Zelfs nog voordat je het systeem boot, zou je een beslissing moeten nemen over het beveiligingsniveau dat je wilt implementeren. Verbind je computer niet met het netwerk, totdat je hebt besloten wat je zal doen.
Beveiliging is een veelomvattend onderwerp dat buiten het kader van deze HOWTO valt; twee goede plaatsen om mee te beginnen zijn de Linux Security Administrator's Guide op http://www.seifried.org/lasg en de Linux Security guide op http://nic.com/~dave/Security. Je zou op z'n minst de volgende stappen moeten overwegen: het gebruik van Shadow passwords (Shadow Password HOWTO), het beperken van netwerk-toegang naar de computer (Sectie Beperken van Netwerk-toegang), door gebruik te maken van de Secure Shell ( http://www.cs.hut.fi/ssh/) of het Secure Remote Password ( http://srp.stanford.edu/srp/).Veel succes.
Om je installatie in vorm te houden, is het essentieel dat je exact weet wat er met je computer is gebeurd, welke packages je die dag installeerde, wat je wijzigde of hebt verwijderd, enzovoort. Dus het eerste dat je zal doen voordat je aan je computer komt, is een ``logboek'' te starten. Daarin zal je alles vermelden van alle stappen die je als root maakt; in mijn eigen logboek houd ik ook een sectie bij waarin ik alle gewijzigde systeembestanden, aanvullende .rpms en .tar.gz die ik installeerde, bijhoud. In de optimale situatie zou je bij het teruggaan van al je stappen, een installatie als voorheen terug moeten kunnen verkrijgen. Maak een backup van de systeembestanden waar je aan bent geweest. Nog beter, maak gebruik van RCS; je zal alle wijzigingen terug kunnen vinden. Werk nooit als root zonder je stappen vast te leggen.
Als je deze stap tijdens de installatie hebt gemist of je toetsenbord hebt gewijzigd, zal je:
it.map
bijvoorbeeld, selecteert het Italiaanse toetsenbord;
KEYTABLE="it"
;
/sbin/kbdrate -s -r 16 -d 500 # of wat je ook wilt
Om de toetsentabel te laden, roep je /etc/rc.d/init.d/keytable start aan. Aan andere speciale toetsen zal in de volgende secties aandacht worden geschonken.
Om NumLock standaard aan te zetten, voeg je deze regels toe aan /etc/rc.d/rc.sysinit:
for tty in /dev/tty[1-9]*; do
setleds -D +num < $tty
done
Maak voor je nieuw geïnstalleerde systeem een aantal boot-diskettes aan. Er kan in je distributie een commando zijn opgenomen waarmee een dergelijke diskette wordt aangemaakt; als dit niet zo is, kun je de volgende commando's gebruiken:
#~ dd if=/boot/vmlinux-2.0.36-0.7 of=/dev/fd0 # gebruik je kernel-image
#~ rdev /dev/fd0 /dev/hda2 # je Linux partitie
Zorg er ook voor dat je een aantal rescue-disks klaar hebt liggen. Er is veel keuze in rescue-disks op ftp://metalab.unc.edu/pub/Linux/system/recovery; als je niet weet welke je moet kiezen, zou ik je aanraden Tomsbtrt uit te proberen.
IMHO, het eerste wat je vervolgens gaat doen is een kernel aanmaken die
het meest geschikt is voor je systeem.
Het is erg eenvoudig voor elkaar te krijgen, maar raadpleeg
in ieder geval het README
bestand in /usr/src/linux/ of de Kernel HOWTO. Aanwijzingen:
SVGATextMode
(zie Sectie
SVGATextMode).
Hoe dan ook, de Big Cursor kernel patch is te vinden op
http://www.linuxhq.com/patch/20-p0239.html;
modprobe
krijgt, die aangeven dat een aantal modules niet kunnen worden
gevonden, betekent dit dat je
/etc/conf.modules gerepareerd moet worden.
Als je de ipx en appletalk modules niet gebruikt, voeg dan deze
regels toe:
alias net-pf-4 off
alias net-pf-5 off
Op sommige systemen zorgt sendmail
ervoor dat de machine een aantal
minuten tijdens het opstarten blijft hangen.
Er zijn twee situaties: 1) de machine is niet direct verbonden
met het Internet, 2) de machine is verbonden en heeft een permanent
IP-adres.
Snelle oplossing voor de eerste situatie: zorg ervoor dat de volgende regel in het bestand /etc/hosts voorkomt:
127.0.0.1 localhost
Voor de tweede situatie: het vastlopen wordt veroorzaakt door een regel in het bestand /etc/hosts zoals
127.0.0.1 localhost je_host_naam
deze splits je op de volgende manier:
127.0.0.1 localhost
w.x.y.z je_host_naam
Zie ook de Sectie Hostname.
De performance van je (E)IDE harddisk kan enorm worden verbeterd door
behoedzaam gebruik te maken van hdparm
(8).
Als het niet in je Linux distributie voorkomt, kun je het vinden
op
ftp://metalab.unc.edu/pub/Linux/system/hardware
;
zoek naar een bestand met de naam hdparm-X.Y.tar.gz.
Aangezien veel van de details afhankelijk zijn van je harddisk en HD controller, kan ik je geen algemeen middel geven. Je loopt het risico je bestandssysteem te roosteren, dus lees alsjeblieft zorgvuldig de manpage door voordat je een aantal van de opties gaat toepassen. Op z'n eenvoudigst, zou je de volgende regel aan /etc/rc.d/rc.sysinit toe kunnen voegen:
/sbin/hdparm -c1 /dev/hda # uitgaande van de eerste IDE drive
waarmee je (E)IDE 32-bit I/O ondersteuning activeert.
Voor wat betreft de `-m
' optie,
dit is wat de auteur van hdparm
Mark Lord me emailde:
(...) als je systeemcomponenten van de afgelopen paar jaar [< 1997], gebruikt, zal het goed gaan. Er *zou* een probleem op kunnen treden (onwaarschijnlijk) met oudere componenten. De werkelijke fouten bevattende chips waren de CMD0646 en RZ1000 chips, die *op grote schaal* op 486 en (eerdere) 586 moederborden van ongeveer 2-3 jaar geleden werden gebruikt.
Voor recente computers, zouden deze instellingen prima moeten werken:
/sbin/hdparm -c1 -A1 -m16 -dl /dev/hda
Om de parallelle poort versie van de Zip drive te kunnen gebruiken, kun je
de standaarddriver gebruiken, die met de recente (2.x.x.) kernels wordt
meegeleverd. Zorg ervoor dat je tijdens de configuratie van de kernel, de
SCSI-ondersteuning en de SCSI-disk ondersteuning activeert.
Denk er aan dat er conflicten tussen de printer en de Zip-drive op kunnen
treden als ze op dezelfde parallelle poort zijn aangesloten, dus je
kunt dan beter gebruik maken van kernelmodules. Er is een alternatieve
ppa
driver op
http://www.torque.net/~campbell.
Zipdisks worden op partitie /dev/sda4 voorgeformatteerd verkocht. Voeg om de zip te activeren het volgende toe aan /etc/rc.d/rc.sysinit:
# Activeer de Zip-drive
/bin/modprobe ppa
Zip-disks kunnen worden gemount via /etc/fstab zoals hieronder wordt getoond, of via Mtools door de volgende regel aan het bestand /etc/mtools.conf toe te voegen:
drive z: file="/dev/sda4" exclusive
daarnaast, heb je met het commando mzip
de mogelijkheid de
disk uit te werpen, de status te ondervragen, en de Zip-disk met een
wachtwoord te beschermen; zie man mzip
voor details. De Mtools
home page is te vinden op
http://linux.wauug.org/pub/knaff/mtools.
Devices in /dev
(of nog beter, koppelingen naar de werkelijke
device drivers) kunnen mogelijk ontbreken. Controleer waarmee de devices
voor je muis, modem, en CD-ROM drive corresponderen, en
doe dan het volgende
~# cd /dev
/dev# ln -s ttyS0 mouse; ln -s ttyS1 modem; ln -s hdb cdrom; ln -s sda4 zip
Bij de meeste notebooks is het mousedevice /dev/psaux: houd hier rekening mee als je X11 configureert.
Pas een chmod 666
toe op deze devices, als je dat wilt,
om ze volledig toegankelijk te maken voor iedere gebruiker.
Ik heb slechts een oude Sound Blaster 16 in mijn bezit; zelfs als je iets anders hebt, kun je wat hierna volgt, als leidraad nemen:
Ik compileerde de ondersteuning voor de geluidskaart als een module
(sb.o
. Vervolgens plaatste ik deze in /etc/conf.modules:
options sb io=0x220 irq=5 dma=1 dma16=5 mpu_io=0x330
alias sound sb
Zorg ervoor dat modprobe sound
in /etc/rc.d/rc.sysinit
is aangeroepen om het geluid te activeren. Als alternatief kun je de
tool sndconfig
vanaf de RedHat-site ophalen.
Controleer of /etc/rc.d/rc.local, /etc/issue en /etc/motd overschrijft (RedHat doet dit), als je de login meldingen aan wilt passen. Haal je editor voor de dag als dit zo is.
Als je een login-melding in kleur wilt, kun je het bestand rc.local
aanpassen door bijvoorbeeld de volgende regels in te voegen:
# plaats een echt escape character in plaats van ^[. Doe dit als volgt:
# emacs: ^Q ESC vi: ^V ESC joe: ` 0 2 7 jed: ` ESC
ESC="^[" # echt escape character
BLUE="$ESC[44;37m"
NORMAL="$ESC[40;37m"
CLEAR="$ESC[H$ESC[J"
> /etc/issue
echo "$CLEAR" >> /etc/issue
echo "$BLUE Welkom op MijnServer (192.168.1.1) " >> /etc/issue
echo "$NORMAL " >> /etc/issue
echo "" >> /etc/issue
Mogelijk is het uitvoeren van het commando hostname new_host_name
niet voldoende. Om het geduchte vastlopen van
sendmail
te voorkomen, volg je deze stappen (alleen van toepassing
voor een stand--alone machine):
nieuwe_host_naam.localdomain
);
127.0.0.1 localhost nieuwe_host_naam.localdomain
gpm
mouse services zijn handig voor het uitvoeren van knippen en
plakken in tty mode, en om de muis in een aantal applicaties te gebruiken.
Voor Red Hat, controleer of je een bestand met de naam
/etc/sysconfig/mouse hebt, met daarin:
MOUSETYPE="Microsoft"
XEMU3=yes
Bovendien moet je een bestand met de naam /etc/rc.d/init.d/gpm, hebben, waar je alle aanvullende commando-regel parameters in zet. De mijne luidt:
...
daemon gpm -t $MOUSETYPE -d 2 -a 5 -B 132 # twee-knops muis
...
Zorg er uiteraard voor dat deze configuratie geschikt is voor je type
muis. Voor de meeste notebooks,
is MOUSETYPE
``PS/2
''.
Voor Caldera hoef je alleen de volgende regel toe te voegen aan het bestand /etc/rc.d/rc.boot:
/usr/bin/gpm
Bij S.u.S.E. gaan gpm
opties in /etc/rc.config; bij
Debian wijzig je /etc/gpm.conf.
Configureer gpm-root
, als je graag menu's in de console gebruikt
met Ctrl-button.
Wijzig het standaardmenu in /etc/gpm-root.conf , en start
vervolgens, vanuit /etc/rc.d/rc.local, gpm-root
op.
Het is handig om mount points voor de diskette, andere apparaten en naar NFS-geëxporteerde directory's aan te maken. Je kunt bijvoorbeeld het volgende doen:
~# cd /mnt
/mnt# mkdir floppy; mkdir cdrom; mkdir win; mkdir zip; mkdir server
Hiermee maak je mount points aan voor een DOS/Win diskette, een ext2 diskette, de CD-ROM, de Windows partitie, de parallelle poort Zip drive, en een NFS directory.
Wijzig nu het bestand /etc/fstab en voeg de volgende gegevens toe:
/dev/fd0 /mnt/floppy auto user,noauto 0 1
/dev/cdrom /mnt/cdrom iso9660 ro,user,noauto 0 1
/dev/zip /mnt/zip vfat user,noauto,exec 0 1
/dev/hda1 /mnt/win vfat user,noauto 0 1
server:/export /mnt/server nfs defaults
Uiteraard moet je het juiste device in het eerste veld gebruiken. Recente
kernels ondersteunen intern fat32 partities;
voor oudere kernels staat er een patch op
http://bmrc.berkeley.edu/people/chaffee/fat32.html.
man mount
voor verdere informatie.
Merk het type bestandssysteem ``auto'' op in de eerste regel; het geeft je
de mogelijkheid zowel ext2 als vfat (DOS/Windows) diskettes te mounten.
Misschien dat je mtools
handiger vindt.
Veel gebruikers draaien zowel Linux als DOS/Windows op hun PC, en willen tijdens het opstarten kiezen welk os ze zullen gebruiken; dit zou tijdens het installeren moeten gebeuren, maar doe voor het geval dat, het volgende. Veronderstel dat DOS/Windows op /dev/hda1 staat en Linux op /dev/hda2.
~# fdisk
Met /dev/hda als standaard device!
Command (m for help):a
Partition number (1-4): 2
Command (m for help):w
~#
Hiermee wordt Linux de standaard opstartpartitie. Schrijf vervolgens dit basis /etc/lilo.conf bestand:
boot = /dev/hda2
compact # kan een conflict geven met "linear"
delay = 100 # 10 seconden
linear # voorkomen van het "1024 cylinder" probleem
# message = /boot/bootmesg.txt # schrijf een eigen bericht, als je dit wilt
root = current
image = /boot/vmlinuz # Linux wordt standaard opgestart als dit het
# eerste blok is
label = linux
read-only
# append="mem=128M" # om meer geheugen dan 64M te zien
other = /dev/hda1
table = /dev/hda
label = dos
Start nu /sbin/lilo op en je bent klaar. Met lilo
als
een beslissend onderdeel van je installatie, wordt je ten zeerste aangeraden
hoe dan ook de documentatie ervan te lezen.
Plaats LOADLIN.EXE
in een directory (in de DOS partitie!) die in het
DOS-pad voorkomt om Linux vanuit DOS/Windows zonder te resetten te booten;
kopieer je kernel naar, laten we zeggen,
C:\TEMP\VMLINUZ
. Het volgende eenvoudige
.BAT
bestand zal Linux booten:
rem linux.bat
smartdrv /C
loadlin c:\temp\vmlinuz root=/dev/hda2 ro
Stel de eigenschappen van deze .BAT
zodanig in dat het in MS--DOS
mode wordt opgestart, als je van Windows 9x gebruik maakt.
Het is een veilige zet als je een kopie van je MBR maakt voordat
je Linux installeert.
Gebruik restorrb
(zit in het FIPS
package) voor
de installatie, of een Linux rescue-diskette om dit commando
aan te roepen:
rescue:~# dd if=/dev/hda of=MBR bs=512 count=1
maak vervolgens tenminste twee kopieën van het bestand
MBR
op diskettes. Mocht er een calamiteit plaatsvinden, dan
zul je in ieder geval in staat zijn om je oude MBR te
herstellen met:
rescue:~# dd if=/mnt/MBR of=/dev/hda bs=446 count=1
ervan uitgaande dat een diskette met de MBR
onder
/mnt
is gemount. Als alternatief gebruik je een DOS
rescue diskette om het commando
FDISK /MBR
uit te laten voeren.
Je wilt vast wel de mailberichten kunnen lezen die in HTML of exotische bestandformaten zijn geschreven. Zorg ervoor dat je de volgende twee bestanden hebt: /etc/mime.types en /etc/mailcap. De eerste bestaat uit een opsomming van bestandstypes en daaraan gerelateerde extensies, zoals:
application/postscript ps eps
image/jpeg jpe jpeg jpg
text/html html
terwijl de tweede mail-client laat weten hoe dat bestandstype moet worden weergegeven.
Het zou kunnen dat je mail ontvangt van mensen die Microsoft Outlook gebruiken, de berichten ervan staan in multi--part MIME formaat. Met deze twee regels in etc/mailcap, zou je deze berichten moeten kunnen lezen:
text/plain; less %s; needsterminal
text/html; lynx -force_html %s; needsterminal
Alle distributies, die ik ken, hebben een configuratie-tool voor het instellen
van de printer
(printtool
, yast
, of magicfilter
); als je het
niet hebt, volgt hier een handmatige basisconfiguratie.
Laten we ervan uitgaan dat je een niet-PostScript (ook niet ``alleen-Windows''!) printer hebt, die je wilt gebruiken voor het afdrukken van onbewerkte tekst (b.v., C-bronbestanden) en PostScript bestanden met behulp van Ghostscript, waarbij ervan wordt uitgegaan dat deze al is geïnstalleerd.
Het instellen van de printer brengt een aantal stappen met zich mee:
~# echo "hello, world" > /dev/lp0
~# echo "hello, world" > /dev/lp1
en houd in de gaten welke werkt.
~# cd /var/spool/lpd
/var/spool/lpd/# mkdir raw; mkdir postscript
~# echo "eerste regel" > /dev/lp1 ; echo "tweede regel" > /dev/lp1
als de uitvoer er ongeveer zo uit ziet:
eerste regel
tweede regel
bewaar je het volgende script als /var/spool/lpd/raw/filter:
#!/bin/sh
# Dit filter elimineert het "staircase effect"
awk '{print $0, "\r"}'
en maak je het uitvoerbaar met chmod 755 /var/spool/lpd/raw/filter
.
#!/bin/sh
DEVICE=djet500
RESOLUTION=300x300
PAPERSIZE=a4
SENDEOF=
nenscript -TUS -ZB -p- |
if [ "$DEVICE" = "PostScript" ]; then
cat -
else
gs -q -sDEVICE=$DEVICE \
-r$RESOLUTION \
-sPAPERSIZE=$PAPERSIZE \
-dNOPAUSE \
-dSAFER \
-sOutputFile=- -
fi
if [ "$SENDEOF" != "" ]; then
printf "\004"
fi
(in dit voorbeeld wordt uitgegaan van een HP DeskJet printer.
Pas het aan voor je printer).
# /etc/printcap
lp|ps|PS|PostScript|djps:\
:sd=/var/spool/lpd/postscript:\
:mx#0:\
:lp=/dev/lp1:\
:if=/var/spool/lpd/postscript/filter:\
:sh:
raw:\
:sd=/var/spool/lpd/raw:\
:mx#0:\
:lp=/dev/lp1:\
:if=/var/spool/lpd/raw/filter:\
:sh:
Voor complexere of exotische afdrukconfiguraties wacht de Printing-HOWTO op je.
Houd in gedachten dat het GSDEVICE door Printtool uitgekozen wel zal
werken, als je printtool
gebruikt, maar niet noodzakelijkerwijs
de beste voor je printer is.
Je zou kunnen overwegen het bestand postscript.cfg
een beetje
aan te passen; ik heb bijvoorbeeld het GSDEVICE cdj500
gewijzigd
in djet500
en mijn afdrukken komen er nu een stuk sneller uit.
Dit utility, beschikbaar op
ftp://tsx-11.mit.edu/pub/linux/sources/sbin
,
is handig voor het wijzigen van de console schermresolutie, het lettertype en
de vorm van de cursor.
Gebruikers met een taal met geaccentueerde tekens hebben de mogelijkheid
deze in console applicaties te gebruiken, terwijl notebook gebruikers
de cursorvorm kunnen veranderen, waardoor deze beter zichtbaar is.
Wijzig /etc/TextConfig of /etc/TextMode, te beginnen met de standaard VGA definitie. Europeanen zouden ingenomen moeten zijn met deze ``LoadFont'' sectie:
Option "LoadFont"
FontProg "/usr/bin/setfont"
FontPath "/usr/lib/kbd/consolefonts"
FontSelect "lat1u-16.psf" 8x16 9x16 8x15 9x15
FontSelect "lat1u-14.psf" 8x14 9x14 8x13 9x13
FontSelect "lat1u-12.psf" 8x12 9x12 8x11 9x11
FontSelect "lat1u-08.psf" 8x8 9x8 8x7 9x7
Probeer, zodra je klaar bent, je configuratie uit met een commando als
SVGATextMode "80x34x9"
, en verwijder de waarschuwingen vanuit
/etc/TextMode en voeg de volgende regel toe aan
etc/rc.d/rc.sysinit als alles prima schijnt te werken:
# SVGATextMode
/usr/sbin/SVGATextMode "80x34x9"
Let er alsjeblieft op dat de blokcursor alleen in een aantal modes werkt; op één van mijn machines, "80x32x9".