Kazakov Alexander

Apache+chroot

Sun, 30 Apr 2006 06:58:17 GMT

Установленный по умолчанию в OpenBSD Apache, "чрутится" в /var/www.
Отсюда у многих возникают вопрос : как мне перенести корень чрут окружения? Эти же многие решают проблему кардинально - лезут в исходники и правят #define там.
А не логично ли посмотреть man и увидеть там флаг -d ?
echo 'httpd_flags="-d /new/root"' >> /etc/rc.conf.local
Отличие способов лишь в том, что при последующем обновлении, первый способ придется применять повторно. Согласитесь это не есть гуд :-)

Поехали дальше...
Не менее распространненый вопрос : Почему у меня не запускаются cgi-скрипты на php,perl, python и etc, конфиг настроен правильно!

Граждане, ну гда вам интерпретатор в чруте, если вы его туда заранее не поместили ?!
Опять же можно посметить в чрут необходимый интерпретатор, либо исползовать флаг -u, пуская apache без чрут окружения. Я выбираю выход номер два. Почему ? А нужен ли этот чрут ? :)

Xристос Воскресе

Sun, 23 Apr 2006 06:03:57 GMT

C праздником!

Жду...

Mon, 20 Mar 2006 19:26:41 GMT

Заказал книгу "Advanced programming" и жду, жду и жду. Уже рученки то горят почитать ;)
Когда же её принесут

Скриптик для монтирования ISO-образов by Andrus

Wed, 08 Mar 2006 17:03:57 GMT

#!/bin/sh

file=$2
dir=$3

case "$1" in

mount)
sudo mdconfig -a -t vnode -u0 -f $file && sudo mount -t cd9660 /dev/md0 $dir
;;
umount)
sudo umount /dev/md0 && sudo mdconfig -d -u0
;;
*)
echo "
Error in $0
First key must be mount or umount
Syntax:
mountiso.sh mount file.iso dir_to_mount
or
mountiso.sh umount"
;;
esac

Вспомнилось в связи с хвостом

Fri, 03 Mar 2006 08:03:37 GMT

Радиус хЪя, положенного на учёбу в семестре равняется половине диаметра жопы на сессии.

Cкрываем отображаемую версию OpenSSH

Fri, 10 Feb 2006 14:20:01 GMT

В /usr/src/usr.bin/ssh/version.h для OpenBSD или в /usr/src/crypto/openssh/version.h для FreeBSD меняем :

#define SSH_VERSION_BASE "OpenSSH_ver"
на
#define SSH_VERSION_BASE "OpenSSH"

и пересобираем :

make depend && make && make install

OpenBSD

Sat, 28 Jan 2006 16:14:56 GMT

$ uname -a
OpenBSD mr129-92.awk.lan 3.9 MALISHKA#0 i386
$ date
Sat Jan 28 19:14:32 MSK 2006

Запуск Apache в jail окружении под FreeBSD

Sat, 03 Dec 2005 21:15:41 GMT

Не буду вдаваться в подробности как, что и зачем. Просто мне охота пострадать фигней. И так. Структура сети примерно такая

<*>Internet<*> - (xl0)[FreeBSD](xl1)-(Jail)+(int_network)

Есть выход в Интернет через внешний интерфейс xl0 и внутренняя сеть 10.0.0. Так как свободного внешнего IP под рукой не было, пришлось повесить jail на «серый адрес». Недолго думая, выбрал внутренний ифейс и повесил на него через alias jail-вый ип (в моем случае 172.16.0.3)

Теперь давайте посмотрим что нам нужно :
1 Собрать сорцы нашей системы
2 Сделать новый alias для jail
3 Cобрать наш apache и настроить jail-окружение
4 Сконфигурировать firewall и nat

I> И так что же у нас по первому пункту. Для начала определимся куда мы запихнем наше jail-чудовище. Я выбрал /usr.
        #cd /usr && mkdir jail

Пишем небольшой скриптик :
#!/bin/sh
# jailsetup.sh
if [ -z "$1" ]; then
    echo Usage: jailsetup.sh [ip]
    echo example: jailsetup.sh 172.16.0.1
    exit
fi
D=/jail/$1
if [ -f $D ]; then
    echo Error. A file has the same name as the destination.
    exit
fi
if [ ! -d $D ]; then
    /bin/mkdir -p $D
fi
cd /usr/src
make world DESTDIR=$D
cd etc
make distribution DESTDIR=$D
mount_devfs devfs $D/dev
cd $D
ln -sf dev/null kernel
touch $D/etc/fstab

Запускаем его(думаю не стоит объяснять как ^_^). Получаем частично работоспособную систему.

II> Чтобы иметь доступ к jail, назначим на один из ip-интерфейсов alias командой ifconfig(8):

    #ifconfig xl1 alias 172.16.0.3/32

Заметьте мы создали подсеть с одним единственным адресом! Что бы не создавать alias постоянно ручками прописываем его в /etc/rc.conf:

    ifconfig_xl1="inet 10.0.0.1 netmask 255.255.255.0"
    ifconfig_xl1_alias0="inet 172.16.0.3 netmask 0xffffffff"

III> И так jail-окружение готово грузимся в него :

    #jail /usr/jail/172.16.0.3 httpserver 172.16.0.3 /bin/sh

И начинаем по минимум настраивать систему.
    /etc/rc.conf :
        hostname="httpserver.mydomain.com"
        cron_enable="NO" syslogd_enable="NO"
        inetd_enable="NO" portmap_enable="NO"
        sendmail_enable="NO" network_interfaces=""

    /etc/hosts
        172.16.0.3 httpserver.mydomain.com

    #mount -t procfs proc /usr/jail/172.16.0.3/proc

Как вы поступите дальше дело ваше. Соберете ли вы apache руками, либо с портов – не важно, делайте как хотите, с помощью чего хотите и с чем хотите. Все равно! Главное что б, поставили и настроили httpd.conf.

/* Собирая руками не забудьте скопировать общие библиотреки наобходимые для запуска apache :
    #strings /usr/jails/172.16.0.3/sbin/httpd | grep ".so"
/usr/libexec/ld-elf.so.1
libcrypt.so.2
libmm.so.13
libc.so.4 */

Выходим из jail и проверяем :

    #jail /usr/jails/172.16.0.3 httpserver.mydomain.org 172.16.0.3 /sbin/httpd -f /etc/apache/httpd.conf
    #ps x | grep httpd

Должны получить что-нить похожее:

    217 ?? SsJ 0:00,03 /sbin/httpd -f /etc/apache/httpd.conf

J в данном случае означает работу процесса в jail-окружении.

IV> На своей машинке привык использовать pf. Потому пример правил для работы приведу на нем :

ext_if="xl0"
int_if="xl1"
webports="{ http, https }"
webserver="172.16.0.3"

nat on $ext_if from $int_if:network to any -> ($ext_if)
rdr on $ext_if proto tcp from any to any port $webports -> $webserver
pass in on $ext_if proto tcp from any to $webserver port $webports flags S/SA synproxy state

Вот и все. Наш apache готов к работе.

Небольшой скрипт для запуска детища
------------jailhttp.sh--------------
#!/bin/sh
IFACE=xl1 # Jail IP interface name
case "$1" in
start)
     ifconfig $IFACE alias 172.16.0.3/32
     jail /usr/jail/172.16.0.3 httpserver.mydomain.org 192.168.10.1 /sbin/httpd -f /etc/apache/httpd.conf && echo -n ' apache start'
     ;;
stop)
    ifconfig $IFACE -alias 172.16.0.3
    kill `cat /usr/jail/172.16.0.3/var/run/httpd.pid` && echo -n ' apache stop'
   ;;
*)
    echo "Usage: `basename $0` {start|stop}" >&2
    ;;
esac
exit 0
-------------------------

#cp ./jailhttp.sh /etc/rc.d/ && chmod +x /etc/rc.d/jailhttp.sh
#/etc/rc.d/jailhttp.sh start

p.s. при использовании jailhttp.sh alias в /etc/rc.conf прописывать не надо

Тестим ОЗУ в обход memtest

Thu, 24 Nov 2005 14:21:59 GMT

Получим кучу несжимаемых данных
dd if=/dev/urandom of=random.dat bs=1M count=БОЛЬШЕРАЗМЕРАОЗУ
bzip2 -c < random.dat > random2.dat.bz2

Распакуем в /dev/null (можно и на диск конечно)
bzip2 -dc < random2.dat.bz2 > /dev/null

Сбой обычно выглядит так:
bzcat: Data integrity error when decompressing

PC -> Bluetooth -> Phone by Andrus

Wed, 23 Nov 2005 07:02:05 GMT

Захотелось через синий зуб глянуть на свой телефон, а то и поделать с ним что-нибудь. Легко!

Прописываем в /boot/loader.conf строку
ng_ubt_load="YES"

Потом копируем для удобства /usr/share/examples/netgraph/bluetooth/rc.bluetooth в /etc/rc.bluetooth

Правим под себя файлик /etc/hcsecd.conf
Лично у меня так
device {
#Уникальный адрес телефона
bdaddr 00:0e:07:ec:a2:f9;
#Что хотите, то и пишите, потом можно будет обращаться по этому имени к телефону
name "T630";
key nokey;
#Пин, для синхронизации с телефоном
pin "555";
}
Далее
# /etc/rc.bluetooth start ubt0
# hcsecd
И все, уже можно проверять, что доступно из функций связи
# sdpcontrol -a 00:0e:07:ec:a2:f9 browse

Далее конфиг /etc/ppp/ppp.conf
default:
set log DNS Filter Phase Warning Error Alert
ident

set device "!/usr/bin/rfcomm_sppd -a 00:0e:07:ec:a2:f9"
set speed 115200
set ctsrts off
set cd off

set dial "ABORT BUSY ABORT ERROR ABORT NO\\sCARRIER TIMEOUT 40 \
\"\" AT OK-AT-OK AT&F OK ATE0V1Q0S0=0&Grin2&C1 OK AT+CMEE=1 OK \
AT+CGDCONT=1,\\\"ip\\\",\\\"internet.mts.ru\\\" OK \
\\dATDT\\T TIMEOUT 60 CONNECT"
set hangup "ABORT BUSY ABORT ERROR TIMEOUT 10 \
\"\" +++ATH OK-ATH-OK ATZ OK"

mts:
allow mode auto
set openmode active 20

nat enable yes

deny lqr
set mtu 296
set mru 296
disable ipv6cp pred1 deflate vj mppe enddisc
set timeout 900
set phone "*99#"
set login
set authname mts
set authkey mts

set ifaddr 0.0.0.0/0 0.0.0.0/0
add default HISADDR
set ipcpretries 10 5
enable dns

#ppp
PPP Started (interactive mode)
ppp ON localhost>dial mts

Легкий тюнинг

Sun, 20 Nov 2005 13:27:27 GMT

Черные дыры.

net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
Это превращает машину в черную дыру при попытке подключиться к портам, которые не слушают. Nmap по настоящему не любит это.

Защита очереди сокета от SYN атак.

Основной из самых популярных атак остается SYN флуд, при которой очередь сокета атакуемого хоста переполняется некорректными попытками соединений. Для защиты от таких атак некоторые из UNIX поддерживаютотдельные очереди для входящих запросов на соединение. Одна очередь для полуоткрытых сокетов (SYN получен, SYN|ACK послан), другая очередьдля полностью открытых сокетов, ждущих вызова accept() от программы. Эти две очереди должны быть увеличены, чтобы атаки малой и средней интенсивности почти не влияли на стабильность и доступность сервера.
kern.ipc.somaxconn=1024

Редиректы (Перенаправления)

Атакующий может использовать IP redirect для изменения таблицы марщрутизации на удаленном хосте. В хорошо разработанной сети редиректы на конечные станции не должны требоваться. Оба - отправка и принятие редиректов должны быть отключены.
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0

На размер буфера приема и передачи TCP напрямую влияет параметр размера TCP окна. Увеличенный размер окна позволит более эффективно передавать данные, особенно при интенсивной передаче, такой как FTP и HTTP. Значение по умолчанию не является оптимальным и должно быть увеличено до 32768 байт. Это значение не должно быть более 64Кб, если вы не знаете об ограничениях RFC1323 и RFC2018, и если нет поддержки с обеих сторон.
FreeBSD:
sysctl -w net.inet.tcp.sendspace=32768
sysctl -w net.inet.tcp.recvspace=32768

Очистка ARP:

Существует возможность, что атакующий создаст нехватку ресурсов или уменьшение производительности заполнив кэш маршрутизации IP с помощью неправильных записей в ARP таблице. Этот параметр рекомендуется выставить в 20 минут по умолчанию.
FreeBSD:
sysctl -w net.link.ether.inet.max_age=1200

Маршрутизация отправителя:

С помощью маршрутизации отправителя атакующий может попытаться достигнуть внутренние IP адреса, включая адреса RFC1918. Важно отключить принятие пакетов маршрутизации отправителя для предотвращения незаметных проб вашей внутренней сети.
FreeBSD:
sysctl -w net.inet.ip.sourceroute=0
sysctl -w net.inet.ip.accept_sourceroute=0

Установка TIME_WAIT

На загруженном web сервере многие сокеты могут задерживаться в состоянии TIME_WAIT. Это вызвано неправильно написанными клиентскими
программами, которые неправильно закрывают сокеты. Это так же может быть использовано для DDoS атак.
Нет рекомендаций по настройке.

Ответ на широковещательный ECHO.

Эти атаки работают с помощью отправки сообщения ICMP 8 0 (запрос ECHO) на широковещательный адрес с фальшивого адреса. Некоторые стеки IP ответят по умолчанию на такие сообщения. Это должно быть отключено.
Более того, если хост является фаерволом или раутером, то он не должен пропускать проямые широковещательные запрсы.
FreeBSD:
sysctl -w net.inet.icmp.bmcastecho=0

Другие пробы с помощью широковещания:

Существуют 2 вида проб. Запрос маски адреса может быть использован для определения размера блока сети и установки диапазона для дальнейших проб. Широковещательный запрос временного штампа (timestamp) - еще
одно средство выявления хостов и определения их операционных систем (fingerprinting)
FreeBSD:
sysctl -w net.inet.icmp.maskrepl=0

Монтируем NTFS в режиме чтения-записи

Sun, 20 Nov 2005 13:20:20 GMT

По умолчанию NTFS монтируется только в режиме чтения, ее можно попробовать смонтировать для чтения-записи, но за последствия никто не отвечает. Сейчас попробую рассказать, как это сделать без особого вреда, хотя и du работать не будет.
Есть такой проект - Captive-Ntfs, они только и занимаются тем, что монтируют ntfs ные партиции, и достигли в этом определенных успехов.
итак, запасемся их дистрибутивом и попробуем смонтировать нтфс,
1. монтируем просто нтфс в режиме чтения:
# mkdir /mnt/win
# mount -o ro -t ntfs /dev/ad1s1 /mnt/win

2. копируем виндовозовские дрова:
# cp /mnt/win/WINDOWS/system32/drivers/ntfs.sys /usr/compat/linux/var/lib/captive
# cp /mnt/win/WINDOWS/system32/ntoskrnl.exe /usr/compat/linux/var/lib/captive

3. возвращаем взад как было
# cd / ; umount /mnt/win

4. теперь все равно, есть ли жизнь на марсе а на диске с нтфс нужные драйвера или их нет
# mount.captive-ntfs /dev/ad1s1 /mnt/win
# cd /mnt/win
# touch мой_файл_удали_меня_скорее

если честно, то вышеописанный типс пробовал только в live-cd Gentoo, когда нужно было "вспомнить" забытый пароль администратора, хотя теоретически во FreeBSD должно сработать без накладок.

Вывод изображения отдельно взятых программ на TV

Sun, 20 Nov 2005 13:18:36 GMT

Одно из решений -настроить сразу два экрана в XFree86.

При этом один экран (:0.0), это рабочий монитор. На нем отображается десктоп, панели и все остальное, а второй экран (:0.1), это телевизор.

Изображение на телевизоре при загрузке остается пустым, но на нем в любой момент можно запускать программы с указанием выводить изображение на телевизор (например, mplayer).

Вся настройка ограничивается изменениями в файле конфигурации /etc/X11/XFree86-4.

* Добавляем секцию-описание монитора-телефизора (теперь будет две секции - телевизор и основной монитор)
* Добавляем описание видеокарты с выходом на tv (теперь при одной видеокарте будет две секции, описывающие ее способности вывода изображения на tv и crt)
* Добавляем описание экрана (здесь тоже теперь будет будет две секции с описанием нужных разрешений для монитора и телевизора)
* Изменяем общую раскладку сервера, где указываем все новые секции.

Секции-описания мониторов.

Section "Monitor"
Identifier "crt"
VendorName "Nec"
ModelName "FE991"
HorizSync 31.5-96.0
VertRefresh 40-160
EndSection

Section "Monitor"
Identifier "tv"
VendorName "Panasonic"
ModelName "tx21-ps70t"
HorizSync 30 - 50
VertRefresh 60 - 60
Option "dpms"
EndSection

Как видно, первая секция содержит настройки обычного монитора, а вторая - телевизора.

Естественно, эти секции можно дополнять опциями, например, своими строчками с modeline.

2) Секции-описания видеокарты.

Видеокарта у нас одна, но описывается в данном варианте она дважды. В первом случае, как устроуство с выходом на монитор, а во втором - на телевизор.

Естественно, карточка должна быть реально "двухголовой", то есть поддерживать независимый вывод разных изображений на tv и монитор. Целый ряд карточек geforce-2 и все карты geforce-4 удовлетворяют этому условию.
Section "Device"
Identifier "nvidia-crt"
VendorName "Unknown"
BoardName "Unknown"
Driver "nvidia"
BusID "PCI:1:0:0"

Option "AGPMode" "4"
Option "DPMS" "on"
Option "NoLogo" "on"

Option "ConnectedMonitor" "crt"
Screen 0

EndSection

Section "Device"
Identifier "nvidia-tv"
VendorName "Unknown"
BoardName "Unknown"
Driver "nvidia"
BusID "PCI:1:0:0"

Option "AGPMode" "4"
Option "DPMS" "on"
Option "NoLogo" "on"

Option "TVStandard" "PAL-I"
Option "TVOutFormat" "COMPOSITE"

Option "ConnectedMonitor" "tv"
Screen 1
EndSection

Вывод изображения на TV часть 2

Как видно, опции, общие для этих секций, так и дублируются в каждой секции.

Внимание! необходимо указывать BusID карточки. Без этого драйвер будет думать, что карточек и в самом деле две.

Подсмотреть busid карточки можно в файле /proc/pci (у абсолютного большинства пользователей так и будет, как в примере - Bus 1, device 0, function 0:)
3) Секции, описания экранов.
Section "Screen"
Identifier "Monitor"
Device "nvidia-crt"
Monitor "crt"
DefaultColorDepth 24

Subsection "Display"
Depth 24
Modes "1280x1024" "1152x864" "800x600" "640x480"
ViewPort 0 0
EndSubsection
EndSection

Section "Screen"
Identifier "TV"
Device "nvidia-tv"
Monitor "tv"
DefaultColorDepth 24
Subsection "Display"
Depth 24
Modes "1024x768" "800x600" "640x480"
ViewPort 0 0
EndSubsection
EndSection

Здесь вроде все просто. Для монитора и телевизора стандартным образом задаются списки разрешений для разных вариантов глубины цвета и значения по умолчанию.

В примере выброшены неиспользуемые подсекции для 8, 15, 16 и 32 битной глубины цвета.
4) Раскладка сервера.
Section "ServerLayout"
Identifier "layout1"
Screen 0 "Monitor"
Screen 1 "TV" RightOf "Monitor"

InputDevice "Mouse1" "CorePointer"
InputDevice "Keyboard1" "CoreKeyboard"

EndSection

Здесь мы сообщаем, что жедаем видеть два экрана (телевизор будет справа от монитора, но можно указать слева, сверху или снизу) с общими мышью и клавиатурой.

Теперь, перезапустив иксы (ctrl-alt-backspace), приложения можно запускать на телевизоре, установив переменную среды DISPLAY в значение:0.1 (DISPLAY=:0.1 mplayer).

Последний штришок - в ~/.bashrc указать псевдонимы для программ, которые будут выводится на телевизор.

Примерно так:
$ cat ~/.bashrc

# User specific aliases and functions

alias mplayer='DISPLAY=:0.1 mplayer'
alias tv='DISPLAY=:0.1'

Работаем с потоком: обработка строк

Sun, 20 Nov 2005 13:16:37 GMT

grep '/regex/' # ищем строчку в тексте
grep -v '/regex/' # находим все, кроме заданной строки
sed '/закат/,/рассвет/d' # отрезаем данные от заката до рассвета
sed -n '/закат/,/рассвет/p' # выводим текст от заката до рассвета
awk '/start/,/finish/{print}' # тоже самое, что и строчкой выше, только вид сбоку
sed '/ВЕРХ/,/НИЗ/!d' | sed '1d;$d' # выделить секцию между ВЕРХ и НИЗ
sed '/закат/,/рассвет/!b;s/Вася/Петя/;s/Пупкин/Иванов/' # замена от заката до рассвета
sed -n 's/.*$regex$.*/\1/p' # вывести найденное
perl -ne 'if(/regex/){print "$ and \n"}' # тот же вариант с использованием перла
sed 's/^/ /' # добавим три пробела перед строкой
sed 's/$/ /' # добавим три пробела в конце строки
sed 's/^ *//;s/ *$//' # убираем пробелы
sed '/^$/q' # выводим до первой пустой строки
sed 1d # печатаем первую строку
sed '$d' # печатаем последнюю строку
nl -ba # нумеруем строки
awk '{print NR " " $0}' # тоже самое с помощью awk
cut -c -79 # урежем строку до 79 символов
awk '{ for (i = NF; i > 0; --i) printf("%s ",$i); print }' # реверс слов (часто подобные программки просят написать на зачете по паскалю)
awk '{ for (i = length($0); i > 0; --i) printf("%s",substr($0,i,1)); print }' # реверс символов
awk -F',[ \t]*' '{ print $2, $1 }' # меняем местами два символа
sort -u # сортируем уникальные записи
sort -r # сортируем в обратном порядке
sort -k 3,2 -t: # сортируем по второй буковке третьего поля, где двоеточие - символ разделителя полей
paste - - # разбить текст на 2 колонки
sed -e 's/^$[^,]*$$.*,$$[^,]*$$/\3\2\1/' # меняем местами первое и последнее поле

как видите, фантазировать можно бесконечно - пример практического применения:
--------
скриптец делает бекап каталога
--------

#!/bin/sh -

fname='всякая_хрень.'`date | cut -f 2,3,4 -d ' ' | sed -e 's/\ /\./g'`".tar.gz"
tar -zcf /home/pavel/$fname /home/pavel/mydocs /home/pavel/src

# ------- такой вот коротенький скрипт --------

Как посмотреть, имея рутовые права что набирают на терминалах?

Sun, 20 Nov 2005 13:14:54 GMT

Очень просто.
1. Компилим ядро с поддержкой snp
для параноиков - его можно просто загрузить командой kldload snp.ko
2. Создаем устройство
cd /dev
./MAKEDEV snp0
(для разных целей можно создать кучу таких устройств)
3. Kомандой w смотрим какие терминалы используются и начинаем мониторинг:
watch p0
4. Выход из мониторинга Ctrl-G

Автомонтирование сидирома

Sun, 20 Nov 2005 13:04:13 GMT

Скажите честно - каждый раз когда переключаетесь в режим суперпользователя и потом набираете команду mount -t cd9660 /dev/cd0c /cdrom ну или mount_cd9660 /dev/cd0c /cdrom - никогда не возникало мысли делать это автоматически?
Попробуем сделать автомонтирование средствами FreeBSD.
1. Проверьте присутствие следующей строчки в конфигурации ядра:
options NFS

2. Cмотрим а есть ли сидиром в системе:
# dmesg | grep cd0
acd0: CD-RW <TOSHIBA ODD-DVD SD-R1512> at ata1-master PIO4

3. Пробуем монтируется ли он вообще:
(вставить диск не забываем)
# mount_cd9660 /dev/acd0c /cdrom
# umount /cdrom
флопик можно проверить таким же способом.

4. Редактируем /etc/fstab - записываем следующие строчки
/dev/acd0c /cdrom cd9660 ro,noauto,nodev,nosuid 0 0
/dev/fd0c /floppy msdos rw,noauto 0 0
(монтирую в корневом каталоге - каталоги можно по желанию выбрать любые)

5. Теперь попробуем примонтировать сидиром и флопик еще раз:
# mount /cdrom
# mount /floppy

6. В файл /etc/rc.conf добавляем строчки:
portmap_enable=YES
amd_enable=YES
amd_flags="-a /.amd_mnt -c 3636 -l syslog /host /etc/amd.map"
(цифры 3636 обозначают время таймаута до попытки автоматического размонтирования каталога, если про каталог забыли)

7. Создаем каталог /.amd_mnt (с правами root:wheel)

8. Редактируем файл amd.map:
/defaults type:=host;fs:=${autodir}/${rhost};rhost:=${key}

* opts:=rw,grpid,resvport,nfsv2

localhost type:=auto;fs:=${map};pref:=${key}/

localhost/cdrom type:=program;fs:=/cdrom;\
mount:="/sbin/mount mount /cdrom";\
unmount:="/sbin/umount umount /cdrom"

localhost/floppy type:=program;fs:=/floppy;\
mount:="/sbin/mount mount /floppy";\
unmount:="/sbin/umount umount /floppy"

9. Оформляем ссылочку на сидиром:
# ln -s /host/localhost/cdrom /cdrom

10. Перезагружаемся, делаем проверку того, что сделали:
$ mount
$ amq

Sun, 20 Nov 2005 12:58:01 GMT

Вот создал журнал и не знаю что в нем писать...
Скорее всего буду писать здесь простенькие заметки о собственной жизни и работе с BSD