在Ubuntu下如何切換到超級用護

由於 Ubuntu 是基於 Debian 的 linux 操作系統,在默認的情況下,是沒有超級用護(superuser, root)的,但有些系統操作必須有超級用護的權限才能進行,如手動釋放內存等。

  在其他 linux 操作系統 (如 fedora) 下,可以使用 su 切換到超級用護。

  當輸入 su 命令後, 系統會要求輸入 root 的密碼。

  可是,在 Ubuntu 下我們根本不知道 root 的密碼是什麼。

  這洋,在 Ubuntu 下切換到超級用護需要使用其他方法,主要有兩種:

  1) sudo -i

  sudo 是 su 的加強版,意思是 do something as the supervisor。

  不需要密碼就可以得到 root 的權限。

  但是它也有很多限制,比如,在默認的情況下,只能在 5 分鐘之內使用 root 權限。

  2) 如果想壹直使用 root 權限,還是要使用 su, 還是要得到 root 密碼的。

  用 sudo passwd root 可以設置 root 的密碼。

  之後就可以自由使用 su 命令啦。

linux下非阻塞的tcp研究

這是根據自己的筆記整理的,如有錯誤,歡迎指出來.   tcp協議本身是可靠的,並不等於應用程序用tcp發送數據就壹定是可靠的.不管是否阻塞,send發送的大小,並不代表對端recv到多少的數據.   在阻塞模式下,send函數的過程是將應用程序請求發送的數據拷貝到發送緩存中發送並得到確認後再返回.但由於發送緩存的存在,表現為:如果發送緩存大小比請求發送的大小要大,那麽send函數立即返回,同時向網絡中發送數據;否則,send向網絡發送緩存中不能容納的那部分數據,並等待對端確認後再返回(接收端只要將數據收到接收緩存中,就會確認,並不壹定要等待應用程序調用recv);   在非阻塞模式下,send函數的過程僅僅是將數據拷貝到協議棧的緩存區而已,如果緩存區可用空間不夠,則盡能力的拷貝,返回成功拷貝的大小;如緩存區可用空間為0,則返回-1,同時設置errno為EAGAIN.   linux下可用sysctl -a | grep net.ipv4.tcp_wmem查看系統默認的發送緩存大小:   net.ipv4.tcp_wmem = 4096 16384 81920   這有三個值,第壹個值是socket的發送緩存區分配的最少字節數,第二個值是默認值(該值會被net.core.wmem_default覆蓋),緩存區在系統負載不重的情況下可以增長到這個值,第三個值是發送緩存區空間的最大字節數(該值會被net.core.wmem_max覆蓋).   根據實際測試,如果手工更改了net.ipv4.tcp_wmem的值,則會按更改的值來運行,否則在默認情況下,協議棧通常是按net.core.wmem_default和net.core.wmem_max的值來分配內存的.   應用程序應該根據應用的特性在程序中更改發送緩存大小:   socklen_t sendbuflen = 0;   socklen_t len = sizeof(sendbuflen);   getsockopt(clientSocket, SOL_SOCKET, SO_SNDBUF, (void*)&sendbuflen, &len);   printf(“default,sendbuf:%d\n”, sendbuflen);   sendbuflen = 10240;   setsockopt(clientSocket, SOL_SOCKET, SO_SNDBUF, (void*)&sendbuflen, len);   getsockopt(clientSocket, SOL_SOCKET, SO_SNDBUF, (void*)&sendbuflen, &len);   printf(“now,sendbuf:%d\n”, sendbuflen);   需要註意的是,雖然將發送緩存設置成了10k,但實際上,協議棧會將其擴大1倍,設為20k.   ——————-實例分析———————-   在實際應用中,如果發送端是非阻塞發送,由於網絡的阻塞或者接收端處理過慢,通常出現的情況是,發送應用程序看起來發送了10k的數據,但是只發送了2k到對端緩存中,還有8k在本機緩存中(未發送或者未得到接收端的確認).那麽此時,接收應用程序能夠收到的數據為2k.假如接收應用程序調用recv函數獲取了1k的數據在處理,在這個瞬間,發生了以下情況之壹:   A. 發送應用程序認為send完了10k數據,關閉了socket:   發送主機作為tcp的主動關閉者,連接將處於FIN_WAIT1的半關閉狀態(等待對方的ack),並且,發送緩存中的8k數據並不清除,依然會發送給對端.如果接收應用程序依然在recv,那麽它會收到余下的8k數據(這個前題是,接收端會在發送端FIN_WAIT1狀態超時前收到余下的8k數據.),然後得到壹個對端socket被關閉的消息(recv返回0).這時,應該進行關閉.   B. 發送應用程序再次調用send發送8k的數據:   假如發送緩存的空間為20k,那麽發送緩存可用空間為20-8=12k,大於請求發送的8k,所以send函數將數據做拷貝後,並立即返回8192;   假如發送緩存的空間為12k,那麽此時發送緩存可用空間還有12-8=4k,send()會返回4096,應用程序發現返回的值小於請求發送的大小值後,可以認為緩存區已滿,這時必須阻塞(或通過select等待下壹次socket可寫的信號),如果應用程序不理會,立即再次調用send,那麽會得到-1的值,在linux下表現為errno=EAGAIN.   C. 接收應用程序在處理完1k數據後,關閉了socket:   接收主機作為主動關閉者,連接將處於FIN_WAIT1的半關閉狀態(等待對方的ack).然後,發送應用程序會收到socket可讀的信號(通常是select調用返回socket可讀),但在讀取時會發現recv函數返回0,這時應該調用close函數來關閉socket(發送給對方ack);   如果發送應用程序沒有處理這個可讀的信號,而是繼續調用send,那麽第壹次會像往常壹樣繼續填充緩存區,然後返回,但如果再次調用send,進程會收到SIGPIPE信號,該信號的默認響應動作是退出進程.   D. 交換機或路由器的網絡斷開:   接收應用程序在處理完已收到的1k數據後,會繼續從緩存區讀取余下的1k數據,然後就表現為無數據可讀的現象,這種情況需要應用程序來處理超時.壹般做法是設定壹個select等待的最大時間,如果超出這個時間依然沒有數據可讀,則認為socket已不可用.   發送應用程序會不斷的將余下的數據發送到網絡上,但始終得不到確認,所以緩存區的可用空間持續為0,這種情況也需要應用程序來處理.   如果不由應用程序來處理這種情況超時的情況,也可以通過tcp協議本身來處理,具體可以查看sysctl項中的:   net.ipv4.tcp_keepalive_intvl   net.ipv4.tcp_keepalive_probes   net.ipv4.tcp_keepalive_time   所以,要想編寫優秀的socket程序也是很不容易的.特別是在為應用做優化時,很多工作都非常的煩瑣.

kerberos的安裝配置

kerberos是由MIT開發的提供網絡認證服務的系統,很早就聽說過它的大名,但壹直沒有使用過它。它可用來為網絡上的各種server提供認證服務,使得口令不再是以明文方式在網絡上傳輸,並且聯接之間通訊是加密的;它和PKI認證的原理不壹樣,PKI使用公鑰體制(不對稱密碼體制),kerberos基於私鑰體制(對稱密碼體制)。    本篇文章不打算詳細講解kerberos的工作原理,而是側重介紹在redhat8.0環境下如何使用kerberos自己提供的Ktelnetd,Krlogind,Krshd來替代傳統的telnetd,rlogind,rshd服務,有關kerberos工作的原理可以參考《Kerberos:AN Authentication Services for Computer Networks》。    安裝環境:壹臺i386機器。  安裝包:krb5-server-1.2.5-6,krb5-workstation-1.2.5-6,krb5-libs-1.2.5-6   rpm -ivh krb5-libs-1.2.5-6.i386.rpm   rpm -ivh krb5-server-1.2.5-6.i386.rpm   rpm -ivh krb5-workstation-1.2.5-6.i386.rpm      上述要求滿足後,我們就可以先配KDC服務器,然後再配Ktelnetd,Krlogind,Krsh服務器,最後就可以使用krb5-workstation提供的telnet,rlogin,rsh來登錄這些服務了。下面是安裝步驟:    1、生成kerberos的本地數據庫  kdb5_util create -r EXAMPLE.COM -s   這個命令用來生成kerberos的本地數據庫,包括幾個文件:principal,principal.OK,principal.kadm5,principal.kadm5.lock. -r 指定realm(kerberos術語),我們隨便取壹個叫EXAMPLE.COM.     2、生成賬號  kerberos用principal(kerberos術語)來表示realm下的壹個帳戶,表示為primary/instance@realm,舉個例子就是username/9.181.92.90@EXAMPLE.COM,這裏假設9.181.92.90是妳機器的ip地址.     在數據庫中加入管理員帳戶:  /usr/kerberos/sbin/kadmin.local   kadmin.local: addprinc admin/admin@EXAMPLE.COM   在數據庫中加入用戶的帳號:  kadmin.local: addprinc username/9.181.92.90@EXAMPLE.COM   在數據庫中加入Ktelnetd,Krlogind,Krshd公用的帳號:  kadmin.local: addprinc -randkey host/9.181.92.90@EXAMPLE.COM      3、檢查/var/kerberos/krb5kdc/kadm5.keytab是否有下列語句:  */admin@EXAMPLE.COM *   若沒有,那麽就添上。    4、修改/etc/krb5.conf文件,修改所有的realm為EXAMPLE.COM,並且加入下列句子  kdc = 9.181.92.90:88   admin_server = 9.181.92.90:749     5、在/etc/krb.conf中加入下列語句:  EXAMPLE.COM   EXAMPLE.COM 9.181.92.90:88   EXAMPLE.COM 9.181.92.90:749 admin server     6、啟動kdc服務器和Ktelnetd,Krlogind,Krshd   /etc/init.d/krb5kdc restart   chkconfig klogin on   chkconfig kshell on   chkconfig eklogin on   chkconfig krb5-telnet on   /etc/init.d/xinetd restart     7、制作本地緩存  將username/9.181.92.90@EXAMPLE.COM的credentials(kerberos術語)取到本地做為cache,這樣以後就可以不用重復輸入password了。  kinit username/9.181.92.90   如果順利的話,在/tmp下面會生成文件krb5*;這步如果不通,那麽就必須檢查以上步驟是否有漏。  可以用klist命令來查看credential。    8、導出用戶密匙  export host/9.181.92.90@EXAMPLE.COM的key到/etc/krb5.keytab,Ktelnetd、Krlogind和Krshd需要/etc/krb5.keytab來驗證username/9.181.92.90的身份。  kadmin.local: ktadd -k /etc/krb5.keytab host/9.181.92.90     9、修改~/.k5login文件  在其中加入username/9.181.92.90@EXAMPLE.COM,表示允許username/9.181.92.90@EXAMPLE.COM登錄該帳戶    cat username/9.181.92.90@EXAMPLE.COM >>~/.k5login      10、測試kerberos客戶端  krsh 9.181.92.90 -k EXAMPLE.COM ls   krlogin 9.181.92.90 -k EXAMPLE.COM   rlogin 9.181.92.90 -k EXAMPLE.COM   rsh 9.181.92.90 -k EXAMPLE.COM   telnet -x 9.181.92.90 -k EXAMPLE.COM