Solaris高可靠扩展版是安全的“标号分级技术”的一个操作层，它将一个要求操作系统支持多级数据访问策略的环境内的数据安全策略与数据所有权限分离开来。将Solaris高可靠扩展版作为一个操作层来提供，就意味着Solaris 10的现有客户可以满足政府部门苛刻的安全要求，而无需修改他们的现有应用或更换底层硬件平台。

Solaris高可靠扩展版将成为符合分级安全保护框架(LSPP)/EAL 4+条例的Common Criteria (公共标准)，LSPP)/EAL 4+是希望在同一系统中实施多级数据保护的金融、卫生和政府等机构的绝对性要求。这一认证将添加到Solaris 10的认证中，Solaris 10也正处于针对授控安全访问保护框架(CAPP)和基于角色的安全访问保护框架(RBACPP)/ EAL 4+条例进行认证的评估中。Sun的综合性Common Criteria认证、Solaris高可靠扩展版的认证提交，以及以前Solaris 10 OS所进行的认证，都包括了所有的企业级必备组件，这样便能帮助企业和政府运行高度安全的操作系统配置。

2006年4月，Sun将提供Solaris高可靠扩展版，同时进入Common Criteria/EAL 4+鉴定的评估阶段。Common Criteria/EAL 4+是目前全球公认的针对任何商用操作系统组件认证的最高等级。当前，Solaris高可靠扩展版将向客户提供早期试用版。

Solaris高可靠扩展版的标号分级能力

Solaris高可靠扩展版的“带标号的安全”功能允许在Solaris 10操作系统内实施强大的强制性访问控制(MAC)的安全策略。这一策略确保：操作系统内所有对象都具有明确定义的、彼此容易稽核的关系，这些对象之间的通信访问将受到严格的控制。例如，每个机构至少要有两级信息，第一级的信息可以提供给任何人，而第二级的信息只能提供给被授权的用户。Solaris高可靠扩展版允许信息在多个敏感级别上进行处理。

MAC各个级别的标号与彼此必须分离地保存的信息的敏感程度相对应，即使它们被存储在同一个系统中。因为给信息加标号是自动完成的，因此MAC是强制性的。一般的用户是不能改变标号的，除非系统管理员给他们以特别授权。事实上，拥有不同级别标号的用户是不被允许共享信息的。

Solaris 10 OS的Solaris高可靠扩展版还提供其他的安全特性，包括：带标号的文档系统、带标号的联网能力、带标号的打印功能，以及带标号的桌面系统，等等。

对CIS基准的支持

Sun还通过CIS(Internet安全中心)Benchmark基准的设立扩展对Solaris 10 OS部署的支持服务。被《Information Security Magazine》(信息安全杂志)称之为“最好的基准”的CIS Benchmarks，是通过一个有数百名安全问题专家参与的全球性的评估过程来确认的、拥有最佳实践的安全的配置。针对Solaris 10 OS的CIS Level-I Benchmark，是在2005年3月确认的一个最好的安全配置基准。作为Sun与CIS成员之间密切合作关系的成果，Solaris 10 Service可使现在采用CIS安全建议的客户，在将来享用Sun对他们所选配置的支持。除了免费提供Solaris Security Toolkit(安全工具集)之外，CIS还将在本月晚些时候推出一个针对Solaris 10 OS的计分工具(Scoring Tool)，让用户迅速、容易地比照CIS Benchmark标准，对他们的系统和安全配置进行评估。

Solaris 10操作系统的安全特性

Solaris 10 OS是我们这个星球上最先进和最安全的操作系统，它具有以下安全特性：
* •基于标准的密码架构(Standards-based Cryptographic Framework)
* •综合性防火墙(Integrated Firewall)
* •拥有安全执行的认证(Verification of Secure Execution)
* •基础稽查与报告工具(BART：Basic Audit and Reporting Tools)
* •提供仅有最小特权的安全性服务(Services Secured With Least Privileges)
* •灵活的企业认证(Flexible Enterprise Authentication)
* •安全的数据中心整合(Secure Data Center Consolidation)
* •中央托管的用户权限管理(URM:Centrally Managed User Rights Management)
* •最小化的安装选项(Minimized Install Option)
* •精细过程的权限管理(Fine grained Process Rights Management)

Solaris Trusted Extensions (Solaris高可靠扩展版)对Solaris 10 OS的添加，更加强化了Solaris Enterprise System软件平台。Solaris Enterprise System是今天市场上可提供的唯一的综合性的、开放的基础软件平台。它由Solaris OS、Sun Java Enterprise System、Sun developer tools和Sun N1管理软件等组成。Solaris Enterprise System提供了一个单一的、完整的和集成的平台，该平台包括操作系统、基础软件、系统管理软件和开发者工具，而且可以无成本费用地让开发者与用户无限地使用。

Sun公司的中文网址为http://www.sun.com.cn。

＃more /etc/hostname.le0 
Sunrise 
# more /etc/hostname.hme0 
Sunny 

# more /etc/hosts 
127.0.0.1 localhost loghost 
172.16.255.1 Sunrise 
172.18.255.1 Sunny 

A类网：0－127（127用于本地地址） 掩码：255..0.0.0 
B类网：128－191 掩码：255.255.0.0 
C类网：192－223 掩码：255.255.255.0 
D类网：224－254（用于多址广播） 

＃ifconfig -a 

＃ifconfig le0 172.16.255.1 netmask 255.255.255.0 

＃ifconfig le0 up/down 

＃ifconfig le0 plumb/unplumb 

#cat /etc/inet/services 
ftp-data 20/tcp 
ftp 21/tcp 
telnet 23/tcp 
smtp 25/tcp mail 
sunrpc 111/udp rpcbind 
sunrpc 111/tcp rpcbind 
… 

# cat /etc/inet/inetd.conf 
ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd 
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd 
login stream tcp nowait root /usr/sbin/in.rlogind in.rlogind 
talk dgram udp wait root /usr/sbin/in.talkd in.talkd 

路由和网关
1. /etc/defaulrouter文件
配置缺省网关
防止不必要的路由进程
适用于只有一个路由器通向其它网段
单一路由占用较小的路由表资源
该文件保存了缺省路由得信息。系统安装时并没有该文件，是用户自己创建的。文件内容是缺省路由的地址。

＃cat /etc/defaultrouter 172.16.255.254

优点：
占用资源少，只有一条路由条目。
2. /etc/gateways文件
路由表文件
net gateway metric
dest. net 目标网段
router 下一跳路由器的地址
count 跳数
3. route命令

route add|delete [host|net] destination [gateway ] Add a route #route add net 128.50.3.0 192.168.1.1 1 Delete a route #route delete net 128.50.2.0 192.168.12.2

4. 查看路由表

# netstat -r Routing Table: Destination Gateway Flags Ref Use Interface ----------- ---------- ----- --- --- --------- localhost localhost UH 0 2272 lo0 202.96.0.0 192.168.12.1 U 3 562 le0 10.103.0.0 192.168.12.2 U 3 562 le0 #

Destination 目标网络或主机
Gateway 转发数据包的主机
Flags 这条路由的状态，这个参数有这样几个选项：
U 端口处于激活状态（up）
H 目标是个主机，而不是网段
Ref 同一个网络接口地址拥有的路由条目数量
Use 通过这条路由的包数量，对于localhost来说，这个数字代表 所有接收的包数量
Interface 路由的网络接口
DNS客户端的设置
1. /etc/resolv.conf文件
记录DNS服务器的地址和域名
关键字：

domainname nameserver # more /etc/resolv.conf nameserver 172.16.255.3 domainname sunrise.com.cn

2. /etc/nsswitch.conf文件
记录主机名的搜索顺序等信息

# more /etc/nsswitch.conf # # /etc/nsswitch.dns: # # An example file that could be copied over to /etc/nsswitch.conf; it uses # DNS for hosts lookups, otherwise it does not use any other naming service. # # "hosts:" and "services:" in this file are used only if the # /etc/netconfig file has a "-" for nametoaddr_libs of "inet" transports. passwd: files group: files # You must also set up the /etc/resolv.conf file for DNS name # server lookup. See resolv.conf(4). hosts: files dns ipnodes: files … …

将这个文件的hosts记录配置成hosts: files dns
3. nslookup命令
用于查询DNS服务器
用于验证客户端的设置
用于下载DNS数据库

# nslookup Default Server: ns.zjhzptt.net.cn Address: 202.96.96.68 > www.sun.com Server: ns.zjhzptt.net.cn Address: 202.96.96.68 Non-authoritative answer: Name: www.sun.com Address: 192.18.97.241

>
启动时，nslookup缺省地以本地服务器为目标。响应中包括目标服务器的名字和地址。
>是提示符，这意味着可以开始发送名字服务询问或配置。

问:Solaris 以什么授权协议开源?

答:与Linux所采用的GPL协议不同，Sun 采用了CDDL 协议。与GPL 相比，CDDL 协议有三大优势:第一，在应用Solaris时，不要求ISV将自己的研发或者劳动成果进行回馈，他们可以选择不公开自己的源代码，保留自己的知识产权，从而为软件公司预留了发展空间。第二，Sun允许ISV免费应用所有与Solaris相关的专利，没有潜在的法律风险。作为对比，Linux目前还存在法律诉讼。第三，其他很多协议都首先受到美国法律的限制，而CDDL 协议则允许用户按照本地的法律来解决。例如，在中国的ISV 应用了Solaris产生了法律纠纷，就可以在中国的法庭解决，并且是适用中国的法律。

问:Solaris 10 的源代码全部提供了么?

答:到目前为止，Sun计划开放1000万行Solaris的源程序。Sun没有将每一行都开放的主要原因是，Sun仍旧有非常小的一部分源程序没有获得完全的知识产权，但Sun会将这些部分编辑好再提供给大家，使用户能够运行他们的程序。实际上，Sun希望能够尽快取得所有部分的知识产权，然后公开给大家。但其中的困难在于，Sun没有取得知识产权的部分很多都是与硬件相关联的，但硬件厂商可能希望保留在驱动方面的独占性，保留自己的知识产权，没有赋予 Sun开放这部分源代码的权利。但保证Solaris 10 的所有功能部分都已经开源了，例如动态跟踪功能、网格容器功能等等。

问:Solaris从专用变成开源，对合作伙伴会有什么影响?

答:ISV的回应都是正面的、积极的。很多ISV都已经在使用Solaris 10源程序，这使他们能够更好地理解Solaris 10，从而更方便地开发出其应用。另一方面，操作系统的安装量越大，对在其上进行开发的ISV 也越有利。显然，Solaris 10 开源以后，使用Solaris 的人肯定会大量增加。有一个比较有意思的统计数据可以与大家共享:在Solaris 10 开始产生到免费再到开源的过程当中，Sun获得了全新的50 多家ISV。

问:Solaris 10 开源以后，其内核的开发速度是否会发生变化?

答:Solaris 10 的进展很快，Sun有一个“Solaris 10 特快”活动，这是让一些用户在Solaris正式发布前进行试用。Sun在发展Solaris 的时候，非常注意操作系统的向前兼容性，例如Solaris 10 可以运行5年前、甚至10年前在老版本的Solaris上开发的程序，并且这些程序能够自动利用到新版本提供的功能，而无需对老的程序进行任何修改。作为对比，Linux并不是完全反向兼容的，当Linux的内核发生变化以后，原先开发的应用程序要利用新版本的新功能，就需要对程序重新改写了。

从技术更新的方面来说，Solaris可以分为两种不同的版本:针对开发者提供的版本，以及真正进入商用的成熟版本。实际上，Solaris快车活动在很大程度上就是针对开发者的。如果你在Kernal.org网站上看，红帽、红旗等公司的商业版本的时间间隔与Solaris 是非常接近的，都是1?3 年产生新的版本。

Solaris 特快车则是每2?3 周就会提供一个新版本。该计划已经存在18 个月了，大家一直在使用Solaris 10 并提出了反馈，这也最终形成了成熟的、商业版本的Solaris 10。这种反馈有多少呢? 18 个月内，网上有75 万次的试验版下载。

问:开源以后Solaris 版本的控制由谁主持?

答:从Linux 开放的角度看，似乎有成百上千的人能够为Linux贡献力量，但实际上，真正能够决定Linux核心的人只有一小部分。作为对比，Sun的Solaris 的创作环境并不是由一小撮人、一个小团队来决定Solaris 的核心。在Solaris 的开发过程中，就是由很多开发者把新的变化、新的功能的想法告知管理团队，如果变化合理，管理团队就会反馈给建议者，由建议者将这些新功能加入到程序当中去。团队只是审查建议是否合理，而不是由他们来修改、添加内核功能。因此，这个模式是一个非常有扩展性的模式，能够很自然地过渡到更大范围、更广义上的社区行为。同时，Sun并不想完全按照自己的意志去限定Solaris 10。尽管我们认为Solaris 已经有一个非常有扩展性的模式，但Sun 仍希望听取各方面的意见，并成立一个协会来更好地推广Solaris。

问:在Sun提出了开放Solaris的方向时，有用户提出了在安全性方面的担忧。他们认为，封闭系统接触的人少，懂得的人也少，因此也相对安全。 Solaris开源以后，会否增加Sun 在安全方面的负担?

答:首先我要声明，我并不认为规模与安全问题有直接关系。实际上，Solaris的源程序已经开放很多年了，只是没有现在这么正式、完整地提供给大家。从这些年Solaris 的开放可以看出，这并没有削弱Solaris 的安全性，安全性反而增强了。安全的关键在于，你是在建立系统之后再补遗拾缺地解决安全问题，还是在建设系统之前就已经把安全问题放在了一个很重要的先决条件上来考虑，这会产生完全不同的效果。实际上，大家都知道，最不开放的系统所产生的安全问题反而是最多的。 Solaris 在设计之前就是为网络服务的，因此将安全问题放在很重要的位置上。作为对比，Windows是为单击用户服务的，并没有考虑到网络问题，因此在网络应用上会出现很多漏洞。另一个例子是A p a c h e 与I I S 。在网络服务方面，Apache 是占据垄断地位的，IIS只占一小部分，但IIS发生的问题要比Apache多得多。

问:有这么一种看法，Solaris是一个大系统，并没有多少人有能力触及Solaris的核心，开源社区对Solaris 的贡献将非常有限，更多的人将会去支持相对简单的Linux系统。您对这种说法有何评价?

答:对一个大企业来说，需要操作系统要有一定复杂度，不能太简单。同时，从操作系统的内核角度来看，我并不认为Linux 的复杂度比Solaris 低多少。Sun建立一个新的开源的Solaris 社团，并不是为了挤掉Linux 社团，也不是为了挖Linux社团的墙角，而是为那些由于某些原因不愿意使用Linux的人提供一个新的选择。例如，可能有人不喜欢GPL 的授权模式、有人不满足于Linux所提供的功能，有人认为Linux的模式与自己的商业目的不符合等等。

SWAP空间作用   

众所周知，现代操作系统都实现了“虚拟内存”这一技术，不但在功能上突破了物理内存的限制，使程序可以操纵大于实际物理内存的空间，更重要的是“虚拟内存”是隔离每个进程的安全保护网，使每个进程不受其他程序的干扰。  

Swap空间的作用可简单描述为：当系统的物理内存不够用的时候，就需要将物理内存中的一部分空间释放出来，以供当前运行的程序使用。那些被释放的空间可能来自一些很长时间没有什么操作的程序，这些被释放的空间被临时保存到Swap空间中，等到那些程序要运行时，再从Swap中恢复保存的数据到内存中。这样，系统总是在物理内存不够时，才进行Swap交换。这种现象对于计算机使用者是经常遇到的。

有一点要声明的是，并不是所有从物理内存中交换出来的数据都会被放到Swap中（如果这样的话，Swap会不堪重负），有相当一部分的数据直接交换到文件系统。例如，有的程序会打开一些文件，对文件进行读写(其实每个程序都至少打开一个文件，那就是运行程序本身)，当这些程序的内存空间需要交换出去时，文件部分的数据就没有必要放到Swap空间中了，如果是读文件操作，那么内存数据直接就释放了，不需要交换出来，因为下次需要时，直接从文件系统就能恢复;如果是写文件，只需要将变化的数据保存到文件中，以便恢复。但是那些用malloc(3C)和new函数生成的对象的数据则不同，需要Swap空间，因为它们在文件系统中没有相应的“储备”文件，因此被称为“匿名” (Anonymous)的内存数据，这类数据还包括堆栈中的一些状态和变量数据等，所以说，Swap空间是“匿名”数据的交换空间。  

Swap的配置对性能的影响   

太多的Swap空间会浪费磁盘的空间，而太少的Swap空间，系统则会发生错误。如果系统的物理内存用光了，你的系统就会跑得慢，但仍能运行；如果Swap空间用光了，那么系统就会发生错误。例如，Web服务器能根据不同的请求数量衍生出多个服务进程(或线程)，如果Swap空间用完，则服务进程无法进动，通常会出现"application is out of memory"的错误，严重时会造成服务进程的死锁。因此Swap空间的分配是很重要的。  

通常情况下，Swap空间应大于或等于物理内存的大小，最小不应小于64M，通常Swap空间的大小应是物理内存的2－2.5倍(Solaris 2以上的版本有所变化，见下文)。但根据不同的应用，应有不同的配置：如果是小的桌面系统，只需要较小的Swap空间，而大的服务器系统则视情况不同需要不同大小的Swap空间。特别是数据库服务器和Web服务器会随着访问量的增加，对Swap 空间的要求也会增加，具体配置参见各自服务器产品的说明。  

另外，Swap分区的数量对性能也有很大的影响。因为Swap交换的操作是磁盘I/O的操作，如果有多个Swap交换区，Swap空间的分配会以轮流的方式操作于所有的Swap，这样会大大均衡I/O的负载，加快Swap交换的速度。如果只有一个交换区，所有的交换操作会使交换区变得很忙，使系统大多数时间位于等待状态，效率很低，用性能监视工具就会发现，此时的CPU并不很忙，而系统却慢，这说明，瓶颈在I/O上，依靠提高CPU的速度是解决不了问题的。  

性能监视   

Swap空间的分配固然很重要，而系统在运行时的性能监控却更加有价值，通过性能监视工具可以检查系统的各项性能指标，找到系统性能的瓶颈。本文只介绍一下在Solaris下和Swap相关的一些命令和用途。
最常用的是Vmstat命令，在大多数Unix平台下都有此命令，此命令可以查看大多数性能的指标。  

另外使用swap －s 也能简单的查看当前swap资源的使用情况。例如：

#swap －s  

total: 65896k bytes allocated ＋ 56840k reserved = 122736k used, 1069456k   

available  

能够方便的看出swap空间的已用和未用资源的大小。应该使Swap保持30％的负载以下，才能保证系统的良好性能。

Solaris中Swap的特点

虚拟Swap空间本来Swap空间就是为虚拟内存服务的，现在Solaris的Swap空间也成为虚拟，这到底是怎么回事呢？ 让我们看一个例子就明白了，当在Solaris 2以前版本的Solaris(或其它Unix， 如Linux)上编程时经常会出现一个问题：

假设系统当前还有可用的内存空间为30M，而只剩下10M的Swap空间了，这时，如果有一个进程开始运行并企图执行Malloc(15＊1024＊1024)的命令(分配15M空间)，这个进程会因为这个命令而失败。为什么呢？系统不是有30M可用的内存空间吗？原因在于：你的Swap空间不足，系统认为你在分配空间以后，没有能力(空间)在发生页面交换时，将这部分数据保存起来，因此认为你没有资格分配这块空间。这不是太不公平了吧！也许这15M空间根本不用交换，当前系统可是还有30M内存空间的富余啊!  

还有更不公平的呢?有些大型系统配备了海量的内存，1G或4G，配了这么多内存就是为了避免交换，提高运行速度，可是系统还要为这个系统分配并不需要的Swap空间，占用了大量磁盘资源。为了弥补这个缺陷，Sun为Solaris 2 以后的版本设计了虚拟Swap空间。所谓虚拟的Swap空间，概念其实很简单，swap空间再也不是单指硬盘的分区或文件。虚拟Swap空间包含两个部分：部分物理内存和传统上的Swap分区。经过适当的配置，可以使系统需要Swap空间时，先使用内存部分的swap空间，如果内存部分的swap空间不够，再使用磁盘部分的Swap空间。这样，也许你硬盘上的Swap空间很少得到使用了，甚至根本不需要
Swap分区。  

Swap空间与TMPFS文件系统的关系   

你知道吗？虚拟Swap空间与 /tmp目录有相当大的关系。Sun在实现/tmp目录时，充分考虑了应用程序运行的效率。许多应用程序，特别是数据库服务都会频繁使用 /tmp目录作为临时数据保存区，而Solaris将 /tmp目录下的文件都放在内存中而不是硬盘里，这样会大大提高应用程序的效率。 但是/tmp目录的空间是从系统虚拟空间里挤出来的，是虚拟Swap空间的一部分。如果说，你用完了/tmp空间，也就是用完了Swap空间，所以要小心监视系统的/tmp目录的使用情况，千万别用光了，否则系统会瘫痪!下面两点建议作为参考：  

1.在Mount /tmp目录时，使用(－o Size)选项来控制/tmp目录的大小。

2.当使用编译器编译文件时，如果不想占用Swap空间，则用TMPDIR环境变量指向另外一个临时目录，而不是/tmp目录。

增加Swap空间 

1.成为超级用户 ＄su － root  

2.创建Swap文件 ＃mkfile nnn[klblm] filename  

如：

#mkfile 100m swapfile1  

3.激活Swap文件

#/usr/sbin/swap －a /path/filename  

Swap文件必须以绝对路径来指定，filename指的是上一步创建的文件。

4.现在新加的Swap文件已经起作用了，但系统重新启动以后，并不会记住前几步的操作。因此要在/etc/vfstab文件中记录文件的名字，和Swap类型，如：  

/path/filename － － Swap － no －  

5.效验Swap文件是否加上

/usr/sbin/swap －l 

删除多余的Swap空间

1.成为超级用户  

2.使用swap －d 命令收回swap空间。  

#/usr/sbin/swap －d /path/filename  

3.编辑/etc/ufstab文件，去掉此Swap(交换)文件的实体。  

4.从文件系统中回收此文件。  

#rm swap－filename  

5.当然，如果此Swap(交换)空间不是一个文件，而是一个分区，则需创建一个新的文件  

系统，再挂接到原来的文件系统上。　   

例子：card.263.net  

增加文件系统：在/etc/vfstab中增加  

swap - /var/spool/postfix tmpfs - yes - (http://www.fanqiang.com)

一、配置路由器接口
1.创建/etc/hostname.interface文件
对应每个连接的网络均应有一个hostname.interface文件，其中interface为网卡的代号名。对多网卡的情况interface应不相同，但对单网卡路由器而言，这些文件的interface是相同的。怎么区别这些文件呢？可以创建hostname.interface:n文件，用n作区别来虚拟多个网卡。计算机启动时将检测此类文件的个数，如果找到多个hostname.interface文件则认为是路由器，否则认为是主机。例如一台SUN工作站连接了Internet网和内部网，则可对应创建两个文件分为hostname.le0和hostname.le0:2。

2.为接口分配主机名

在以上的每个hostname.interface文件中，加入主机名，必须注意对应不同的网络接口，即同一主机须用不同的主机名以区别不同的IP地址。对于上例，用vi命令编辑两文件分别填入sun1和sun2，实际上是一台主机。

3.在/etc/inet/hosts中加入主机名和IP地址，格式为：

IPaddresshostname
202.114.209.37sun1
180.114.20.1sun2

注意IP地址是网卡连接的对应多个网络的不同的IP地址，其中202.114.209.37是主机在Internet上的合法地址，而180.114.20.1则是内部网上自己分配的地址，内部网上的IP地址不必担心与Internet上重名的IP地址发生冲突，因为上级网关将视其非法并拒绝给予服务。

4.修改/etc/inet/netmasks文件

如果路由器与子网相连，还应修改/etc/inet/netmasks并填入本地网号（如129.9.0.0）与屏蔽号（如255.255.255.0）。

二、路由协议选择

可采用静态路由协议或动态路由协议如路由信息协议（RIP）和ICMP寻径协议（RDISC）。

选用动态路由协议，则可将/etc/defaultrouter文件置为空。路由器将自动与RIP和RDISC交谈，这些协议跟踪路由器并广播路由信息，让路由器在本地文件模式下工作。这将保证在网络服务器的配置失效后，路由器可以照常工作。

若选择静态协议，只需在/etc/defaultrouter文件中填入缺省路由器名，这样当Unix路由器找不到寻径路由时便将IP包发往缺省路由器。如本例用misrouter作缺省路由器，还需在/etc/inet/hosts中加入其IP地址：202.114.209.19和机器名：misrouter。

三、重新启动计算机

计算机启动时，系统内部将调用ifconfig命令对所连接的多个网络进行接口配置，并检测到有多个hostname.interface文件存在，于是计算机认为自己作路由器。

一个单网卡的路由器便配成了，所有的内部网上计算机可以用内部IP地址通信，不受所分配的有限IP地址限制，而与Internet的通信则通过单网卡的Unix路由器进行。可见它虽是单网卡，却有多个IP地址，实质是利用虚拟接口文件hostname.interface:n来“冒充”多网卡。

当然在solaris8下的话，直接装就可以了，因为sunfreware有for这个东东，但是gcc有什么要求吗？一句话---不知道！！s9下还有哪个gcc版本可以呢，也不知道，知道的告诉我哦！

下载编译器gcc-2.95.3-pkg.zip（www.sunfreeware.com），解压后得到安装包SFWgcc（这个编译器是要SFW支持）的。安装这个包：
#pkgadd –d SFWgcc
默认的安装目录是/opt/sfw，为正确使用这个编译器而设置环境变量：
#PATH=/opt/sfw/bin:/usr/local/bin:/usr/ccs/bin:/usr/bin:/usr/ucb:/etc:.
#export

1. 下载socks5安装包，一搜一大堆，现在可能有两个大的区别一个是在win下一个是unix下的，后面我给出的这个包名字有的网站上说只在linux下能用，不要管他这一套，继续就是了（其实for solaris8也就是这个了。另外据我所知socks5几乎可以在任何系统下实现的，自己去实验吧）。将socks5安装包socks5-v1.0r11.tar.gz以bin方式上传到RH9/solaris9服务器上。

2. 解压缩软件包
　#gunzip socks5-v1.0r11.tar.gz
　#tar xvf socks5-v1.0r11.tar

3. 开始编译
　#cd socks5-v1.0r11
　#./configure --with-threads

说明：可以根据需要参考readme来作配置，也可在安装后进行配置（推荐这样就可以了，搞了几个别的配置出错了，怕怕啊）。
#make
#make install

4. 建立/etc/socks5.conf（许多文件都自己建吧，装完后我是没有看到自动生成的）

需要达到的目的：在局域网段(192.168.0)内提供代理服务，要求提供用户名和密码。要使用用户验证，首先要建立/etc/socks5.pwsswd文件,内容为：
# vi /etc/socks5.passwd
　  userA passwdA （userA代表用户名。passwdA代表用户userA的密码）

完成/etc/socks5.conf配置文件：
#vi /etc/socks5.conf
　auth - - u
　permit u - 192.168.0. - - -

注：若改变u和192.168.0.为-，则允许任何用户（不需要用户名和密码）的任意ip使用代理服务；192.168.0.等同于192.168.0.0/255.255.255.0，这个字段同样可以设定某一个ip来使用代理服务。

在解压目录socks5-v1.0r11下的examples目录下提供了几个常用的配置文件内容，可以参考使用。
#cd examples
#ls
sock5.conf.dualhomed sock5.conf.gssapi sock5.conf.multipleservers sock5.conf.server2server sock5.conf.singlehomed 。。。。    每一个配置文件的后缀说明了它所面向的服务内容，需要时可根据其内容作适当更改。
5. 运行代理服务：
　#socks
在第一次装好socks5之后可以通过运行#/usr/local/bin/socks5 –f –s来测试代理服务能否正常运行，如果出现02716:Socks5 starting at Thu May 20 20:33:58 2004 in normal mode，则表示可以正常运行。
6. 停止socks5，只要运行stopsocks -KILL就行，socks5就会停止！
7. 高级配置
7.1 使用非默认端口：如果想让socks5服务启动的时候不启动默认监听端口1080，比如为8888，可以运行如下命令
# socks5 -b 8888
相应的关服务命令为：
# stopsocks -p 888 -KILL
7.2 为了密码文件的安全，使用自建的密码文件，比如/etc/myc.passwd。这时，只要修改/etc/socks5.conf文件，在其中新加一条项数：
set SOCKS5_PWDFILE /etc/myc.passwd
7.3 指定SOCKS v5绑定的ip地址和监听的端口。如果不指定绑定的IP将使用0.0.0.0
set SOCKS5_BINDINFC 192.168.0.8:1080
7.4 忽略ident请求。当客户机没有运行identd时，使用SOCKS5_NOIDENT将降低超时值
set SOCKS5_NOIDENT
7.5 指定连接停顿最长时间。超过最大值后，socks5断开连接
set SOCKS5_TIMEOUT 15
7.6 socks5将接受SOCKS V4 协议的请求,默认不接受
set SOCKS5_V4SUPPORT
7.7 指定同时存在的最大子进程数,Socks5预设为64
set SOCKS5_MAXCHILD 4
8. 添加自动启动服务和日志记录
# /usr/local/bin/socks5　-t　-s　2>　/var/log/socks5
#echo　"/usr/local/bin/socks5　-t　-s　2>　/var/log/socks5"　>>　/etc/rc2.d/rc.local
如果是linux则改rc2.d为rc.d
附录，socks5 server配置文件（只要定制好自己的配置方式后，将条目写到/etc/socks5.conf中即可。有人用cp example目录下的文件方法来生成配置文件，个人不提倡这样，反正我也出现过错，自己按格式来保证不出错）。
socks5.conf通常由以下几个方面的内容构成：
－ban host：定义拒绝服务的客户列表
－authentication：定义Socks5服务器使用的用户认证方法
－interface：定义Socks5服务器绑定的ip地址和服务端口
－variables and flags：定义Socks5服务器运行的环境
－proxies：定义客户可以通过Socks5服务器访问的地址列表以及Socks5服务器访问这些地址的方法
－access control：定义Socks5服务器接受或拒绝客户连接的规则
下面我们分别来讲述这些条目对应的语法：
ban host
语法：ban source-host source-port
说明：Socks5服务器将拒绝接受来自source-host:source-port的客户连接。
authentication
语法：auth source-host source-port auth-methods
说明：对于来自source-host:source-port的客户连接，Socks5服务器将使用

auth-methods所定义的用户认证方法。对于没有定义认证方法的客户将使用任何可以使用的认证方法。
interface
语法：interface hostpatern portpattern interface-address
说明：来自source-host:source-port的客户连接由interface-address处理；目的地址为source-host:source-port的客户连接由Socks5 代理服务器从 interface-address发出连接请求。
variables
语法：set variable value
说明：定义Socks5运行参数，Socks5有以下一些常用的运行参数：
SOCKS5_BINDINTFC host:port
host:port 指定socks5运行的主机和端口号，用于代替缺省的端口。忽略时，socks5用0.0.0.0作为主机值。
SOCKS5_CONFFILE filename
Filename 指定配置文件。在许多系统中，缺省是/etc/socks5.conf。在运行socks5之前，设置这个变量。如果有多个socks5 daemon运行，为每个daemon使用不同的配置文件。
SOCKS5_DEMAND_IDENT 
当客户没有响应ident 请求时，认证失败。使用SOCKS5_DEMAND_IDENT确认每个连接有一个关联的用户名。
SOCKS_ENCRYPT 
如果可能的话，请求下一个socks5进程加密数据。SOCKS5_ENCRYPT 仅仅在编译socks5时包括了GSS-API认证时，才有意义。
SOCKS5_FORCE_ENCRYPT 
当认证方式支持加密时，强迫客户加密数据。
SOCKS5_IDENTFILE filename 
Filename指定存储ident信息的文件名。在许多系统中，缺省是/tmp/socks5.ident。当有多个socks5 daemon运行时，SOCKS5_IDENTFILE非常有用。
SOCKS5_MAXCHILD val 
val指定同时存在的最大子进程数。Socks5预设为64。可以降低预设置。不能超过64。Socks5运行在线程模式时，忽略此参数。当运行在oneshot或inetd模式时，此参数不发生作用。
SOCKS_NOIDENT 
忽略ident请求。当客户机没有运行identd时，使用SOCKS5_NOIDENT将降低超时值。
SOCKS_NOINTCHK 
请求下一个socks5进程执行没有完整检查的代理请求。只有在编译时加入GSS-API认证时，SOCKS5_NOINTCHK才发生作用。
SOCKS_NONETMASKCHECK 
指示daemon忽略检查主机的子网掩码。缺省时，daemon检查掩码，如果在同一子网时，在检查配置文件之前，直接连接。
SOCKS5_REVERSEMAP 
总是试图影射地址到主机名。缺省时，socks5只有当主机名或域名在配置文件中使用时才影射。设置后，log文件将纪录主机名，这将降低性能。
SOCKS5_SERVICENAME
总是影射端口号到服务名。缺省时，socks5只有当服务名在配置文件中使用时才影射。设置后，log文件将纪录服务名，这将降低性能。
SOCKS5_PASSWD [password] 
当socks5 daemon连接到其它socks服务器时，如果采用Username/Password 认证，用它来指定密码。
SOCKS5_PIDFILE filename 
指定存储socks5进程ID的文件名。Socks5缺省存贮PID在/tmp/socks5.pid。你可以用—bindintfc参数或设置SOCKS5_BINDINTFC环境变量运行socks5在不同于缺省端口的其它端口。当运行在不同于缺省端口的其它端口时，socks5存贮PID在/tmp/socks5.pid-port。
SOCKS5_PWDFILE filename 
指定密码文件。在许多系统中，缺省是/etc/socks5.passwd。
SOCKS5_TIMEOUT minutes
指定连接停顿最长时间。超过最大值后，socks5断开连接。忽略此值时，缺省是15。
SOCKS5_UDPPORTRANGE port1-port2 
指定一个Socks5用来发送UDP包的UDP端口范围。
SOCKS5_USER [user id]
当socks5 daemon连接到其它socks server时，如果采用Username/Password认证，用此变量指定用户名。

SOCKS5_V4SUPPORT
缺省时，socks5只接受SOCKS5协议(rfc 1928)的请求。设此变量后，socks5将接受SOCKS V4 协议的请求。
proxies
语法：proxy-type dest-host dest-port proxy-list
说明：当客户请求的目的为dest-host:dest-port时，Socks5将使用proxy-list中的代理服务器请求数据。
access control
语法：permit auth cmd src-host dest-host src-port dest-port [user-list]
deny auth cmd src-host dest-host src-port dest-port [user-list]
说明：通过这两条语句所定义的规则来进行客户访问控制。
我们再对以上语法作进一步的解释：
host的表示方法：
-：表示任意主机
n1.：表示n1.0.0.0/255.0.0.0
n1.n2.：表示n1.n2.0.0/255.255.0.0
n1.n2.n3.：表示n1.n2.n3.0/255.255.255.0
.domain.name：表示主机名以.domain.name结尾的主机
some.domain.name：表示主机名为some.domain.name的主机
port的表示方法
-：表示任意端口
service name：用/etc/service中定义的服务名来表示，如telnet
port number：直接指定数字端口，如80
[port_start，port_end]：指定一个端口范围，如[1024,6000]表示从端口1024到6000，（1024，6000）表示从端口1025到5999
auth的值
n：无用户认证
u：使用username/password用户认证方法
k：使用Kerberos用户认证方法
-：使用任何可用的用户认证方法
cmd的值
-：任何命令
c：connect
b：bind
u：UDP
p：ping
t：traceroute
user的值
-：任何用户
proxy的值
socks5： Socks 5
socks4： SOCKS 版本4
noproxy：不使用代理而直接连接
server的值
host： 指定服务器的hostname，使用缺省服务端口
host:port：指定服务器的hostname和该服务的监听端口

( 责任编辑：Huxr)

#gunzip ssh-3.2.5.tar.gz
#tar –xvf ssh-3.2.5.tar
#ln –s ssh-3.2.5 ssh
#cd ssh
#./configure
#make
#make install
#make clean
#ssh-keygen2 -b 1024

要输入密码，给它就行了。我也不知道用做什么。

#touch /etc/init.d/autossh
#vi /etc/init.d/autossh

echo "now the ssh will be started automaticly"
SSH_HOME=/opt/ssh
export SSH_HOME
su - root -c "$SSH_HOME/startup/solaris/sshd2 start" $
echo "ssh start has be done"

#chmod 777 /etc/init.d/autossh
#ln –s /etc/ini.d/autossh /etc/rc2.d/S99sshd
#chmod 744 /etc/rc2.d/S99sshd

重启就行了。在客户端用SSH（WINDOWS）就行了。

o 编译器语言o 代码中与硬件相关的因素（如字长或字节尾附属物）o 平台运行时服务o 构建工具附属物o 可用的数据库、联网条件和消息传递中间件o 用户界面可移植性o 测试案例和测试环境

移植工作的规模和复杂性将与系统和环境相关的代码直接成正比。如果应用程序只使用标准语言构件和标准库，而且并不一定要在 SPARC 处理器上的 Solaris 下运行，那么移植就相对容易一点。举例来说，Java 应用程序通常就属于这个范畴。另一方面，如果应用程序是不使用 Solaris 上的 POSIX 服务的 C 程序，或者依赖于 Linux 上没有的第三方产品，那么移植工作就困难多了。当您移植应用程序时，很多情况下您都是在将不可移植的方法和附属物替换成可移植性更好的东西。您会将 Solaris 构建工具替换成 GNU 工具，并使用与 POSIX 相容的线程库代替 Solaris 中对应的库。因为这些工具和接口在 Solaris 上也能找到，所以您可以继续自由地使用 Solaris，甚至在将开发平台移植到 Linux 之后继续把握 Solaris 市场。

步骤 1：在 Solaris 上用 GNU 工具（GCC/gmake）构建 C/C++ 应用程序
GCC（GNU Compiler Collection）工具套装包括一个 C 编译器和一个 C++ 编译器。因为 Solaris 和 Linux 中都有 GNU 编译器和 make 实用程序，所以要用这些工具开始构建应用程序相对来说比较容易。首先，请您用上面的链接下载 GNU 工具，并将它们安装在 Solaris 上。然后，请您试着用 GNU gmake 实用程序（而不是 Solaris make 实用程序）来构建应用程序。因为 GNU gmake 实用程序与 Solaris make 实用程序有所不同，所以根据您的 make 文件中使用的构件，您会碰到 GNU gmake 实用程序生成的一些错误消息。请使用上面的 make 工具文档链接来帮您识别 make 文件中的问题区域，并相应地调整 make 文件。 一旦您将 make 文件修改为使用 gmake，请在 make 文件中将被调用的 C 编译器的名称从 cc 改为 gcc ，并将 C++ 编译器的名称从 CC 改为 g++ 。然后重新构建应用程序。您在构建过程中会碰到的错误消息（如果存在的话）可以分为两类：命令行选项问题和代码问题。请辨别出那些由于 GNU 和 Sun 编译器接受的命令行选项中有所区别而产生的消息。除了少数几个基本选项（如“-c”和“-g”）之外，编译器接受的多数选项都不同。 下面，您就可以处理剩下与代码相关的错误消息和警告信息了。处理这些消息的一种简单的方法是将它们捕获在一个文件中，并挨个检查。请使用上面的编译器文档链接来了解和处理编译器之间不同的问题。本文的 迁移工具和外包部分给出了一个公司列表，这些公司可以帮助您在应用程序中解决那些由于编译器不同而产生的问题。 在移植到 Linux 和将应用程序链接到开放源代码库时，请注意与这些库相关的许可证和版权。您新移植的 C/C++ 应用程序至少将被链接到 GNU C/C++ 运行时库。这些库受 GNU“copyleft”许可证的保护。如果您正在移植的软件有专有属性，而且您打算在用 GNU 工具构建该软件之后马上出售它，那么您最好谨慎地全面理解 GNU 通用公共许可证和 GNU 次通用公共许可证（请参阅 参考资料）中规定的条款和条件。一旦您的软件被链接到由这些许可证保护的库上，GNU 许可证中的某些条款和条件就将沿用到您的软件上。
步骤 2：（可选的）在 SPARC 的 Linux 上构建和测试应用程序
有一种不常见的情况，那就是被移植的应用程序有对 SPARC 硬件特定的附属物，这时步骤 2 就变成移植过程中重要的中间阶段了。它使 Solaris 开发者能够在不放弃底层 SPARC 硬件和不修改应用程序中特定于 SPARC 的部分的前提下熟悉 Linux 环境。 请通过上面的链接之一来获取可以在您的 Sun 硬件上运行的 Linux 版本。然后安装操作系统，使用所提供的 GNU 工具重新构建应用程序。因为您在步骤 1 中使用 GCC 构建了应用程序，所以在步骤 2 中将碰到的区别将被限制到 Solaris 和 Linux 之间的运行时应用程序编程接口（application programming interface，API）的区别。
步骤 3：在 Linux 上为其它硬件构建和测试应用程序
在迁移过程的最后一个步骤中，首先请获取并在您选择的目标硬件上安装 Linux。可以直接使用 Linux 的服务器有 IBM 基于 Intel-IA32 的产品系列（包括 NetVista、IntelliStation、Netfinity）和新的 IBM eServer xSeries。IBM pSeries 和 zSeries 也可以使用 Linux（请参阅 参考资料）。您可以低价购得或免费下载流行的用于 Intel/x86 的 Red Hat Linux 分发版，而且它在几乎任何一台基于 Intel 的 PC 机上都很容易安装和设置。SuSE 提供支持 IBM pSeries 和 zSeries 的 Linux 分发版。还有，您一定要安装将使用的编译器和工具。 
其它注意事项
* 系统管理
总的来说，管理 Linux 与管理任何其它 UNIX 操作系统都几乎一样。在某些具体的命令和任务上有一些区别，IBM 和 UNIXGuide 已经发布了比较图，总结了这些区别，其中不仅包括 Solaris 和 Linux 之间的区别，还包括 AIX 和其它版本的 UNIX 之间的区别（请参阅 参考资料）。有经验的 Solaris 系统管理员不必花费太大气力就能够完全适应 Linux。
* 源代码管理
对于目前正在使用 Solaris 上的 Sun Forte TeamWare 或者 SCCS（Source Code Control System，源代码控制系统）并希望继续使用 SCCS 这种风格的源代码管理系统的开发者来说，他们可以试着使用 GNU CSSC（Compatibly Stupid Source Control），开放源代码 SCCS 的克隆版本。CVS（Concurrent Versions System，并发版本系统，请参阅 参考资料）是 Linux 上更常用而且倍受推崇的源代码管理系统。
* 其它第三方工具、实用程序和库
Solaris 上有很多常见、流行的第三方工具、实用程序和库，它们都可以在 Linux 上使用。鉴于 Linux 的日益普及，支持 Linux 的第三方供应商的数目每天都在增长。
* 64 位计算
Red Hat 和很多其它发行商为 Compaq/DEC Alpha 提供了一种 64 位版的 Linux。您可以在 AlphaLinux Web 站点上了解关于这种 Linux 的其它信息。64 位的 Solaris 和 64 位的 Linux/Alpha 都使用 LP64 数据模型，它能够带来很好的兼容性。 不久，Intel Itanium(TM) IA-64 处理器也能使用一种 64 位版的 Linux。您可以在 IA-64 Linux Project Web 站点了解关于这种 Linux 的更多信息。一种支持 IBM 64 位 PowerPC 体系结构的 Linux 也在开发之中。 请注意，尽管 SuSE Linux/UltraSPARC 的内核运行在 64 位的模式中，但 SuSE Linux/UltraSPARC 目前并不支持 64 位的用户空间应用程序。
* 端（Endian）格式
Sun SPARC 和 UltraSPARC 处理器以大端（Big Endian）格式存储整数。如果您希望将应用程序移植到小端（Little Endian）版本的 Linux（如 Linux/Intel）上，那么您就必须解决应用程序中任何与端格式有关的问题，应用程序才能够正确运行。您也可以选择让应用程序使用 Linux/PowerPC、Linux/zSeries 或 Linux/SPARC，它们都是 Linux/Intel 之外的大端平台。

我曾经利用CERN httpd安装和使用了已经虚拟根环境下的Web服务器。对Web服务器建立虚拟根环境有各种各样的优点和缺点。在Web发展的早期阶段，这种技术还提供了额外的有价值的安全机制。但是在这个apache的领域中，这种技术似乎没有太大的用处，可它仍旧很有趣。

我提供对apache在linux和soloris环境下实现虚拟根环境的安装的例子，它既可以做标准的编辑（在必要的时候被标记为non-DSO）或者做动态共享对象编辑（在必要时它将被标记为DSO）。选项为DSO的Solaris的例子还没有进行文档化，所以我没有测试它（我打算在测试时使用Solaris 8）。

在Linux上安装一个虚拟根环境化的Apache目录树是相当的简单的。这个例子使用的是Red Hat 6.*和Apache 1.3.12。同时，它也包含PHP4（作为一个Apache模块），以及在虚拟根环境化的目录树上的perl5的安装。另外还安装了mod-ssl和mod-perl。

该例也假定Red Hat 安装比较完整 （即：有足够的文件、库和开发工具）。注意，如果你安装Red Hat时用了custom（prefered）的配置，并且选择了development选项；或者你就是使用了服务器（server）配置，你都会有一个完全的开发环境。

Mysql3.22.27并没有安装在实现了虚拟根环境目录树中，但是为了完整性我们在此将它包含进去。

声明

我并不是个专家:)，尤其在加密方面（openssl、mod-ssl和company）我的水平更是有限。我也是个普通的人，也会犯错误，所以，如果你发现了什么或是有什么建设性的意见，请告诉我。

我写这篇文章只是希望，你能从中学到一些东西，获得一些帮助。我也可以经常提供一些RPM，但如果你知道你可以从草图开始，独立的建一个自己的现代Web网站，那恐怕会更有趣些。但是，在当前的Internet上，学习、理解关于运行一个Web网站各种问题以及所冒的风险，都要靠你自己了。

Solaris 例子
对Web目录树进行虚拟根环境化的solaris的例子与Linux的例子十分相似。当然，如果你没有安装GNU开发环境，solaris的例子就不可能像Linux例子那样容易。

Solaris的例子文档在另一个web页中。

附加的注释

使用工具ldd来发掘必要的共享库。
在这个例子中，用户有这样的提示：
root user:
ROOT#
ordinary user:
$

我基本上都是作为普通用户而不是root用户来编译和安装各种软件的。这有助于避免对文件系统（尤其是在使用不熟悉的软件时）造成的不必要的破坏。这也有助于在进行危险操作前给以警示，例如在已经安装的二进制文件上的“setuid"操作，以及在不寻常的地方安装文件的操作等危险操作前的警示。
在这个例子中，我作为用户soft:soft来进行编译和安装等操作。

其实，只要保证软件的所有者的身份ID与Apache目录树用户的ID（在本例中我们用的是888）不同就可以了。

Red Hat的缺省root环境中，有一个交互式的开关-I被加在命令cp、mv和rm上。如果你的root环境中没有这些设置，建议你最好将它加上。你可以检查下面的文件：

ROOT# alias |grep '-i'
alias cp='cp -i'
alias mv='mv -i'
alias rm='rm -i'

你应当使你的配置尽量的简单——不要安装那些用不到或根本不必要的模块。一般说来，一个标准的non-DSO（非动态共享对象）Apache，在安装一个perl，对大多数人都是足够的。
关于DSO和mod-ssl需要注意的地方:
如果你打算把任何东西都按照DSO模版进行编译，那你首先要建立mod-ssl，然后你确实要按照下面的顺序建立自己的Apache目录树。Mod-ssl会明显的修改Apache 建立的目录树，据我的经验，在使用我们刚才提到的软件版本的前提下，下面的顺序是做起来最简单的顺序：

建立Apache
在Apache中建立和增加mod-ssl
在Apache中建立和增加php 和mod-perl。
你应该在适当的地方记录下来你是如何编译你的目录树的，以便再做时参考。（你可以将其打印出来，并加上注释）
安装了各种软件之后，最终的虚拟根环境化的目录树有23MB，其中包含了8MB的共享库和perl。下面是基于DSO安装的文件的总结（以KB表示）：
ROOT# pwd
/www
ROOT# du -s .
22737 .
ROOT# du -s *
6832apache
0 bin
1 dev
7 etc
6679lib
1 tmp
9215usr
1 webhome
ROOT# du -s apache /*
600 apache /bin
3 apache /cgi-bin
125 apache /conf
1560apache /htdocs
133 apache /icons
392 apache /include
3925apache /libexec
64 apache /man
29 apache /var
ROOT# du -s usr/*
8410usr/Local
336 usr/bin
340 usr/lib
128 usr/share
1.获得源代码

如果你想将一个包加入到你的虚拟根环境化的目录树中，那你必须获得这个包中任何一个文件的源代码。多数源文件都可以从相应的Linux版本的被称为SRPMs（RPM源代码包）的原码光盘中获取；当然也可从tarball文件（.tar.gz）中获取（这种方法很适合于你的带宽有限的情况）。

在Red Hat 系统中你作为root用户安装Source：

ROOT# rpm -i /path/to/SRPMfile.src.rpm

然后，在/usr/src/redhat/SOURCES/目录中提取出源代码。

在我们的例子中我将指出，在Internet上你可从何处获取这些源代码：

软件包版本号源代码文档信息
Apache 1.3.12www.apache.org/dist/www.apache.org/docs/
MySQL3.22.27 www.mysql.com/downloadswww.mysql.com/documentation/
PHP4.0.2www.php.net/downloads.phpwww.php.net/docs.php
Perl 5.00503 www.cpan.org/src/ www.cpan.org/doc/manual/html/index.html
mod_perl1.24 perl.apache.org/dist/ perl.apache.org/#docs
Hello.pm perl.apache.org/dist/contrib/
mod_ssl 2.6.6-1.3.12 ftp://ftp.modssl.org/source/www.modssl.org/docs/2.6/
OpenSSL 0.9.5aftp://ftp.openssl.org/source/www.openssl.org/support/faq.html
RSAref2.0google search google search

2.步骤细节

准备好一个虚拟根环境化后的文件系统

2.1 在任何一个地方安装目录树

注意：最好是在另一个磁盘上，或是在非系统分区上安装，这样可以避免别人从Web目录树以外建立到文件的连接，但是你可以使用symlink(例如：/www)连接来找到这棵目录树。

ROOT# mkdir /export/misc/www
ROOT# ln -s /export/misc/www /www

2.2 生成基本的目录，bin将是usr/bin的连接

注意： 在这些例子中（除了我直接从一般文件系统中拷贝的代码）我都省略了前导的“/”，所以，注意不要将你的虚拟根环境化的目录树与真正的“/”混淆。

在下面我将用紫红色标记出虚拟根环境化的文件

ROOT# cd /www
ROOT# mkdir -p usr/bin usr/lib lib etc tmp dev webhome
ROOT# ln -s usr/bin bin

2.3 /tmp是假定的专用perms

ROOT# chmod 777 tmp
ROOT# chmod +t tmp

2.4 构造特殊的装置 dev/null

ROOT# mknod -m 666 dev/null c 1 3

2.5 为你自己的时区设定时区信息（这里使用的是MET）

ROOT# mkdir -p usr/share/zoneinfo
ROOT# cp -pi /usr/share/zoneinfo/MET usr/share/zoneinfo/
ROOT# cd etc
ROOT# ln -s ../usr/share/zoneinfo/MET localtime
ROOT# cd ..

2.6 你会发现由于缺乏本地设置，perl和mod-perl多有不便，但你可以通过在实现了虚拟根环境目录树中安装本地文件来克服它：

ROOT# set |grep LANG
LANG=en_US
ROOT# mkdir /www/usr/share/locale
ROOT# cp -a /usr/share/locale/en_US /www/usr/share/locale/

2.7 现在，在可以提供非常基础的虚拟根环境化的文件系统的共享库

ROOT# cp -pi /lib/libtermcap.so.2 /lib/ld-linux.so.2 /lib/libc.so.6 lib/

2.8 测试你的目录树（Apachect1后面将要用到“cat”，但也不是必需的）

ROOT# cp -pi /bin/ls /bin/sh /bin/cat bin/
ROOT# chroot /www /bin/ls -l /

lrwxrwxrwx 1 00 7 Jan 29 09:24 bin -> usr/bin
drwxr-xr-x 2 001024 Jan 29 09:28 dev
drwxr-xr-x 2 003072 Jan 29 13:17 etc
drwxr-xr-x 2 001024 Jan 29 13:12 lib
drwxrwxrwt 2 001024 Jan 29 09:23 tmp
drwxr-xr-x 5 001024 Jan 29 09:23 usr
drwxr-xr-x 2 001024 Jan 29 10:41 webhome

2.9 你可以移动一下ls，它只是用于测试的。

ROOT# rm bin/ls

3.准备一个用户和名字服务器

下面我们生成一个运行Apache的用户，下面是这种配置的必要的命名服务：

3.1 生成一个不存在于系统上的新的用户，给他起一个特殊的名字和用户ID(例如888)。

注意：对于存在真正的鉴定文件(/etc/passwd /etc/group)的user.group,这并不是必需的，完全有你决定：

ROOT# cd /www
ROOT# touch etc/passwd etc/group etc/shadow
ROOT# chmod 400 etc/shadow

3.2 编辑三个文件，在这个例子中，我只是将数据再传回文件中：

ROOT# echo 'www:x:888:888:Web Account:/webhome:/usr/bin/False' > etc/passwd
ROOT# echo 'www:x:888:' > etc/group
ROOT# echo 'www:*:10882:-1:99999:-1:-1:-1:134537804' > etc/shadow

3.3 我没有给这个用户login或shell，只是为了完整，编译了一下称为false的no-go shell。

ROOT# echo 'int main(int argc, char *argv[]) { return(1); }' > /tmp/False.c
ROOT# cc -o /www/usr/bin/False /tmp/False.c

3.4 下面让我们标记一下二进制流：

ROOT# chmod 111 usr/bin/*

3.5 一些命名服务是必须的。但是由于glibc和命名服务转换库的存在，那些库是必不可少不是那么一目了然的。至于其中的细节，你可以使用命令“man nsswitch”来察看。尽管在我的机器上运行着网络信息服务(NIS)，但我还是选择依赖于文件和域名服务（DNS）。注意：libresolve库也是必需的，在安装了PHP之后，这种需求就相当明显了。

ROOT# cp -pi /lib/libnss_files.so.2 lib/
ROOT# cp -pi /lib/libnss_dns.so.2 lib/

3.6 我们将需要三个文件来完成对命名服务的配置。

这些文件的内容决定于你IP和DNS设置。在这里我们假定web服务器的名字是ns.mynet.home，它的IP地址是:192.168.196.2（实际上它也是我的名字服务器）

# ---- Contents ofetc/nsswitch.conf ----#
passwd: files
shadow: files
group: files
hosts: files dns

# ---- Contents ofetc/resolv.conf ----#
domain mynet.home
## use the IP address of your naming server
## if bind is not installed on your web server
#nameserver 192.168.196.xxx
## use this if your web server is a (caching) name server
nameserver 127.0.0.1

# ---- Contents ofetc/hosts ----#
127.0.0.1 localhost loopback
192.168.196.2 ns.mynet.home ns www

4.编译和安装Apache

4.1 为Apache的安装建立顶层目录，并且在真正的目录树中生成到它的系统连接。

ROOT# mkdir /www/apache
ROOT# ln -s /www/apache /apache

4.2 我都是作为一般的用户来进行安装和编译的工作的（就像这个例子中的softs），

注意：Apache的安装是需要root身份的。在这个例子中我是在usr/local/src/chr （该文件是属于softs:softs的）中进行源代码编译的

$ cd /usr/local/src/chr
$ tar zxf /path/to/apache_1.3.12.tar.gz
$ cd apache_1.3.12

4.3 编辑config.layout，这样它将包含一个称为chroot的特殊的设计(layout)。

# chroot layout.

prefix:/apache
exec_prefix: $prefix
bindir:$exec_prefix/bin
sbindir: $exec_prefix/bin
libexecdir:$exec_prefix/libexec
mandir:$prefix/man
sysconfdir:$prefix/conf
datadir: $prefix
iconsdir: $datadir/icons
htdocsdir: $datadir/htdocs
cgidir:$datadir/cgi-bin
includedir:$prefix/include
localstatedir: $prefix/var
runtimedir:$localstatedir/logs
logfiledir:$localstatedir/logs
proxycachedir: $localstatedir/proxy

4.4 现在进行配置和构造

non-DSO:

$ ./configure --with-layout=chroot --enable-module=most --enable-module=so

使得模块“so”有效，这样以后你可以运用DSO+APXS机制，通过第三类模块（3rd party module）来扩充你的Apache安装。

DSO:

$./configure --with-layout=chroot --enable-module=most --enable-shared=max
$ make
ROOT# make install ## I am root!

4.5 现在来拷贝在例子Apache要用到的共享库

注意对于其他的配置，可能会用到其他的库（你可以通过ldd来查询）

ROOT# cd /www
ROOT# cp -pi /lib/libm.so.6 /lib/libcrypt.so.1 /lib/libdb.so.3 lib/
ROOT# cp -pi /lib/libdl.so.2 lib/

4.6 可以进行快速测试来看看结果

快速测试时，配置文件/www/apache/conf/httpd.conf中需要编辑的主要部分是：

User www
Group www
ServerName yourserver.yourdomain.here
Port 8088 ## pick your favourite test port

4.7 启动后台程序（daemon）

ROOT# chroot /www/apache/bin/apachectl start

4.8 测试URL

$ lynx -dump http://yourserver/

测试在另一个端口（如：8088）上的URL

$ lynx -dump http://yourserver:8088/

4.9 这儿有一个小的perl脚本程序，它将大多数的注释从已生成的配置文件中删除，形成一个简化的文件。

4.10 将htdocs目录树的所有权交给Web目录树的所有者

ROOT# chown -R 888:888 /www/apache/htdocs

5.编译和安装MySQL

MySQL并不是安装在虚拟根环境化的目录树上的，事实上，它有可能是安装在其它系统上的。但在我的例子中，它是和Apache安装在一个web服务器上的。

这个例子包括生成用户和数据库所在地，以及生成初始的数据库

5.1 生成用户，他将是MySQL数据库的所有者。

例如：在home/mysql/中生成一个用户777：777

ROOT# groupadd -g 777 mysqldba
ROOT# useradd -c "mysql DBA" -d /home/mysql -u 777 -g 777 -m -n mysql

5.2 解开原码，并将原码目录树给mysql的用户

ROOT# groupadd -g 777 mysqldba
ROOT# useradd -c "mysql DBA" -d /home/mysql -u 777 -g 777 -m -n mysql

5.3 现在作为mysql用户，为mysql数据库建立目录，并开始安装和编译mysql

$ mkdir ~/db ## where the DB will reside
$ cd /usr/local/src/mysql-3.22.27
$ ./configure --localstatedir=/home/mysql/db --prefix=/usr/local/mysql
$ make
$ make install

5.4 生成*MySQL*授权表（只有在安装*MySQL之前，这才是必须的）

$ ./scripts/mysql_install_db

5.5 安装和修改数据库的启动脚本，将数据库的所有者从root变为mysql

ROOT# cd /usr/local/src/mysql-3.22.27/
ROOT# cp support-files/mysql.server /etc/rc.d/init.d/
ROOT# chmod 755 /etc/rc.d/init.d/mysql.server
ROOT# [ edit /etc/rc.d/init.d/mysql.server: ]
mysql_daemon_user=mysql ## so we can run mysqld as this user.
ROOT# chkconfig --add mysql.server ## permanently add server to rc scripts

5.6 在安装了mysql之后，必须清空共享库的cache。

ROOT# /sbin/ldconfig -nv /usr/local/lib

5.7 为mysql的所有者编辑PATH变量，并且设定数据库的root密码。

$ [ Edit shell login script .bash_profile: ]
PATH=$PATH:$HOME/bin:/usr/local/mysql/bin
$ . ~/.bash_profile ## source it!
$ mysqladmin -u root password '2mUch!data' ## pick your own password!

6.编译和安装PHP

6.1 先停止Apache后台程序（daemon）的运行

ROOT#chroot /www /apache/bin/apachectl stop

6.2 你首先要编译PHP

如果你使用的是non-DSO安装，你必须重新编译Apache。（每次要升级non-DSO包中的任何一个软件时，你都要再这样做一遍。）

$ cd /usr/local/src/chr ## I am NOT root!
$ tar zxf /path/to/php-4.02.tar.gz
$ cd php-4.02

non-DSO:

$ ./configure --with-mysql=/usr/local/mysql
--with-apache=../apache_1.3.12 --enable-track-vars
--with-config-file-path=/apache/conf --sharedstatedir=/tmp

DSO:

$ ./configure --with-mysql=/usr/local/mysql
--with-apxs=/apache/bin/apxs --enable-track-vars
--with-config-file-path=/apache/conf --sharedstatedir=/tmp

DSO:

(or add CFLAGS switch when mod_ssl was also configured as a DSO module)
$ CFLAGS=-DEAPI ./configure --with-mysql=/usr/local/mysql
--with-apxs=/apache/bin/apxs --enable-track-vars
--with-config-file-path=/apache/conf --sharedstatedir=/tmp
$ make

non-DSO:

$ make install

DSO:

ROOT# make install

进行DSO的PHP安装“make install”时，你必须是root。因为模块是直接进入模块目录树/apache/libexec的，另外，Apache的配置文件也改变了。

6.3 现在只讨论non-DSO安装，先重新编译Apache，再激活PHP模块

$ cd ../apache_1.3.12/
$ ./configure --with-layout=chroot
--enable-module=most --enable-module=so
--activate-module=src/modules/php4/libphp4.a
$ make
ROOT# make install ## I am root!

6.4 在实现了虚拟根环境目录树中，对PHP需要更多的共享库，可以用ldd来查看

For non-DSO: ldd /apache/bin/httpd

For DSO: ldd /apache/apache/libexec/libphp4.so

可以使用小的for循环，从/lib和/usr/lib中拷贝所需的文件

ROOT# cd /www
ROOT# for i in libresolv.so.2 libnsl.so.1 libpam.so.0 ; do
> cp -pi /lib/$i /www/lib/ ; done
ROOT# for i in libgd.so.1 libgdbm.so.2 libz.so.1; do
> cp -pi /usr/lib/$i /www/usr/lib/ ; done

6.5 如果你需要mysql，你必须从它编译的地方安装相应的库

ROOT# cp -pi /usr/local/mysql/lib/mysql/libmysqlclient.so.6 /www/usr/lib/

6.6 你必须编辑httpd.conf文件，这样它才可以识别出.php文件

ROOT# cd /apache/conf
ROOT# [ edit /apache/conf/httpd.conf ]
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps

6.7 重新启动后台程序（daemon）

ROOT# chroot /www /apache/bin/apachectl start

6.8 在non-DSO中，你可以检查已经编译过的PHP

ROOT# chroot /www /apache/bin/httpd -l | grep php
mod_php4.c

6.9 这儿有一个小的helloworld的脚本程序来测试php，它必须作为hello.php来安装。如果你想要浏览源代码的话可以拷贝一份或建立到hello.phps的系统连接。测试完，要关闭这个连接。

7.编译和安装perl

你可以简单的将/usr/lib/perl5拷贝到www/usr/lib,并将usr/bin/perl5.00503（假定是Red Hat6。0版本）拷贝到www/usr/bin中，这样了事。同时，你需要检测并安装任何缺少的共享库，你也需要建立从usr/bin/perl5.00503到/www中的/usr/bin/perl的硬连接。

简单的方法是：

ROOT# cp -a /usr/lib/perl5 /www/usr/lib/perl
ROOT# cp -p /usr/bin/perl5.00503 /www/usr/bin/
ROOT# cd /www/usr/bin
ROOT# ln perl5.00503 perl

但是，我还是讲一下怎样安装和编译perl，如果你想要安装mod-perl,你就必须在此编译perl：

7.1 建立向虚拟根环境化的目录树中安装的必要的连接。

本例中使用目录树中的usr/Local。之所以用他，是有道理的，注意不要将他与usr/local混淆。安全起见，我还是使用softs用户来安装

ROOT# mkdir /www/usr/Local
ROOT# ln -s /www/usr/Local /usr/local
ROOT# chown softs:softs /www/usr/Local

7.2 从RedHat中获取RPM的源代码

ROOT# rpm -i /path/to/perl-5.00503-2.src.rpm

7.3 作为源代码目录树的所有者，解开Perl

$ cd /usr/Local/src/chr
$ tar zxf /usr/src/redhat/SOURCES/perl5.005_03.tar.gz

7.4 RedHat在SRPM中包含了一些补丁。你可以使用相应版本的补丁。在这个例子中，我用了RedHat6。0的补丁。

$ cp /usr/src/redhat/SOURCES/perl*.patch .
$ cd perl5.005_03
$ patch -p1 <../perl5-installman.patch
$ patch -p1 <../perl5.005_02-buildsys.patch
$ patch -p1 <../perl5.005_03-db1.patch

7.5 你需要运行Configure，并接受大多数的却生设置。你可能也想对man页的none加以特殊说明。下面是我对确生设置的一些修改：

$ ./Configure
architecture name? i386-linux
Installation prefix to use? /usr/Local
Directories to use for library searches? /lib /usr/lib /usr/Local/lib
install perl as /usr/bin/perl? n

7.6 编译和运行它

$ make
$ make test
$ make install

7.7 建立在usr/bin目录树中到perl的连接。

如果你没有安装mod-perl，你需要将perl目录树的所有权转交给root。（不过这也不是必须的，只要Web目录树的所有者对perl目录树的权限是只可读的就行了）

ROOT# cd /www/usr/bin
ROOT# ln -s ../Local/bin/perl perl

7.8 检查共享库，安装任何缺的库（这主要决定于你的配置）

在这个例子中，我们不缺任何库：

ROOT# ldd /www/usr/bin/perl
libnsl.so.1 => /lib/libnsl.so.1 (0x4001b000)
libdl.so.2 => /lib/libdl.so.2 (0x40031000)
libm.so.6 => /lib/libm.so.6 (0x40035000)
libc.so.6 => /lib/libc.so.6 (0x40052000)
libcrypt.so.1 => /lib/libcrypt.so.1 (0x40147000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)

7.9 测试你的安装：

ROOT# chroot /www /usr/bin/perl -v
This is perl, version 5.005_03 built for i386-linux
...

7.10 设置安装在Apache服务器上的perl例子的cgi bin 脚本

ROOT# cd /www/apache/cgi-bin
ROOT# chmod ugo+x *

7.11 启动Apache服务器，测试perl cgi bin脚本的例子

ROOT# chroot /www /apache/bin/apachectl start
$ lynx -dump http://yourserver/cgi-bin/printenv

同时检查test-cgi

$ lynx -dump http://yourserver/cgi-bin/test-cgi

7.12 最后将执行的二进制位从cgi脚本中去除，或完全去除。不要留对外的连接。

ROOT# chmod ugo-x /www/apache/cgi-bin/*

8.编译和安装mod-ssl

如果你打算使用DSO方式安装mod-ssl，我希望你已经读过前面的附加注释段。

你必须编译openssl和mod-ssl，我还选择编译了rsaref version 2.0.你应当阅读一些关于mod-ssl的文档信息，以便理解mod-ssl的一些发行版本和选项。

注意，openssl和rsaref提供了包含文件、库和开发工具，它使得你可以编译mod-ssl，所以决不能说它是虚拟根环境化的目录树的一部分，或者说是安装在该目录树中的。

8.1 抽取openssl、mod-ssl和rsaref20的源代码

$ cd /usr/local/src/chr
$ tar zxf /path/to/mod_ssl-2.6.6-1.3.12.tar.gz
$ tar zxf /path/to/openssl-0.9.5a.tar.gz
$ mkdir rsaref-2.0
$ cd rsaref-2.0
$ tar zxf /path/to/rsaref20.1996.tar.Z

8.2 配置和建立RSA参考库。

注意，在64位结构中你用rsaref必须在mod-ssl包中的INSTALL文件中读取文档信息。

$ cd /usr/local/src/chr/rsaref-2.0
$ cp -rpi install/unix local
$ cd local
$ make
$ mv rsaref.a librsaref.a

8.3 配置和建立openssl库

$ cd /usr/local/src/chr/openssl-0.9.5a
$ ./config -L/usr/local/src/chr/rsaref-2.0/local -fPIC
$ make
$ make test# inspect output for anomalies

8.4 你可能想要安装包，当然不是安装在目录树上了。

在这儿，我假设softs拥有usr/local/tree，因为安装openssl的缺省的前缀/usr/local/ssl 。但是，也不是必须要安装这个包，因为你可以在src目录树外进行操作，来建立mod-ssl。

$ make install

8.5 配置open-ssl

$ cd /usr/local/src/chr/mod_ssl-2.6.6-1.3.12
$ ./configure -with-apache=../apache_1.3.12

8.6 进入Apache目录树中，完成建立、配置、运行和构造

$ cd /usr/local/src/chr/apache_1.3.12

non-DSO:

$ SSL_BASE=../openssl-0.9.5a RSA_BASE=../rsaref-2.0/local
./configure --prefix=/apache --with-layout=chroot
--enable-module=most --enable-module=so --enable-module=ssl
--disable-rule=SSL_COMPAT --enable-rule=SSL_SDBM
--activate-module=src/modules/php4/libphp4.a
--activate-module=src/modules/perl/libperl.a

DSO:

$ cd src/modules
$ make clean ## seems to be necessary if you previously compiled in the apache tree
$ cd ../../
$ SSL_BASE=../openssl-0.9.5a RSA_BASE=../rsaref-2.0/local
./configure --prefix=/apache --with-layout=chroot
--enable-module=most --enable-shared=max --enable-shared=ssl
--disable-rule=SSL_COMPAT --enable-rule=SSL_SDBM
$ make

8.7 重新安装Apache。如果他在运行，要停止运行再安装。

ROOT# chroot /www /apache/bin/apachectl stop
ROOT# make install ## I am root!

8.8 对于non-DSO安装你可以检测内部编译模块。

ROOT# chroot /www /apache/bin/httpd -l | grep -E '(php|perl|ssl)'
mod_ssl.c
mod_php4.c
mod_perl.c

8.9 在实现了虚拟根环境目录树中生成随机的设备

ROOT# cd /www/dev
ROOT# mknod random c 1 8
ROOT# mknod urandom c 1 9

8.10 将缺省配置文件融合到你当前的httpd.conf文件中。

我在不同于标准端口（80端口）的其他端口上进行了测试，但是对于安全端口（443端口），没有web服务起跑再它上面，所以我马上就会用一下这个端口。

在这个例子中，我对缺省的配置文件httpd.conf的一些修改如下：

User www
Group www
ServerName yourserver.yourdomain.here
Port 8088 ## pick a test port
Listen 8088 ## in 'IfDefine SSL' section
Listen 443 ## this is the standard secure port!

AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
# your Hello.pm script for mod_perl testing:

SetHandler perl-script
PerlHandler Apache::Hello

SSLCertificateFile /apache/conf/server.crt
SSLCertificateKeyFile /apache/conf/server.key
# in this example I generate the key and crt files into /apache/conf
8.11 如果你现在还没有一个服务器的关键字（keys）和认证（certficate），那么现在就生成它。

在这个例子中我假设openssl在你的路径中，因为你已经安装了它。如果没有，你就把它加到路径中。注意，我已经认定了我的关键字，如果你要做非常重要的事，你最好利用授权机制来分发这些关键字。

ROOT# cd /www/apache/conf
set up a path of random files（为random文件生成路径）
ROOT# randfiles='/var/log/messages:/proc/net/unix:/proc/stat:/proc/ksyms'
generate the server key（产生服务端的密钥）
ROOT# openssl genrsa -rand
$randfiles -out server.key 1024
产生带签名的请求（在认证自己的时候不要加密码）
注意你的Common Name必须匹配你完全有权访问的web server name
ROOT# openssl req -new -nodes -out request.pem -key server.key
签上你自己的密钥（有效期一年）
ROOT# openssl x509 -in request.pem -out server.crt -req -signkey server.key -days 365
保护你的密钥和证书
ROOT# chmod 400 server.*
删除请求文件
ROOT# rm request.pem
可选择性地加密你的密钥
ROOT# mv server.key server.key.unencrypted
ROOT# openssl rsa -des3 -in server.key.unencrypted -out server.key
ROOT# chmod 000 server.key.unencrypted ## better yet delete it!
当你改变注意，你决定从你的密钥中删除加密的密码。
ROOT# openssl rsa -in server.key -out server.key.un
ROOT# mv server.key.un server.key
ROOT# chmod 400 server.key

8.12 不用ssl来启动Apache，以确保它在工作。

ROOT# chroot /www /apache/bin/apachectl start
$ lynx -dump http://yourserver:8088/

8.13 用ssl来重启Apache，并用netscape来测试它。

ROOT# chroot /www /apache/bin/apachectl stop
ROOT# chroot /www /apache/bin/apachectl startssl
$ netscape https://yourserver/

8.14 现在你可能想要编辑你的server配置文件，并在标准端口(80端口)上设置服务器。

如果你测试配置，你不需要在443端口上进行配置。

9.一些安全考虑

可以从一些在线Apache文档中获取帮助。一个需要特别注意的地方是在httpd脚本上进行的授权改变。

ROOT# chmod ugo-rw /www/apache/bin/*

10.摆脱你自己的虚拟根环境化环境

当你有意要摆脱自己的虚拟根环境化环境时，一定要十分小心。在Unix世界中完成一项任务总是有不同的方法，你可以尝试其他的方法。

我提供了下面一个例子，它可以通过cgi脚本或php来激发。

...
/** construct the file name as $f **/
$cmd = "/bin/mail "-s Some-subject-line -t webmaster@localhost -f $f"";
$op = exec( $cmd, $arr, $retval );
...
?>

文件被称为wwwmail.c。

11.安装以后进行清除工作

11.1 去除安装时一些必要的临时连接

ROOT# rm /apache /usr/Local

11.2 通过在etc/rc.d/init.d中安装称为httpd的启动脚本文件来自动启动Apache。如：

Standard appache on port 80
Apache on ports 80 and 443 (startssl)

接着在其上运行chkconfig来建立象征性的连接

ROOT# chkconfig --add httpd
ROOT# chkconfig --list httpd
httpd 0:off 1:off 2:on3:on4:on5:on6:off

11.3 自动的记录triming文件。

在RedHat系统中你可以自己定义要记录那个文件，及参数，只用在etc/logrotate/conf中说明就行了。

12.基于RPM的收获文件

在这儿我没有时间完全文本化它，你可以从RPMS中获取它，然后不需要编译原码就生成一个虚拟根环境化的Web目录树。现在我有两个脚本，以后我会对他们文档化的：

Script file based on Red Hat 7.0 that will harvest the RPMs
Script file for creating temporary SSL key and certificate (testing purposes only!!!)