dipplum.com » 开源软件

自动连接ssh -D的launchd配置

li — Sat, 11 Sep 2010 18:05:41 +0000

背景

与Ubuntu的upstart类似，Mac OS上提供了launchd作为后台服务的管理程序。ssh -D命令可以为用户提供sock5代理，但是每次访问网络之前，都要打开Terminal手动运行ssh命令是一件很烦的事情。加上网络条件不好，ssh频繁退出，就更烦了。Linux下有autossh+upstart/init可以选择，Mac OS下就需要借助launchd了

配置Mac到远程ssh服务器的自动登录

为了将ssh -D变成launchd管理的后台服务，配置ssh自动登录是必须的。Mac下过程与Linux不太一样，首先打开Terminal，生成用户ssh证书：

sudo su
ssh-keygen
cat /var/root/.ssh/id_rsa.pub

然后把公钥上传到ssh服务器。注意：Mac OS下root的HOME被设置在了/var/root下。

ssh EXAMPLE.COM mkdir .ssh
scp id_rsa.pub EXAMPLE.com:.ssh/authorized_keys
 
# 测试公钥认证是否成功
ssh -o BatchMode=yes EXAMPLE.COM

生成launchd格式的plist文件

将下述ssh-d.plist文件放在/Library/LaunchDaemon/目录下：

 version="1.0" encoding="UTF-8"?>

 version="1.0">
  >
    >Label>
      >localdomain.localhost.ssh-d>
    >ProgramArguments>
      >
        >/usr/bin/ssh>
        >-o>
        >BatchMode=yes>
        >-o>
        >CheckHostIP=no>
        >-o>
        >StrictHostKeyChecking=no>
        >-D>
        >1080>
        >-i>
        >/var/root/.ssh/id_rsa>
        >-vvvNnT>
        >root@EXAMPLE.com>
      >
    >KeepAlive>
      />
    >RunAtLoad>
      />
    >StandardOutPath>
      >/var/log/ssh-d-out.log>
    >StandardErrorPath>
      >/var/log/ssh-d-err.log>
  >
>

然后运行下面的命令后台启动ssh -D：

launchctl load /Library/LaunchDaemon/ssh-d.plist

如果出错需要调试，ssh进程的标准输出和标准错误输出保存在/var/log目录下的ssh-d-out.log和ssh-d-err.log文件中。如果一切正常，则配置完毕，以后Mac启动后，ssh -D进程会自动启动，ssh退出后，launchd也会自动生成一个新的进程。

与autossh集成

如果通过fink和MacPorts或者其他方法安装了autossh，可以修改上述脚本中的ssh程序的路径为autossh的路径。并将autossh的参数按格式加入plist文件，这样，也能享受到autossh提供的隧道假死后自动重启功能。

autossh在Ubuntu上的配置

li — Sat, 11 Sep 2010 15:05:11 +0000

背景

ssh除了可以提供远程登录服务之外，还可以建立主机之间的网络隧道，尤其是可以提供SOCKS代理（传说中的ssh -D）。但用ssh命令建立的隧道可能会受网络的影响而中断，不能为用户提供持续的服务。autossh正好是解决上述问题的工具：为用户提供可靠的ssh隧道服务。

在使用autossh之前，我的做法是：首先，做一个shell脚本检查相应的ssh进程是否存在，如不存在，则重新启动ssh隧道；然后，将上述脚本加入系统crontab，定时执行，例如1分钟1次。但是，用shell脚本检查有一个缺点：有时候，ssh进程虽然并没有退出，但ssh隧道已经不能正常转发报文了，shell脚本难以发现这类情况。为了避免ssh进程存在、隧道假死的问题，可以采用定时重启ssh进程并重新建立ssh隧道的方法。但重启间隔不好设置：间隔过短，导致ssh隧道用户频频掉线，影响用户使用；间隔过长，一旦隧道假死，在重启ssh服务之前会有较长的服务中断间隔。

autossh对ssh隧道的监控则更加有效。首先，在开始执行时，autossh首先创建ssh子进程，建立隧道。同时autossh作为父进程，随时监控ssh进程是否退出，一旦退出则立即启动新的ssh隧道。autossh这种做法比crontab定时检查在失效恢复速度上更具有优势。其次，autossh还会定期检查ssh隧道是否能够正确传输数据，如发现隧道假死，也会强制重启ssh，建立新的ssh隧道。

Ubuntu上的autossh

autossh在Ubuntu上的安装很简单，运行下面的命令即可:

apt-get install autossh

然而，Ubuntu下的autossh并没有包含相关的后台服务脚本。用户如果希望开机自动运行autossh需要自己写daemon脚本。Ubuntu下写daemon脚本有两个选择，一种是写传统的/etc/init.d下的脚本，令一种就是Ubuntu特有的upstart脚本。

upstart是Ubuntu设计用来替换传统的SysV init的软件。upstart的daemon脚本除了更加简洁之外，还支持服务的自动唤醒（respawn）。这样autossh本身如果出错退出了，也会立即被upstart唤醒。避免autossh出错退出导致ssh隧道无法访问。

我写的autossh的upstart脚本文件如下（文件名是/etc/init/autossh.conf）：

# autossh
 
description	"autossh daemon"
 
start on runlevel [2345]
stop on runlevel [!2345]
 
respawn
respawn limit 5 60 # respawn max 5 times in 60 seconds
 
script
    export AUTOSSH_PIDFILE=/var/run/autossh.pid
    export AUTOSSH_PORT=10007:7
    export AUTOSSH_POLL=60
    export AUTOSSH_FIRST_POLL=30
    autossh -4 -N example.com -D 1080 -o BatchMode=yes -o StrictHostKeyChecking=no
end script

这样重启之后，autossh就会自动启动。手动启动、停止、重启autossh服务可以通过运行start、stop、restart等命令完成。

其他

1. ssh自动登录

autossh在后台执行ssh命令建立隧道时，需要设置好配置好本机的ssh证书，以及服务器上的authorized_keys文件，以实现ssh的自动登录。否则autossh将无法登录远程主机并建立隧道。相关说明参见网络上的教程。

2. echo服务

上述autossh脚本中的AUTOSSH_PORT参数，是autossh用于判断ssh隧道健康状况专用的隧道链接，参数意义是：建立本地端口10007到远程服务器端口7的隧道，其他参数说明初次启动ssh时，在30秒后判断隧道链接情况，之后每60秒检查一次。

其中，远程服务器端口7，运行的是标准的TCP Echo服务。在Ubuntu上echo服务可以通过openbsd-inetd来实现，首先在远程服务器（注意：不是autossh所在的ssh客户端机器）上安装软件：

apt-get install openbsd-inetd

安装之后，inetd默认没有把echo服务激活，需要手动在/etc/inetd.conf配置文件中增加下面一行：

echo		stream	tcp	nowait	root	internal

重启inetd后，远程服务器的echo服务就正式上线了，可以供autossh判断网络隧道连通情况了。

用fail2ban监控nginx日志

li — Thu, 09 Sep 2010 08:20:26 +0000

背景

fail2ban是一款日志扫描软件, 尝试从日志中发现恶意的攻击行为, 尤其是用户名密码的失败尝试, 并可以通过iptables防火墙封禁恶意用户的IP, 以防止进一步的攻击.

最近在nginx服务器的日志中发现了很多可疑的请求, 看起来像是试图从Web服务器上发现漏洞页面:

221.204.246.105 - - [08/Sep/2010:06:45:13 +0000] "GET /dbzhedit/ewebeditor.asp HTTP/1.1" 404 5748 "-" "Mozilla/4.0"
221.204.246.105 - - [08/Sep/2010:06:45:14 +0000] "GET /edit/ewebeditor.asp HTTP/1.1" 404 5744 "-" "Mozilla/4.0"
221.204.246.105 - - [08/Sep/2010:06:45:15 +0000] "GET /ugvbadmin/edit/ewebeditor.asp HTTP/1.1" 404 5754 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:50 +0000] "GET /piqmUserReg.asp HTTP/1.1" 404 5790 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:51 +0000] "GET /UserReg.asp HTTP/1.1" 404 5786 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:52 +0000] "GET /ioifupfile_flash.asp HTTP/1.1" 404 5795 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:53 +0000] "GET /upfile_flash.asp HTTP/1.1" 404 5791 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:53 +0000] "GET /admin/zhmuupfile_flash.asp HTTP/1.1" 404 5801 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:54 +0000] "GET /admin/upfile_flash.asp HTTP/1.1" 404 5797 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:54 +0000] "GET /admins/xvmbupfile_flash.asp HTTP/1.1" 404 5802 "-" "Mozilla/4.0"

安装fail2ban

我觉得可以用fail2ban扫描日志中上述攻击, 并且封禁恶意用户. 首先安装fail2ban, 在Ubuntu/Debian下用apt-get一次搞定:

apt-get install fail2ban

配置fail2ban的nginx过滤规则

从攻击行为特征来看, 这是短时间连续导致服务器发送HTTP 404文件未找到错误码, 下面是用于发现上述攻击的fail2ban filter规则, 在/etc/fail2ban/filter.d/目录下建立nginx.conf文件保存下面的内容:

[Definition]
 
failregex = <;HOST> -.*- .*HTTP/1.* 404 .*$
ignoreregex =

测试fail2ban过滤规则

在正式激活改过滤规则之前, 可以首先用fail2ban-regex测试规则的有效性:

# fail2ban-regex /var/log/nginx/access.log /etc/fail2ban/filter.d/nginx.conf
Running tests
=============
 
Use regex file : /etc/fail2ban/filter.d/nginx.conf
Use log file   : /var/log/nginx/access.log
 
Results
=======
 
Failregex
|- Regular expressions:
|  [1] &lt;HOST&gt; -.*-.*HTTP/1.* 404 .*$
|
`- Number of matches:
   [1] 1304 match(es)
 
Ignoreregex
|- Regular expressions:
|
`- Number of matches:
 
Summary
=======
 
Addresses found:
[1]
    222.189.228.42 (Wed Sep 08 18:10:50 2010)
    222.189.228.42 (Wed Sep 08 18:10:51 2010)
    222.189.228.42 (Wed Sep 08 18:10:52 2010)
    222.189.228.42 (Wed Sep 08 18:10:52 2010)
    ...
 
Date template hits:
...
XXXX hit(s): Day/MONTH/Year:Hour:Minute:Second
...
 
Success, the total number of match is YYYY
 
However, look at the above section 'Running tests' which could contain important
information.

激活fail2ban过滤规则

从测试结果可以看出, 恶意攻击节点的IP地址和攻击时间都能够正确发现, 因此可以进一步修改fail2ban的配置文件激活上述规则. 下面是我的/etc/fail2ban/jail.local配置文件内容:

[DEFAULT]
ignoreip = 127.0.0.1
bantime  = 3600
maxretry = 6
destemail = root
action = %(action_mwl)s
 
[nginx]
enabled = true
port	= http,https
filter = nginx
logpath =  /var/log/nginx/access.log

上述配置设置fail2ban用nginx过滤规则监控nginx的access.log文件, 如果发现恶意攻击, 除了在iptables防火墙中封禁该客户端IP之外, 还将发送邮件包含该IP地址的whois信息给root. 用下面的命令激活上述配置:

fail2ban-client reload

从/var/log/fail2ban.log日志文件中可以看到上述nginx规则激活的信息:

2010-09-09 08:00:54,810 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
2010-09-09 08:00:54,810 fail2ban.jail   : INFO   Creating new jail 'nginx'
2010-09-09 08:00:54,811 fail2ban.jail   : INFO   Jail 'nginx' uses poller
2010-09-09 08:00:54,812 fail2ban.filter : INFO   Added logfile = /var/log/nginx/access.log
2010-09-09 08:00:54,813 fail2ban.filter : INFO   Set maxRetry = 50
2010-09-09 08:00:54,815 fail2ban.filter : INFO   Set findtime = 600
2010-09-09 08:00:54,815 fail2ban.actions: INFO   Set banTime = 3600
...
2010-09-09 08:00:54,970 fail2ban.jail   : INFO   Jail 'nginx' started

测试fail2ban的效果

可以用下面的命令模拟攻击者连续访问不存在的URL, 看看fail2ban的效果:

while true ; do wget http://127.0.0.10/404 ; done
# type Ctrl-C when you stuck at "Connecting to 127.0.0.10:80... "

看fail2ban的日志是否记录了上述攻击:

#   grep Ban /var/log/fail2ban.log
2010-09-09 08:06:09,338 fail2ban.actions: WARNING [nginx-fnf] Ban 127.0.0.10

用iptables命令看fail2ban添加的IP封禁规则:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-nginx  tcp  --  anywhere             anywhere            multiport dports www,https
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain fail2ban-nginx (1 references)
target     prot opt source               destination
DROP       all  --  127.0.0.10           anywhere
RETURN     all  --  anywhere             anywhere

fail2ban发来的邮件看起来像是这样的:

Hi,
 
The IP 222.169.224.226 has just been banned by Fail2Ban after
7 attempts against ssh.
 
Here are more information about 222.169.224.226:
 
% [whois.apnic.net node-3]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html
 
inetnum:        222.168.0.0 - 222.169.255.255
netname:        CHINANET-JL
descr:          CHINANET Jilin province network
descr:          Jilin Telecom Corporation
...
 
Lines containing IP:222.169.224.226 in /var/log/auth.log
 
Sep  9 02:30:14 localhost sshd[24401]: Did not receive identification string from 222.169.224.226
Sep  9 02:34:59 localhost sshd[24511]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.169.224.226  user=root
Sep  9 02:35:01 localhost sshd[24511]: Failed password for root from 222.169.224.226 port 36724 ssh2
Sep  9 02:35:03 localhost sshd[24515]: Invalid user fluffy from 222.169.224.226
Sep  9 02:35:03 localhost sshd[24515]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.169.224.226
Sep  9 02:35:05 localhost sshd[24515]: Failed password for invalid user fluffy from 222.169.224.226 port 36927 ssh2
Sep  9 02:35:06 localhost sshd[24519]: Invalid user admin from 222.169.224.226
Sep  9 02:35:06 localhost sshd[24519]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.169.224.226
Sep  9 02:35:09 localhost sshd[24519]: Failed password for invalid user admin from 222.169.224.226 port 37140 ssh2
Sep  9 02:35:10 localhost sshd[24521]: Invalid user test from 222.169.224.226
Sep  9 02:35:10 localhost sshd[24521]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.169.224.226
Sep  9 02:35:12 localhost sshd[24521]: Failed password for invalid user test from 222.169.224.226 port 37391 ssh2

删除Mac OS X上的MySQL

li — Tue, 07 Sep 2010 06:58:07 +0000

MySQL提供的Mac OS X上的安装包不能卸载，需要手动删除。到网上搜到前辈总结的过程，稍微改了改，应该可以直接运行。

#!/bin/sh
 
sudo killall /usr/local/mysql/bin/mysqld
[ -e /usr/local/mysql ] && sudo rm /usr/local/mysql
sudo rm -rf /usr/local/mysql*
sudo rm -rf /Library/StartupItems/MySQLCOM
sudo rm -rf /Library/PreferencePanes/My*
sudo rm -rf /Library/Receipts/mysql*
sudo rm -rf /Library/Receipts/MySQL*
sudo sed -i -e '/MYSQLCOM=-YES-/ d' /etc/hostconfig
echo done !

在Ubuntu上安装L2TP/IPsec VPN服务器

li — Mon, 30 Aug 2010 12:52:37 +0000

最近用VPN翻墙比较流行, 我也赶了一下潮流: 买了一个Linode的VPS, 安装了最新的Ubuntu Lucid (10.04), 并在上面配置了L2TP服务器.

以下虽然是在10.04上的配置过程, 但应该对其他版本的Ubuntu同样适用.

2010-09-01: Ubuntu ppa没有karmic上的openswan包, 只能自己编译了, 或是下载我预编译的版本, 参照后面说明.

1. 安装OpenSWAN

L2TP(Layer 2 Tunneling Protocol)顾名思义, 是2层隧道协议. 这个协议的认证方式不是非常安全, 因此实际使用中, 往往将L2TP和IPsec结合, 客户端和服务器之间, 首先通过IPsec生成安全信道, 之后再进行L2TP协议的交互.

因此, 安装L2TP服务器, 首先需要安装IPsec软件. 目前在Linux下, 有FreeSWAN, OpenSWAN, StrongSWAN三款IPsec协议的实现. 这里我用的是OpenSWAN.

目前Ubuntu Lucid中官方自带的OpenSWAN版本是2.6.23. 可惜的是, 这个版本的OpenSWAN有bug, 无法和L2TP服务器配合使用, 必须至少升级到2.6.24以后. 因此需要安装Ubuntu提供的非官方OpenSWAN升级版.

Ubuntu Karmic 9.10 安装过程

ppa中没有Ubuntu Karmic的openswan, 安装过程有不一样. 首先下载我预编译的openswan的deb包, 然后安装: Note: There is a file embedded within this post, please visit this post to download the file.

sudo dpkg -i openswan*i386.deb
sudo apt-get install -f

安装完成后请直接跳过到步骤2: 配置OpenSWAN.

1.1. 首先添加非官方的OpenSWAN apt源:

sudo apt-get install python-software-properties
sudo add-apt-repository ppa:openswan/ppa
sudo apt-get update

1.2. 然后检查OpenSWAN的版本, 至少应该是2.6.24

# apt-cache policy openswan
openswan:
  Installed: (none)
  Candidate: 1:2.6.28-1xelerance3
  Version table:
     1:2.6.28-1xelerance3 0
        500 http://ppa.launchpad.net/openswan/ppa/ubuntu/ lucid/main Packages

1.3. 安装

sudo apt-get install openswan

安装过程中如问到: Use an X.509 certificate for this host, 回答NO.

2. 配置OpenSWAN

2.0. 设置命令行变量

在后面的配置过程中, 有一些配置参数可能需要修改. 本文假设L2TP服务器的IP地址是192.168.1.1, VPN网络前缀是10.1.1.0/24, 用户名为user, 密码为1234. 在完成下面的配置之前, 应该首先把这些参数修改成正确的参数. 后面的命令将使用bash的变量替换规则吧配置文件中出现的参数名替换出下面设置的值:

export SERVER=192.168.1.1
export NET=10.1.1
export USER1=user
export PASS1=1234

2.1. 配置sysctl参数

sudo mv /etc/sysctl.conf /etc/sysctl.conf.bak
 
sudo bash -c "cat > /etc/sysctl.conf <

上述参数重启后生效, 如果想不重启即时生效, 需要继续完成步骤2:

2.2. 加载sysctl参数

sudo sysctl -p
 
sudo bash -c 'for each in /proc/sys/net/ipv4/conf/*
do
    echo 0 > $each/accept_redirects
    echo 0 > $each/send_redirects
done
'

2.3. 生成iptables配置

sudo mv /etc/rc.local /etc/rc.local.bak
 
sudo bash -c "cat > /etc/rc.local <$NET.0/24 -o eth0 -j MASQUERADE
exit 0
EOF
"
 
sudo chmod +x /etc/rc.local

类似的, 上述参数重启后生效. 如果想不重启即时生效, 需要继续完成步骤4:

注意: /etc/rc.local文件中引用了$NET参数的值, 检查一下文件输出是否符合预期.

2.4. 加载iptables配置

sudo /etc/rc.local

2.5. 配置ipsec.secrets

sudo mv /etc/ipsec.secrets /etc/ipsec.secrets.bak
sudo bash -c "cat > /etc/ipsec.secrets <$SERVER %any: PSK \"$PASS1\"
EOF
"

注意: /etc/ipsec.secrets文件中引用了$SERVER, $PASS1参数的值, 检查一下文件输出是否符合预期.

2.6. 配置ipsec.conf

sudo mv /etc/ipsec.conf /etc/ipsec.conf.bak
sudo bash -c "cat > /etc/ipsec.conf <$SERVER
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any
EOF
"

注意: /etc/ipsec.conf文件中引用了$SERVER参数的值, 检查一下文件输出是否符合预期.

2.7. 激活ipsec服务

运行下面的命令, 让ipsec服务可以开机自动启动:

sudo update-rc.d ipsec defaults

3. 安装xl2tpd

L2TP服务器软件, 选择与OpenSWAN同样是xelerance公司支持的xl2tpd软件. 该软件可以直接用Ubuntu自带的版本, 安装过程相对简单:

sudo apt-get install xl2tpd

4. 配置xl2tpd

4.0. 设置命令行变量

配置xl2tpd的过程中同样需要替换配置文件中的部分参数, 参数和OpenSWAN命令行变量一样.

4.1. 配置xl2tpd.conf

sudo mv /etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/xl2tpd.conf.bak
sudo bash -c "cat > /etc/xl2tpd/xl2tpd.conf <$NET.2-$NET.255
local ip = $NET.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
EOF
"

注意: /etc/xl2tpd/xl2tpd.conf文件中引用了$NET参数的值, 检查一下文件输出是否符合预期.

4.2. 配置options.xl2tpd

sudo mv /etc/ppp/options.xl2tpd /etc/ppp/options.xl2tpd.bak
sudo bash -c "cat > /etc/ppp/options.xl2tpd <

4.3. 配置chap-secrets

sudo mv /etc/ppp/chap-secrets /etc/ppp/chap-secrets.bak
sudo bash -c "cat > /etc/ppp/chap-secrets <$USER1       l2tpd       $PASS1       *
EOF
"

注意: /etc/ppp/chap-secrets文件中引用了$USER1, $PASS1参数的值, 检查一下文件输出是否符合预期.

5. 启动L2TP服务器

至此, L2TP/IPsec服务器配置完成. 重启之后, 就可以使用了. 如果不希望重启, 可以运行下面的命令, 手动启动服务:

sudo invoke-rc.d xl2tpd restart
sudo invoke-rc.d ipsec restart

运行ipsec verify命令, 验证IPsec服务器的运行状态. 典型的检查结果如下:

# sudo ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                             	[OK]
Linux Openswan U2.6.28/K2.6.32.16-linode28 (netkey)
Checking for IPsec support in kernel                        	[OK]
NETKEY detected, testing for disabled ICMP send_redirects   	[OK]
NETKEY detected, testing for disabled ICMP accept_redirects 	[OK]
Checking that pluto is running                              	[OK]
Pluto listening for IKE on udp 500                          	[OK]
Pluto listening for NAT-T on udp 4500                       	[OK]
Two or more interfaces found, checking IP forwarding        	[OK]
Checking NAT and MASQUERADEing                              
Checking for 'ip' command                                   	[OK]
Checking for 'iptables' command                             	[OK]
Opportunistic Encryption Support                            	[DISABLED]

6. 测试L2TP服务器

完成前面的步骤之后, 就可以用iPhone添加L2TP VPN连接, 测试L2TP服务器的有效性了. 按照本文的配置参数, 服务器的IP地址是192.168.1.1, 用户名是user, L2TP的密码和IPsec的预共享密钥都是1234.

Seccomp和系统调用过滤

li — Tue, 08 Dec 2009 02:13:43 +0000

Seccomp v1

Seccomp是2005年Andrea Arcangeli在Linux内核加的一个功能，为了给*Grid计算中的应用*提供sandbox模型。运行在Seccomp模式下的进程，只能执行下面几个系统调用：
read(), write(), exit(), sigreturn()

通过Seccomp沙箱，和4个api的限制，保证进程不会影响到其他进程。

Seccomp v2

2009年的时候，Ingo Molnar扩展了Seccomp的实现，让其支持更加全面的系统调用过滤(syscall filtering)的功能。Google Chrome Browser好像用的沙箱模型就是类似Seccomp的系统调用过滤。

Filter的规则是一个数组，每个元素包括两个字段，分别是系统调用名和过滤规则：

{ { "sys_read",            "fd == 0" },
  { "sys_write",        "fd == 1" },
  { "sys_sigreturn",        "1" },
  { "sys_gettimeofday",        "tz == NULL" }

上面的第一条规则要求进程只能以fd = 0这个参数，调用sys_read。

参考资料

[1] Seccomp Wiki http://en.wikipedia.org/wiki/Seccomp

[2] Seccomp and sandboxing http://lwn.net/Articles/332974/

[3] seccomp: Add bitmask of allowed system calls http://lwn.net/Articles/332987/

stratagus最新Windows版

li — Fri, 13 Nov 2009 09:12:23 +0000

简介

stratagus的前身是freecraft。freecraft重写了Blizzard公司的经典游戏Warcraft II的RTS游戏引擎。后因版权问题改名。freecraft改名后分成了几个部分，stratagus项目承接了其游戏引擎的部分，wargus在stratagus引擎上进行二次开发，几乎完美重现了Warcaft II的功能。下面是Wargus/Stratagus的效果：

下载说明

Statagus已经在2年前停止开发了，开发人员用同样的引擎转去开发别的游戏了。最后一个版本是2.2.4。但SVN库里还陆续有大的变动，开发人员好像是会不时的merge一些新的功能过来。

我编译的是最新的Stratagus SVN版本r8003，截图上显示的是2.2.5，这个版本有bug，打上了好几处补丁。编译环境是Visual C++ 2008。

1. stratagus-r8003引擎本地下载，需要再下载2 Note: There is a file embedded within this post, please visit this post to download the file.

2. 支持stratagus-r8003的Wargus游戏数据网盘下载

3. 用VMWare ThinApp打包的单可执行程序，单独可运行网盘下载

开发包下载

如果对源码感兴趣，想自己编译的，可以下载我的Patch和编译环境打包

1. r8003的patch文件，自己checkout的stratagus svn r8003目录，解压后覆盖之 Note: There is a file embedded within this post, please visit this post to download the file.

2. stratagus引用的外部lib和头文件打包，用Visual C++ 2008编译，解压后放在stratagus源码上级目录 Note: There is a file embedded within this post, please visit this post to download the file.

最近用scons的收获

li — Fri, 13 Nov 2009 07:59:28 +0000

背景

Windows平台上的编译工程工具很多，Visual C++ 6的dsp文件，2003以后用的vcproj，以及最近2010支持的用msbuild编译的vcxproj，加上古老的nmake，cygwin、msys移植的make，等等很多。

make的问题是扩展性比较差，尤其是在Windows平台上，nmake的功能更弱，导致写一个工程文件很费劲，管理多个工程有大量的重复工作要做。make最大的问题是不能automake那种简洁的工程写法（automake同样存在扩展问题，m4语言不懂）.

最新的msbuild 4.0试用了一下，感觉不是很好，很费劲。因为最近迷恋上了命令行，一直不愿意安装完整的Visual Studio 2010 Beta 2，直接把2010的命令行拷贝出来用cl.exe之类的。想只装.Net Framework 4.0就试试msbuild，发现不行，把2010里的msbuild相关资源拷贝出来也不行。而且用XML手写工程文件很麻烦。

猛然想起之前听说过，鼎鼎大名，但之前简单了解后放弃了的scons。再次使用之后，才发现scons的妙处。

简介Scons

Scons首页赫然是Eric Raymond的推荐，很是唬人的样子。Scons是python写的，这不重要。Scons脚本用语言是python，这是Scons最吸引人的地方。用python写工程文件无疑对我这种熟悉python的人有很大的吸引力。

实际上，Scons最大的优势，就是描述语言本身沿用python。这种设计极大的提升的Scons的扩展能力。Scons本身功能是否强大不重要，对于熟悉python的人来说，扩展Scons达到他的要求，变得比以前简单的多。下面是我用Scons写的一个zlib的工程文件，其中WinLib和WinDLL是我自己扩展的在Windows平台上编译静态库和动态库的方法（cl的宏定义和link的参数有所不同）。

target = 'libz'
defs = 'ASMV ASMINF'
incs = '.'
 
Import('env')
lib_src = Split('contrib/masmx86/inffas32.asm contrib/masmx86/gvmat32.asm adler32.c compress.c crc32.c deflate.c gzio.c infback.c inffast.c inflate.c inftrees.c trees.c uncompr.c zutil.c contrib/masmx86/gvmat32c.c')
lib_src += env.RES('win32/zlib1.rc')
dll_src = lib_src + Split('win32/zlib.def')
 
Import('WinLib WinDLL')
lib = WinLib(target, lib_src, CPPDEFINES=defs, CPPPATH=incs)
dll = WinDLL(target, dll_src, CPPDEFINES=defs, CPPPATH=incs)
 
Alias(target, [lib, dll])

实际上Scons本身的功能比较有限，为了写成这个简洁的模式，还费了不少劲。

Scons的特点

简单列举下最近有体会的Scons的特点，权当备忘录了。

1. Variables的设计很好。

通过Variables可以扩展scons支持的命令行参数，限制参数种类（Bool，枚举，多选），可以把上次的参数保存到文件，下次编译不需要命令行输入过多的参数。下面摘下我的Variable定义：

vars = Variables('options.ini')
vars.AddVariables(
    BoolVariable('verbose', 'Show verbose messages', 'no'),
    BoolVariable('unicode', 'Use unicode API', 'yes'),
    BoolVariable('debug', 'Generate debug code', 'no'),
    EnumVariable('warn', 'Show warning level', 'no', ['no', 'low', 'all']),
    EnumVariable('optimize', 'Set optimization mode', 'normal', ['normal', 'max']),
    PathVariable('repos_root', 'Path to root of source repository', '..'),
    PathVariable('build_root', 'Path to root of build directory', 'build',
        PathVariable.PathIsDirCreate),
    PathVariable('output_root', 'Path to output directory', '.',
        PathVariable.PathIsDirCreate),
)
env = Environment(ENV = os.environ, variables = vars)

2. Environment的设计也很好。

Environment可以保存全套的编译命令，参数配置，用Clone操作可以从一个基本编译环境作出很多变种，支持不同项目类型，不同配置的编译。Clone实在是太方便了。下面是前面提到的Windows平台下编译DLL和静态库、命令行程序的不同参数配置，用Clone操作可以在基本编译环境上，生成多个用于编译静态库、DLL等不同的编译环境，使用不同的参数编译。

libEnv = env.Clone()
libEnv.Append(CPPDEFINES = Split('_WINDOWS _WINDLL'), LINKFLAGS = ['/SUBSYSTEM:WINDOWS'])
dllEnv = env.Clone()
dllEnv.Append(CPPDEFINES = ['_WINDOWS'], LINKFLAGS = ['/SUBSYSTEM:WINDOWS'])
conEnv = env.Clone()
conEnv.Append(CPPDEFINES = ['_CONSOLE'], LINKFLAGS = ['/SUBSYSTEM:CONSOLE'])

题外话，关于Windows下编译不同工程的参数，这篇文章总结的很全。

3. Builder的设计问题。

Scons可以用env.Library(‘liba’, ‘a.c’)的方法用环境的定义编译静态库，或者用Program定义可执行程序。并且支持输入和环境定义不同的参数，如

env.Library(‘liba’, ‘a.c’, CPPDEFINES = ['NEWMACRO'], CCFLAGS=['/Ox'])。

不过，很可惜，Builder默认是覆盖环境中现有参数，而不是追加。所以，要用多个编译参数稍有不同的程序和库编译只能用Clone后Append。

tempEnv = libEnv.Clone()
tempEnv.Append(CPPDEFINES = ['NEWMACRO'], CCFLAGS=['/Ox'])
tempEnv.Library('liba', 'a.c')

或许我要求太高，不过这样写看起来实在太傻了。实际使用中，不同的程序用的编译参数就没有完全一样的，尤其是Include目录、宏定义、库路径、库这四个参数肯定有或多或少的不一样。不能追加的话，就只能Clone出很多个Env，甚至是一个Program或Library一个Env，这就失去了Env封装编译环境的通用意义了。

4. Sconscript与源码的位置问题

Scons设计时更多是支持将Sconscript放在源码同一目录下，甚至每个源码目录一个Soncscript。如果不习惯或者不能用这种方式，比如为别的项目写工程文件，遇到一些困扰。

Scons好在有类似make的VPATH功能，叫Repository，用着还行。

5. 源码和编译目录分开的问题

这个问题和上面类似，但更严重。Scons支持用VariantDir设定与源码目录不同的编译目录，但必须所有的文件都用编译目录的路径，如下

VariantDir('build_dir', 'src_dir')
Program('build_dir/prog', 'build_src/main.c')

这就很傻了，明明源码在src_dir目录，一定要写成build_src。不这么写也行，那就写两个Sconcript文件，一个引用另外一个

#SConscriptA
Program('prog', 'src/main.c')
 
#SConscriptB
SConscript('SconscriptA', variant_dir='build')

要用好VariantDir，就必须写多个脚本。尤其是要支持编译同一程序的多个版本，还只能用两个脚本。SconscriptB可以按如下方式写，就能编译两个版本的prog，分别在debug和release目录下。用一个Sconscript完成同样功能实在是很费劲的。

SConscript('SconscriptA', variant_dir='debug')
SConscript('SconscriptA', variant_dir='release')

6. 同一个源码编译多份的问题

这个问题和上面类似，但不同。例如编译静态库和动态库都用一批源码，但编译参数不一样，Scons就会报错。但这个问题用variant_dir解决不方便。如下例：

Program('hello1', 'hello.c', CCFLAGS=['-Od'])
Program('hello2', 'hello.c', CCFLAGS=['-Ox'])

Scons报错如下：

scons: *** Two environments with different actions were specified for the same target:

经过我多方论证，发现这个问题目前看来最佳、最简单的解决方法是给OBJ文件设置前缀。

Program('hello1', 'hello.c', OBJPREFIX='dbg-', CCFLAGS=['-Od'])
Program('hello2', 'hello.c', OBJPREFIX='opt-', CCFLAGS=['-Ox'])

7. 简化编译输出的问题

Scons支持自定义的编译输出。但有些命令不能替换，例如msvc工具集中的链接过程的输出。

暂时这么多吧…想到再补充。

Visual C++ 2008编译libpng

li — Mon, 09 Nov 2009 05:23:39 +0000

1. 主页 http://www.libpng.org/pub/png/libpng.html

2. 最新稳定版本 1.2.40

源码下载 http://download.sourceforge.net/libpng/lpng1240.zip

3. 编译依赖

依赖zlib。要求名为zlib的目录位于和libpng源码平级的目录下。libpng会自行编译zlib的源码，而zlib 1.2.3版本中的汇编代码在VC 2008下编译存在问题，参见zlib的编译说明。

4. 编译方法

打开源码中的projects\vc71\libpng.sln工程文件。编译DLL ASM Release和LIB ASM Release就可以了。会得到libpng.lib、libpng13.lib、libpng13.dll。

5. 注意

ligpng会编译自己的zlib1.dll和zlib.lib，不知道编译参数和zlib自己的工程文件是否一样，也不知道和zlib工程文件编译出的dll和lib会不会冲突。这个问题留待考察。

Visual C++ 2008编译lua

li — Mon, 09 Nov 2009 02:39:43 +0000

1. 项目主页 http://www.lua.org/

2. 当前最新稳定版本 5.1.4，2008年8月发布

源码下载 http://www.lua.org/ftp/lua-5.1.4.tar.gz

3. VC编译方法

解压后，用Visual Studio 2008命令行环境进入lua目录，运行etc\luavs.bat。之后会在src目录下生成lua.exe、luac.exe、lua51.dll

4. 注意

默认的luavs.bat只会生成DLL，如果需要编译静态链接库，可以自行修改luavs.bat，修改两处地方

1. 删除cl.exe的编译选项 /DLUA_BUILD_AS_DLL

2. 生成DLL的命令改成 lib.exe /nologo /out:lua.lib *.obj