服务器中经常需要对大规模的数据进行压缩，传统使用单进程操作不足以体现8核CPU并发的威力。于是写了一个脚本用于多进程压缩。然而在windows的主机上进行调试，全都是死循环，以至于机器都无法进行响应。导入Linux主机，测试却通过。对脚本进行了精简如下：

出错的代码：

from multiprocessing  import Process
#from threading  import Thread
def work(a):
    print "This is : " + str(a) + '\n'
    exit
x = 2
while(x>1):
    p = Process(target=work, args=(x,))
    p.start()
    x -= 1

类似的调用方法，换成threading库是正确的

#from multiprocessing  import Process
from threading  import Thread
def work(a):
    print "This is : " + str(a) + '\n'
    exit
x = 2
while(x>1):
    thread = Thread(target=work, args=(x,))
    thread.start()
    x -= 1

翻阅了官方文档，找到了问题所在：

*Nix平台对于multiprocessing 的实现是基于C库中的fork()，所有子进程与父进程的数据是完全相同，可以说是父进程的完全克隆。
而对于windows，由于windows对于进程的实现方式不同，没有fork()函数，multiprocessing 的调用只能是对于该脚本的重新调用，难怪会出现死循环的问题。

改良后的代码：

from multiprocessing  import Process
#from threading  import Thread
def work(a):
    print "This is : " + str(a) + '\n'
    exit
if __name__ == '__main__' :
    x = 2
    while (x>1):
        p= Process(target=work, args=(x,))
        p.start()
        x -= 1

对于multiprocessing 和 Threading的区别：

Threading的操作只能和父进程在同一个物理CPU上执行。但由于不需要底层的调用，大多数简单的操作效率很高。
multiprocessing的操作可以在多个CPU上执行，但耗费的内存资源也远高于thread方式，适合于集中运算或大并发的状态。

如今尘埃落定，www.sun.com 也已经被重定向到了www.oracle.com 。至少局外人看来，两家公司已经合并，而且至少不是失败的。

也就是在今天，得知oracle放出消息：今后Solaris不再免费提供，下载版本只提供90天的试用。如果使用，请买授权！

从个人角度上来说，我当然希望是提前一天庆祝了明天的节日。但事实上这并非是空穴来风。

Sun是一家技术公司，需要推广自己的产品。免费派送操作系统提升Sun硬件产品、Java，这种方式是明智的选择。但相对比较商业化一点的Oracle则认为Solaris只是一个众多产品线上其中的一环，并没有Sun之前认为的那种“中心化”地位——他们的中心是Oracle数据库。而且Oracle已经在用类似的方式进行了推广。或者至少说明Oracle认为没有必要同时免费派发这么多软件。

接下去，可能Solaris会被逐步边缘化，代码逐步合并到了Oracle Linux中——由于Linux遵循GPL，这样有可能出现Solaris和Linux的大混血。原本仅属于Sun Solaris的种种优势将会完全移植到Linux，这会Linux社区的幸运。或者出现完全相反的状况，Oracle Linux被边缘化，Solaris取代了它的地位。这样反而成为Linux的不幸，这是又一家大的商业公司的倒戈。

不管出现什么状况，最不幸的永远是opensolaris项目。要么会尾随Solaris退去光环，要么完全沦为小白鼠，一蹶不振，就如同Redhat之fedora。

那Mysql呢？后果已经“不容乐观”了，提起来伤心，不提也罢。

且说这天需要重启，重启后无法通过ssh连接，通过串口终端连上之后发觉由于之前习惯于ssh key登录，一直没有root密码。郁闷中。

这台机器，一没有显卡，二没有光驱。实在让人头疼。七手八脚的把自己本本的光驱拆下来装在机器上，又发觉是自动硬盘启动的那种，无法光驱启动。

获得OK提示符

获得OK，相对比较容易，只是一般的键盘不是sun专用，没有那一堆控制键。
进入串口终端，启动机器并载入操作系统之后，在终端输入 #. 进入SC，运气不错，SC没有密码。输入break，再console回来就获得了Ok提示符。

获取root密码

进入OK后，放入solaris for sparc的盘，输入boot cdrom -s 进入修复系统。中间有一段比较漫长的等待。
进入系统后将硬盘 /dev/dsk/c1t0d0s0 挂装好之后找到硬盘上的etc/shadow。
将第一行的root:xxxxxxxxxxxx:14302:::::: 修改为root::14302::::::
重新启动后用空密码就可以直接登系统。

SVCS问题

进入系统后，发现一大堆SVC服务无法启动，所有的问题都来自于一个关键应用 system-filesystem-local:default 无法正常启动。
tail /var/svc/log/system-filesystem-local:default.log 发觉有如下报错：WARNING: /sbin/mountall -l failed: exit status 1

不解，但既然是mount的问题，肯定和/etc/vfstab有关。打开这个文件，顿时就傻了——最后一行：
/dev/dsk/c1t0d0s0       /dev/rdsk/c1t0d0s0      /       ufs     1       no
…….
/dev/dsk/c1t3d0s0  /dev/rdsk/c1t3d0s0  /backup  ufs  0  yes  rw
系统将/backup的挂装顺序设置为了0，/为1。这意味着系统默认会先挂/backup，后挂/。摆明了肯定会错。注释掉/backup这一行，问题解决！

分析

问题出的无厘头。
原来之前曾经对这个机器添加过硬盘，当时通过webmin直接修改的vfstab，webmin的一个bug导致了vfstab的错误。只是之前从未重启，也没暴露出来。
没有root密码也是因为一直没有暴露出这个交接不清的问题。

Webmin BUG ->硬盘挂装出错->fs关键服务不能启动->网络不启动->ssh不启动->无密码不能登入->需要OK提示符纠结~~~~

很多企业对互联网的访问进行了限制，如何突破防火墙的限制成了一个问题。本文就是利用了SSH tunnel搭建了socket5代理。

首先，申请一个外网的ssh帐户，个人建议使用http://www.unix-center.net/提供的免费资源，该网站还提供多种平台主机可供测试之用，非常不错！当然，如果可以使用密钥方式登录那就完美了。

申请好账户之后，依然在本地安装ssh的客户端，windows推荐putty。

安装好后执行putty，在hostname里面输入主机名，或者用户名@主机名。我选了FreeBSD的那台，有兴趣的话还有ubuntu，Sun，甚至龙芯一系列主机可供挑选

Putty 主界面

选择ssh->tunnels，在source栏里添加你要提供的端口号，一般随便填一个未使用的端口就可，我用了8080端口。选择Dynamic，点击add。这里需要说明的是，如果你的主机允许别人使用的话，请勾选最上面的Local ports accept connection from other hosts。

Putty ssh tunnel界面

点击Open确认连接，在接下来的窗口中输入用户名和密码。最小化窗口，不要关闭。

打开命令行，输入命令netstat -an，如果出现了你刚才输入的那个端口号的侦听，说明搭建成功！socket服务已经完成。

netstat -an

浏览器设置，IE:internet选项，连接，局域网设置，勾选“为LAN使用代理服务器”，高级，套接字选择127.0.0.1并填写端口号。完成设置。

IE 设置

对应的命令行：

1. plink : plink -C -N -f -D 端口号 用户名@主机名
2. ssh: ssh  -C -N -f -D 端口号 用户名@主机名

PS:
话两头说，如果你负责一个企业局域网的话，稍大点的企业如果要限网，SSH端口是绝对要加以限制使用的。伟大的防火墙亦是如此。

故名思义，tunnel就是在邮件服务器和企业防火墙之后设置一条逻辑上的隧道。这条隧道一方面为了数据安全，另一方面，由于ssh的压缩功能也能在一定程度上减少邮件这类纯文本传输的网络需求。

先决条件：

1. Unix like的邮件系统，并安装了ssh-server，本例中假定邮件服务器ip为1.2.3.4
2. 企业路由器和内网：路由最好有vpn和防火墙功能。
3. 内网的 一台主机，配置不必太高（我用了虚拟机，64M内存已经足够近百人使用），安装有ssh-client，如果是win主机，推荐使用putty的安装版本。经过测试，个人觉得FreeBSD下的性能较好。考虑到安全，这台主机尽量不要安装远程控制台并尽可能上锁。本例假定ip 192.168.1.1。
4. 注意整个系统的安全策略，账户策略等，相比中间人攻击这样的“高级”黑客行为，破解密码，利用漏洞永远是成本最低的方法。

SSH隧道实现安全Mail系统示意

第一步：设置公钥方式登录：

内网主机上运行mkdir -p ~/.ssh;cd ~/.ssh;ssh-keygen –d，如果变态一点可以使用ssh-keygen -b 4096 -d增加强度，之后 不要输入任何信息，一律回车带过，很多人不能实现ssh的无验证通过，大多是因为这里没有弄好。这样~/.ssh目录下将会出现id_dsa 和id_dsa.pub两个文件。

将内网主机的id_dsa.pub文件拷贝邮件服务器，并在邮件服务器上执行cat id_dsa.pub >> ~/.ssh/authorized_keys 。尝试在内网主机上执行 ssh A主机的IP ，成功地话应该没有提示密码（即直接得到A主机的控制台）。

如果经常来小站做客的朋友会觉得这段很熟，没错它贴自这里，如果你用了windows作为内网主机，请参考这里的内容。

第二步：配置管道：

#!/bin/sh
localIP='192.168.1.1'
removteIP='1.2.3.4'
ports='25 80 110' #3个端口，smtp http pop3
for port in $ports
do
    /usr/bin/ssh -C -N -f -L $localIP:$port:$removteIP:$port root@$removteIP  &
done
chmod 755 /usr/sbin/ssh_tunnel

修改rc.local文件，在其中加入 /usr/sbin/ssh_tunnel，当然要放在exit那条之前。

windows不是很熟，写个笨蛋批处理吧ssh_tunnel.cmd

start /min cmd /c 'C:\Program Files\PuTTY\plink.exe' -C -N -f -L 192.168.1.1:25:1.2.3.4:25 root@1.2.3.4
start /min cmd /c 'C:\Program Files\PuTTY\plink.exe' -C -N -f -L 192.168.1.1:80:1.2.3.4:80 root@1.2.3.4
start /min cmd /c 'C:\Program Files\PuTTY\plink.exe' -C -N -f -L 192.168.1.1:110:1.2.3.4:110 root@1.2.3.4

其实putty的那个plink效果完全等同于ssh，当然，win下面主要是用里面的窗口程序，大多数人不怎么用而已。win下比较烦的是每次重起后都要手工加载key，执行这个批处理。希望对win熟的朋友可以提供自动解决方法。

第三步：设置邮件服务器防火墙

通过邮件服务的防火墙关闭除25和22之外的所有端口。这样做是最安全的，但这样的后果是在企业局域网之外只能发不能收邮件。VPN是比较好的折中方案。当然，如果你的邮件系统只需要内部收发邮件（那还要什么邮件系统？），你尽可以连25号也封上。

第四步：设置本地邮件客户端

将局域网内所有邮件客户端的smtp和pop都设置为192.168.1.1即可。我这里由于用了webmail，webmail同样也通过192.168.1.1访问
如果企业有自己的DNS服务器，甚至整个公司都在域管理模式之下。不妨通过本地的DNS服务器用本地IP覆盖掉外网真实IP。这样即便没有vpn，只要不封邮件服务器的110端口，在邮件客户端中设置域名，对用户来说在任何地方都是透明的。

总结：

• 这种模式，从邮件服务器到企业局域网内的传输是加密透明的，外部很难窃取，如果定期为两边的ssh更换强化的秘钥，效果几乎可以达到变态的要求。据说4096位的秘钥的破解成本已经到了天文数字。
• 这种方式相对成本较低，不需要太多的投入，特别是在多个分支机构之间成本优势更加突出。本想通过smtp的tls和pop的SSL进行加密，可outlook下对没有根秘证书签名的秘钥会弹出讨厌的警告框，反而增加了用户的不安。申请根证书的签名价格也不菲。
• 由于企业的邮件系统最多的邮件往往来自于内部，这种方式可以减少差不多一半以上的互联网带宽。把带宽留给更重要的应用。
• 同理，利用此种方式可以实现其他多种安全方案，达到双宿主机或者多机虚拟的效果，进而可以为企业节约宝贵的外网IP资源。

以本人的Freebsd为例，其余的系统类似，直接套用就Ok了。

WWW# vmstat
procs      memory      page                    disks     faults         cpu
r b w     avm    fre   flt  re  pi  po    fr  sr da0 pa0   in   sy   cs us sy id
0 0 0    738M   108M   957  30  38   0  1226  72   0   0 1782  983  922  2  6 92

Procs 进程

• r : 在等待执行的进程，若该项经常大于CPU线程数，说明CPU吃紧。正常情况下应该很快就能恢复为0
• b:等待io的进程数，若经常不为0，恭喜！貌似这个问题只能迂回解决了。
• w：可以进入运行队列但被替换的进程（强占？）

Memory 内存

• avm：已用内存
• fre:可用内存

page （linux表示为swap）页面文件

• re:回收的页面
• pi:进入页面数
• po：出页面数，如果进出页面经常性大于0，OK买内存吧。

disk / io 磁盘

没有什么复杂的，每个硬盘的读写状况

如果该值从未等于0，且结合proc中b较大，可以判断是哪块盘的读写问题

faults / system 系统

• in:设备中断占用的资源
• sy：系统中断
• cs: CPU交换
  

cpu

• cs:用户进程时间
• sy:系统进程使用的时间
• id: idleCPU空闲时间

当大家都在关注Sparc平台，Java中间件，Solaris操作系统以及一大堆应用的何去何从时，业界的另一个比较有趣的话题逐渐的浮出水面–作为Java下的应用，同时又是IBM竞争对手的Oracle和SAP是否还会继续支持Java？选择继续无疑于与虎谋皮；选择放弃Java，拜托，这么多的客户岂不是要倒戈？

这些只是作为一些题外话，不管今后Sun怎样，不妨总结下Sun的贡献吧。

首先，在开源领域中，Sun的地位可以说是无可撼动的领头羊。目前最大的3个开源项目，分别是Sun主导的opensolaris，Sun主导的Openoffice，以及Sun主导的OpenJava。是不是感觉到了点什么？除此之外，还有Sun支持的mysql也可以说是最为常用的开源系统之一了。

系统集成上，Sun同时拥有了硬件平台，到操作系统再到桌面生产力工具和IDE。可以说目前连微软也是做不到的高度（至少MS没有自己的CPU）。唯一可以与之匹配唯独IBM这个蓝色巨人。然而一旦IBM==SUN，这又意味着什么？

Java的出现也是一大创举。过去企业要做开发，需要BS,CS,甚至于OA等多个开发团队来实现。Java的很空出世，加上Oracle和SAP的协助，对于企业平台而言，数据库之需要一个，平台只要一个，开发团队只要一个，空前的统一！

最后，OpenSparc的标准也成为开源硬件的一大创新性尝试。

IBM方面呢？

蓝色巨人的最大竞争对手倒下了。白捡了客户，减少了竞争对手。这世界顿时清静了。

控制了JAVA，间接的抑制了Oracle对于DB2，SAP对于Domino的市场冲击。

拿到了SPARC的研发团队，弥补了自己power平台的技术缺失。

…………

难道PowerPC版本的Solaris就是对于现状的预兆？

所谓现代的经济，就是在定期和不定期的执行”破坏性创造”。输赢只在乎破坏力来自何方，来自自己，你是赢家；来自竞争对手，很遗憾，You Lose!

其中的load average根的3个数字，分别表示系统在1分钟，5分钟和15分钟的平均负载情况。这个数字是系统每5秒钟会自动检测一下活跃的进程数量（即top命令看到的n running），然后得出结果。具体感兴趣的话可以研究下Linux内核中include/linux/sched.h， kernel/timer.c，fs/proc/proc_misc.c

所谓活跃的进程，需要满足：

• 没有被终止或者正在调用wait。
• 不是正在等待I/O操作。

很多网上说这个数字除上CPU的数量如果得到的结果大于5就说明系统在超负荷运转。对于这个结论本人持保留意见。

1. 对于双核或者多核的CPU，如果按照1个CPU来计算，那么明显的状况就是对于多核心的不公。如果按照多个CPU来计算，那又是对于多路CPU，甚至是独享内存总线多CPU的不公。对于基于HT技术的“假多核”更是如此。
2. 对于不同平台的CPU而言，目前公认的是X86架构“不耐压”，特别在于高并发的情况下。本人明显觉得SPARC的架构相比X86在压缩同一个文件的时间更长；但是同时进行多个压缩的时候Sparc的平台占有绝对优势。
3. 与IO关系不够紧密，很多情况下，最容易制约系统的是IO，特别是现在正处在“运算不值钱，储存值钱”的时代。
4. 超负荷的界定：有的系统，在1.5的情况下已经能够感到明显的延时；同样有的系统在10以上还能迅速响应。

本文以崭新的机器作为例子，如果不是新机器——建议不要乱来。

一、先期准备：

新的机器一般都没有系统，直接开机即可进入OK模式（OK提示符）

 setenv fcode-debug? true

 setenv auto-boot? false

 reset-all 

机器重启以便生效，否则之后将会出现This must be fixed immediately using set-sas-wwid 的提示。

二、初始化磁盘

我的机器disk配置如下：

{0} ok show-disks
a) /pci@1e,600000/pci@0/pci@a/pci@0/pci@8/scsi@1/disk
b) /pci@1e,600000/pci@0/pci@1/pci@0/ide@1f/cdrom
c) /pci@1e,600000/pci@0/pci@1/pci@0/ide@1f/disk
q) NO SELECTION
Enter Selection, q to quit:

{o}ok select /pci@1e,600000/pci@0/pci@a/pci@0/pci@8/scsi@1 //选择磁盘通道

三、创建RAID卷

{1} ok show-volumes
No volumes to show

目前还没有RAID卷存在

{1} ok probe-scsi-all //查看ID

/pci@1e,600000/pci@0/pci@a/pci@0/pci@8/scsi@1

MPT Version 1.05, Firmware Version 1.08.04.00

Target 0
Unit 0   Disk     FUJITSU MAY2073RCSUN72G 0501    143374738 Blocks, 73 GB
  SASAddress 500000e01496c622  PhyNum 0
Target 1
Unit 0   Disk     FUJITSU MAY2073RCSUN72G 0501    143374738 Blocks, 73 GB
  SASAddress 500000e01496fa32  PhyNum 1
Target 2
Unit 0   Disk     SEAGATE ST914602SSUN146G0603    286739329 Blocks, 146 GB
  SASAddress 5000c5000cac86fd  PhyNum 2
Target 3
Unit 0   Disk     SEAGATE ST914602SSUN146G0603    286739329 Blocks, 146 GB
  SASAddress 5000c5000cac00c5  PhyNum 3
 

注：如果出现ERROR: /pci@1e,600000: Last Trap: Fast Data Access MMU Miss报错，您可能需要执行

{1}ok reset-all

{1} ok 0 1 create-im-volume //注意：“反向”命令

Target 0 size is 143243264 Blocks, 73 GB
Target 1 size is 143243264 Blocks, 73 GB
The volume can be any size from 1 MB to 69943 MB
What size do you want?  [69943]
Volume size will be 143243264 Blocks, 73 GB
PhysDisk 0 has been created for target 0
PhysDisk 1 has been created for target 1
Volume has been created

{1} ok 2 3 create-im-volume
Target 2 size is 286607360 Blocks, 146 GB
Target 3 size is 286607360 Blocks, 146 GB
The volume can be any size from 1 MB to 139945 MB
What size do you want?  [139945]
Volume size will be 286607360 Blocks, 146 GB
PhysDisk 2 has been created for target 2
PhysDisk 3 has been created for target 3
Volume has been created

创建了2个Raid1卷，Raid 0 卷则用create-is-volume命令

{1} ok show-volumes
Volume 0 Target 0  Type IM (Integrated Mirroring)
  Degraded  Enabled  Resync In Progress
  2 Members                                         143243264 Blocks, 73 GB
  Disk 0
    Primary  Online
    Target 4        FUJITSU MAY2073RCSUN72G 0501
  Disk 1
    Secondary  Online  Out Of Sync
    Target 1        FUJITSU MAY2073RCSUN72G 0501
Volume 1 Target 2  Type IM (Integrated Mirroring)
  Degraded  Enabled
  2 Members                                         286607360 Blocks, 146 GB
  Disk 2
    Primary  Online
    Target 5        SEAGATE ST914602SSUN146G0603
  Disk 3
    Secondary  Online  Out Of Sync
    Target 3        SEAGATE ST914602SSUN146G0603

 搞定！

四、删除磁盘

｛1｝ok 0 delete-volume
The volume and its data will be deleted
Are you sure (yes/no)?  [no] yes
Volume 0 has been deleted

将磁盘0删除

五、重启
 

 setenv fcode-debug?false

 setenv auto-boot? true

 reset-all

安装操作系统和应用程序。部署完毕！

可能细心的朋友已经发现了，近期网站的速度慢到了几乎无法访问的程度。由于种种不可控制的原因，原来本站的服务器可能永远的停机了，目前的网站运行在了一台虚拟主机之上。由于空间原因，目前暂时停止软件下载。等待litrin找到新的空间后，一切将恢复正常。

同时，向业内的朋友求救！本站急需空间，要求如下：

• > PHP 4.6 with gd
• （最好是）pgsql8.1 或 mysql
• 尽可能大的磁盘空间和尽可能大的网络带宽。

如果有此资源的朋友可以跟我联系。

察看系统是否安装了apache和tomcat

pkginfo| grep SUNWtcatr
pkginfo | grep SUNWapchr

如果有的话

cd /etc/apache
cp httpd.conf-example httpd.conf

vi httpd.conf

include /etc/apache/tomcat.conf #应该是在最后一行，去掉注视

cd /var/apache/tomcat/conf
cp server.xml-example server.xml

OK了

启动

 /etc/rc3.d/S50apache stop
 /etc/rc3.d/S50apache start // 第一次restart似乎无效

svcadm enable apache

http://www.unix-center.net/

注册之后，就可以用putty这类的工具访问远程主机了。有需要的朋友去注册了，据说6月30日之前注册的用户还有机会抽奖。

不用我多做介绍了吧？

其实也许他们本来就没有存在下去的理由，也许仅仅就是当作Apple给开源社区的一种施舍罢了。随着Apple的PPC变成了i386——一个更加廉价、易得或者是说一个更加开放的平台，傻子也知道，将看家的Mac 源代码释放出去意味着什么。

关闭关闭罢，这么多开源操作系统大多都处在不断的开放和关闭，以及关闭之间。能够存活，广为人知的，数来数去也就是那几家。何尝就差opendarwin一家？

这也许就是现阶段开源社区的宿命吧。

AIX – /etc/rc.net
Solaris – /etc/init.d/inetinit
Tru64 UNIX – 使用sysconfigdb 或者 dxkerneltuner 命令
HP-UX – /etc/rc.config.d/nddconf
Linux kernel 2.2 – /etc/sysctl.conf
FreeBSD – /etc/rc.conf
IRIX – 使用systune命令

=============================================================
以下是一些IP堆栈调整建议：

1，调节TCP发送和接受空间(TCP send and receive spaces)

TCP发送和接受的空间直接影响TCP 窗口大小参数(TCP window size parameter), 一定程度上的窗口大小增加有助于更有效的传输，尤其是一些需要大数量传输的服务如FTP和HTTP，默认的一些设置不是每个系统都是最优化的，一般我们需 要增加这个窗口大小为32768字节。除非你设置的时候很清楚的理解RFC1323(http://www.ietf.org/rfc/rfc1323.txt?number=1323)和RFC2018(http://www.ietf.org/rfc/rfc2018.txt?number=2018),否则你不要把这个值增加到高于64K字节。

A. AIX
/usr/sbin/no -o tcp_sendspace=32768
/usr/sbin/no -o tcp_recvspace=32768

B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_xmit_hiwat 32768
/usr/sbin/ndd -set /dev/tcp tcp_recv_hiwat 32768

C. Tru64 UNIX
没有推荐的调整.

D. HP-UX
默认情况下TCP发送和接受空间已经设置为32768.

E. Linux kernel 2.2
Linux自动分配TCP发送和接受空间并默认共同支持RFC1323 (large window support, net.ipv4.tcp_window_scaling) 和 RFC2018 (SACK support, net.ipv4.tcp_sack).

F. FreeBSD
sysctl -w net.inet.tcp.sendspace=32768
sysctl -w net.inet.tcp.recvspace=32768

G. IRIX
默认情况下TCP发送和接受空间设置为64K字节.

2，调整套接口序列防止SYN攻击

各种网络应用软件一般必须开放一个或者几个端口供外界使用，所以其必定可以会被恶意攻击者向这几个口发起拒绝服务攻击，其中一个很流行的攻击就是 SYNFLOOD，在攻击发生时，客户端的来源IP地址是经过伪造的(spoofed)，现行的IP路由机制仅检查目的IP地址并进行转发，该IP包到达 目的主机后返回路径无法通过路由达到的，于是目的主机无法通过TCP三次握手建立连接。在此期间因为TCP套接口缓存队列被迅速填满，而拒绝新的连接请 求。为了防止这些攻击，部分UNIX变种采用分离入站的套接口连接请求队列，一队列针对半打开套接口(SYN 接收, SYN|ACK 发送), 另一队列针对全打开套借口等待一个accept()调用，增加这两队列可以很好的缓和这些SYN FLOOD攻击并使对服务器的影响减到最小程度：

A. AIX
/usr/sbin/no -o clean_partial_conns=1
这个设置会指示内核随机的从q0队列中去掉半打开套接口来为新的套接口增加所需空间。

B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_conn_req_max_q 1024
使q 队列拥有接口等待来自应用程序的accept()调用.
/usr/sbin/ndd -set /dev/tcp tcp_conn_req_max_q0 2048
使q0 队列能维护半打开套接口.

C. Tru64 UNIX
/sbin/sysconfig -r socket sominconn=65535
这个sominconn的值决定了系统能同时处理多少个相同的进入的SYN信息包.
/sbin/sysconfig -r socket somaxconn=65535
这个somaxconn值设置了系统能保留多少个待处理TCP连接.

D. HP-UX
/usr/sbin/ndd -set tcp_syn_rcvd_max 1024
/usr/sbin/ndd -set tcp_conn_request_max 200

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.tcp_max_syn_backlog=1280
有效的增加q0的套接口队列大小.
/sbin/sysctl -w net.ipv4.tcp_syn_cookies=1
启用TCP SYN cookies支持,能有效的减轻SYN FLOOD的攻击，但是这个参数会对一些大的窗口引起一些性能问题(参看RFC1323 and RFC2018.

F. FreeBSD
sysctl -w kern.ipc.somaxconn=1024

G. IRIX
listen()队列被硬性设置为32.但是系统实际采用待处理连接数为((3 * backlog) / 2) + 1，其中的backlog数值最大值为49.

3，调整Redirects参数

恶意用户可以使用IP重定向来修改远程主机中的路由表，在设计良好的网络中，末端的重定向设置是不需要的，发送和接受重定向信息包都要关闭。

A. AIX
/usr/sbin/no -o ipignoreredirects=1
/usr/sbin/no -o ipsendredirects=0

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_ignore_redirect 1
/usr/sbin/ndd -set /dev/ip ip_send_redirects 0

C. Tru64 UNIX
没有推荐的调整设置.

D. HP-UX
/usr/sbin/ndd -set /dev/ip ip_send_redirects 0

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.conf.all.send_redirects=0
/sbin/sysctl -w net.ipv4.conf.all.accept_redirects=0

F. FreeBSD
sysctl -w net.inet.icmp.drop_redirect=1
sysctl -w net.inet.icmp.log_redirect=1
sysctl -w net.inet.ip.redirect=0
sysctl -w net.inet6.ip6.redirect=0

G. IRIX
/usr/sbin/systune icmp_dropredirects to 1

4,调整ARP清理设置

通过向IP路由缓冲填充伪造的ARP条目可以让恶意用户产生资源耗竭和性能减低攻击。在Solaris中，有2个参数可以管理间隔的清理IP路由缓冲，针 对未请求的ARP响应可以通过arp_cleanup_interval调整，AIX可以通过artp_killc来设置。

A. AIX
/usr/sbin/no -o arpt_killc=20
B. Solaris
/usr/sbin/ndd -set /dev/arp arp_cleanup_interval 60000
C. Tru64 UNIX
没有参考的调整设置.
D. HP-UX
默认设置为5分钟.
E. Linux kernel 2.2
没有参考的调整设置.
F. FreeBSD
sysctl -w net.link.ether.inet.max_age=1200
G. IRIX
没有参考的调整设置.

5,调整源路由的设置

通过源路由，攻击者可以尝试到达内部IP地址 –包括RFC1918中的地址，所以不接受源路由信息包可以防止你的内部网络被探测。

A. AIX
/usr/sbin/no -o ipsrcroutesend=0
关闭源路由信息包发送.

/usr/sbin/no -o ipsrcrouteforward=0
如果你这个系统要做路由工作如防火墙，这个参数就很重要，关闭这个特征就可以很好的防止转发源路由信息包.

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_src_route_forward 0
如果你这个系统要做路由工作如防火墙，这个参数就很重要，关闭这个特征就可以很好的防止转发源路由信息包.

C. Tru64 UNIX
没有推荐的调整.

D. HP-UX
ndd -set /dev/ip ip_forward_src_routed 0
关闭这个特征就可以很好的防止转发源路由信息包.

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.conf.all.accept_source_route=0
丢弃所有源地址信息包.
/sbin/sysctl -w net.ipv4.conf.all.forwarding=0
/sbin/sysctl -w net.ipv4.conf.all.mc_forwarding=0
不转发源路由帧.

F. FreeBSD
sysctl -w net.inet.ip.sourceroute=0
sysctl -w net.inet.ip.accept_sourceroute=0

G. IRIX
/usr/sbin/systune ipforward to 2

6. 调整TIME_WAIT setting 设置

在一些比较繁忙的WEB服务器上，许多套接口可能就处于TIME_WAIT状态，这是由于一些不正规编码的客户端应用程序没有很正确的处理套接口所引起的，这就可能引起如DDOS的攻击。

A. AIX
没有推荐设置.

B. Solaris
/usr/sbin/ndd -set /dev/tcp tcp_time_wait_interval 60000

这个参数影响了TCP套接口保持TIME_WAIT状态的时间数，默认情况下对于一个繁忙的WEB服务器太高了，所以需要设置到低于每60秒，这个参数名 字适用与Solaris7或者更高的版本，在Solaris 7之前的版本，其名字不正确的表识为tcp_close_wait_interval.

C. Tru64 UNIX
没有推荐的调整设置.

D. HP-UX
ndd -set /dev/tcp tcp_time_wait_interval 60000
套接口将保持TIME_WAIT状态不超过60秒.

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.vs.timeout_timewait=60
套接口将保持TIME_WAIT状态不超过60秒.

F. FreeBSD
没有推荐的调整设置.

G. IRIX
/usr/sbin/systune tcp_2msl to 60

7，调整广播ECHO响应

Smurf攻击就是一个伪造的地址通过发送ICMP 8 0 (ECHO REQUEST) 信息到一个广播地址，一些IP堆栈默认情况下会响应这些信息，所以必须关闭这个特征。如果这个主机作为防火墙使用(router)，关闭这个特征就不能处理处理广播。

A. AIX
/usr/sbin/no -o directed_broadcast=0
不响应直接广播.

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_respond_to_echo_broadcast 0
不响应直接广播.
/usr/sbin/ndd -set /dev/ip ip_forward_directed_broadcasts 0
不转发直接广播.

C. Tru64 UNIX
没有推荐调整设置.

D. HP-UX
ndd -set /dev/ip ip_respond_to_echo_broadcast 0
不响应直接广播.
ndd -set /dev/ip ip_forward_directed_broadcasts 0
不转发直接广播.　

E. Linux kernel 2.2
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1
不响应直接广播.

F. FreeBSD
sysctl -w net.inet.icmp.bmcastecho=0

G. IRIX
/usr/sbin/systune allow_brdaddr_srcaddr to 0

8，针对其他广播探测的调整

其他还有2个广播探测可以让恶意用户利用，一个就是地址掩码查询可以用来探测网络段大小和范围。时间戳广播可以映射和鉴定主机类型。

A. AIX
/usr/sbin/no -o icmpaddressmask=0
防止地址掩玛查询.

B. Solaris
/usr/sbin/ndd -set /dev/ip ip_respond_to_address_mask_broadcast 0
防止地址掩玛查询.

/usr/sbin/ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0
关闭对时间戳广播询问的响应.

C. Tru64 UNIX
没有推荐的调整.

D. HP-UX
ndd -set /dev/ip ip_respond_to_address_mask_broadcast 0
防止泄露主机配置的网络掩码.

ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0
关闭对时间戳广播询问的响应.

E. Linux kernel 2.2
没有推荐的调整.

F. FreeBSD
sysctl -w net.inet.icmp.maskrepl=0

G. IRIX
使用ipfilterd 来阻塞不需要的ICMP类型.

9，调整参数以支持RFC1948

下面几个调整会利用RFC1948(http://www.ietf.org/rfc/rfc1948.txt?number=1948)
TCP/IP序列号产生技术来保证给一个TCP 套接口的序列号码非常难猜测：

B. Solaris
Set TCP_STRONG_ISS=2 in /etc/default/inetinit.
这需要重新启动才能使能.

G. IRIX
/usr/sbin/systune tcpiss_md5 to 1

首先用grep命令检查设备文件名:
# grep -i chanmux  /etc/name_to_major
chanmux <num>
在/dev目录下创建一个设备文件,number这个参数就是上面那个grep命令的结果 :

mknod /dev/vt01 c <number> 1
mknod /dev/vt02 c <number> 2
……

然后在/etc/inittab里添加:

v1:234:respawn:/usr/lib/saf/ttymon -g -h -p "VT1 Login: " -T AT386 -d /dev/vt01 -l console
v2:234:respawn:/usr/lib/saf/ttymon -g -h -p "VT2 Login: " -T AT386 -d /dev/vt02 -l console 
……

然后用init命令从读inittab文件,或者reboot,也可以用一下命令:

/usr/sbin/init 0

好了,现在可以测试一下了
Alt-PrintScreen F1 切换到VT1
Alt-PrintScreen F2 切换到VT2,
Alt-PrintScreen P 切换到上一个界面.
Alt-PrintScreen N 切换到下一个界面.
Alt-PrintScreen H 切换到X console screen (不是Alt-PrintScreen F)

Sysstat 是一个软件包，包含监测系统性能及效率的一组工具，这些工具对于我们收集系统性能数据，比如CPU使用率、硬盘和网络吞吐数据，这些数据的收集和分析，有利于我们判断系统是否正常运行，是提高系统运行效率、安全运行服务器的得力助手；

Sysstat 软件包集成如下工具：

2、安装 Sysstat和运行；

对于大多数系统，都有这个软件包，软件名以sysstat开头。我们可以通过网络安装它；

2.1 对于Debian或deb软件包为基础的系统；

2.2 Fedora 系统或以RPM包管理的系统；

如果是RPM包，请用下面的命令来安装；

如果您想了解yum 和rpm 软件包管理工具，请参考：《Fedora / Redhat 软件包管理指南》

2.3 Slackware 系统，对于Slackware系统；

2.4 通过源码包编译安装；

如果您是通过源码包安装，请到官方下源源码包 http://perso.wanadoo.fr/sebastien.godard，目前最新版本是 sysstat-6.1.2；

如果您想了想一下什么是源码包，请参考：《如何编译安装源码包软件》

2.5 关于 Sysstat 计划任务；

如果您想得到Sysstat工具集所收集的系统信息自动存为某个文件中，你必须通过cron 为 sa1 和sa2 做计划任务。我们可以通过修改用户的crontab。在默认的情况下，Sysstat历史信息将被存放在/var/log/sa文件中。如果想定义自己的 计划任务，请参考：《计划任务工具 cron 的配置和说明》

在root用户，通过 crontab -e 来添加下面的一段；

创建Sysstat的启动脚本；

有了Sysstat的守护进程，这样我们开机后，Sysstat的守护进程，就时时刻刻的为我们服务了。sa 、sa1或sa2自动把信息存在 /var/log/sa目录的二进制文件中，我们可以通过sar工具来提取这些系统信息的历史；

当然我们也可以通过手动的方法来打开Sysstat的守护程序，也就是我们前面所制作的sysstat；

3.Sysstat 工具集介绍；

3.1 sadc 工具，

sadc 位于 /usr/lib/sa目录中，如果你没有设置可执行路径，要用绝对路径来运行比较方便 ，/usr/lib/sa/sadc；sadc 是把数据写在一个二进制的文件中，如果想查看数据内容，需要用sadf工具来显示；

sadc 的用法；

参数说明：

注意：此工具中的参数都是可选的，如果没有指定任何参数，比如 /usr/lib/sa/sadc – ，则会输出数据到 /var/log/sa/ 目录下的一个文件中。我们要通过sadf 或sar工具来查看；

举例：我们想把sadc收集到的数据写到一个指定的文件中；

[root@localhost ~]# /usr/lib/sa/sadc  1 10 sa000[root@localhost ~]# sar -f sa000
Linux 2.6.15-1.2054_FC5 (localhost.localdomain)         2006年05月12日
09时15分30秒       CPU     %user     %nice   %system   %iowait     %idle09时15分31秒       all      3.00      0.00      0.00      1.00     96.0009时15分32秒       all      0.00      0.00      0.00      0.00    100.0009时15分33秒       all      0.00      0.00      0.00      0.00    100.0009时15分34秒       all      0.00      0.00      0.00      0.00    100.0009时15分35秒       all      0.00      0.00      0.00      0.00    100.0009时15分36秒       all      0.00      0.00      0.00      0.00    100.0009时15分37秒       all      0.00      0.00      0.00      0.00    100.0009时15分38秒       all      0.00      0.00      0.00      0.00    100.0009时15分39秒       all      0.00      0.00      0.00      0.00    100.00Average:          all      0.33      0.00      0.00      0.11     99.56

注解：我们用sadc 收集系统动态数据，让它收集1秒之内的10次动态信息； 然后通过sar 工具来查看系统的状态。也可以用 sadf 来查看所收集的数据，但不是太直观。您自己尝试一下看看。查看sa000文件，用 sadf sa000 ;

3.2 sar 工具；

sar 工具比较强大，既能收集系统CPU、硬盘、动态数据，也能显示动态显示，更能查看二进制数据文件；sar 的应用比较多，而且也比较复杂，数据更为精确。我们只了解一下常用的内容就行，大多数内容我们了解就行；

用法：

参数说明：

sar 应用举例；

实例一： 如果只用sar 命令，sar就是读取 /var/log/sa目录下最近系统状态文件。

如果我们想知道CPU的利用率；动态更新；下面的例子是每秒更新一次数据，总共更新五次；

[root@localhost ~]# sar -u  1 5Linux 2.6.15-1.2054_FC5 (localhost.localdomain)         2006年05月12日
时间              CPU    利用率    nice值    系统占用    IO占用  空闲11时19分34秒       CPU     %user     %nice   %system   %iowait     %idle11时19分35秒       all      2.97      0.00      0.00      0.00     97.0311时19分36秒       all     11.11      0.00      9.09      0.00     79.8011时19分37秒       all     21.78      0.00      6.93      0.00     71.2911时19分38秒       all     15.00      0.00      0.00      0.00     85.0011时19分39秒       all      8.00      0.00      0.00      0.00     92.00Average:          all     11.78      0.00      3.19      0.00     85.03

注解：

CPU：表示机器内所有的CPU；
%user 表示CPU的利用率；
%nice 表示CPU在用户层优先级的百分比，0表示正常；
%system 表示当系统运行时，在用户应用层上所占用的CPU百分比；
%iowait 表示请求硬盘I/0数据流出时，所占用CPU的百分比；
%idle 表示空闲CPU百分比，值越大系统负载越低；

您可以CPU利用率的动态信息输出到一个文本文件中，然后通过more 来查看。

也可以输出到一个二进制的文件中，然后通过sar来查看；

注：如果您把数据通过-o filename 输出到一个二进制的文件中，是不能用文件内容查看工具more 、less或cat来查看的，应该用sar工具来查看，要加-f参数；

实例二：查看网络设备的吞吐情况；

比如我们让数据每秒更新一次，总共更新十次；

第一字段：时间；IFACE：设备名；rxpck/s:每秒收到的包；rxbyt/s：每秒收到的所有包的体积；txbyt/s：每秒传输的所有包的体积；rxcmp/s：每秒收到数据切割压缩的包总数；txcmp/s :每秒传输的数据切割压缩的包的总数；rxmcst/s: 每秒收到的多点传送的包；

如果我们从事提取eth0设备（也就是网卡eth0)的信息；我们应该用grep 来过滤。然后再显示出来；

如果想知道网络设备错误报告，也就就是用来查看设备故障的。应该用EDEV；比如下面的例子；

3.3 iostat

iostat 是用来显示 系统即时系统，比如CPU使用率，硬盘设备的吞吐率；

[root@localhost ~]# iostatLinux 2.6.15-1.2054_FC5 (localhost.localdomain)   2006年05月12日
avg-cpu:  %user   %nice %system %iowait   %idle           7.24    0.00    0.99    0.35   91.43
Device:   tps   Blk_read/s   Blk_wrtn/s   Blk_read   Blk_wrtnhda      1.46        28.43        21.43     710589     535680

3.4 mpstat

mpstat 提供多处理器系统中的CPU的利用率的统计；mpstat 也可以加参数，用-P来指定哪个 CPU，处理器的ID是从0开始的。下面的例子是查看两个处理器，每二秒数据更新一次，总共要显示10次数据；

3.5 sdaf

sdaf 能从二进制文件中提取sar所收集的数据；这个大家知道就行了。显示的并不是友好的格式；

相对来说，用sar来读取输出文件的内容更好；比如下面的；

4、 与Sysstat相似工具；

4.1 进程管理工具；

进程管理工具，包括ps 、pgrep、top、kill 、killall、pkill 等，请参考 《 Linux 进程管理》

4.2 内存使用率查看工具；

内存使用量 free

free 工具既能查看物理内存，也能查看虚拟内存的用量；

如果显示以单位M，则加-m参数；

vmstat 即时显示内存工具；

vmstat 是一个即时显示内存使用情况的工具；

vmstat 使用方法：

前些日子在淘宝上看到了由段风雷著，电子工业出版社出版的《Solaris10红宝书》，原价49，淘宝上带邮费总计41块，合85折。也正好弥补了我上次参加Sun没有拿到这本书的遗憾。

这本书总体感觉介绍的很详细，分安装、管理、高级管理、IP服务、internet服务五个具体方面介绍了solaris的在各个方面的应用和维护。随书附送了Solaris10(0106)的光盘，没有本地的系统做测试，学习这本书根本是不可能。虽然其中很多东西来自于sun的技术支持网站，但可以看得出作者翻译的很是用心，而且还在本地作了很多测试——作为现在满天飞的IT工具书而言，这已经是非常不容易了。在这里对作者表示一下感谢！由于这本书的起点相对属于中上水平，对于新手可能缺乏“友好”，需要一定的Unix基础。

对于该书的内容本人下面发点牢骚：

个人感觉，作者在书中花了很多的篇幅去介绍了Java desktop，根本没有提及CDE的桌面。可能考虑到了很多读者其实只是业余爱好者，只是想把Solaria做一个桌面的环境来应用罢了。其实作为Solaris的强项是在server应用上的，更多接触应该是CDE的桌面而非JDS。
ZFS系统，这个系统其实连Sun公司还处在实验阶段，根本没有必要提升到花费一个章的内容来介绍，况且随书附赠的Solaris版本根本不支持ZFS的文件系统，光盘上竟然说需要去下载一个Solaris Express来“感受”ZFS，下载几个补丁不就可以了？
Internet服务和ip服务篇介绍了DHCP DNS和NIS，而对于WWW和作为Solaris王牌的数据库支持却没有提及（似乎只字未提），倍感蹊跷。
可能是源于作者的精力有限，作者似乎仔细测试了安装、jds、SMC等部分，而对于Zone等新技术感觉作者只是翻译了一下，没有做仔细的测试。或者说作者可能是从solaris的旧版本过度过来的，新技术也是不太了解。
错别字很多，随便翻了几下就发现好几处。

当然发了牢骚不是说这本书不好，这本书确是我所见到过中文图书中介绍solaris最好的了。总之吧，如果你跟我一样是solaris的“半吊子”，这本书还是很适合你的。

SystemV的鼻祖正是1969年AT&T开发的Unix，随着1993年Novell收购AT&T后开放了Unix的商标，SystemV的风格也逐渐成为Unix厂商的标准。BSD的鼻祖是加州大学伯克利分校在1975年开发的BSDUnix，后被开源组织发展为现在众多的*BSD操作系统。

它们之间的区别主要为：

这里需要说明的是：Linux不能称为"标准的Unix“而只被称为" Unix Like" 原因有一部分就是来自它的操作风格介乎两者之间，而且不同的厂商为了照顾不同的用户，各linux发行版本的操作风格之间也有不小的出入。