methode die am wenigsten sichtbare. Sie erlaubt es Ihnen nahezu unentdeckt die Dateisysteme der Clients zu beobachten. Wenn Ihr besonders geschütztes System mit den Clients über einen Switch verbunden ist, ist die NFS-Methode oft das Mittel der Wahl. Wenn das besonders geschützte System allerdings mit einem Hub verbunden ist, oder der Zugriff über mehrere Router geschieht, ist die NFS-Methode aus der Netzwerksicht zu unsicher. In einem solchen Fall ist ssh besser geeignet, auch wenn es deutliche Spuren hinterläßt. Wenn das besonders geschützte System lesenden Zugriff auf die Clients hat, müssen Sie Skripte schreiben, die die Überwachung durchführen. Wenn Sie die NFS-Methode verwenden, können Sie dazu einfache Systemwerkzeuge wie &man.find.1; und &man.md5.1; benutzen. Am besten berechnen Sie einmal am Tag MD5-Prüfsummen der Dateien, Konfigurationsdateien in /etc und /usr/local/etc sollten öfter überprüft werden. Wenn Unstimmigkeiten zwischen den auf der besonders geschützten Maschine gehaltenen MD5-Prüfsummen und den ermittelten Prüfsummen festgestellt werden, sollte Ihr System einen Systemadministrator benachrichtigen, der den Unstimmigkeiten dann nachgehen sollte. Ein gutes Skript überprüft das System auch auf verdächtige SUID-Programme sowie gelöschte oder neue Dateien in / und /usr. Wenn Sie ssh anstelle von NFS benutzen, wird das Erstellen der Skripte schwieriger. Sie müssen die Skripte und die Programme wie find mit scp auf den Client kopieren. Damit machen Sie die Überprüfung für einen Angreifer sichtbar. Außerdem kann der ssh-Client auf dem Zielsystem schon kompromittiert sein. Zusammenfassend, kann der Einsatz von ssh nötig sein, wenn Sie über ungesicherte Verbindungen arbeiten, aber der Umgang mit dieser Methode ist auch sehr viel schwieriger. Ein gutes Sicherheitsskript wird auch Dateien von Benutzern, die den Zugriff auf ein System ermöglichen, wie .rhosts, .shosts, .ssh/authorized_keys usw., auf Veränderungen untersuchen, die über die Möglichkeiten einer Überprüfung mit MD5, die ja nur Veränderungen feststellen kann, hinausgehen. Wenn Sie über große Partitionen verfügen, kann es zu lange dauern, jede Datei zu überprüfen. In diesem Fall sollten Sie beim Einhängen des Dateisystems Optionen setzen, die das Ausführen von SUID-Programmen und den Zugriff auf Geräte verbieten. &man.mount.8; stellt dazu die Optionen und zur Verfügung. Sie sollten diese Dateien aber trotzdem mindestens einmal die Woche überprüfen, da das Ziel dieser Schicht das Aufdecken eines Einbruchs, auch wenn er nicht erfolgreich war, ist. Die Prozeßüberwachung (siehe &man.accton.8;) des Betriebssystems steht ein günstiges Werkzeug zur Verfügung, daß sich bei der Analyse eines Einbruchs als nützlich erweisen kann. Insbesondere können Sie damit herausfinden, wie der Einbrecher in das System eingedrungen ist, vorausgesetzt die Dateien der Prozeßüberwachung sind noch alle intakt. Schließlich sollten die Sicherheitsskripte die Logdateien analysieren. Dies sollte so sicher wie möglich durchgeführt werden, nützlich ist das Schreiben von Logdateien auf entfernte Systeme mit syslog. Ein Einbrecher wird versuchen, seine Spuren zu verwischen. Die Logdateien sind wichtig für den Systemadministrator, da er aus ihnen den Zeitpunkt und die Art des Einbruchs bestimmen kann. Eine Möglichkeit, die Logdateien unverändert aufzuheben, ist es, die Systemkonsole auf einen seriellen Port zu legen und die Informationen dort von einer gesicherten Maschine auszulesen. Paranoia Es schadet nicht, ein bißchen paranoid zu sein. Grundsätzlich darf ein Systemadministrator jede Sicherheitsmaßnahme treffen, die die Bedienbarkeit des Systems nicht einschränkt. Er kann auch Maßnahmen treffen, die die Bedienbarkeit einschränken, wenn er diese vorher genau durchdacht hat. Was noch wichtiger ist: Halten Sie sich nicht sklavisch an dieses Dokument, sondern führen Sie eigene Maßnahmen ein, um nicht einem künftigen Angreifer, der auch Zugriff auf dieses Dokument hat, alle Ihre Methoden zu verraten. Denial of Service Angriffe Denial of Service (DoS) Dieser Abschnitt behandelt Denial of Service Angriffe (DoS). Ein DoS-Angriff findet typischerweise auf der Paketebene statt. Während Sie nicht viel gegen moderne Angriffe mit falschen Paketen , die das Netzwerk sättigen, ausrichten können, können Sie allerdings den Schaden in der Hinsicht begrenzen, daß Ihre Server von einem solchen Angriff nicht gestoppt werden. Begrenzen von fork() Aufrufen. Begrenzen von Sprungbrett-Angriffen (ICMP response Angriffen, ping zu Broadcast-Adressen usw.). Kernel-Cache für Routen. Ein häufiger DoS-Angriff gegen forkende Server versucht den Server dazu zu bringen, möglichst viele Prozesse, viele Dateideskriptoren und viel Speicher zu verbrauchen, bis hin zu dem Punkt, an dem die Maschine ausfällt. &man.inetd.8; besitzt einige Optionen, um diese Art von Angriffen zu begrenzen. Beachten Sie bitte, daß es möglich ist, einen Ausfall einer Maschine zu verhindern, doch ist es generell nicht möglich, den Ausfall eines Dienstes bei dieser Art von Angriffen zu verhindern. Lesen Sie sich bitte die Manualseiten von inetd gut durch und achten Sie speziell auf die Optionen , und . Angriffe mit gefälschten IP-Adressen umgehen , so daß normalerweise eine Kombination der Optionen benutzt werden muß. Manche Server, die nicht von inetd gestartet werden, besitzen Optionen, um den Start über fork() einzuschränken. Sendmail besitzt die Option , die besser als die eingebauten Optionen zur Begrenzung der Systemauslastung funktioniert. Sie sollten beim Start von sendmail MaxDaemonChildren so hoch setzen, daß Sie die erwartete Auslastung gut abfangen können. Allerdings sollten Sie den Wert nicht so hoch setzen, daß der Rechner über seine eigenen Füße fällt. Es ist auch klug, sendmail im Queue-Modus () laufen zu lassen. Der Dæmon (sendmail -bd) sollte getrennt von den Queue-Läufen (sendmail -q15m) laufen. Wenn Sie trotzdem eine sofortige Auslieferung der Post wünschen, können Sie die Queue in einem geringeren Intervall, etwa , abarbeiten. Geben Sie für dieses sendmail aber einen vernünftigen Wert für MaxDaemonChildren an, um Fehler zu verhindern. Syslogd kann direkt angegriffen werden. Daher empfehlen wir Ihnen unbedingt die Option zu benutzen. Sollte das nicht möglich sein, benutzen Sie bitte . Vorsicht ist auch mit Diensten geboten, die automatisch eine Rückverbindung eröffnen, wie der reverse-identd der tcpwrapper. Diese Eigenschaft der tcpwrapper sollten Sie normalerweise nicht nutzen. Es empfiehlt sich sehr, interne Dienste vor externen Zugriffen durch eine Firewall an der Grenze Ihres Netzwerks zu schützen. Dahinter steckt mehr die Idee, das Netzwerk vor Überlastung durch Angriffe von außen zu schützen, als interne Dienste vor einem root-Zugriff aus dem Netz zu schützen. Konfigurieren Sie immer eine Firewall, die alle Zugriffe blockiert, das heißt blockieren Sie alles außer den Ports A, B, C, D und M-Z. Damit können Sie Zugriffe auf alle niedrigen Ports blockieren und Zugriffe auf spezielle Dienste wie named, wenn Sie den primären Namensdienst für eine Zone anbieten, ntalkd oder sendmail erlauben. Wenn Sie die Firewall so konfigurieren, das sie in der Voreinstellung alle Zugriffe erlaubt, ist es sehr wahrscheinlich, daß Sie vergessen, eine Reihe von Diensten zu blockieren bzw. einen internen Dienst einführen und dann vergessen die Firewall zu aktualisieren. Sie können immer die höheren Portnummern öffnen, ohne die niedrigen Portnummern, die nur von root benutzt werden dürfen, zu kompromittieren. Beachten Sie bitte auch, daß es FreeBSD erlaubt, die Portnummern, die für dynamische Verbindungen zur Verfügung stehen, zu konfigurieren. Mit sysctl lassen sich verschiedene Bereiche der net.inet.ip.portrange Variablen setzen (eine Liste erhalten Sie mit sysctl -a | fgrep portrange). So können Sie zum Beispiel die Portnummern 4000 bis 5000 für den normalen Bereich und die Nummern 49152 bis 65535 für den hohen Bereich vorsehen. Dies erleichtert Ihnen die Konfiguration der Firewall, da Sie nun Zugriffe auf Ports unterhalb von 4000, mit Ausnahme der Dienste, die von außen erreichbar sein sollen, blockieren können. ICMP_BANDLIM Eine andere Form eines DoS-Angriffs nutzt einen Server als Sprungbrett, der Server wird dabei so angegriffen, daß seine Antworten ihn selber, das lokale Netzwerk oder einen anderen Server überlasten. Der am häufigsten verwendete Angriff dieser Art ist der ICMP ping broadcast Angriff. Der Angreifer fälscht dazu ping-Pakete, die zu der Broadcast-Adresse Ihres LANs gesendet werden, indem er darin als Quelladresse die Adresse des Opfers einsetzt. Wenn die Router an der Grenze Ihres Netzwerks ping-Pakete auf Broadcast-Adressen nicht abwehren, wird Ihr LAN genügend Netzwerkverkehr generieren, um das Ziel des Angriffs zu überlasten. Dies kann besonders effektiv sein, wenn der Angreifer diese Methode mit mehreren Dutzend Broadcast-Adressen über mehrere Netzwerke einsetzt. Es wurden schon Broadcast-Angriffe mit über 120 Megabit pro Sekunde gemessen. Eine zweiter Sprungbrett-Angriff wird gegen das Fehlerbehandlungssystem von ICMP eingesetzt. Indem ein Angreifer Pakete konstruiert, die eine ICMP-Fehlermeldung hervorrufen, kann er das einkommende Netzwerk des Servers sättigen und diesen wiederum veranlassen sein ausgehendes Netzwerk mit ICMP-Antworten zu sättigen. Diese Art des Angriffs kann alle mbuf-Strukturen auf dem Server aufbrauchen und damit den Server stillegen, insbesondere wenn der Server nicht in der Lage ist, die generierten ICMP-Antworten schnell genug abzuführen. Der FreeBSD-Kernel besitzt eine neue Option , die die Auswirkungen von solchen Angriffen begrenzen kann. Die letzte weit verbreitete Form von Sprungbrett-Angriffen verwendet interne inetd-Dienste wie den UDP echo-Dienst. Der Angreifer fälscht dazu einfach ein UDP-Paket, indem er als Quellport den echo-Port von Server A und als Zielport den echo-Port von Server B angibt, wobei beide Server in Ihrem LAN stehen. Die beiden Server werden nun dieses Paket zwischen sich hin und her schicken. Der Angreifer kann die beiden Server und das LAN einfach damit überlasten, daß er mehrere Pakete dieser Art generiert. Ähnliche Probleme gibt es mit dem internen chargen-Port, daher sollten Sie die internen inetd-Testdienste abstellen. Gefälschte IP-Pakete können dazu benutzt werden, den Kernel-Cache für Routen zu überlasten. Schauen Sie sich bitte die sysctl-Parameter net.inet.ip.rtexpire, rtminexpire und rtmaxcache an. Ein Angriff der gefälschte Pakete mit zufälligen Quelladressen einsetzt, bewirkt, daß der Kernel eine Route im Route-Cache anlegt, die Sie sich mit netstat -rna | fgrep W3 ansehen können. Diese Routen verfallen für gewöhnlich nach 1600 Sekunden. Wenn der Kernel feststellt, daß die Routingtabelle im Cache zu groß geworden ist, wird er dynamisch den Wert von rtexpire verringern. Dieser Wert wird aber nie kleiner werden als rtminexpire. Daraus ergeben sich zwei Probleme: Der Kernel reagiert nicht schnell genug, wenn ein Server mit einer niedrigen Grundlast plötzlich angegriffen wird. rtminexpire ist nicht klein genug, um einen anhaltenden Angriff zu überstehen. Wenn Ihre Server über eine T3 oder eine noch schnellere Leitung mit dem Internet verbunden sind, ist es klug, mit &man.sysctl.8; die Werte für rtexpire und rtminexpire händisch zu setzen. Setzen Sie bitte keinen der Werte auf Null, außer Sie wollen die Maschine zum Erliegen bringen. Ein Wert von 2 Sekunden für beide Parameter sollte ausreichen, um die Routingtabelle vor einem Angriff zu schützen. Anmerkungen zum Zugriff mit Kerberos und ssh ssh Kerberos Es gibt ein paar Punkte, die Sie beachten sollten, wenn Sie Kerberos oder ssh einsetzen wollen. Kerberos V ist ein ausgezeichnetes Authentifizierungsprotokoll. Leider gibt es Fehler, in den für Kerberos angepaßten Versionen von telnet und rlogin, die sie ungeeignet für den Umgang mit binären Datenströmen machen. Weiterhin verschlüsselt Kerberos Ihre Sitzung nicht, wenn Sie nicht die Option verwenden, mit ssh wird dagegen alles verschlüsselt. Ein Problem mit SSH sind Weiterleitungen von Verbindungen. Wenn Sie eine sichere Arbeitsstation besitzen, die Ihnen Zugriff auf alle anderen Maschinen gibt und von dort eine Verbindung zu einer ungesicherten Maschine aufmachen, werden Ihre Schlüssel preisgegeben. Das heißt, Ihre Schlüssel werden nicht wirklich freigegeben, sondern die SSH erzeugt einen Port für Weiterleitungen für die Dauer Ihrer Sitzung. Ein Angreifer, der auf der unsicheren Maschine Zugang zu root hat, kann diesen Port und Ihre Schlüssel benutzen, um Zugriff auf andere Maschinen zu erlangen, die mit Ihren Schlüsseln zugänglich sind. Wir empfehlen Ihnen, für die Logins Ihrer Mitarbeiter immer ssh zusammen mit Kerberos einzusetzen. Damit reduzieren Sie die Abhängigkeit von potentiell gefährdeten Schlüsseln und schützen gleichzeitig die Paßwörter mit Kerberos. ssh-Schlüsselpaare sollten nur für automatisierte Aufgaben von einem besonders gesicherten Server eingesetzt werden (Kerberos kann für diese Art von Aufgaben nicht eingesetzt werden). Weiterhin empfehlen wir Ihnen, das Weiterreichen von Schlüsseln in der ssh-Konfiguration abzustellen bzw. die from=IP/DOMAIN Option in authorized_keys zu verwenden, die den Schlüssel nur von bestimmten Maschinen aus nutzbar macht. Bill Swingle Teile umgeschrieben und aktualisiert von DES, MD5, und <function>crypt()</function> Sicherheit crypt() crypt() DES MD5 Jedem Benutzer eines Unix-Systems ist ein Paßwort zugeordnet. Es scheint offensichtlich, daß das Paßwort nur dem Benutzer und dem System bekannt sein muß. Um die Paßwörter geheim zu halten, werden sie mit einer nicht umkehrbaren Hash-Funktion verschlüsselt, das heißt sie können leicht verschlüsselt aber nicht entschlüsselt werden. Was wir gerade als offensichtlich dargestellt haben, ist also nicht wahr: Das Betriebssystem kennt das Paßwort wirklich nicht, es kennt nur das verschlüsselte Paßwort. Die einzige Möglichkeit, das originale Paßwort herauszufinden, besteht darin, alle möglichen Paßwörter auszuprobieren (brute force Suche). Zu der Zeit als Unix entstanden ist, war die einzig sichere Möglichkeit Paßwörter zu verschlüsseln, leider DES (Data Encryption Standard). Für die Einwohner der USA stellte das kein Problem dar, aber da der Quellcode von DES nicht aus den USA exportiert werden durfte, mußte ein Weg gefunden werden, der die Gesetze der USA nicht verletzte und gleichzeitig die Kompatibilität mit anderen Unix Systemen, die immer noch DES benutzten, wahrte. Die Lösung bestand darin, die Verschlüsselungsbibliotheken aufzuspalten. Benutzer in den USA konnten die DES-Bibliotheken installieren und nutzen. In der Grundeinstellung benutzt FreeBSD MD5 als Verschlüsselungsmethode, das exportiert werden durfte und damit von jedem genutzt werden konnte. Es wird davon ausgegangen, daß MD5 sicherer als DES ist, so daß DES nur aus Kompatibilitätsgründen installiert werden sollte. Erkennen der Verschlüsselungsmethode Vor FreeBSD 4.4 war libcrypt.a ein symbolischer Link, der auf die Library zeigte, die die Verschlüsselungsroutinen enthielt. Seit FreeBSD 4.4 enthält libcrypt.a verschiedene Hash-Funktionen, deren Anwendung sich konfigurieren läßt. Momentan werden DES-, MD5- und Blowfish-Hash Funktionen unterstützt. In der Voreinstellung benutzt FreeBSD die MD5-Hash Funktion. Sie können leicht herausfinden, welche Verschlüsselungsmethode von FreeBSD verwendet wird. Ein Weg besteht darin, die verschlüsselten Paßwörter in /etc/master.passwd zu untersuchen. Paßwörter, die mit MD5 verschlüsselt wurden, sind länger als die mit DES verschlüsselten und beginnen mit den Zeichen $1$. Paßwörter, die mit $2$ anfangen, wurden mit der Blowfish-Funktion verschlüsselt. DES Paßwörter besitzen keine offensichtlichen Merkmale, an denen sie identifiziert werden könnten. Sie sind aber kürzer als MD5-Paßwörter und sind in einem 64 Zeichen umfassenden Alphabet kodiert, das das $-Zeichen nicht enthält. Ein relativ kurzes Paßwort, das nicht mit einem $-Zeichen anfängt, ist wahrscheinlich ein DES-Paßwort. Die Verschlüsselungsmethode für neue Paßwörter wird durch passwd_format in /etc/login.conf bestimmt. Der Wert dieser Variablen kann entweder des, md5 oder blf sein. Näheres schlagen Sie bitte in &man.login.conf.5; nach. S/Key S/Key Sicherheit S/Key S/Key ist ein Einmal-Paßwort System, das auf einer nicht umkehrbaren Hash-Funktion basiert. Aus Kompatibilitätsgründen benutzt FreeBSD MD4-Hashes, andere Systeme benutzen MD5 und DES-MAC. S/Key ist seit Version 1.1.5 Teil des FreeBSD Basissystems und wird auch auf einer wachsenden Zahl anderer Systeme benutzt. S/Key ist eine geschützte Warenmarke von Bell Communications Research, Inc. Ab der FreeBSD Version 5.0 wurde S/Key durch OPIE (Onetime Passwords In Everything), das die gleichen Funktionen bietet, abgelöst. OPIE benutzt MD5 Hash-Funktionen. In der folgenden Diskussion werden drei verschiedene Arten von Paßwörtern verwendet. Die erste Art ist Ihr normales Unix oder Kerberos Paßwort, das im folgenden Unix-Paßwort genannt wird. Die nächste Art ist das Einmal-Paßwort, das von dem S/Key-Kommando key oder dem OPIE-Programm opiekey generiert wird. Dieses Paßwort wird von den Programmen keyinit oder opiepasswd und dem Login-Programm akzeptiert. Im folgenden wird es Einmal-Paßwort genannt. Die letzte Art von Paßwörtern ist das geheime Paßwort, das Sie mit den Programmen key/opiekey (manchmal auch mit keyinit/opiepasswd) zum Erstellen der Einmal-Paßwörter verwenden. Dieses Paßwort werden wir im folgenden geheimes Paßwort oder schlicht Paßwort nennen. Das geheime Paßwort steht in keiner Beziehung zu Ihrem Unix Paßwort, beide können gleich sein, obwohl das nicht empfohlen wird. Die geheimen Paßwörter von S/Key oder OPIE sind nicht auf eine Länge von 8 Zeichen beschränkt. Sie können so lang sein, wie Sie wollen. Gebräuchlich sind Paßwörter, die sich aus sechs bis sieben Wörtern zusammensetzen. Das S/Key oder OPIE System arbeitet größtenteils unabhängig vom Unix Paßwort System. Neben dem Paßwort gibt es noch zwei Werte, die für S/Key und OPIE wichtig sind. Der erste ist der Initialwert (engl. seed oder key), der aus zwei Buchstaben und fünf Ziffern besteht. Der andere Wert ist der Iterationszähler, der eine Zahl zwischen 1 und 100 ist. S/Key generiert das Einmal-Paßwort, indem es den Initialwert und das geheime Paßwort aneinander hängt und dann die MD4/MD5 Hash-Funktion so oft, wie durch den Iterationszähler gegeben, anwendet. Das Ergebnis wird in sechs englische Wörter umgewandelt, die Ihr Einmal-Paßwort sind. Das Authentifizierungssystem (meistens PAM) merkt sich das zuletzt benutzte Einmal-Paßwort und Sie sind authentisiert, wenn die Hash-Funktion des Paßworts dem vorigen Paßwort entspricht. Da nicht umkehrbare Hash-Funktionen benutzt werden, ist es unmöglich, aus einem bekannten Paßwort weitere gültige Einmal-Paßwörter zu berechnen. Der Iterationszähler wird nach jeder erfolgreichen Anmeldung um eins verringert und stellt so die Synchronisation zwischen Benutzer und Login-Programm sicher. Wenn der Iterationszähler den Wert 1 erreicht, müssen S/Key und OPIE neu initialisiert werden. In jedem System werden drei Programme verwendet, die weiter unten beschrieben werden. Die Programme key und opiekey verlangen einen Iterationszähler, einen Initialwert und ein geheimes Paßwort. Daraus generieren sie ein Einmal-Paßwort oder eine Liste von Einmal-Paßwörtern. Die Programme keyinit und opiepasswd werden benutzt, um S/Key bzw. OPIE zu initialisieren. Mit ihnen können Paßwörter, Iterationszähler oder Initialwerte geändert werden. Als Parameter verlangen sie entweder ein geheimes Paßwort oder einen Iterationszähler oder einen Initialwert und ein Einmal-Paßwort. Die Programme keyinfo und opieinfo geben den momentanen Iterationszähler und Initialwert eines Benutzers aus. Diese werden aus den Dateien /etc/skeykeys bzw. /etc/opiekeys ermittelt. Im folgenden werden vier verschiedene Tätigkeiten beschrieben. Zuerst wird erläutert, wie keyinit oder opiepasswd über eine gesicherte Verbindung eingesetzt werden, um Einmal-Paßwörter das erste Mal zu konfigurieren oder das Paßwort oder den Initialwert zu ändern. Als nächstes wird erklärt, wie keyinit oder opiepasswd über eine nicht gesicherte Verbindung, zusammen mit key oder opiekey über eine gesicherte Verbindung, eingesetzt werden, um dasselbe zu erreichen. Als drittes wird beschrieben, wie key/opiekey genutzt werden, um sich über eine nicht gesicherte Verbindung anzumelden. Die vierte Tätigkeit beschreibt, wie mit key oder opiekey eine Reihe von Schlüsseln generiert werden, die Sie sich aufschreiben oder ausdrucken können, um sich von Orten anzumelden, die über keine gesicherten Verbindungen verfügen. Einrichten über eine gesicherte Verbindung Benutzen Sie keyinit um S/Key das erste Mal einzurichten, das Paßwort oder den Initialwert zu ändern, während Sie über eine gesicherte Verbindung, das heißt an der Konsole oder über ssh angemeldet, sind: &prompt.user; keyinit Adding unfurl: Reminder - Only use this method if you are directly connected. If you are using telnet or rlogin exit with no password and use keyinit -s. Enter secret password: Again secret password: ID unfurl s/key is 99 to17757 DEFY CLUB PRO NASH LACE SOFT Mit OPIE benutzen Sie stattdessen opiepasswd: &prompt.user; opiepasswd -c [grimreaper] ~ $ opiepasswd -f -c Adding unfurl: Only use this method from the console; NEVER from remote. If you are using telnet, xterm, or a dial-in, type ^C now or exit with no password. Then run opiepasswd without the -c parameter. Using MD5 to compute responses. Enter new secret pass phrase: Again new secret pass phrase: ID unfurl OTP key is 499 to4268 MOS MALL GOAT ARM AVID COED Nach der Aufforderung Enter new secret pass phrase: oder Enter secret password: geben Sie bitte Ihr Paßwort ein. Dies ist nicht das Paßwort, mit dem Sie sich anmelden, sondern es wird genutzt, um das Einmal-Paßwort zu generieren. Die Zeile, die mit ID anfängt, enthält Ihren Login-Namen, den Iterationszähler und den Initialwert. Diese Werte müssen Sie sich nicht behalten, da das System sie zeigen wird, wenn Sie sich anmelden. In der letzten Zeile steht das Einmal-Paßwort, das aus diesen Parametern und Ihrem geheimen Paßwort ermittelt wurde. Wenn sie sich jetzt wieder anmelden wollten, dann müßten Sie dieses Paßwort benutzen. Einrichten über eine nicht gesicherte Verbindung Um Einmal-Paßwörter über eine nicht gesicherte Verbindung einzurichten, oder das geheime Paßwort zu ändern, müssen Sie über eine gesicherte Verbindung zu einer Stelle verfügen, an der Sie die Kommandos key oder opiekey ausführen. Dies kann ein Desk Accessory auf einem Macintosh oder die Eingabeaufforderung auf einer Maschine, der Sie vertrauen, sein. Zudem müssen Sie einen Iterationszähler vorgeben (100 ist ein guter Wert) und einen Initialwert wählen, wobei Sie auch einen zufällig generierten nutzen können. Benutzen Sie keyinit -s über die ungesicherte Verbindung zu der Maschine, die Sie einrichten wollen: &prompt.user; keyinit -s Updating unfurl: Old key: to17758 Reminder you need the 6 English words from the key command. Enter sequence count from 1 to 9999: 100 Enter new key [default to17759]: s/key 100 to 17759 s/key access password: s/key access password:CURE MIKE BANE HIM RACY GORE Mit OPIE benutzen Sie opiepasswd: &prompt.user; opiepasswd Updating unfurl: You need the response from an OTP generator. Old secret pass phrase: otp-md5 498 to4268 ext Response: GAME GAG WELT OUT DOWN CHAT New secret pass phrase: otp-md5 499 to4269 Response: LINE PAP MILK NELL BUOY TROY ID mark OTP key is 499 gr4269 LINE PAP MILK NELL BUOY TROY Drücken Sie Return, um die Vorgabe für den Initialwert, der von keyinit key genannt wird, zu akzeptieren. Bevor Sie nun das Zugriffspaßwort (engl. access password) eingeben, rufen Sie über die gesicherte Verbindung key mit denselben Parametern auf: &prompt.user; key 100 to17759 Reminder - Do not use this program while logged in via telnet or rlogin. Enter secret password: <secret password> CURE MIKE BANE HIM RACY GORE Mit OPIE benutzen Sie opiekey: &prompt.user; opiekey 498 to4268 Using the MD5 algorithm to compute response. Reminder: Don't use opiekey from telnet or dial-in sessions. Enter secret pass phrase: GAME GAG WELT OUT DOWN CHAT Gehen Sie nun zurück zu der nicht gesicherten Verbindung und geben dort das eben generierte Einmal-Paßwort ein. Erzeugen eines einzelnen Einmal-Paßwortes Nachdem Sie S/Key oder OPIE eingerichtet haben, werden Sie beim nächsten Anmelden wie folgt begrüßt: &prompt.user; telnet example.com Trying 10.0.0.1... Connected to example.com Escape character is '^]'. FreeBSD/i386 (example.com) (ttypa) login: <username> s/key 97 fw13894 Password: OPIE begrüßt Sie wie folgt: &prompt.user; telnet example.com Trying 10.0.0.1... Connected to example.com Escape character is '^]'. FreeBSD/i386 (example.com) (ttypa) login: <username> otp-md5 498 gr4269 ext Password: Anmerkung: S/Key und OPIE besitzen eine nützliche Eigenschaft, die hier nicht gezeigt ist. Wenn Sie an der Eingabeaufforderung Return eingeben, wird die echo-Funktion eingeschaltet, das heißt Sie sehen, was Sie tippen. Dies ist besonders nützlich, wenn Sie ein generiertes Paßwort von einem Ausdruck abtippen müssen. MS-DOS Windows MacOS Jetzt müssen Sie Ihr Einmal-Paßwort generieren, um der Anmeldeaufforderung nachzukommen. Dies muß auf einem gesicherten System geschehen, auf dem Sie key oder opiekey ausführen können. Diese Programme gibt es übrigens auch für DOS, Windows und MacOS. Beide Programme benötigen den Iterationszähler sowie den Initialwert als Parameter, die Sie mittels cut-and-paste direkt von der Login Aufforderung nehmen können. Auf dem sicheren System: &prompt.user; key 97 fw13894 Reminder - Do not use this program while logged in via telnet or rlogin. Enter secret password: WELD LIP ACTS ENDS ME HAAG Mit OPIE: &prompt.user; opiekey 498 to4268 Using the MD5 algorithm to compute response. Reminder: Don't use opiekey from telnet or dial-in sessions. Enter secret pass phrase: GAME GAG WELT OUT DOWN CHAT Mit dem jetzt generierten Einmal-Paßwort können Sie die Anmeldeprozedur fortsetzen: login: <username> s/key 97 fw13894 Password: <return to enable echo> s/key 97 fw13894 Password [echo on]: WELD LIP ACTS ENDS ME HAAG Last login: Tue Mar 21 11:56:41 from 10.0.0.2 ... Erzeugen von mehreren Einmal-Paßwörtern Manchmal müssen Sie sich an Orte begeben, an denen Sie keinen Zugriff auf eine sichere Maschine oder eine sichere Verbindung haben. In diesem Fall können Sie vorher mit key einige Einmal-Paßwörter generieren, die Sie sich ausdrucken und mitnehmen können. Zum Beispiel: &prompt.user; key -n 5 30 zz99999 Reminder - Do not use this program while logged in via telnet or rlogin. Enter secret password: <secret password> 26: SODA RUDE LEA LIND BUDD SILT 27: JILT SPY DUTY GLOW COWL ROT 28: THEM OW COLA RUNT BONG SCOT 29: COT MASH BARR BRIM NAN FLAG 30: CAN KNEE CAST NAME FOLK BILK Mit fordern Sie fünf Paßwörter der Reihe nach an. Der letzte Iterationszähler wird durch gegeben. Beachten Sie bitte, daß die Paßwörter in der umgekehrten Reihenfolge, in der sie zu benutzen sind, ausgeben werden. Wenn Sie wirklich paranoid sind, schreiben Sie sich jetzt die Paßwörter auf, ansonsten drucken Sie sie mit lpr aus. Beachten Sie, daß jede Zeile den Iterationszähler und das Einmal-Paßwort zeigt. Trotzdem finden Sie es vielleicht hilfreich, eine Zeile nach Gebrauch durchzustreichen. Einschränken der Benutzung von Unix Paßwörtern Basierend auf dem Hostnamen, Benutzernamen, Terminal oder IP-Adresse, können Sie die Verwendung von Unix Paßwörtern einschränken. Die Beschränkungen werden in /etc/skey.access definiert. Die Manualseite &man.skey.access.5; beschreibt das Format dieser Datei sowie einige Vorsichtsmaßnahmen, die Sie treffen sollten, bevor Sie diese Datei einsetzen. Wenn /etc/skey.access nicht existiert und das ist unter FreeBSD die Vorgabe, dann dürfen sich alle Benutzer mit Unix Paßwörtern anmelden. Wenn die Datei existiert, dann müssen alle Benutzer S/Key zum Anmelden benutzen. Ausnahmen müssen explizit in skey.access konfiguriert werden. In allen Fällen werden Unix Paßwörter beim Anmelden auf der Konsole erlaubt. Das folgende Beispiel zeigt die drei häufigsten Ausnahmen: permit internet 192.168.0.0 255.255.0.0 permit user fnord permit port ttyd0 Die erste Zeile (permit internet) erlaubt es Benutzern, deren IP-Adresse, die immer noch gefälscht werden kann, mit dem angegebenen Wert und der angegebenen Maske übereinstimmt, Unix Paßwörter zu benutzen. Dies sollte nicht als Sicherheitsmechanismus mißverstanden werden, sondern sollte autorisierte Benutzer daran erinnern, daß sie ein ungesichertes Netzwerk benutzen und sich mit S/Key anmelden müssen. Die zweite Zeile (permit user) erlaubt es dem angegebenen Benutzer, hier fnord, jederzeit Unix Paßwörter zu verwenden. Dies sollte allerdings nur für Benutzer konfiguriert werden, die das key Programm nicht nutzen können (Leute mit dump Terminals oder wirklich uneinsichtige). Die dritte Zeile (permit port) erlaubt allen Benutzern, die sich an dem angegebenen Terminal anmelden, Unix Paßwörter zu benutzen. Sie sollte für Einwählverbindungen genutzt werden. Mark Murray Beigesteuert von Mark Dapoz Basiert auf einem Beitrag von Kerberos Kerberos Kerberos ist ein zusätzliches Netzwerkprotokoll, das es Benutzern erlaubt, sich über einen sicheren Server zu authentifizieren. Dienste wie rlogin, rcp oder das sichere Kopieren von Dateien zwischen Systemen und andere risikoreiche Tätigkeiten werden durch Kerberos erheblich sicherer und kontrollierbarer. Die folgende Anleitung kann nur als Wegweiser dazu dienen, wie Sie Kerberos für FreeBSD aufsetzen. Für eine komplette Beschreibung des Systems, sollten Sie sich auf jeden Fall die entsprechenden Manual-Seiten ansehen. Installation von Kerberos MIT Kerberos Installation Kerberos ist eine optionale Komponente von FreeBSD. Am leichtesten installieren Sie die Software, wenn Sie bei der ersten Installation von FreeBSD in sysinstall die Distribution 'krb4' oder 'krb5' auswählen. Damit installieren Sie entweder die 'eBones' (KerberosIV) oder 'Heimdal' (Kerberos5) Version von Kerberos. Beide Versionen werden mit FreeBSD ausgeliefert, da sie außerhalb von den USA oder Kanada entwickelt werden. Sie unterliegen deshalb auch nicht den restriktiven Exportbeschränkungen der USA und sind auch für Bewohner anderer Länder zugänglich. Als Alternative steht die MIT Variante von Kerberos in der Ports-Kollektion unter security/krb5 zur Verfügung. Erstellen der initialen Datenbank Die folgenden Schritte werden nur auf dem Kerberos-Server durchgeführt. Stellen Sie bitte vorher sicher, daß keine alten Kerberos-Datenbanken mehr vorhanden sind. Im Verzeichnis /etc/kerberosIV sollten sich nur die folgenden Dateien befinden: &prompt.root; cd /etc/kerberosIV &prompt.root; ls README krb.conf krb.realms Wenn noch andere Dateien, wie principal.* oder master_key, existieren, müssen Sie die alte Kerberos-Datenbank mit kdb_destroy löschen. Wenn Kerberos nicht läuft, können Sie die Dateien auch einfach löschen. Sie sollten nun die Dateien krb.conf und krb.realms editieren, um Ihr Kerberos-Realm zu definieren. Das folgende Beispiel zeigt dies für das Realm EXAMPLE.COM auf dem Server grunt.example.com. krb.conf sollte wie folgt aussehen: &prompt.root; cat krb.conf EXAMPLE.COM EXAMPLE.COM grunt.example.com admin server CS.BERKELEY.EDU okeeffe.berkeley.edu ATHENA.MIT.EDU kerberos.mit.edu ATHENA.MIT.EDU kerberos-1.mit.edu ATHENA.MIT.EDU kerberos-2.mit.edu ATHENA.MIT.EDU kerberos-3.mit.edu LCS.MIT.EDU kerberos.lcs.mit.edu TELECOM.MIT.EDU bitsy.mit.edu ARC.NASA.GOV trident.arc.nasa.gov Die zusätzlich aufgeführten Realms brauchen Sie nicht anzulegen. Sie zeigen hier nur, wie man Kerberos dazu bringt, andere Realms zu erkennen. Sie können Sie also auch weglassen. Die erste Zeile benennt das Realm, in dem das System arbeitet. Die anderen Zeilen enthalten Realm/Host Paare. Der erste Wert jeder Zeile ist das Realm, der zweite Teil ein Host, der in diesem Realm Key Distribution Center ist. Die Schlüsselwörter admin server nach einem Hostnamen bedeuten, daß dieser Host auch einen administrativen Datenbankserver zur Verfügung stellt. Weitere Erklärungen zu diesen Begriffen finden Sie in den Kerberos Manual-Seiten. Als nächstes muß grunt.example.com in das Realm EXAMPLE.COM aufgenommen werden. Desweiteren erstellen wir einen Eintrag, der alle Rechner der Domäne .example.com in das Realm EXAMPLE.COM aufnimmt. krb.realms sollte danach so aussehen: &prompt.root; cat krb.realms grunt.example.com EXAMPLE.COM .example.com EXAMPLE.COM .berkeley.edu CS.BERKELEY.EDU .MIT.EDU ATHENA.MIT.EDU .mit.edu ATHENA.MIT.EDU Die zusätzlichen Realms sind hier wieder als Beispiel gedacht. Sie können sie der Einfachheit halber auch weglassen. Die erste Zeile nimmt ein einzelnes System in das Realm auf. Die anderen Zeilen zeigen, wie bestimmte Subdomänen einem bestimmten Realm zugeordnet werden. Das folgende Kommando muß nur auf dem Kerberos-Server (oder Key Distribution Center) laufen. Mit kdb_init können wir die Datenbank anlegen: &prompt.root; kdb_init Realm name [default ATHENA.MIT.EDU ]: EXAMPLE.COM You will be prompted for the database Master Password. It is important that you NOT FORGET this password. Enter Kerberos master key: Anschließend muß der Schlüssel gespeichert werden, damit Server auf der lokalen Maschine darauf zugreifen können. Dies geschieht mit kstash: &prompt.root; kstash Enter Kerberos master key: Current Kerberos master key version is 1. Master key entered. BEWARE! Das verschlüsselte Master-Paßwort wurde in /etc/kerberosIV/master_key gesichert. Anlegen von Prinzipals Für jedes System, das mit Kerberos gesichert werden soll, müssen zwei Prinzipale in die Datenbank eingetragen werden. Ihre Namen sind kpasswd und rcmd. Beide Prinzipale müssen für jedes System angelegt werden, wobei die Instanz der Name des jeweiligen Systems ist. Die Dæmonen kpasswd und rcmd erlauben es anderen Systemen, Kerberos-Paßwörter zu ändern und Kommandos wie rcp, rlogin und rsh laufen zu lassen. Beide Einträge werden im folgenden angelegt: &prompt.root; kdb_edit Opening database... Enter Kerberos master key: Current Kerberos master key version is 1. Master key entered. BEWARE! Previous or default values are in [brackets] , enter return to leave the same, or new value. Principal name: passwd Instance: grunt <Not found>, Create [y] ? y Principal: passwd, Instance: grunt, kdc_key_ver: 1 New Password: <---- geben Sie hier Zufallswerte ein Verifying password New Password: <---- geben Sie hier Zufallswerte ein Random password [y] ? y Principal's new key version = 1 Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? Max ticket lifetime (*5 minutes) [ 255 ] ? Attributes [ 0 ] ? Edit O.K. Principal name: rcmd Instance: grunt <Not found>, Create [y] ? Principal: rcmd, Instance: grunt, kdc_key_ver: 1 New Password: <---- geben Sie hier Zufallswerte ein Verifying password New Password: <---- geben Sie hier Zufallswerte ein Random password [y] ? Principal's new key version = 1 Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? Max ticket lifetime (*5 minutes) [ 255 ] ? Attributes [ 0 ] ? Edit O.K. Principal name: <---- geben Sie nichts an, um das Programm zu verlassen Erstellen der Server-Datei Wir müssen nun für jede Maschine die Instanzen, die Dienste definieren, aus der Datenbank mit ext_srvtab extrahieren. Die erstelle Datei muß auf einem sicheren Weg in das /etc/kerberosIV Verzeichnis jedes Clients kopiert werden. Die Datei muß auf jedem Server und auf jedem Client vorhanden sein und ist unabdingbar für Kerberos. &prompt.root; ext_srvtab grunt Enter Kerberos master key: Current Kerberos master key version is 1. Master key entered. BEWARE! Generating 'grunt-new-srvtab'.... Das Kommando erzeugt Dateien mit einem temporären Namen, der es anderen Servern erlaubt, ihre Datei abzuholen. Die Datei muß auf dem entsprechenden System in srvtab umbenannt werden. Auf dem originalen System können Sie mv benutzen, um die Datei umzubenennen: &prompt.root; mv grunt-new-srvtab srvtab Wenn die Datei für ein Client-System bestimmt ist und das Netzwerk nicht sicher ist, kopieren Sie die Datei auf ein bewegliches Medium und transportieren sie physikalisch. Kopieren Sie die Datei auf den Client in das Verzeichnis /etc/kerberosIV und benennen Sie sie in srvtab um. Setzen Sie schließlich noch die Berechtigungen auf 600: &prompt.root; mv grumble-new-srvtab srvtab &prompt.root; chmod 600 srvtab Füllen der Datenbank Wir können nun Benutzer in der Datenbank anlegen. Mit kdb_edit legen wir zuerst die Benutzerin jane an: &prompt.root; kdb_edit Opening database... Enter Kerberos master key: Current Kerberos master key version is 1. Master key entered. BEWARE! Previous or default values are in [brackets] , enter return to leave the same, or new value. Principal name: jane Instance: <Not found>, Create [y] ? y Principal: jane, Instance: , kdc_key_ver: 1 New Password: <---- geben Sie ein sicheres Paßwort ein Verifying password New Password: <---- wiederholen Sie die Eingabe Principal's new key version = 1 Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? Max ticket lifetime (*5 minutes) [ 255 ] ? Attributes [ 0 ] ? Edit O.K. Principal name: <---- geben Sie nichts an, um das Programm zu verlassen Testen Zuerst müssen die Kerberos-Dæmonen gestartet sein. Wenn Sie /etc/rc.conf richtig angepaßt haben, passiert das automatisch, wenn Sie booten. Dieser Schritt ist nur auf dem Kerberos-Server notwendig, die Clients bekommen alles was sie brauchen aus dem /etc/kerberosIV Verzeichnis. &prompt.root; kerberos & Kerberos server starting Sleep forever on error Log file is /var/log/kerberos.log Current Kerberos master key version is 1. Master key entered. BEWARE! Current Kerberos master key version is 1 Local realm: EXAMPLE.COM &prompt.root; kadmind -n & KADM Server KADM0.0A initializing Please do not use 'kill -9' to kill this job, use a regular kill instead Current Kerberos master key version is 1. Master key entered. BEWARE! Jetzt können wir mit kinit versuchen, ein Ticket für die ID jane, die wir oben angelegt haben, zu erhalten: &prompt.user; kinit jane MIT Project Athena (grunt.example.com) Kerberos Initialization for "jane" Password: Mit klist können Sie sich vergewissern, daß Sie die Tickets auch erhalten haben: &prompt.user; klist Ticket file: /tmp/tkt245 Principal: jane@EXAMPLE.COM Issued Expires Principal Apr 30 11:23:22 Apr 30 19:23:22 krbtgt.EXAMPLE.COM@EXAMPLE.COM Versuchen Sie nun das Paßwort mit passwd zu ändern, um zu überprüfen, daß der kpasswd Dæmon auch auf der Kerberos-Datenbank autorisiert ist: &prompt.user; passwd realm EXAMPLE.COM Old password for jane: New Password for jane: Verifying password New Password for jane: Password changed. Anlegen von <command>su</command> Privilegien Mit Kerberos kann jedem Benutzer, der root-Privilegien braucht, ein eigenes Paßwort für su zugewiesen werden. Dies wird dadurch erreicht, daß die Instanz eines Prinzipals root ist. Mit kbd_edit legen wir nun den Eintrag jane.root in der Kerberos-Datenbank an: &prompt.root; kdb_edit Opening database... Enter Kerberos master key: Current Kerberos master key version is 1. Master key entered. BEWARE! Previous or default values are in [brackets] , enter return to leave the same, or new value. Principal name: jane Instance: root <Not found>, Create [y] ? y Principal: jane, Instance: root, kdc_key_ver: 1 New Password: <---- geben Sie ein sicheres Paßwort ein Verifying password New Password: <---- geben Sie das Paßwort erneut ein Principal's new key version = 1 Expiration date (enter yyyy-mm-dd) [ 2000-01-01 ] ? Max ticket lifetime (*5 minutes) [ 255 ] ? 12 <--- Keep this short! Attributes [ 0 ] ? Edit O.K. Principal name: <---- geben Sie nichts an, um das Programm zu verlassen Versuchen Sie nun, für diesen Prinzipal Tickets zu bekommen: &prompt.root; kinit jane.root MIT Project Athena (grunt.example.com) Kerberos Initialization for "jane.root" Password: Als nächstes fügen wir den Prinzipal in .klogin von root ein: &prompt.root; cat /root/.klogin jane.root@EXAMPLE.COM Jetzt benutzen wir su: &prompt.user; su Password: und kontrollieren, welche Tickets wir haben: &prompt.root; klist Ticket file: /tmp/tkt_root_245 Principal: jane.root@EXAMPLE.COM Issued Expires Principal May 2 20:43:12 May 3 04:43:12 krbtgt.EXAMPLE.COM@EXAMPLE.COM Weitere Kommandos In einem der Beispiele haben wir einen Prinzipal mit dem Namen jane und der Instanz root angelegt. Der Prinzipal entstand aus einem Benutzer mit dem gleichen Namen. Unter Kerberos ist es Standard, daß ein <principal>.<instance> der Form <username>.root es dem Benutzer <username> erlaubt, mit su root zu werden, wenn die entsprechenden Einträge in .klogin von root existieren: &prompt.root; cat /root/.klogin jane.root@EXAMPLE.COM Das gilt auch für die .klogin-Datei im Heimatverzeichnis eines Benutzers: &prompt.user; cat ~/.klogin jane@EXAMPLE.COM jack@EXAMPLE.COM Die Einträge erlauben jedem, der sich im Realm EXAMPLE.COM als jane oder jack mit kinit authentifiziert hat, über rlogin, rsh oder rcp Zugriff auf den Account jane und dessen Dateien. Im folgenden Beispiel meldet sich jane mit Kerberos auf grunt an: &prompt.user; kinit MIT Project Athena (grunt.example.com) Password: &prompt.user; rlogin grunt Last login: Mon May 1 21:14:47 from grumble Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 The Regents of the University of California. All rights reserved. FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995 Im folgenden Beispiel wurde der Prinzipal jack mit einer Instanz null angelegt. Mit der obigen .klogin-Datei kann er sich nun auf derselben Maschine als jane anmelden: &prompt.user; kinit &prompt.user; rlogin grunt -l jane MIT Project Athena (grunt.example.com) Password: Last login: Mon May 1 21:16:55 from grumble Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 The Regents of the University of California. All rights reserved. FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995 Gary Palmer Beigetragen von Alex Nash Firewalls Firewall Sicherheit Firewalls Firewalls sind sehr wichtig für Leute, die mit dem Internet verbunden sind. Weiterhin halten sie Einzug in private Netzwerke, um dort die Sicherheit zu verbessern. Dieser Abschnitt erklärt, was Firewalls sind, wie sie benutzt werden und wie man die Möglichkeiten von FreeBSD nutzen kann, um eine Firewall zu implementieren. Es wird oft gedacht, daß eine Firewall zwischen dem internen Netzwerk und dem weiten, schlechten Internet alle Sicherheitsprobleme löst. Eine Firewall kann die Sicherheit erhöhen, doch eine schlecht aufgesetzte Firewall ist ein größeres Sicherheitsrisiko als gar keine Firewall. Eine Firewall ist nur eine weitere Sicherheitsschicht, sie verhindert aber nicht, daß ein wirklich entschlossener Cracker in Ihr internes Netz eindringt. Wenn Sie Ihre interne Sicherheit vernachlässigen, weil Sie Ihre Firewall für undurchdringlich halten, machen Sie den Crackern die Arbeit leichter. Was ist eine Firewall? Auf dem Internet sind momentan zwei Arten von Firewalls gebräuchlich. Die erste Art ist ein Paketfilter, in dem ein Kernel auf einer Maschine mit mehreren Netzwerkverbindungen auf Grund von Regeln entscheidet, ob er ein Paket weiterleitet oder nicht. Der zweite Typ sind Proxy-Server, die auf Dæmonen angewiesen sind. Die Dæmonen authentifizieren Benutzer und leiten Pakete weiter, das heißt sie können auf Maschinen mit mehreren Netzwerkverbindungen laufen, auf denen das Weiterleiten von Paketen durch den Kernel ausgeschaltet ist. Manchmal werden beide Arten einer Firewall kombiniert und es ist nur einer besonderen Maschine, die Bastion Host genannt wird, erlaubt, Pakete in das interne Netzwerk über einen Paketfilter zu schicken. Auf dem Bastion Host laufen Proxy-Dienste, die im allgemeinen sicherer als normale Authentifizierungsmechanismen sind. FreeBSD besitzt einen Kernel-Paketfilter (IPFW), der im Rest dieses Abschnitts behandelt wird. Proxy-Server können mit Hilfe von Software von Drittherstellern auf FreeBSD realisiert werden, doch gibt es so viele Proxy-Server, daß deren Behandlung den Rahmen dieses Abschnitts sprengen würde. Packet-Filter Ein Router ist eine Maschine, die Pakete zwischen zwei oder mehr Netzwerken weiterleitet. Ein Paketfilter ist ein spezieller Router, der extra Code im Kernel hat, der es im erlaubt, die Pakete mit Regeln zu vergleichen, bevor er das Paket weiterleitet. Um die Filter zu aktivieren, müssen Sie zuerst die Regeln definieren, die festlegen, ob ein Paket weitergeleitet wird oder nicht. Um zu entscheiden, ob ein Paket weitergeleitet wird, sucht der Code des Paketfilters eine Regel, die auf den Inhalt des Paketheaders paßt. Wenn eine passende Regel gefunden wurde, wird die Aktion der Regel ausgeführt. Die Aktion kann das Paket blockieren, weiterleiten oder auch dem Sender eine ICMP-Nachricht schicken. Die Regeln werden der Reihenfolge nach durchsucht und nur die erste passende Regel wird angewandt. Daher wird auch von einer Regelkette gesprochen. Die Kriterien, nach denen Sie ein Paket spezifizieren können, hängen von der eingesetzten Software ab. Typischerweise können Sie Pakete nach der Quell-IP Adresse, der Ziel IP-Adresse, dem Quellport, dem Zielport (bei Protokollen, die diese unterscheiden) oder dem Pakettyp (UDP, TCP, ICMP) unterscheiden. Proxy-Server Auf Proxy-Servern werden die normalen Systemdienste (telnetd, ftpd, usw.) durch besondere Server ersetzt. Diese Server werden Proxy-Server genannt, da sie normalerweise nur weitergehende Verbindungen erlauben (proxy engl. für Stellvertreter). Zum Beispiel können Sie auf Ihrer Firewall einen Proxy-Telnet Server laufen lassen, der es Personen erlaubt, aus dem Internet auf die Firewall eine Telnet-Verbindung zu öffnen. Dort laufen Sie durch einen Authentifizierungsmechanismus und haben dann Zugriff auf Ihr internes Netzwerk. Für den umgekehrten Weg können Sie natürlich auch Proxy-Server einsetzen. Proxy-Server sind in aller Regel sicherer als normale Server und bieten oft eine Reihe von Authentifizierungsmechanismen. Dazu gehören Einmal-Paßwort Systeme, bei denen das zum Anmelden verwendete Paßwort sofort ungültig wird und nicht zu einer weiteren Anmeldung benutzt werden kann, auch wenn es abgehört wurde. Da Proxy-Server den Benutzern keinen Zugang zu dem System geben, wird es für einen Angreifer sehr schwer, Hintertüren zur Umgehung Ihres Sicherheitssystems zu installieren. Mit Proxy-Servern lassen sich die Zugriffe meist noch weiter beschränken. Der Zugriff kann auf bestimmte Rechner eingeschränkt werden und oft ist es möglich, festzulegen, welcher Benutzer mit welcher Zielmaschine kommunizieren darf. Welche Möglichkeiten Sie haben, hängt stark von der Proxy-Software ab, die Sie einsetzen. Was kann ich mit IPFW machen? ipfw IPFW, das von FreeBSD zur Verfügung gestellt wird, ist ein Paketfilter und ein Accounting-System, das im Kernel läuft und mit &man.ipfw.8; ein Werkzeug im Userland zur Verfügung stellt. Beide Teile zusammen erlauben es Ihnen, die Regeln für Routing Entscheidungen im Kernel zu definieren oder abzufragen. In IPFW gibt es zwei zusammenhängende Teile. Mit der Firewall können Sie einen Paketfilter konfigurieren. Das IP-Accounting Modul erlaubt es Ihnen, mit ähnlichen Regeln wie den Firewall-Regeln, die Nutzung Ihres Routers zu überwachen. Damit können Sie zum Beispiel sehen, wieviel Verkehr auf Ihrem Router von einer bestimmten Maschine kommt oder wieviel WWW (World Wide Web) Verkehr durch Ihren Router geht. Durch das Design von IPFW können Sie IPFW auch auf nicht-Routern einsetzen und einen Paketfilter für eingehende und ausgehende Verbindungen konfigurieren. Dies ist ein Spezialfall der allgemeinen Anwendung von IPFW und es werden daher die gleichen Kommandos und Techniken benutzt. Aktivieren von IPFW ipfw aktivieren Der größte Teil des IPFW-Systems befindet sich im Kernel, daher müssen Sie die Konfigurationsdatei des Kernels editieren und anschließend den Kernel neu übersetzen. Das Kapitel "Konfiguration des FreeBSD Kernels" () beschreibt, wie Sie dazu vorzugehen haben. Momentan gibt es drei Optionen in der Kernelkonfiguration, die IPFW betreffen: options IPFIREWALL Fügt den Paketfilter-Code in den Kernel ein. options IPFIREWALL_VERBOSE Aktiviert das Loggen von Paketen mit &man.syslogd.8;. Ohne diese Option werden keine Pakete geloggt, auch wenn Sie in den Filterregeln das Loggen angeben. options IPFIREWALL_VERBOSE_LIMIT=10 Begrenzt die Anzahl der über &man.syslogd.8; geschriebenen Einträge. Die Option ist in Umgebungen mit hoher Aktivität nützlich, in denen Sie die Firewall Aktivitäten loggen möchten, aber einem Angreifer nicht die Möglichkeit eines Denial of Service Angriffs durch das Überlasten von syslog geben wollen. Erreicht eine Regel der Regelkette die angegebene Grenze, so wird für diesen Eintrag das Loggen abgestellt. Um das Loggen von Paketen wieder zu aktivieren, müssen Sie den Zähler mit &man.ipfw.8; zurücksetzen: &prompt.root; ipfw zero 4500 Hier ist 4500 die Nummer der Regel in der Regelkette, für die Sie das Log weiterführen möchten. Frühere Versionen von FreeBSD stellten die Option IPFIREWALL_ACCT zur Verfügung. Die Option ist mittlerweile überholt, da der Firewall Code automatisch Accounting Möglichkeiten bereitstellt. Konfiguration von IPFW ipfw Konfiguration Mit &man.ipfw.8; konfigurieren Sie die IPFW-Software. Die Syntax dieses Kommandos sieht ziemlich kompliziert aus, doch wenn Sie einmal den Aufbau der Kommandos verstanden haben, ist es sehr einfach. Das Kommando unterstützt vier verschiedene Operationen: Hinzufügen/Löschen, Anzeigen und Zurücksetzen von Regeln, sowie das Zurücksetzen von Paketzählern. Die Operationen Hinzufügen/Löschen werden genutzt um die Regeln, nach denen Pakete akzeptiert, blockiert oder geloggt werden, zu erstellen. Die Operation Anzeigen zeigt die Regelkette und die Paketzähler an. Die Operation Zurücksetzen löscht alle Regeln der Regelkette. Mit der letzten Operation können Sie ein oder mehrere Paketzähler auf den Wert Null zurücksetzen. Ändern der IPFW-Regeln Die Syntax für diese Operation lautet: ipfw -N Kommando index Aktion log Protokoll Adressen Optionen Dieser Aufruf unterstützt eine Option: -N Löst Adressen und Namen von Diensten in der Ausgabe auf. Kommando kann auf die kürzeste eindeutige Länge reduziert werden. Gültig sind die Werte: add Fügt einen Eintrag in die Firewall/Accounting Regelkette ein. delete Löscht einen Eintrag in der Firewall/Accounting Regelkette. Frühere Versionen von IPFW verfügten über getrennte Firewall- und Accounting-Einträge in der Regelkette. In der jetzigen Version steht das Accounting für jeden Eintrag in der Firewall-Regelkette zur Verfügung. Wenn ein Wert für index angegeben ist, so wird die Regel an entsprechender Stelle in die Regelkette eingefügt. Ansonsten wird die Regel an das Ende der Kette gestellt, wobei der Index um 100 größer ist als der Index der letzten Regel (die voreingestellte letzte Regel mit der Nummer 65535 wird in diesem Verfahren nicht berücksichtigt). Wenn der Kernel mit IPFIREWALL_VERBOSE erstellt wurde, gibt die Regel mit der Option log Meldungen auf der Systemkonsole aus. Gültige Werte für Aktion sind: reject Blockiert das Paket und schickt dem Sender die ICMP-Nachricht host or port unreachable. allow Leitet das Paket normal weiter. Zulässige Aliase sind pass und accept. deny Blockiert das Paket und benachrichtigt den Sender nicht mit einer ICMP-Nachricht. Dem Sender kommt es so vor, als hätte das Paket sein Ziel nie erreicht. count Erhöht den Paketzähler für diese Regel, trifft aber keine Entscheidung wie mit dem Paket zu verfahren ist, das heißt die nächste Regel der Kette wird auf das Paket angewendet. Es ist möglich die kürzeste eindeutige Form der Aktion anzugeben. Für Protokoll können die folgenden Werte angegeben werden: all Trifft auf jedes IP-Paket zu. icmp Paßt auf jedes ICMP-Paket. tcp Paßt auf jedes TCP-Paket. udp Trifft auf jedes UDP-Paket zu. Die Syntax für Adresse lautet: from Adresse/MaskePort to Adresse/MaskePort via Interface Port können Sie nur angeben, wenn das Protokoll auch Ports unterstützt (UDP und TCP). ist optional und gibt die IP-Adresse, den Domainnamen eines lokalen Interfaces oder den Namen des Interfaces (z.B. ed0) an und trifft nur auf Pakete zu, die durch dieses Interface gehen. Die Nummern der Interfaces können mit einem Platzhalter angegeben werden, ppp* trifft auf alle Kernel-PPP Interfaces zu. Adresse/Maske können Sie wie folgt angeben: Adresse oder Adresse/Bitmaske oder Adresse:Maskenmuster Anstelle einer IP-Adresse können Sie einen gültigen Hostnamen angeben. ist eine dezimale Zahl, die angibt, wieviele Bits in der Adressmake gesetzt werden sollen. Die Angabe 192.216.222.1/24 erstellt eine Maske, die auf jede Adresse des Klasse C Subnetzes 192.216.222 zutrifft. Das wird mit der gegebenen IP-Adresse logisch UND verknüpft. Das Schlüsselwort any trifft auf jede IP-Adresse zu. Die Portnummern werden wie folgt angegeben: Port,Port,Port gibt entweder einen einzelnen Port oder eine Liste von Ports an Port-Port gibt einen Portbereich an. Sie können einen einzelnen Bereich mit einer Liste kombinieren, müssen aber den Bereich immer zuerst angeben. Die verfügbaren Optionen sind: frag Trifft auf Pakete zu, die nicht das erste Fragment eines Datagrams sind. in Trifft auf eingehende Pakete zu. out Trifft auf ausgehende Pakete zu. ipoptions spec Trifft auf alle IP-Pakete zu, deren Header die in spec angegebenen, durch Kommata separierte, Optionen enthalten. Die unterstützten IP-Optionen sind: ssrr (strict source route), lsrr (loose source route), rr (record packet route), und ts (time stamp). Ein führendes ! trifft auf alle Pakete zu, die diese Option nicht gesetzt haben. established Trifft auf alle Pakete zu, die zu einer schon bestehenden TCP-Verbindung gehören, das heißt das RST- oder ACK-Bit ist gesetzt. Sie können den Durchsatz der Firewall verbessern, wenn Sie die established Regeln soweit wie möglich an den Anfang der Regelkette stellen. setup Paßt auf alle Pakete, die versuchen eine TCP-Verbindung aufzubauen, das heißt das SYN-Bit ist gesetzt und das ACK-Bit ist nicht gesetzt. tcpflags flags Trifft auf alle Pakete zu, die im TCP-Header eine der durch Kommata getrennten Option gesetzt haben. Die gültigen Optionen sind: fin, syn, rst, psh, ack und urg. Mit einem führenden ! kann die Abwesenheit einer Option erzwungen werden. icmptypes types Trifft auf ICMP-Pakete vom Typ types. Hier kann eine Kommata separierte Aufzählung von Bereichen oder einzelnen Typen angegeben werden. Gebräuchliche Typen sind: 0 echo reply (ping reply), 3 destination unreachable, 5 redirect, 8 echo request (ping request) und 11 time exceeded, das die Überschreitung der TTL angibt und zum Beispiel von &man.traceroute.8; genutzt wird. Anzeigen der IPFW-Regeln Die Syntax für dieses Kommando lautet: ipfw -a -t -N l Drei Optionen sind für diese Form gültig: -a Zeigt die Paketzähler zu den Regeln an. Diese Option ist die einzige Möglichkeit, die Zähler zu sehen. -t Zeigt die Zeit, zu der die Regel zuletzt aktiviert wurde. Die Syntax dieser Ausgabe ist nicht kompatibel mit der Eingabesyntax von &man.ipfw.8;. -N Versucht Adressen und Namen von Diensten aufzulösen. Zurücksetzen der IPFW-Regeln Die Regeln setzen Sie wie folgt zurück: ipfw flush Damit werden alle Regeln der Regelkette, mit Ausnahme der Vorgaberegel 65535 gelöscht. Seien Sie vorsichtig, wenn Sie die Regeln zurücksetzen. Die Vorgabe für die Regel 65535 ist es, alle Pakete zu blockieren, das heißt, das System ist solange vom Netzwerk abgeschnitten, bis wieder neue Regeln in die Kette eingefügt werden. Zurücksetzen der Paketzähler Um einen oder mehrere Paketzähler zurückzusetzen, verwenden Sie folgende Syntax: ipfw zero index Wenn Sie das Argument index nicht angeben, werden alle Paketzähler zurückgesetzt. Wenn Sie das Argument angeben, wird nur der Zähler der angegebenen Regel zurückgesetzt. Beispiel für <application>ipfw</application> Kommandozeilen Das folgende Kommando blockiert alle Pakete, die von dem Host evil.crackers.org auf den Telnet-Port von nice.people.org gehen: &prompt.root; ipfw add deny tcp from evil.crackers.org to nice.people.org 23 Das nächste Beispiel verbietet jeden IP-Verkehr von dem ganzen crackers.org Klasse C Netzwerk zu der Maschine nice.people.org: &prompt.root; ipfw add deny log tcp from evil.crackers.org/24 to nice.people.org Wenn Sie X-Sessions zu Ihrem internen Netzwerk, einem Subnetz eines C Klasse Netzwerkes, verbieten wollen, wenden Sie das folgende Kommando an: &prompt.root; ipfw add deny tcp from any to my.org/28 6000 setup Um die Accounting Einträge zu sehen: &prompt.root; ipfw -a list oder kürzer &prompt.root; ipfw -a l Den Zeitpunkt, an dem eine Regel das letzte Mal aktiviert wurde, sehen Sie mit: &prompt.root; ipfw -at l Aufbau einer Firewall mit Paketfiltern Beachten Sie bitte, daß die folgenden Vorschläge wirklich nur Vorschläge sind. Die Anforderungen jeder Firewall sind verschieden und wir können Ihnen wirklich nicht sagen, wie Sie Ihre maßgeschneiderte Firewall aufsetzen müssen. Wenn Sie Ihre Firewall außerhalb eines kontrollierten Testumfelds aufbauen, empfehlen wir Ihnen dringend, das Loggen der Regeln im Kernel zu aktivieren und Regeln zu verwenden, die loggen. Das macht es Ihnen leichter, Fehler zu finden und diese ohne große Unterbrechungen zu beheben. Auch nachdem Sie die Firewall aufgesetzt haben, empfehlen wir Ihnen, die `deny'-Regeln zu loggen. Dies macht es leichter, Angriffen nachzugehen und das Regelwerk Ihrer Firewall zu ändern, wenn sich die Anforderungen einmal ändern. Wenn Sie Pakete der accept-Regel loggen, denken Sie bitte daran, daß Sie leicht sehr große Datenmengen erzeugen können, da jedes durchgelassene Paket einen Eintrag im Log generiert. Es kann vorkommen, das große FTP oder HTTP Übertragungen das System langsamer machen. Weiterhin wird für jedes der betroffenen Pakete die Latenzzeit erhöht, da von Seiten des Kernels mehr Arbeit zum Weiterleiten des Paketes erforderlich ist. Da alle Daten auf die Platte ausgeschrieben werden wird syslogd auch mehr Prozessorzeit beanspruchen und es kann leicht passieren, daß die Partition, die /var/log enthält voll läuft. Sie sollten Ihre Firewall aus /etc/rc.conf.local oder /etc/rc.conf aktivieren. Die entsprechende Manual-Seite zeigt Ihnen, welche Einstellungen Sie vornehmen müssen und zeigt einige vorgegebene Firewall-Konfigurationen. Wenn Sie keine der Vorgaben verwenden, können Sie Ihre Regelkette mit ipfw list in eine Datei ausgeben und diese Datei in /etc/rc.conf angeben. Wenn sie weder /etc/rc.conf.local oder /etc/rc.conf benutzen, um Ihre Firewall zu aktivieren, stellen Sie bitte sicher, daß die Firewall aktiviert ist, bevor die IP-Interfaces konfiguriert werden. Als nächstes müssen Sie festlegen, was Ihre Firewall machen soll. Das wird sehr stark davon abhängen welche Zugriffe Sie von außen auf Ihr Netzwerk erlauben wollen und welche Zugriffe von innen nach außen erlaubt sein sollen. Einige gebräuchliche Regeln sind: Blockieren Sie jeden einkommenden Zugriff auf Ports unter 1024 für TCP. Dort befinden sich die meisten der sicherheitsrelevanten Dienste wie finger, SMTP (Post) und telnet. Blockieren Sie jeden einkommenden UDP-Verkehr. Es gibt wenige nützliche UDP-Dienste und die, die nützlich sind, stellen meist eine Bedrohung der Sicherheit dar (z.B. die RPC- und NFS-Protokolle von Sun). Dies bringt allerdings auch Nachteile mit sich. Da UDP ein verbindungsloses Protokoll ist, verbieten Sie auch die Antworten auf ausgehende UDP-Pakete, wenn Sie eingehende UDP-Verbindungen blockieren. Dies kann zum Beispiel Probleme für Anwender des internen Netzwerks hervorrufen, wenn diese einen externen Archie-Server (prospero) verwenden. Wenn Sie den Zugriff auf Archie erlauben wollen, müssen Sie Pakete von den Ports 191 und 1525 zu jedem internen UDP-Port durch Ihre Firewall lassen. Ein anderer Dienst, den Sie vielleicht erlauben wollen, ist ntp, der vom Port 123 ausgeht. Verbieten Sie Verkehr von außen zum Port 6000. Der Port 6000 wird für den Zugriff auf X-Server genutzt und kann eine Bedrohung der Sicherheit darstellen, insbesondere wenn die Anwender gewohnt sind xhost + zu benutzen. Tatsächlich kann X einen Bereich von Ports verwenden, der bei 6000 anfängt. Die Obergrenze ist durch die Zahl der Displays, die auf einer Maschine laufen, gegeben. Laut RFC 1700 (Assigned Numbers) hat der höchst mögliche Port die Nummer 6063. Überprüfen Sie, welche Ports von internen Servern (z.B. SQL-Servern) benutzt werden. Da diese normalerweise aus dem oben angesprochenen Bereich von 1-1024 fallen, ist es wahrscheinlich gut, diese Ports ebenfalls zu blockieren. Eine Checkliste zum Aufbau einer Firewall ist vom CERT unter http://www.cert.org/tech_tips/packet_filtering.html erhältlich. Wie oben schon gesagt, können wir Ihnen nur Richtlinien geben. Sie müssen selbst entscheiden, welche Regeln Sie auf Ihrer Firewall einsetzen wollen. Wir übernehmen keine Verantwortung dafür, daß jemand in Ihr Netzwerk eindringt, auch wenn Sie die obigen Ratschläge befolgt haben. IPFW Overhead und Optimierungen Viele Leute wollen wissen, wieviel zusätzliche Last IPFW auf einem System erzeugt. Hauptsächlich hängt dies von der Art der Regelkette und der Geschwindigkeit des Prozessors ab. Für die meisten Anwendungen mit einer kleinen Regelkette auf einem Ethernet ist der Aufwand vernachlässigbar klein. Wenn Sie genaue Zahlen brauchen, lesen Sie bitte weiter. Die folgenden Messungen wurden auf einem 486-66 mit 2.2.5-STABLE durchgeführt. Obwohl sich IPFW in späteren FreeBSD Versionen leicht geändert hat, läuft es doch mit vergleichbarer Geschwindigkeit. Zur Durchführung der Messungen wurde in IPFW die verbrauchte Zeit in der Routine ip_fw_chk gemessen. Die Ergebnisse wurden alle 1000 Pakete auf der Konsole ausgegeben. Zwei Regelsätze mit je 1000 Regeln wurden getestet. Der erste Regelsatz sollte den schlimmsten Fall durch wiederholte Anwendung der folgenden Regel demonstrieren: &prompt.root; ipfw add deny tcp from any to any 55555 Da ein Großteil der Routine, die die Pakete überprüft, durchlaufen werden muß, bevor entschieden werden kann, ob das Paket wegen der Portnummer nicht auf die Regel paßt, wird mit dieser Regel der schlimmste Fall gut simuliert. Nach 999 Wiederholungen dieser Regel folgte die Regel allow ip from any to any. Der zweite Regelsatz wurde so entworfen, daß die Überprüfung der Regel schnell abgeschlossen werden kann: &prompt.root; ipfw add deny ip from 1.2.3.4 to 1.2.3.4 Die Regel kann aufgrund einer nicht passenden IP-Adresse sehr schnell verlassen werden. Nach 999 Wiederholungen dieser Regel folgte wie im ersten Fall die Regel allow ip from any to any. Im ersten Fall betrug der zusätzliche Aufwand 2,703 ms pro Paket also ungefähr 2,7 µs pro Regel. Damit könnten maximal ungefähr 370 Pakete pro Sekunde verarbeitet werden. Mit einem 10 Mbps Ethernet und Paketen, die ungefähr 1500 Bytes groß sind, entspricht dies einer Ausnutzung von 55% der zur Verfügung stehenden Bandbreite. Im letzten Fall wurde jedes Paket in 1,172 ms abgearbeitet, was ungefähr 1,2 µs pro Regel entspricht. In diesem Fall könnten maximal 853 Pakete pro Sekunde verarbeitet werden, was die Bandbreite eines 10 Mbps Ethernet vollständig ausnutzt. Die große Anzahl und die Beschaffenheit der Regeln in den Beispielen entsprechen nicht der Wirklichkeit. Die Regeln dienten nur der Messung der Geschwindigkeit. Wenn Sie eine effiziente Regelkette aufbauen wollen, sollten Sie die folgenden Ratschläge berücksichtigen: Setzen Sie eine established Regel so früh wie möglich in die Regelkette, um den Großteil des TCP Verkehrs abzudecken. Vor dieser Regel sollten Sie keine allow tcp stehen haben. Plazieren Sie häufig benutzte Regeln vor selten benutzten Regeln, ohne dabei den Sinn der Regelkette zu ändern. Welche Regeln häufig durchlaufen werden, können Sie den Paketzählern mit ipfw -a l entnehmen. OpenSSL security OpenSSL OpenSSL Das OpenSSL-Toolkit ist seit FreeBSD 4.0 Teil des Basissystems. OpenSSL stellt eine universale Kryptographie Bibliothek sowie die Protokolle Secure Sockets Layer v2/v3 (SSLv2/SSLv3) und Transport Layer Security v1 (TLSv1) zur Verfügung. Einer der Algorithmen, namentlich IDEA, in OpenSSL ist durch Patente in den USA und anderswo geschützt und daher nicht frei verfügbar. IDEA ist Teil des Quellcodes von OpenSSL wird aber in der Voreinstellung nicht kompiliert. Wenn Sie den Algorithmus benutzen wollen und die Lizenzbedingungen erfüllen, können Sie MAKE_IDEA in /etc/make.conf aktivieren und das System mit make world neu bauen. Der RSA-Algorithmus ist heute in den USA und anderen Ländern frei verfügbar. Früher wurde er ebenfalls durch ein Patent geschützt. OpenSSL Installation Installation vom Quellcode OpenSSL ist Teil der src-crypto und src-secure CVSup-Kollektionen. Mehr Informationen über die Erhältlichkeit und das Aktualisieren des FreeBSD Quellcodes erhalten Sie im Abschnitt Beschaffung von FreeBSD. Yoshinobu Inoue Beigetragen von IPsec IPsec Sicherheit IPsec Abschließende Zeichen Am Ende der Beispiele in diesem und anderen Abschnitten werden Sie oft ein ^D sehen. Das bedeutet, daß Sie die Control-Taste zusammen mit der Taste D drücken sollen. Eine weiterere häufig genutzte Kombination ist ^C. Hier drücken Sie die Taste Control zusammen mit der C-Taste. HOWTOs, die die Implementation von IPSec in FreeBSD beschreiben, finden Sie unter und . IPSec stellt eine sichere Kommunikation auf IP- und Socket-Ebene zur Verfügung. Der folgende Abschnitt zeigt wie Sie IPSec benutzen. Weitere Einzelheiten können Sie dem Entwickler Handbuch entnehmen. Die aktuelle Version von IPSec unterstützt den Transport-Modus sowie den Tunnel-Modus, wobei der Tunnel-Modus einige Beschränkungen besitzt. Unter http://www.kame.net/newsletter/ finden Sie weitere Beispiele. Um IPSec benutzen zu können, müssen Sie folgende Optionen in Ihren Kernel kompiliert haben: options IPSEC #IP security options IPSEC_ESP #IP security (crypto; define w/IPSEC) Transport-Modus mit IPv4 Um zwischen zwei Rechnern, im folgenden Beispiel HOST A (10.2.3.4) und HOST B (10.6.7.8) sicher zu kommunizieren, müssen wir zuerst eine Sicherheitsassoziation einrichten. Das folgende Beispiel benutzt den alten AH (Authentication Header) von HOST A zu HOST B. Für die Kommunikation von HOST B zu HOST A wird der neue AH mit dem neuen ESP (Encapsulating Security Payload) kombiniert. Zu den Verfahren AH, neuer AH, ESP und neuem ESP müssen nun Algorithmen ausgewählt werden. Die zur Verfügung stehenden Algorithmen werden in &man.setkey.8; erläutert. Wir entschieden uns für die Kombinationen MD5 für AH, new-HMAC-SHA1 für neuen AH und new-DES-expIV mit 8 Byte IV für den neuen ESP. Die Schlüssellänge hängt stark vom gewählten Algorithmus ab. Für MD5 beträgt sie 16 Bytes, für new-HMAC-SHA1 20 Bytes und 8 Bytes für new-DES-expIV. Wie wählten jeweils die Schlüssel MYSECRETMYSECRET, KAMEKAMEKAMEKAMEKAME und PASSWORD. Als nächstes müssen wir jedem Protokoll einen SPI (Security Parameter Index) zuweisen. Beachten Sie bitte, daß wir 3 SPIs benötigen, da drei Header erzeugt werden (einer für die Kommunikation von HOST A zu HOST B und zwei für die Kommunikation von HOST B zu HOST A). Beachten Sie weiterhin, daß die SPIs größer oder gleich 256 sein müssen. Im folgenden Beispiel haben wir uns für 1000, 2000 und 3000 entschieden. (1) HOST A ------> HOST B (1)PROTO=AH ALG=MD5(RFC1826) KEY=MYSECRETMYSECRET SPI=1000 (2.1) HOST A <------ HOST B <------ (2.2) (2.1) PROTO=AH ALG=new-HMAC-SHA1(new AH) KEY=KAMEKAMEKAMEKAMEKAME SPI=2000 (2.2) PROTO=ESP ALG=new-DES-expIV(new ESP) IV length = 8 KEY=PASSWORD SPI=3000 Um die Sicherheitsassoziation einzurichten, führen Sie &man.setkey.8; auf HOST A und HOST B aus: &prompt.root; setkey -c add 10.2.3.4 10.6.7.8 ah-old 1000 -m transport -A keyed-md5 "MYSECRETMYSECRET" ; add 10.6.7.8 10.2.3.4 ah 2000 -m transport -A hmac-sha1 "KAMEKAMEKAMEKAMEKAME" ; add 10.6.7.8 10.2.3.4 esp 3000 -m transport -E des-cbc "PASSWORD" ; ^D Bevor Sie die Kommunikation mit IPSec nutzen können, müssen Sie noch eine Sicherheits-Policy auf beiden Rechnern einrichten: Auf Host A: &prompt.root; setkey -c spdadd 10.2.3.4 10.6.7.8 any -P out ipsec ah/transport/10.2.3.4-10.6.7.8/require ; ^D Auf Host B: &prompt.root; setkey -c spdadd 10.6.7.8 10.2.3.4 any -P out ipsec esp/transport/10.6.7.8-10.2.3.4/require ; spdadd 10.6.7.8 10.2.3.4 any -P out ipsec ah/transport/10.6.7.8-10.2.3.4/require ; ^D HOST A --------------------------------------> HOST E 10.2.3.4 10.6.7.8 | | ========== old AH keyed-md5 ==========> <========= new AH hmac-sha1 =========== <========= new ESP des-cbc ============ Transport-Modus mit IPv6 Das folgende Beispiel zeigt die Nutzung von IPSec mit IPv6. Das folgende Beispiel richtet den ESP Transport-Modus für TCP Verbindungen zwischen HOST B Port 110 und HOST A ein. ============ ESP ============ | | Host-A Host-B fec0::10 -------------------- fec0::11 Der Algorithmus zum Verschlüsseln ist blowfish-cbc, der zugehörige Schlüssel ist kamekame. Für die Authentifizierung wird hmac-sha1 mit dem Schlüssel this is the test key verwendet. Auf HOST A geben Sie die folgenden Befehle ein: &prompt.root; setkey -c <<EOF spdadd fec0::10[any] fec0::11[110] tcp -P out ipsec esp/transport/fec0::10-fec0::11/use ; spdadd fec0::11[110] fec0::10[any] tcp -P in ipsec esp/transport/fec0::11-fec0::10/use ; add fec0::10 fec0::11 esp 0x10001 -m transport -E blowfish-cbc "kamekame" -A hmac-sha1 "this is the test key" ; add fec0::11 fec0::10 esp 0x10002 -m transport -E blowfish-cbc "kamekame" -A hmac-sha1 "this is the test key" ; EOF Entsprechend auf HOST B: &prompt.root; setkey -c <<EOF spdadd fec0::11[110] fec0::10[any] tcp -P out ipsec esp/transport/fec0::11-fec0::10/use ; spdadd fec0::10[any] fec0::11[110] tcp -P in ipsec esp/transport/fec0::10-fec0::11/use ; add fec0::10 fec0::11 esp 0x10001 -m transport -E blowfish-cbc "kamekame" -A hmac-sha1 "this is the test key" ; add fec0::11 fec0::10 esp 0x10002 -m transport -E blowfish-cbc "kamekame" -A hmac-sha1 "this is the test key" ; EOF Beachten Sie bitte die Richtung der erstellen Security Policy. Tunnel-Modus mit IPv4 Das folgende Beispiel baut einen Tunnel zwischen zwei Gateways auf. Als Protokoll wird der alte AH Tunnel-Modus (RFC 1826) verwendet. Zur Authentifizierung wird keyed-md5 mit dem Schlüssel this is the test verwendet. ======= AH ======= | | Network-A Gateway-A Gateway-B Network-B 10.0.1.0/24 ---- 172.16.0.1 ----- 172.16.0.2 ---- 10.0.2.0/24 Der Gateway A wird wie folgt konfiguriert: &prompt.root; setkey -c <<EOF spdadd 10.0.1.0/24 10.0.2.0/24 any -P out ipsec ah/tunnel/172.16.0.1-172.16.0.2/require ; spdadd 10.0.2.0/24 10.0.1.0/24 any -P in ipsec ah/tunnel/172.16.0.2-172.16.0.1/require ; add 172.16.0.1 172.16.0.2 ah-old 0x10003 -m any -A keyed-md5 "this is the test" ; add 172.16.0.2 172.16.0.1 ah-old 0x10004 -m any -A keyed-md5 "this is the test" ; EOF Wenn wie oben die Portnummer weggelassen wird, wird [any] verwendet. Mit -m wird der Modus der Sicherheitsassoziation angegeben. -m any gilt für den Transport- sowie den Tunnel-Modus. Auf Gateway B geben Sie folgendes ein: &prompt.root; setkey -c <<EOF spdadd 10.0.2.0/24 10.0.1.0/24 any -P out ipsec ah/tunnel/172.16.0.2-172.16.0.1/require ; spdadd 10.0.1.0/24 10.0.2.0/24 any -P in ipsec ah/tunnel/172.16.0.1-172.16.0.2/require ; add 172.16.0.1 172.16.0.2 ah-old 0x10003 -m any -A keyed-md5 "this is the test" ; add 172.16.0.2 172.16.0.1 ah-old 0x10004 -m any -A keyed-md5 "this is the test" ; EOF Tunnel-Modus mit IPv6 Transport- und Tunnel-Modus zwischen zwei Gateways Zwischen Gateway A und Gateway B soll der AH Transport-Modus und der ESP Tunnel-Modus eingerichtet werden. In diesem Fall wird zuerst der ESP-Tunnel eingerichtet, danach folgt das Einrichten des AH Transport-Modus. ========== AH ========= | ======= ESP ===== | | | | | Network-A Gateway-A Gateway-B Network-B fec0:0:0:1::/64 --- fec0:0:0:1::1 ---- fec0:0:0:2::1 --- fec0:0:0:2::/64 Für ESP wird 3des-cbc zur Verschlüsselung und hmac-sha1 zur Authentifizierung verwendet. Bei AH wird zur Authentifizierung hmac-md5 benutzt. Auf Gateway A sieht die Konfiguration wie folgt aus: &prompt.root; setkey -c <<EOF spdadd fec0:0:0:1::/64 fec0:0:0:2::/64 any -P out ipsec esp/tunnel/fec0:0:0:1::1-fec0:0:0:2::1/require ah/transport/fec0:0:0:1::1-fec0:0:0:2::1/require ; spdadd fec0:0:0:2::/64 fec0:0:0:1::/64 any -P in ipsec esp/tunnel/fec0:0:0:2::1-fec0:0:0:1::1/require ah/transport/fec0:0:0:2::1-fec0:0:0:1::1/require ; add fec0:0:0:1::1 fec0:0:0:2::1 esp 0x10001 -m tunnel -E 3des-cbc "kamekame12341234kame1234" -A hmac-sha1 "this is the test key" ; add fec0:0:0:1::1 fec0:0:0:2::1 ah 0x10001 -m transport -A hmac-md5 "this is the test" ; add fec0:0:0:2::1 fec0:0:0:1::1 esp 0x10001 -m tunnel -E 3des-cbc "kamekame12341234kame1234" -A hmac-sha1 "this is the test key" ; add fec0:0:0:2::1 fec0:0:0:1::1 ah 0x10001 -m transport -A hmac-md5 "this is the test" ; EOF Im folgenden werden zwei Sicherheitsassoziationen mit unterschiedlichen Endpunkten erstellt. Zwischen Host A und Gateway A soll ein ESP-Tunnel eingerichtet werden. Zur Verschlüsselung wird cast128-cbc und zur Authentifizierung wird hmac-sha1 verwendet. Zusätzlich wird zwischen Host A und Host B der ESP Transport-Modus eingerichtet. Zur Verschlüsselung wird rc5-cbc verwendet. Die Authentifizierung verwendet hmac-md5. ================== ESP ================= | ======= ESP ======= | | | | | Host-A Gateway-A Host-B fec0:0:0:1::1 ---- fec0:0:0:2::1 ---- fec0:0:0:2::2 Host A wird wie folgt konfiguriert: &prompt.root; setkey -c <<EOF spdadd fec0:0:0:1::1[any] fec0:0:0:2::2[80] tcp -P out ipsec esp/transport/fec0:0:0:1::1-fec0:0:0:2::2/use esp/tunnel/fec0:0:0:1::1-fec0:0:0:2::1/require ; spdadd fec0:0:0:2::1[80] fec0:0:0:1::1[any] tcp -P in ipsec esp/transport/fec0:0:0:2::2-fec0:0:0:l::1/use esp/tunnel/fec0:0:0:2::1-fec0:0:0:1::1/require ; add fec0:0:0:1::1 fec0:0:0:2::2 esp 0x10001 -m transport -E cast128-cbc "12341234" -A hmac-sha1 "this is the test key" ; add fec0:0:0:1::1 fec0:0:0:2::1 esp 0x10002 -E rc5-cbc "kamekame" -A hmac-md5 "this is the test" ; add fec0:0:0:2::2 fec0:0:0:1::1 esp 0x10003 -m transport -E cast128-cbc "12341234" -A hmac-sha1 "this is the test key" ; add fec0:0:0:2::1 fec0:0:0:1::1 esp 0x10004 -E rc5-cbc "kamekame" -A hmac-md5 "this is the test" ; EOF Chern Lee Beigetragen von OpenSSH OpenSSH Sicherheit OpenSSH Secure Shell stellt Werkzeuge bereit, um sicher auf entfernte Maschinen zuzugreifen. Die Kommandos rlogin, rsh, rcp und telnet können durch ssh ersetzt werden. Zusätzlich können andere TCP/IP-Verbindungen sicher durch ssh weitergeleitet (getunnelt) werden. Mit ssh werden alle Verbindungen verschlüsselt, dadurch wird verhindert, daß die Verbindung zum Beispiel abgehört oder übernommen (Hijacking) werden kann. OpenSSH wird vom OpenBSD Projekt gepflegt und basiert auf SSH v1.2.12 mit allen aktuellen Fixen und Aktualisierungen. OpenSSH ist mit den SSH Protokollen der Versionen 1 und 2 kompatibel. Seit FreeBSD 4.0 ist die OpenSSH Teil des Basissystems. Vorteile von OpenSSH Mit &man.telnet.1; oder &man.rlogin.1; werden Daten in einer unverschlüsselten Form über das Netzwerk gesendet. Daher besteht die Gefahr, das Benutzer/Paßwort Kombinationen oder alle Daten an beliebiger Stelle zwischen dem Client und dem Server abgehört werden. Mit OpenSSH stehen eine Reihe von Authentifizierungs- und Verschlüsselungsmethoden zur Verfügung, um das zu verhindern. Aktivieren von sshd OpenSSH Aktivieren Stellen Sie sicher, daß /etc/rc.conf die folgende Zeile enthält: sshd_enable="YES" Der ssh Dæmon wird damit bei dem nächsten Neustart des Systems geladen. Alternativ können Sie den Dæmon auch händisch starten. SSH Client OpenSSH Client &man.ssh.1; arbeitet ähnlich wie &man.rlogin.1;: &prompt.root; ssh user@example.com Host key not found from the list of known hosts. Are you sure you want to continue connecting (yes/no)? yes Host 'example.com' added to the list of known hosts. user@example.com's password: ******* Der Anmeldevorgang wird danach, wie von rlogin oder telnet gewohnt, weiterlaufen. SSH speichert einen Fingerabdruck des Serverschlüssels. Die Aufforderung, yes einzugeben, erscheint nur bei der ersten Verbindung zu einem Server. Weitere Verbindungen zu dem Server werden gegen den gespeicherten Fingerabdruck des Schlüssels geprüft und der Client gibt eine Warnung aus, wenn sich der empfangene Fingerabdruck von dem gespeicherten unterscheidet. Die Fingerabdrücke der Version 1 werden in ~/.ssh/known_hosts, die der Version 2 in ~/.ssh/known_hosts2 gespeichert. In der Voreinstellung akzeptieren OpenSSH Server Verbindungen mit SSH v1 und SSH v2. Die Clients können sich aber das Protokoll auswählen, dabei wird das Protokoll der Version 2 als robuster und sicherer als die Vorgängerversion angesehen. Mit den Optionen oder kann die Protokollversion, die ssh verwendet, erzwungen werden. Secure Copy OpenSSH secure copy scp Mit scp lassen sich Dateien analog wie mit rcp auf entfernte Maschinen kopieren. Mit scp werden die Dateien allerdings in einer sicheren Weise übertragen. &prompt.root; scp user@example.com:/COPYRIGHT COPYRIGHT user@example.com's password: COPYRIGHT 100% |*****************************| 4735 00:00 &prompt.root; Da der Fingerabdruck schon im vorigen Beispiel abgespeichert wurde, wird er bei der Verwendung von scp in diesem Beispiel überprüft. Da die Fingerabdrücke übereinstimmen, wird keine Warnung ausgegeben. Die Argumente, die scp übergeben werden, gleichen denen von cp in der Beziehung, daß die ersten Argumente die zu kopierenden Dateien sind und das letzte Argument den Bestimmungsort angibt. Da die Dateien über das Netzwerk kopiert werden, können ein oder mehrere Argumente die Form besitzen. Konfiguration OpenSSH Konfiguration Die für das ganze System gültigen Konfigurationsdateien des OpenSSH Dæmons und des Clients finden sich in dem Verzeichnis /etc/ssh. Die Client-Konfiguration befindet sich in ssh_config, die des Servers befindet sich in sshd_config. Das SSH-System läßt sich weiterhin über die Anweisungen (Vorgabe ist /usr/sbin/sshd) und in /etc/rc.conf konfigurieren. ssh-keygen Mit &man.ssh-keygen.1; können RSA-Schlüssel für einen Benutzer erzeugt werden, die anstelle von Paßwörtern verwendet werden können. &prompt.user; ssh-keygen Initializing random number generator... Generating p: .++ (distance 66) Generating q: ..............................++ (distance 498) Computing the keys... Key generation complete. Enter file in which to save the key (/home/user/.ssh/identity): Enter passphrase: Enter the same passphrase again: Your identification has been saved in /home/user/.ssh/identity. ... &man.ssh-keygen.1; erzeugt einen öffentlichen und einen privaten Schlüssel für die Authentifizierung. Der private Schlüssel wird in ~/.ssh/identity, der öffentliche Schlüssel in ~/.ssh/identity.pub gespeichert. Damit die RSA-Schlüssel zur Authentifizierung verwendet werden können, muß der öffentliche Schlüssel in der Datei ~/.ssh/authorized_keys auf der entfernten Maschine abgelegt werden. Damit werden Verbindungen zu der entfernten Maschine über den RSA-Mechanismus anstelle von Paßwörtern authentifiziert. Wenn bei der Erstellung der Schlüssel mit &man.ssh-keygen.1; ein Paßwort angegeben wurde, wird der Benutzer bei jeder Anmeldung zur Eingabe des Paßworts aufgefordert. Zum gleichen Zweck kann ein DSA-Schlüssel zur Verwendung mit SSH v2 erstellt werden. Dazu rufen Sie das Kommando ssh-keygen -d oder ssh-keygen -t dsa mit FreeBSD &os.current; auf. Sie erzeugen damit ein DSA-Schlüsselpaar, das nur in SSH v2 Verbindungen genutzt wird. Der öffentliche Schlüssel wird in ~/.ssh/id_dsa.pub, der private Schlüssel in ~/.ssh/id_dsa gespeichert. Die öffentlichen DSA-Schlüssel werden in ~/.ssh/authorized_keys2 auf der entfernten Maschine abgelegt. Mit &man.ssh-agent.1; und &man.ssh-add.1; können Sie mehrere durch Paßwörter geschützte private Schlüssel verwalten. SSH Tunnel OpenSSH Tunnel Mit OpenSSH ist es möglich, einen Tunnel zu erstellen, in dem ein anderes Protokoll verschlüsselt übertragen wird. Das folgende Kommando erzeugt einen Tunnel für telnet: &prompt.user; ssh -2 -N -f -L 5023:localhost:23 user@foo.example.com &prompt.user; Dabei wurden die folgenden Option von ssh verwendet: Zwingt ssh die Version 2 des Protokolls zu benutzen (Benutzen Sie das nicht mit älteren ssh-Servern). Zeigt an, daß ein Tunnel erstellt werden soll. Ohne diese Option würde ssh eine normale Sitzung öffnen. Zwingt ssh im Hintergrund zu laufen. Ein lokaler Tunnel wird in der Form localport:remotehost:remoteport angegeben. Die Verbindung wird dabei von dem lokalen Port localport auf einen entfernten Rechner weitergeleitet. Gibt den entfernten SSH server an. Ein SSH-Tunnel erzeugt ein Socket auf localhost und dem angegebenen Port. Jede Verbindung, die auf dem angegebenen Socket aufgemacht wird, wird dann auf den spezifizierten entfernten Rechner und Port weitergeleitet. Im Beispiel wird der Port 5023 auf die entfernte Maschine und dort auf localhost Port 23 weitergeleitet. Da der Port 23 für Telnet reserviert ist, erzeugt das eine sichere Telnet Verbindung durch einen SSH-Tunnel. Diese Vorgehensweise kann genutzt werden, um jedes unsichere TCP-Protokoll wie SMTP, POP3, FTP, usw. weiterzuleiten. Mit SHH einen sicheren Tunnel für SMTP erstellen&prompt.user; ssh -2 -N -f -L 5025:localhost:25 user@mailserver.example.com user@mailserver.example.com's password: ***** &prompt.user; telnet localhost 5025 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 mailserver.example.com ESMTP Zusammen mit &man.ssh-keygen.1; und zusätzlichen Benutzer-Accounts können Sie leicht benutzbare SSH-Tunnel aufbauen. Anstelle von Paßwörtern können Sie Schlüssel benutzen und jeder Tunnel kann unter einem eigenen Benutzer laufen. Beispiel für SSH-Tunnel Sicherer Zugriff auf einen POP3-Server Nehmen wir an, an Ihrer Arbeitsstelle gibt es einen SSH-Server, der Verbindungen von außen akzeptiert. Auf dem Netzwerk Ihrer Arbeitsstelle soll sich zudem noch ein Mail-Server befinden, der POP3 spricht. Das Netzwerk oder die Verbindung von Ihrem Haus zu Ihrer Arbeitsstelle ist unsicher - und daher müssen Sie Ihre e-mail über eine gesicherte + und daher müssen Sie Ihre E-Mail über eine gesicherte Verbindung abholen können. Die Lösung zu diesem Problem besteht darin, eine SSH-Verbindung von Ihrem Haus zu dem SSH-Server an Ihrer Arbeitsstelle aufzubauen, und von dort weiter zum Mail-Server zu tunneln. &prompt.user; ssh -2 -N -f -L 2110:mail.example.com:110 user@ssh-server.example.com user@ssh-server.example.com's password: ****** Wenn Sie den Tunnel eingerichtet haben, konfigurieren Sie Ihren Mail-Client so, daß er POP3 Anfragen zu localhost Port 2110 sendet. Die Verbindung wird dann sicher zu mail.example.com weitergeleitet. Umgehen einer strengen Firewall Einige Netzwerkadministratoren stellen sehr drakonische Firewall-Regeln auf, die nicht nur einkommende Verbindungen filtern, sondern auch ausgehende. Es kann sein, daß Sie externe Maschinen nur über die Ports 22 und 80 (SSH und Web) erreichen. Sie wollen auf einen Dienst, der vielleicht nichts mit Ihrer Arbeit zu tun hat, wie einen Ogg Vorbis Musik-Server, zugreifen. Wenn der Ogg Vorbis Server nicht auf den Ports 22 oder 80 läuft, können Sie aber nicht auf ihn zugreifen. Die Lösung hier ist es, eine SSH-Verbindung zu einer Maschine außerhalb der Firewall aufzumachen und durch diese zum Ogg Vorbis Server zu tunneln. &prompt.user; ssh -2 -N -f -L 8888:music.example.com:8000 user@unfirewalled.myserver.com user@unfirewalled.myserver.com's password: ******* Konfigurieren Sie Ihren Client so, daß er localhost und Port 8888 benutzt. Die Verbindung wird dann zu music.example.com Port 8000 weitergeleitet und Sie haben die Firewall erfolgreich umgangen. Weiterführende Informationen: OpenSSH &man.ssh.1; &man.scp.1; &man.ssh-keygen.1; &man.ssh-agent.1; &man.ssh-add.1; &man.sshd.8; &man.sftp-server.8; diff --git a/de_DE.ISO8859-1/books/handbook/serialcomms/chapter.sgml b/de_DE.ISO8859-1/books/handbook/serialcomms/chapter.sgml index c0b49b15d7..4f7458801b 100644 --- a/de_DE.ISO8859-1/books/handbook/serialcomms/chapter.sgml +++ b/de_DE.ISO8859-1/books/handbook/serialcomms/chapter.sgml @@ -1,2763 +1,2763 @@ Serielle Datenübertragung Übersicht serielle Datenübertragung Unix unterstützte schon immer die serielle Datenübertragung. Tatsächlich wurden Ein- und Ausgaben auf den ersten Unix-Maschinen über serielle Leitungen durchgeführt. Seit den Zeiten, in denen der durchschnittliche Terminal aus einem seriellen Drucker mit 10 Zeichen/Sekunde und einer Tastatur bestand, hat sich viel verändert. Dieses Kapitel behandelt einige Möglichkeiten, serielle Datenübertragung unter FreeBSD zu verwenden. Nachdem Sie dieses Kapitel durchgearbeitet haben, werden Sie folgendes wissen: Wie Sie Terminals an Ihr FreeBSD anschließen. Wie Sie sich mit einem Modem auf einem entfernten Rechner einwählen. Wie Sie entfernten Benutzern erlauben, sich mit einem Modem in Ihr System einzuwählen. Wie Sie Ihr System über eine serielle Konsole booten. Bevor Sie dieses Kapitel lesen, sollten Sie einen neuen Kernel konfigurieren und installieren können (). Das Berechtigungskonzept von Unix und Prozesse verstehen (). Zudem sollten Sie Zugriff auf die Handbücher der seriellen Komponenten (Modem oder Multiportkarte) haben, die Sie mit FreeBSD verwenden wollen. Einführung Begriffe bits-per-second bps Bits pro Sekunde — Einheit für die Übertragungsgeschwindigkeit. DEE (DTE) DEE DTE Datenendeinrichtung (Data Terminal Equipment) — zum Beispiel Ihr Computer. DÜE (DCE) DÜE DCE Datenübertragungseinrichtung (Data Communications Equipment) — Ein Modem. RS-232 RS-232C Kabel EIA (Electronic Industries Association) Norm für die serielle Datenübertragung. In diesem Abschnitt wird der Begriff Baud nicht für Übertragungsgeschwindigkeiten gebraucht. Baud bezeichnet elektrische Zustandswechsel pro Zeiteinheit, die Taktrate, während bps (Bits pro Sekunde) der richtige Begriff für die Übertragungsgeschwindigkeit ist (die meisten Pedanten sollten damit zufrieden sein). Kabel und Schnittstellen Um ein Modem oder einen Terminal an Ihr FreeBSD System anzuschließen, muß Ihr Computer über eine serielle Schnittstelle verfügen. Zusätzlich brauchen Sie noch das passende Kabel, um das Gerät mit der Schnittstelle zu verbinden. Wenn Sie mit Ihren Geräten und den nötigen Kabeln schon vertraut sind, können Sie diesen Abschnitt überspringen. Kabel Es gibt verschiedene serielle Kabel. Die zwei häufigsten sind Nullmodemkabel und Standard RS-232 Kabel. Die Dokumentation Ihrer Hardware sollte beschreiben, welchen Kabeltyp Sie benötigen. Nullmodemkabel Nullmodemkabel Ein Nullmodemkabel verbindet einige Signale, wie die Betriebserde, eins zu eins, andere Signale werden getauscht: Die Sende- und Empfangsleitungen werden zum Beispiel gekreuzt. Wenn Sie Ihre Kabel selber herstellen möchten, zeigt die folgende Tabelle die RS-232C Signalnamen und Pinbelegung für einen DB-25 Stecker: Signal Pin # Pin # Signal SG 7 verbunden mit 7 SG TxD 2 verbunden mit 3 RxD RxD 3 verbunden mit 2 TxD RTS 4 verbunden mit 5 CTS CTS 5 verbunden mit 4 RTS DTR 20 verbunden mit 6 DSR DCD 8 6 DSR DSR 6 verbunden mit 20 DTR Das Signal Data Terminal Ready (DTR) wird mit den Signalen Data Set Ready (DSR) und Data Carrier Detect (DCD) der Gegenstelle verbunden. Standard RS-232C Kabel RS-232C cables Ein Standard RS-232C Kabel verbindet alle Signale direkt, das heißt das Signal Sendedaten wird mit dem Signal Sendedaten der Gegenstelle verbunden. Dieses Kabel wird benötigt, um ein Modem mit einem FreeBSD System zu verbinden. Manche Terminals benötigen dieses Kabel ebenfalls. Schnittstellen Über serielle Schnittstellen werden Daten zwischen dem FreeBSD System und dem Terminal übertragen. Dieser Abschnitt beschreibt die verschiedenen Schnittstellen und wie sie unter FreeBSD angesprochen werden. Arten von Schnittstellen Da es verschiedene Schnittstellen gibt, sollten Sie vor dem Kauf oder Selbstbau eines Kabels sicherstellen, daß dieses zu den Schnittstellen Ihres Terminals und FreeBSD Systems paßt. Die meisten Terminals besitzen DB25 Stecker. Personal Computer haben DB25 oder DB9 Stecker. Wenn Sie eine serielle Multiportkarte für Ihren PC besitzen, haben Sie vielleicht RJ-12 oder RJ-45 Anschlüsse. Die Dokumentation Ihrer Geräte sollte Aufschluß über den Typ der benötigten Anschlüsse geben. Oft hilft es, wenn Sie sich den Anschluß einfach ansehen. Schnittstellenbezeichnung Unter FreeBSD sprechen Sie die serielle Schnittstelle (Port) über einen Eintrag im /dev Verzeichnis an. Es gibt dort zwei verschiedene Einträge: Schnittstellen für eingehende Verbindungen werden /dev/ttydN genannt. Dabei ist N die Nummer der Schnittstelle, deren Zählung bei Null beginnt. Allgemein wird diese Schnittstelle für Terminals benutzt. Diese Schnitstelle funktioniert nur wenn ein Data Carrier Detect Signal (DCD) vorliegt. Für ausgehende Verbindungen wird /dev/cuaaN verwendet. Dieser Port wird normalerweise nur für Modems benutzt. Sie können ihn allerdings für Terminals nutzen, die das Data Carrier Detect Signal nicht unterstützen. Wenn Sie einen Terminal an die erste serielle Schnittstelle (COM1 in MS-DOS), angeschlossen haben, sprechen Sie ihn über /dev/ttyd0 an. Wenn er an der zweiten seriellen Schnittstelle angeschlossen ist, verwenden Sie /dev/ttyd1, usw. Kernel Konfiguration In der Voreinstellung benutzt FreeBSD vier serielle Schnittstellen, die in MS-DOS Kreisen als COM1, COM2, COM3 und COM4 bekannt sind. Momentan unterstützt FreeBSD einfache Multiportkarten (z.B. die BocaBoard 1008 und 2016) und bessere wie die von Digiboard und Stallion Technologies. In der Voreinstellung sucht der Kernel allerdings nur nach den Standardanschlüssen. Um zu überprüfen, ob der Kernel eine Ihrer seriellen Schnittstellen erkennt, achten sie auf die Meldungen beim Booten, oder schauen sich diese später mit /sbin/dmesg an. Insbesondere sollten Sie auf Meldungen achten, die mit den Zeichen sio anfangen. Das folgende Kommando zeigt Ihnen nur die Meldungen an, die die Folge sio enthalten: &prompt.root; /sbin/dmesg | grep 'sio' Auf einem System mit vier seriellen Schnittstellen sollte der Kernel die folgenden Meldungen ausgeben: sio0 at 0x3f8-0x3ff irq 4 on isa sio0: type 16550A sio1 at 0x2f8-0x2ff irq 3 on isa sio1: type 16550A sio2 at 0x3e8-0x3ef irq 5 on isa sio2: type 16550A sio3 at 0x2e8-0x2ef irq 9 on isa sio3: type 16550A Wenn Ihr Kernel nicht alle seriellen Schnittstellen erkennt, müssen Sie unter Umständen einen angepaßten Kernel für Ihr System erstellen. Eine ausführliche Anleitung dazu finden Sie in . Die relevanten Zeilen in Ihrer Kernelkonfiguration sollten wie die folgenden aussehen: device sio0 at isa? port "IO_COM1" tty irq 4 vector siointr device sio1 at isa? port "IO_COM2" tty irq 3 vector siointr device sio2 at isa? port "IO_COM3" tty irq 5 vector siointr device sio3 at isa? port "IO_COM4" tty irq 9 vector siointr Die Zeilen für Schnittstellen, die Sie nicht besitzen, können Sie entfernen oder auskommentieren. Die Konfiguration von Multiportkarten ist in &man.sio.4; vollständig beschrieben. Seien Sie vorsichtig, wenn Sie Konfigurationsdateien von älteren FreeBSD Versionen verwenden, da sich die Bedeutung der Optionen zwischen verschiedenen Versionen geändert hat. port "IO_COM1" ist ein Ersatz für port 0x3f8, IO_COM2 bedeutet port 0x2f8, IO_COM3 bedeutet port 0x3e8 und IO_COM4 steht für port 0x2e8. Die angegebenen IO-Adressen sind genau wie die Interrupts 4, 3, 5 und 9 üblich für serielle Schnittstellen. Beachten Sie bitte, daß sich normale serielle Schnittstellen auf ISA-Bussen keine Interrupts teilen können. Multiportkarten besitzen zusätzliche Schaltkreise, die es allen 16550As auf der Karte erlauben, sich einen oder zwei Interrupts zu teilen. Gerätedateien Die meisten Geräte im Kernel werden durch Gerätedateien in /dev angesprochen. Die sio Geräte werden durch /dev/ttydN für eingehende Verbindungen und durch /dev/cuaaN für ausgehende Verbindungen angesprochen. Zum Initialisieren der Geräte stellt FreeBSD die Dateien /dev/ttyidN und /dev/cuai0N zur Verfügung. Diese Dateien werden benutzt, um Kommunikationsparameter beim Öffnen eines Ports vorzugeben. Für Modems, die zur Flußkontrolle RTS/CTS benutzen, kann damit crtscts gesetzt werden. Die Geräte /dev/ttyldN und /dev/cual0N (locking devices) werden genutzt, um bestimmte Parameter festzuschreiben und vor Veränderungen zu schützen. Weitere Informationen zu Terminals finden Sie in &man.termios.4;, &man.sio.4; erklärt die Dateien zum Initialisieren und Sperren der Geräte, &man.stty.1; beschreibt schließlich Terminal-Einstellungen. Erstellen von Gerätedateien In FreeBSD 5.0 werden Gerätedateien im Dateisystem devfs bei Bedarf automatisch angelegt. Wenn Sie eine FreeBSD Version mit devfs benutzen, können Sie diesen Abschnitt überspringen. MAKEDEV Zum Anlegen der Gerätedateien in /dev wird MAKEDEV benutzt. Um die Geräte der ersten seriellen Schnittstelle für eingehende Verbindungen zu erstellen, wechseln Sie nach /dev und setzen dort den Befehl MAKEDEV ttyd0 ab. Für die zweite serielle Schnittstelle (COM2 bzw. die Schnittstelle mit der Nummer 1 führen Sie analog MAKEDEV ttyd1 aus. Dabei erstellt MAKEDEV nicht nur die /dev/ttydN Gerätedateien, sondern auch die folgenden Dateien: /dev/cuaaN, /dev/cuaiaN, /dev/cualaN, /dev/ttyldN und /dev/ttyidN. Nachdem Sie die Gerätedateien erstellt haben, sollten Sie die Zugriffsrechte der neuen Dateien, besonders die der /dev/cua* Dateien überprüfen, um sicherzustellen, daß wirklich nur jene Benutzer, die auf diese Geräte zugreifen sollen, Schreib- und Leseberechtigungen haben. Die Vorgabe der Zugriffsrechte sollte ausreichend sein: crw-rw---- 1 uucp dialer 28, 129 Feb 15 14:38 /dev/cuaa1 crw-rw---- 1 uucp dialer 28, 161 Feb 15 14:38 /dev/cuaia1 crw-rw---- 1 uucp dialer 28, 193 Feb 15 14:38 /dev/cuala1 Auf die Geräte für ausgehende Verbindungen dürfen uucp und Mitglieder der Gruppe dialer zugreifen. Konfiguration der seriellen Schnittstelle ttyd cuaa Applikationen benutzen normalerweise die Geräte ttydN oder cuaaN. Das Gerät besitzt einige Voreinstellungen für Terminal-I/O, wenn es von einem Prozeß geöffnet wird. Mit dem folgenden Kommando können Sie sich diese Einstellungen ansehen: &prompt.root; stty -a -f /dev/ttyd1 Sie können diese Einstellungen verändern, sie bleiben allerdings nur solange wirksam, bis das Gerät geschlossen wird. Wenn das Gerät danach wieder geöffnet wird, sind die Voreinstellungen wieder wirksam. Um die Voreinstellungen zu ändern, öffnen Sie das Gerät, das zum Initialisieren dient und verändern dessen Einstellungen. Um beispielsweise für ttyd5 den Modus, 8 Bit Kommunikation und Flußkontrolle einzuschalten, setzen Sie das folgende Kommando ab: &prompt.root; stty -f /dev/ttyid5 clocal cs8 ixon ixoff rc Dateien rc.serial Die Voreinstellungen von seriellen Geräten wird in /etc/rc.serial vorgenommen. Um zu verhindern, daß Einstellungen von Applikationen verändert werden, können Sie die Geräte zum Festschreiben von Einstellungen (locking devices) benutzen. Wenn sie beispielsweise die Geschwindigkeit von ttyd5 auf 57600 bps festlegen wollen, benutzen Sie das folgende Kommando: &prompt.root; stty -f /dev/ttyld5 57600 Eine Applikation, die ttyd5 öffnet, kann nun nicht mehr die Geschwindigkeit ändern und muß 57600 bps benutzen. Die Geräte zum Initialisieren und Festschreiben von Einstellungen sollten selbstverständlich nur von root beschreibbar sein. Sean Kelly Beigetragen von Terminals Terminals Wenn Sie sich nicht an der Konsole oder über ein Netzwerk an Ihrem FreeBSD System anmelden können, sind Terminals ein bequemer und billiger Weg auf Ihr System zuzugreifen. Dieser Abschnitt beschreibt wie Sie Terminals mit FreeBSD benutzen. Terminaltypen Das ursprüngliche Unix System besaß keine Konsolen. Zum Anmelden und Starten von Programmen wurden stattdessen Terminals benutzt, die an den seriellen Schnittstellen des Rechners angeschlossen waren. Dies entspricht der Benutzung eines Modems zum Anmelden auf einem entfernten System, um dort mit einem Terminalemulator im Textmodus zu arbeiten. Die Konsolen heutiger PCs besitzen sehr gute Grafikfähigkeiten, trotzdem gibt es in fast jedem Unix-Clone die Möglichkeit, sich über die serielle Schnittstelle anzumelden; FreeBSD ist da keine Ausnahme. Sie können sich an einem Terminal anmelden und dort jedes Textprogramm, das Sie normalerweise an der Konsole oder in einem xterm Fenster im X Window System benutzen, laufen lassen. Im kommerziellen Umfeld können Sie viele Terminals an ein FreeBSD System anschließen und diese auf den Arbeitsplätzen Ihrer Angestellten aufstellen. Im privaten Umfeld kann ein älterer IBM PC oder Macintosh als Terminal dienen. Damit verwandeln Sie einen Einzelarbeitsplatz in ein leistungsfähiges Mehrbenutzersystem. FreeBSD kennt drei verschiedene Terminals: Dumb terminals, PCs, die als Terminals fungieren, X Terminals. Die folgenden Abschnitte beschreiben jeden dieser Terminals. Dumb-Terminals Dumb-Terminals (unintelligente Datenstationen) sind Geräte, die über die serielle Schnittstelle mit einem Rechner verbunden werden. Sie werden unintelligent genannt, weil sie nur Text senden und empfangen und keine Programme laufen lassen können. Alle Programme, wie Texteditoren, Compiler oder Spiele befinden sich auf dem Rechner, der mit dem Terminal verbunden ist. Es gibt viele Dumb-Terminals, die von verschiedenen Herstellern produziert werden, wie zum Beispiel der VT-100 von Digital Equipment Corporation oder der WY-75 von Wyse. So gut wie jeder der verschiedenen Terminals sollte mit FreeBSD zusammenarbeiten. Manche High-End Geräte verfügen sogar über Grafikfähigkeiten, die allerdings nur von spezieller Software genutzt werden kann. Dumb-Terminals sind in Umgebungen beliebt, in denen keine Grafikapplikationen, wie zum Beispiel X-Programme, laufen müssen. PCs, die als Terminal fungieren Jeder PC kann die Funktion eines Dumb-Terminals, der ja nur Text senden und empfangen kann, übernehmen. Dazu brauchen Sie nur das richtige Kabel und eine Terminalemulation, die auf dem PC läuft. Diese Konfiguration ist im privaten Umfeld sehr beliebt. Wenn Ihr Ehepartner zum Beispiel gerade an der FreeBSD Konsole arbeitet, können Sie einen weniger leistungsstarken PC, der als Terminal mit dem FreeBSD System verbunden ist, nutzen, um dort gleichzeitig im Textmodus zu arbeiten. X-Terminals X-Terminals sind die ausgereiftesten der verfügbaren Terminals. Sie werden nicht mit der seriellen Schnittstelle sondern mit einem Netzwerk, wie dem Ethernet, verbunden. Diese Terminals sind auch nicht auf den Textmodus beschränkt, sondern können jede X-Anwendung darstellen. X-Terminals sind hier nur der Vollständigkeit halber aufgezählt. Die Einrichtung von X-Terminals wird in diesem Abschnitt nicht beschrieben. Konfiguration Im folgenden wird beschrieben, wie Sie Ihr FreeBSD System konfigurieren müssen, um sich an einem Terminal anzumelden. Dabei wird vorausgesetzt, daß der Kernel bereits die serielle Schnittstelle, die mit dem Terminal verbunden ist, unterstützt. Weiterhin sollte der Terminal schon angeschlossen sein. Aus wissen Sie, daß init für das Initialisieren des Systems und den Start von Prozessen zum Zeitpunkt des Systemstarts verantwortlich ist. Unter anderem liest init /etc/ttys ein und startet für jeden verfügbaren Terminal einen getty Prozeß. getty wiederum fragt beim Anmelden den Benutzernamen ab und startet login. Um Terminals auf Ihrem FreeBSD System einzurichten, führen Sie folgenden Schritte als root durch: Wenn er noch nicht da ist, fügen Sie einen Eintrag in /etc/ttys für die serielle Schnittstelle aus /dev ein. Geben Sie /usr/libexec/getty als auszuführendes Programm an. Als Parameter für getty geben Sie den passenden Verbindungstyp aus /etc/gettytab an. Geben Sie den Terminaltyp an. Aktivieren Sie den Anschluß. Geben Sie die Sicherheit des Anschlusses an. Veranlassen Sie init /etc/ttys erneut zu lesen. Optional können Sie in /etc/gettytab auch einen auf Ihre Zwecke angepaßten Terminaltyp erstellen. Die genaue Vorgehensweise wird in diesem Abschnitt nicht erklärt, aber die Manualseiten von &man.gettytab.5; und &man.getty.8; enthalten dazu weitere Informationen. Hinzufügen eines Eintrags in <filename>/etc/ttys</filename> In /etc/ttys werden alle Terminals aufgeführt, an denen Sie sich auf dem FreeBSD System anmelden können. Hier findet sich zum Beispiel ein Eintrag für die erste virtuelle Konsole /dev/ttyv0, der es Ihnen ermöglicht sich dort anzumelden. Die Datei enthält desweiteren Einträge für andere virtuelle Konsolen, serielle Schnittstellen und Pseudoterminals. Wenn Sie einen Terminal konfigurieren wollen, fügen sie einen Eintrag für den Namen des Gerätes aus /dev ohne das Präfix /dev hinzu. Zum Beispiel wird /dev/ttyv0 als ttyv0 aufgeführt. In der Voreinstellung enthält /etc/ttys Einträge für die ersten vier seriellen Schnittstellen. Wenn Sie an eine von diesen einen Terminal anschließen, brauchen Sie keinen weiteren Eintrag hinzuzufügen. Einträge in <filename>/etc/ttys</filename> hinzufügen Angenommen, wir wollen an ein System zwei Terminals anschließen: Einen Wyse-50 und einen alten 286 IBM PC, der mit Procomm einen VT-100 Terminal emuliert. Den Wyse-Terminal verbinden wir mit der zweiten seriellen Schnittstelle und den 286 mit der sechsten seriellen Schnittstelle (einem Anschluß auf einer Multiportkarte). Die entsprechenden Einträge in /etc/ttys würden dann wie folgt aussehen: ttyd1 "/usr/libexec/getty std.38400" wy50 on insecure ttyd5 "/usr/libexec/getty std.19200" vt100 on insecure Das erste Feld gibt normalerweise den Namen der Gerätedatei aus /dev an. Im zweiten Feld wird das auszuführende Kommando, normal ist das &man.getty.8;, angegeben. getty initialisiert und öffnet die Verbindung, setzt die Geschwindigkeit und fragt den Benutzernamen ab. Danach führt es &man.login.1; aus. getty akzeptiert einen optionalen Parameter auf der Kommandozeile, den Verbindungstyp, der die Eigenschaften der Verbindung, wie die Geschwindigkeit und Parität, festlegt. Die Typen und die damit verbundenen Eigenschaften liest getty aus /etc/gettytab. /etc/gettytab enthält viele Einträge sowohl für neue wie auch alte Terminalverbindungen. Die meisten Einträge, die mit std beginnen, sollten mit einem festverdrahteten Terminals funktionieren. Für jede Geschwindigkeit zwischen 110 bps und 115200 bps gibt es einen std Eintrag. Natürlich können Sie auch eigene Einträge erstellen, Informationen dazu finden Sie in &man.gettytab.5;. Wenn Sie den Verbindungstyp in /etc/ttys eintragen, stellen Sie bitte sicher, daß die Kommunikationseinstellungen auch mit denen des Terminals übereinstimmen. In unserem Beispiel verwendet der Wyse-50 keine Parität und 38400 bps, der 286 PC benutzt ebenfalls keine Parität und arbeitet mit 19200 bps. Das dritte Feld gibt den Terminaltyp an, der normalerweise mit diesem Anschluß verbunden ist. Für Einwählverbindungen wird oft unknown oder dialup benutzt, da sich die Benutzer praktisch mit beliebigen Terminals oder Emulatoren anmelden können. Bei festverdrahteten Terminals ändert sich der Typ nicht, so daß Sie in diesem Feld einen richtigen Typ aus der &man.termcap.5; Datenbank angeben können. In unserem Beispiel benutzen wir für den Wyse-50 den entsprechenden Typ aus &man.termcap.5;, der 286 PC wird als VT-100, den er ja emuliert, angegeben. Das vierte Feld gibt an, ob der Anschluß aktiviert werden soll. Wenn Sie hier on angeben, startet init das Programm, das im zweiten Feld angegeben wurde (normal getty). Wenn Sie off angeben, wird das Kommando aus dem zweiten Feld nicht ausgeführt und folglich können Sie sich dann an dem betreffenden Terminal nicht anmelden. Im letzten Feld geben Sie die Sicherheit des Anschlusses. Wenn Sie hier secure angeben, darf sich root (oder jeder Account mit der UID 0 über diese Verbindung anmelden. Wenn Sie insecure angeben, dürfen sich nur unprivilegierte Benutzer anmelden. Diese können später mit &man.su.1; oder einem ähnlichen Mechanismus zu root wechseln. Es wird dringend empfohlen, insecure nur für Terminals hinter verschlossenen Türen zu verwenden, da Sie mit su leicht zum Superuser werden können. <command>init</command> zwingen, <filename>/etc/ttys</filename> erneut zu lesen Nachdem Sie die nötigen Änderungen in /etc/ttys vorgenommen haben, schicken Sie init ein SIGHUP-Signal (hangup), um es zu veranlassen, seine Konfigurationsdatei neu zu lesen: &prompt.root; kill -HUP 1 Da init immer der erste Prozeß auf einem System ist, besitzt es immer die PID 1. Wenn alles richtig eingerichtet ist, alle Kabel angeschlossen und die Terminals eingeschaltet sind, sollte für jeden Terminal ein getty Prozeß laufen und auf jedem Terminal sollten Sie eine Anmeldeaufforderung sehen. Fehlersuche Selbst wenn Sie den Anweisungen akribisch gefolgt sind, kann es immer noch zu Fehlern beim Einrichten eines Terminals kommen. Die folgende Aufzählung von Symptomen beschreibt mögliche Lösungen: Es erscheint kein Anmeldeprompt. Stellen Sie sicher, daß der Terminal verbunden und eingeschaltet ist. Wenn ein PC als Terminal fungiert, überprüfen Sie, daß die Terminalemulation auf den richtigen Schnittstellen läuft. Stellen Sie sicher, daß Sie das richtige Kabel verwenden und daß das Kabel fest mit dem Terminal und dem FreeBSD Rechner verbunden ist. Stellen Sie sicher, daß die Einstellungen für die Geschwindigkeit (bps) und Parität auf dem FreeBSD System und dem Terminal gleich sind. Wenn Ihr Terminal einen Bildschirm besitzt, überprüfen Sie die richtige Einstellung von Helligkeit und Kontrast. Wenn Ihr Terminal druckt, stellen Sie die ausreichende Versorgung mit Papier und Tinte sicher. Überprüfen Sie mit ps, daß der getty Prozeß für den Terminal läuft: &prompt.root; ps -axww|grep getty Für jeden Terminal sollten Sie einen Eintrag sehen. Aus dem folgenden Beispiel erkennen Sie, daß getty auf der zweiten seriellen Schnittstelle läuft und den Verbindungstyp std.38400 aus /etc/gettytab benutzt: 22189 d1 Is+ 0:00.03 /usr/libexec/getty std.38400 ttyd1 Wenn getty nicht läuft, überprüfen Sie, ob der Anschluß in /etc/ttys aktiviert ist. Haben Sie kill -HUP 1 abgesetzt, nachdem Sie /etc/ttys geändert hatten? Anstelle eines Anmeldeprompts erscheinen nur unverständliche Zeichen: Stellen Sie sicher, daß die Einstellungen für die Geschwindigkeit (bps) und Parität auf dem FreeBSD und dem Terminal gleich sind. Kontrollieren Sie den getty und stellen Sie sicher, daß der richtige Verbindungstyp aus /etc/gettytab benutzt wird. Wenn das nicht der Fall ist, editieren Sie /etc/ttys und setzen das Kommando kill-HUP 1 ab. Zeichen erscheinen doppelt und eingegebene Paßwörter erscheinen im Klartext. Stellen Sie den Terminal oder die Terminalemulation von half duplex oder local echo auf full duplex. um. Guy Helmer Beigetragen von Sean Kelly Mit Anmerkungen von Einwählverbindungen Einwählverbindungen Das Einrichten von Einwählverbindungen ähnelt dem Anschließen von Terminals, nur daß Sie anstelle eines Terminals ein Modem verwenden. Externe und interne Modems Externe Modems sind für Einwählverbindungen besser geeignet, da sie die Konfiguration in nicht flüchtigem RAM speichern können. Zudem verfügen Sie über Leuchtanzeigen, die den Status wichtiger RS-232 Signale anzeigen und unter Umständen Besucher beeindrucken können. Interne Modems verfügen normalerweise nicht über nicht flüchtiges RAM und lassen sich meist nur über DIP-Schalter konfigurieren. Selbst wenn ein internes Modem Leuchtanzeigen besitzt, sind diese meist schwer einzusehen, wenn das Modem eingebaut ist. Modems und Kabel Modem Mit einem externen Modem müssen Sie das richtige Kabel benutzen: Ein Standard RS-232C Kabel, bei dem die folgenden Signale miteinander verbunden sind, sollte ausreichen: Transmitted Data (SD) Received Data (RD) Request to Send (RTS) Clear to Send (CTS) Data Set Ready (DSR) Data Terminal Ready (DTR) Carrier Detect (CD) Signal Ground (SG) Ab Geschwindigkeiten von 2400 bps benötigt FreeBSD die Signale RTS und CTS für die Flußkontrolle. Das Signal CD zeigt an, ob ein Träger vorliegt, das heißt ob die Verbindung aufgebaut ist oder beendet wurde. DTR zeigt an, daß das Gerät betriebsbereit ist. Es gibt einige Kabel, bei denen nicht alle nötigen Signale verbunden sind. Wenn Sie Probleme der Art haben, daß zum Beispiel die Sitzung nicht beendet wird, obwohl die Verbindung beendet wurde, kann das an einem solchen Kabel liegen. Wie andere Unix Betriebssysteme auch, benutzt FreeBSD Hardwaresignale, um festzustellen, ob ein Anruf beantwortet wurde, eine Verbindung beendet wurde, oder um die Verbindung zu schließen und das Modem zurückzusetzen. FreeBSD vermeidet es, dem Modem Kommandos zu senden, oder Statusreports von dem Modem abzufragen. Falls Sie ein Benutzer von PC-basierenden Bulletin Board Systemen sind, mag Sie das verwundern. Schnittstellenbausteine FreeBSD unterstützt EIA RS-232C (CCITT V.24) serielle Schnittstellen, die auf den NS8250, NS16450, NS16550 oder NS16550A Bausteinen basieren. Die Bausteine der Serie 16550 verfügen über einen 16 Byte großen Puffer, der als FIFO angelegt ist. Wegen Fehler in der FIFO-Logik kann der Puffer in einem 16550 Baustein allerdings nicht genutzt werden, das heißt der Baustein muß als 16450 betrieben werden. Bei allen Bausteinen ohne Puffer und dem 16550 Baustein muß jedes Byte einzeln von dem Betriebssystem verarbeitet werden, was Fehler bei hohen Geschwindigkeiten oder großer Systemlast erzeugt. Es sollten daher nach Möglichkeit serielle Schnittstellen, die auf 16550A Bausteinen basieren, eingesetzt werden. Überblick getty Wie bei Terminals auch, startet init für jede serielle Schnittstelle, die eine Einwählverbindung zur Verfügung stellt, einen getty Prozeß. Wenn das Modem beispielsweise an /dev/ttyd0 angeschlossen ist, sollte in der Ausgabe von ps ax eine Zeile wie die folgende erscheinen: 4850 ?? I 0:00.09 /usr/libexec/getty V19200 ttyd0 Wenn sich ein Benutzer einwählt und die Verbindung aufgebaut ist, zeigt das Modem dies durch das CD Signal (Carrier Detect) an. Der Kernel merkt, daß ein Signal anliegt und vollendet das Öffnen der Schnittstelle durch getty. Dann sendet getty das Anmeldeprompt mit der ersten für die Verbindung vereinbarten Geschwindigkeit und wartet auf eine Antwort. Wenn die Antwort unverständlich ist, weil zum Beispiel die Geschwindigkeit des Modems von gettys Geschwindigkeit abweicht, versucht getty die Geschwindigkeit solange anzupassen, bis es eine verständliche Antwort erhält. /usr/bin/login getty führt, nachdem der Benutzer seinen Namen eingegeben hat, /usr/bin/login aus, welches das Paßwort abfragt und danach die Shell des Benutzers startet. Konfigurationsdateien Drei Konfigurationsdateien in /etc steuern, ob eine Einwahl in Ihr FreeBSD System möglich ist. Die erste, /etc/gettytab, konfiguriert den /usr/libexec/getty Dæmon. In /etc/ttys wird festgelegt, auf welchen Schnittstellen /sbin/init einen getty Prozeß startet. Schließlich haben Sie in /etc/rc.serial die Möglichkeit, Schnittstellen zu initialisieren. Es gibt zwei Ansichten darüber, wie Modems für Einwählverbindungen unter Unix zu konfigurieren sind. Zum einen kann die Geschwindigkeit zwischen dem Modem und dem Computer fest eingestellt werden. Sie ist damit unabhängig von der Geschwindigkeit, mit der sich der entfernte Benutzer einwählt. Dies hat den Vorteil, daß der entfernte Benutzer das Anmeldeprompt sofort bekommt. Der Nachteil bei diesem Verfahren ist, daß das System die tatsächliche Geschwindigkeit der Verbindung nicht kennt. Damit können bildschirmorientierte Programme wie Emacs ihren Bildschirmaufbau nicht an langsame Verbindungen anpassen, um die Antwortzeiten zu verbessern. Die andere Möglichkeit besteht darin, die Geschwindigkeit der RS-232 Schnittstelle des lokalen Modems an die Geschwindigkeit des entfernten Modems anzupassen. Bei einer V.32bis (14400 bps) Verbindung kann das lokale Modem die RS-232 Schnittstelle mit 19200 bps betreiben, während bei einer Verbindung mit 2400 bps die RS-232 Schnittstelle mit 2400 bps betrieben wird. Da getty die Verbindungsgeschwindigkeit des Modems nicht kennt, startet es den Anmeldevorgang mit der Ausgabe von login: und wartet auf eine Antwort. Wenn der Benutzer der Gegenstelle nun nur unverständliche Zeichen erhält, muß er solange Enter drücken, bis das Anmeldeprompt erscheint. Solange die Geschwindigkeiten nicht übereinstimmen, sind die Antworten der Gegenstelle für getty ebenfalls unverständlich. In diesem Fall wechselt getty zur nächsten Geschwindigkeit und gibt wieder login: aus. In aller Regel erhält der Benutzer der Gegenstelle nach ein bis zwei Tastendrücken eine erkennbare Anmeldeaufforderung. Diese Anmeldeprozedur sieht nicht so sauber wie die Methode mit einer festen Geschwindigkeit aus, bietet dem Benutzer einer langsamen Verbindung allerdings den Vorteil, daß sich bildschirmorientierte Programme an die Geschwindigkeit anpassen können. Im folgenden wird die Konfiguration für beide Methoden besprochen, doch die Methode der angepaßten Geschwindigkeit wird bei der Diskussion bevorzugt. <filename>/etc/gettytab</filename> /etc/gettytab Mit /etc/gettytab wird &man.getty.8; im Stil von &man.termcap.5; konfiguriert. Das Format dieser Datei und die Bedeutung der Einträge wird in &man.gettytab.5; beschrieben. Konfiguration für feste Geschwindigkeit Wenn Sie die Modemgeschwindigkeit vorgeben, werden Sie in /etc/gettytab nichts ändern müssen. Konfiguration für angepaßte Geschwindigkeit In /etc/gettytab müssen Einträge für die Geschwindigkeiten, die Sie benutzen wollen, sein. Wenn Sie ein 2400 bps Modem besitzen, können Sie wahrscheinlich den schon vorhandenen D2400 Eintrag benutzen. # # Fast dialup terminals, 2400/1200/300 rotary (can start either way) # D2400|d2400|Fast-Dial-2400:\ :nx=D1200:tc=2400-baud: 3|D1200|Fast-Dial-1200:\ :nx=D300:tc=1200-baud: 5|D300|Fast-Dial-300:\ :nx=D2400:tc=300-baud: Wenn Sie ein Modem mit einer höheren Geschwindigkeit besitzen, müssen Sie wahrscheinlich in /etc/gettytab weitere Einträge erstellen. Hier ist ein Beispiel, das Sie mit einem 14400 bps Modem benutzen können: # # Additions for a V.32bis Modem # um|V300|High Speed Modem at 300,8-bit:\ :nx=V19200:tc=std.300: un|V1200|High Speed Modem at 1200,8-bit:\ :nx=V300:tc=std.1200: uo|V2400|High Speed Modem at 2400,8-bit:\ :nx=V1200:tc=std.2400: up|V9600|High Speed Modem at 9600,8-bit:\ :nx=V2400:tc=std.9600: uq|V19200|High Speed Modem at 19200,8-bit:\ :nx=V9600:tc=std.19200: Die damit erzeugten Verbindungen verwenden 8 Bit und keine Parität. Im obigen Beispiel startet die Geschwindigkeit bei 19200 bps (eine V.32bis Verbindung) und geht dann über 9600 bps (V.32), 400 bps, 1200 bps und 300 bps wieder zurück zu 19200 bps. Das Schlüsselwort nx= (next table) sorgt für das zyklische Durchlaufen der Geschwindigkeiten. Jede Zeile zieht zudem noch mit tc= (table continuation) die Vorgabewerte für die jeweilige Geschwindigkeit an. Wenn Sie ein 28800 bps Modem besitzen und/oder Kompression mit einem 14400 bps Modem benutzen wollen, brauchen Sie höhere Geschwindigkeiten als 19200 bps. Das folgende Beispiel startet mit 57600 bps: # # Additions for a V.32bis or V.34 Modem # Starting at 57600 bps # vm|VH300|Very High Speed Modem at 300,8-bit:\ :nx=VH57600:tc=std.300: vn|VH1200|Very High Speed Modem at 1200,8-bit:\ :nx=VH300:tc=std.1200: vo|VH2400|Very High Speed Modem at 2400,8-bit:\ :nx=VH1200:tc=std.2400: vp|VH9600|Very High Speed Modem at 9600,8-bit:\ :nx=VH2400:tc=std.9600: vq|VH57600|Very High Speed Modem at 57600,8-bit:\ :nx=VH9600:tc=std.57600: Wenn Sie eine langsame CPU oder ein stark ausgelastetes System besitzen und sich kein 16550A in Ihrem System befindet, erhalten Sie bei 57600 bps vielleicht sio Fehlermeldungen der Form silo overflow. <filename>/etc/ttys</filename> /etc/ttys /etc/ttys wurde bereits in besprochen. Die Konfiguration für Modems ist ähnlich, allerdings braucht getty ein anderes Argument und es muß ein anderer Terminaltyp angegeben werden. Der Eintrag für beide Methoden (feste und angepaßte Geschwindigkeit) hat die folgende Form: ttyd0 "/usr/libexec/getty xxx" dialup on Das erste Feld der obigen Zeile gibt die Gerätedatei für diesen Eintrag an — ttyd0 bedeutet, daß getty mit /dev/ttyd0 arbeitet. Das zweite Feld "/usr/libexec/getty xxx" gibt das Kommando an, das init für dieses Gerät startet (xxx wird durch einen passenden Eintrag aus /etc/gettytab ersetzt). Die Vorgabe für den Terminaltyp, hier dialup, wird im dritten Feld angegeben. Das vierte Feld, on, zeigt init an, daß die Schnittstelle aktiviert ist. Im fünften Feld könnte noch secure angegeben werden, um Anmeldungen von root zu erlauben, doch sollte das wirklich nur für physikalisch sichere Terminals, wie die Systemkonsole, aktiviert werden. Die Vorgabe für den Terminaltyp, dialup im obigen Beispiel, hängt von lokalen Gegebenheiten ab. Traditionell wird dialup für Einwählverbindungen verwendet, so daß die Benutzer in ihren Anmeldeskripten den Terminaltyp auf ihren Terminal abstimmen können, wenn der Typ auf dialup gesetzt ist. Wenn Sie aber beispielsweise nur VT102 Terminals oder Emulatoren einsetzen, können Sie den Terminaltyp hier auch fest auf vt102 setzen. Nachdem Sie /etc/ttys geändert haben, müssen Sie init ein HUP Signal schicken, damit es die Datei wieder einliest. Sie können dazu das folgende Kommando verwenden: &prompt.root; kill -HUP 1 Wenn Sie das System zum ersten Mal konfigurieren, sollten Sie diesem Kommando erst ausführen, wenn Sie Ihr Modem richtig konfiguriert und angeschlossen haben. Konfiguration für feste Geschwindigkeit Das Argument von getty muß in diesem Fall eine feste Geschwindigkeit vorgeben. Der Eintrag für ein Modem, das fest auf 19200 bps eingestellt ist, könnte wie folgt aussehen: ttyd0 "/usr/libexec/getty std.19200" dialup on Wenn Ihr Modem auf eine andere Geschwindigkeit eingestellt ist, setzen Sie anstelle von std.19200 einen passenden Eintrag der Form std.speed ein. Stellen Sie sicher, daß dies auch ein gültiger Verbindungstyp aus /etc/gettytab ist. Konfiguration für angepaßte Geschwindigkeit Das Argument von getty muß hier auf einen der Einträge aus /etc/gettytab zeigen, der zu einer Kette von Einträgen gehört, die die zu probierenden Geschwindigkeiten beschreiben. Wenn Sie dem obigen Beispiel gefolgt sind und zusätzliche Einträge in /etc/gettytab erzeugt haben, können Sie die folgende Zeile verwenden: ttyd0 "/usr/libexec/getty V19200" dialup on <filename>/etc/rc.serial</filename> rc Dateien rc.serial Modems, die höhere Geschwindigkeiten unterstützen, zum Beispiel V.32, V.32bis und V.34 Modems, benutzen Hardware-Flußkontrolle (RTS/CTS). Für die entsprechenden Schnittstellen können Sie die Flußkontrolle mit stty in /etc/rc.serial einstellen. Um beispielsweise die Hardware-Flußkontrolle für die Geräte zur Ein- und Auswahl der zweiten seriellen Schnittstelle (COM2) zu aktivieren, benutzen Sie die Dateien zur Initialisierung der entsprechenden Geräte und fügen die folgenden Zeilen in /etc/rc.serial hinzu: # Serial port initial configuration stty -f /dev/ttyid1 crtscts stty -f /dev/cuai01 crtscts Modemkonfiguration Wenn Sie ein Modem besitzen, das seine Konfiguration in nicht flüchtigem RAM speichert, werden Sie ein Terminalprogramm wie Telix unter MS-DOS oder tip unter FreeBSD benötigen, um die Parameter einzustellen. Verbinden Sie sich mit derselben Geschwindigkeit, die getty zuerst benutzen würde, mit dem Modem und treffen Sie folgende Einstellungen: DCD ist eingeschaltet, wenn das Trägersignal des entfernten Modems erkannt wird. Im Betrieb liegt DTR an. Bei einem Verlust von DTR legt das Modem auf und setzt sich zurück. CTS Flußkontrolle ist für ausgehende Daten aktiviert. XON/XOFF Flußkontrolle ist ausgeschaltet. RTS Flußkontrolle ist für eingehende Daten aktiviert. Keine Rückmeldungen ausgeben. Die Echo-Funktion ist deaktiviert. In der Dokumentation Ihres Modems finden Sie die nötigen Befehle, die Sie absetzen müssen, und/oder nötigen DIP-Schalterstellungen, um die obigen Einstellungen zu treffen. Für ein externes 14400 USRobotics Sportster gelten zum Beispiel die folgenden Befehle: ATZ AT&C1&D2&H1&I0&R2&W Bei dieser Gelegenheit können Sie auch gleich andere Einstellungen, zum Beispiel ob Sie V42.bis und/oder MNP5 Kompression benutzen wollen, an Ihrem Modem vornehmen. Bei einem externen 14400 USR Sportster müssen Sie auch noch einige DIP-Schalter einstellen. Die folgenden Einstellungen können Sie vielleicht als Beispiel für andere Modems verwenden: Schalter 1: OBEN — DTR normal Schalter 2: N/A (Rückmeldungen als Text/numerische Rückmeldungen) Schalter 3: OBEN — Keine Rückmeldungen ausgeben Schalter 4: UNTEN — Echo-Funktion aus Schalter 5: OBEN — Rufannahme aktiviert Schalter 6: OBEN — Carrier Detect normal Schalter 7: OBEN — Einstellungen aus dem NVRAM laden Schalter 8: N/A (Smart Mode/Dumb Mode) Für Einwählverbindungen sollten die Rückmeldungen deaktiviert sein, da sonst getty dem Modem das Anmeldeprompt login: schickt und das Modem im Kommandomodus das Prompt wieder ausgibt (Echo-Funktion) oder eine Rückmeldung gibt. Das führt dann zu einer länglichen und fruchtlosen Kommunikation zwischen dem Modem und getty. Konfiguration für feste Geschwindigkeit Die Geschwindigkeit zwischen Modem und Computer muß auf einen festen Wert eingestellt werden. Mit einem externen 14400 USR Sportster Modem setzen die folgenden Kommandos die Geschwindigkeit auf den Wert der Datenendeinrichtung fest: ATZ AT&B1&W Konfiguration für angepaßte Geschwindigkeit In diesem Fall muß die Geschwindigkeit der seriellen Schnittstelle des Modems der eingehenden Geschwindigkeit angepaßt werden. Für ein externes 14400 USR Sportster Modem erlauben die folgenden Befehle eine Anpassung der Geschwindigkeit der seriellen Schnittstelle für Verbindungen, die keine Fehlerkorrektur verwenden: ATZ AT&B2&W Verbindungen mit Fehlerkorrektur (V.42, MNP) verwenden die Geschwindigkeit der Datenendeinrichtung. Überprüfen der Modemkonfiguration Die meisten Modems verfügen über Kommandos, die die Konfiguration des Modems in lesbarer Form ausgeben. Auf einem externen 14400 USR Sportster zeigt ATI5 die Einstellungen im nicht flüchtigen RAM an. Um die wirklichen Einstellungen unter Berücksichtigung der DIP-Schalter zu sehen, benutzen Sie ATZ gefolgt von ATI4. Wenn Sie ein anderes Modem benutzen, schauen Sie bitte in der Dokumentation Ihres Modems nach, wie Sie die Konfiguration des Modems überprüfen können. Fehlersuche Bei Problemen können Sie die Einwählverbindung anhand der folgenden Punkte überprüfen: Überprüfen des FreeBSD Systems Schließen Sie das Modem an das FreeBSD System an und booten Sie das FreeBSD System. Wenn Ihr Modem über Statusindikatoren verfügt, überprüfen Sie, ob der DTR Indikator leuchtet, wenn das Anmeldeprompt erscheint. Dies zeigt an, daß das FreeBSD System einen getty Prozeß auf der entsprechenden Schnittstelle gestartet hat und das Modem auf einkommende Verbindungen wartet. Wenn der DTR Indikator nicht leuchtet, melden Sie sich an dem FreeBSD an und überprüfen mit ps ax, ob FreeBSD einen getty Prozeß auf der entsprechenden Schnittstelle gestartet hat. Unter den angezeigten Prozessen sollten Sie ähnliche wie die folgenden finden: 114 ?? I 0:00.10 /usr/libexec/getty V19200 ttyd0 115 ?? I 0:00.10 /usr/libexec/getty V19200 ttyd1 Wenn das Modem noch keinen Anruf entgegengenommen hat und Sie stattdessen die folgende Zeile sehen 114 d0 I 0:00.10 /usr/libexec/getty V19200 ttyd0 bedeutet dies, daß getty die Schnittstelle schon geöffnet hat und zeigt Kabelprobleme oder eine falsche Modemkonfiguration an, da getty die Schnittstelle erst dann öffnen kann, wenn das CD Signal (Carrier Detect) vom Modem anliegt. Wenn Sie keine getty Prozesse auf den gewünschten ttydN Ports finden, untersuchen Sie bitte /etc/ttys auf Fehler. Suchen Sie auch in /var/log/messages nach Meldungen von init oder getty. Wenn Sie dort Meldungen finden, sollten Sie noch einmal die beiden Konfigurationsdateien /etc/ttys und /etc/gettytab nach Fehlern durchsehen. Überprüfen Sie auch, ob die Gerätedateien /dev/ttydN vorhanden sind. Einwählversuch Versuchen Sie, sich in Ihr System einzuwählen. Auf dem entfernten System stellen Sie bitte die folgenden Kommunikationsparameter ein: 8 Bit, keine Parität, ein Stop-Bit. Wenn Sie kein Anmeldeprompt erhalten oder nur unleserliche Zeichen sehen, drücken Sie mehrmals, in Abständen von ungefähr einer Sekunde, Enter. Wenn Sie immer noch nicht die login: Meldung sehen, schicken Sie ein BREAK Kommando. Wenn Sie zur Einwahl ein Highspeed-Modem benutzen, verwenden Sie eine feste Geschwindigkeit auf der seriellen Schnittstelle des Modems (AT&B1 für ein USR Sportster). Wenn Sie jetzt immer noch kein Anmeldeprompt erhalten, überprüfen Sie nochmals /etc/gettytab und stellen sicher, daß der Verbindungstyp in /etc/ttys zu einem gültigen Eintrag in /etc/gettytab gehört, jeder der nx= Einträge in gettytab gültig ist und jeder tc= Eintrag auf einen gültigen Eintrag in gettytab verweist. Wenn das Modem an Ihrem FreeBSD auf einen eingehenden Anruf nicht antwortet, stellen Sie sicher, daß das Modem so konfiguriert ist, daß es einen Anruf beantwortet, wenn DTR anliegt. Wenn Ihr Modem Statusindikatoren besitzt, können Sie das Anliegen von DTR anhand der Leuchten überprüfen. Wenn Sie alles schon mehrfach überprüft haben und es immer noch noch nicht funktioniert, machen Sie erst einmal eine Pause, bevor Sie weitermachen. Wenn es immer noch nicht funktioniert, können Sie eine Mail an die Mailingliste &a.de.questions; schicken, in der Sie Ihr Modem und Ihr Problem beschreiben und Ihnen sollte geholfen werden. Verbindungen nach Außen Die folgenden Ratschläge beschreiben, wie Sie mit einem Modem eine Verbindung zu einem anderen Computer herstellen. Dies können Sie nutzen, um sich auf einem entfernten Computer anzumelden, oder um eine Verbindung zu einem BBS (Bulletin Board System) herzustellen. Weiterhin sind diese Art von Verbindungen nützlich, wenn mal Ihr PPP nicht funktioniert. Wenn Sie zum Beispiel eine Datei mit FTP übertragen wollen und das über PPP gerade nicht möglich ist, melden Sie sich auf dem entfernten Rechner an und führen dort die FTP Sitzung durch. Die Dateien können Sie danach mit zmodem auf den lokalen Rechner übertragen. Mein Hayes Modem wird nicht unterstützt — was kann ich tun? Eigentlich ist die Onlinehilfe für tip nicht mehr aktuell. Es gibt einen eingebauten, allgemeinen Hayes Wähler. Verwenden Sie einfach at=hayes in /etc/remote. Der Hayes Treiber ist nicht schlau genug, um ein paar der erweiterten Merkmale von neueren Modems zu erkennen — Nachrichten wie BUSY, NO DIALTONE oder CONNECT 115200 verwirren ihn nur. Sie sollten diese Nachrichten mit Hilfe von ATX0&W abschalten, wenn Sie tip benutzen. Der Anwahl-Timeout von tip beträgt 60 Sekunden. Ihr Modem sollte weniger verwenden, oder tip denkt, daß ein Kommunikationsfehler vorliegt. Versuchen Sie es mit ATS7=45&W. Tatsächlich unterstützt die ausgelieferte Version von tip Hayes Modems noch nicht vollständig. Die Lösung ist, tipconf.h in /usr/src/usr.bin/tip/tip zu editieren. Dafür benötigen Sie natürlich die Quellcode Distribution. Ändern Sie die Zeile #define HAYES 0 zu #define HAYES 1. Dann führen Sie make und make install aus. Es sollte jetzt funktionieren. Wie soll ich die AT Befehle eingeben? /etc/remote Erstellen Sie einen sogenannten direct Eintrag in /etc/remote. Wenn Ihr Modem zum Beispiel an der ersten seriellen Schnittstelle, /dev/cuaa0, angeschlossen ist, dann fügen Sie die folgende Zeile hinzu: cuaa0:dv=/dev/cuaa0:br#19200:pa=none Verwenden Sie die höchste bps Rate, die Ihr Modem in der br Fähigkeit unterstützt. Geben Sie dann tip cuaa0 ein und Sie sind mit Ihrem Modem verbunden. Wenn auf Ihrem System keine /dev/cuaa0 Datei existiert, geben Sie folgendes ein: &prompt.root; cd /dev &prompt.root; sh MAKEDEV cuaa0 Oder benutzen Sie cu als root mit dem folgenden Befehl: &prompt.root; cu -lline -sspeed line steht für die serielle Schnittstelle (/dev/cuaa0) und speed für die Geschwindigkeit (57600). Wenn Sie mit dem Eingeben der AT Befehle fertig sind, beenden Sie mit ~.. Wieso funktioniert das <literal>@</literal> Zeichen für die pn Fähigkeit nicht? Das @ Zeichen in der Telefonnummerfähigkeit sagt tip, daß es in der Datei /etc/phones nach einer Nummer suchen soll. Aber @ ist auch ein spezielles Zeichen in den Dateien, in denen Fähigkeiten beschrieben werden, wie /etc/remote. Schreiben Sie es mit einem Backslash: pn=\@ Wie kann ich von der Kommandozeile eine Telefonnummer wählen? Stellen Sie einen allgemeinen Eintrag in /etc/remote. Zum Beispiel: tip115200|Dial any phone number at 115200 bps:\ :dv=/dev/cuaa0:br#115200:at=hayes:pa=none:du: tip57600|Dial any phone number at 57600 bps:\ :dv=/dev/cuaa0:br#57600:at=hayes:pa=none:du: Mit dem folgenden Befehl können Sie dann wählen: &prompt.root; tip -115200 5551234 Sollten Sie cu gegenüber tip bevorzugen, verwenden Sie einen allgemeinen cu-Eintrag: cu115200|Use cu to dial any number at 115200bps:\ :dv=/dev/cuaa1:br#57600:at=hayes:pa=none:du: und benutzen zum Wählen das Kommando: &prompt.root; cu 5551234 -s 115200 Muß ich dabei jedes Mal die bps Rate angeben? Schreiben Sie einen tip1200 oder einen cu1200 Eintrag, aber geben Sie auch die bps Rate an, die Ihr Modem wirklich unterstützt. Leider denkt &man.tip.1;, daß 1200 bps ein guter Standardwert ist und deswegen sucht es nach einem tip1200-Eintrag. Natürlich müssen Sie nicht wirklich 1200 bps benutzen. Wie kann ich möglichst komfortabel über einen Terminal-Server auf verschiedene Rechner zugreifen? Sie müssen nicht warten bis Sie verbunden sind, und jedesmal CONNECT Rechner eingeben, benutzen Sie tip's cm Fähigkeit. Sie können diese Einträge in /etc/remote verwenden: pain|pain.deep13.com|Forrester's machine:\ :cm=CONNECT pain\n:tc=deep13: muffin|muffin.deep13.com|Frank's machine:\ :cm=CONNECT muffin\n:tc=deep13: deep13:Gizmonics Institute terminal server:\ :dv=/dev/cuaa2:br#38400:at=hayes:du:pa=none:pn=5551234: Mit den Befehlen tip pain oder tip muffin können Sie eine Verbindungen zu den Rechnern pain oder muffin herstellen; mit tip deep13 verbinden Sie sich mit dem Terminal Server. Kann tip mehr als eine Verbindung für jede Seite ausprobieren? Das ist oft ein Problem, wenn eine Universität mehrere Telefonleitungen hat und viele tausend Studenten diese benutzen wollen. Erstellen Sie einen Eintrag für Ihre Universität in /etc/remote und benutzen Sie @ für die pn Fähigkeit: big-university:\ :pn=\@:tc=dialout dialout:\ :dv=/dev/cuaa3:br#9600:at=courier:du:pa=none: Listen Sie die Telefonnummern der Universität in /etc/phones auf: big-university 5551111 big-university 5551112 big-university 5551113 big-university 5551114 tip probiert jede der Nummern in der aufgelisteten Reihenfolge und gibt dann auf. Möchten Sie, daß tip beim Versuchen eine Verbindung herzustellen nicht aufgibt, lassen Sie es in einer while-Schleife laufen. Warum muß ich zweimal <keycombo action="simul"> <keycap>Ctrl</keycap> <keycap>P</keycap> </keycombo> tippen, um ein <keycombo action="simul"> <keycap>Ctrl</keycap> <keycap>P</keycap> </keycombo> zu senden? CtrlP ist das voreingestellte Zeichen, mit dem eine Übertragung erzwungen werden kann und wird benutzt, um tip zu sagen, daß das nächste Zeichen direkt gesendet werden soll und nicht als Fluchtzeichen interpretiert werden soll. Mit Hilfe der ~s Fluchtsequenz, mit der man Variablen setzen kann, können Sie jedes andere Zeichen als force-Zeichen definieren. Geben Sie ~sforce=Zeichen gefolgt von Enter ein. Für Zeichen können Sie ein beliebiges einzelnes Zeichen einsetzen. Wenn Sie Zeichen weglassen, ist das force-Zeichen nul, das Sie mit Ctrl2 oder - CtrlSpace + CtrlLeertaste eingeben können. Ein guter Wert für Zeichen ist Shift Ctrl 6 , welches nur auf wenigen Terminal Servern benutzt wird. Sie können das force-Zeichen auch bestimmen, indem Sie in $HOME/.tiprc das folgende einstellen: force=<single-char> Warum ist auf einmal alles was ich schreibe in GROSSBUCHSTABEN?? Sie müssen Ctrl A , eingegeben haben, das raise-Zeichen von tip, das speziell für Leute mit defekten caps-lock Tasten eingerichtet wurde. Benutzen Sie ~s wie oben und setzen Sie die Variable raisechar auf etwas, das Ihnen angemessen erscheint. Tatsächlich kann die Variable auf das gleiche Zeichen wie das force-Zeichen gesetzt werden, wenn Sie diese Fähigkeiten niemals benutzen wollen. Hier ist ein Muster der .tiprc Datei, perfekt für Emacs Benutzer, die oft Ctrl2 und CtrlA tippen müssen: force=^^ raisechar=^^ The ^^ is ShiftCtrl6 . Wie kann ich Dateien mit <command>tip</command> übertragen? Wenn Sie mit einem anderen Unix-System kommunizieren, können Sie mit ~p (put) und ~t (take) Dateien senden und empfangen. Diese Befehle lassen cat und echo auf dem entfernten System laufen, um Dateien zu empfangen und zu senden. Die Syntax ist: ~p local-file remote-file ~t remote-file local-file Es gibt keine Fehlerkontrolle, deshalb sollten Sie besser ein anderes Protokoll, wie zmodem, benutzen. Wie kann ich zmodem mit <command>tip</command> laufen lassen? Um Dateien zu empfangen, starten Sie das Programm zum Senden auf dem entfernten Computer. Geben Sie dann ~C rz ein, um die Dateien lokal zu empfangen. Um Dateien zu senden, starten Sie das Programm zum Empfangen auf dem entfernten Computer. Geben Sie dann ~C sz Dateien ein, um Dateien auf das entfernte System zu senden. Kazutaka YOKOTA Beigesteuert von Bill Paul Auf Grundlage eines Dokuments von Einrichten der seriellen Konsole serial console Einführung FreeBSD kann ein System mit einem Dumb-Terminal (unintelligente Datenstation) an einer seriellen Schnittstelle als Konsole booten. Diese Konfiguration ist besonders nützlich für Systemadministratoren, die FreeBSD auf Systemen ohne Tastatur oder Monitor installieren wollen, und Entwickler, die den Kernel oder Gerätetreiber debuggen. Wie in beschrieben, besitzt FreeBSD drei Bootphasen. Die ersten beiden Bootphasen befinden im Bootsektor am Anfang der FreeBSD Slice der Bootplatte. Dieser Bootblock lädt den Bootloader (/boot/loader) in Phase drei. Um eine serielle Konsole einzurichten, müssen Sie den Bootblock, den Bootloader und den Kernel konfigurieren. Konfiguration der Konsole Bereiten Sie ein serielles Kabel vor. Nullmodemkabel Sie benötigen entweder ein Nullmodemkabel oder ein serielles Standard Kabel mit einem Nullmodemkabel-Adapter. In wurden serielle Kabel beschrieben. Trennen Sie die Tastatur vom Computer. Die meisten PC Systeme suchen beim Power On Self Test (POST) nach einer Tastatur und geben eine Fehlermeldung aus, wenn sie keine finden. Einige Maschinen werden sich sogar weigern, ohne Tastatur zu booten. Wenn Ihr Rechner trotz einer Fehlermeldung normal weiterbootet, brauchen Sie weiter nichts zu tun. Beispielsweise geben einige Maschinen mit einem Phoenix BIOS nur Keyboard failed aus und booten dann normal weiter. Wenn Ihr System ohne Tastatur nicht booten will, müssen Sie das BIOS so konfigurieren, das es diesen Fehler ignoriert (wenn das möglich ist). Das Handbuch zu Ihrem Motherboard sollte beschreiben, wie das zu bewerkstelligen ist. Wenn Sie im BIOS Not installed für die Tastatur einstellen, heißt das nicht, daß Sie die Tastatur nicht benutzen können, sondern dies weist das BIOS nur an, nicht nach einer Tastatur zu suchen. Trotz dieser Einstellung können Sie die Tastatur angeschlossen lassen und sie später verwenden. Wenn Ihr System über eine PS/2 Maus verfügt, müssen Sie diese wahrscheinlich auch abziehen. Da sich die PS/2 Maus und die Tastatur einige Hardwarekomponenten teilen, kann das dazu führen, daß die Hardwareerkennung fälschlicherweise eine Tastatur findet, wenn eine PS/2 Maus angeschlossen ist. Gateway 2000 Pentium 90MHz Systemen wird dieses Verhalten nachgesagt. Normalerweise ist das kein Problem, da eine Maus ohne Tastatur sowieso nicht sinnvoll einsetzbar ist. Schließen Sie einen Dumb-Terminal an COM1 (sio0) an. Wenn Sie keinen Dumb-Terminal besitzen, können Sie einen alten PC/XT mit einem Terminalemulator oder die serielle Schnittstelle eines anderen Unix Rechners benutzen. Sie benötigen auf jeden Fall eine freie erste serielle Schnittstelle (COM1). Zur Zeit ist es nicht möglich, in den Bootblöcken eine andere Schnittstelle zu konfigurieren, ohne diese neu zu kompilieren. Wenn Sie COM1 bereits für ein anderes Gerät benutzen, müssen Sie dieses Gerät temporär entfernen und einen neuen Bootblock sowie Kernel installieren, wenn Ihr FreeBSD erst einmal installiert ist. Auf einem Server sollte COM1 ohnehin verfügbar sein. Wenn Sie die Schnittstelle für ein anderes Gerät benutzen und Sie dieses nicht auf COM2 (sio1) legen können, sollten Sie sich nicht an erster Stelle mit dem Aufsetzen einer seriellen Konsole beschäftigen. Stellen Sie sicher, daß Ihre Kernelkonfiguration die richtigen Optionen für COM1 (sio0) enthält. Relevante Optionen sind: 0x10 Aktiviert die Konsolenunterstützung für dieses Gerät. Zur Zeit kann nur ein Gerät die Konsolenunterstützung aktiviert haben. Das erste, in der Konfigurationsdatei aufgeführte Gerät, mit dieser Option, verfügt über eine aktivierte Konsolenunterstützung. Beachten Sie, daß diese Option alleine nicht ausreicht, um die serielle Konsole zu aktivieren. Setzen Sie entweder noch die nachfolgend diskutierte Option oder verwenden Sie beim Booten, wie unten beschrieben, den Schalter . 0x20 Das erste Gerät in der Kernelkonfigurationsdatei mit dieser Option wird, unabhängig von dem unten diskutierten Schalter , zur Konsole. Dies ersetzt COMCONSOLE der FreeBSD Versionen 2.X. Die Option muß zusammen mit verwendet werden. 0x40 Reserviert dieses Gerät und sperrt es für normale Zugriffe. Sie sollten diese Option nicht auf dem Gerät setzen, das Sie als serielle Konsole verwenden wollen. Der Zweck dieser Option ist es, dieses Gerät für das Remote-Debuggen zu reservieren. Das Entwickler Handbuch enthält dazu weitere Informationen. In FreeBSD 4.0 und späteren Versionen hat sich die Bedeutung dieser Option leicht geändert und es existiert eine weitere Option, um ein Gerät zum Remote-Debuggen zu verwenden. Beispiel: device sio0 at isa? port "IO_COM1" tty flags 0x10 irq 4 Weitere Einzelheiten entnehmen Sie bitte &man.sio.4;. Wenn diese Optionen nicht gesetzt sind, müssen Sie auf einer anderen Konsole beim Booten UserConfig starten oder den Kernel neu kompilieren. Erstellen Sie boot.config im Rootverzeichnis der a Partition des Bootlaufwerks. Der Code des Bootblocks entnimmt dieser Datei, wie Sie Ihr System booten möchten. Um die serielle Konsole zu aktivieren, müssen Sie hier eine oder mehrere Optionen (alle in derselben Zeile) angeben. Die folgenden Optionen stehen zur Auswahl der Konsole zur Verfügung: Schaltet zwischen der internen und der seriellen Konsole um. Wenn Sie beispielsweise von der internen Konsole (Bildschirm) booten, weist den Bootloader und den Kernel an, die serielle Schnittstelle als Konsole zu nehmen. Wenn die Konsole normal auf der seriellen Schnittstelle liegt, wählen Sie mit den Bildschirm aus. Schaltet zwischen Einzelkonsole und Dual-Konsole um. Die Einzelkonsole ist entweder die interne Konsole (der Bildschirm) oder die serielle Schnittstelle, je nach dem Stand von . Im Dual-Konsolen Betrieb ist die Konsole, unabhängig von , gleichzeitig der Bildschirm und die serielle Schnittstelle. Dies trifft aber nur zu, wenn der Bootblock ausgeführt wird. Sobald der Bootloader ausgeführt wird, wird die durch gegebene Konsole die alleinige Konsole. Veranlaßt den Bootblock nach einer Tastatur zu suchen. Wenn keine Tastatur gefunden wird, werden und automatisch gesetzt. Wegen Platzbeschränkungen in den Bootblöcken kann nur erweiterte Tastaturen erkennen. Tastaturen mit weniger als 101 Tasten (und ohne F11 und F12 Tasten) werden wahrscheinlich, wie vielleicht auch die Tastaturen einiger Laptops, nicht erkannt. Wenn dies bei Ihrem System der Fall ist, können Sie nicht verwenden, da es leider noch keine Umgehung für dieses Problem gibt. Benutzen Sie also entweder , um die Konsole automatisch zu setzen, oder , um die serielle Konsole zu verwenden. In boot.config können Sie auch andere, in &man.boot.8; beschriebene Optionen, aufnehmen. Mit Ausnahme von werden die Optionen an den Bootloader (/boot/loader) weitergegeben. Der Bootloader untersucht dann einzig um festzustellen, welches Gerät die Konsole wird. Wenn Sie also nur angegeben haben, können Sie die serielle Schnittstelle nur als Konsole verwenden während der Bootblock ausgeführt wird. Danach wird der Bootloader, da ja fehlt, den Bildschirm zur Konsole machen. Booten Sie die Maschine. Wenn Sie das FreeBSD System starten, werden die Bootblöcke den Inhalt von /boot.config auf der Konsole ausgeben: /boot.config: -P Keyboard: no Die zweite Zeile sehen Sie nur, wenn Sie in /boot.config angegeben haben. Sie zeigt an, ob eine Tastatur angeschlossen ist oder nicht. Die Meldungen gehen je nach den Einstellungen in /boot.config auf die interne Konsole, die serielle Konsole, oder beide Konsolen. Optionen Meldungen erscheinen auf keine der internen Konsole der seriellen Konsole der seriellen und der internen Konsole der seriellen und der internen Konsole , mit Tastatur der internen Konsole , ohne Tastatur der seriellen Konsole Nach den oben gezeigten Meldungen gibt es eine kleine Verzögerung; bevor die Bootblöcke den Bootloader laden und weitere Meldungen auf der Konsole erscheinen. Sie können die Ausführung der Bootblöcke unterbrechen, um zu überprüfen, ob auch alles richtig aufgesetzt ist, brauchen das aber unter normalen Umständen nicht zu tun. Drücken Sie eine Taste außer Enter um den Bootvorgang zu unterbrechen. Sie erhalten dann ein Prompt, an dem Sie weitere Eingaben tätigen können: >> FreeBSD/i386 BOOT Default: 0:wd(0,a)/boot/loader boot: Je nach Inhalt von /boot.config erscheint das Prompt auf der seriellen Konsole, der internen Konsole oder beiden Konsolen. Wenn die Meldung auf der richtigen Konsole erscheint, drücken Sie Enter um fortzufahren. Wenn Sie das Prompt auf der seriellen Konsole erwartet haben, dort aber nichts sehen, liegt ein Fehler in Ihren Einstellungen vor. Als Umgehung geben Sie an der momentanen Konsole ein, um den Bootblock und den Bootloader auf die serielle Konsole umzustellen. Führen Sie dann den Bootvorgang mit Enter weiter und wenn das System gebootet hat, können Sie die fehlerhaften Einstellungen korrigieren. Nachdem der Bootloader geladen wurde und Sie sich in der dritten Bootphase befinden, können Sie immer noch zwischen der internen und der seriellen Konsole auswählen. Setzen Sie dazu, wie in beschrieben, die entsprechenden Variablen des Bootloaders. Zusammenfassung Die folgende Übersicht zeigt, welche Konsole, abhängig von den getroffenen Einstellungen, ausgewählt wird. Fall 1: Option 0x10 für <devicename>sio0</devicename> device sio0 at isa? port "IO_COM1" tty flags 0x10 irq 4 Optionen in /boot.config Konsole in den Bootblöcken Konsole im Bootloader Konsole im Kernel keine interne interne interne serielle serielle serielle serielle und interne interne interne serielle und interne serielle serielle , mit Tastatur interne interne interne , ohne Tastatur serielle und interne serielle serielle Fall 2: Option 0x30 für <devicename>sio0</devicename> device sio0 at isa? port "IO_COM1" tty flags 0x30 irq 4 Optionen in /boot.config Konsole in den Bootblöcken Konsole im Bootloader Konsole im Kernel keine interne interne serielle serielle serielle serielle serielle und interne interne serielle serielle und interne serielle serielle , mit Tastatur interne interne serielle , ohne Tastatur serielle und interne serielle serielle Hinweise zur seriellen Konsole Verwenden einer höheren Geschwindigkeit Die Vorgabewerte für die Kommunikationsparameter der seriellen Schnittstelle sind: 9600 baud, 8 Bit, keine Parität und ein Stop-Bit. Wenn Sie die Geschwindigkeit ändern wollen, müssen Sie mindestens die Bootblöcke neu kompilieren. Fügen Sie die folgende Zeile in /etc/make.conf hinzu und kompilieren Sie Bootblöcke neu: BOOT_COMCONSOLE_SPEED=19200 Wenn die serielle Konsole auf einem anderen Weg als durch die Verwendung von konfiguriert wird, oder die serielle Konsole des Kernels eine andere als die der Bootblöcke ist, müssen der Kernelkonfiguration zudem noch die folgende Option hinzufügen und einen neuen Kernel kompilieren: options CONSPEED=19200 Eine andere Schnittstelle als <devicename>sio0</devicename> benutzen Wenn Sie, warum auch immer, ein anderes Gerät als sio0 für die serielle Konsole einsetzen wollen, kompilieren Sie bitte die Bootblöcke, den Bootloader und den Kernel nach dem folgenden Verfahren neu. Installieren Sie die Kernelquellen. Setzen Sie in /etc/make.conf BOOT_COMCONSOLE_PORT auf die Adresse der Schnittstelle (0x3F8, 0x2F8, 0x3E8 oder 0x2E8), die Sie benutzen möchten. Sie können nur sio0 bis sio3 (COM1 bis COM4) benutzen, Multiportkarten können Sie nicht als Konsole benutzen. Interrupts müssen Sie hier nicht angeben. Erstellen Sie eine angepaßte Kernelkonfiguration und geben Sie dort die richtigen Optionen für die Schnittstelle, die Sie benutzen möchten, an. Wenn Sie zum Beispiel sio1 (COM2) zur Konsole machen wollen, geben Sie dort entweder device sio1 at isa? port "IO_COM2" tty flags 0x10 irq 3 oder device sio1 at isa? port "IO_COM2" tty flags 0x30 irq 3 an. Keine andere serielle Schnittstelle sollte als Konsole definiert werden. Übersetzen und installieren Sie die Bootblöcke: &prompt.root; cd /sys/boot/i386/boot2 &prompt.root; make &prompt.root; make install Übersetzen und installieren Sie den Bootloader: &prompt.root; cd /sys/boot/i386/loader &prompt.root; make &prompt.root; make install Bauen und installieren Sie einen neuen Kernel. Schreiben Sie die Bootblöcke mit &man.disklabel.8; auf die Bootplatte und booten Sie den neuen Kernel. DDB Debugger über die serielle Schnittstelle Wenn Sie den Kerneldebugger über eine serielle Verbindung bedienen möchten (nützlich, kann aber gefährlich sein, wenn auf der Leitung falsche BREAK Signale generiert werden), sollten Sie einen Kernel mit den folgenden Optionen erstellen: options BREAK_TO_DEBUGGER options DDB Benutzung der seriellen Konsole zum Anmelden Da Sie schon die Bootmeldungen auf der Konsole verfolgen können und den Kerneldebugger über die Konsole bedienen können, wollen Sie sich vielleicht auch an der Konsole anmelden. Öffnen Sie /etc/ttys in einem Editor und suchen Sie nach den folgenden Zeilen: ttyd0 "/usr/libexec/getty std.9600" unknown off secure ttyd1 "/usr/libexec/getty std.9600" unknown off secure ttyd2 "/usr/libexec/getty std.9600" unknown off secure ttyd3 "/usr/libexec/getty std.9600" unknown off secure ttyd0 bis ttyd3 entsprechen COM1 bis COM4. Ändern Sie für die entsprechende Schnittstelle off zu on. Wenn Sie auch die Geschwindigkeit der seriellen Schnittstelle geändert haben, müssen Sie std.9600 auf die momentane Geschwindigkeit zum Beispiel std.19200 anpassen. Sie sollten auch den Terminaltyp von unknown auf den tatsächlich verwendeten Terminal setzen. Damit die Änderungen an der Datei wirksam werden, müssen Sie noch kill -HUP 1 absetzen. Die Konsole im Bootloader ändern In den vorigen Abschnitten wurde beschrieben, wie Sie die serielle Konsole durch Änderungen im Bootblock aktivieren. Dieser Abschnitt zeigt Ihnen, wie Sie mit Kommandos und Umgebungsvariablen die Konsole im Bootloader definieren. Da der Bootloader die dritte Phase im Bootvorgang ist und nach den Bootblöcken ausgeführt wird, überschreiben die Einstellungen hier die des Bootblocks. Festlegen der Konsole Mit einer einzigen Zeile in /boot/loader.rc können Sie den Bootloader und den Kernel anweisen, die serielle Schnittstelle zur Konsole zu machen: set console=comconsole Unabhängig von den Einstellungen im Bootblock legt dies die Konsole fest. Die obige Zeile sollte die erste Zeile in /boot/loader.rc sein, so daß Sie die Bootmeldungen so früh wie möglich auf der Konsole sehen. Analog können Sie die interne Konsole verwenden: set console=vidconsole Wenn Sie console nicht setzen, bestimmt der Bootloader (und damit auch der Kernel) die Konsole über die Option des Bootblocks. Ab FreeBSD 3.2 können Sie die Bootkonsole in /boot/loader.conf.local oder /boot/loader.conf anstatt in /boot/loader.rc angeben. In /boot/loader.rc finden Sie bei dieser Methode den folgenden Inhalt: include /boot/loader.4th start Erstellen Sie /boot/loader.conf.local und fügen die Zeile console=comconsole oder console=vidconsole ein. Weitere Informationen erhalten Sie in &man.loader.conf.5;. Momentan gibt es im Bootloader nichts vergleichbares zu im Bootblock. Damit kann die Konsole nicht automatisch über das Vorhandensein einer Tastatur festgelegt werden. Eine andere Schnittstelle als <devicename>sio0</devicename> benutzen Sie müssen den Bootloader neu kompilieren, wenn Sie eine andere Schnittstelle als sio0 benutzen wollen. Folgen Sie der Anleitung aus . Vorbehalte Hinter dem ganzen steckt die Idee, Server ohne Hardware für Grafik und ohne Tastatur zu betreiben. Obwohl es die meisten Systeme erlauben, ohne Tastatur zu booten, gibt es leider nur wenige Systeme, die ohne eine Grafikkarte booten. Maschinen mit einem AMI BIOS können ohne Grafik booten, indem Sie den Grafikadapter im CMOS-Setup auf Not installed setzen. Viele Maschinen unterstützen diese Option allerdings nicht. Damit diese Maschinen booten, müssen sie über eine Grafikkarte, auch wenn es nur eine alte Monochromkarte ist, verfügen. Allerdings brauchen Sie keinen Monitor an die Karte anzuschließen. Sie können natürlich auch versuchen, auf diesen Maschinen ein AMI BIOS zu installieren.