服务器环境：Ubuntu 8.10, OpenSSH_5.1p1 Debian-3ubuntu1, Apache 2.2.9, PHP 5.2.6-2ubuntu4

登录 – SFTP

传统的 FTP 肯定是不如这个安全，telnet 更不用说了。使用 SFTP 还有一个起始想法是想配置证书自动登录，后来发现 SFTP 客户端（FileZilla）没这功能，就没再作下去，命令行下 scp 的自动登录倒是 和 ssh 的一样很好配置。

网上很多文章介绍把 sftp 用户限制在 $HOME 目录下的方法，使用的是 sshd 的 ChrootGroups 选项，这个选项在我的版本里没有找到，找到另外一篇参考文章使用的是 ChrootDirectory，也很好用。

创建一个用户组，作为所有 sftp 用户的用户组：

$ sudo groupadd sftp

创建用户，设置密码，并归入 sftp 组：

$ sudo useradd -m friend
$ sudo passwd friend
$ sudo usermod -g sftp friend

为了进一步增强安全性，还可以将用户的登录 shell 设置为 /bin/false，是个好习惯，但在本例中并非必须，下面的 sshd 设置也会让用户无法登录 shell （我观察的结果）。

$ sudo usermod -s /bin/false friend

下来就要配置 sshd 了，编辑配置文件 /etc/ssh/sshd_config：

# 修改下面这句
#Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem sftp internal-sftp

然后在此配置文件末尾添加：

Match group sftp
    X11Forwarding no
    ChrootDirectory %h
    AllowTcpForwarding no
    ForceCommand internal-sftp

配置含义大概为：凡是 sftp 组的用户，关闭 X 转发，chroot 到 $HOME 目录，关闭 TCP 转发（无法使用隧道了？），强制使用 internal-sftp（这个不明白）。

现在，重启 ssh 服务，用户就只能通过 sftp 访问 /home/friend 下的文件了。

PS: 我发现 sshd 如果配置错误，在 restart 服务的时候会先检查，而不是直接 stop 服务然后在 start 的时候出现错误，搞得服务启不来。大概是考虑到很多人都是远程 ssh 上来进行维护，服务 down 了以后就麻烦了，很贴心的设置。

Apache & PHP

Apache 配置简单，创建 /home/friend/www 目录，约定网站文件都放在这个目录下，然后弄个 Alias 指向就可以了。

但有一个极大的安全隐患需要堵上，用户可以通过编写 PHP 程序，读取系统中任何 www-data 用户有权限访问的文件，包括系统的 shadow 文件，包括 其它用户的网站文件等等。解决这个问题，一种是开启 PHP 的 safe_mode ，安全模式下 PHP 将只能访问 owner 为自己（也就是 www-data）的文件；另外一种是使用 open_basedir，这将限制 PHP 只能打开某一目录树下的文件，并且不可能通过符号链接避开此限制。显然 safe_mode 的副作用太多，后一种方法更适合我的这种情况，配置写到 Apache 的 conf 里就行了：

<Directory /home/friend>
    php_admin_value open_basedir "/home/friend/"
</Directory>

注意open_basedir 后面的参数只代表文件路径的前缀，所以要带上末尾的斜杠，明确指出是目录。

不使用 safe_mode 的另外一个原因是在未来的 PHP6 里就要删掉它了。

缺点

最大的缺点就是 sftp 用户无法自己更改密码，除非自己写个守护程序啥的。这个程序在写的时候要非常小心，因为操作的是系统用户文件，如果遗留有安全漏洞可能会使别人获得其它用户权限。一个折中的方法是写个程序，定期更改密码并通过邮件告知用户，虽不方便但安全性要好一些。

Related posts

• 由一个错误学到的一些php安全配置问题 (4)
• 针对$_SERVER['PHP_SELF']的跨站脚本攻击（XSS） (3)
• 升级MT dv 3.0主机到php5 (9)
• 利用SVN更新网站 (7)
• 防止垃圾评论的另类方法 (5)

如果在没有正式发布的时候就升级了，每天的更新比正式发布后要多得多，每天都要下载一大堆包升级，得考虑好，当然你也可以忍着不频繁升级。

Fluxbox任务栏上当前聚焦的窗口和其他窗口的风格是一样的，区分不开了，更换任何styles都无效。

Firefox窗口的标题栏里中文字显示为方块

先这个是Gnome的问题，所有窗口标题栏中包含中文时都是方块，而Fluxbox工具栏上是能够正确显示中文的。尝试更换不同的fluxbox styles发现menu.title.font设置为dejavu字体时窗口标题栏就能正常显示中文了，其他的窗口内容、网页中文全部显示正常。

终于让我找到原因了，又是一个哭笑不得的问题，在我自定义风格里，使用了dejavusans这个字体，而这个字体现在好像在系统中找不到了，因此它就像出错后就不再往下执行了一样，导致后面overlay里定义的新字体也不生效，窗口栏上的中文就成方块了。换其他style之所以能正常显示窗口标题栏上的中文，是因为他们没用dejavusans这个字体。最后的解决方案，把这个自定义style里的dejavusans替换成dejavu -_-!

字体大小dpi优化

字体DPI设置会根据显示器进行优化，而不再局限于默认的96DPI，还可以在System → Preferences → Appearance → Fonts → Details里自行定义。原来是在.Xresources里设置的Xft.dpi:96，不知道还有用没。目前发现的问题是窗口标题栏中的文字比以前大了一些。

我的Fluxbox还遇到了一个问题，屏幕尺寸、位置计算出现了错误，原先我是/etc/gdm/Init/Default中用xrandr -s 1024x768强制重设分辨率，现在把这行禁用后发现桌面的“尺寸”比1024大，鼠标移动到屏幕边缘后会自动移动，但显示不全。

	$ xdpyinfo |grep resolution
	  resolution:    78x78 dots per inch

78是显示器真正的dpi数，但按这个设置又显得字太小了。最后，把xorg.conf里大于1024的分辨率都删掉，这样就可以去掉上面xrandr那句了，显示也正常了，dpi仍然用的是96。

上某些网站中文字模糊（像粗体字那样的模糊）

打开/etc/fonts/conf.d/44-wqy-zenhei.conf，找到下面这行：

	<edit name="antialias" mode="assign"><bool>true</bool></edit>

把true改成false后重启X即可。

Ctrl+Alt+Backspace关闭X的组合键被禁用了

编辑/etc/X11/xorg.conf，在最后加上：

	Section "ServerFlags"
		Option "DontZap" "no"
	EndSection

Related posts

• [Ubuntu]明明白白安装中文字体 (20)
• Ubuntu从Gutsy升级到Hardy，php5-sybase又掉链子 (2)
• 接多显示器的一点提示 (0)
• 升级到Ubuntu Intrepid后感觉到的一些变化 (0)
• 升级到8.10 intrepid过程中libc6依赖性死循环问题的解决 (6)

首先要能了解当前温度和风扇转速，安装lm-sensors包就能用了：

$ sensors
acpitz-virtual-0
Adapter: Virtual device
temp1:       +42.0°C  (crit = +91.0°C)                  

thinkpad-isa-0000
Adapter: ISA adapter
fan1:       3614 RPM
temp1:       +42.0°C                                    
temp2:       +48.0°C                                    
temp3:       +48.0°C                                    
temp4:       +42.0°C                                    
temp5:       +32.0°C                                    
ERROR: Can't get value of subfeature temp6_input: Can't read
temp6:        +0.0°C                                    
temp7:       +29.0°C                                    
ERROR: Can't get value of subfeature temp8_input: Can't read
temp8:        +0.0°C      

按说lm-sensors也能控制风扇的，但对我的本子不适用。

然后就是在内核中挂载ThinkPad的高级电源控制模块，在/etc/modprobe.d/options里添加这么一句，后面的参数fan_control很重要：

options thinkpad_acpi fan_control=1

重启，或者手工重新挂载模块：

rmmod thinkpad_acpi
modprobe thinkpad_acpi

好了，控制风扇转速，最基本的方法是（如无意外，本文中的大部分命令都要用root用户操作）：

echo level [level] > /proc/acpi/ibm/fan

[level]的取值可以是0-7之间的数字，或者auto，或者disengaged/full-speed，在不同的本子上会有不同的效果，总体来说数字越大转速越高，auto是系统自动判断，但在我的本子上却是不转，disengaged/full-speed是全速。我自己用的本子，设为4左右就能达到温度和噪音的平衡点。

还有人在这个基础上写了一些小工具，比如tp-fancontrol或者ThinkPad Fan Control，主要功能都是定时探测温度，然后安装预先的设定来控制风扇的转速。但由于不同硬件的差异，他们并不适用于所有情况，比如我的X31装上哪一个风扇都是auto不转，只好手工echo然后让风扇常转了。智能一点的，还可以借助cron来个定时开关、定时检测什么的。

参考

• How to control fan speed

Related posts

• 机房搬家过程中的几件趣事 (0)
• [Ubuntu]使用点滴 (7)
• Linux下使用华为h3c Aolynk WuB320G无线网卡 (0)

	deb http://ppa.launchpad.net/ibus-dev/ppa/ubuntu intrepid main

然后安装就是了，不过ppa的源下载真的好慢啊：

	$ sudo aptitude install ibus ibus-pinyin

装好以后，修改/etc/X11/Xsession.d/95xinput，把原来fcitx的部分注释掉，换成ibus的：

	# ibus
	export GTK_IM_MODULE="ibus"
	export XMODIFIERS="@im=ibus"
	export QT_IM_MODULE="ibus"

然后切换系统的默认输入法：

	$ sudo im-switch -c

最后重启系统，一切ok。

一点感受：

• 速度比fcitx要慢，但似乎用着反而更舒服了。
• 没有软键盘，无法输入特殊符号（前提：我用自然码双拼，得切换到全拼下用i开头输入特殊符号，如果有全拼/双拼切换快捷键就好了）。
• haha xixi rq xq lb sj bsn 这些很贴心啊，呵呵。

选用目前并不一定比fcitx好用的ibus，主要是看中它更新比较频繁，相信问题会不断得到修复，功能也会不断完善的。使用python开发也能够让更多的热心人介入。

Update @ 2009-04-21

如果在firefox等程序里无法实现光标跟随，可以试试装上ibus-gtk, ibus-qt4包，然后重启X。

Related posts

• 发现fcitx也很不错嘛 (6)
• 配置ssh的自动登录 (8)
• 选择Eclipse PHP Development Tools(PDT)作为PHP开发工具 (8)
• 让phpmailer支持中文名称的附件 (5)
• 用ssh打通反向隧道，内网也可对外提供服务 (2)

首先把刚才说到的脚本以及依赖文件functions一起下载到某地，加上执行属性（公用），然后ln到仓库的hooks目录下：

$ cd test.git/hooks/
$ mv post-receive post-receive.origin
$ ln -s ../../gittools/post-receive-email post-receive
$ ln -s ../../gittools/functions

然后修改仓库里的config文件，注意不是客户端的：

[hooks "post-receive-email"]
    mailinglist = list1@domain.tld, list2@domain.tld
    announcelist =
    envelopesender = mailsender@domain.tld
    sendmail = /usr/bin/msmtp

其中：

• mailinglist 默认的收信人，留空就不发信了
• announcelist 创建tag时发送从上次创建tag以来的汇总邮件的收信人，比如用版本号作为tag的时候这就生成了每个版本的changelog，留空则用mailinglist的值
• envelopesender 发信人/账号，要和msmtp的发信账号对应起来
• sendmail sendmail或其它发信程序的路径

还有个环境变量$USER_EMAIL，也是个发信人，不过是显示在邮件From:里的。如果要设置邮件里的From:，需要自己修改post-receive-email或在其之前执行的脚本，设置环境变量：

export USER_EMAIL="GIT <mailsender@domain.tld>"

这一版修改中作者还去掉了原来的emailprefix设置参数，固定为用仓库里description文件的内容加上[]替代。

最后，在git（git服务器运行用户）用户的HOME下放一个.msmtprc，配置发信认证信息：

defaults
    tls_trust_file /etc/ssl/certs/ca-certificates.crt
account gmail
    host smtp.gmail.com
    port 465
    auth on
    tls on
    tls_starttls off
account mailsender@domain.tld : gmail
#   from must be same as From: in mail, exclude Name, only mail address
#   Because maybe msmtp select account using from
    from mailsender@domain.tld
    user "mailsender@domain.tld"
    password my_passwd
account default : mailsender@domain.tld

现在就可以测试push，看自动发信是否正常了。如果提示functions语法错误，比如：

hooks/functions: 213: Syntax error: Bad for loop variable

可以把这两个脚本第一行的#!/bin/sh改为#!/bin/bash。

注意msmtp调用的是提交动作所属用户的.msmtprc，从本机提交和远程ssh进来可能用的就不是一个.msmtprc了。

参考

• Getting email from GIT
• Setting up git commit emails
• help regarding for loop syntax in ubuntu 7.10

Related posts

• [Mutt]用msmtp替代esmtp作发信代理 (2)
• Git起步 (6)
• 终于能够通过phpmailer使用gmail账号发送邮件了 (50)
• 利用SVN更新网站 (7)
• [Git]真正回滚已上传的更新 (0)