debian--从安装到升级

formalin14

Expect, though I have not get my fcitx work, I must reply this post.
Ding!Ding!

shadoww

如此好文，何不整理成 PDF 文档，作为朋友们的指路明灯？

neixian

有两种方式可以实现https（加密的http）服务：
1、安装apache-ssl ，方式简单，但定制似乎困难。
2、安装apache和mod-ssl（我使用apache和mod-ssl,所以不用安装apache－ssl）
下面我按照2的搞法来配置：
先安装apache和libapache-mod-ssl：
apt-get install apache libapache-mod-ssl

https服务的关键是apache服务器的私钥和证书，因为mod-ssl需要这两个东西来向用户证明自己的身份。生成apache证书之前，当然也需要一个根证书，由于你没有合法的正式的根证书，只好自己凑合一个自签名的根证书了。
可以这样做，同时生成根证书和服务器证书：
dpkg-reconfigure libapache-mod-ssl
按照提示一步一步做就可以了，
当然，你也可以手动用openssl一步一步来生成自签名证书和服务器证书，稍微麻烦一点，不过还是有用的：
1、首先，看看你的/etc/ssl/openssl.conf的配置参数，以便知道你生成的证书类型、位置，或者你可以修改一些默认参数，比如国家代码、省份、城市、组织名称等等。具体可以查看openssl文档。
2、然后生成自签名根证书：
        tac:/etc/ssl# openssl req -x509 -newkey rsa -out cacert.pem -outform PEM
        Generating a 1024 bit RSA private key
        ...............++++++
        .....................................++++++
        writing new private key to 'privkey.pem'
        Enter PEM pass phrase:
        Verifying - Enter PEM pass phrase:
        -----
        You are about to be asked to enter information that will be incorporated
        into your certificate request.
        What you are about to enter is what is called a Distinguished Name or a DN.
        There are quite a few fields but you can leave some blank
        For some fields there will be a default value,
        If you enter '.', the field will be left blank.
        -----
        Country Name (2 letter code) [CN]:
        State or Province Name (full name) [Hunan]:
        Locality Name (eg, city) [Changsha]:
        Organization Name (eg, company) [SecureFree Orgnization]:
        Organizational Unit Name (eg, section) [SI]:
        Common Name (eg, YOUR name) []:Jing
        Email Address []:neixian@hotmail.com
        注意，上面输入的pass phrase是根证书私钥的加密密码，绝对不能泄漏和忘记。
  可以用下面的明令来查看该证书的内容，
        openssl x509 -in cacert.pem -text -noout
  可以看到，里边的内容，如密码长度（modules）等，与openssl.conf里边的配置是一致的，

3、有了根证书，我们可以发放服务器证书了，先生成一个证书请求：
        openssl req -newkey rsa:1024 -keyout server.key -keyform PEM -out serverreq.pem
  可以用下面的命令来查看该证书请求的内容：
        openssl req -in serverreq.pem -text -noout

4、最后就是形成apache能够使用的服务器证书了：
  由于生成的任何一个证书，都要在newcert下面放置他们，并给serial文件内容增加1，并且修改        index.txt    文件的内容，所以，我们需要创建这个文件夹和这两个文件：
        mkdir myCA/newcerts
        touch myCA/serial
        touch myCA/index.txt
        echo '01' > myCA/serial
  然后，生成服务器证书：
        openssl ca -in serverreq.pem
  期间，会要求你输入根证书的私钥密码，因为它需要根证书的私钥来对证书签名。并且，会提示证书的一些信   息，让你确认正误。如果没有问题，敲入y便生成了证书。
  可以查看，serial文件，的确增加了1，index.txt文件也包含了证书的相关信息，如序列号和有效性信息。
  
  显然，这个证书和第三步生成的私钥 server.key，正是apache服务器利用mod-ssl模块启动https服务的东西。

5、配置虚拟服务器
  一般，而言，我们会让https服务使用443这个端口，并且该服务单独使用一个虚拟的服务器，所以，我们需要  在apache里边配置这样一个"per IP virtual host"（因为https服务不能使用per name virtual host，具体  原因请查询mod-ssl网站：www.mod-ssl.org）
  由于我只有一块网卡，首先，当然是配置单网卡双地址，编辑/etc/network/interfaces
        auto eth0 eth0:0
iface eth0 inet static
        address 192.168.9.77
        netmask 255.255.0.0
        network 192.168.0.0
        broadcast 192.168.255.255
        gateway 192.168.1.254

iface eth0:0 inet static
    address 192.168.9.22
        netmask 255.255.0.0
        network 192.168.0.0
        broadcast 192.168.255.255
  显然，192.168.9.22是虚拟网卡地址。

  我们在/etc/apache/http.conf里边，可以进行如下配置，让虚拟机工作：
<VirtualHost 192.168.9.22:80>
         ServerAdmin webmaster@securefree.org
         DocumentRoot /var/www/openca
         ServerName ca.securefree.org
         ErrorLog /var/log/securefree.org.log
         ScriptAlias /cgi-bin /usr/lib/cgi-bin/openca
         <Directory /var/www/openca>
            Options Indexes Includes FollowSymLinks MultiViews
            AllowOverride FileInfo AuthConfig Limit
            order deny,allow
              deny from all
              allow from 127.0.0.0/255.0.0.0
              allow from 192.168.0.0/255.255.0.0
         </Directory>
         <Directory /var/www/openca/cgi-bin>
            AllowOverride FileInfo AuthConfig Limit
            Options ExecCGI
            order deny,allow
              deny from all
              allow from 127.0.0.0/255.0.0.0
              allow from 192.168.0.0/255.255.0.0
         </Directory>
</VirtualHost>

  如果在浏览器地址栏输入该虚拟地址，应该可以看到网页信息了。
  现在要让apache运行ssl模块，配置如下：（所有配置都是从缺省配置中拷贝，然后按需作局部修改）

<IfModule mod_ssl.c>
        # These will make apache listen to port 443 in addition to the
        # standard port 80. HTTPS requests use port 443.
        Listen 443
        # Some MIME-types for downloading Certificates and CRLs
        AddType application/x-x509-ca-cert .crt
        AddType application/x-pkcs7-crl    .crl

        # Semaphore:
        #   Configure the path to the mutual exclusion semaphore the
        #   SSL engine uses internally for inter-process synchronization.
        SSLMutex file:/var/run/mod_ssl_mutex

        # Inter-Process Session Cache:
        #   Configure the SSL Session Cache: First either `none'
        #   or `dbm:/path/to/file' for the mechanism to use and
        #   second the expiring timeout (in seconds).
        #SSLSessionCache         dbm:/var/run/mod_ssl_scache
        #SSLSessionCacheTimeout  300
        SSLSessionCache         none

       # Pseudo Random Number Generator (PRNG):
        #   Configure one or more sources to seed the PRNG of the
        #   SSL library. The seed data should be of good random quality.
        SSLRandomSeed startup file:/dev/urandom 512
        SSLRandomSeed connect file:/dev/urandom 512

       # Logging:
       #   The home of the dedicated SSL protocol logfile. Errors are
       #   additionally duplicated in the general error log file.  Put
       #   this somewhere where it cannot be used for symlink attacks on
       #   a real server (i.e. somewhere where only root can write).
       #   Log levels are (ascending order: higher ones include lower ones):
       #   none, error, warn, info, trace, debug.
        SSLLog /var/log/apache/ssl_engine.log
        SSLLogLevel info

  <VirtualHost 192.168.9.22:443>
        SSLEngine On
#        SSLCertificateFile /etc/apache/ssl.crt/server.crt
#        SSLCertificateKeyFile /etc/apache/ssl.key/server.key
        SSLCertificateFile /etc/ssl/myCA/newcerts/01.pem
        SSLCertificateKeyFile /etc/ssl/myCA/server.key
        SSLOptions +StdEnvVars +ExportCertData +StrictRequire
         ServerAdmin webmaster@securefree.org
         DocumentRoot /var/www/openca
         ServerName ca.securefree.org
         ErrorLog /var/log/securefree.org.log
         ScriptAlias /cgi-bin /usr/lib/cgi-bin/openca
         <Directory /var/www/openca>
            Options Indexes Includes FollowSymLinks MultiViews
            AllowOverride FileInfo AuthConfig Limit
            order deny,allow
              deny from all
              allow from 127.0.0.0/255.0.0.0
              allow from 192.168.0.0/255.255.0.0
         </Directory>
         <Directory /var/www/openca/cgi-bin>
            AllowOverride FileInfo AuthConfig Limit
            Options ExecCGI
            order deny,allow
              deny from all
              allow from 127.0.0.0/255.0.0.0
              allow from 192.168.0.0/255.255.0.0
         </Directory>
</VirtualHost>

</IfModule>

  注意如下配置：      
SSLEngine On
#        SSLCertificateFile /etc/apache/ssl.crt/server.crt
#        SSLCertificateKeyFile /etc/apache/ssl.key/server.key
        SSLCertificateFile /etc/ssl/myCA/newcerts/01.pem
        SSLCertificateKeyFile /etc/ssl/server.key
        SSLOptions +StdEnvVars +ExportCertData +StrictRequire
  星号注释掉的证书和私钥，是dpkg-reconfigure libapache-mod-ssl自动生成的，而下面两个是我们上述手动一步  一步生成的。最后一行，是特殊应用要用到的，里如openca，好让服务器和客户端协商加密密钥长度用的（否 则，如果服务器使用加密长度128位，而客户端不能与之协商而使用了56位，那么会话将无法建立。）。
  重起apache：/etc/init.d/apache restart，我们就可以使用https服务了。

neixian

我觉得好多东西没有必要都安装了，特别是在我发现gnome如此难看和庞大之后，我决定用fvwm。
因为有一台新机器要用做OpenCA的服务器，我重新安装一遍deiban。这一次，我是尽量把不要用的的东西都不装，而不是象以前那样。
首先，当然是下载sarge的iso，然后刻成盘安装之。（当然也可以不刻，但是还是用cd装方便）
然后，编辑/etc/apt/sources.list，我喜欢用这个源：
deb http://debian.cn99.com/debian sarge main contrib non-free
升级到核心，2.6，并升级到最新发布版本：apt-get dist-upgrade

sarge采用grub，所以没有必要从lilo转道grub了。

安装udev，这个是建立/dev文件系统的，自动识别系统所有设备，你将几乎不需要再手动编辑/etc/modules文件，注意，我用了几乎，因为鼠标的挂载等还是要手动编辑的。

然后就是xserver-xfree8 xbase-client xfont-base这个三个x-windows系统最少需要安装的包了，不要去装什么x-window-system-core，或者x-window-system这样的任务包，因为象它安装什么tdm、100dpi、75dpi的字体，也许是你一辈子都不会用到的。

安装中文支持locales，我只选上zh_CN.GBK，省心。
安装输入法fcitx。

然后，安装fvwm:apt-get intall fvwm。慢慢享受吧，保证你会发疯的，但是fvwm很省硬盘、内存，速度飞快，可以自己定制桌面，定制后比windowsxp要漂亮很多，发疯也许值得。
fvwm字体问题要特别说明一下，省得大家浪费时间。
fvwm使用truetype字体，安装fcitx，会安装一个免费的字体tfm-arphic-gbsn00lp，但是我估计大多数人，还是喜欢微软的字体simsun，所以你可以把它拷贝到/usr/share/fonts/truetype/ms目录下，然后运行fc-cache -f -v来把所有的truetype字体加入系统缓存，让fvwm可以使用。用fc-list可以看到你有了simsun字体的。

要让fvwm使用simsun字体，办法就是在~/.fvwm/.fvwm2rc文件中这样定义:
MenuStyle * Font "StringEncoding=GBK-0:shadow 1 1 SE:xft:simsun:size=12:incoding=iso10646-1"
如果你使用utf-8编码，把GBK-0改成UTF-8即可，为什么要这样搞？请man fvwm，具体说是fvwm只能采用iso10646-1格式的编码字库，而双字节中文字符编码要进行转化的原因。

如果你不想使用simsun字体的truetype特性，那么你可能要装多余的软件如defoma、x-ttcidfont-conf，并制作simsun字体的hints文件等，很麻烦，但是有些软件还必须要他们。可以参考fvwm的文档，这里有个不错的介绍文字http://www.linuxsir.cn/forum.php?mod=viewthread&tid=48100

非truetype的simsun字体定义是这样的：
Font  "-*-simsun-medium-r-normal--14-*-*-*-p-*-gbk-0"

剩下的就是定义菜单、图标、任务栏、虚拟桌面等等等等。fvwm就是希望累死所有的用户，因为他们追求完美和漂亮。不过你可以去下载别人做好的，也可以用系统自动生成的，然后修改修改。

好了，桌面系统都装完了。系统很小，不是吗？

不过，没有gnome和kde的世界是什么样的？我们拭目以待吧。

大家会讲，没有终端，让我们用xterm这样对中文支持不好，又不能用透明窗口的东西？gnome-terminal多好，还有编辑器呢？kedit和gedit也用不了了？文件管理器用什么？

我喜欢用xfce的小巧实用的xterminal和leafpad，文件管理器我也喜欢用它的xffm，很漂亮。
下载地址在： www.os-works.com。

melocy

[ZT] 野路子::我的Linux工作平台配置与展示
网址： http://risker.org/tech/MyLinuxDesktop/index.html
评：  我推崇该文原因是，你只要按步骤做就可以了，而且提供配置文件下载。
另外，该文也是使用fvwm桌面。

我的Linux工作平台配置与展示
吴鲁加 04/17/2004 个人主页：http://risker.org 网络日志：http://blog.xfocus.net/wlj/

曾经多次尝试将工作平台转移到Linux上，但总是以失败告终。最大的原因是需要与大量windows用户进行文档交换，其中有很多 Microsoft Office的东西，也包括visio和project。近期工作重心转变，便再次尝试转换工作平台，没有太多的不适应。

先来参观一下我简单实用的Debian吧……

先是我的桌面，或许大多数人会觉得这样的桌面简直让人不知所措……因为简陋得让人无从下手。但如果你知道我按Alt+2就能够切换到第二个虚拟桌面、Alt+F1就能够最大化当前窗口、Alt+9就能打开浏览器上网……我几乎所有应用程序都可以用键盘或者鼠标快速操作，这样的界面，是简陋，还是简洁？

再来看看我的网络应用程序吧，这里是我的浏览器，用的是Mozilla-firefox；电子邮件客户端则采用一款叫sylpheed的软件；对一部份人来说，上网的另一大乐趣是聊天，那么，看看这个叫gaim的即时聊天工具吧……

很多人会说：我上班需要用到很多文档处理性质的工作，Linux操作起来很困难……其实，OpenOffice日趋成熟，按我实际使用情况来看，普通的word、excel和ppt文件在OpenOffice下打开问题不大(当然，如果是大型的网络建设方案，里面有大量OLE，或许显示起来会有问题，但，掉个头来想想，Microsoft Office还打不开OpenOffice做的文档呢……)，基本可以满足日常工作要求了，我们可以看看这幅打开powerpoint的截屏。

其它软件呢？有编辑文档的的gvim、有用来看pdf文件的acroread、有类似金山词霸的翻译软件星际译王、有看chm文件的xchm、有播放各种影音文件的mplayer、有不亚于photoshop的作图软件gimp……

如果实在有些软件Linux上没有，比如我现在偶尔用的SPSS或者MindManager，那么，我还可以用rdesktop连接远程windows服务器进行编辑处理

我不认为Linux是万能的，但如果你只要求一个普通的办公平台，除此之外，你还需要什么？

那，我们开始吧。
1 安装GNU/Linux系统和软件

GNU/Linux的世界里有太多的选择，Debian、RedHat、SuSE、Gentoo、Slackware等发行版，多数各有其优势和特点。这里我选择的是Debian。它自由、非商业、高质量的并且结构非常清晰。我选择它的原因，可以参见Reasons to Choose Debian。
1.1 下载netinstall光盘安装

由于Debian的apt工具可以非常简捷地安装应用软件，因此通常不需要下载完整的ISO文件。我下载了sarge每天测试性build出的ISO，大概一百多兆，可以直接写在cdrw上，避免浪费资源。

http://gluck.debian.org/cdimage/testing/sarge_d-i/i386/current/

也可以下载woody的netinst光盘，仅三十余兆。

http://people.debian.org/~blade/boot-floppies/netinst-full-pre/

我将系统分成四个分区，采用reiserfs，分别如下：

Device Boot      Start         End      Blocks   Id  System                mountpoint        comment
/dev/hda1               1         904     6834208+  83  Linux                /                根分区
/dev/hda2             905        1007      778680   82  Linux swap        swap                swap
/dev/hda3            1008        1653     4883760   83  Linux                /home                存放用户数据
/dev/hda4            1654        5168    26573400   83  Linux                /doc                存放大量文档

这样安装的好处是，即使重新安装系统，至少不用管/home和/doc里面的数据，系统重装完，基本上用户配置都完全没有变化。

安装过程非常简单，如果用sarge，在安装时选择简体中文，则系统的locale会自动选择好。

先编辑/etc/apt/sources.list，手工输入一行apt源：

deb ftp://mirrors.geekbone.org/debian sarge main non-free contrib

通常我习惯先装上ssh server，然后从另一台机器ssh上去，方便安装时的复制粘贴 ;)

apt-get update
apt-get install ssh

1.2 安装软件

Debian的优异特性在这时展露无遗，直接一条命令把想装的软件一次性装全吧。安装的速度视你网络速度而定。

apt-get install x-window-system-core bzip2 unzip gcc g++ autoconf automake make rxvt rxvt-ml debfoster vim vim-gtk fcitx stardict gaim \
fvwm rdesktop lftp sylpheed mozilla-firefox imagemagick scrot gqview  xmms gnupg gpa ethereal nmap nessus nessusd xdm mc xscreensaver \
modconf openoffice.org-l10n-zh-cn xchm dh-make lpr sudo bg5ps lynx gimp libgtk2.0-dev netcat libglade2-dev lsof smbclient smbfs

1.3 某些非官方软件

加上apt源：

deb ftp://debian.ustc.edu.cn/debian-uo/misc/i386 ./

然后运行：

apt-get install acroread-chfonts acroread mplayer-i686

2 部份与中文相关的处理

传统的中文美化三部曲：复制字体、修改全局配置文件、修改个人配置文件
2.1 复制字体

虽然有一些自由或者免费的字体可供使用，但感觉起来更适应simsun，所以将windows下的simsun.ttc复制到Linux下，我直接放在家目录下的.zh_CN。

在~/.zh_CN下建立文件fonts.dir，然后复制fonts.dir为fonts.scale，再创建一个文件叫encodings.dir，这就是我们的字体目录了。
2.2 修改全局配置文件

现在该将字体目录添加进XFree86相关的文件中了，这里就是我的/etc/X11/XF86Config-4和/etc/fonts/fonts.conf，前者主要增加了字体目录，并且将freetype改为xtt，后者只简单加入字体目录。

然后修改/etc/gtk/gtkrc.zh_CN，创建/etc/gtk-2.0/gtkrc，分别对gtk1.2和gtk2.0的应用程序全局字体进行定义。
2.3 修改个人配置文件

先是X启动时的文件：~/.xsession，然后与全局定义类似加入~/.gtkrc.zh_CN和~/.gtkrc-2.0，设置就基本完成。

3 部份应用软件的配置

GNU/Linux下的软件可以称得上是浩如烟海，对于刚准备从Windows转入Linux的朋友来说，可以先看看The table of equivalents / replacements / analogs of Windows software in Linux这篇文章，里面提到了绝大多数日常工作中可以用Linux产品替代的Windows软件。

按上述方式装好的系统，已经能够完成我日常99%的工作了，大多数比在Windows下还来得利索。这么一个系统的大小的情况基本如下所示：

aa@risker:~$ df -h
Filesystem            容量  已用 可用 已用% 挂载点
/dev/hda1             6.6G  1.1G  5.5G  17% /
tmpfs                 126M     0  126M   0% /dev/shm
/dev/hda3             4.7G  415M  4.3G   9% /home
/dev/hda4              26G  3.9G   22G  16% /doc

3.1 窗口管理器FVWM

fvwm的强大与灵活，可以说，用得越久，体会越深。对于fvwm的初学者，我推荐到王垠的主页看详细中文介绍。这里我只给出我的简单配置文件~/.fvwm/.fvwm2rc。
3.2 中文打印的处理

有篇mini HOWTO不错，可以参考。

    * 安装cupsys

      先是安装软件和确认打印机

apt-get install cupsys cupsys-bsd cupsys-client foomatic-bin samba smbclient gs-esp a2ps
smbclient -L 192.168.100.4 -U guest

      通过浏览器直接连接到cupsys的web控制界面：http://localhost:631/

      一些配置选项设成：

Device:Windows Printer via SAMBA
Device URI:smb://guest@192.168.100.4/HPLaserJ

      把Output Resolution改成600 DPI了，打印测试页正常。
    * 各种程序下的中文打印

      有些程序直接打印就很正常，比如OO，有部份程序，比如gedit之类的可以设置打印字体，但对sylpheed之类的软件，直接发送命令给lpr的，打印总是乱码，这时采用bg5ps这个软件来辅助。

apt-get install bg5ps

      调整~/.bg5ps.conf，修改设定至少以下项目：

Encoding="gb2312"
chineseFontPath="/home/aa/.zh_CN"
fontName_gb2312="simsun.ttc"

      运行命令测试：

bg5ps -if 20040324_DongGuan.txt |lpr

      打印中文正常。这样就可以在如sylpheed等软件中用类似bg5ps -if %s|lpr的命令输出中文了。
    * mozilla中文打印

      直接在/usr/lib/mozilla-firefox/defaults/pref/unix.js打开FreeType2再指定路径就行了，如下：

pref("font.FreeType2.enable", true);
pref("font.directory.truetype.1","/home/aa/.zh_CN");

    * 多页缩印

apt-get install mpage
mpage -4 mozilla.ps > out.ps|lpr

3.3 简捷的日程管理

由于没有装gnome或KDE，无法使用那些大型的日程管理软件，于是动起小巧心思，尝试过mozilla的calendar插件、vim插件、 emacs、gdeskcal等，都不是很满意，偶然想起有个命令叫cal，结合calendar命令，也就是简洁漂亮的日程管理工具了。

在calendar命令中，日期可以有多种表达方式，我首先在.xsession中保证calendar变量设置成为我们的calendar文件，该文件的写法就很灵活了……

aa@risker:~$ cat .xsession|grep calen
export calendar=/home/aa/.calendar/calendar.all
aa@risker:~$ cat /home/aa/.calendar/calendar.all
25 *                每月工作回顾(每位同事的绩效面谈、售后服务状况、1/2同事共事)
20 *                技术部标准发布内容更新一次
Friday                每周工作回顾(重点项目回顾、文件服务器)
09/18           9-18事变纪念日        
June Sun+3           父亲节(6月的第三个星期天)
May Sun+2       母亲节(五月的第三个星期天)

使用异常简单：

aa@risker:~$ calendar -A 5
4月 17         完成给xfocus的文档《中小型企业安全评估操作》
4月 19         确认公司邮件组事宜是否完成
4月 20*        技术部标准发布内容更新一次
4月 21         完成给xfocus的文档《弱点评估的工具、模型和方法》

3.4 其它

    * Samba支持中文共享名

      在samba中要直接连接中文共享名字的文件夹，往往会出错。需要在/etc/samba/smb.conf中的[global]段加上：

display charset = cp936
unix charset = cp936
dos charset = cp936

      这时再mount -t smbfs就可以直接使用中文共享名。
    * OpenOffice字体不认simsun

      由于openoffice只认识ttf字体，所以可以将字体做一个链接：

ln -s /home/aa/.zh_CN/simsun.ttc /usr/share/fonts/truetype/openoffice/simsun.ttf

      重新打开OpenOffice便正常了。
    * mc乱码

      mc是一款很精巧的字符界面文件管理器，但很奇怪的是它的中文部份显示不正确，反而影响了美观，因此干脆去掉中文的mo和hint。

rm -fr /usr/share/locale/zh_CN/LC_MESSAGES/mc.mo
rm -fr /usr/share/mc/mc.hint.zh

xxlm

楼主
小弟感激涕淋

zhenze12345

确实太好了！

Tonlion

附图在哪里呀??我是新手,我找不到楼主附图,哪位仁弟帮忙找找!!!

Tonlion

我安楼主的办法一切很顺利,可就在安装的gdm的时候选了默认为xdm方式,现在整个统都不能显示中文.登陆时也没有选择language的选项.我现在该怎么办呢??

lau

thank you