Рубрика: Конспект

apt

apt install apt-file
apt-file search bin/7z
apt-file update
apt-file show 

strace

strace
witch -a date
dpkg -S /bin/date
dpkg -L coreutils
dpkg -s coreutils


Управляющие символы терминала: 
нотация   ввод     вывод         клавиши      код_символа код_символа
^C        intr       -           Ctrl+C         0x03         EXT
^        quit       -           Ctrl+         0x1c         FS
^        quit       -           Ctrl+4         0x1c         FS
^Z        susp       -           Ctrl+Z         0x1A         SUB
^D        eof        -           Ctrl+D         0x04         EOT
^?        erase      -           Backspace      0x7F         DEL
^?        erase      -           Ctrl+?         0x7F         DEL
^?        erase      -           Ctrl+8         0x7F         DEL
^H          -      backspace     Ctrl+H         0x08         Del
b          -      backspace     Ctrl+H         0x08         Del
^W        werase     -           Ctrl+W         0x17         ETB
^U        kill       -           Ctrl+U         0x15         NAK
^l          -      tab           TAB            0x09         HT
t          -      tab           Ctrl+I         0x09         HT
^M        eol      cr            Enter          0x0D         CR     
r        eol      cr            Ctrl+M         0x0D         CR
^j        eol      nl            Ctrl+j         0x0A         LF 
n        eol      nl            Ctrl+j         0x0A         LF 
^S        stop       -           Ctrl+S         0x13         DC3
^Q        start      -           Ctrl+Q         0x11         DC1
^R        rprnt      -           Ctrl+R         0x12         DC2
^V        lnext      -           Ctrl+V         0x16         SYN
^N          -      so            Ctrl+N         0x0E         SO
^O          -      si            Ctrl+O         0x0f         SI
^[        esc     esc            ESC            0x1B         ESC
e        esc     esc            ESC            0x1B         ESC
^[        esc     esc            Ctrl+[         0x1B         ESC
e        esc     esc            Ctrl+3         0x1B         ESC


!!! Обратите внимание на код символа / клавиши / ввод / вывод / натацию  !!!
!!! Многие действия можно сделать разными наборам нотация и клавиш !!!

Показать доступные символы для терминала:
stty -a 


whoami
strace -fe uname,getcwd,geteuid,sethostname whoami

hostname
strace -fe uname,getcwd,geteuid,sethostname hostname

pwd 
strace -fe uname,getcwd,geteuid,sethostname pwd

err
strace -fe uname,getcwd,geteuid,sethostname hostname springfield

date
ltrace -x *time*+fwrite date





Стандарты 
Организация IEEE
IEEE 1003.1 POSIX.1 - интерфейс API операционной системы
IEEE 1003.2 POSIX.2 - интерфейс командной строки ОС (CLI)

Posix (Portable Operating System Interface)
SUS (Single UNIX Specification)

Телетайпы 
ascii(7)
charset(7)
7 - семибитная кодировка

Управляющие символы:
CR - (carriage return) - Возврат головки к началу строки
BS - (back space) - Перемещение головки справа на лево
LF - (line feed) - Прокрутка бумаги  Начало новой строки
LN - (line new) - На новую строку
HT - (Horizantal tab) - На несколько символов вправо
SO - (shift out) - Изменят шрифт на мелкий
SI - (Shift in) - Изменяет шрифт на большой


Виртуальные терминалы:
Когда-то терминалы подключались с помощью RS232 и драйвера ttyS(), сейчас это экзотика.
Узнать к какому терминалу подключены вы используйте команду tty
tty
who
users
w

Переключение между терминалами на лакальном ПК
ALT + F1
ALT + F12
CTRL + ALT + F1

stty

tee 
Команда tee используется для того, чтобы одновременно вывести данные на экран и записать их в файл. 
Это особенно полезно для сохранения вывода команды в файл без потери возможности видеть вывод в реальном времени.

Запись вывода команды в файл и отображение в терминале
echo "Hello, World!" | tee output.txt


Добавление данных в файл (с флагом -a)
echo "New line" | tee -a output.txt


Запись вывода команды в несколько файлов
echo "Multi-output" | tee file1.txt file2.txt

Использование tee с пайплайнами
ls -l | tee filelist.txt | grep ".txt"
echo -e "onentwonthree" | tee output.txt | wc -l

Использование с перенаправлением стандартного потока ошибок
ls /nonexistent /tmp |& tee output.txt
/pre> 




Управляющие последовательности: 
Посмотреть все:
infocmp

Задать:
tput smul
tput rev
tput srg0
tput smul | od -ac


Видосики в консоле ASCIIANSI: 

ASCII-графика  ANSI-графигка
библиотеки caca и aalib
tty
setfont Uni1Vga8
mpv --quiet -vo caca https://www.yotube.com/что_топосмотреть
mplayer -quiet -vo aa:dim:bold:reverse $(youtube-dl -g https://www.yotube.com/что_топосмотреть)

Определить откуда запускается программа 
whereis date
which date
type date

type -a date
type -a ls

Трассировка выполнения команд в bash 
Для влечения достаточно выполнить:
set -x 

Для отключения: 
set +x 

Собственно чем отличается "-"  "--"
- опция

-- специальная опция сигнализирует о конце списка опций, за которыми следуют лексемы, 
   расцениваемые как аргументы вне зависимости от их написания
   позволяют навести некий порядок


Справочные системы / MAN 
whatis intro
whatis whatis
whatis apropos
whatis man

man -w man 


man -w passwd
   /usr/share/man/man1/asn1parse.1ssl.gz
   /usr/share/man/man1/passwd.1.gz
   /usr/share/man/man5/passwd.5.gz
man 5 passwd
man 1 passwd
man asn1parse 



Клавиши в man:
q - выход
h - справка
стрелки - переходы 
/ - поиск по регулярному выражению вперед
? - поиск назад
n - поиск вперед
N - повторить поиск в обратном направлении
G - в конец страницы
g - в начало страницы



help
help -d date
help -d cd 
help -d ls
help -d unset


Пользователи и группы: 
UID - User Identifier
GID - Group Identifier

Узнать свой UID  GID
id

Передача полномочий:
su - switch user - переключится на пользователя
sudo - switch user do - контролируемая передача полномочий

su  - реализует повторную регистрацию в системе
sudo - реализует явные правила передачи полномочий описанных в файле "/etc/sudoers" и подтвердить передачу полномочий с помощью пароля пользователя

Пароли и пользователи группы в файле:
/etc/passwd
/etc/shadow
/etc/group
/etc/gshadow

Переменные окружения:
Посмотреть можно так:
env
printenv

Вывод env:
SHELL=/bin/bash     - текущий шел
HOME=/home/username - домашний каталог
LANGUAGE=           - язык 
LANG=en_US.UTF-8    - язык
PWD=/home/username/1 - текущий каталог
LOGNAME=username     - пользователь
USER=username        - пользователь
PATH=/usr/local/sbin:/usr/local/bin:/usr/bin - где искать программы
LC_* - наборы переменных определяют другие языковые особенности
LC_TIME - определяет формат вывода даты
PAGER - указывает на программу для постраничного листания например на less / more
EDITOR - имя текущего редактора vim / nano
VISUAL - имя текущего редактора vim / nano
BROWSER - имя html просмоторщика
TERM - устанавливает имя терминала по которому программа использует управляющие символы ESC 

locale - список доступных локалей
locale -a 


Пример:
export LC_TIME=ru_RU.utf8
date 
export LC_TIME=en_US.utf8
date

Переменная PS1  (.bashrc)
Хранит настройки приглашения shell
alias ls='ls --color=auto'
PS1='[u@h W]$ '
u - имя зарегистрированного пользователя в системе 
h - короткое собственное имя компьютера
w - имя текущего каталога
$ - символ приглашения  ($ обычный  # root)
t - время
e - символ управления ESC
и т.д. см "man 5 terminfo"


printenv 
printenv TERM

infocmp


Файлы и каталоги:
.profile
.bashrc
.config
.ssh
.nanorc


Файлы и каталоги: 
ls -l /bin/ls /dev/sda /dev/tty /sbin/halt
-rwxr-xr-x 1 root root 137920 Aug 30 14:57 /bin/ls
brw-rw---- 1 root disk   8, 0 Sep 19 11:53 /dev/sda
crw-rw-rw- 1 root tty    5, 0 Sep 25 11:28 /dev/tty
lrwxrwxrwx 1 root root      9 Sep 10 18:06 /sbin/halt -> systemctl

ls -la /run/systemd/notify 
srwxrwxrwx 1 root root 0 Sep  4 11:39 /run/systemd/notify
ls -la /run/systemd/inaccessible/fifo 
p--------- 1 root root 0 Sep  4 11:39 /run/systemd/inaccessible/fifo

- обычный файл
b - блочное устройство (block)
c - символьное устройство (character)
p - именованный канал (pipe)
s - сокет(socket)
l - символьная ссылка (link)

Вот так их можно найти файлы сокетов и именованных каналов 
find / -type p
find / -type

file  file_name - программа может показать что перед вами за файл, так как файл может быть текстовым или бинарным
stat file_name - подробная статистика о файле


Специальные файловые устройства:
/dev/sd* /dev/input/mouse* /dev/video* /dev/snd/pcm* /dev/dri/card*
crw-rw----+ 1 root video 226,  1 Sep 19 11:53  /dev/dri/card1
crw-rw----  1 root input  13, 32 Sep 19 11:53  /dev/input/mouse0
brw-rw----  1 root disk    8,  0 Sep 19 11:53  /dev/sda
brw-rw----  1 root disk    8,  1 Sep 19 11:53  /dev/sda1
brw-rw----  1 root disk    8,  2 Sep 19 11:53  /dev/sda2
brw-rw----  1 root disk    8,  3 Sep 19 11:53  /dev/sda3
brw-rw----  1 root disk    8, 16 Sep 19 11:53  /dev/sdb
brw-rw----  1 root disk    8, 17 Sep 19 11:53  /dev/sdb1
brw-rw----  1 root disk    8, 32 Sep 19 11:53  /dev/sdc
brw-rw----  1 root disk    8, 33 Sep 19 11:53  /dev/sdc1
brw-rw----  1 root disk    8, 48 Sep 23 15:34  /dev/sdd
brw-rw----  1 root disk    8, 64 Sep 23 15:56  /dev/sde
crw-rw----+ 1 root audio 116,  3 Sep 19 16:59  /dev/snd/pcmC0D0c
crw-rw----+ 1 root audio 116,  2 Sep 24 18:10  /dev/snd/pcmC0D0p
crw-rw----+ 1 root audio 116,  4 Sep 19 11:53  /dev/snd/pcmC0D2c
crw-rw----+ 1 root audio 116,  7 Sep 25 12:56  /dev/snd/pcmC1D3p
crw-rw----+ 1 root audio 116,  8 Sep 25 12:56  /dev/snd/pcmC1D7p
crw-rw----+ 1 root audio 116,  9 Sep 25 12:56  /dev/snd/pcmC1D8p
Устройства бывают  символьные c и блочные b


Рассмотрим строки:
brw-rw----  1 root disk    8,  0 Sep 19 11:53  /dev/sda
brw-rw----  1 root disk    8,  1 Sep 19 11:53  /dev/sda1
brw-rw----  1 root disk    8,  2 Sep 19 11:53  /dev/sda2
brw-rw----  1 root disk    8,  3 Sep 19 11:53  /dev/sda3
brw-rw----  1 root disk    8, 16 Sep 19 11:53  /dev/sdb
brw-rw----  1 root disk    8, 17 Sep 19 11:53  /dev/sdb1
brw-rw----  1 root disk    8, 32 Sep 19 11:53  /dev/sdc
brw-rw----  1 root disk    8, 33 Sep 19 11:53  /dev/sdc1
brw-rw----  1 root disk    8, 48 Sep 23 15:34  /dev/sdd
brw-rw----  1 root disk    8, 64 Sep 23 15:56  /dev/sde
Все драйверы ядра пронумерованы главными (major) числами (цифра 8), а под их  управлением дополнительные(minor) числа (0,1,2,3,16,17,32,33,48,64)

Еще в linux есть специальные устройства:
/dev/null - всегда пустое
/dev/full - всегда полное
/dev/zero - всегда бесконечно нулевое
/dev/random  - генератор псевдо случайных чисел
/dev/urandom - генератор псевдо случайных чисел

Именованные каналы и файловые сокеты: 
IPC (InterProcess Communication)
Служат для обмена процессов и программ между собой.
Таким устройством могли бы стать и обычные файлы, но файлы служат для сохранения информации.

pipe они де FIFO-файлы(first in first out) / named pipe
socket

Основное отличие именованного канала от сокета состоит в особенности передачи данных.
Через именованный канал организуется однонаправленная (симплексная) передача без мультиплексирования,
а через сокет - двунаправленная (дуплексная) мультиплексированная передача. 

Именованный канал обычно работает по схеме "поставщик - потребитель" (producer-consumer)
Один потребитель принимает информацию от одного поставщика (на самом деле от многих но в разное время)
telinit
init
halt
reboot
shutdown
poweoff
/dev/initctl
/run/initctl

Сокет, схема работы "клиент - сервер" (client-server)
Один сервер принимает и отправляет информацию от многих ко многим (одновременно) клиентам.
cron
cupsd
logger
/dev/log
/run/systemd/journal/dev-log
systemd-journald


Файловые дескрипторы: 
Системные вызовы:
open - открытие файла
read - чтение файла 
write - запись файла
close - закрытие файла 
ioctl - используется для управления драйвером устройств ioctl(input output control), применяется в основном для специальных файлов устройств


При запросе на открытие файла системным вызовом open производится его однократный  поиск (относительно медленный поиск) имени файла в дереве каталогов 
и для запросившего процесса создается так называемый файловый дескриптор(descriptor).
Файловый дескриптор содержит информацию, описывающую файл, например: индексный дескриптор inode файла  на файловой системе,
номера major и minor устройства, на котором располагается файловая система файла, режим открытия файла и прочую служебную информацию.
При последующих операция read и write доступ к самим данным файла происходит с использованием файлового дескриптора(что исключает медленный поиск файла).
Файловые дескрипторы пронумерованы и содержатся в таблице открытых процессом файлов, которую можно получить при помощи диагностической программы lsof.
Получить список процессов, открывающих файл, можно при помощи lsof и fuser
lsof
fuser

lsof -p $$

ls -la /dev/log
sudo lsof /run/systemd/journal/dev-log
sudo fuser  /run/systemd/journal/dev-log 
ps p 317

sudo lsof /var/log/syslog
ps up 354


Пример с локалью:
strace -fe open,openat,close,read,write,ioctl date 
file /etc/localtime
file /usr/share/zoneinfo/Europe/Moscow


Пример с сидюком, где только его взять в 2024году....
ls -la /dev/cdrom
strace -fe open,openat,close,read,write,ioctl eject

Пример с клавишей на клаве и ее светодиодом:
strace -fe open,openat,read,write,close,ioctl setleds -L +num +scroll


Файловые системы и процедура монтирования: 
mount
mount /dev/cdrom  ~/mnt/cdrom
mount -t iso9660
lsblk -f /dev/cdrom



Сетевые файловые системы: 
Файловый сетевой сервер NAS
Network Attached Storage

Протоколы:
NFS(Network File System)
CIFS/SMB (Common Internet file System и Server Message Block


mount -t nfs 10.1.1.1:/share/video /mnt/nas/video
mount -t -cifs -o username=guest //10.1.1.1/share/photos /mnt/nas/photos




Специальные файловые системы: 
proc - информация о процессах, нитях и прочих сущностях ядра операционной системы 
и используемых ими ресурсах предоставляет программам в виде файлов псевдо файловая система proc

sysfs - информация об аппаратных устройствах, обнаруженных ядром операционной системы на шинах PCI, USB, SCSI и прочих,
предоставляет псевдо файловая система sysfs.

Пример программ которые используют псевдо файловые системы proc и sysfs:
uptime
ps
lsmod
lspci
lsusb
lsscsi

Проверка:
strace -fe open,openat uptime

cat /proc/uptime
cat /proc/loadavg


strace -fe open,openat lspci -nn

cat /sys/bus/pci/devices/0000:00:14.0/config
cat /sys/bus/pci/devices/0000:00:14.0/vendor
cat /sys/bus/pci/devices/0000:00:14.0/device
cat /sys/bus/pci/devices/0000:00:14.0/class
cat /sys/bus/pci/devices/0000:00:14.0/revision


Внеядерные файловые системы: 
FUSE (Filesystem in userspace)

Это:
archivemount
sshfs
encfs
curlftpfs
fusermount


Прова доступа: 
stat filename
id
chown
chgrp
usermod

базовые права:
read - 4 
write - 2
execute - 1 (execve)

Пример как это работает:
stat 1
    Access: (0644/-rw-r--r--)

chmod 421 1
stat 1
    Access: (0421/-r---w---x)

chmod 777 1
stat 1
    Access: (0777/-rwxrwxrwx) 


Семантика режима доступа для разных типов файлов:
файлы = r - читать файл 
        w - изменять файл 
        x - исполнять файл

каталоги = w - это значит что из каталога можно стирать файлы из списка
           r - право просмотра списка файлов имен файлов
           x - право прохода в каталог


chmod ugo + rwx filename
chmod ugo - rwx filename
user
group owner

chmod a= filename защитить файл от записи



Дополнительные атрибуты файлов:
s - Set user/group ID (SUID Set User ID или Set Group ID) -  атрибут не явного делегирования полномочий

Типичной задачей, требующей неявного делегирования полномочий, является проблема невозможности изменения пользователями своих учетных записей,
которые хранятся вдух файлах таблицах - passwd и shadow, доступных на чтение и запись только пользователем root,
однако пользователь может воспользоваться программой passwd для изменения своей учетной записи. 
passwd
chfn
chsh
ping 
traceroute
at
crontab



t - sTicky - липучка, атрибут ограниченного удаления
Служит для базового ограничения  записи(w) в каталоге, но только своих файлов. 
Например каталог tmp


Кому то этого было не достаточно и были придуманы еще ACL для файлов. POSIX.1e
ACL - access control lists
getfacl
setfacl
lsattr
chattr
a - append only (только добавление в файл)
i - immutalbe (не прикосаемый файл)
s - secure deletion
S - synchronous update

Прова по умолчанию
umask


Мандатные права пользователя:
DAC - (discretionary access control)


Модуль принудительного разграничения доступа AppArmor:
apparmor-utils
aa-status 


Модуль принудительного разграничения доступа SELinux
SElinux (Security Enhanced Linux)
sestatus

Что ты такое модуль управления принудительного разграничения доступа Astra Linux
PARSEC - обеспечение безопасности информационных потоков
pdp-id
pdp-ls -M


Программы и библиотеки 
Программа представляет собой алгоритм, записанный на определенном языке, понятном исполнителю программы.
Различают машинный язык. понятный центральному процессору, и языки более высоких уровней (алгоритмические), понятные
составителю программы - программисту.

Алгоритмы - некий набор инструкций, выполнение которых приводит к решению конкретной задачи.

Согласно hier, откомпилированные до машинного языка программы размещаются в каталогах:
/bin
/sbin
/usr/bin
/usr/sbin
/usr/local/bin
/usr/local/sbin

А библиотеки в каталогах
/lib
/usr/lib
/usr/local/lib

Программы имеют специальный запускаемый формат ELF executalbe


ldd (Loader dependencies)
(SONAME. shared object name)
file /usr/bin/ls
ldd /usr/bin/ls

Стоит заметить:
Файла библиотеки linux-vdso.so.1 (реализующий интерфейс системных вызовов к ядру) не существует, 
так как он является виртуальной(VDSO, virtual dynamic shared object)

Для большинства библиотек зависимости устанавливаются с помощью SONAME вида libNAME.so.X
lib - стандартный префикс(library, библиотека)
.so - суффикс(shared object, разделяемый объект)
NAME - имя собственное
.X - номер версии ее интерфейса 

ld.so
ldconfig

Библиотеки имеют специальный запускаемый формат ELF shared object

Не стоит забывать что самой главной программой является Ядро linux
uname -r 
file /boot/vmlinuz



Модули ядра:
insmod
modprobe
rmmod
modinfo
lsmod
init_module 
delete_module
/proc/modules
lspci -k
lsusb -t

Процессы и нити: 
fork - системный вызов порождение нового процесса
COPY - создает копию родительского процесса
exit - уничтожение процесса и завершение процесса
SIGCHILD - сообщение родительскому(parent процессу о завершении дочернего (child)
status - статус завершения от дочернего процесса
wait - родительский процесс ждет завершения дочернего
zombie - состояние дочернего процесса если он вдруг стал сиротой
clone - универсальный вызов позволяющий при порождении процесса, задать и указать общие ресурсы процессов, указать частные ресурсы и т.д.

Примеры:
dd if=/dev/cdrom of=plan9.iso &
ps f

find /usr/share/doc -type f -name '*.html' | xargs -n1 wx -l | sort -k 1 -nr | head 1 &
ps  fj
wait 

ps f -C postgres

ssh server
ps -f -C sshd

ps f -C apache2

ps fo pid,nlwp,cmd -C apache2

ps -fLc rsyslog

ps -fLC systemd



ls -lh plan9.iso
time bzip plan9.iso &
ps f
ps -fLp 5546
fg

ls -lh plan9.iso.bz2
time pbzip2 -d plan9.iso.bz2
time pbzip2 plan9.iso &
ps f 
ps -fLp 5572
fg 



tar czf docs.tgz /usr/share/doc &
ps f
fg 

strace -fe clone,clone3,fork,vfork,execve tar czf docs.tgz /usr/share/doc


pbzip2 plan9.iso &
strace -q -fe clone,clone3,fork,vfork,execve pbzip2 plan9.iso







Дерево процессов:
Процессы операционной системы принято классифицировать на системные (ядерные), демоны и прикладные, исходя из их назначения и свойств.

Прикладные процессы выполняют обычные пользовательские программы(man, ping, etc), для чего  им выделяется индивидуальная память, 
объём которой указан в столбце VSZ вывода команды ps. Такие процессы обычно интерактивно взаимодействуют с пользователем
посредством управляющего терминала(исключение графические программы), указанного в столбце TTY вывода программы ps.


Демоны, процессы класса демоны(daemons) выполняются системные программы, реализующие те или иные службы операционной системы.
Например: cron, sshd, rsyslogd, systemd-udevd. У них отсутствует управляющий терминал в столбце TTY  вывода программы ps.
Зачастую демоны имеют суффикс d в конце названия.


Ядерные процессы, процессы ядра, выполняются параллельные  части ядра операционной системы. 
У них нету индивидуальной виртуальной памяти VSZ, ни управляющего терминала TTY в выводе программы ps.
Более того ядерные процессы не выполняют отдельную программу, загружаемую из ELF файла,
поэтому их имена COMMAND являются условными и изображаются в квадратных скобках,
и имеют особое состояние I в столбе STAT вывода программы ps.
Ядерные нити выполняются в общей памяти ОС.

ps faxu
ps -uaxf
pstree -cnAhT



Маркеры доступа: 
Возможность процесса по отношению к объектам, доступ к которым разграничивается при помощи дискреционных механизмов, 
определяются значение его атрибутов, формирующих  его DAC-маркер доступа.
Атрибуты: RUID, RGID, EUID, EGID.
man 7 credentials
man -k credentials

id

ps fo euid,ruid,egid,rgid,user,group,tty,cmd

who

ls -la /etc/shadow /dev/tty2 /dev/tty3 /dev/pts/ptmx

ls -la /usr/bin/passwd /usr/bin/wall
ls -ln /usr/bin/passwd /usr/bin/wall

ps ft pts/1,pts/2 o pid,ruid,rgid,euid,egid,tty,cmd



Для selinux
id -Z
ps Zf
sesearch -T -t dhcpc_exec_t -c process
ls -Z /usr/sbin/dhclient
ps -ZC dhclient



cababilities
CAP_SYS_PTRACE  - эта привилегия позволяет процессам трассировщикам strace и ltrace, использующих системный вызов ptrace, трассировать программы
CAP_SYS_NICE - привилегия позволяющая менять приоритет процесса (nice)
CAP_KILL - привилегия позволяет посылать сигналы процессам
CAP_FOWNER - привилегия позволяет процессам изменить режим доступа, мандатную ветку, флаги, атрибуты
CAP_LINUX_IMMUTABLE  - управления флагами i (immutable) и a(append)
CAP_SETFCAP - устанавливать флаговые привилегии
CAP_NET_RAW - создание необработанных (raw) и пакетных (packet) сокетов

ps fo user,pid,cmd -C NetworkManager,postgres,apache2,systemd
getpcaps 1221

getcap /bin/ping
setcap cap_net_raw+ep /bin/ping


Пример как дать права для шарка:
tshark
strace -fe execve tshark 
getcap /usr/bin/dumpcap
setcap cap_net_raw+ep /usr/bin/dumpcap
tshark -i eth0


Другие атребуты:
ps fe
ps fx
pwdx ID
pwdx 1235

Распределение процессора между процессами:
Переключением центрального процесса между задачами (процессами и нитями) 
выполняет специальная компонента подсистемы управления процессами
называемая планировщиком (scheduler)

Именно планировщик определенным образом выбирает из множества неспящих, готовых к выполнению(runable) задач одну,
которую переводит в состояние выполнения (running).
Выбор задачи происходит естественным образом, когда текущая выполнявшиеся задача переходит в состояние сна(sleep)
Ещё существуют вытесняющие алгоритмы планирования, которые ограничивают непрерывное выполнения задач,
принудительно прерывают ее выполнение по исчерпании выданного ей кванта времени(timeslice) и 
вытесняется она во множество готовых, после чего производит выбор новой задачи, подлежащей выполнению.

Для пользователей применяется алгоритм  CFS(completely fair scheduler)
Согласно которому процессорное время  распределяется между  неспящими задачами справедливым (fair) образом.

Для двух задач с равным приоритетом должно быть выделено 50%.

приоритеты называется любезностью:) NICE
-20 ... +19
-20 сделать немедленно, сейчас же (выдается больше всего процессорного времени)
+19 делать неспеша

При отсутствии конкуренции за процессорное время, приоритет не будет играть никакой роли.

Инфа о cpu:
nproc
lsclpu

Пример управления приоритетом:
bzip2 --best -kf plan9.iso &
bzip2 --best -kf plan9.iso &
ps fo pid,pcpu,pri,ni,psr,cmd

renice +10 ID_process
renice +10 1234

ps fo pid,pcpu,pri,ni,psr,cmd


taskdet -p 3 1222

nice -n 5 time  bzip2 --best -kf plan9.iso &
nice -n 15 time  bzip2 --best -kf plan9.iso &
ps fo pid,pcpu,pri,ni,psr,cmd
wait

Другие планировщики:
FIFO (First in First out)- выполняет задачи пока не завершит
RR (Round Robin) - выполняет задачи по очереди  чуть одна чуть другая  PQ (Priority Queue)
EDF ( Earliest Deadline First) - Алгоритм гарантирует выполнение задачи и не позволяет ее вытеснить пока она выполняется.

Политики планирования:
SCHED_OTHER, SCHED_BATHC, SCHED_IDLE - CFS
SCHED_FIFO, SCHED_RR - FIFO, RR
SCHED_DEADLINE - EDF

taskset - позволяет привязать процесс к одному потоку процессора
chrt - смена алгоритма шедулера

Пример смены планировщика:
ps -f 
chrt -b 0 time bzip2 --best -kf plan9.iso & 
chrt -o 0 time bzip2 --best -kf plan9.iso & 
chrt -i 0 time bzip2 --best -kf plan9.iso & 
ps fo pid,pcpu,class,pri,ni,psr,cmd

ps -f 
chrt -pr 99 ID_PROCESS
ps fo pid,psr,cls,ni.pri,pcpu,comm

chrt -r 1 taskset -c 2 bzip2 --best -kf plan9.iso & 
chrt -r 1 taskset -c 2 bzip2 --best -kf plan9.iso & 
ps fo pid,psr,cls,ni,ori,pcpu,comm

chrt -r 2 taskset -c 2 bzip2 --best -kf plan9.iso & 
ps fo pid,psr,cls,ni.pri,pcpu,comm

top -b -n1 -p ID,ID,ID
top -b -n1 -p 123,321,555




Ввод и вывод 
Планировщики ввода и вывода
SCAN, C-SCAN, LOOK, C-LOOK....
I/O scheduler

Сортировка(sorting)
Слияние(mergiring)

Планировщик deadline один из первых для работами с операциями ввода и вывода.
mq-dedline
CFQ
BFQ
kyber -  современный

Посмотреть какой у вас планировщик для дисков:
cat /sys/block/{sda,sdb,sr0}/queue/scheduler
cat /sys/block/sda/queue/scheduler


Пример:
findmnt -T 
cat /sys/block/sda/queue/scheduler
dd if=/dev/urandom of=big1 bs=16384 count=1024
dd if=/dev/urandom of=big2 bs=16384 count=1024
sync
dd if=big1 of=/dev/null iflag=direct &
dd if=big2 of=/dev/null iflag=direct &
wait

ionice -c best-effort -n 7 dd if=big1 of=/dev/null iflag=direct &
ionice -c best-effort -n 0 dd if=big1 of=/dev/null iflag=direct &
wait -n 
wait -n 


Память: 
Управление памятью - механизм страничного отображения - MMU
MMU - (Memory Management Unit, Блок управления памятью) 
Процессы работают с виртуальными адресами воображаемой памяти (virtual address),
отображаемым устройством MMU на физические адреса (physical address) настоящей оперативной памяти.
Для отображения оперативной памяти RAM(random access memory) условно разбивается на гранулы по 4Кбайт,
которые выделяются процессам.

Память процесса состоит из:
страниц (page)
специальных таблиц (page table)
сопоставленные выделенные страничные кадры (page frame)

ps fux
вывод в килобайтах
VSZ (virtual size) - суммарный объём всех страниц процесса (в том числе и выгруженных) 
RSS (resident set size) - суммарный объём всех его страничных кадров в оперативной памяти, т.е. реальное потребление


системные вызовы mmap/munmap, mlock, mprotect, msync, madvise


COW - cppy-on-write - любые попытки изменения (write) приводят к созданию их копии(copy), куда попадают изминения

ps fux
pmap -d PID
pmap -d 775
pmap - покажет память процесса

ldd /usr/bin/hostname
strace hostname


top 
для добавления столбика с SWAP нажмите "g 3" а после "f"

top -p $$


free -mw - статистика использования памяти


Пример:
dd if=/dev/urandom of=big bs=4069 count 262144
ld -lh big
free -mw
vi big
pd -f 
free  -mw
top -b -n1 -p enter_PID_vi
kill enter_PID_vi
free -mw





Механизмы сигналов 
man signal
man -k signal
man kill

kill - команда отсылки сигналов

Ctrl + C - вызывает kill для выполняемой команды в консоли (SIGINT)

stty -a - покажет сигнал ^C и другие возможные сигналы в текущей консоли

Пример
dd if=/dev/zero of=/dev/null
Ctrl+c
^C

А если мы запустим это в фоне
dd if=/dev/zero of=/dev/null &
jobs
jobs -l
kill -SIGINT enter_PID_jobs
Но такой сигнал убьет процесс без сохранения данных на диск

А если хочется сохранить данные SIGQUIT №3
dd if=/dev/zero of=/dev/null &
jobs -l
kill -SIGQUIT  enter_PID_jobs
^Quit 

Для некоторых процессов и демонов не возможно послать сигнал ^C и ^ но возможно послать SIGTERM №15
dd if=/dev/zero of=/dev/null &
kill -SIGTERM enter_PID_jobs


Есть специальные сигналы для приостановки(№19 SIGSTOP) работы и возобновления(SIGCOUNT №18):
bzip2 big &
top -b -n1 -p enter_PID_bzip2
kill -SIGSTOP enter_PID_bzip2
ps -f 
jobs -l
top -b -n1 -p enter_PID_bzip2
kill -SIGCOUNT enter_PID_bzip2
top -b -n1 -p enter_PID_bzip2


Самый наверно страшный сигнал №9 SIGKILL
Не желательно его использовать бездумно
Чаще всего приводит к созданию зомби
безусловное завершение процесса


Есть еще сигнал безусловной приостановке №19 SIGSTOP


kill -l покажит все возможные сигналы


dc - стековый калькулятор поможет преобразовывать из dec в hex и двоичный
dc -e 26i3o00484004p


Также процесс можно приостановить клавишами Ctrl+s 
Возобновить Ctrl+q

bg  - такой командой продолжить выполнение в фоне
fg - вытащить команду из фона 

Межпроцессорное взаимодействие 
IPC (iter-process communication)- средства межпроцессорного взаимодействия
Применяются каналы, сокеты, очереди сообщений и разделяемая память
Синхронизация действий процессов над совместно используемыми объектами - семафоры. 

Неименованные каналы
Самый простой обмен между информацией между родственными процессами (родитель и любой потомок)
Два дескриптора: 
первый передача (записи) в канал
второй   прием (чтения) из канала
Пример:
strace -fe pipe,execve tar cjf /tmp/docs.tgz /usr/share/doc
^Z  (Ctrl+z)

ps -f 
lsof -p enter_PID_tar


Именованные каналы
Именованные каналы повторяют поведение неименованных каналов, 
но предназначены для обмена информацией между неродственными процессами.
Именованные каналы используются крайне редко.
Пример:
ls -l /run/initctl /dev/initctl
lsof /run/initctl


Неименованные локальные сокеты
Именованные каналы = поставщик-> потребитель (односторонний обмен)
Сокет = клиент <-> сервер (двух сторонний обмен)
Сокет - устоявшиеся русская калька с англ. socket, буквально означающая "разъём", например,
220-вольтовые розетку и вилку, или сетевую розетку и вилку RJ-45, или 3.5гнездо для наушников и соответствующий штекер.
Пример:
strace -fe socketpair, execve rsync -a /usr/share/doc /tmp/a
ps f
lsof -p enter_PID_rsync 


Именованные локальные сокеты
Наличие имени канала и сокета
Многие системные сервисы linux  как раз используют именованные локальные сокеты.
Пример: systemd, x-windows-system, wayland, d-bus, wi-fi
Терминальные мультиплексоры screen и tmux
tty
screen
tty
Ctrl+A C

tty
ps fp  enter_PID_screen t pts/1,pts/2
screen ls 
screen -r


Разделяемая память, семафоры и очереди сообщений
ipcs
ipcs -m -p
dc -e enter_ipcs_string
ps up PID
pmap PID

fuser -v /var/cache/nscd/hosts
pmap PID

findmnt /dev/shm
fuser -v /dev/shm/*
ps p PID,PID,PID
pmsp -p PID



Семафоры и очереди сообщений
ipcs -q
ipcs -s 
findmnt /dev/mqueue
ls -l /dev/mqueue
ls -l /dev/shm/sem.*


Программирование: 
Интерпретаторы и их сценарии:
ash, dash, ksh, bash, zsh, fish

Языки:
perl, python, tcl

Универсальный комментарий в начале скрипта именованный shebang.
#!/bin/bash
#!/usr/bin/perl
#!/usr/bin/python


Примеры:
file /bin/fgrep
head -1 /bin/fgrep
file /bin/gunzip
head -1 /bin/gunzip
file /bin/lsb_release
head -1 /bin/lsb_release
file /usr/bin/mimetype
head -1 /usr/bin/mimetype
file /usr/bin/netwag
head -1  /usr/bin/netwag

printenv PATH
pwd



Встроенные и внешние команды 
which -a cd 
type -a cd 
which -a pwd
type -a pwd


Перенаправление потоков ввода-вывода 
0 - Стандартный ввод (stdin) — поток данных, который программа получает на вход (по умолчанию — клавиатура).
1 - Стандартный вывод (stdout) — поток, в который программа записывает результаты (по умолчанию — терминал).
2 - Стандартный поток ошибок (stderr) — поток, куда выводятся сообщения об ошибках (по умолчанию — терминал).

Перенаправление stdout:
Оператор > позволяет записать вывод команды в файл. Если файл существует, он будет перезаписан.
ls > output.txt

Оператор >> добавляет вывод в конец файла, не перезаписывая его.
echo "Hello" >> output.txt

Чтобы перенаправить поток ошибок в файл, используется 2>.
ls /nonexistent 2> errors.txt

2>> добавляет ошибки в конец файла:
ls /nonexistent 2>> errors.txt


Перенаправление stdout и stderr вместе
Можно объединить выводы стандартного вывода и ошибок в один файл с помощью &>.
ls /nonexistent &> all_output.txt

Также можно использовать > file 2>&1, где 2>&1 указывает, что stderr перенаправляется туда же, куда и stdout:
ls /nonexistent > all_output.txt 2>&1


Перенаправление ввода (stdin)
Оператор < позволяет передать данные в команду из файла.
wc -l < input.txt

Конвейеры (Pipelines)
Конвейер | позволяет направить вывод одной команды на вход другой.
ls / | grep "home"



Специальные случаи перенаправления
Удаление вывода — отправка вывода в "черную дыру" (файл /dev/null), где он просто исчезнет:
ls /nonexistent > /dev/null 2>&1
Перенаправление файловых дескрипторов:
В Bash файловые дескрипторы можно перенаправлять с помощью конструкции n>file (где n — номер потока).
Например, 3>file откроет дескриптор 3 для записи в файл file.
Heredoc (встраивание многострочного текста)
cat < output.txt 2> errors.txt 

Чтение из файла и отправка результата в другой файл:
grep "pattern" < input.txt > output.txt

Игнорирование ошибок:
command 2> /dev/null

Запись вывода и ошибок в один файл:
command > output.txt 2>&1

Раздельная запись stdout и stderr:
command > output.txt 2> errors.txt

Отправка всех данных в «черную дыру»:
command > /dev/null 2>&1


Арифметические действия:  
set -x
RADIUS=10
CIRCLE=`expr 2 * $RADIUS * 355 / 113`

set -x 
let CIRCLE=2*RADIUS*355/113; echo $CIRCLE


CIRCLE=$((2 * RADIUS * 355/113)) 

Экранирование:
ls -l

file Рабочий стол
file "Рабочий стол"
file 'Рабочий стол'

find . -name *.gz
set -x 
find . -name "*.gz"

" " - слабое игнорирование (не распространяется на метасимволы ` $ )
'' - сильное экранирование, экранирует любые символы

Список команд:
command1 ; command2 ; command3 ; command4  - простой синхронный
command1 & command2 & command3 & command4 - простой асинхронный 

command1 && command2 && command3 && command4 - условный список команд И (следующая команда выполняется если предыдущая выполнилась успешно)
command1 || command2 || command3 || command4 - условный список ИЛИ (следующая команда выполняется если не выполнилась предыдущая)


Составные списки / test / условия
whict test
which [
type -a test


этот тест возвращает 0 если нет ошибок
test -f /etc/passwd
echo $?

этот тест возвращает 0 если нет ошибок
[ -w /etc/passwd ]
echo $?

проверяем блочное устройство сдром. если диска нет , открываем лоток
[ -b /dev/cdrom ] && eject /dev/cdrom


Составной список if
if [!] list; then list; [elif [!] list; then;] ... [else list;] fi

if test -b /dev/csrom; then eject /dev/cdrom; fi


if [[ "$some_variable" == "good input" ]]; then
  echo "You got the right input."
elif [[ "$some_variable" == "ok input" ]]; then
  echo "Close enough"
else
  echo "No way Jose."
fi


! - нет/не
&& - и
|| - или
-lt - меньше, применяется в квадратных скобках []
-gt - больше, применяется в квадратных скобках []
 
[[ Двойные квадратные скобки ]] работают в целом так же, как и [одинарные квадратные скобки], 
но имеют дополнительные возможности вроде лучшей поддержки регулярных выражений.
 
(( Двойные круглые скобки )) это конструкция, позволяющая осуществлять арифметические вычисления внутри Bash. 
 
Пример:
if [[ "$name" == "Ryan" ]] && ! [[ "$time" -lt 2000 ]]; then
  echo "Sleeping"
elif [[ "$day" == "New Year's Eve" ]] || [[ "$coffee_intake" -gt 9000 ]]; then
  echo "Maybe awake"
else
  echo "Probably sleeping"
fi

Порой вам встретятся двойные квадратные скобки, как в примере выше. 
А порой они будут одинарными:
if [ "$age" -gt 30 ]; then
  echo "What an oldy."
fi
 
Иногда могут быть и круглыми:
!!! обрати внимание на age, это переменная и оформлена без ${age}
if (( age > 30 )); then
  echo "Hey, 30 is the new 20, right?"
fi
 
А может и не быть:
if is_upper "$1"; then
  echo "Stop shouting at me."
fi
 
Что происходит на самом деле:
if ANY_COMMAND_YOU_WANT_AT_ALL; then
  # ... stuff to do
fi

Пример 0, скрипта iftst_v1:
#! /bin/sh
# Пример iftst_v0
if test $# -ne 2; then
 echo "Команде должно быть передано ровно два параметра!"
 exit 1 
else
 echo "Параметр 1: $1. Параметр 2: $2" 
fi


Пример for в файле:
for variable in list
do
    commands
done
 
Пример for в командной строке:
for variable in list ; do commands ; done
 
Пример использования for в командной строке:
$ ls
filemgr.png  terminal.png
$ for f in *.png ; do mv $f screenshot-$f ; done
$ ls
screenshot-filemgr.png  screenshot-terminal.png

Пример:
for i in a b с; do echo $i; done 

Пример:
#! /bin/sh
for i in a b c; do 
 echo $i 
done



case 
case word in [ [(] pattern1 [| pattern2]... ) list ;;]... esac

ключевые словами case, in, esac
признак окончания ветви ;;

#!/bin/bash
# Скрипт, который использует конструкцию case
# переменная, значение которой сравнивается с набором значений
num=2
case $num in
    1)
    echo "num = 1"
    ;;
    2)
    echo "num = 2"
    ;;
    3)
    echo "num = 3"
    ;;
esac
 
echo "Конец программы"
exit 0



#!/bin/bash
echo "Какой цвет вам нравится больше всего?"
echo "1 - синий"
echo "2 - Красный"
echo "3 - Желтый"
echo "4 - Зеленый"
echo "5 - оранжевый"
read color;
case $color in
    1) echo "Синий - основной цвет.";;
    2) echo "Красный - основной цвет.";;
    3) echo "Желтый - основной цвет.";;
    4) echo "Зеленый - вторичный цвет.";;
    5) echo "Оранжевый - вторичный цвет.";;
    *) echo "Этот цвет недоступен. Пожалуйста, выберите другой.";; 
esac


#!/bin/bash
# Скрипт, который использует конструкцию case
# переменная, значение которой сравнивается с набором значений
num=2
case $num in
    1|2|3)
    echo "num равно или 1 или 2 или 3"
    ;;
    4)
    echo "num равно 4"
    ;;
    *)
    echo "Неизвестное значение"
    ;;
esac
 
echo "Конец программы"
exit 0

for / while / until 

for name in [ words ...]; do list; done
и циклы с условием "ПОКА"

while [!] list; do list; done
и "ДО"

until [!] list do list; done
с ключевыми словами for, in, while, until, do, done


for node in $(seq 1 254); do ping -c 1 -W 1 192.168.1.$node; done

while ! ping -c1 -w1 8.8.8.8 ; do sleep 1; date; done
until ping -c1 -w1 8.8.8.8 ; do sleep 1; date; done

Инструментальные средства обработки текста 
Базовые регулярные выражения
? - Любой символ
* - Любое количество любых символов (в том числе ни одного), но не *-файлы!
** - Любые файлы и каталоги, в том числе из всех подкаталогов (начиная с версии bash 4.0 — shopt -s globstar)
[abc] - Один из символов, указанных в скобках
[a-f] - Символ из указанного диапазона
[!abc] - Любые символы, кроме тех, что указаны в скобках
[^аЬс] - Аналогично предыдущему
~ - Сокращенное обозначение домашнего каталога
. - Текущий каталог
.. - Каталог на один уровень выше

echo ab{l,2,3} - Возврат abl аЬ2 аЬЗ
echo a{1..4} - Возврат al а2 аЗ а4
echo $[3*4] - Арифметические вычисления

`команда` - Замена команды результатом ее выполнения
$(команда) - Вариант, аналогичный предыдущему

echo $? - вернет с каким результатом завершилась предыдущая команда (0 - нет ошибок)

Команда "символ" - Отмена интерпретацию любых специальных символов, кроме $
Команда 'символ' - Похоже на предыдущий вариант, но с большими ограничениями (не допускает подстановки переменных)

? - любой одиночный символ в шаблоне
* -  любое количество любых символов в шаблоне

. - любой одиночный символ в регулярном выражении
.* - любое количество любых символов в регулярном выражении


grep '^[^#]' /etc/wgetrc
grep [^0-9][0-9][0-9][^0-9] /etc/services


Сетевая подсистема:
lspci 
lspci -ks 02:00.1

modinfo iwlwifi e1000


ifconfig -a
ip link show

ip addr show dev wlp2s0

lsmod
Просмотр статистики по соединениям IPv4:
netstat -4autpn
netstat -4atupn
ss -4atupn

ss -4atplnu

Назначение IP адреса:
ifconfig eno1 10.0.10.10 up
ifconfig eno1
ping -c 1 10.0.0.10


ipaddress add 172.16.16.172/16 dev eno1
ipaddress show dev eno1
ping -c1 172.16.16.172


Маршрутизация:
Добавление маршрута по умолчанию:
ip route add 0.0.0.0/0 via 10.0.0.1

Показать таблицу:
route -n
ip route show 

Диагностика:
traceroute -m 50 bad.horse

Автоматическая настройка сети:
pgrep NetworkManager
lsof -w +E -p ID_NetworkManager -a -U
strace -fe connect nmcli general

Проводная сеть:
nmcli dev
nmcki dev show enp0s25
nmcli con
nmcli conn add type ethernet ifname enp0s25
nmcli conn
nmcli conn up ethernet-enp0s25
nmcli dev show enp0s25

ip a show dev enp0s25
ip route show

Беспроводная сеть:
nmcli dev wifi rescan
nmcli dev wifi list
nmcli con add type wifi ifname wlp2s0 ssid SSID_NAME

nmcli dev show wlp2s0
ip a show dev wlp2s0


nmcli --ask dev wifi connect SSID_NAME
nmcli conn show

WPA cli:
pgrep wpa_supplicant
lsof +E -p ID_Wpa_supplicant -a -U
strace -fe connect wpa_cli -i wlp2s0 status

wpa_cli -i wlp2s0 status
wpa_cli -i wlp2s0 scan
wpa_cli -i wlp2s0 scan_results
wpa_cli -i wlp2s0 list_networks
wpa_cli -i wlp2s0 add_network
wpa_cli -i wlp2s0 select_network 1
wpa_cli -i wlp2s0 list_networks


VPN:
nmcli con edit type vpn


Служба имен и DNS/mDNS-резолверы 

Отображение имен
Name service switch configuration
/etc/nsswitch.conf

Соответствующие модули libnss_*.so.

Номера портов
/etc/services
libnss_db.so.2

Примеры:
grep hosts /etc/nsswitch.conf
grep services /etc/nsswitch.conf
find /lib/ -name 'libnss_*'

Файловые таблицы имен:
/etc/hosts
/etc/services

Примеры:
cat /etc/hosts
grep http /etc/services
getent hosts ubuntu
getent services 53/udp

Резолверы:
sytemd-resolved
cat /etc/resolv.conf

Примеры:
ss -4autpn sport = :53
getent hosts ya.ru
host ya.ru
host 8.8.8.8

resolvectl dns

ss -4autpn spot = :5353
avahi-browse -arcl


avahi-resolve --name h1.local
geten hosts h2.local


Сетевые службы ssh


Для удаленного доступа были программы rlogin, rsh, telnet, и данные передавались в открытом виде, не было шифрования.
Служба ssh предназначена для организации безопасного (secure) доступа к сеансу командного интерпретатора (shell) удаленных сетевых узлов.

SSH 
Конфиденциальность (плюс целостность) передаваемых данных. 
Обеспечивается при помощи симметрического шифрования с помощью общего сеансового ключа.

Аутентичность (подлинность) взаимодействующих сторон.
Сеансовый ключ устанавливается обеими взаимодействующими сторонами при помощи 
асимметричного алгоритма открытого согласования ключей протокола Диффи-Хелмана.

MITM (man in the middle) - атака 

Пример:
ssh user@namehost.local
ssh user@192.168.0.124

uname -a
whoami
tty
logout

ssh user@192.168.0.124 uptime


Входы без пароля
ssh-keygen
ssh-copy-id user@192.168.0.124


Копирование:
scp file_name user@192.168.0.124:

sftp user@192.168.0.124

rsync -avzr user@192.168.0.124:/home/user/file.txt .

sshfs



LDAP
https://pro-ldap.ru

Системные вызовы open, read, write, close

LDAP (Lightweight Directory Access Protocol)
DIT (Directory Information Tree)

LDAP состоит в использовании принципа ООП (объектно-ориентированного проектирования), согласно которому
индивидуальные записи каталога (entries) являются объектами, т.е. экземплярами классов (class),
в свою очередь описывающих обязательными (must) и возможные (may) атрибуты (свойства) объектов.

Так, класс для описания персональных данных (objectClass: person) требует,
что бы его конечный экземпляр обязательно содержит атрибут sn (surname, фамилия) и cn (common name), 
и позволяет содержать атрибут telephoneNumber.

А класс для описания свойств учетных записей (ojectClass: posixAccaunt) требуют наличия атрибутов uid (user identifier),
что на деле является "именем" учетной записи, uidNumber, 
gidNumber (UID и GID учетные записи) и homeDirectory (домашний каталог пользователя)
и позволяет (если нужно) содержать атрибуты, такие как userPassword и loginShell.

Надо заметить, что принадлежность объекта к тому или иному классу тоже является атрибутом с именем ojectClass, 
принадлежащему классу с названием top.

Само дерево записей LDAP-каталога организуется универсальным образом.
В LDAP при построении дерева на любом уровне для различия (distinguish) сущностей (записей) 
может быть произвольно любой из атрибутов любых объектов, названных выше, например uid.

Относительно отличимые имена RDN (realtive distignuished name)
состоящих из имен атребута, uid=testla или uid=enstein

Аналогично FQDN в системе DNS записываются справа налево.
Для разделения имен в DNS используется точка "."
www.google.com

Почти также делается в LDAP но для разделения сущностей используется запятая
objectClass: dcObject 
dc (Domain commponent)
dc=www, dc=google, dc=com


ldapsearch -LL -H ldap://ldap.forums.com -x -b "" -s base
ldapsearch -LL -H ldap://ldap.forums.com -x -b "" -s base mamingContexts
-b "" - пустой фильтр
-s base - запрос адресуется только к этому имени (-s scope)

ldapsearch -LLL -H ldap://ldap.forumsys.com -x -b dc=example,dc=com -s sub dn
ldapsearch -LLL -H ldap://ldap.forumsys.com -x -b dc=example,dc=com objectClass=posixAccaunt dn

ldapserach -LL -H ldap://ldap.forumsys.com -x -b uid=tesla,dc=example,dc=com -s base

Сетевые утилиты 
tcpdump -i wlp2s0 port 53

hots ya.ru

tshark -i wlp2s0 -V -O http,data-text-lines -Y http port 80

curl https://ya.ru


nmap -n -vvv -reason 192.168.0.1

pgrep lftp

lsof -i 4 -a -p 6056

ss -p dport = :ftp

strace -f trace=network curl http://www.gnu.org/graphics/agnuheadterm-xterm.txt

cd /usr/share/doc
strace -fe trace=network python2 -m SimpleHTTPServer
wget http://localhost:8000


X windows system
X-server и  X-client - рисует окна

Как любая другая сетевых служба, оконная система X состоит из X-сервера и X-клиентов,
взаимодействующих между собой посредством "X протокола"

X-сервер
Основная задача которого заключается в управлении оборудованием графического вывода и ввода.
Под управлением X-сервером находится графические дисплеи (видеоадаптеры и подключенные к ним мониторы), устройства ввода и вывода.
Именно X-сервер принимает подключения от X-клиентов.

Смотрим:
pgrep -l Xorg
ps o pid,tty,cmd p PID_ID_process

lsof -p PID_ID_process -a /dev
lsof -p PID_ID_process -a -U
lsof -p PID_ID_process -a -i

xdpyinfo | grep -A 4 screen

X-клиенты и X-протоколы 
X-клиенты всегда создают хотя бы одно окно

xdpyinfo
xrandr - поворот экрана
glxifo
xlsclients
xwininfo - список созданных окон
xprop
Xnest
Xephyr

Примеры:
xwininfo -tree -root | grep gnome-terminal
xwininfo id 0x2aaasdasda | grep Map
xwininfo id 0x2aaasdasda | egrep 'Map|Width|Height'

xprop -id 0x2a00001 | grep ^WM_
     WM_NAME - текст заголовка отображаемых окон
     WM_CLIETN_MACHINE - имя узла сетевого узла X-клиента
     WM_COMMAND - отображает команду, при помощи которой был запущен клиент

xlsclients -l | grep -C 3 gnome-terminal



Взаимодействие X-клиентов и X-сервера происходит при помощи локальных или сетевых сокетов 
в зависимости от их взаимного местоположения и согласно адресу подключения, 
указываемому на стороне X-клиентов при помощи переменой окружения DISPLAY в host:number

В случае сетевого:
DISPLAY=ubuntu.local:0
DISPLAY=192.168.0.100

В случае локального:
DISPLAY=:0


Примеры:
Xnest :0
Xnest :listen tcp &
lsof -p 10950 -a -i 
lsof -p 10950 -a -U 
xeyes
DISPLAY=:1 strace -fe connect xeyes
DISPLAY=ubuntu.local:1 strace -fe connect xeyes

Оконные менеджеры: 
Оконные менеджеры - позволяют манипулировать окнами.
Примеры оконных менеджеров: 
twm - один из самых первых
olvm
mwm
IceWM

Настольные пользовательские окружения:
Манипулируют и рисуют и есть свои программы.
GNOME - gnome-session(менеджер сеансов) и gnome-shell(оконный менеджер в свою очередь запускает его dbus-launch)
KDE - startkde(сценарий), ksmserver(менеджер сеансов), kwin(оконный менеджер)
XFCE
LXDE

В современных версиях практически безальтернативно используется D-Bus для взаимодействия с окнами и между окнами.

Библиотеки интерфейсных элементов: 
сам X-server умеет рисовать примитивы, точки круги и т.д.
для более сложных используются специальные библиотеки
widget
Xaw
Xview
Motif
Tk
Qt
Xrender
Xlib

Современные это Qt и Gtk, на основе их разрабатывают KDE и GNOME

Пример как посмотреть доступные библиотеки:
ldd $(which xeyes) | grep -i libX
ldd $(which mwm) | grep -i libXm
ldd $(which wish) | grep -i libtk
ldd $(which gnome-shell) | grep -i libgtk
ldd $(which kcacl) | grep -i libqt.gui


Wayland 
замена X серверу



Контейнеры и виртуальные машины: 

Чрутизация:
Самым древним средством изоляции, известным со времен классической ОС UNIX,
является системный вызов chroot, позволяющий назначить процессам корень дерева каталогов,
от которого вычисляются все абсолютные путевые имена.
Каждый процесс имеет атрибут cwd (current working directory)  и атрибут  rtd(root directory).

pgrep -l avahi-daemon
sudo lsof -p ID_avahi-daemon | grep rtd

Пример Чрутизации:
не правильно но показательно:
mkdir c-137
chroot c-137 sh
sudo chroot c-137 sh 
sudo strace -fe chroot,chdir,execve chroot c-137 sh

более менее правильно:
mkdir c-137/bin
cp /bin/sh c-137/bin
sudo chroot c-137 sh 
ldd /bin/sh


Пространства имен:
namespaces

ps up $$
ls -la /proc/$$/ns
ps o pid,netns,mntns,pidns,comm p $$
stat -L /proc/$$/ns/net


Пример создания контейнера в пространстве имен с использованием unshare:
ps o pid,netns,mntns,pidns,comm p $$
sudo unshare -mnp -f -R c-137 --mount-proc busybox sh


Контейнеризация: runnc и docker
Docker(software)
LXC
OpenVZ
OCI (Open Container Ininitiative) 
Помогает взаимодействовать с контейнерами программа runc
Пример runc:
runc spec
ls config.json
sed -n '/root.*{/,/}/p' config.json
sudo debbootstrap --variant=minbase --include iproute2 jammy rootfs

Docker:
сайт docker.io - образы
docker image ls
ls -l /var/run/docker.sok
docker image pull ubuntu:23.04
docker run -ti --hostname c-123 ubuntu:23.04
docker attach c-123

Группы управления cgroups
Управление ресурсами контейнеров


Загрузка linux 
Процесс загрузки абсолютно любой операционной системы начинается с той компоненты, 
которая собственно операционной системой и является - с ядра.
Все остальное это дополнительные компоненты, и нужны по месту, десктоп, сервер, роутер и т.д.

Главной задачей загрузки является размещение ядра ос в оперативной памяти и передача ей управления.
Эти задачи выполняет загрузчик ОС, который принципе не является ее частью.
Чаще всего выступает частью аппаратной платформы на которой выполняется ОС.
Загрузчик сильно зависит от аппаратной платформы, также должен соответствовать спецификациям платформы,
таким как способы разделения носителей на разделы, собственное размещение на этих носителях,
порядок передачи ему управления при старте платформы и т.д.

Платформа персонального компьютера она же "IBM PC Compatible"
BIOS - набор базовых услуг 
Согласно BIOS носитель должны содержать таблицу разделов определенного вида в своем первом блоке "boot sector",
так называемой загрузочной записи MBR, анализировала  таблицу разделов, выбирала активный раздел, 
считывала его PBR(он же VBR (volume boot record) и передавала ему управление.
Установленная на  этот активный раздел ОС обычно размещала свой загрузчик и выполнялась дальнейшая загрузка. 


С развитием платформы BIOS развился в  EFI, позднее в UEFI.
А MRR развился "GUID Partition  table"
Процедура загрузки теперь предполагает наличие наличие специального системного раздела ESP (EFI System Partition),
которая содержит файловую систему FAT (File Allocation Table),
на которой в виде текущей (current) передается управление по умолчанию.


При любом виде загрузке BIOS/UEFI, загрузчик получив управление умеет правильно считать в оперативную память ядро ОС и передать ему управление.

Самым популярным загрузчиком linux является GRUB.

efibootmgr -v 

В современных linux каталог ESP смонтирован в /boot/efi
А файлы grub чаще всего в корневой файловой системе в каталоге /etc и файлах grub.cfg

Само ядро располагается в каталоге /boot
EFI - каталог 
grub - каталог grub
initrd.img - архив модулей (микро версия операционной системы, busybox)
vmlinuz-linux - основной файл, ядро linux

Загрузчик загружает обе части, а затем передает управление.

lsinitramfs /boot/initrd.img-generic | grep.ko$ | wc -l
lsinitramfs /boot/initrd.img-generic | grep bin/

lsinitramfs - показ содержимого
mkinitramfs - запаковка
unmkinitramfs - распаковка


Драйверы
вендор устройства(vendor)
идентификатор модели устройства(device)

find /lib/modules/`uname -r`/kernel/drivers -name '*.ko' | wc -l
lspci -d ::0401 -k
lspci -d ::0401 -n

modinfo snd_intel8x0 | grep alias

lspci
lscsi
lsusb


udevadm monitor -k
mount -t sysfs
cat /sys/devices/pci0000:00/0000:00:1d.0/usb4/4-1/4-1:1.0/uevent


Ссылки: 
https://zip.bhv.ru/9785977518437.zip


		

Уровни OSI

1. Физический 
2. Канальный 
3. Сетевой
4. Транспортный
5. Сеансовый
6. Представительный
7. Прикладной

Уровни OSI TCP/IP

1. Канальный (модуль ядра, драйвер устройства и сетевой интерфейс) L2
2. Сетевой(IP, ICMP, IGMP) L3
3. Транспортный (UDP, TCP, SCTP, DCCP) L4
4. Прикладной (http, https, telnet, ftp, e-mail, smtp, pop3, imap4 и т.д.)

MAC / ARP:

L2
В масштабе сегмента локальной сети аппаратные адаптеры обмениваются пакетами только по MAC-адресам.
Отдельного ARP протокола для ipv6 не существует.(NDP)
Протоколы канального уровня(L2) - немаршрутизируемые
Для выхода за пределы L2 должны быть как то инкапсулированы в пакет маршрутизируемого протокола.
Чаще всего этим занимается протокол IP 
Для этого применяется ARP, RARP для IPV4 и NDP для ipv6. RFC-826
Преобразованием MAC в IP занимается ядро ОС.

macchanger - программа для работы с MAC адресами
macchanger eth0 -s - показать MAC адрес eth0 


inxi - программа покажет ваше железо
inxi -Nxxx - покажет вашу сетевую карту
inxi -C - ваш процессор
inxi -D - ваши диски

Посмотреть таблицу MAC:
arp -en
arp -vn

ip -4 neigh show
ip -6 neigh show

IP адреса:

L3
Каждый сетевой интерфейс имеет свой IP-адрес.
Конечные точки коммуникации знают о друг друге только по их IP адресу

Маски и подсети:

Разделение на классы
A - 0.0.0.0 - 127.255.255.255 - сверх большие подсети 
B - 128.0.0.0 - 192.255.255.255 - большие подсети
C - 192.0.0.0 - 223.255.255.255 - малые подсети
D - 224.0.0.0 - 239.255.255.255 - групповые операции
E - 240.0.0.0 - 247.255.255.255 - резерв

!!! 25 ноября 2019 года В RFC1219 классы с введение общих масок утратили свой смысл кроме групповых операций (класс D)

Широковещательный и групповой обмен:

Всего существует три типа IP-адресов
персональный / unicast
широковещательный / broadcast
групповой / multicast

Широковещательные и групповые запросы применимы только к UDP и SCTP - подобные типы запросов 
позволяют приложению разослать одно сообщение нескольким получателям одновременно.

TCP - протокол, ориентированный на соединение, с его помощью устанавливается соединение между двумя сетевыми интерфейсами
(по указанному их IP-адресу с использованием одного адресата на каждом хосте(который идентифицируется по номеру порта))

Широковещательный адрес подсети(subnet-directed broadcast address) имеет идентификатор хоста, определяемый маской и установленный во все единицы
(самый старший адрес диапазона адресов подсети, а самый младший адрес этого диапазона есть адрес самой подсети):
192.168.1.5 - host
255.255.255.0 - netmask
192.168.1.255 - broadcast

Групповой адрес (multicast group address) состоит из четырех старших битов IP,
установленных в 11110,  идентификатора группы (28 младших битов, определяющих конкретную группу).
224.0.0.0 до 239.255.255.255

Для работы с мультикас существует специальный протокол IGMP RFC1112
Internet Management Protocol

Частные адреса:

Никогда не маршрутизируются шлюзами IP.
Предназначены для организации локальных сетей.

10.0.0.0 - 10.255.255.255 (10/8)
172.16.0.0 - 172.31.255.255 (172.16/12)
192.168.0.0 - 192.168.255.255 (192.168./16)

Решение проблемы с передачей трафика из частных сетей:
1. На сетевом уровне
NAT, Network Address Translation
(еще эту технологи называют Masquerading, Network Masquerading, Native Adress Translation)
Для того что бы такие сети могли общается с внешним миром использую такие технологии как NAT 
При этом хост IP-шлюза подменяет в маршрутизируемых пакетах IP-адрес отправителя, подставляя IP-адрес собственного интерфейса, 
после получения пакета производится обратная операция.
Проекты реализующую NAT (от старых к новым)
ipfw, ipfilter, iptables
Сейчас чаще всего встретите iptables (nftable)

2. На уровне протоколов прикладного уровня - прокси (proxy и посредники)
При этом программа прокси-сервера ретранслирует запрос хоста с частным IP-адресом от своего имени в интерфейс с глобальным IP-адресом
squid / tinyproxy

IPv6

6июня 2012 года крупнейшие провайдеры единовременно перешли к использованию - параллельно с IPv4 - IPv6
IPv6 имеет длину 128Бит (вместо 32 у IPv4)
Важнейшей отличие от IPv4:
Здесь нету отличия между глобальными хостами подключенным к интернету и локальными хостами находящимися в лан.
Здесь любой хост равнозначно доступен из вне, если он не закрыт фаерволом.
Нет масок.(есть префикс, но это другое)

IPv6 три типа адресов:
unicast - идентификатор одиночного интерфейса. 
Пакет, посланный по униксту доставляется интерфейсу по указанному адресу.
anycast - идентификатор набора интерфейсов
Пакет, посланный по эникастному адресу, доставляется одному из интерфейсов, указанному в адресе (зависит от настройки маршрутизации)
multicast - идентификатор набора интерфейса(обычно принадлежит разным узлам)
Пакет доставляется всем инерфесам, заданным этим адресом.


Префикс адреса
В отличии от предыдущей версии протокола, в IPv6 не применяются маски подсети, т.к они получились бы очень длинными, - вместо этого используется префикс,
который записывается так же через слеш после адреса.
Например префикс /64 означает что из 128 битов первые 64 - это сеть, а оставшаяся часть ( 64) -это хосты

Сам адрес записываю в шестнадцатеричном виде. 
[8 хексетов] X [по 16 бит] = [128 битов]


Зарезервированные диапазоны:
fe80::/10 называются link-local
Любой адрес из этого диапазона предназначен для авто конфигурирования ОС
Пакеты отправленные с такого адреса, не пропустит ни один маршрутизатор ограничивая их распространение в пределах сегмента локальной сети 
Протокол ipv6 спроектирован так что link-local адрес быть обязан.

2000://3 уникальные юникаст-адресов в Интернете. 
Выдает и регулирует IANA.

ff00::/8 - это адрес мультикаста. 
Например можно получить отклик всех интерфейсов
ping6 -c2 ff02::1%eno1


Работа с адресами IPv6
Пример адреса:
2001:0DB8:AA10:0001:0000:0000:0000:00FB
Можно убрать начальные 0
2001:DB8:AA10:1:0000:0000:0000:FB
Можно сократить еще нули
2001:DB8:AA10:1::FB

Для петли:
0000:0000:0000:0000:0000:0000:0000:0001
::1

Локальные адреса
Глобальный адрес IPv6  (global address) Действует в интернете. Выдает IANA.
Локальные адреса IPv6 (unique local address) Используются внутри организации.
Локальные адреса канала связи(link-local address) не маршрутизируются (fe80::/10) Действуют в рамках одного сегмента.


Пинг
Для использования команды ping6 требуется указывать суфикс интерфейса (%номер_ipa_a или %имя_фейса)
ping -6 -c3 fe80::f1:f1%eno1
в качестве cуфикса можно указывать номер интерфейса выдаваемый командой ping 
ping -6 -c3 fe80::f1:f1%2


curl [221:58c9:9a6:99be:f3d:clac:2b5b:9771]
wget https://curl [221:58c9:9a6:99be:f3d:clac:2b5b:9771]:80/index.php

Адресные переменные в программном коде / функция inet_pton{}

Функция inet_pton()  преобразовывает символьные изображения IP адреса в структуру адреса

int inet_pton(int af, const char *src, void *dst);

af - семейство адресов, которые может быть записано только одной из символьных констант:
     AF_INET или AF_INET6 означает IP-адрес IPv4 или IPv6 ()
src - символьная строка, в которой записан исходный IP-адрес
     Для IPv4 записывается в привычной точечной нотации: d.d.d.d, где d  десятичное число от 0-255
     Для IPv6 несколько форматов, h:h:h:h:h:h:h:h или h:h:h:h:h:h:d.d.d.d, где h - это 4 знаков шестнадцатеричные числа (0-ffff)
     кроме того, нулевые адресные группы IPv6, как обычно могут пропускаться, например ::FFFF:204.152.189.116;
dst - результат преобразования, структура адреса, вид который зависит от семейства адресов:
для AF_INET это (определяется в ):
     struct in_addr{
          __br32 s_addr;
     };
для AF_INET6 это (определяется в :
     struct in6_addr P
             union {
                     __u8   u6_addr8[16]
            ...
            } in6_u;

В ядре LInux определено весьма много поддерживаемых семейств адресов, что сильно усложняет поиск информации:
cat socket.h | grep 'AF_' | wc -l
             
Возвращаемые значения функции inet_pton:
1 =  успешное преобразование.
0 = Строка src не содержит строчное представление в специфицированном семействе адресов.
-1 = в качестве параметра af указано недопустимое семейство адресов, при этом глобальная переменная errno устанавливается в EAFNOSUPPORT

Адресные переменные в программном коде / функция inet_ntop()

Функция inet_ntop делает в точности на оборот что делала функция inet_pton
Преобразовывает структуру сетевого адреса в символьное изображение IP-адреса.
const char *inet_ntop(int af, const void *src, char *dst, socklen_t size);
af -  семейство адресов AF_INET или AF_INET6
dst - строка, результат преобразования, это же значение возвращается inet_ntop() при успешном выполнение
size - длина запрашиваемой строки результата, специфицируемая при вызове, это может быть символьная константа типа INET6_ADDRSTRLEN


В заголовочном файле  представлено еще весьма много полезных функций

Код программы adr для преобразования ip адреса

cat > adr.c << "EOF"
#include 
#include 
#include 
#include 

int main(int argc, char *argv[]) {
   unsigned char buf[sizeof(struct in6_addr)];
   int domain, s;
   char str[INET6_ADDRSTRLEN];
   if (argc != 3) {
      fprintf(stderr, "Usage: %s {i4|i6|} stringn", argv[0]);
      exit(EXIT_FAILURE);
   }
   domain = (strcmp(argv[1], "i4") == 0) ? AF_INET :
            (strcmp(argv[1], "i6") == 0) ? AF_INET6 :
            atoi(argv[1]);
   s = inet_pton(domain, argv[2], buf);
   if (s <= 0) {
      if (s == 0)
         fprintf(stderr, "Not in presentation format");
      else
         perror("inet_pton");
         exit(EXIT_FAILURE);
   }
   if (inet_ntop(domain, buf, str, INET6_ADDRSTRLEN) == NULL) {
      perror("inet_ntop");
      exit(EXIT_FAILURE);
   }
   printf("%sn", str);
   exit(EXIT_SUCCESS);
}
EOF

Для компиляции используй:
gcc -o adr adr.c 
Примеры:
./adr i6 0:0:0:0:0:0:0:0
./adr i6 1:0:0:0:0:0:0:9
./adr 2001:DB8:AA10:1:0000:0000:0000:FB
./adr i6 0:0:0:0:0:FFFF:204.152.189.116
./adr i4 204.152.189.116

DNS / NS / разрешение имен

Человеку сложно запомнить цифры, запомнить слова проще, собственно это и привело к появлению DNS.
Domain Name System

До зарождения DNS был файл /etc/hosts
Заполнялся вручную.

Программы:
nslookup qnx.org.ru 1.1.1.1
nslookup qnx.org.ru 8.8.8.8

host rus-linux.net

dig @8.8.4.4 b14esh.com

Разрешение имен в программном коде:

cat > gclie.c << "EOF"
#include 
#include 
#include 
#include 
#include 
#include 
#include 

#define BUF_SIZE 500

int main(int argc, char *argv[]) {
   struct addrinfo hints;
   struct addrinfo *result, *rp;
   int sfd, s, j;
   size_t len;
   ssize_t nread;
   char buf[BUF_SIZE];
   if (argc < 3) {
      fprintf(stderr, "Usage: %s host port msg...n", argv[0]);
      exit(EXIT_FAILURE);
   }
   /* Obtain address(es) matching host/port */
   memset(&hints, 0, sizeof(struct addrinfo));
   hints.ai_family = AF_UNSPEC;    /* Allow IPv4 or IPv6 */
   hints.ai_socktype = SOCK_DGRAM; /* Datagram socket */
   hints.ai_flags = 0;
   hints.ai_protocol = 0;          /* Any protocol */
   s = getaddrinfo(argv[1], argv[2], &hints, &result);
   if (s != 0) {
      fprintf(stderr, "getaddrinfo: %sn", gai_strerror(s));
      exit(EXIT_FAILURE);
   }
   /* getaddrinfo() returns a list of address structures.
      Try each address until we successfully connect(2).
      If socket(2) (or connect(2)) fails, we (close the socket
      and) try the next address. */
   for (rp = result; rp != NULL; rp = rp->ai_next) {
      sfd = socket(rp->ai_family, rp->ai_socktype, rp->ai_protocol);
      if (sfd == -1) continue;
      if (connect(sfd, rp->ai_addr, rp->ai_addrlen) != -1)
         break;                    /* Success */
      close(sfd);
   }
   if (rp == NULL) {               /* No address succeeded */
      fprintf(stderr, "Could not connectn");
      exit(EXIT_FAILURE);
   }
   freeaddrinfo(result);           /* No longer needed */
   /* Send remaining command-line arguments as separate
      datagrams, and read responses from server */
   for (j = 3; j < argc; j++) {
      len = strlen(argv[j]) + 1;
      /* +1 for terminating null byte */
      if (len + 1 > BUF_SIZE) {
         fprintf(stderr, "Ignoring long message in argument %dn", j);
         continue;
      }
      if (write(sfd, argv[j], len) != len) {
         fprintf(stderr, "partial/failed writen");
         exit(EXIT_FAILURE);
      }
      nread = read(sfd, buf, BUF_SIZE);
      if (nread == -1) {
         perror("read");
         exit(EXIT_FAILURE);
      }
      printf("Received %ld bytes: %sn", (long)nread, buf);
   }
   exit(EXIT_SUCCESS);
}
EOF



cat > gserv.c << "EOF"
#include 
#include 
#include 
#include 
#include 
#include 
#include 

#define BUF_SIZE 500

int main(int argc, char *argv[]) {
   struct addrinfo hints;
   struct addrinfo *result, *rp;
   int sfd, s;
   struct sockaddr_storage peer_addr;
   socklen_t peer_addr_len;
   ssize_t nread;
   char buf[BUF_SIZE];
   if (argc != 2) {
      fprintf(stderr, "Usage: %s portn", argv[0]);
      exit(EXIT_FAILURE);
   }
   memset(&hints, 0, sizeof(struct addrinfo));
   hints.ai_family = AF_UNSPEC;    /* Allow IPv4 or IPv6 */
   hints.ai_socktype = SOCK_DGRAM; /* Datagram socket */
   hints.ai_flags = AI_PASSIVE;     /* For wildcard IP address */
   hints.ai_protocol = 0;          /* Any protocol */
   hints.ai_canonname = NULL;
   hints.ai_addr = NULL;
   hints.ai_next = NULL;
   s = getaddrinfo(NULL, argv[1], &hints, &result);
   if (s != 0) {
      fprintf(stderr, "getaddrinfo: %sn", gai_strerror(s));
      exit(EXIT_FAILURE);
   }
   /* getaddrinfo() returns a list of address structures.
      Try each address until we successfully bind(2).
      If socket(2) (or bind(2)) fails, we (close the socket
      and) try the next address. */
   for (rp = result; rp != NULL; rp = rp->ai_next) {
      sfd = socket(rp->ai_family, rp->ai_socktype, rp->ai_protocol);
      if (sfd == -1)
      continue;
      if (bind(sfd, rp->ai_addr, rp->ai_addrlen) == 0)
         break;                   /* Success */
      close (sfd);
   }
   if (rp == NULL) {               /* No address succeeded */
      fprintf(stderr, "Could not bindn");
      exit(EXIT_FAILURE);
   }
   freeaddrinfo(result);          /* No longer needed */
   /* Read datagrams and echo them back to sender */
   for (;;) {
      peer_addr_len = sizeof(struct sockaddr_storage);
      nread = recvfrom(sfd, buf, BUF_SIZE, 0,
                       (struct sockaddr*)&peer_addr, &peer_addr_len);
      if (nread == -1)
         continue;                /* Ignore failed request */
      char host[NI_MAXHOST], service[NI_MAXSERV];
      s = getnameinfo((struct sockaddr*) &peer_addr,
                      peer_addr_len, host, NI_MAXHOST,
                      service, NI_MAXSERV, NI_NUMERICSERV);
      if (s == 0)
         printf("Received %ld bytes from %s:%sn",
                (long)nread, host, service);
      else
         fprintf(stderr, "getnameinfo: %sn", gai_strerror(s));
      if (sendto(sfd, buf, nread, 0,
                 (struct sockaddr*)&peer_addr,
                 peer_addr_len) != nread)
         fprintf(stderr, "Error sending responsen");
   }
}
EOF



Для компиляции используй:
gcc -o gclie gclie.c
gcc -o gserv gserv.c 


Запуск:
./gserv 6000 
./gclie localhost 6000 privet
./gclie 127.0.0.1 6000 privet

Что тут происходи:

Функция  
#include 
struct hostent *gethostbyname(const char *name);
Функция возвращает информации о хосте по его имени
struct hostent {
 char *h_name;        /* Official name of host. */
 char **h_aliases;    /* Alias list. */
 int h_addrtype;      /* Host address type AF_INET or AF_INET6 */
 int h_length;        /* Length of address 4 or 16 */
 char **h_addr_list;  /* List of addresses from name server. */

Функция gethostbyaddr() возвращает информацию о хосте по IP-адресу

Функция getaddrinfo()ведена более поздним POSIX, скрывает все зависимости в параметрах от типа протокола


 

Пример Makefile для adr, gclie, gserv

cat > Makefile << "EOF"
CC = gcc -Wall

SRC = adr gclie gserv

all:    $(SRC)

clean disclean:
	rm -f $(SRC)
EOF

# Исправить восемь пробелов на TAB
sed -i 's/        /tt/g' Makefile 

Для компиляции используй:
make

Сетевые интерфейсы:

Посмотреть текущие сетевые интерфейсы:
ip link
ifconfig 

В каталоге /proc
ls /proc/sys/net/ipv4/conf
ls /proc/sys/net/ipv4/conf/eth0/
ls -w80 /proc/sys/net/ipv4/conf/eth0/

Так же как для блочных устройств(дисков) в Linux, когда они еще не пригодны для работы, пока их не смонтируют,
так и сетевые интерфейсы сами по себе еще не пригодны для работы в сети, пока их не подготовят к использованию.
Для работы нужно назначить например  IP-адрес, маску.

Пример именования интерфейсов и их назначения(ip link / ip a / ifconfig):

cipsec0 - Виртуальная частная сеть, VPN, "Cisco Systems VPN Client от Cisco Systems", работает через реальный физический канал.

eml - интерфейс физического проводного Ethernet-адаптера 

eth0- интерфейс физического проводного Ethernet-адаптера 

enp1- интерфейс физического проводного Ethernet-адаптера 

wlan0 - интерфейс физического беспроводного Wi-Fi-адаптера 

wlo1 - интерфейс физического беспроводного Wi-Fi-адаптера 

ppp0 - это может быть беспроводной 3G CMDA модем на USB-шине

lo - логический петлевой интерфейс

Проверка доступности ip адреса
ping 10.0.0.1


Основные команды для работы c Ethernet
ifconfig --help
ip help
ip a 
ip addr show dev eth0
ip link
ip addr help

Основные команды для работы с Wi-Fi
iwconfig
iw wlan0 info
rfkill
rfkill list
iw phy0 info

Графическая программа для управления сетью NetworkManager

Консольная программа для управления NetworkManager
nmcli --help

Таблица маршрутизации (роутинг)

route -n
route -n -6
ip route --help
ip route show
ip -6 route show 

Если все рассматриваемые ранее параметры: IP-адрес, маска, префикс и д.р. - это атрибуты сетевого интерфейса,
то таблица роутинга - это атрибут сетевого хоста в целом, это таблица ядра операционной системы.
0.0.0.0 - default - шлюз последней надежды

Алиасные IP-адреса / дополнительный IP адрес из другой сети

ifconfig eno1:1 10.0.0.2/24 up
команда ip позволяет сразу навесить скольго угодна ip на один интерфейс.
ip a a 10.10.0.1/24 dev eno1
ip a a 10.10.1.1/24 dev eno1
ip a a 10.10.2.1/24 dev eno1

Петлевой интерфейс:

На любом компьютере хосте, даже если он никак не использует сеть (не подключен к сети),
присутствует петлевой интерфейс (loopback, интерфейс lo)
под петлевой интерфейс выделена группа 127/8 и ::1

Петлевой интерфейс позволяет программам на компьютере использовать стек TCP/IP локально.

Переименование сетевого интерфейса

ip link set dev eno1 name eth0

Альтернативные имена (ядро выше 5.4.0)

ip link property add dev eth0 altname eno99

Порты транспортного уровня:

Каждому протоколу более высоких уровней (SSH,RDP,FTP,HTTP,HTTPS, etc) соответствует свой стандартный порт.
Порты бываю: TCP или UDP
Порты разделены на три:
общеизвестные / системны 0-1024 (всегда требуются права root)
зарегистрированные / пользовательские 1024-49151 (зарегистрировала комиссия IANA официально)
динамические / частные 49152-65535

Посмотреть порты:
cat /etc/services 

Посмотреть сколько портов знает система:
grep -v ^$ /etc/services | grep -v ^# | wc -l

Номера портов можно и используется разные, например для HTTP никто не может веб серверу запретить использовать порт 8888 вместо 80. 



Датаграммная передача - UDP
Потоковая передача - UDP

Датаграммный протокол UDP ориентирован на быструю передачу информации, ничем не гарантирующую доставку. 
Вплоть до того, что приемная сторона(ее сетевой стек) имеет право просто успешно принимать UDP-сообщения, 
но если она перегружена, то по собственной инициативе просто сбрасывать в мусор уже принятые пакеты, 
никак не уведомляя об этом ни приемную, ни передающую сторону.

Потоковый протокол TCP ориентирован на надежную доставку информации.
В случае потери пакетов или их искажения на тракте передающая сторона делает многократные попытки повторения передачи.

Протокол UDP определен в RFC 768.
Протокол TCP посвящены RFC 790, 791, 793, 1025, 1323.

!!!
Не обольщайтесь кажущейся простотой и понятностью протокола UDP при реализации надежного взаимодействия
в создаваемом вами проекте. 
Надстраивание над UDP средств контроля и резервирования - это ловушка, которую попадают многие разработчики, впервые начинающие сетевое проектирование.
При этом повторяете путь развития TCP, который занял не одно десятилетие.

Инструменты диагностики:

посмотреть линки:
ip link
Проверить таблицу маршрутизации:
route -n

Инструменты наблюдения:

ping 8.8.8.8

traceroute 8.8.8.8

netstat -i

netstat -t 

ss -tplnu

arp

nslookup google.com

nslookup 8.8.8.8

host ya.ru

dig google.com

tcpdump -i eth0

id 

who

ps -uaxf 

Инструменты тестирования:

scp test root@10.10.10.10:
sftp name@6.6.6.6:/home/name/1.txt

nc -l 1234
nc 127.0.0.1 1234

iperf -s 
iperf -c 10.10.10.1
iperf -c 10.10.10.1 -P4

iperf3 -s 
iperf3 -c 10.10.10.1
iperf3 -c 10.10.10.1 -P4

Сервисы сети и systemd

Все сетевые продукты состоят из трех основных компонентов
1) Протокол
2) Клиент
3) Сервис

mc (Midnight Commnader)

Есть очень удобный способ подключится по ssh к удаленной машине
Называется он "Shell-соединение"
перед использованием этого способа убедитесь что у вас подключается по ssh.

TAB - перемещение между правой и левой лакацией
Enter - Свободное перемещение по каталогам
F5 - копировать
F6 - перемещать
F3 - просматривать
F4 - редактировать

SSH

Графическая сессия 
ssh -X user@server xclock
ssh -Y user@server VirtualBox

Не все так может быть запущенно, но многие программы работают.
Не которые программы сами умеют подключатся через shell.
Например mc, virt-manager и etc

Протокол DHCP

DHCP
Dynamic Host Configuration Protocol

Протокол DHCP - это клиент-серверный протокол, который автоматически доставляет хосту в момент его загрузки IP-адрес (из определенного пула адресов)
и другие связанные сведения о конфигурации, такие как маска подсети и шлюз по умолчанию

RFC2131 и 2132 - определяют протокол DHCP в качестве стандарта "Internet Engineering Task Force" (IETF)
основанного на более раннем протоколе загрузке BOOTP

В сети не может быть более одного DHCP сервера, так как могут возникнуть проблемы раздачи IP-адресов

Самый популярный в linux DHCP сервер это isc-dhcp-server
Чаще всего встретите после него это dnsmasq

Разрешение имен: служба DNS

Domain name system

Сам DNS-протокол базируется на UDP-, либо на TCP-транспорте, на ранних этапах это было только UDP
Используется по умолчанию порт 53 (TCP/UDP)

Самый известный DNS-резолвер bind

Самый просто и кеширующий DHCP/DNS-сервер dnsmasq

Самый частый в systemd это systemd-resolved.services (чаще всего выключен, 
но настраивается очень просто, нужно отредактировать "DNS=" в файле "/etc/systemd/resolved.conf" 
и включить демон командой "sytemctl enable systemd-resolved.services && sytemctl start systemd-resolved.services") 
resolvectl status


# для debian11-12 может пригодится для восстановления systemd-resolved
#  ln -s /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf

Немного про конфигурацию dnsmasq

ls /etc/dnsmasq.d/*.conf

конфиги могут быть разнесены по файла 
dhcp.conf
dns.conf
так и могут быть в одном файле dnsmasq.conf

dhcp.conf
---------
interface=eth1                                           # - интерфейс на котором будет работать dhcp
dhcp-range=192.168.25.2,192.168.25.150,255.255.255.0,12h # - объявляем диапазон для аренды
dhcp-option=option:router,192.168.25.1                   # - default gateway
log-dhcp                                                 # - включить логи
---------

dns.conf
--------
listen-address=127.0.0.1                # - принимаем запросы только из петли
interface=eth1                          # - слушаем только на этом интерфейсе
domain-needed                           # - никогда не присылать адреса без доменной части
bogus-priv                              # - никогда не пересылать адреса из не маршрутизированного пространства
stop-dns-rebind                         # - отклонять ответы от вышестоящих DNS-серверов
rebind-localhost-ok                     # - отключить проверку для 127.0.0.0/8
strict-order                            # - пересылать запросы с первого по порядку
no-resolv                               # - не использовать /etc/resolv.conf
no-hosts                                # - не читать /etc/hosts
domain=localdomain
local-ttl=7200
neg-ttl=14400
max-ttl=86400
server=192.168.25.1
server=8.8.8.8
server=8.8.4.4
--------

iptables

iptables --help

Просмотр правил основных цепочек INPUT  FORWARD  OUTPUT
iptables -L -v -n
iptables-save

Просмотр правил трансляции адресов NAT:
iptables -t nat -L -line-numbers

Разрешить все входящие пакеты (таблицу filter можно не указывать она дефолтная):
iptables -f filter -I OUTPUT 1 -j ACCEPT

Запретить все исходящие пакеты из подсети 10.10.10.0/24
iptables -t filter -A INPUT -s 10.10.10.0/24 -j DROP

Разрешение SSH:
iptables -A INPUT -p tcp --dport 22 -J ACCEPT

Разрешить диапазон входящих портов TCP:
iptables -A -p tcp --dport 3000:4000 -j ACCEPT

Разрешить ICMP:
iptables -A INPUT -p icmp -j ACCEPT

Systemd и сокетная активация сервисов на примере pure-ftpd

!!! Врятли у вас получится сделать это на современных дистрибутивах, так как файлы для запуска сервиса будут установлены автоматически.
apt install pure-ftpd

cat > /usr/lib/systemd/system/pure-ftpd.socket << "EOF"
[Unit]
Descrtiption=pure-ftp FTP server Activation Socket
Conflicts=pure-ftpd.service

[Socket]

ListenStream=21
Accept=true

[Install]
WantedBy=socket.target

EOF

cat > /usr/lib/systemd/system/pure-ftpd@.service << "EOF"
[Unit]
Descriptiom=pure-ftpd FTP Server
After=network-online.target

[Service]
ExecStart=-/usr/sbin/pure-ftpd
StandartInput=socket

EOF

systemctl status pure-ftpd
systemctl stop pure-ftpd
systemctl status pure-ftpd
systemct start pure-ftpd.socket
systemct status pure-ftpd.socket

Прокси серверы:

Преодоление текториальных ограничений 
Защита компьютера клиента от атак с наружи
Позволяет сохранить анонимность клиента путем подмены IP
Проксирование на уровне протоков HTTP, HTTPS
Проксирование на уровне L4 UDP, TCP  SOCKS4 и SOCKS5

SOCKS5 - допускает возможность UDP, есть аутентификация

Самый распространённый  SOCKS5 прокси сервер это Dante
apt search Dante
apt install dante-client - научит любое приложение ходить в прокси
apt install dante-serve - прокси сервер

Пока вырубим его 
systemctl disable danted
systemctl stop danted

Простой конфиг без авторизации 
vim /etc/danted.conf
--------------------
logoutput: stderr
internal: eth0 port = 1080
external: eth0 
socksmethod: none
user.privileged: proxy
user.unprivileged: nobody
user.libwrap: nobody
client pass {
       from: 0/0 to: 0/0
       log: connect error
}
socks pass {
      from: 0/0 to: 0/0
      log: connect error
}
--------------------
тут:
internal - входящий интерфейс
external - исходящий 
port - порт прокси
socksmethod - собственно нету авторизации 

Для авторизации изменить конфиг так:
socksmethod: username 
socks pass {
      from: 0/0 to: 0/0
      log: connect disconnect error ioop
      group: proxy
}

и создать пользователя
useradd --shell /usr/sbin/nologin proxy_user_01
passwd proxy_user_01
usermod -a -G proxy proxy_user_01

Прокси через SSH

ssh -N -D 5555 10.10.10.22
curl -s  -x socks4://127.0.0.1:5555 ya.ru
curl -s  -x socks5://127.0.0.1:5555 ya.ru

Прокси squid

#Debian 12 install squid

Устанавливаем:
apt install squid

Сохраняем оригинальный конфиг squid:
cp /etc/squid/squid.conf /etc/squid/squid.conf.backup
( можно вот так вот обработать  cat squid.conf.bak | grep -v "^#" | grep -v "^$" > squid.conf  тем самым убрав комментарии) 

Приводим конфиг к такому виду:
cat > /etc/squid/squid.conf << "EOF"
acl localnet src 0.0.0.1-0.255.255.255  # RFC 1122 "this" network (LAN)
acl localnet src 10.0.0.0/8             # RFC 1918 local private network (LAN)
acl localnet src 100.64.0.0/10          # RFC 6598 shared address space (CGN)
acl localnet src 169.254.0.0/16         # RFC 3927 link-local (directly plugged) machines
acl localnet src 172.16.0.0/12          # RFC 1918 local private network (LAN)
acl localnet src 192.168.0.0/16         # RFC 1918 local private network (LAN)
acl localnet src fc00::/7               # RFC 4193 local private network range
acl localnet src fe80::/10              # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
include /etc/squid/conf.d/*
http_access allow localhost
http_access deny all
http_port 3128
coredump_dir /var/spool/squid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|?) 0     0%      0
refresh_pattern .               0       20%     4320
EOF

И этот конфиг приводим к такому виду:
cat > /etc/squid/conf.d/debian.conf << EOF
#
# Squid configuration settings for Debian
#

# Logs are managed by logrotate on Debian
logfile_rotate 0

# For extra security Debian packages only allow
# localhost to use the proxy on new installs
#
http_access allow localnet
EOF

Запускаем в зависимости от статуса: 
systemctl status squid
systemctl restart squid
systemctl start squid
systemctl enable squid

Мониторинг за прокси

apt install sockstat
sockstat -h 
sockstat -4 

Фазы соединения TCP

В формате каждого пакета транспортного уровня TCP предусмотрено несколько битовых флагов, определяющих предназначение пакета.
Некоторые флаги могут быть установлены одновременно но не в любых комбинациях.

UGR - указатель срочности (urgent pointer) данных
ACK - номер подтверждения необходимо принять в рассмотрение (acknowledgment)
PSH - получатель должен передать эти данные приложению как можно скорее (push)
RST - сбросить соединение (reset)
YN - синхронизирующий номер последовательности установления соединения
FIN - отправитель закончил пересылку данных

Что бы установить TCP соединения, пересылаются три сегмента:
1. Запрашивающая сторона(клиент) отправляет сегмент (флаг) SYN, указывающий номер порта сервера, к которому клиент хочет подключится,
и исходный номер последовательности клиента ISN
2. Сервер отвечает своим сегментом SYN, содержащий номер последовательности сервера. Сервер также подтверждает риход SYN от клиента
с использованием флага ACK(указыва номер ISN клиента плюс один)
3. Клиент должен подтвердить приход SYN от сервера с использованием флага ACK(ISN сервера плюс один)
Этих трех сегментов достаточно для установления соединения.
Часто называют трехразовым рукопожатием (three-way handshake).


Любая сторона может разорвать соединение послав пакет с флагом FIN.
Чаще всего это делает сам клиент.
И это также сопровождается трёхразовым рукопожатием.

Пример работы с UDP TCP в коде :

cat > common.h << "EOF" 
#ifndef __common_h
#define  __common_h

#include 
#include 
#include 
#include 
#include 

#include 
#include  /* basic socket definitions */
#include 
#include 

#include "inet.h"

#define MAXLINE 4096                /* max text line length */
static char sendline[MAXLINE],     /* write buffer */
            recvline[MAXLINE + 1]; /* reaad buffer */

void  err_dump(const char *, ...);
void  err_sys(const char *, ...);

void str_cli(register FILE*, register int sockfd);
void str_echo(int sockfd);

void dg_cli(FILE* fp, int sockfd,
            struct sockaddr* pserv_addr,
            int servlen);
void dg_echo(int sockfd, 
             struct sockaddr* pcli_addr,  
             int maxclilen);
#endif
EOF


cat > dgcli.c  << "EOF"
/* Read the contents of the FILE *fp, write each line to the
 * datagram socket, then read a line back from the datagram
 * socket and write it to the standard output.
 * Return to caller when an EOF is encountered on the input file.
 */
#include "inet.h"

void dg_cli(FILE* fp, int sockfd,
            struct sockaddr* pserv_addr, // ptr to appropriate sockaddr_XX structure 
            int servlen) {               // actual sizeof(*pserv_addr) 
   int n;
   while (fgets(sendline, MAXLINE, fp) != NULL) {
      n = strlen(sendline);
      if (sendto(sockfd, sendline, n, 0, pserv_addr, servlen) != n)
         err_dump("dg_cli: sendto error on socket");
      // Now read a message from the socket and 
      // write it to our standard output.
      n = recvfrom(sockfd, recvline, MAXLINE, 0,
                   (struct sockaddr*)0, (socklen_t*)0);
      if (n < 0)
         err_dump("dg_cli: recvfrom error");
      recvline[n] = 0;    /* null terminate */
      fputs(recvline, stdout);
   }
   if (ferror(fp))
      err_dump("dg_cli: error reading file");
}
EOF


cat > dgecho.c << "EOF" 
/* Read a datagram from a connectionless socket and write it back to
 * the sender.
 * We never return, as we never know when a datagram client is done.
 */
#include "inet.h"

void dg_echo(int sockfd, 
             struct sockaddr* pcli_addr,  /* ptr to appropriate sockaddr_XX structure */
             int maxclilen) {             /* sizeof(*pcli_addr) */
   for (;;) {
      socklen_t clilen = maxclilen;
      int n = recvfrom(sockfd, recvline, MAXLINE, 0, pcli_addr, &clilen);
      if (n < 0) err_dump("dg_echo: recvfrom error");
      if (sendto(sockfd, recvline, n, 0, pcli_addr, clilen) != n)
         err_dump("dg_echo: sendto error");
   }
}




cat > udpcli.c << "EOF"
/* Example of client using UDP protocol. */
#include "inet.h"

int main(int argc, char* argv[]) {
   int sockfd;
   /* Open a UDP socket (an Internet datagram socket). */
   if((sockfd = socket(AF_INET, SOCK_DGRAM, 0)) < 0)
      err_dump("client: can't open datagram socket");
   struct sockaddr_in serv_addr;
   /* Fill in the structure "serv_addr" with the address
    * of the server that we want to send to. */
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sin_family      = AF_INET;
   serv_addr.sin_addr.s_addr = inet_addr(SERV_HOST_ADDR);
   serv_addr.sin_port        = htons(SERV_UDP_PORT);
   dg_cli(stdin, sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr));
   close(sockfd);
   exit(0);
}
EOF

cat > udpserv.c << "EOF"
// Example of server using UDP protocol.
#include	"inet.h"

int main(int argc, char* argv[] ) {
   /* Open a UDP socket (an Internet datagram socket). */
   int sockfd;
   if((sockfd = socket(AF_INET, SOCK_DGRAM, 0 ) ) < 0 )
      err_dump("server: can't open datagram socket" );
   /* Bind our local address so that the client can send to us. */
   struct sockaddr_in serv_addr;
   bzero((char*)&serv_addr, sizeof(serv_addr ) );
   serv_addr.sin_family      = AF_INET;
   serv_addr.sin_addr.s_addr = htonl(INADDR_ANY );
   serv_addr.sin_port        = htons(SERV_UDP_PORT );
   if(bind(sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr ) ) < 0 )
      err_dump("server: can't bind local address" );
   dg_echo(sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr ) );
}
EOF



cat > error.c << "EOF"
#include "common.h"
#include      /* ANSI C header file */
#include      /* for syslog() */

int daemon_proc;        /* set nonzero by daemon_init() */

static void err_doit(int, int, const char *, va_list);

/* Fatal error related to a system call.
 * Print a message and terminate. */
void err_sys(const char *fmt, ...) {
   va_list ap;
   va_start(ap, fmt);
   err_doit(1, LOG_ERR, fmt, ap);
   va_end(ap);
   exit(1);
}

/* Fatal error related to a system call.
 * Print a message, dump core, and terminate. */
void err_dump(const char *fmt, ...) {
   va_list ap;
   va_start(ap, fmt);
   err_doit(1, LOG_ERR, fmt, ap);
   va_end(ap);
   abort();             /* dump core and terminate */
   exit(1);             /* shouldn't get here */
}

/* Print a message and return to caller.
 * Caller specifies "errnoflag" and "level". */
static void err_doit(int errnoflag, int level, const char *fmt, va_list ap) {
   int errno_save, n;
   char buf[MAXLINE];
   errno_save = errno;                     /* value caller might want printed */
#ifdef HAVE_VSNPRINTF
   vsnprintf(buf, sizeof(buf), fmt, ap);   /* this is safe */
#else
   vsprintf(buf, fmt, ap);                 /* this is not safe */
#endif
   n = strlen(buf);
   if (errnoflag)
      snprintf(buf + n, sizeof(buf) - n, ": %s", strerror(errno_save));
   strcat(buf, "n");
   if (daemon_proc) {
      syslog(level, buf, "cli-serv : %s");
   } else {
      fflush(stdout);                        /* in case stdout and stderr are the same */
      fputs(buf, stderr);
      fflush(stderr);
   }
   return;
}
EOF



cat > inet.h << "EOF" 
/* Definitions for TCP and UDP client/server programs. */
#include "common.h"

#define SERV_UDP_PORT 60000
#define SERV_TCP_PORT 60000
//#define SERV_HOST_ADDR "192.168.1.13" /* host addr for server */
#define SERV_HOST_ADDR "127.0.0.1"      /* host addr for server */

ssize_t readline(int fd, void *vptr, size_t maxlen);
ssize_t writen(int fd, const void *vptr, size_t n);
EOF


cat  > Makefile << "EOF"
MYLIB   = error.o writen.o readline.o 
#LIBS   =
CFLAGS  = -O -Wall -Wno-unused-variable 

all:    $(MYLIB) tcp udp unixstr unixdg sockopt 
        rm -f *.o

lib:    $(MYLIB)

# Internet stream version (TCP protocol).
tcp:    tcpserv tcpcli

tcpcli.o tcpserv.o: inet.h common.h

tcpserv:        tcpserv.o strecho.o
                $(CC) $(CFLAGS) -o $@ tcpserv.o strecho.o $(MYLIB)

tcpcli:         tcpcli.o strcli.o
                $(CC) $(CFLAGS) -o $@ tcpcli.o strcli.o $(MYLIB)

# Internet datagram version (UDP protocol).
udp:    udpserv udpcli

udpcli.o udpserv.o: inet.h common.h

udpserv:        udpserv.o dgecho.o
                $(CC) $(CFLAGS) -o $@ udpserv.o dgecho.o $(MYLIB)

udpcli:         udpcli.o dgcli.o
                $(CC) $(CFLAGS) -o $@ udpcli.o dgcli.o $(MYLIB)

# UNIX stream version.
unixstr: unixstrserv unixstrcli

unixstrcli.o unixstrserv.o: unix.h common.h

unixstrserv:    unixstrserv.o strecho.o
                $(CC) $(CFLAGS) -o $@ unixstrserv.o strecho.o $(MYLIB)

unixstrcli:     unixstrcli.o strcli.o
                $(CC) $(CFLAGS) -o $@ unixstrcli.o strcli.o $(MYLIB)

# UNIX datagram version.
unixdg: unixdgserv unixdgcli

unixdgcli.o unixdgserv.o: unix.h common.h

unixdgserv:     unixdgserv.o dgecho.o
                $(CC) $(CFLAGS) -o $@ unixdgserv.o dgecho.o $(MYLIB)

unixdgcli:      unixdgcli.o dgcli.o
                $(CC) $(CFLAGS) -o $@ unixdgcli.o dgcli.o $(MYLIB)

sockopt:        sockopt.o common.h
                $(CC) $(CFLAGS) -o $@ sockopt.o $(MYLIB)

clean disclean:
        -rm -f *.o core a.out temp*.* 
                tcpserv tcpcli udpserv udpcli 
                unixstrserv unixstrcli unixdgserv unixdgcli 
                s.unixdg s.unixstr sockopt 
EOF

# Исправить восемь пробелов на TAB
sed -i 's/        /tt/g' Makefile 


cat > readline.c << "EOF"
#include "common.h"

static ssize_t my_read(int fd, char *ptr) {
   static int read_cnt = 0;
   static char *read_ptr;
   static char read_buf[MAXLINE];
   if (read_cnt <= 0) {
again:
      if ((read_cnt = read(fd, read_buf, sizeof(read_buf))) < 0) {
         if (errno == EINTR) goto again;
         return(-1);
      } else if (read_cnt == 0)
         return(0);
      read_ptr = read_buf;
   }
   read_cnt--;
   *ptr = *read_ptr++;
   return(1);
}

ssize_t readline(int fd, void *vptr, size_t maxlen) {
   int n, rc;
   char c, *ptr;
   ptr = vptr;
   for (n = 1; n < maxlen; n++) {
      if ((rc = my_read(fd, &c)) == 1) {
         *ptr++ = c;
         if (c == 'n') break;   /* newline is stored, like fgets() */
      } else if (rc == 0) {
         if(n == 1) return(0);   /* EOF, no data read */
         else break;             /* EOF, some data was read */
      } else return(-1);         /* error, errno set by read() */
   }
   *ptr = 0;                     /* null terminate like fgets() */
   return(n);
}
EOF



cat > sockopt.c << "EOF" 
/* Example of getsockopt() and setsockopt(). */
#include "common.h"
#include 
#include   /* for SOL_SOCKET and SO_xx values */
#include   /* for IPPROTO_TCP value */
#include  /* for TCP_MAXSEG value */

int main() {
   int sockfd, maxseg, sendbuff; //, optlen;
   if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
      err_sys("can't create socket");
   /* Fetch and print the TCP maximum segment size. */

   socklen_t optlen = sizeof(maxseg);
   if (getsockopt(sockfd, IPPROTO_TCP, TCP_MAXSEG, (char*)&maxseg, &optlen) < 0)
      err_sys("TCP_MAXSEG getsockopt error");
   printf("TCP maxseg = %dn", maxseg);
   /* Set the send buffer size, then fetch it and print its value. */
   sendbuff = 16384; /* just some number for example purposes */
   if (setsockopt(sockfd, SOL_SOCKET, SO_SNDBUF,
                  (char*)&sendbuff, sizeof(sendbuff)) < 0)
      err_sys("SO_SNDBUF setsockopt error");
   optlen = sizeof(sendbuff);
   if (getsockopt(sockfd, SOL_SOCKET, SO_SNDBUF,
                  (char*)&sendbuff, &optlen) < 0)
      err_sys("SO_SNDBUF getsockopt error");
   printf("send buffer size = %dn", sendbuff);
}
EOF


cat > strcli.c << "EOF" 
/* Read the contents of the FILE *fp, write each line to the
 * stream socket (to the server process), then read a line back from
 * the socket and write it to the standard output.
 * Return to caller when an EOF is encountered on the input file.
 */
#include "common.h"

void str_cli(register FILE* fp, register int sockfd) {
   int n;
   while (fgets(sendline, MAXLINE, fp) != NULL) {
      n = strlen(sendline);
      if (writen(sockfd, sendline, n) != n)
         err_sys("str_cli: writen error on socket");
      /* Now read a line from the socket and 
       * write it to our standard output. */
      n = readline(sockfd, recvline, MAXLINE);
      if (n < 0) err_dump("str_cli: readline error");
      recvline[n] = 0;    /* null terminate */
      fputs(recvline, stdout);
   }
   if (ferror(fp))
      err_sys("str_cli: error reading file");
}
EOF



cat > strecho.c << "EOF"
/* Read a stream socket one line at a time, and write each line back
 * to the sender.
 * Return when the connection is terminated.
 */
#include "common.h"

void str_echo(int sockfd) {
   int n;
   for (;;) {
      n = readline(sockfd, recvline, MAXLINE);
      if (n == 0) return;      /* connection terminated */
      else if (n < 0) err_dump("str_echo: readline error");
      if (writen(sockfd, recvline, n) != n)
         err_dump("str_echo: writen error");
   }
}
EOF


cat > tcpcli.c << "EOF"
/* Example of client using TCP protocol. */
#include "inet.h"

int main(int argc, char* argv[]) {
   int sockfd;                    // TCP сокет 
   struct sockaddr_in serv_addr;  // заполнить структуру адреса сервера
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sin_family      = AF_INET;
   serv_addr.sin_addr.s_addr = inet_addr(SERV_HOST_ADDR);
   serv_addr.sin_port        = htons(SERV_TCP_PORT);
   /* Open a TCP socket (an Internet stream socket). */
   if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
      err_sys("client: can't open stream socket");
   /* Connect to the server. */
   if (connect(sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr)) < 0)
      err_sys("client: can't connect to server");
   str_cli(stdin, sockfd);        // цикл обменов с сервером
   close(sockfd);
   exit(0);
}
EOF

cat > tcpserv.c << "EOF"
/* Example of server using TCP protocol. */
#include "inet.h"

int main(int argc, char* argv[]) {
   int sockfd;                   // TCP сокет 
   if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
      err_dump("server: can't open stream socket");
   struct sockaddr_in serv_addr; // инициализировать униадресом 
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sin_family      = AF_INET;
   serv_addr.sin_addr.s_addr = htonl(INADDR_ANY);
   serv_addr.sin_port        = htons(SERV_TCP_PORT);
   if (bind(sockfd, (struct sockaddr*)&serv_addr, sizeof(serv_addr)) < 0)
      err_dump("server: can't bind local address");
   listen(sockfd, 5);
   for (;;) {                    // цикл по подключения
      socklen_t clilen = sizeof(serv_addr);
      int childpid, newsockfd;
      newsockfd = accept(sockfd, (struct sockaddr*)&serv_addr, &clilen);
      if (newsockfd < 0)         // ожидать соединения
         err_dump("server: accept error");
      if ((childpid = fork()) < 0) 
         err_dump("server: fork error");
      else if (childpid == 0) {  // обрабатывать в дочернем процессе
         close(sockfd);          // закрыть копию прослушивающего сокета
         str_echo(newsockfd);    // ретранслировать полученные данные
         exit(0);                // завершить дочерний процесс
      }
      close(newsockfd);          // в роительском процессе
   }
}
EOF


cat > unixdgcli.c << "EOF"
/* Example of client using UNIX domain datagram protocol. */
#include "unix.h"

int main(int argc, char* argv[]) {
   int sockfd, clilen, servlen;
   char *mktemp();
   struct sockaddr_un cli_addr, serv_addr;
   /* Fill in the structure "serv_addr" with the address
    * of the server that we want to send to. */
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sun_family = AF_UNIX;
   strcpy(serv_addr.sun_path, UNIXDG_PATH);
   servlen = sizeof(serv_addr.sun_family) + strlen(serv_addr.sun_path);
   /* Open a socket (a UNIX domain datagram socket). */
   if ((sockfd = socket(AF_UNIX, SOCK_DGRAM, 0)) < 0)
      err_dump("client: can't open datagram socket");
   /* Bind a local address for us.
    * In the UNIX domain we have to choose our own name (that
    * should be unique).  We'll use mktemp() to create a unique
    * pathname, based on our process id.
    */
   bzero((char*)&cli_addr, sizeof(cli_addr)); /* zero out */
   cli_addr.sun_family = AF_UNIX;
   strcpy(cli_addr.sun_path, UNIXDG_TMP);
   mktemp(cli_addr.sun_path);
   clilen = sizeof(cli_addr.sun_family) + strlen(cli_addr.sun_path);
   if (bind(sockfd, (struct sockaddr*)&cli_addr, clilen) < 0)
      err_dump("client: can't bind local address");
   dg_cli(stdin, sockfd, (struct sockaddr*)&serv_addr, servlen);
   close(sockfd);
   unlink(cli_addr.sun_path);
   exit(0);
}
EOF


cat > unixdgserv.c << "EOF"
/* Example of server using UNIX domain datagram protocol. */
#include "unix.h"

int main(int argc, char* argv[]) {
   int sockfd, servlen;
   struct sockaddr_un serv_addr, cli_addr;
   /* Open a socket (a UNIX domain datagram socket). */
   if ((sockfd = socket(AF_UNIX, SOCK_DGRAM, 0)) < 0)
      err_dump("server: can't open datagram socket");
   /* Bind our local address so that the client can send to us. */
   unlink(UNIXDG_PATH); /* in case it was left from last time */
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sun_family = AF_UNIX;
   strcpy(serv_addr.sun_path, UNIXDG_PATH);
   servlen = sizeof(serv_addr.sun_family) + strlen(serv_addr.sun_path);
   if (bind(sockfd, (struct sockaddr*)&serv_addr, servlen) < 0)
      err_dump("server: can't bind local address");
   dg_echo(sockfd, (struct sockaddr*)&cli_addr, sizeof(cli_addr));
}
EOF

cat > unix.h  << "EOF"
/*
 * Definitions for UNIX domain stream and datagram client/server programs.
 */

#include 
#include 
#include 
#include 
#include "common.h"

#define UNIXSTR_PATH "./s.unixstr"
#define UNIXDG_PATH  "./s.unixdg"
#define UNIXDG_TMP   "/tmp/dg.XXXXXX"

char *pname;
EOF


cat > unixstrcli.c << "EOF"
/* Example of client using UNIX domain stream protocol. */
#include "unix.h"

int main(int argc, char* argv[]) {
   int sockfd, servlen;
   struct sockaddr_un serv_addr;
   /* Fill in the structure "serv_addr" with the address
    * of the server that we want to send to.     */
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sun_family = AF_UNIX;
   strcpy(serv_addr.sun_path, UNIXSTR_PATH);
   servlen = strlen(serv_addr.sun_path) + sizeof(serv_addr.sun_family);
   /* Open a socket (an UNIX domain stream socket). */
   if ((sockfd = socket(AF_UNIX, SOCK_STREAM, 0)) < 0)
      err_sys("client: can't open stream socket");
   /* Connect to the server. */
   if (connect(sockfd, (struct sockaddr*)&serv_addr, servlen) < 0)
      err_sys("client: can't connect to server");
   str_cli(stdin, sockfd);   /* do it all */
   close(sockfd);
   exit(0);
}
EOF


cat > unixstrserv.c << "EOF"
/* Example of server using UNIX domain stream protocol. */
#include "unix.h"

int main(int argc, char* argv[]) {
   int sockfd, newsockfd, childpid, servlen;
   struct sockaddr_un cli_addr, serv_addr;
   /* Open a socket (a UNIX domain stream socket). */
   if ((sockfd = socket(AF_UNIX, SOCK_STREAM, 0)) < 0)
      err_dump("server: can't open stream socket");
   /* Bind our local address so that the client can send to us. */
   bzero((char*)&serv_addr, sizeof(serv_addr));
   serv_addr.sun_family = AF_UNIX;
   strcpy(serv_addr.sun_path, UNIXSTR_PATH);
   servlen = strlen(serv_addr.sun_path) + sizeof(serv_addr.sun_family);
   if (bind(sockfd, (struct sockaddr*)&serv_addr, servlen) < 0)
      err_dump("server: can't bind local address");
   listen(sockfd, 5);
   for (; ;) {
      /* Wait for a connection from a client process.
       * This is an example of a concurrent server. */
      socklen_t clilen = sizeof(cli_addr);
      newsockfd = accept(sockfd, (struct sockaddr*)&cli_addr, &clilen);
      if (newsockfd < 0) err_dump("server: accept error");
      if ((childpid = fork()) < 0) err_dump("server: fork error");
      else if (childpid == 0) {    /* child process */
         close(sockfd);            /* close original socket */
         str_echo(newsockfd);      /* process the request */
         exit(0);
      }
      close(newsockfd);            /* parent process */
   }
}
EOF


cat > writen.c << "EOF"
#include "common.h"

/* Write "n" bytes to a descriptor */
ssize_t writen(int fd, const void *vptr, size_t n) { 
   size_t nleft;
   ssize_t nwritten;
   nleft = n;
   while (nleft > 0) {
      if ((nwritten = write(fd, vptr, nleft)) <= 0) {
         if (errno == EINTR) nwritten = 0;     /* and call write() again */
         else return(-1);                     /* error */
      } 
      nleft -= nwritten;
      vptr  += nwritten;
   }
   return(n);
}
EOF



Для компиляции используй:
make



Использование:
./udpserv
./udpcli

./tcpserv
./tcpcli

./unixdgserv
./unixdgcli

./unixstrserv
./unixstrcli

./sockopt

Драйверы и сетевые устройства в ядре Linux

Linux - операционная система с монолитным ядром.
!!! Альтернативой системы с монолитным ядром является микро ядерные операционные системы (которых создано очень мало)

Проблемы у монолитного ядра, это расширения функциональности (Решёное погрузкой модулей) 
Такие модули загружаясь  связываются с API ядра  и его структурами данных по абсолютным адресам размещения. 
Адреса всех модулей можно посмотреть в псевдо файле /proc/kallsyms и их кол-во может достигать десятков тысяч (с каждой новой версией ядра становится все больше)
cat /proc/kallsyms

Подсчитать количество:
cat /proc/kallsyms | wc -l

Пример что значит строки в выводе "cat /proc/kallsyms | head" :
cat /proc/kallsyms | head -n1
ffff800008000000 T _text
ffff800008000000 - это абсолютный адрес для вызова этой функции ядра
T - сегмент текста (т.е. кода)
_text - внешнее имя драйвера (модуля)

ОС с микро ядерной архитектурой:

Операционные системы с микроядерной архитектурой включают:

Minix — учебная операционная система, использующая микроядро. 
Стала основой для создания концепции микроядерных систем.

QNX — коммерческая реальная ОС с микроядром, широко используемая в автомобильной и встраиваемой электронике.

L4 — семейство микроядер, которое используется в исследовательских и промышленных системах, 
таких как системы безопасности и встраиваемые системы. 
Есть несколько версий L4, например, L4Ka::Pistachio, Fiasco.

GNU Hurd — проект свободной операционной системы, использующий микроядро Mach.
Hurd разрабатывался как часть проекта GNU для замены Unix-подобных систем.

Mach — изначально разработанное микроядро, которое повлияло на разработку других микроядер. 
Использовалось как основа для NeXTSTEP и позднее стало частью macOS в виде гибридного ядра XNU.

Integrity — реальная ОС с микроядром, используемая в авиационной и медицинской технике.

Genode — платформа, основанная на микроядре, ориентированная на безопасность и высокую модульность встраиваемых систем.

Сборка своего модуля ядра hello_printk.c

Обратите внимание что данный Makefile создан с использованием макросов разработчиками ядра  
и он будет повторятся с минимальными изменениями для любых модулей ядра. 
cat  > Makefile << "EOF" 
CONFIG_MODULE_SIG=n

CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)
DEST = /lib/modules/$(CURRENT)/misc
TARGET = hello_printk

obj-m      := $(TARGET).o

all: default clean
#all: default

default: 
        $(MAKE) -C $(KDIR) M=$(PWD) modules

install:
        cp -v $(TARGET).ko $(DEST)
#      /sbin/depmod -v | grep $(TARGET)
        /sbin/depmod
        /sbin/insmod $(TARGET).ko
        /sbin/lsmod | grep $(TARGET)

uninstall:
        /sbin/rmmod $(TARGET)
        rm -v $(DEST)/$(TARGET).ko
        /sbin/depmod

clean:
        @rm -f *.o .*.cmd .*.flags *.mod.c *.order
        @rm -f .*.*.cmd *.symvers *~ *.*~
        @rm -fR .tmp* *.mod
        @rm -rf .tmp_versions

disclean: clean
        @rm -f *.ko
EOF

# Исправить восемь пробелов на TAB
sed -i 's/        /tt/g' Makefile 

cat >  hello_printk.c << "EOF" 
#include 

MODULE_LICENSE("GPL");
MODULE_AUTHOR("LALA >");

static int __init hello_init(void) {
   printk("Hello, world!n");
   return 0;
}

static void __exit hello_exit(void) {
   printk("Goodbye, world!n");
}

module_init(hello_init);
module_exit(hello_exit);
EOF

Для сборки используем:
make

!!!Обратите внимание что начиная с версии ядра 2.6 имя модуля ядра изменилось на ".o" на ".ko"
Формат файла модуля является обычный объектный файл ELF, но дополненный в таблице внешних имен дополнительными именами
(__mod_author5, __mod_license4, __mod_srcversion23, __module_depends, __mod_vermagic5 и прочими)

Узнать информацию о собранном модуле можно командой modinfo:
file hello_print.ko
modinfo ./hello_print.ko

Загрузить:
!!! insmod - не проверяет зависимости, по этому ее использование опасно
modprobe  ./hello_print.ko

Для выгрузки:
rmmod hello_print

Модули ядра, точки входа и завершения:

Любой модуль должен иметь объявление функции входа(инициализации) модуля и его завершения (не обязательно, может и отсутствовать).

Функция инициализации будет вызываться после проверки и соблюдения всех условий достаточных для инициализации.
Выполнение команды insmod для модуля.
Функция инициализации имеет прототип и объявляется именно как функция инициализации макросом module_init():
static int __int hello_int(void) {
...
}
module_init(hello_init);


Функция завершения будет вызывается при выполнение команды rmmod
функция завершения имеет прототип module_exit():
static void __exit hello_exit(void){
...
}
module_exit(hello_exit);
Обратите внимание что функция завершения по своему прототипу не имеет возвращаемого значения 
и поэтому не может сообщить о невозможности каких=либо действий, когда уже начала выполнятся.
Идея состоит в том что система сама проверит возможность завершения , и если это не возможно
то просто не выполнит эту функцию.


Существует еще один не документированный способ описания этих функций:
а именно init_module() и clean_module()
выглядят они так:
int init_module(void) {
...
}
void cleanup_module(void) {
...
}
при такой записи необходимость в макросах module_int() и module_xit отпадает и 
задействовать квалификатор static с такими записями нельзя!
такая запись ухудшает читаемость кода

Модули ядра, вывод диагностики модуля:

Для диагностики модуля используется функция printk()
По функционалу похож на функцию printf()

Сам вызов printk() и сопутствующие ему константы  определения вы найдете в файле:
/lib/modules/`uname -r`/build/include/linux/kernel.h
asmlinkage int printk(const char * fmt, ...) 

#define KERN_EMERG    "<0>"
#define KERN_ALERT    "<1>"
#define KERN_CRIT     "<2>"
#define KERN_ERR      "<3>"
#define KERN_WARNING  "<4>"
#define KERN_NOTICE   "<5>"
#define KERN_INFO     "<6>"
#define KERN_DEBUG    "<7>"


зависимости модулей прописаны в файле (информацию о них modprobe черпает из него)
cat /lib/modules/`uname -r`/modules.dep
Если modprobe получает универсальный идентификатор, то она сначала пытается найти его в файлах /etc/modprobe.conf (утарело)
и в каталоге /etc/modprobe.d/*.conf

!!! inmod никак не проверяет зависимости, если обнаруживает не разрешенные имена, то завершает работу аварийно.

depmod - показывает зависимости

Параметры загрузки модуля

Из командной строки передаются через массив argv[]
Для каждого параметра определяется переменная-параметр, далее эти переменные используются в макросе module_param().
Подобный макрос следует записать для каждого предусмотренного параметра, и он должен последовательно определить:
1) имя параметра и переменной
2) тип значения этой переменной
3) права доступа к параметру (отображаемое как путевое имя в системе псевдо каталог /sys)

Значения параметрам могут быть установлены во время загрузки модуля через insmod и modprobe
modprobe также может прочитать файл /etc/modprobe.conf

Обработка входных параметров модуля обеспечивается макросами  описанными в 
И там множество!
Но чаще всего вы встретите  module_param() и module_param_array()


Пример кода:
cat  > mod_params.c << "EOF"
#include 
#include 
#include 

MODULE_LICENSE("GPL");
MODULE_AUTHOR("OLA laA >");

static int iparam = 0;        // целочисленный параметр
module_param(iparam, int, 0);

static int k = 0;             // имена параметра и переменной различаются
module_param_named(nparam, k, int, 0);

static bool bparam = true;    // логический инверсный парамер
module_param(bparam, invbool, 0);

static char* sparam;          // строчный параметр
module_param(sparam, charp, 0);

#define FIXLEN 5
static char s[FIXLEN] = "";   // имена параметра и переменной различаются
module_param_string(cparam, s, sizeof(s), 0); // копируемая строка

static int aparam[] = { 0, 0, 0, 0, 0 };      // параметр - целочисленный массив
static int arnum = sizeof(aparam)/ sizeof(aparam[0]);
module_param_array(aparam, int, &arnum, S_IRUGO | S_IWUSR);

static int __init mod_init(void) {
   int j;
   char msg[40] = "";
   printk("========================================n");
   printk("iparam = %dn", iparam);
   printk("nparam = %dn", k);
   printk("bparam = %dn", bparam);
   printk("sparam = %sn", sparam);
   printk("cparam = %s {%ld}n", s, (long)strlen(s));
   sprintf(msg, "aparam [ %d ] = ", arnum );
   for(j = 0; j < arnum; j++) sprintf(msg + strlen(msg), " %d ", aparam[j]);
   printk("%sn", msg );
   printk("========================================n");
   return -1;
}
         
module_init(mod_init);

EOF

cat  > Makefile << "EOF" 
CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)

TARGET = mod_params

obj-m      := $(TARGET).o

all: default clean

default: $(TARGET).c 
        $(MAKE) -C $(KDIR) M=$(PWD) modules

clean:
        @rm -f *.o .*.cmd .*.flags *.mod.c *.order
        @rm -f .*.*.cmd *.symvers *~ *.*~ TODO.*
        @rm -fR .tmp* *.mod
        @rm -rf .tmp_versions

disclean: clean
        @rm -f $(TARGET).ko 

EOF


# Исправить восемь пробелов на TAB
sed -i 's/        /tt/g' Makefile 


Примеры использования:
insmod mod_params.ko
insmod ./mod_params.ko iparam=3 sparam=zxcv aparam=5,4,3
insmod ./mod_params.ko iparam=3 sparam=zxcv aparam=5,4,3,2,1,0
insmod ./mod_params.ko iparam=qwerty
insmod ./mod_params.ko iparam=3 nparam=4 sparam=str1 cparam=str2 aparam=5,4,3
insmod mod_params.ko sparam='new'
insmod mod_params.ko iparam=3 nparam=4 bparam=1 sparam=str1 cparam=str2 aparam=5,4,3

Ошибка?
echo $?
Если последняя команда выполнилась и 0 нет ошибки, если > 0 есть ошибка 

Ну и вывод смотрим с помощью dmesg 
dmesg 
dmesg -w
dmesg | tail -n9

Модуль ядра, подсчет ссылок использования:

Одно из важных  понятий модуля.
При загрузки модуля начальное значение счетчика  ссылок нулевое.
При загрузке любого следующего модуля, который использует(импортирует) имена, экспортируемые этим модулем, счетчик ссылок такого модуля инкрементируется.

!!!
Модуль, счетчик ссылок использования которого ненулевой, не может быть выгружен командой rmmod.
Некорректное обращение к несуществующему модулю гарантирует крах всей системы.

Пример:
lsmod | grep i2c
i2c_algo_bit           20480  1 i915
i2c_i801               45056  0
i2c_smbus              20480  1 i2c_i801
i2c_mux                16384  1 i2c_i801
i2c_dev                28672  0

Взглянем на:
i2c_smbus              20480  1 i2c_i801 
Значение ссылок  равно 1 
Далее i2c_i801 перечислены использующие его модули (модули которые на него ссылаются) 
До тех пор пока модуль i2c_i801 не будет удален из системы, модуль i2c_smbus будет невозможно удалить.

функции вызова определены в файле 
int try_module _get(struct module *module) - увеличить счетчик ссылок для модуля (возвращает признак успешности операции)
void module_put(struct module *module) - уменьшает счетчик ссылок для модуля
unsigned int module_refcount(struct module *mod) - возвратить значение счетчика ссылок для модуля

В качестве параметра всех этих вызовов, как правило, передается константный указатель THIS_MODULE, так что вызовы выглядят примерно так:
try_module_get(THIS_MODULE);

!!!
Возможность управлять значениями счетчика ссылок из собственного модуля есть, но делать это не рекомендуется.

Структура данных сетевого стека:

Сетевая реализация построена так, чтобы не зависеть от конкретики протоколов.
Основной структурой данных является struct net_device, описывает сетевое устройство.

Основной структурой обмениваемых данных между сетевыми устройствами являются "буферы сокетов"
Определена в 
struct sk_buff
данные управления "head"
данные пакета "data"

Буферы  сокетов всегда указывают в очереди( struct sk_queue_head ) посредством своих первых полей "next" и  "prev"

Пример полей структуры:
typedef unsigned char *sk_buff data_t;
struct sk_buff {
  stuckt sk_buff *next;
  struct sk_buff *prev;
...
  sk_buff_data_t transport_header;
  sk_buff_data_t network_header;
  sk_buff_data_t mac_header;
...
unsigned char *head,
              *data;
...
};

Структура вложенности заголовков сетевых уровней в точности соответствует структуре инкапсуляции сетевых протоколов внутри друг друга 
- это позволяет обрабатывающему слою получить доступ к информации, относящейся только нужному ему слою.


Экземпляры данных типа struct sk_buff:
ПОЛУЧАТЕЛЬ:
Возникают при поступлении очередного сетевого пакета из внешней физической среды распространения данных.
Об этом событии извещает прерывание IRQ, генерируемое сетевым адаптером.
При этом создается экземпляр буфера сокета, заполняется данными из поступающего пакета и далее передается вверх от сетевого слоя к слою до приложения 
прикладного уровня, которое является получателем пакета.
На этом экземпляр данных буфера сокета уничтожается.
ОТПРАВИТЕЛЬ:
Возникает в среде приложения прикладного уровня, которое является отправителем пакета данных.
Пакет отправителя данных помещается в созданный буфер сокета, который начинает перемещается вниз от сетевого слоя к слою достижения канального уровня L2.
На этом уровне осуществляется физическая передача данных пакета через сетевой адаптер в среду распространения.
В случае успешного завершения передачи  (подтверждается прерыванием, генерируем сетевым адаптером , часто по той же линии IRQ, что и при приеме пакета)
буфер сокета уничтожается.
При отсутствии подтверждения отправки(IRQ) обычно делается несколько повторных попыток, прежде чем принять решение об ошибке канала.

Путь пакета сквозь стек протоколов / Прием: традиционный подход

Традиционный подход состоит в том, что каждый приходящий сетевой пакет порождает аппаратное прерывание 
по линии IRQ адаптера, что и служит сигналом  на прием очередного сетевого пакета и создание буфера сокета для 
его сохранения и обработки принятых данных.
Порядок действий:
1. Читая конфигурационную область PCI-адаптера сети при инициализации модуля,
определяем линию прерывания IRQ, которая будет обслуживать сетевой обмен:
char irq; 
pci_read_config_byte(pdev, PCI_INTERRUPT_LINE, &byte);
2. При инициализации сетевого интерфейса для этой линии IRQ устанавливается обработчик прерывания my_interrupt():
reques_irq(int)irq, my_interrupt, IRQF_SHARED, "my_interrupt", &my_dev_id);
3. В обработчике прерывания по приему нового пакета в сеть - здесь нужен
анализ причины по чтению некоего аппаратного флага) создается (или запрашивается из пула используемых) новый экземпляр буфера сокетов:
static irqreturn_t my_interrupt(int irq, void *dev_id) {
   ...
   struct sk_buff *skb = kmalloc(sizeof(struct sk_buff), ...);
   // заполнение данных *skb чтением из портов сетевого адаптера
   netif_rx(skb);
   return IRQ_HANDLED;
}
Все эти действия выполняются не в самом обработчике верхней половины прерываний от сетевого адаптера, 
а в обработчике отложенного прерывания NET_RX_SOFTIRQ для этой линии.
Последним действием является передача заполненного сокетного буфера вызову netifrx() (или netif_receive_skb()), 
который и запустит процесс движения его (буфера) по структуре сетевого стека (отметит отложенное программное прерывание NET_RX_SOFTIRQ для исполнения).

Путь пакета сквозь стек протоколов / Прием: высокоскоростной интерфейс

Особенность сетевых интерфейсов в том, что их активность носит взрывной характер.
В один момент времени может не быть трафика совсем(обмен ARP пакетами не в счёт), в другой его много.

!!!
Современные сетевые интерфейсы имеют скорости 10+ Гбит, и уже при более скромных скоростях традиционный подход становится нецелесообразным:
Новые приходящие пакеты создают вложенные запросы IRQ несколько уровней при еще не обслуженном приеме текущего IRQ;
Асинхронное обслуживание каждого IRQ в плотном потоке создает слишком большие накладные расходы.

Поэтому был добавлен набор API для обработки таких  плотных потоков пакетов, 
поступающих с высокоскоростных интерфейсов, который и получил название NAPI (New API).
Идея состоит в том,  чтобы прием пакетов осуществлять не методом прерывания, а методом программного опроса (poling)
точнее комбинацией этих двух возможностей:

 При поступлении первого пакета "пачки" инициируется прерывание IRQ адаптера(все начинается как в традиционном методе);

 В обработчике прерывания запрещается поступление дальнейших запросов прерывания с этой линии IRQ по приему пакетов, 
IRQ с этой линии по отправке пакетов могут продолжать пропускать - т.е. установленный запрет происходит не программным
запретом линии IRQ со стороны процессора, а записью управляющей информации в аппаратные регистры сетевого адаптера.
Тесть сетевой адаптер это должен уметь делать. (все современные адаптеры умет это делать)

 После прекращения прерываний по приему обработчик переходит в режим циклического считывания и обработки принятых   
из сети пакетов, сетевой адаптер при этом накапливает поступающие пакеты  во внутреннем кольцевом буфере приема, 
либо до определенного порогового числа считанных пакетов (10, 20, ...), называемого бюджетом функции поллинга.

 Считывание и обработка  пакетов происходит обработчике прерываний в его отстроченной (нижней) части.

 Каждому принятому в опросе пакету генерируется сокетный буфер для продвижения его по стеку сетевых протоколов вверх

 После завершения цикла программного опроса по его результатам устанавливается состояния завершения:
NAPI_STATE_DISABLE(если не осталось считанных пакетов в кольцевом буфере адаптера) или NAPI_STATE_SCHED(что говорит,
что устройство адаптера должно продолжать опрашиваться, когда ядро в следующий раз перейдет к циклу опросов 
в отложенном обработчике прерываний)

 Если результатом является NAPI_STATE_DISABLE, то после завершения цикла программного опроса восстанавливается разрешение 
генерации прерываний по линии IRQ приема пакетов(записью в порты сетевого адаптера)



1. Реализатор обязан создать и зарегистрировать специфичную функцию для модуля функции опроса(poll-функцию), используя вызов ()
static inline void netif_napi_add(struct net_device *dev,
                                  struct napi_struct *napi,
                                  int (*poll)(struct napi_struct *,int),
                                  int weight);
dev - сетевой интерфейс
poll - функция программного опроса
weight - относительный вес  10MIb,100Mib  = 16  10Gib и 100Gib = 64
napi - указатель на специальную структуру, со значениями state = NAPI_STATE_DISABLE  state = NAPI_STATE_SCHED  

struct napi_struct {
  struct list_head poll_list;
  unsingned long state;
  int weight;
  int (*poll) (struct napi_struct*, int);
};

2. Зарегистрированная функция программного опроса ( полностью зависимая от задачи и реализуемая в коде модуля имеет подобный вид;
static int my_card_poll(struct napi_struct *napi, int budget) {
       int work_done; // число реально обработанных в цикле опроса сетевых пакетов
       work_done = my_card_input(budget, ...); // реализационно специфический прием пакетов
       if (work_done < budget ) {
          netif_rx_complete(netdev, napi);
          my_card_enable_irq(...); // разрешить IRQ приема
       }
       retun work_done;
}

my_card_input() - пытается аппаратно считать budget сетевых пакетов
Для каждого считанного сетевого пакета создается сокетный буфер и вызывает netif_receive_skb()
если кольцевой буфер исчерпается ранее budget то будет вызвана netif_rx_complete() что отменит отложенное програмное прерывание  NET_RX_SOFTIRQ

3. Обработчик аппаратного прерывания линии IRQ сетевого адаптера:
static irqretur_t my_interrupt(int irq, void *dev_id) {
   struct net_debice *netdev = dev_id;
   if (likely(netif_rx_schedule_prep(netdev, ...))) {
     my_card_disable_irq(...); // запретить IRQ приема
     __netif_rx_schedule(netdev, ...);
   }
    return IRQ_HANDLED;
}

Ядро должно быть уведомлено что новая порция сетевых пакетов готова для обработки.
Для этого:
вызов netif_rx_schedule_prep() устанавливает состояние NAPI_STATE_SCHED
если он успешен, то вызовом __netif_rx_schedule() устройство помещается в список программного опроса  в цикле обработки отложенного программного прерывания NET_RQ_SOFTIRQ


Опрос не должен потреблять более одного системного тика(глобальная переменная jiffiels), иначе это будет искажать диспетчеризацию потоков ядра
Бюджет не должен быть больше глобального установленного ограничения
cat /proc/sys/net/core/netdev_budget

Передача пакета:

ndo (Net Device Operation)
При инициализации сетевого интерфейса создается таблица операций сетевого интерфейса, одно из полей которой -
- ndo_start_xmit - определяет функцию передачи пакета в сеть:
struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = stub_start_xmit,
};

При вызове stub_start_xmit должна обеспечить аппаратную передачу полученного сокета в сеть, после чего уничтожает(возвращает в пул) буфер сокета:
static int stab_start_xmit(struct sk)buff *skb, struct net_device *dev) {
       // ... апаратное обслуживание передачи
       dev _kfree_skb(skb);
       return 0;
}

Реально чаще уничтожение отправлено буфера будет происходить не при инициализации операции, а при ее успешном завершении, что отслеживается той же IRQ,
что и прием пакетов из сети. 


Часто задаваемый вопрос:
а где же в этом процессе место (код), где создается информация для буферов?, где потребляется информация из принимаемых сокетных буферов?
Ответ прост:
Интерфейс из этого прикладного уровня в стек протоколов ядра обеспечивается известным POSIX API сокетов прикладного уровня.

Драйверы: сетевой интерфейс

Задача сетевого интерфейса - быть местом в котором:
Создаются экземпляры структуры "struct sk_buff" по каждому принятому из интерфейса пакету (здесь нужно принимать во внимание возможность сегментации IP-пакетов),
далее созданный экземпляр структуры продвигается по стеку протоколов вверх до получателя пользовательского пространства, где он и уничтожается.
Исходящие экземпляры структуры "struct sk_buff", порожденные где-то на верхних уровнях протоколов пользовательского пространства, должны отправляться
(чаще всего каким-то аппаратным механизмом), а сами экземпляры структуры после этого - уничтожатся.

Пример кода:
cat > network.c << "EOF"
/*
 * (c) Copyright Jerry Cooperstein, 2009
 * (c) Copyright Oleg Tsiliuric, 2011
 */
#include 
#include 
#include 

static struct net_device *dev;

static int my_open(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_open(%s)n", dev->name);
   /* start up the transmission queue */
   netif_start_queue(dev);
   return 0;
}

static int my_close(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_close(%s)n", dev->name);
   /* shutdown the transmission queue */
   netif_stop_queue(dev);
   return 0;
}

/* Note this method is only needed on some; without it
   module will fail upon removal or use. At any rate there is a memory
   leak whenever you try to send a packet through in any case*/
static int stub_start_xmit(struct sk_buff *skb, struct net_device *dev) {
   dev_kfree_skb(skb);
   return 0;
}

static struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = stub_start_xmit,
};

static void my_setup(struct net_device *dev) {
   /* Fill in the MAC address with a phoney */
   char *pa = (char*)dev->dev_addr;
   for(int j = 0; j < ETH_ALEN; j++) 
      *pa++ = (char)j;
   ether_setup(dev);
   dev->netdev_ops = &ndo;
}

static int __init my_init(void) {
   printk(KERN_INFO "! Loading stub network module:....");
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   dev = alloc_netdev(0, "fict%d", my_setup);
#else
   dev = alloc_netdev(0, "fict%d", NET_NAME_ENUM, my_setup);
#endif
   if(register_netdev(dev)) {
      printk(KERN_INFO "! Failed to registern");
      free_netdev(dev);
      return -1;
   }
   printk(KERN_INFO "! Succeeded in loading %s!n", dev_name(&dev->dev));
   return 0;
}

static void __exit my_exit(void) {
   printk(KERN_INFO "! Unloading stub network modulen");
   unregister_netdev(dev);
   free_netdev(dev);
}

module_init(my_init);
module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");
MODULE_AUTHOR("Jerry Cooperstein");
MODULE_AUTHOR("Tatsuo Kawasaki");
MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_DESCRIPTION("LDD:1.0 s_24/lab1_network.c");
MODULE_LICENSE("GPL v2");

EOF

cat > Makefile << "EOF"
CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)
DEST = /lib/modules/$(CURRENT)/misc

EXTRA_CFLAGS += -std=gnu99

TARGET1 = devices
TARGET2 = network
TARGET3 = transmit_simple
TARGET4 = transmit
TARGET5 = receive
TARGET6 = mulnet

obj-m   := $(TARGET1).o $(TARGET2).o $(TARGET3).o 
           $(TARGET4).o $(TARGET5).o $(TARGET6).o

all: default clean

default:
        $(MAKE) -C $(KDIR) M=$(PWD) modules

install:
        cp -v $(TARGET).ko $(DEST)
        /sbin/depmod -v | grep $(TARGET)
        /sbin/insmod $(TARGET).ko
        /sbin/lsmod | grep $(TARGET)

uninstall:
        /sbin/rmmod $(TARGET)
        rm -v $(DEST)/$(TARGET).ko
        /sbin/depmod

clean:
        @rm -f *.o .*.cmd .*.flags *.mod.c *.order
        @rm -f .*.*.cmd *.symvers *~ *.*~
        @rm -fR .tmp* .*.d .*.cmd *.mod
        @rm -rf .tmp_versions

disclean: clean
        @rm -f *.ko

EOF

# Исправить восемь пробелов на TAB
sed -i 's/        /tt/g' Makefile 


cat > devices.c << "EOF"
#include 
#include 
#include 

static int __init my_init(void) {
   struct net_device *dev;
   printk(KERN_INFO "Hello: module loaded at 0x%pxn", my_init);
   dev = first_net_device(&init_net);
   printk(KERN_INFO "Hello: dev_base address=0x%pxn", dev);
   while (dev) { 
      char smac[ETH_ALEN*3];
      struct rtnl_link_stats64 stat = {};
      for(int j = 0; j < ETH_ALEN; j++)
         sprintf(smac + j * 3, "%02x%c",
                 dev->dev_addr[j], ETH_ALEN - 1 != j ? ':' : '' );
      if (dev->netdev_ops->ndo_get_stats64 != NULL)
         dev->netdev_ops->ndo_get_stats64(dev, &stat);
      printk(KERN_INFO "name=%-6s irq=%-3d MAC=%s "
                       "rx_bytes=%-8llu tx_bytes=%-8llu n",
                       dev->name, dev->irq, smac,
                       stat.rx_bytes, stat.tx_bytes);
      dev = next_net_device(dev);
    }
    return -1;
}

module_init(my_init);

MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_LICENSE("GPL v2");

EOF


cat > transmit_simple.c << "EOF"
/*
 * (c) Copyright Jerry Cooperstein, 2009
 * (c) Copyright Oleg Tsiliuric, 2011-2022
 */

/*
 * Building a Transmitting Network Driver (simple solution)
 *
 * Extend your stub network device driver to include a transmission
 * function, which means supplying a method for
 * dev->hard_start_xmit().
 *
 * While you are at it, you may want to add other entry points to see
 * how you may exercise them.
 *
 * Once again, you should be able to exercise it with:
 *
 *   insmod transmit_simple.ko
 *   ifconfig mynet0 up 192.168.3.197
 *   ping -I mynet0 localhost
 *       or
 *   ping -bI mynet0 192.168.3
 *
 * Make sure your chosen address is not being used by anything else.
 */
#include 
#include 
#include 
#include 

static int debug = 0;               // уровень отладочного вывода
module_param(debug, int, 0);

static struct net_device *dev;

static int my_hard_start_xmit(struct sk_buff *skb, struct net_device *dev) {
   struct netdev_queue *pnq = skb_get_tx_queue(dev, skb);
//static inline struct netdev_queue *skb_get_tx_queue(const struct net_device *dev,
//                            const struct sk_buff *skb)
   pnq->trans_start = jiffies;
   if(debug > 0)
      printk(KERN_INFO "! my_hard_start_xmit(%s) - sending packet :n",
             dev->name);   
   if(debug > 1) {
      char line[3 * 16 + 1]; //, *plin = (char*)&line; 
      /* print out 16 bytes per line */
      for(int i = 0; i < skb->len; ++i) {
         int pos = i % 16;
         if((i > 0) && (i & 0xf) == 0)
            printk(KERN_INFO "! %sn", line);
         sprintf((char*)line + pos * 3, "%02x ", skb->data[i]);
      }
      printk(KERN_INFO "n");
   }
   dev_kfree_skb(skb);
   return 0;
}

static int my_open(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_open(%s)n", dev->name);
   /* start up the transmission queue */
   netif_start_queue(dev);
   return 0;
}

static int my_close(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_close(%s)n", dev->name);
   /* shutdown the transmission queue */
   netif_stop_queue(dev);
   return 0;
}

static struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = my_hard_start_xmit,
};

static void my_setup(struct net_device *dev ) {
   /* Fill in the MAC address with a phoney */
   char *pa = (char*)dev->dev_addr;
   for(int j = 0; j < ETH_ALEN; j++) 
      *pa++ = (char)j;
   ether_setup(dev);
   dev->netdev_ops = &ndo;
   dev->flags |= IFF_NOARP;
}

static int __init my_init(void) {
   printk(KERN_INFO "! Loading transmitting network module:....");
   printk(KERN_INFO "! debug level = %d", (int)debug);
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   dev = alloc_netdev(0, "mynet%d", my_setup);
#else
   dev = alloc_netdev(0, "mynet%d", NET_NAME_ENUM,  my_setup);
#endif
   if(register_netdev(dev)) {
      printk(KERN_INFO "! Failed to registern");
      free_netdev(dev);
      return -1;
   }
   printk(KERN_INFO "! Succeeded in loading %s!n", dev_name(&dev->dev));
   return 0;
}

static void __exit my_exit(void) {
   printk(KERN_INFO "! Unloading transmitting network modulen");
   unregister_netdev(dev);
   free_netdev(dev);
}

module_init(my_init);
module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");
MODULE_AUTHOR("Jerry Cooperstein");  // "LDD:1.0 s_26/lab1_transmit_simple.c"  
MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_DESCRIPTION("");
MODULE_LICENSE("GPL v2");

EOF


cat > transmit.c  << "EOF"
/*
 * (c) Copyright Jerry Cooperstein, 2009
 * (c) Copyright Oleg Tsiliuric, 2011
 */
#include 
#include 
#include 
#include 

static struct net_device *dev;
static struct net_device_stats *stats;

static int my_hard_start_xmit(struct sk_buff *skb, struct net_device *dev) {
   struct netdev_queue *pnq = skb_get_tx_queue(dev, skb);
   pnq->trans_start = jiffies;   
   printk(KERN_INFO "! my_hard_start_xmit(%s) - Sending packet :n", dev->name);
//   printk(KERN_INFO "! Sending packet :n");
   for(int i = 0; i < skb->len; ++i) {
      /* print out 16 bytes per line */
      char line[3 * 16 + 1];
      int pos = i % 16;
      if((i > 0) && (i & 0xf) == 0)
         printk(KERN_INFO "! %sn", line);
      sprintf((char*)line + pos * 3, "%02x ", skb->data[i]);
   }
   printk(KERN_INFO "n");
   dev_kfree_skb(skb);
   ++stats->tx_packets;
   return 0;
}

static int my_do_ioctl(struct net_device *dev, struct ifreq *ifr, int cmd) {
   printk(KERN_INFO "! my_do_ioctl(%s)n", dev->name);
   return -1;
}

static struct net_device_stats *my_get_stats(struct net_device *dev) {
   printk(KERN_INFO "! my_get_stats(%s)n", dev->name);
   return stats;
}

/* This is where ifconfig comes down and tells us who we are, etc.
 * We can just ignore this. */
static int my_config(struct net_device *dev, struct ifmap *map) {
   printk(KERN_INFO "! my_config(%s)n", dev->name);
   if(dev->flags & IFF_UP) 
      return -EBUSY;
   return 0;
}

static int my_change_mtu(struct net_device *dev, int new_mtu) {
   printk(KERN_INFO "! my_change_mtu(%s)n", dev->name);
   return -1;
}

static int my_open(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_open(%s)n", dev->name);
   /* start up the transmission queue */
   netif_start_queue(dev);
   return 0;
}

static int my_close(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_close(%s)n", dev->name);
   /* shutdown the transmission queue */
   netif_stop_queue(dev);
   return 0;
}

static struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = my_hard_start_xmit,
   .ndo_do_ioctl = my_do_ioctl,
   .ndo_get_stats = my_get_stats,
   .ndo_set_config = my_config,
   .ndo_change_mtu = my_change_mtu,
};

static void my_setup(struct net_device *dev) {
   /* Fill in the MAC address with a phoney */
   char *pa = (char*)dev->dev_addr;
   for(int j = 0; j < ETH_ALEN; j++) 
      *pa++ = (char)j;
   ether_setup(dev);
   dev->netdev_ops = &ndo;
   dev->flags |= IFF_NOARP;
   stats = &dev->stats;
   /* Just for laughs, let's claim that we've seen 50 collisions. */
   stats->collisions = 50;
}

static int __init my_init(void) {
   printk(KERN_INFO "! Loading transmitting network module:....");
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   dev = alloc_netdev(0, "mynet%d", my_setup);
#else
   dev = alloc_netdev(0, "mynet%d", NET_NAME_ENUM, my_setup);
#endif
   if(register_netdev(dev)) {
      printk(KERN_INFO "! Failed to registern");
      free_netdev(dev);
      return -1;
   }
   printk(KERN_INFO "! Succeeded in loading %s!n", dev_name(&dev->dev));
   return 0;
}

static void __exit my_exit(void) {
   printk(KERN_INFO "! Unloading transmitting network modulen");
   unregister_netdev(dev);
   free_netdev(dev);
}

module_init(my_init);
module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");
MODULE_AUTHOR("Jerry Cooperstein");  // LDD:1.0 s_26/lab1_transmit.c
MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_DESCRIPTION("");
MODULE_LICENSE("GPL v2");

EOF




cat > receive.c << "EOF"
/*
 * (c) Copyright Jerry Cooperstein, 2009
 * (c) Copyright Oleg Tsiliuric, 2011-2022
 *
 * Adding Reception
 *
 * Extend your transmitting device driver to include a reception
 * function.
 *
 * You can do a loopback method in which any packet sent out is
 * received.
 *
 * Be careful not to create memory leaks!
 *
 */

#include 
#include 
#include 
#include 

static struct net_device *dev;
static struct net_device_stats *stats;

static void my_rx(struct sk_buff *skb, struct net_device *dev) {
   /* just a loopback, already has the skb */
   printk(KERN_INFO "! I'm receiving a packetn");
   ++stats->rx_packets;
   netif_rx(skb);
}

static int my_hard_start_xmit(struct sk_buff *skb, struct net_device *dev) {
   struct netdev_queue *pnq;
   printk(KERN_INFO "! my_hard_start_xmit(%s)n", dev->name);
   pnq = skb_get_tx_queue(dev, skb);
   pnq->trans_start = jiffies;   
   printk(KERN_INFO "! Sending packet :n");
   /* print out 16 bytes per line */
   for(int i = 0; i < skb->len; ++i) {
      if((i & 0xf) == 0)
         printk(KERN_INFO "n  ");
      printk(KERN_INFO "%02x ", skb->data[i]);
   }
   printk(KERN_INFO "n");
   ++stats->tx_packets;
   /* loopback it */
   my_rx(skb, dev);
   return 0;
}

static int my_do_ioctl(struct net_device *dev, struct ifreq *ifr, int cmd) {
   printk(KERN_INFO "! my_do_ioctl(%s)n", dev->name);
   return -1;
}

static struct net_device_stats *my_get_stats(struct net_device *dev) {
   printk(KERN_INFO "! my_get_stats(%s)n", dev->name);
   return stats;
}

/*
 * This is where ifconfig comes down and tells us who we are, etc.
 * We can just ignore this.
 */
static int my_config(struct net_device *dev, struct ifmap *map) {
   printk(KERN_INFO "! my_config(%s)n", dev->name);
   if(dev->flags & IFF_UP) 
      return -EBUSY;
   return 0;
}

static int my_change_mtu(struct net_device *dev, int new_mtu) {
   printk(KERN_INFO "! my_change_mtu(%s)n", dev->name);
   return -1;
}

static int my_open(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_open(%s)n", dev->name);
   /* start up the transmission queue */
   netif_start_queue(dev);
   return 0;
}

static int my_close(struct net_device *dev) {
   printk(KERN_INFO "! Hit: my_close(%s)n", dev->name);
   /* shutdown the transmission queue */
   netif_stop_queue(dev);
   return 0;
}

static struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = my_hard_start_xmit,
   .ndo_do_ioctl = my_do_ioctl,
   .ndo_get_stats = my_get_stats,
   .ndo_set_config = my_config,
   .ndo_change_mtu = my_change_mtu,
};

static void my_setup(struct net_device *dev) {
   /* Fill in the MAC address with a phoney */
   char *pa = (char*)dev->dev_addr;
   for(int j = 0; j < ETH_ALEN; j++) 
      *pa++ = (char)j;
   ether_setup(dev);
   dev->netdev_ops = &ndo;
   dev->flags |= IFF_NOARP;
   stats = &dev->stats;
   /* Just for laughs, let's claim that we've seen 50 collisions. */
   stats->collisions = 50;
}

static int __init my_init(void) {
   printk(KERN_INFO "! Loading transmitting network module:....");

#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   dev = alloc_netdev(0, "mynet%d", my_setup);
#else
   dev = alloc_netdev(0, "mynet%d", NET_NAME_ENUM, my_setup);
#endif
   if(register_netdev(dev)) {
      printk(KERN_INFO "! Failed to registern");
      free_netdev(dev);
      return -1;
   }
   printk(KERN_INFO "! Succeeded in loading %s!nn", dev_name(&dev->dev));
   return 0;
}

static void __exit my_exit(void) {
   printk(KERN_INFO "! Unloading transmitting network modulenn");
   unregister_netdev(dev);
   free_netdev(dev);
}

module_init(my_init);
module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");
MODULE_AUTHOR("Jerry Cooperstein");  // LDD:1.0 s_26/lab2_receive.c 
MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_DESCRIPTION("");
MODULE_LICENSE("GPL v2");
EOF



cat >  mulnet.c  << "EOF"
/*
 * (c) Copyright Jerry Cooperstein, 2009
 * (c) Copyright Oleg Tsiliuric, 2011-2022
 */
#include 
#include 
#include 

static uint num = 1;               // число создаваемых интерфейсов
module_param(num, uint, 0);
static char* title;               // префикс имени интерфейсов
module_param(title, charp, 0);
static int digit = 1;             // числовые суфиксы (по умолчанию)
module_param(digit, int, 0);
#if (LINUX_VERSION_CODE >= KERNEL_VERSION(3, 17, 0))
static int mode = 1;              // режим нумерации интерфейсов
module_param(mode, int, 0);
#endif

#define MAX_LINK 5
static struct net_device* adev[MAX_LINK] = {}; //{ NULL, NULL, NULL, NULL, NULL, NULL };

static int my_open(struct net_device *dev) {
   printk(KERN_INFO "! my_open(%s)n", dev->name);
   /* start up the transmission queue */
   netif_start_queue(dev);
   return 0;
}

static int my_close(struct net_device *dev) {
   printk(KERN_INFO "! my_close(%s)n", dev->name);
   /* shutdown the transmission queue */
   netif_stop_queue(dev);
   return 0;
}

/* Note this method is only needed on some; without it
   module will fail upon removal or use. At any rate there is a memory
   leak whenever you try to send a packet through in any case*/
static int stub_start_xmit(struct sk_buff *skb, struct net_device *dev) {
   dev_kfree_skb(skb);
   return 0;
}

static struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = stub_start_xmit,
};

static int ipos;

static void __init my_setup(struct net_device *dev) {
   /* Fill in the MAC address with a phoney */
   char *pa = (char*)dev->dev_addr;
   for(int j = 0; j < ETH_ALEN; j++) 
      *pa++ = (char)(ipos + j);
   ether_setup(dev);
   dev->netdev_ops = &ndo;
}

static int __init my_init(void) {
   char prefix[20];
//   if(num > sizeof(adev) / sizeof(adev[0])) {
   if( num > MAX_LINK ) {
      printk(KERN_INFO "! link number error");
      return -EINVAL;
   }
// NET_NAME_UNKNOWN, NET_NAME_ENUM, NET_NAME_PREDICTABLE, NET_NAME_USER, NET_NAME_RENAMED 
#if (LINUX_VERSION_CODE >= KERNEL_VERSION(3, 17, 0))
   if(mode < 0 || mode > NET_NAME_RENAMED) {
      printk(KERN_INFO "! unknown name assign mode");
      return -EINVAL;
   }
#endif
   printk(KERN_INFO "! loading network module for %d links", num);
   sprintf(prefix, "%s%s", (NULL == title ? "fict" : title), "%d");
   for(ipos = 0; ipos < num; ipos++) {
      if(!digit)
         sprintf(prefix, "%s%c", (NULL == title ? "fict" : title), 'a' + ipos);
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
      adev[ipos] = alloc_netdev(0, prefix, my_setup);
#else
      adev[ipos] = alloc_netdev(0, prefix, NET_NAME_UNKNOWN + mode, my_setup);
#endif
      if(register_netdev(adev[ipos])) {
         printk(KERN_INFO "! failed to register");
         for(int j = ipos; j >= 0; j--) {
            if(j != ipos) unregister_netdev(adev[ipos]);
            free_netdev(adev[ipos]);
         }
         return -ELNRNG;
      }
   }
   printk(KERN_INFO "! succeeded in loading %d devices!", num);
   return 0;
}

static void __exit my_exit(void) {
   printk(KERN_INFO "! unloading network module");
   for(int i = 0; i < num; i++) {
      unregister_netdev(adev[i]);
      free_netdev(adev[i]);
   }
} 

module_init(my_init);
module_exit(my_exit);

MODULE_AUTHOR("Bill Shubert");
MODULE_AUTHOR("Jerry Cooperstein");
MODULE_AUTHOR("Tatsuo Kawasaki");
MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_DESCRIPTION("LDD:1.0 s_24/lab1_network.c");
MODULE_LICENSE("GPL v2");

EOF


Пробуем собрать фиктивный адаптер
make 
insmod ./network.ko
dmesg | tail n4 
ip link show dev fict0

Основная структура "struct net_device" описания сетевого интерфейса находится в файле 
Оттуда же и берется MAC "00:01:02:03:04:05" (генерируется)

Виртуальный сетевой интерфейс и пример кода

cat > Makefile << "EOF"
CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)

TARGET0 = virt
TARGET1 = virt1
TARGET2 = virt2

obj-m := $(TARGET0).o $(TARGET1).o  $(TARGET2).o

all: default clean

default:
        $(MAKE) -C $(KDIR) M=$(PWD) modules 

clean:
        @rm -f *.o .*.cmd .*.flags *.mod.c *.order
        @rm -f .*.*.cmd *.symvers *~ *.*~ TODO.*
        @rm -fR .tmp* *.mod
        @rm -rf .tmp_versions

disclean: clean
        @rm -f *.ko
EOF

# Исправить восемь пробелов на TAB
sed -i 's/        /tt/g' Makefile 



cat > virt.c << "EOF"
#include 
#include 
#include 
#include 
#include 
#include 

#define ERR(...) printk(KERN_ERR "! "__VA_ARGS__)
#define LOG(...) printk(KERN_INFO "! "__VA_ARGS__)

static char* link = "eth0";
module_param(link, charp, 0);

static char* ifname = "virt"; 
module_param(ifname, charp, 0);

static struct net_device *child = NULL;

struct priv {
   struct net_device_stats stats;
   struct net_device *parent;
};

static rx_handler_result_t handle_frame(struct sk_buff **pskb) {
   struct sk_buff *skb = *pskb;
   if(child) {
      struct priv *priv = netdev_priv(child);
      priv->stats.rx_packets++;
      priv->stats.rx_bytes += skb->len;
      LOG("rx: injecting frame from %s to %s", skb->dev->name, child->name);
      skb->dev = child;
      /* netif_receive_skb(skb);
      return RX_HANDLER_CONSUMED; */
      return RX_HANDLER_ANOTHER;
   }
   return RX_HANDLER_PASS;
}

static int open(struct net_device *dev) {
   netif_start_queue(dev);
   LOG("%s: device opened", dev->name);
   return 0;
}

static int stop(struct net_device *dev) {
   netif_stop_queue(dev);
   LOG("%s: device closed", dev->name);
   return 0;
}

static netdev_tx_t start_xmit(struct sk_buff *skb, struct net_device *dev) {
   struct priv *priv = netdev_priv(dev);
   priv->stats.tx_packets++;
   priv->stats.tx_bytes += skb->len;
   if(priv->parent) {
      skb->dev = priv->parent;
      skb->priority = 1;
      dev_queue_xmit(skb);
      LOG("tx: injecting frame from %s to %s", dev->name, skb->dev->name);
      return 0;
   }
   return NETDEV_TX_OK;
}

static struct net_device_stats *get_stats(struct net_device *dev) {
   return &((struct priv*)netdev_priv(dev))->stats;
}

static struct net_device_ops crypto_net_device_ops = {
   .ndo_open = open,
   .ndo_stop = stop,
   .ndo_get_stats = get_stats,
   .ndo_start_xmit = start_xmit,
};

// #define MAX_ADDR_LEN    32  
// #define ETH_ALEN        6   /* Octets in one ethernet addr   */ 

static void setup(struct net_device *dev) {
   int j;
   ether_setup(dev);
   memset(netdev_priv(dev), 0, sizeof(struct priv));
   dev->netdev_ops = &crypto_net_device_ops;
   for(j = 0; j < ETH_ALEN; ++j) // fill in the MAC address with a phoney 
      dev->dev_addr[j]= (char)j;
}

int __init init(void) {
   int err = 0;
   struct priv *priv;
   char ifstr[40];
   sprintf(ifstr, "%s%s", ifname, "%d");
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   child = alloc_netdev(sizeof(struct priv), ifstr, setup);
#else
   child = alloc_netdev(sizeof(struct priv), ifstr, NET_NAME_UNKNOWN, setup);
#endif
   if(child == NULL) {
      ERR("%s: allocate error", THIS_MODULE->name); return -ENOMEM;
   }
   priv = netdev_priv(child);
   priv->parent = __dev_get_by_name(&init_net, link); // parent interface  
   if(!priv->parent) {
      ERR("%s: no such link: %s", THIS_MODULE->name, link);
      err = -ENODEV; goto err;
   }
   if(priv->parent->type != ARPHRD_ETHER && priv->parent->type != ARPHRD_LOOPBACK) {
      ERR("%s: illegal net type", THIS_MODULE->name);
      err = -EINVAL; goto err;
   }
   /* also, and clone its IP, MAC and other information */
   memcpy(child->dev_addr, priv->parent->dev_addr, ETH_ALEN);
   memcpy(child->broadcast, priv->parent->broadcast, ETH_ALEN);
   if((err = dev_alloc_name(child, child->name))) {
      ERR("%s: allocate name, error %i", THIS_MODULE->name, err);
      err = -EIO; goto err;
   }
   register_netdev(child);
   rtnl_lock();
   netdev_rx_handler_register(priv->parent, &handle_frame, NULL);
   rtnl_unlock();
   LOG("module %s loaded", THIS_MODULE->name);
   LOG("%s: create link %s", THIS_MODULE->name, child->name);
   LOG("%s: registered rx handler for %s", THIS_MODULE->name, priv->parent->name);
   return 0;
err:
   free_netdev(child);
   return err;
}

void __exit virt_exit(void) {
   struct priv *priv = netdev_priv(child);
   if(priv->parent) {
      rtnl_lock();
      netdev_rx_handler_unregister(priv->parent);
      rtnl_unlock();
      LOG("unregister rx handler for %sn", priv->parent->name);
   }
   unregister_netdev(child);
   free_netdev(child);
   LOG("module %s unloaded", THIS_MODULE->name);
}

module_init(init);
module_exit(virt_exit);

MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_AUTHOR("Nikita Dorokhin");
MODULE_LICENSE("GPL v2");
MODULE_VERSION("3.2");

EOF



cat > virt1.c << "EOF"
#include 
#include 
#include 
#include 
#include 
#include 

#define ERR(...) printk(KERN_ERR "! "__VA_ARGS__)
#define LOG(...) printk(KERN_INFO "! "__VA_ARGS__)

static char* link = "eth0";
module_param(link, charp, 0);

static char* ifname = "virt"; 
module_param(ifname, charp, 0);

static struct net_device *child = NULL;

static struct net_device_stats stats;

struct priv {
   struct net_device *parent;
};

static rx_handler_result_t handle_frame(struct sk_buff **pskb) {
   struct sk_buff *skb = *pskb;
   if(child) {
      stats.rx_packets++;
      stats.rx_bytes += skb->len;
      LOG("rx: injecting frame from %s to %s", skb->dev->name, child->name);
      skb->dev = child;
      /* netif_receive_skb(skb);
      return RX_HANDLER_CONSUMED; */
      return RX_HANDLER_ANOTHER;
   }
   return RX_HANDLER_PASS;
}

static int open(struct net_device *dev) {
   netif_start_queue(dev);
   LOG("%s: device opened", dev->name);
   return 0;
}

static int stop(struct net_device *dev) {
   netif_stop_queue(dev);
   LOG("%s: device closed", dev->name);
   return 0;
}

static netdev_tx_t start_xmit(struct sk_buff *skb, struct net_device *dev) {
   struct priv *priv = netdev_priv(dev);
   stats.tx_packets++;
   stats.tx_bytes += skb->len;
   if(priv->parent) {
      skb->dev = priv->parent;
      skb->priority = 1;
      dev_queue_xmit(skb);
      LOG("tx: injecting frame from %s to %s", dev->name, skb->dev->name);
      return 0;
   }
   return NETDEV_TX_OK;
}

static struct net_device_stats *get_stats(struct net_device *dev) {
   return &stats;
}

static struct net_device_ops crypto_net_device_ops = {
   .ndo_open = open,
   .ndo_stop = stop,
   .ndo_get_stats = get_stats,
   .ndo_start_xmit = start_xmit,
};

// #define MAX_ADDR_LEN    32  
// #define ETH_ALEN        6   /* Octets in one ethernet addr   */ 

static void setup(struct net_device *dev) {
   int j;
   ether_setup(dev);
   memset(netdev_priv(dev), 0, sizeof(struct priv));
   dev->netdev_ops = &crypto_net_device_ops;
   for(j = 0; j < ETH_ALEN; ++j) // fill in the MAC address with a phoney 
      dev->dev_addr[j] = (char)j;
}

int __init init(void) {
   int err = 0;
   struct priv *priv;
   char ifstr[40];
   sprintf(ifstr, "%s%s", ifname, "%d");
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   child = alloc_netdev(sizeof(struct priv), ifstr, setup);
#else
   child = alloc_netdev(sizeof(struct priv), ifstr, NET_NAME_UNKNOWN, setup);
#endif
   if(child == NULL) {
      ERR("%s: allocate error", THIS_MODULE->name); return -ENOMEM;
   }
   priv = netdev_priv(child);
   priv->parent = __dev_get_by_name(&init_net, link); // parent interface  
   if(!priv->parent) {
      ERR("%s: no such link: %s", THIS_MODULE->name, link);
      err = -ENODEV; goto err;
   }
   if(priv->parent->type != ARPHRD_ETHER && priv->parent->type != ARPHRD_LOOPBACK) {
      ERR("%s: illegal net type", THIS_MODULE->name);
      err = -EINVAL; goto err;
   }
   /* also, and clone its IP, MAC and other information */
   memcpy(child->dev_addr, priv->parent->dev_addr, ETH_ALEN);
   memcpy(child->broadcast, priv->parent->broadcast, ETH_ALEN);
   if((err = dev_alloc_name(child, child->name))) {
      ERR("%s: allocate name, error %i", THIS_MODULE->name, err);
      err = -EIO; goto err;
   }
   register_netdev(child);
   rtnl_lock();
   netdev_rx_handler_register(priv->parent, &handle_frame, NULL);
   rtnl_unlock();
   LOG("module %s loaded", THIS_MODULE->name);
   LOG("%s: create link %s", THIS_MODULE->name, child->name);
   LOG("%s: registered rx handler for %s", THIS_MODULE->name, priv->parent->name);
   return 0;
err:
   free_netdev(child);
   return err;
}

void __exit virt_exit(void) {
   struct priv *priv = netdev_priv(child);
   if(priv->parent) {
      rtnl_lock();
      netdev_rx_handler_unregister(priv->parent);
      rtnl_unlock();
      LOG("unregister rx handler for %sn", priv->parent->name);
   }
   unregister_netdev(child);
   free_netdev(child);
   LOG("module %s unloaded", THIS_MODULE->name);
}

module_init(init);
module_exit(virt_exit);

MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_AUTHOR("Nikita Dorokhin");
MODULE_LICENSE("GPL v2");
MODULE_VERSION("3.2");

EOF


cat > virt2.c << "EOF"
#include 
#include 
#include 
#include 
#include 
#include 

#define ERR(...) printk(KERN_ERR "! "__VA_ARGS__)
#define LOG(...) printk(KERN_INFO "! "__VA_ARGS__)

static char* link = "eth0";
module_param(link, charp, 0);

static char* ifname = "virt"; 
module_param(ifname, charp, 0);

static struct net_device *child = NULL;

struct priv {
   struct net_device *parent;
};

static rx_handler_result_t handle_frame(struct sk_buff **pskb) {
   struct sk_buff *skb = *pskb;
   if(child) {
      child->stats.rx_packets++;
      child->stats.rx_bytes += skb->len;
      LOG("rx: injecting frame from %s to %s", skb->dev->name, child->name);
      skb->dev = child;
      /* netif_receive_skb(skb);
      return RX_HANDLER_CONSUMED; */
      return RX_HANDLER_ANOTHER;
   }
   return RX_HANDLER_PASS;
}

static int open(struct net_device *dev) {
   netif_start_queue(dev);
   LOG("%s: device opened", dev->name);
   return 0;
}

static int stop(struct net_device *dev) {
   netif_stop_queue(dev);
   LOG("%s: device closed", dev->name);
   return 0;
}

static netdev_tx_t start_xmit(struct sk_buff *skb, struct net_device *dev) {
   struct priv *priv = netdev_priv(dev);
   child->stats.tx_packets++;
   child->stats.tx_bytes += skb->len;
   if(priv->parent) {
      skb->dev = priv->parent;
      skb->priority = 1;
      dev_queue_xmit(skb);
      LOG("tx: injecting frame from %s to %s", dev->name, skb->dev->name);
      return 0;
   }
   return NETDEV_TX_OK;
}

static struct net_device_stats *get_stats(struct net_device *dev) {
   return &dev->stats;
}

static struct net_device_ops crypto_net_device_ops = {
   .ndo_open = open,
   .ndo_stop = stop,
   .ndo_get_stats = get_stats,
   .ndo_start_xmit = start_xmit,
};

// #define MAX_ADDR_LEN    32  
// #define ETH_ALEN        6   /* Octets in one ethernet addr   */ 

static void setup(struct net_device *dev) {
   int j;
   ether_setup(dev);
   memset(netdev_priv(dev), 0, sizeof(struct priv));
   dev->netdev_ops = &crypto_net_device_ops;
   for(j = 0; j < ETH_ALEN; ++j) // fill in the MAC address with a phoney 
      dev->dev_addr[j] = (char)j;
}

int __init init(void) {
   int err = 0;
   struct priv *priv;
   char ifstr[40];
   sprintf(ifstr, "%s%s", ifname, "%d");
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   child = alloc_netdev(sizeof(struct priv), ifstr, setup);
#else
   child = alloc_netdev(sizeof(struct priv), ifstr, NET_NAME_UNKNOWN, setup);
#endif
   if(child == NULL) {
      ERR("%s: allocate error", THIS_MODULE->name); return -ENOMEM;
   }
   priv = netdev_priv(child);
   priv->parent = __dev_get_by_name(&init_net, link); // parent interface  
   if(!priv->parent) {
      ERR("%s: no such link: %s", THIS_MODULE->name, link);
      err = -ENODEV; goto err;
   }
   if(priv->parent->type != ARPHRD_ETHER && priv->parent->type != ARPHRD_LOOPBACK) {
      ERR("%s: illegal net type", THIS_MODULE->name);
      err = -EINVAL; goto err;
   }
   /* also, and clone its IP, MAC and other information */
   memcpy(child->dev_addr, priv->parent->dev_addr, ETH_ALEN);
   memcpy(child->broadcast, priv->parent->broadcast, ETH_ALEN);
   if((err = dev_alloc_name(child, child->name))) {
      ERR("%s: allocate name, error %i", THIS_MODULE->name, err);
      err = -EIO; goto err;
   }
   register_netdev(child);
   rtnl_lock();
   netdev_rx_handler_register(priv->parent, &handle_frame, NULL);
   rtnl_unlock();
   LOG("module %s loaded", THIS_MODULE->name);
   LOG("%s: create link %s", THIS_MODULE->name, child->name);
   LOG("%s: registered rx handler for %s", THIS_MODULE->name, priv->parent->name);
   return 0;
err:
   free_netdev(child);
   return err;
}

void __exit virt_exit(void) {
   struct priv *priv = netdev_priv(child);
   if(priv->parent) {
      rtnl_lock();
      netdev_rx_handler_unregister(priv->parent);
      rtnl_unlock();
      LOG("unregister rx handler for %sn", priv->parent->name);
   }
   unregister_netdev(child);
   free_netdev(child);
   LOG("module %s unloaded", THIS_MODULE->name);
}

module_init(init);
module_exit(virt_exit);

MODULE_AUTHOR("Oleg Tsiliuric");
MODULE_AUTHOR("Nikita Dorokhin");
MODULE_LICENSE("GPL v2");
MODULE_VERSION("3.2");

EOF



ЧДД?
make
insmod virt.ko link=p7p1
ifconfig virt0 192.168.50.2
ping 192.168.50.1
rmmod virt
virt.1.ko link=p7p1
lsmod | head -n3
rmmod 'virt.1'

Протокол сетевого уровня:

На этом уровне (L2) обеспечивается обработка таких протоколов как IP/IPv4/IPv6/IPX/ICMP/RIP/OSPF/ARP 
или оригинальных пользовательских протоколов.
Для установки обработчиков сетевого уровня предоставляются API сетевого уровня ()

Фактически в протокольных модулях мы должны добавить фильтр, через который проходят буферы сокетов из 
входящего потока интерфейса. (Исходящий поток реализуется проще)
На обработку функции отбираются те буферы сокетов, которые удовлетворяют критериям,
заложенным в структуре "struct packet_type"


Примеры кода:
cat > Makefile << "EOF"
CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)
DEST = /lib/modules/$(CURRENT)/misc
EXTRA_CFLAGS += -std=gnu99

TARGET1 = net_proto
TARGET2 = net_proto2
TARGET3 = net_protox
TARGET4 = trn_proto

obj-m   := $(TARGET1).o 
#$(TARGET2).o $(TARGET3).o

all: modules clean

modules:
        $(MAKE) -C $(KDIR) M=$(PWD) modules

clean:
        @rm -f *.o .*.cmd .*.flags *.mod.c *.order *.d
        @rm -f .*.*.cmd *.symvers *~ *.*~
        @rm -fR .tmp* .*.cmd .*.d
        @rm -rf .tmp_versions

disclean:  clean
        @rm -f *.ko
EOF


cat > net_proto.c << "EOF" 
#include "net_common.c"

// int (*func) (struct sk_buff *, struct net_device *,
//              struct packet_type *,
//              struct net_device *);

int test_pack_rcv(struct sk_buff *skb, struct net_device *dev,
                  struct packet_type *pt, struct net_device *odev) {
//   printk(KERN_INFO "packet received with length: %un", skb->len);
   kfree_skb(skb);
   return skb->len;
};

#define TEST_PROTO_ID 0x1234
static struct packet_type test_proto = {
   __constant_htons(ETH_P_ALL),  // may be: __constant_htons(TEST_PROTO_ID),
   false,
   NULL,
   test_pack_rcv,
   (void*)1,
   NULL
};

static int __init my_init(void) {
   dev_add_pack(&test_proto);
   LOG("module %s loadedn", THIS_MODULE->name);
   return 0; 
}

static void __exit my_exit(void) {
   dev_remove_pack(&test_proto);
   LOG("module %s unloadedn", THIS_MODULE->name);
}

/*
struct packet_type {            // 5.4
        __be16                  type;           // This is really htons(ether_type). 
        bool                    ignore_outgoing;
        struct net_device       *dev;      // NULL is wildcarded here        
        int                     (*func) (struct sk_buff *,
                                         struct net_device *,
                                         struct packet_type *,
                                         struct net_device *);
        void                    (*list_func) (struct list_head *,
                                              struct packet_type *,
                                              struct net_device *);
        bool                    (*id_match)(struct packet_type *ptype,
                                            struct sock *sk);
        void                    *af_packet_priv;
        struct list_head        list;
};
*/


/* struct packet_type {
   __be16 type;            // This is really htons(ether_type). 
   struct net_device *dev; // NULL is wildcarded here
   (*func) ( struct sk_buff *, struct net_device *, 
             struct packet_type *, struct net_device * );
   struct sk_buff *(*gso_segment)( struct sk_buff *skb, int features );
   int (*gso_send_check)( struct sk_buff *skb );
   struct sk_buff **(*gro_receive)( struct sk_buff **head, struct sk_buff *skb );
   int (*gro_complete)( struct sk_buff *skb );
   void *af_packet_priv;
   struct list_head list;
}; */

EOF


cat > net_proto2.c << "EOF"
#include "net_common.c"

static int debug = 0;
module_param( debug, int, 0 );

static char* link = NULL;
module_param( link, charp, 0 );

int test_pack_rcv_1( struct sk_buff *skb, struct net_device *dev,
                     struct packet_type *pt, struct net_device *odev ) {
   int s = atomic_read( &skb->users );  
   kfree_skb( skb );
   if( debug > 0 ) LOG( "function #1 - %p => users: %d->%dn", skb, s, atomic_read( &skb->users ) );
   return skb->len;
};

int test_pack_rcv_2( struct sk_buff *skb, struct net_device *dev,
                     struct packet_type *pt, struct net_device *odev ) {
   int s = atomic_read( &skb->users );  
   kfree_skb( skb );
   if( debug > 0 ) LOG( "function #2 - %p => users: %d->%dn", skb, s, atomic_read( &skb->users ) );
   return skb->len;
};

static struct packet_type 
test_proto1 = {
   __constant_htons( ETH_P_IP ),
   NULL,
   test_pack_rcv_1,
   (void*)1,
   NULL
},
test_proto2 = {
   __constant_htons( ETH_P_IP ),
   NULL,
   test_pack_rcv_2,
   (void*)1,
   NULL
};

static int __init my_init( void ) {
   if( link != NULL ) {
      struct net_device *dev = __dev_get_by_name( &init_net, link );
      if( NULL == dev ) { 
         ERR( "%s: illegal link", link );
         return -EINVAL; 
      }
      test_proto1.dev = test_proto2.dev = dev;
   }
   dev_add_pack( &test_proto1 );
   dev_add_pack( &test_proto2 );
   if( NULL == test_proto1.dev ) LOG( "module %s loaded for all linksn", THIS_MODULE->name );
   else LOG( "module %s loaded for link %sn", THIS_MODULE->name, link );
   return 0; 
}

static void __exit my_exit( void ) {
   if( test_proto2.dev != NULL ) dev_put( test_proto2.dev );
   if( test_proto1.dev != NULL ) dev_put( test_proto1.dev );
   dev_remove_pack( &test_proto2 );
   dev_remove_pack( &test_proto1 );
   LOG( "module %s unloadedn", THIS_MODULE->name );
}


/* struct packet_type {
   __be16 type;            // This is really htons(ether_type). 
   struct net_device *dev; // NULL is wildcarded here
   (*func) ( struct sk_buff *, struct net_device *, 
             struct packet_type *, struct net_device * );
   struct sk_buff *(*gso_segment)( struct sk_buff *skb, int features );
   int (*gso_send_check)( struct sk_buff *skb );
   struct sk_buff **(*gro_receive)( struct sk_buff **head, struct sk_buff *skb );
   int (*gro_complete)( struct sk_buff *skb );
   void *af_packet_priv;
   struct list_head list;
}; */

EOF



cat > net_protox.c << "EOF"
#include "net_common.c"

int test_pack_rcv( struct sk_buff *skb, struct net_device *dev,
                   struct packet_type *pt, struct net_device *odev ) {
   LOG( "packet received with length: %un", skb->len );
   kfree_skb( skb );
   return skb->len;
};

#define TEST_PROTO_ID 0x1234
static struct packet_type test_proto = {
//   __constant_htons( TEST_PROTO_ID ),
   __constant_htons( ETH_P_IP ),
   NULL,
   test_pack_rcv,
   (void*)1,
   NULL
};

static int my_open( struct net_device *dev ) {
   LOG( "my_open(%s)n", dev->name );
   /* start up the transmission queue */
   netif_start_queue( dev );
   return 0;
}

static int my_close( struct net_device *dev ) {
   LOG( "my_close(%s)n", dev->name );
   /* shutdown the transmission queue */
   netif_stop_queue( dev );
   return 0;
}

static int stub_start_xmit( struct sk_buff *skb, struct net_device *dev ) {
   dev_kfree_skb( skb );
   return 0;
}

static struct net_device_ops ndo = {
   .ndo_open = my_open,
   .ndo_stop = my_close,
   .ndo_start_xmit = stub_start_xmit,
};

static void __init my_setup( struct net_device *dev ) {
   int j;
   for( j = 0; j < ETH_ALEN; ++j )
      dev->dev_addr[ j ] = (char)j;    // Fill the MAC address
   ether_setup( dev );
   dev->netdev_ops = &ndo;
}

static struct net_device *dev;

static int __init my_init( void ) {
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   dev = alloc_netdev( 0, "xxx%d", my_setup );
#else
   dev = alloc_netdev( 0, "xxx%d", NET_NAME_UNKNOWN, my_setup );
#endif
   if( register_netdev( dev ) ) {
      ERR( "failed to registern" );
      free_netdev( dev );
      return -1;
   }
   test_proto.dev = dev;
   dev_add_pack( &test_proto );
   LOG( "module loadedn" );
   return 0; 
}

static void __exit my_exit( void ) {
   dev_remove_pack( &test_proto );
   unregister_netdev( dev );
   free_netdev( dev );
   LOG( "module unloadedn" );
}

/* struct packet_type {
   __be16 type;            // This is really htons(ether_type)
   struct net_device *dev; // NULL is wildcarded here
   (*func) ( struct sk_buff *, struct net_device *, 
             struct packet_type *, struct net_device * );
   struct sk_buff *(*gso_segment)( struct sk_buff *skb, int features );
   int (*gso_send_check)( struct sk_buff *skb );
   struct sk_buff **(*gro_receive)( struct sk_buff **head, struct sk_buff *skb );
   int (*gro_complete)( struct sk_buff *skb );
   void *af_packet_priv;
   struct list_head list;
}; */

EOF


cat > trn_proto.c < "EOF" 
#include 
#include "net_common.c"

int test_proto_rcv( struct sk_buff *skb ) {
   printk( KERN_INFO "Packet received with length: %un", skb->len );
   return skb->len;
};

/* This is used to register protocols. 
struct net_protocol {
   int  (*handler)( struct sk_buff *skb );
   void (*err_handler)( struct sk_buff *skb, u32 info );
   int  (*gso_send_check)( struct sk_buff *skb );
   struct sk_buff *(*gso_segment)( struct sk_buff *skb,
                                   int features);
   struct sk_buff **(*gro_receive)( struct sk_buff **head,
                                    struct sk_buff *skb );
   int (*gro_complete)( struct sk_buff *skb );
   unsigned int no_policy:1,
                netns_ok:1;
}; */
static struct net_protocol test_proto = {
   .handler = test_proto_rcv,
   .err_handler = 0,
   .no_policy = 0,
};

#define PROTO IPPROTO_ICMP
//#define PROTO IPPROTO_TCP
//#define PROTO IPPROTO_RAW
// #define PROTO IPPROTO_UDP

static int __init my_init( void ) {
   int ret;
   if( ( ret = inet_add_protocol( &test_proto, PROTO ) ) < 0 ) {
      printk( KERN_INFO "proto init: can't add protocoln");
      return ret;
   };
   printk( KERN_INFO "proto module loadedn" );
   return 0; 
}

static void __exit my_exit( void ) {
   inet_del_protocol( &test_proto, PROTO );
   printk( KERN_INFO "proto module unloadedn" );
}


EOF



ЧТДСХ?
insmod net_proto.ko
insmod net_protox.ko
insmod trn_proto.ko 
insmod net_proto2.ko link=p7p1
dmesg | tail -n30 | grep -v ^audit
ls -R /sys/module/trn_proto 
rmmod trn_proto
dmesg | tail -n60 | grep -v ^audit



Очень большое число идентификаторов протоколов содержится в файле 

Методика проверки драйвера на утечку памяти:

Утечка памяти может приводить к краху системы.

0. Запустить команду free и зафиксировать показания
free 

1. На тестируемом узле запустить:

cat > client << "EOF" 
LIMIT=1000000
for ((a=1; a <= LIMIT ; a++))
do
   rm z.txt
   nc localhost 12345 > z.txt
   sleep 1
done

EOF

./client



2. На стороннем доступном узле запустить:

cat > server < "EOF"
dd if=/dev/zero of=z.txt bs=1M count=1

LIMIT=1000000
for ((a=1; a <= LIMIT ; a++))
do
   cat z.txt | nc -l 12345
done

EOF


./server

3. Выждать 10-20 минут
За это время система не должна зависнуть.
А результат команды free  должен быть близок к результату из пункта 0.

Драйвер virt-full

cat > Makefile << "EOF" 
CURRENT = $(shell uname -r)
KDIR = /lib/modules/$(CURRENT)/build
PWD = $(shell pwd)

TARGET = virt
obj-m := $(TARGET).o 

all: default clean

default:
        $(MAKE) -C $(KDIR) M=$(PWD) modules 

clean:
        @rm -f *.o .*.cmd .*.flags *.mod.c *.order
        @rm -f .*.*.cmd *.symvers *~ *.*~ TODO.*
        @rm -fR .tmp* *.mod
        @rm -rf .tmp_versions

disclean: clean
        @rm -f $(TARGET).ko

EOF



cat >  virt.c << "EOF"
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include  

#define ERR(...) printk( KERN_ERR "! "__VA_ARGS__ )
#define LOG(...) printk( KERN_INFO "! "__VA_ARGS__ )
#define DBG(...) if( debug != 0 ) printk( KERN_INFO "! "__VA_ARGS__ )

static char* link = "eth0";
module_param( link, charp, 0 );

static char* ifname = "virt"; 
module_param( ifname, charp, 0 );

static int debug = 0;
module_param( debug, int, 0 );

static struct net_device *child = NULL;
static struct net_device_stats stats;
static u32 child_ip;

struct priv {
   struct net_device *parent;
};

static char* strIP( u32 addr ) {     // диагностика IP в точечной нотации
   static char saddr[ MAX_ADDR_LEN ];
   sprintf( saddr, "%d.%d.%d.%d",
            ( addr ) & 0xFF, ( addr >> 8 ) & 0xFF,
            ( addr >> 16 ) & 0xFF, ( addr >> 24 ) & 0xFF
          );
   return saddr;
}

static char* strAR_IP( unsigned char addr[ 4 ] ) {
   static char saddr[ MAX_ADDR_LEN ];
   sprintf( saddr, "%d.%0d.%d.%d",
            addr[ 0 ], addr[ 1 ], addr[ 2 ], addr[ 3 ] );
   return saddr;
}

// :
struct arp_eth_body {
   unsigned char  ar_sha[ ETH_ALEN ];     // sender hardware address      
   unsigned char  ar_sip[ 4 ];            // sender IP address            
   unsigned char  ar_tha[ ETH_ALEN ];     // target hardware address      
   unsigned char  ar_tip[ 4 ];            // target IP address            
};

static rx_handler_result_t handle_frame( struct sk_buff **pskb ) {
   struct sk_buff *skb = *pskb;
   if( skb->protocol == htons( ETH_P_IP ) ) {
      struct iphdr *ip = ip_hdr( skb );
      char *addr = strIP( ip->daddr );
      DBG( "rx: IP4 to IP=%s", addr );
      if( ip->daddr != child_ip )
         return RX_HANDLER_PASS; 
   }
   else if( skb->protocol == htons( ETH_P_ARP ) ) {
      struct arphdr *arp = arp_hdr( skb );
      struct arp_eth_body *body = (void*)arp + sizeof( struct arphdr ); 
      int i, ip = child_ip;
      DBG( "rx: ARP for %s", strAR_IP( body->ar_tip ) );
      for( i = 0; i < sizeof( body->ar_tip ); i++ ) {
         if( ( ip & 0xFF ) != body->ar_tip[ i ] ) break;
         ip = ip >> 8;
      }
      if( i < sizeof( body->ar_tip ) )
         return RX_HANDLER_PASS; 
   }
   else           // не ARP и не IP4
      return RX_HANDLER_PASS; 
   stats.rx_packets++;
   stats.rx_bytes += skb->len;
   DBG( "rx: injecting frame from %s to %s", skb->dev->name, child->name );
   skb->dev = child;
   return RX_HANDLER_ANOTHER;
}

static netdev_tx_t start_xmit( struct sk_buff *skb, struct net_device *dev ) {
   struct priv *priv = netdev_priv( dev );
   stats.tx_packets++;
   stats.tx_bytes += skb->len;
   if( priv->parent ) {
      skb->dev = priv->parent;
      skb->priority = 1;
      dev_queue_xmit( skb );
      LOG( "tx: injecting frame from %s to %s", dev->name, skb->dev->name );
      return 0;
   }
   return NETDEV_TX_OK;
}

static int open( struct net_device *dev ) {
   struct in_device *in_dev = dev->ip_ptr;
   struct in_ifaddr *ifa = in_dev->ifa_list;      /* IP ifaddr chain */
   char sdebg[ 40 ] = "";
   LOG( "%s: device opened", dev->name );
   child_ip = ifa->ifa_address;
   sprintf( sdebg, "%s:", strIP( ifa->ifa_address ) );
   strcat( sdebg, strIP( ifa->ifa_mask ) );
   DBG( "%s: %s", dev->name, sdebg );
   netif_start_queue( dev );
   return 0;
}

static int stop( struct net_device *dev ) {
   LOG( "%s: device closed", dev->name );
   netif_stop_queue( dev );
   return 0;
}

static struct net_device_stats *get_stats( struct net_device *dev ) {
   return &stats;
}

static struct net_device_ops crypto_net_device_ops = {
   .ndo_open = open,
   .ndo_stop = stop,
   .ndo_get_stats = get_stats,
   .ndo_start_xmit = start_xmit,
};

static void setup( struct net_device *dev ) {
   int j;
   ether_setup( dev );
   memset( netdev_priv(dev), 0, sizeof( struct priv ) );
   dev->netdev_ops = &crypto_net_device_ops;
   for( j = 0; j < ETH_ALEN; ++j ) // fill in the MAC address with a phoney 
      dev->dev_addr[ j ] = (char)j;
}

int __init init( void ) {
   int err = 0;
   struct priv *priv;
   char ifstr[ 40 ];
   sprintf( ifstr, "%s%s", ifname, "%d" );
#if (LINUX_VERSION_CODE < KERNEL_VERSION(3, 17, 0))
   child = alloc_netdev( sizeof( struct priv ), ifstr, setup );
#else
   child = alloc_netdev( sizeof( struct priv ), ifstr, NET_NAME_UNKNOWN, setup );
#endif
   if( child == NULL ) {
      ERR( "%s: allocate error", THIS_MODULE->name ); return -ENOMEM;
   }
   priv = netdev_priv( child );
   priv->parent = __dev_get_by_name( &init_net, link ); // parent interface  
   if( !priv->parent ) {
      ERR( "%s: no such net: %s", THIS_MODULE->name, link );
      err = -ENODEV; goto err;
   }
   if( priv->parent->type != ARPHRD_ETHER && priv->parent->type != ARPHRD_LOOPBACK ) {
      ERR( "%s: illegal net type", THIS_MODULE->name );
      err = -EINVAL; goto err;
   }
   /* also, and clone its IP, MAC and other information */
   memcpy( child->dev_addr, priv->parent->dev_addr, ETH_ALEN );
   memcpy( child->broadcast, priv->parent->broadcast, ETH_ALEN );
   if( ( err = dev_alloc_name( child, child->name ) ) ) {
      ERR( "%s: allocate name, error %i", THIS_MODULE->name, err );
      err = -EIO; goto err;
   }
   register_netdev( child );
   rtnl_lock();
   netdev_rx_handler_register( priv->parent, &handle_frame, NULL );
   rtnl_unlock();
   LOG( "module %s loaded", THIS_MODULE->name );
   LOG( "%s: create link %s", THIS_MODULE->name, child->name );
   LOG( "%s: registered rx handler for %s", THIS_MODULE->name, priv->parent->name );
   return 0;
err:
   free_netdev( child );
   return err;
}

void __exit virt_exit( void ) {
   struct priv *priv = netdev_priv( child );
   rtnl_lock();
   netdev_rx_handler_unregister( priv->parent );
   rtnl_unlock();
   LOG( "%s: unregister rx handler for %sn", THIS_MODULE->name, priv->parent->name );
   unregister_netdev( child );
   free_netdev( child );
   LOG( "module %s unloaded", THIS_MODULE->name );
}

module_init( init );
module_exit( virt_exit );

MODULE_AUTHOR( "Oleg Tsiliuric" );
MODULE_AUTHOR( "Nikita Dorokhin" );
MODULE_LICENSE( "GPL v2" );
MODULE_VERSION( "4.5" );

EOF


ЧДТ?
make

insmod ./virt.ko link=p7p1 debug=1
dmesg | tail -n3
ifconfig virt0 192.168.50.2
dmesg | tail -n26
tcpdump -i virt0 
dmesg | tail -n19
ping 192.168.50.1
dmesg | tail -n30
rmmod virt
dmesg | tail -n4


ls -l *.ko
make
ls -l
sudo insmod virt.ko
sudo insmod virt.ko link=eno2
lsmod | head -n4
ping -I eno2 -c3 192.168.1.142
dmesg | tail -n8
dmesg | tail -n90
lsmod | head -n4
ip a s
rmmod virt

TOR

Прокси/VPN

TOR (The Omion Router) 
Свободное и открытое программное обеспечение для реализации второго (V2) 
и третьего (V3) поколения так называемой луковой маршрутизации:
ваши данные - это сердцевина луковицы
а их защита это слоя вокруг

ПК <=> входная точка <=> опорная точка <=> выходная точка <=> веб-сайт

Каждый пакет данных, передаваемый системой узлов Tor, через три разных узла, 
которые выбираются случайным образом в начале сеанса и могут  быть изменены по ходу его прохождения.
Перед отправкой пакет последовательно шифруется тремя ключами, сначала третий узел, второй, первый.
Когда первый узел получает пакет, он расшифровывает верхний слой и так далее для остальных узлов.


Установка tor для любых служб
apt show tor
apt install tor
systemctl status tor
pd -A | grep tor
netstat -l -t | grep 9050
curl check-host.net/ip
curl -x socks4://127.0.0.1:9050 check-host.net/ip
whois 8.8.8.8 | grep -i country:




Свой ресурс onion
Для этого нужно отредактировать файл "/etc/tor/torrc"
vim /etc/tor/torrc
------------------
HiddenServiceDir /var/lib/tor/onion.service
HiddenServiceProt 80 127.0.0.1:80
HiddenServicePort 443 127.0.0.1:443
#HiddenServicePort 22 127.0.0.1:22
------------------

После этого в каталоге "/var/lib/tor" у вас появится новый каталог с тем произвольным именем onion.service
Этот каталог будет содержать файлы
hostname - ваше имя onion


ПО:
torsocks wget -q http://asdjasidhiashdojaspokppskjfpajppkspfvvbnbnahj13kldk.onion/file.html
torsocks ssh asdjasidhiashdojaspokppskjfpajppkspfvvbnbnahj13kldk.onion

Mesh-сети

Mesh-сеть - это распределенная одноранговая сеть, основанная на ячеистой топологии.
Каждый узел в такой сети обладает такими же полномочиями, что и все остальные,
груб говоря, все узлы в mesh-сети равны.


Яркий представитель меш сети это Yggdrasil (есть альтернатива Riv-mesh работает по такому же принципу)
Пиринговая - это название ячеистых одноранговых сетей, в которой каждый хост связывается с несколькими известными ему пирами, 
соседями по сети, через которые хост организует свой адаптивный роутинг в сеть.
Yggdrasil - это пиринговая сеть, использующая IPv6-адресацию, весь трафик в которой шифруется несимметричным кодированием( с приватным и публичным ключами)

Проект Yggdrasil использует адреса IPv6 из подсети 0200::/7, который никак не пересекается с IANA(2000::/3)


Где брать:
https://github.com/yggdrasil-network/yggdrasil-go


Установка:
Читать:
https://yggdrasil-network.github.io/installation-linux-deb.html

Ключи для деб:
mkdir -p /usr/local/apt-keys
gpg --fetch-keys https://neilalexander.s3.dualstack.eu-west-2.amazonaws.com/deb/key.txt
gpg --export BC1BF63BD10B8F1A | sudo tee /usr/local/apt-keys/yggdrasil-keyring.gpg > /dev/null
echo 'deb [signed-by=/usr/local/apt-keys/yggdrasil-keyring.gpg] http://neilalexander.s3.dualstack.eu-west-2.amazonaws.com/deb/ debian yggdrasil' | sudo tee /etc/apt/sources.list.d/yggdrasil.list

Ставим:
apt-get install dirmngr
apt-get install yggdrasil
systemctl enable yggdrasil
systemctl start yggdrasil


Конфиг:
/etc/yggdrasil.conf
Тут надо добавить в секцию "Peers {}" пиров с которыми будем взаимодействовать 
пиры смотри тут:
https://github.com/yggdrasil-network/public-peers
проверить этим:
https://github.com/zhoreeq/peer_checker.py


или вот апдейтер:
https://github.com/ygguser/peers_updater
cargo build --release
cd traget/release
./peers_updater -p > peers.txt


После перезапустить:
systemctl restart yggdrasil


Проверка какие пиры использует хост:
yggdrasilctl getPeers

Показать адрес и другую информацию:
yggdrasilctl getSelf



Обнаружена пиров:
MPL(Multicast Peer Discovery) - технология автоматического обнаружения пиров
порт UDP-9001
Для работы в локальной сети нужен настроенный IPv6

Для yggdrasil могут использоваться адреса вида 02XX и 03XX


Трюк:
Если в сети уже установлен клиент Yggdrasil можно сделать маршрутизацию через него для других пк в сети
У вас на ПК с клиентом должен быть включен "IPv6 forward"
Узнаем IPv6 на клиенте ygg например так:
yggdrasilctl getSelf
Например на адресс там:
31d:4cbf:9eaf:2399::/64
На устройстве где у нас Yddgrasil добавим адрес на интерфейс который смотрит в лакалку так:
ip a a  31d:4cbf:9eaf:2399::1/64 dev eth1
включим ip forwarding:
systemctl -w net.ipv6.conf.all.all.forwarding=1

На ПК который мы хотим научить ходить в ygg:
ip a a  31d:4cbf:9eaf:2399::5/64 dev eth1
ip -6 route add 0200::/7 via 31d:4cbf:9eaf:2399::1
ping ygg.linux-ru.lib

l2p

l2p - представляет собой изолированную автономную сеть Даркнет.
https://github.com/PurpleI2P/i2pd


apt isntall libboost-chrono-dev libboost-date-time-dev libboost-filesystem-dev libboost-program-options-dev libboost-system-dev libboost-thread-dev libssk-dev

Сборка:
cd /opt
git clone https://github.com/PurpleI2P/i2pd.git
cd i3pf/build
cmake -DCMAKE_BUILD_TYPE=release
make -j2
make install


Для того что бы все заработало, нужно из каталога сборки скопировать конфиги в домашний каталог пользователя
cp -R contrib/certificates $HOME/.i2pd
cp contrib/i2pd.conf $HOME/.i2pd/
cp contrib/tunnels.conf $HOME/.i2pd/

теперь можно запустить
i2pd

проверяем доступность локальной веб консоли
telnet 127.0.0.1 7070

Локальный хеша адресов можно обнаружить в каталоге "$HOME/.i2pd/addressbook"

Для рганизации тунеля нужно будет настроить файл из .i2pd/tennels.conf

Ссылка:

https://www.opennet.ru/docs/RUS/zlp/

0. hello world

0. Создаем файл
vim hello.c
-----------
/* hello */
#include 

int main (void)
{
        printf ("hello world\n");
}
-----------

1. Компилируем файл
!!! Если исходный код написан без синтаксических ошибок, то компилятор завершит свою работу без каких-либо сообщений. Молчание - знак повиновения и согласия.
gcc -o hello hello.c

2. Проверяем
./hello

1. Мульти файловое программирование

0. Создадим первый файл с именем main.c:
vim  main.c
-----------
/* main.c */

int main (void)
{
	print_hello ();
}
-----------

1. Теперь создадим еще один файл hello.c со следующим содержимым:
vim hello.c
-----------
/* hello.c */
#include 

void print_hello (void)
{
	printf ("Hello World\n");
}
-----------

2. Теперь нужно получить два объектных файла. Компилируем.
gcc -c main.c
gcc -c hello.c
ls

3. Итак, мы получили два объектных файла. Теперь их надо объединить в один бинарник:
gcc -o hello main.o hello.o

4.Компилятор "увидел", что вместо исходных файлов (с расширением .c) ему подбросили объектные файлы (с расширением .o) и отреагировал согласно ситуации: вызвал линковщик с нужными опциями.
Давайте разберемся, что же все-таки произошло. 
В этом нам поможет утилита nm.

nm hello.o
----------       
	 U printf
00000000 T print_hello
----------

nm main.o
---------
00000000 T main
         U print_hello
---------

Таблицы символов объектных файлов содержат общее имя print_hello. 
В процессе линковки высчитываются и подставляются в нужные места адреса, соответствующие именам из таблицы. 
Вот и весь секрет.
Объектные файлы содержат таблицу символов. 
Утилита nm как раз позволяет посмотреть эту таблицу в читаемом виде. 
Те, кто пробовал программировать на ассемблере знают, что в исполняемом файле буквально все (функции, переменные) стоит на своей позиции: 
стоит только вставить или убрать из программы один байт, как программа тут же превратиться в груду мусора из-за смещенных позиций (адресов). 
У объектных файлов особая роль: они хранят в таблице символов имена некоторых позиций (глобально объявленных функций, например). 
В процессе линковки происходит стыковка имен и пересчет позиций, что позволяет нескольким объектным файлам объединиться в один бинарник.

1. automake make

0. Утилита make, которая работает со своими собственными сценариями. 
Сценарий записывается в файле с именем Makefile и помещается в репозиторий (рабочий каталог) проекта. 
Сценарии утилиты make просты и многофункциональны, а формат Makefile используется повсеместно (и не только на Unix-системах). 
Дошло до того, что стали создавать программы, генерирующие Makefile'ы. 
Самый яркий пример - набор утилит GNU Autotools. 
Самое главное преимущество make - это "интеллектуальный" способ рекомпиляции: в процессе отладки make компилирует только измененные файлы.
То, что выполняет утилита make, называется сборкой проекта, а сама утилита make относится к разряду сборщиков.
Любой Makefile состоит из трех элементов: комментарии, макроопределения и целевые связки (или просто связки). 
В свою очередь связки состоят тоже из трех элементов: цель, зависимости и правила.
Сценарии make используют однострочные комментарии, начинающиеся с литеры # (решетка). 
О том, что такое комментарии и зачем они нужны, объяснять не буду.
Макроопределения позволяют назначить имя практически любой строке, а затем подставлять это имя в любое место сценария, где должна использоваться данная строка. 
Макросы Makefile схожи с макроконстантами языка C.

Связки определяют: 
1) что нужно сделать (цель); 
2) что для этого нужно (зависимости); 
3) как это сделать (правила). 
В качестве цели выступает имя или макроконстанта. 
Зависимости - это список файлов и целей, разделенных пробелом. 
Правила - это команды передаваемые оболочке.

1. Создаем файл с именем Makefile:
vim Makefile
------------
# Makefile for Hello World project

hello: main.o hello.o
	gcc -o hello main.o hello.o

main.o: main.c
	gcc -c main.c

hello.o: hello.c
	gcc -c hello.c

clean:
	rm -f *.o hello
------------

Обратите внимание, что в каждой строке перед вызовом gcc, а также в строке перед вызовом rm стоят табуляции. 
Как вы уже догадались, эти строки являются правилами. 
Формат Makefile требует, чтобы каждое правило начиналось с табуляции. 
Теперь рассмотрим все по порядку.

Makefile может начинаться как с заглавной так и со строчной буквы.
Но рекомендуется все-таки начинать с заглавной, чтобы он не перемешивался с другими файлами проекта, а стоял "в списке первых".
Первая строка - комментарий. 
Здесь можно писать все, что угодно. 
Комментарий начинается с символа # (решетка) и заканчивается символом новой строки. 

Далее по порядку следуют четыре связки: 
1) связка для компоновки объектных файлов main.o и hello.o; 
2) связка для компиляции main.c; 
3) связка для компиляции hello.c;
4) связка для очистки проекта.

Первая связка имеет цель hello. 
Цель отделяется от списка зависимостей двоеточием. 
Список зависимостей отделяется от правил символом новой строки. 
А каждое правило начинается на новой строке с символа табуляции. 
В нашем случае каждая связка содержит по одному правилу. 
В списке зависимостей перечисляются через пробел вещи, необходимые для выполнения правила. 
В первом случае, чтобы скомпоновать бинарник, нужно иметь два объектных файла, поэтому они оказываются в списке зависимостей. 
Изначально объектные файлы отсутствуют, поэтому требуется создать целевые связки для их получения. 
Итак, чтобы получить main.o, нужно откомпилировать main.c. 
Таким образом файл main.c появляется в списке зависимостей (он там единственный). 
Аналогичная ситуация с hello.o. Файлы main.c и hello.c изначально существуют (мы их сами создали), поэтому никаких связок для их создания не требуется.
Особую роль играет целевая связка clean с пустым списком зависимостей. 
Эта связка очищает проект от всех автоматически созданных файлов. 
В нашем случае удаляются файлы main.o, hello.o и hello. 

Очистка проекта бывает нужна в нескольких случаях: 
1) для очистки готового проекта от всего лишнего; 
2) для пересборки проекта (когда в проект добавляются новые файлы или когда изменяется сам Makefile; 
3) в любых других случаях, когда требуется полная пересборка (напрмиер, для измерения времени полной сборки).


2. Формат запуска утилиты make следующий:
make [опции] [цели...]
Опции make нам пока не нужны. 
Если вызвать make без указания целей, то будет выполнена первая попавшаяся связка (со всеми зависимостями) и сборка завершится. 
Нам это и требуется:
$ make

В процессе сборки утилита make пишет все выполняемые правила. 
Проект собран, все работает.
Теперь давайте немного модернизируем наш проект. 

3. Добавим одну строку в файл hello.c:
vim hello.c
-----------
/* hello.c */
#include 

void print_hello (void)
{
	printf ("Hello World\n");
	printf ("Goodbye World\n");
}
-----------

4. Теперь повторим сборку и проверим:
$ make
$ ./hello

Утилита make "пронюхала", что был изменен только hello.c, то есть компилировать нужно только его. 
Файл main.o остался без изменений. 

5. Теперь давайте очистим проект, оставив одни исходники:
$ make clean


В данном случае мы указали цель непосредственно в командной строке. 
Так как целевая связка clean содержит пустой список зависимостей, то выполняется только одно правило. 
Не забывайте "чистить" проект каждый раз, когда изменяется список исходных файлов или когда изменяется сам Makefile.

3. Модель КИС:

Любая программа имеет свой репозиторий - рабочий каталог, в котором находятся исходники, сценарии сборки (Makefile) и прочие файлы, относящиеся к проекту. 
Репозиторий рассмотренного нами проекта мультифайлового Hello World изначально состоит из файлов main.c, hello.c и, собственно, Makefile. 
После сборки репозиторий дополняется файлами main.o, hello.o и hello. 
Практика показывает, что правильная организация исходного кода в репозитории не только упрощает модернизацию и отладку, но и предотвращает возможность появления многих ошибок.

Модель КИС (Клиент-Интерфейс-Сервер) - это элегантная концепция распределения исходного кода в репозитории, в рамках которой все исходники можно поделить на клиенты, интерфейсы и серверы.

Библиотека - это просто коллекция скомпонованных особым образом объектных файлов.
Заголовочный файл - это интерфейс.
Основная разница между библиотеками и заголовочными файлами в том, что библиотека - это объектный (почти исполняемый) код, а заголовочный файл - это исходный код.


Библиотека - это набор объектных файлов, которые подсоединяются к программе на стадии линковки. 
Так как стандартная библиотека языка C - это часть стандарта языка C, то она подключается автоматически во время линковки программы, 
но так как компилятор gcc сам вызывает линковщик с нужными параметрами, то мы этого просто не замечаем. 

С точки зрения модели КИС, библиотека - это сервер.

Библиотеки несут в себе одну важную мысль: возможность использовать одни и те же механизмы в разных программах. 
В Linux библиотеки используются повсеместно, поскольку это очень удобный способ "не изобретать велосипеды". 
Даже ядро Linux в каком-то смысле представляет собой библиотеку механизмов, называемых системными вызовами.
Статическая библиотека - это просто архив объектных файлов, который подключается к программе во время линковки. 
Эффект такой же, как если бы вы подключали каждый из файлов отдельно.
В отличие от статических библиотек, код совместно используемых (динамических) библиотек не включается в бинарник. 
Вместо этого в бинарник включается только ссылка на библиотеку.

В Linux статические библиотеки обычно имеют расширение .a (Archive), а совместно используемые библиотеки имеют расширение .so (Shared Object). 
Хранятся библиотеки, как правило, в каталогах /lib и /usr/lib. 
В случае иного расположения (относится только к совместно используемым библиотекам), приходится немного "подшаманить", чтобы программа запустилась.

4. Пример статической библиотеки:

0. Начнем с интерфейса. Создадим файл world.h:
!!! Здесь просто объявлены функции, которые будут использоваться
vim world.h
-----------
/* world.h */
void h_world (void);
void g_world (void);
-----------

1. Теперь надо реализовать серверы. Создадим файл h_world.c: 
vim h_world.c
-------------
/* h_world.c */
#include 
#include "world.h"

void h_world (void)
{
        printf ("Hello World\n");
}
-------------


2. Теперь создадим файл g_world.c, содержащий реализацию функции g_world():
!!! Можно было бы с таким же успехом уместить обе функции в одном файле (hello.c, например)
vim g_world.c
-------------
/* g_world.c */
#include 
#include "world.h"

void g_world (void)
{
        printf ("Goodbye World\n");
}
-------------


3. Теперь создадим файл main.c. Это клиент, который будет пользоваться услугами сервера:
vim main.c
----------
/* main.c */
#include "world.h"

int main (void)
{
        h_world ();
        g_world ();
}
----------

4. Теперь напишем сценарий для make. Для этого создаем Makefile:
!!! Не забывайте ставить табуляции перед каждым правилом в целевых связках. 
vim Makefile
------------
# Makefile for World project

binary: main.o libworld.a
        gcc -o binary main.o -L. -lworld

main.o: main.c
        gcc -c main.c

libworld.a: h_world.o g_world.o
        ar cr libworld.a h_world.o g_world.o

h_world.o: h_world.c
        gcc -c h_world.c

g_world.o: g_world.c
        gcc -c g_world.c

clean:
        rm -f *.o *.a binary
------------

5. Итого
Итак, в приведенном примере появились три новые вещи: опции -l и -L компилятора, а также команда ar.

Начнем с последней ar.
Как вы уже догадались, команда ar создает статическую библиотеку (архив).
В нашем случае два объектных файла объединяются в один файл libworld.a.
В Linux практически все библиотеки имеют префикс lib.

Как уже говорилось, компилятор gcc сам вызывает линковщик, когда это нужно. 
Опция -l, переданная компилятору, обрабатывается и посылается линковщику для того, чтобы тот подключил к бинарнику библиотеку. 
Как вы уже заметили, у имени библиотеки "обрублены" префикс и суффикс. 
Это делается для того, чтобы создать "видимое безразличие" между статическими и динамическими библиотеками. 
Сейчас важно знать лишь то, что и библиотека libfoo.so и библиотека libfoo.a подключаются к проекту опцией -lfoo. 
В нашем случае libworld.a "урезалось" до -lworld.

Опция -L указывает линковщику, где ему искать библиотеку. В случае, если библиотека располагается в каталоге /lib или /usr/lib, то вопрос отпадает сам собой и опция -L не требуется.
В нашем случае библиотека находится в репозитории (в текущем каталоге). 
По умолчанию линковщик не просматривает текущий каталог в поиске библиотеки, поэтому опция -L. (точка означает текущий каталог) необходима.

Пример совместно используемой библиотеки

!!! Для того, чтобы создать и использовать динамическую (совместно используемую) библиотеку, достаточно переделать в нашем проекте Makefile.
vim Makefile
------------
# Makefile for World project

binary: main.o libworld.so
	gcc -o binary main.o -L. -lworld -Wl,-rpath,.

main.o: main.c
	gcc -c main.c

libworld.so: h_world.o g_world.o
	gcc -shared -o libworld.so h_world.o g_world.o

h_world.o: h_world.c
	gcc -c -fPIC h_world.c

g_world.o: g_world.c
	gcc -c -fPIC g_world.c

clean:
	rm -f *.o *.so binary
------------

Внешне ничего не изменилось: программа компилируется, запускается и выполняет те же самые действия, что и в предыдущем случае. 
Изменилась внутренняя суть, которая играет для программиста первоочередную роль.

Правило для сборки binary теперь содержит пугающую опцию -Wl,-rpath,.
Как уже неоднократно говорилось, компилятор gcc сам вызывает линковщик ld, когда это надо и передает ему нужные параметры сборки, избавляя нас от ненужной платформенно-зависимой волокиты. 
Но иногда мы все-таки должны вмешаться в этот процесс и передать линковщику "свою" опцию. 
Для этого используется опция компилятора -Wl,option,optargs,... 
Расшифровываю: передать линковщику (-Wl) опцию option с аргументами optargs. 
В нашем случае мы передаем линковщику опцию -rpath с аргументом . (точка, текущий каталог). 
Возникает вопрос: что означает опция -rpath? 
Линковщик ищет библиотеки в определенных местах; обычно это каталоги /lib и /usr/lib, иногда /usr/local/lib. 
Опция -rpath просто добавляет к этому списку еще один каталог. 
В нашем случае это текущий каталог. 
Без указания опции -rpath, линковщик "молча" соберет программу, но при запуске нас будет ждать сюрприз: программа не запустится из-за отсутствия библиотеки. 
Попробуйте убрать опцию -Wl,-rpath,. из Makefile и пересоберите проект. 
При попытке запуска программа binary завершится с кодом возврата 127 (о кодах возврата будет рассказано в последующих главах). 
То же самое произойдет, если вызвать программу из другого каталога.

Есть один способ не передавать линковщику дополнительных опций при помощи -Wl - это использование переменной окружения LD_LIBRARY_PATH. 
У каждого пользователя есть так называемое окружение (environment) представляющее собой набор пар ПЕРЕМЕННАЯ=ЗНАЧЕНИЕ, используемых программами. 
Чтобы посмотреть окружение, достаточно набрать команду env. 
Чтобы добавить в окружение переменную, достаточно набрать export ПЕРЕМЕННАЯ=ЗНАЧЕНИЕ, а чтобы удалить переменную из окружения, надо набрать export -n ПЕРЕМЕННАЯ. 
Будьте внимательны: export - это внутреннаяя команда оболочки BASH; в других оболочках (csh, ksh, ...) используются другие команды для работы с окружением. 
Переменная окружения LD_LIBRARY_PATH содержит список дополнительных "мест", разделенных двоеточиеями, где линковщих должен искать библиотеку.

Не смотря на наличие двух механизмов передачи информации о нестандартном расположении библиотек, лучше помещать библиотеки в конечных проектах в /lib и в /usr/lib. 
Допускается расположение библиотек в подкаталоги /usr/lib и в /usr/local/lib (с указанем -Wl,-rpath). 
Но заставлять конечного пользователя устанавливать LD_LIBRARY_PATH почти всегда является плохим стилем программирования.

Следующая немаловажная деталь - это процесс создания самой библиотеки. 
Статические библиотеки создаются при помощи архиватора ar, а совместно используемые - при помощи gcc с опцией -shared. 
В данном случае gcc опять же вызывает линковщик, но не для сборки бинарника, а для создания динамической библиотеки.

Последнее отличие - опциии -fPIC (-fpic) при компиляции h_world.c и g_world.c. 
Эта опция сообщает компилятору, что объектные файлы, полученные в результате компиляции должны содержать позиционно-независимый код (PIC - Position Independent Code), который используется в динамических библиотеках. 
В таком коде используются не фиксированные позиции (адреса), а плавающие, благодаря чему код из библиотеки имеет возможность подключаться к программе в момент запуска.

Окружение:

Окружение (environment) или среда - это набор пар ПЕРЕМЕННАЯ=ЗНАЧЕНИЕ, доступный каждому пользовательскому процессу. 
Иными словами, окружение - это набор переменных окружения. 
Если вы используете оболочку, отличную от bash, то не все примеры этой главы могут быть воспроизведены.

Для того, чтобы посмотреть окружение, просто введите команду env без аргументов. В зависимости от конфигурации системы, 
вывод env может занять несколько экранов, поэтому лучше сделать так:
env > myenv.txt
env | more
env | less

Переменные окружения могут формироваться как из заглавных, так и из строчных символов, однако исторически сложилось именовать их в верхнем регистре. 

Приятно, например, когда программа "угадывает" имя пользователя или домашний каталог пользователя. 
Чаще всего такая информация "добывается" из переменных окружения USER и HOME соответственно.
Значение каждой переменной окружения изначально представляет собой строковую константу (строку). 
Интерпретация значений переменных полностью возлагается на программу. 
Иными словами, все переменные окружения имеют тип char*, а само окружение имеет тип char**. 
Чтобы вывести на экран значение какой-нибудь переменной окружения, достаточно набрать echo $ИМЯ_ПЕРЕМЕННОЙ

echo $USER
echo $HOME

Ниже приведены те переменные окружения, которые есть почти у всех пользователей Linux:
USER - имя текущего пользователя
HOME - путь к домашнему каталогу текущего пользователя
PATH - список каталогов, разделенных двоеточиями, в которых производится "поиск" программ
PWD - текущий каталог
OLDPWD - предыдущий текущий каталог
TERM - тип терминала
SHELL - текущая командная оболочка

Некоторые переменные окружения имеются не во всех системах, но все-таки требуют упоминания:
HOSTNAME - имя машины
QTDIR - расположение библиотеки QT
MAIL - почтовый ящик
LD_LIBRARY_PATH - место "поиска" дополнительных библиотек (см. предыдущую главу)
MANPATH - место поиска файлов man-страниц (каталоги, разделенные двоеточием)
LANG - язык и кодировка пользователя (иногда LANGUAGE)
DISPLAY - текущий дисплей в X11

Помимо переменных окружения, командные оболочки, такие как bash располагают собственным набором пар ПЕРЕМЕННАЯ=ЗНАЧЕНИЕ. 
Это переменные оболочки. Набор таких переменных называют окружением (или средой) оболочки. 
Эти переменные чем-то напоминают локальные (стековые) переменные в языке C. 
Они недоступны для других программ (в том числе и для env) и используются в основном в сценариях оболочки. 
Чтобы задать переменную оболочки, достаточно написать в командной строке ПЕРЕМЕННАЯ=ЗНАЧЕНИЕ.

$ MYVAR=Hello
$ echo $MYVAR
Hello
$ env | grep MYVAR


Однако, при желании, можно включить локальную переменную оболочки в основное окружение. 
Для этого используется команда export:
$ export MYVAR
$ env | grep MYVAR
MYVAR=Hello

Можно сделать сразу так:
$ export MYNEWVAR=Goodbye
$ echo $MYNEWVAR
Goodbye
$ env | grep MYNEWVAR
MYNEWVAR=Goodbye



Любая запущенная и работающая в Linux программа - это процесс. 
Запуская дважды одну и ту же программу, вы получаете два процесса. 
У каждого процесса (кроме init) есть свой процесс-родитель. 
Когда вы набираете в командной строке vim, в системе появляется новый процесс, соответствующий текстовому редактору vim; родительским процессом здесь будет оболочка (bash, например). 
Для самой оболочки новый процесс будет дочерним. 
Мы будем подробно изучать процессы в последующих главах книги. 
Сейчас же важно одно: новый процесс получает копию родительского окружения. 
Из этого правила существует несколько исключений, но мы пока об этом говорить не будем. 
Важно то, что у каждого процесса своя независимая копия окружения, с которой процесс может делать все что угодно. 
Если процесс завершается, то копия теряется; если процесс породил другой, дочерний процесс, то этот новый процесс получает копию окружения своего родителя. 
Мы еще неоднократно столкнемся с окружением при изучении многозадачности.

Массив environ

0. vim unistd.h
------------
extern char ** environ;
------------

В этом массиве хранится копия окружения процесса.

1. Велосипед (код программы)
vim environ.c
-------------
/* environ.c */
#include 
#include 
#include 
#include 

extern char ** environ;	/* Environment itself */

int main (int argc, char ** argv)
{
	int i;
	if (argc < 2)
	{
		fprintf (stderr, "environ: Too few arguments\n");
		fprintf (stderr, "Usage: environ \n");
		exit (1);
	}
	
	for (i = 0; environ[i] != NULL; i++)
	{
		if (!strncmp (environ[i], argv[1], strlen (argv[1])))
		{
			printf ("'%s' found\n", environ[i]);
			exit (0);
		}	
	}
	printf ("'%s' not found\n", argv[1]);
	exit (0);
}
-------------


2. Makefile для этой программы
vim Makefile
------------
# Makefile for environ

environ: environ.c
	gcc -o environ environ.c

clean:
	rm -f environ
------------



3. Проверяем
Проверяем:
make
./environ
./environ USER
./environ ABRAKADABRA

Чтение окружения: getenv()

0. Функция
vim  stdlib.h 
-------------
char * getenv (const char * name);
-------------
Функция эта работает очень просто: если в качестве аргумента указано имя существующей переменной окружения, то функция возвращает указатель на строку, 
содержащую значение этой переменной; если переменная отсутствует, возвращается NULL.

1.  Код программы
vim getenv.c 
------------
/* getenv.c */
#include 
#include 

int main (int argc, char ** argv)
{
        if (argc < 2)
        {
                fprintf (stderr, "getenv: Too few arguments\n");
                fprintf (stderr, "Usage: getenv \n");
                exit (1);
        }
        char * var = getenv (argv[1]);
        if (var == NULL)
        {
                printf ("'%s' not found\n", argv[1]);
                exit (0);
        }
        printf ("'%s=%s' found\n", argv[1], var);
        exit (0);
}
------------

2.  Создадим файл для сборки
vim Makefile
------------
# Makefile for getenv

environ: getenv.c
        gcc -o getenv getenv.c

clean:
        rm -f getenv
------------

Запись окружения: setenv()

каждый процесс получает не доступ к окружению, а копию окружения родительского процесса (в нашем случае это командная оболочка). 
Чтобы добавить в окружение новую переменную или изменить существующую, используется функция setenv, объявленная в файле stdlib.h. 
Ниже приведен адаптированный прототип этой функции.

0. Функция
vim stdlib.h
------------
int setenv (const char * name, const char * value, int overwrite);
------------

Если хотите узнать, что значит "адаптированный прототип", загляните в /usr/include/stdlib.h на объявления функций getenv() и setenv() и больше не спрашивайте ;-)

1. Код программы
vim setenv.c
------------
/* setenv.c */
#include 
#include 

#define FL_OVWR		0	/* Overwrite flag. You may change it. */

int main (int argc, char ** argv)
{	
	if (argc < 3)
	{
		fprintf (stderr, "setenv: Too few arguments\n");
		fprintf (stderr, 
			"Usage: setenv  \n");
		exit (1);
	}
	if (setenv (argv[1], argv[2], FL_OVWR) != 0)
	{
		fprintf (stderr, "setenv: Cannot set '%s'\n", argv[1]);
	       	exit (1);
	}

	printf ("%s=%s\n", argv[1], getenv (argv[1]));	
	exit (0);
}
------------

Изменяя константу FL_OVWR можно несколько изменить поведение программы по отношению к существующим переменным окружения. 
Еще раз напоминаю: у каждого процесса своя копия окружения, которая уничтожается при завершении процесса. 
Экспериментируйте!

2. Создадим файл для сборки
vim Makefile
------------
# Makefile for setenv

environ: setenv.c
        gcc -o setenv setenv.c

clean:
        rm -f setenv
------------

Сырая модификация окружения: putenv()

0. Функция
vim putenv.h
------------
int putenv (char * str);
------------

Функция putenv(), объявленная в заголовочном файле stdlib.h вызывается с единственным аргументом - строкой формата ПЕРЕМЕННАЯ=ЗНАЧЕНИЕ или просто ПЕРЕМЕННАЯ. 
Обычно такие преформатированные строки называют запросами. Если переменная отсутствует, то в окружение добавляется новая запись.
Если переменная уже существует, то текущее значение перезаписывается. Если в качестве аргумента фигурирует просто имя переменной, то переменная удаляется из окружения. 
В случае удачного завершения, putenv() возвращает нуль и -1 - в случае ошибки.
У функции putenv() есть одна особенность: указатель на строку, переданный в качестве аргумента, становится частью окружения. 
Если в дальнейшем строка будет изменена, будет изменено и окружение. Это очень важный момент, о котором не следует забывать.

1. Программа
vim putenv.c
------------
/* putenv.c */
#include 
#include 
#include 

#define QUERY_MAX_SIZE		32
char * query_str;

void print_evar (const char * var)
{
	char * tmp = getenv (var);
	if (tmp == NULL)
	{
		printf ("%s is not set\n", var);
		return;
	}
	printf ("%s=%s\n", var, tmp);
}

int main (void)
{
	int ret;
	query_str = (char *) calloc (QUERY_MAX_SIZE, sizeof(char));
	if (query_str == NULL) abort ();

	strncpy (query_str, "FOO=foo_value1", QUERY_MAX_SIZE-1);
	ret = putenv (query_str);
	if (ret != 0) abort ();
	print_evar ("FOO");

	strncpy (query_str, "FOO=foo_value2", QUERY_MAX_SIZE-1);
	print_evar ("FOO");

	strncpy (query_str, "FOO", QUERY_MAX_SIZE-1);
	ret = putenv (query_str);
	if (ret != 0) abort ();
	print_evar ("FOO");
	
	free (query_str);
	exit (0);
}
------------

Программа немного сложнее тех, что приводились ранее, поэтому разберем все по порядку. 
Сначала создаем для удобства функцию print_evar (PRINT Environment VARiable), которая будет отражать текущее состояние переменной окружения, переданной в качестве аргумента. 
В функции main() перво-наперво выделяем в куче (heap) память для буфера, в который будут помещаться запросы; заносим адрес буфера в query_str. 
Теперь формируем строку, и посылаем запрос в функцию putenv().
Дальше идет демонстрация того, на чем я акцентировал внимание: простое изменение содержимого памяти по адресу, хранящемуся в query_str приводит к изменению окружения; это видно из вывода функции print_evar(). 
Наконец, вызываем putenv() со строкой, не содержащей символа '=' (равно). Это запрос на удаление переменной из окружения. Функция print_evar() подтверждает это.
Хочу заметить, что putenv() поддерживается не всеми версиями Unix. Если нет крайней необходимости, лучше использовать setenv() для пополнения/модификации окружения.

2. Файл сборки
vim Makefile
------------
# Makefile for putenv

environ: putenv.c
        gcc -o putenv putenv.c

clean:
        rm -f putenv
------------

Удаление переменной окружения: unsetenv()

0. Функция 
vim stdlib.h 
-------------
int unsetenv (const char * name);
-------------

Функция unsetenv() использует в качестве аргумента имя переменной окружения. 
Возвращаемое значение - нуль при удачном завершении и -1 в случае ошибки. 
Рассмотрим простую программу, которая удаляет переменную окружения USER (!!!). 
Каждый процесс работает с собственной копией окружения, никак не связанной с копиями окружения других процессов, 
за исключением дочерних процессов, которых у нас нет. Ниже приведен исходный код программы, 
учитывающий исторические изменения прототипа функции unsetenv()


1. Программа
vim unsetenv.c
--------------
/* unsetenv.c */
#include 
#include 
#include 
#include 

#define OLD_LIBC_VERSION	0
#define NEW_LIBC_VERSION	1
#define E_VAR			"USER"

int libc_cur_version (void)
{
	int ret = strcmp (gnu_get_libc_version (), "2.2.2");
	if (ret < 0) return OLD_LIBC_VERSION;
	return NEW_LIBC_VERSION;
}

int main (void)
{
	int ret;
	char * str;
	if (libc_cur_version () == OLD_LIBC_VERSION)
	{
		unsetenv (E_VAR);
	} else
	{
		ret = unsetenv (E_VAR);
		if (ret != 0)
		{
			fprintf (stderr, "Cannot unset '%s'\n", E_VAR);
			exit (1);
		}
	}

	str = getenv (E_VAR);
	if (str == NULL)
	{
		printf ("'%s' has removed from environment\n", E_VAR);
	} else
	{
		printf ("'%s' hasn't removed\n", E_VAR);
	}	
	exit (0);
}
--------------
В программе показан один из самых варварских способов подстроить код под версию библиотеки. 
Это сделано исключительно для демонстрации двух вариантов unsetenv(). 
Никогда не делайте так в реальных программах. 
Намного проще и дешевле (в плане времени), не получая ничего от unsetenv() проверить факт удаления переменной при помощи getenv().

2. Файл сборки
vim Makefile
------------
# Makefile for putenv

environ:  unsetenv.c
        gcc -o  unsetenv  unsetenv.c

clean:
        rm -f  unsetenv
------------
 

Очистка окружения: clearenv()

Функция clearenv(), объявленная в заголовочном файле stdlib.h, используется крайне редко для полной очистки окружения. 
clearenv() поддерживается не всеми версиями Unix. 

int clearenv (void);

При успешном завершении clearenv() возвращает нуль. 
В случае ошибки возвращается ненулевое значение.

В большинстве случаев вместо clearenv() можно использовать следующую инструкцию:
environ = NULL;

Механизмов ввода-вывода в Linux:

В языке C для осуществления файлового ввода-вывода используются механизмы стандартной библиотеки языка, объявленные в заголовочном файле stdio.h. 
Это не более чем частный случай файлового ввода-вывода. 
В C++ для ввода-вывода чаще всего используются потоковые типы данных. 
Однако все эти механизмы являются всего лишь надстройками над низкоуровневыми механизмами ввода-вывода ядра операционной системы.
С точки зрения модели КИС (Клиент-Интерфейс-Сервер), сервером стандартных механизмов ввода вывода языка C (printf, scanf, FILE*, fprintf, fputc и т. д.) является библиотека языка. 
А сервером низкоуровневого ввода-вывода в Linux, которому посвящена эта глава книги, является само ядро операционной системы.
Пользовательские программы взаимодействуют с ядром операционной системы посредством специальных механизмов, называемых системными вызовами (system calls, syscalls). 
Внешне системные вызовы реализованы в виде обычных функций языка C, однако каждый раз вызывая такую функцию, мы обращаемся непосредственно к ядру операционной системы. 
Рассмотрим основные системные вызовы, осуществляющие ввод-вывод: open(), close(), read(), write(), lseek() и некоторые другие.

Список всех системных вызовов Linux можно найти в файле /usr/include/asm/unistd.h. 

Файловые дескрипторы

В языке C при осуществлении ввода-вывода мы используем указатель FILE*. 
Даже функция printf() в итоге сводится к вызову vfprintf(stdout,...), разновидности функции fprintf(); 
константа stdout имеет тип struct _IO_FILE*, синонимом которого является тип FILE*. 
Консольный ввод-вывод - это файловый ввод-вывод. 
Стандартный поток ввода, стандартный поток вывода и поток ошибок (как в C, так и в C++) - это файлы. 
В Linux все, куда можно что-то записать или откуда можно что-то прочитать представлено (или может быть представлено) в виде файла.
Экран, клавиатура, аппаратные и виртуальные устройства, каналы, сокеты - все это файлы. 
Это очень удобно, поскольку ко всему можно применять одни и те же механизмы ввода-вывода, с которыми мы и познакомимся в этой главе. 
Владение механизмами низкоуровневого ввода-вывода дает свободу перемещения данных в Linux. 
Работа с локальными файловыми системами, межсетевое взаимодействие, работа с аппаратными устройствами, - все это осуществляется в Linux посредством низкоуровневого ввода-вывода.

Вы уже знаете из предыдущей главы, что при запуске программы в системе создается новый процесс (здесь есть свои особенности, о которых пока говорить не будем).
У каждого процесса (кроме init) есть свой родительский процесс (parent process или просто parent), для которого новоиспеченный процесс является дочерним (child process, child). 
Каждый процесс получает копию окружения (environment) родительского процесса. 
Оказывается, кроме окружения дочерний процесс получает в качестве багажа еще и копию таблицы файловых дескрипторов.

Файловый дескриптор (file descriptor) - это целое число (int), соответствующее открытому файлу. 
Дескриптор, соответствующий реально открытому файлу всегда больше или равен нулю. 
Копия таблицы дескрипторов (читай: таблицы открытых файлов внутри процесса) скрыта в ядре. 
Мы не можем получить прямой доступ к этой таблице, как при работе с окружением через environ. 
Можно, конечно, кое-что "вытянуть" через дерево /proc, но нам это не надо. 
Программист должен лишь понимать, что каждый процесс имеет свою копию таблицы дескрипторов. 
В пределах одного процесса все дескрипторы уникальны (даже если они соответствуют одному и тому же файлу или устройству). 
В разных процессах дескрипторы могут совпадать или не совпадать - это не имеет никакого значения, поскольку у каждого процесса свой собственный набор открытых файлов.

Возникает вопрос: сколько файлов может открыть процесс? 
В каждой системе есть свой лимит, зависящий от конфигурации. 

Если вы используете bash или ksh (Korn Shell), то можете воспользоваться внутренней командой оболочки ulimit, чтобы узнать это значение.
$ ulimit -n

Если вы работаете с оболочкой C-shell (csh, tcsh), то в вашем распоряжении команда limit:
$ limit descriptors

В командной оболочке, в которой вы работаете (bash, например), открыты три файла: стандартный ввод (дескриптор 0), стандартный вывод (дескриптор 1) и стандартный поток ошибок (дескриптор 2). 
Когда под оболочкой запускается программа, в системе создается новый процесс, который является для этой оболочки дочерним процессом, следовательно, 
получает копию таблицы дескрипторов своего родителя (то есть все открытые файлы родительского процесса). 
Таким образом программа может осуществлять консольный ввод-вывод через эти дескрипторы. На протяжении всей книги мы будем часто играть с этими дескрипторами.

Таблица дескрипторов, помимо всего прочего, содержит информацию о текущей позиции чтения-записи для каждого дескриптора. 
При открытии файла, позиция чтения-записи устанавливается в ноль. 
Каждый прочитанный или записанный байт увеличивает на единицу указатель текущей позиции.

Открытие файла: системный вызов open()

Чтобы получить возможность прочитать что-то из файла или записать что-то в файл, его нужно открыть. 
Это делает системный вызов open(). 
Этот системный вызов не имеет постоянного списка аргументов (за счет использования механизма va_arg); 
в связи с этим существуют две "разновидности" open(). 
Не только в С++ есть перегрузка функций ;-) 
Если интересно, то о механизме va_arg можно прочитать на man-странице stdarg (man 3 stdarg) или в книге Б. Кернигана и Д. Ритчи "Язык программирования Си". 
Ниже приведены адаптированные прототипы системного вызова open().

int open (const char * filename, int flags, mode_t mode);
int open (const char * filename, int flags);

Системный вызов open() объявлен в заголовочном файле fcntl.h. 
Ниже приведен общий адаптированный прототип open().

int open (const char * filename, int flags, ...);

Первый аргумент - имя файла в файловой системе в обычной форме: 
полный путь к файлу (если файл не находится в текущем каталоге) или сокращенное имя (если файл в текущем каталоге).

Второй аргумент - это режим открытия файла, представляющий собой один или несколько флагов открытия, объединенных оператором побитового ИЛИ. 
Наиболее часто используют только первые семь флагов. 
Если вы хотите, например, открыть файл в режиме чтения и записи, и при этом автоматически создать файл, если такового не существует, то второй аргумент open() будет выглядеть примерно так: O_RDWR|O_CREAT. 
Константы-флаги открытия объявлены в заголовочном файле bits/fcntl.h, однако не стоит включать этот файл в свои программы, поскольку он уже включен в файл fcntl.h.

Третий аргумент используется в том случае, если open() создает новый файл. 
В этом случае файлу нужно задать права доступа (режим), с которыми он появится в файловой системе. 
Права доступа задаются перечислением флагов, объединенных побитовым ИЛИ. 
Вместо флагов можно использовать число (как правило восьмиричное), однако первый способ нагляднее и предпочтительнее. 
Список флагов приведен в Таблице 1 Приложения 2. 
Чтобы, например, созданный файл был доступен в режиме "чтение-запись" пользователем и группой и "только чтение" остальными пользователями, - в третьем аргументе open() надо указать примерно следующее: S_IRUSR|S_IWUSR|S_IRGRP|S_IWGRP|S_IROTH или 0664. 
Флаги режима доступа реально объявлены в заголовочном файле bits/stat.h, но он не предназначен для включения в пользовательские программы, и вместо него мы должны включать файл sys/stat.h. 
Тип mode_t объявлен в заголовочном файле sys/types.h.

Если файл был успешно открыт, open() возвращает файловый дескриптор, по которому мы будем обращаться к файлу. 
Если произошла ошибка, то open() возвращает -1. 

Закрытие файла: системный вызов close()

Системный вызов close() закрывает файл. 
Вообще говоря, по завершении процесса все открытые файлы (кроме файлов с дескрипторами 0, 1 и 2) автоматически закрываются. 
Тем не менее, это не освобождает нас от самостоятельного вызова close(), когда файл нужно закрыть. 
К тому же, если файлы не закрывать самостоятельно, то соответствующие дескрипторы не освобождаются, что может привести к превышению лимита открытых файлов. 
Простой пример: приложение может быть настроено так, чтобы каждую минуту открывать и перечитывать свой файл конфигурации для проверки обновлений. 
Если каждый раз файл не будет закрываться, то в моей системе, например, приложение может "накрыться медным тазом" примерно через 17 часов. 
Автоматически! Кроме того, файловая система Linux поддерживает механизм буферизации. 
Это означает, что данные, которые якобы записываются, реально записываются на носитель (синхронизируются) только через какое-то время, когда система сочтет это правильным и оптимальным. 
Это повышает производительность системы и даже продлевает ресурс жестких дисков. Системный вызов close() не форсирует запись данных на диск, однако дает больше гарантий того, 
что данные останутся в целости и сохранности.

Системный вызов close() объявлен в файле unistd.h. Ниже приведен его адаптированный прототип.
vim  unistd.h
-------------
int close (int fd);
-------------

Очевидно, что единственный аргумент - это файловый дескриптор. 
Возвращаемое значение - ноль в случае успеха, и -1 - в случае ошибки. 
Довольно часто close() вызывают без проверки возвращаемого значения. 
Это не очень грубая ошибка, но, тем не менее, иногда закрытие файла бывает неудачным (в случае неправильного дескриптора, в случае прерывания функции по сигналу или в случае ошибки ввода-вывода, например). 
В любом случае, если программа сообщит пользователю, что файл невозможно закрыть, это хорошо.
Теперь можно написать простую программу, использующую системные вызовы open() и close(). 
Мы еще не умеем читать из файлов и писать в файлы, поэтому напишем программу, которая создает файл с именем, переданным в качестве аргумента (argv[1]) и с правами доступа 0600 (чтение и запись для пользователя). 
Ниже приведен исходный код программы.
vim openclose.c
---------------
/* openclose.c */
#include 	/* open() and O_XXX flags */
#include 	/* S_IXXX flags */
#include 	/* mode_t */
#include 	/* close() */
#include 
#include 

int main (int argc, char ** argv)
{
	int fd;
	mode_t mode = S_IRUSR | S_IWUSR;
	int flags = O_WRONLY | O_CREAT | O_EXCL;
	if (argc < 2)
	{
		fprintf (stderr, "openclose: Too few arguments\n");
		fprintf (stderr, "Usage: openclose \n");
		exit (1);
	}

	fd = open (argv[1], flags, mode);
	if (fd < 0)
	{
		fprintf (stderr, "openclose: Cannot open file '%s'\n",
				argv[1]);
		exit (1);
	}
	
	if (close (fd) != 0)
	{
		fprintf (stderr, "Cannot close file (descriptor=%d)\n", fd);
		exit (1);
	}	
	exit (0);
}
---------------


Обратите внимание, если запустить программу дважды с одним и тем же аргументом, то на второй раз open() выдаст ошибку. 
В этом виноват флаг O_EXCL, который "дает добро" только на создание еще не существующих файлов. 
Наглядности ради, флаги открытия и флаги режима мы занесли в отдельные переменные, однако можно было бы сделать так:

fd = open (argv[1], O_WRONLY | O_CREAT | O_EXCL, S_IRUSR | S_IWUSR);

Или так:

fd = open (argv[1], O_WRONLY | O_CREAT | O_EXCL, 0600);


Создаем Makefile:
vim openclose
-------------
# Makefile for  openclose

environ:   openclose.c
        gcc -o   openclose   openclose.c

clean:
        rm -f   openclose
-------------

Чтение файла: системный вызов read()

Системный вызов read(), объявленный в файле unistd.h, позволяет читать данные из файла. 
В отличие от библиотечных функций файлового ввода-вывода, которые предоставляют возможность интерпретации считываемых данных. 

Можно, например, записать в файл следующее содержимое:
2006

Теперь, используя библиотечные механизмы, можно читать файл по-разному:
fscanf (filep, "%s", buffer);
fscanf (filep, "%d", number);


Системный вызов read() читает данные в "сыром" виде, то есть как последовательность байт, без какой-либо интерпретации. Ниже представлен адаптированный прототип read().
vim unistd.h
------------
ssize_t read (int fd, void * buffer, size_t count);
------------

Первый аргумент - это файловый дескриптор. Здесь больше сказать нечего. 
Второй аргумент - это указатель на область памяти, куда будут помещаться данные. 
Третий аргумент - количество байт, которые функция read() будет пытаться прочитать из файла. 
Возвращаемое значение - количество прочитанных байт, если чтение состоялось и -1, если произошла ошибка. 
Хочу заметить, что если read() возвращает значение меньше count, то это не символизирует об ошибке.

Хочу сказать несколько слов о типах. 
Тип size_t в Linux используется для хранения размеров блоков памяти. 
Какой тип реально скрывается за size_t, зависит от архитектуры; как правило это unsigned long int или unsigned int. 
Тип ssize_t (Signed SIZE Type) - это тот же size_t, только знаковый. 
Используется, например, в тех случаях, когда нужно сообщить об ошибке, вернув отрицательный размер блока памяти. Системный вызов read() именно так и поступает.
Теперь напишем программу, которая просто читает файл и выводит его содержимое на экран. Имя файла будет передаваться в качестве аргумента (argv[1]).

Ниже приведен исходный код этой программы.
vim myread.c
------------
/* myread.c */
#include 
#include 
#include 
#include 
#include 
#include 

int main (int argc, char ** argv)
{
	int fd;
	ssize_t ret;
	char ch;
	if (argc < 2)
	{
		fprintf (stderr, "Too few arguments\n");
		exit (1);
	}

	fd = open (argv[1], O_RDONLY);
	if (fd < 0)
	{
		fprintf (stderr, "Cannot open file\n");
		exit (1);
	}	
	
	while ((ret = read (fd, &ch, 1)) > 0)
	{
		putchar (ch);
	}

	if (ret < 0)
	{
		fprintf (stderr, "myread: Cannot read file\n");
		exit (1);
	}
	close (fd);
	exit (0);
}
------------

В этом примере используется укороченная версия open(), так как файл открывается только для чтения. 
В качестве буфера (второй аргумент read()) мы передаем адрес переменной типа char. 
По этому адресу будут считываться данные из файла (по одному байту за раз) и передаваться на стандартный вывод. 
Цикл чтения файла заканчивается, когда read() возвращает нуль (нечего больше читать) или -1 (ошибка). Системный вызов close() закрывает файл.

Как можно заметить, в нашем примере системный вызов read() вызывается ровно столько раз, сколько байт содержится в файле. 
Иногда это действительно нужно; но не здесь. 
Чтение-запись посимвольным методом (как в нашем примере) значительно замедляет процесс ввода-вывода за счет многократных обращений к системным вызовам. 
По этой же причине возрастает вероятность возникновения ошибки. Если нет действительной необходимости, файлы нужно читать блоками. 
О том, какой размер блока предпочтительнее, будет рассказано в последующих главах книги.
 Ниже приведен исходный код программы, которая делает то же самое, что и предыдущий пример, но с использованием блочного чтения файла. Размер блока установлен в 64 байта.

vim myread1.c
-------------
/* myread1.c */
#include 
#include 
#include 
#include 
#include 
#include 

#define BUFFER_SIZE	64

int main (int argc, char ** argv)
{
	int fd;
	ssize_t read_bytes;
	char buffer[BUFFER_SIZE+1];
	if (argc < 2)
	{
		fprintf (stderr, "Too few arguments\n");
		exit (1);
	}

	fd = open (argv[1], O_RDONLY);
	if (fd < 0)
	{
		fprintf (stderr, "Cannot open file\n");
		exit (1);
	}	
	
	while ((read_bytes = read (fd, buffer, BUFFER_SIZE)) > 0)
	{
		buffer[read_bytes] = 0; /* Null-terminator for C-string */
		fputs (buffer, stdout);
	}

	if (read_bytes < 0)
	{
		fprintf (stderr, "myread: Cannot read file\n");
		exit (1);
	}
	close (fd);
	exit (0);
}
-------------

Теперь можно примерно оценить и сравнить скорость работы двух примеров. 
Для этого надо выбрать в системе достаточно большой файл (бинарник ядра или видеофильм, например) и посмотреть на то, как быстро читаются эти файлы:
$ time ./myread /boot/vmlinuz > /dev/null
$ time ./myread1 /boot/vmlinuz > /dev/null

Запись в файл: системный вызов write()

Для записи данных в файл используется системный вызов write(). 
Ниже представлен его прототип.
vim unistd.h
------------
ssize_t write (int fd, const void * buffer, size_t count);
------------

Как видите, прототип write() отличается от read() только спецификатором const во втором аргументе. 
В принципе write() выполняет процедуру, обратную read(): записывает count байтов из буфера buffer в файл с дескриптором fd, возвращая количество записанных байтов или -1 в случае ошибки. 
Так просто, что можно сразу переходить к примеру. 
За основу возьмем программу myread1 из предыдущего раздела.

vim rw.c
--------
/* rw.c */
#include 
#include 
#include 	/* read(), write(), close() */
#include 	/* open(), O_RDONLY */
#include 	/* S_IRUSR */
#include 	/* mode_t */

#define BUFFER_SIZE	64

int main (int argc, char ** argv)
{
	int fd;
	ssize_t read_bytes;
	ssize_t written_bytes;
	char buffer[BUFFER_SIZE];
	if (argc < 2)
	{
		fprintf (stderr, "Too few arguments\n");
		exit (1);
	}

	fd = open (argv[1], O_RDONLY);
	if (fd < 0)
	{
		fprintf (stderr, "Cannot open file\n");
		exit (1);
	}	
	
	while ((read_bytes = read (fd, buffer, BUFFER_SIZE)) > 0)
	{		
		/* 1 == stdout */
		written_bytes = write (1, buffer, read_bytes);
		if (written_bytes != read_bytes)
		{
			fprintf (stderr, "Cannot write\n");
			exit (1);
		}
	}

	if (read_bytes < 0)
	{
		fprintf (stderr, "myread: Cannot read file\n");
		exit (1);
	}
	close (fd);
	exit (0);
}
--------

В этом примере нам уже не надо изощряться в попытках вставить нуль-терминатор в строку для записи, поскольку системный вызов write() не запишет большее количество байт, чем мы ему указали. 
В данном случае для демонстрации write() мы просто записывали данные в файл с дескриптором 1, то есть в стандартный вывод. Но прежде, 
чем переходить к чтению следующего раздела, попробуйте самостоятельно записать что-нибудь (при помощи write(), естественно) в обычный файл. 
Когда будете открывать файл для записи, обратите пожалуйста внимание на флаги O_TRUNC, O_CREAT и O_APPEND. Подумайте, все ли флаги сочетаются между собой по смыслу.

vim Makefile
------------
# Makefile for  rw.c

environ:   rw
        gcc -o rw rw.c

clean:
        rm -f  rw
-----------

Произвольный доступ: системный вызов lseek()

Как уже говорилось, с каждым открытым файлом связано число, указывающее на текущую позицию чтения-записи. 
При открытии файла позиция равна нулю. Каждый вызов read() или write() увеличивает текущую позицию на значение, равное числу прочитанных или записанных байт. 
Благодаря этому механизму, каждый повторный вызов read() читает следующие данные, и каждый повторный write() записывает данные в продолжение предыдущих, а не затирает старые. 
Такой механизм последовательного доступа очень удобен, однако иногда требуется получить произвольный доступ к содержимому файла, чтобы, например, прочитать или записать файл заново.
Для изменения текущей позиции чтения-записи используется системный вызов lseek(). 
Ниже представлен его прототип.
vim unistd.h
------------
off_t lseek (int fd, ott_t offset, int against);
------------
Первый аргумент, как всегда, - файловый дескриптор. 
Второй аргумент - смещение, как положительное (вперед), так и отрицательное (назад). 
Третий аргумент обычно передается в виде одной из трех констант SEEK_SET, SEEK_CUR и SEEK_END, которые показывают, от какого места отсчитывается смещение. 
SEEK_SET - означает начало файла, 
SEEK_CUR - текущая позиция, 
SEEK_END - конец файла. 

Рассмотрим следующие вызовы:
lseek (fd, 0, SEEK_SET);
lseek (fd, 20, SEEK_CUR);
lseek (fd, -10, SEEK_END);

Первый вызов устанавливает текущую позицию в начало файла. 
Второй вызов смещает позицию вперед на 20 байт. 
В третьем случае текущая позиция перемещается на 10 байт назад относительно конца файла.

В случае удачного завершения, lseek() возвращает значение установленной "новой" позиции относительно начала файла. 
В случае ошибки возвращается -1.

Я долго думал, какой бы пример придумать, чтобы продемонстрировать работу lseek() наглядным образом. 
Наиболее подходящим примером мне показалась идея создания программы рисования символами. 
Программа оказалась не слишком простой, однако если вы сможете разобраться в ней, то можете считать, что успешно овладели азами низкоуровневого ввода-вывода Linux. 
Ниже представлен исходный код этой программы.

vim draw.c
----------
/* draw.c */
#include 
#include 
#include 
#include 
#include 
#include 
#include 	/* memset() */

#define N_ROWS	15	/* Image height */
#define N_COLS	40	/* Image width */
#define FG_CHAR	'O'	/* Foreground character */
#define IMG_FN	"image"	/* Image filename */

#define N_MIN(A,B) ((A)<(B)?(A):(B))
#define N_MAX(A,B) ((A)>(B)?(A):(B))

static char buffer[N_COLS];

void init_draw (int fd)
{	
	ssize_t bytes_written = 0;
	memset (buffer, ' ', N_COLS);
	buffer [N_COLS] = '\n';
	while (bytes_written < (N_ROWS * (N_COLS+1)))
		bytes_written += write (fd, buffer, N_COLS+1);
}

void draw_point (int fd, int x, int y)
{
	char ch = FG_CHAR;
	lseek (fd, y * (N_COLS+1) + x, SEEK_SET);
	write (fd, &ch, 1);
}

void draw_hline (int fd, int y, int x1, int x2)
{	
	size_t bytes_write = abs (x2-x1) + 1;
	memset (buffer, FG_CHAR, bytes_write);
	lseek (fd, y * (N_COLS+1) + N_MIN (x1, x2), SEEK_SET);
	write (fd, buffer, bytes_write);
}

void draw_vline (int fd, int x, int y1, int y2)
{
	int i = N_MIN(y1, y2);
	while (i <= N_MAX(y2, y1)) draw_point (fd, x, i++);
}

int main (void)
{
	int a, b, c, i = 0;
	char ch;
	int fd = open (IMG_FN, O_WRONLY | O_CREAT | O_TRUNC, 0644);
	if (fd < 0) {
		fprintf (stderr, "Cannot open file\n");
		exit (1);
	}

	init_draw (fd);
	char * icode[] = { "v 1 1 11", "v 11 7 11", "v 14 5 11", 
	"v 18 6 11", "v 21 5 10", "v 25 5 10", "v 29 5 6", "v 33 5 6", 
	"v 29 10 11", "v 33 10 11", "h 11 1 8", "h 5 16 17", 
	"h 11 22 24", "p 11 5 0", "p 15 6 0", "p 26 11 0", "p 30 7 0", 
	"p 32 7 0", "p 31 8 0", "p 30 9 0", "p 32 9 0", NULL };	

	while (icode[i] != NULL) {
	sscanf (icode[i], "%c %d %d %d", &ch, &a, &b, &c);
		switch (ch) {
			case 'v': draw_vline (fd, a, b, c); break;
			case 'h': draw_hline (fd, a, b, c); break;
			case 'p': draw_point (fd, a, b); break;
			default: abort();	
		}
		i++;
	}
	close (fd);
	exit (0);
}
----------

Теперь разберемся, как работает эта программа. 
Изначально "полотно" заполняется пробелами. 
Функция init_draw() построчно записывает в файл пробелы, чтобы получился "холст", размером N_ROWS на N_COLS. 
Массив строк icode в функции main() - это набор команд рисования. 
Команда начинается с одной из трех литер: 'v' - нарисовать вертикальную линию, 'h' - нарисовать горизонтальную линию, 'p' - нарисовать точку. 
После каждой такой литеры следуют три числа. 
В случае вертикальной линии первое число - фиксированная координата X, а два других числа - это начальная и конечная координаты Y. 
В случае горизонтальной линии фиксируется координата Y (первое число). 
Два остальных числа - начальная координата X и конечная координата X. 
При рисовании точки используются только два первых числа: координата X и координата Y. 
Итак, функция draw_vline() рисует вертикальную линию, функция draw_hline() рисует горизонтальную линию, а draw_point() рисует точку.

Функция init_draw() пишет в файл N_ROWS строк, каждая из которых содержит N_COLS пробелов, заканчивающихся переводом строки. 
Это процедура подготовки "холста".

Функция draw_point() вычисляет позицию (исходя из значений координат), перемещает туда текущую позицию ввода-вывода файла, и записывает в эту позицию символ (FG_CHAR), которым мы рисуем "картину".

Функция draw_hline() заполняет часть строки символами FG_CHAR. Так получается горизонтальная линия. 
Функция draw_vline() работает иначе. Чтобы записать вертикальную линию, нужно записывать по одному символу и каждый раз "перескакивать" на следующую строку. 
Эта функция работает медленнее, чем draw_hline(), но иначе мы не можем.

Полученное изображение записывается в файл image. 
Будьте внимательны: чтобы разгрузить исходный код, из программы исключены многие проверки (read(), write(), close(), диапазон координат и проч.). 
Попробуйте включить эти проверки самостоятельно.

Основы многозадачности в Linux

На экран будут выведен список всех работающих в системе процессов:
ps -e
ps -e --no-headers | nl | tail -n 1
ps -e --forest

Первое число - это количество работающих в системе процессов. 
Пользователи KDE могут воспользоваться программой kpm(на самом деле есть еще "System Monitor/plusma-system-monitor"), 
а пользователи Gnome - программой gnome-system-monitor для получения информации о процессах. 
На то он и Linux, чтобы позволять пользователю делать одно и то же разными способами.

Возникает вопрос: "Что такое процесс?". 
Процессы в Linux, как и файлы, являются аксиоматическими понятиями. 
Иногда процесс отождествляют с запущенной программой, однако это не всегда так. 
Будем считать, что процесс - это рабочая единица системы, которая выполняет что-то. 
Многозадачность - это возможность одновременного сосуществования нескольких процессов в одной системе.

Linux - многозадачная операционная система. 
Это означает что процессы в ней работают одновременно. 
Естественно, это условная формулировка. 
Ядро Linux постоянно переключает процессы, то есть время от времени дает каждому из них сколько-нибудь процессорного времени. 
Переключение происходит довольно быстро, поэтому нам кажется, что процессы работают одновременно.

Одни процессы могут порождать другие процессы, образовывая древовидную структуру. 
Порождающие процессы называются родителями или родительскими процессами, а порожденные - потомками или дочерними процессами. 
На вершине этого "дерева" находится процесс init, который порождается автоматически ядром в процесссе загрузки системы.

К каждому процессу в системе привязана пара целых неотрицательных чисел: идентификатор процесса PID (Process IDentifier) и идентификатор родительского процесса PPID (Parent Process IDentifier). 
Для каждого процесса PID является уникальным (в конкретный момент времени), а PPID равен идентификатору процесса-родителя. 
Если ввести в оболочку команду ps -ef, то на экран будет выведен список процессов со значениями их PID и PPID (вторая и третья колонки соотв.).

Надо отметить, что процесс init (в современных дистрибутивах на 2022 год это будет скорее всего systemd) всегда имеет идентификатор 1 и PPID равный 0. 
Хотя в реальности процесса с идентификатором 0 не существует. 
Дерево процессов можно также приставить в наглядном виде при помощи опции --forest программы ps.
Если вызвать программу ps без аргументов, то будет выведен список процессов, принадлежащих текущей группе, то есть работающих под текущим терминалом. 
О том, что такое терминалы и группы процессов, будет рассказано в последующих главах.

Использование getpid() и getppid()

Процесс может узнать свой идентификатор (PID), а также родительский идентификатор (PPID) при помощи системных вызовов getpid() и getppid().

Системные вызовы getpid() и getppid() имеют следующие прототипы:
pid_t getpid (void);
pid_t getppid (void);

Для использования getpid() и getppid() в программу должны быть включены директивой #include заголовочные файлы unistd.h и sys/types.h (для типа pid_t). 
Вызов getpid() возвращает идентификатор текущего процесса (PID), а getppid() возвращает идентификатор родителя (PPID). 
pid_t - это целый тип, размерность которого зависит от конкретной системы. Значениями этого типа можно оперировать как обычными целыми числами типа int.


Рассмотрим теперь простую программу, которая выводит на экран PID и PPID, а затем "замирает" до тех пор, пока пользователь не нажмет .
vim getpid.c 
------------
/* getpid.c */

#include 
#include 
#include 

int main (void)
{
        pid_t pid, ppid;

        pid = getpid ();
        ppid = getppid ();

        printf ("PID: %d\n", pid);
        printf ("PPID: %d\n", ppid);

        fprintf (stderr, "Press  to exit...");
        getchar ();
        return 0;
}
------------

Проверим теперь, как работает эта программа. 
Для этого откомпилируем и запустим ее:
$ gcc -o getpid getpid.c
$ ./getpid
PID: 27784
PPID: 6814
Press  to exit...

Теперь, не нажимая , откроем другое терминальное окно и проверим, правильность работы системных вызовов getpid() и getppid():


$ ps -ef | grep getpid
nn       27784  6814  0 01:05 pts/0    00:00:00 ./getpid
nn       28249 28212  0 01:07 pts/1    00:00:00 grep getpid

Порождение процесса

Как уже говорилось ранее, процесс в Linux - это нечто, выполняющее программный код. 
Этот код называют образом процесса (process image). 
Рассмотрим простой пример, когда вы находитесь в оболочке bash и выполняете команду ls. 
В этом случае происходит следующее. 
Образ программы-оболочки bash выполняется в процессе #1. 
Затем вы вводите команду ls, и оболочка определяет, что нужно запустить внешнюю программу (/bin/ls). 
Тогда процесс #1 создает свою почти точную копию, процесс #2, который выполняет тот же самый программный код.
 После этого процесс #2 заменяет свой текущий образ (оболочку) другим образом (программой /bin/ls). 
В итоге получаем отдельный процесс, выполняющий отдельную программу.

"К чему такая путаница?" - спросите вы. 
Зачем сначала "клонировать" процесс, а затем заменять в нем образ? 
Не проще ли все делать одной-единственной операцией? 
Ответы на подобные вопросы дать тяжело, но, как правило, с опытом приходит понимание того, что подобная схема является одной из граней красоты Unix-систем.

Попробуем все-таки разобраться, почему в Unix-системах порождение процесса отделено от запуска программы. 
Для этого выясним, что же происходит с данными при "клонировании" процесса. 
Итак, каждый процесс хранит в своей памяти различные данные (переменные, файловые дескрипторы и проч.). 
При порождении нового процесса, потомок получает точную копию данных родителя. 
Но как только новый процесс создан, родитель и потомок уже распоряжаются своими копиями по своему усмотрению. 
Это позволяет распараллелить программу, заставив ее выполнять какой-нибудь трудоемкий алгоритм в отдельном процессе.

Может быть кто-то из вас слышал про то, что в Linux есть потоки, которые позволяют в одной программе реализовывать параллельное выполнение нескольких функций. 
Опять же возникает вопрос: "Если есть потоки, зачем вся эта головомойка с клонированиями и заменой образов?". 
А дело в том, что потоки работают с общими данными и выполняются в одной программе. 
Если в потоке произошло что-то страшное, то это, как правило, отражается на всей программе в целом. 
Хотя технически потоки реализованы в Linux на базе процессов, но процесс все же является более независимой единицей. 
Крах дочернего процесса никак не отражается на работе родителя, если сам родитель этого не пожелает.

По правде сказать, программисты редко прибегают к методике распараллеливания одной программы при помощи процессов. 
Но суть в том, что в Unix-системах программист обладает полной свободой выбора стратегии многозадачности. 
И это здорово!

Разберемся теперь с тем, как на практике происходит "клонирование" процессов. Для этого используется простой системный вызов fork(), прототип которого находится в файле unistd.h:
pid_t fork (void);

Если fork() завершается с ошибкой, то возвращается -1. 
Это редкий случай, связанный с нехваткой памяти или превышением лимита на количество процессов. 
Но если разделение произошло, то программе нужно позаботиться об идентификации своего "Я", то есть определении того, где родитель, а где потомок. 
Это делается очень просто: в родительский процесс fork() возвращает идентификатор потомка, а потомок получает 0. Следующий пример демонстрирует то, как это происходит.

vim fork01.c
------------
/* fork01.c */
#include 
#include 
#include 

int main (void)
{
        pid_t pid = fork ();

        if (pid == 0) {
                printf ("child (pid=%d)\n", getpid());
        } else {
                printf ("parent (pid=%d, child's pid=%d)\n", getpid(), pid);
        }

        return 0;
}
------------

Проверяем, что получилось:
$ gcc -o fork01 fork01.c
$ ./fork01
child (pid=21026)
parent (pid=21025, child's pid=21026)

Обратите внимание, что поскольку после вызова fork() программу выполняли уже два независимых процесса, 
то сообщение родителя вполне могло бы появиться первым.

Замена образа процесса

Итак, теперь мы умеем порождать процессы. 
Научимся теперь заменять образ текущего процесса другой программой. 
Для этих целей используется системный вызов execve(), который объявлен в заголовочном файле unistd.h вот так:
vim unistd.h
------------
int execve (const char * path, char const * argv[], char * const envp[]);
------------

Все очень просто: системный вызов execve() заменяет текущий образ процесса программой из файла с именем path, набором аргументов argv и окружением envp. 
Здесь следует только учитывать, что path - это не просто имя программы, а путь к ней. 
Иными словами, чтобы запустить ls, нужно в первом аргументе указать "/bin/ls".

Массивы строк argv и envp обязательно должны заканчиваться элементом NULL. 
Кроме того, следует помнить, что первый элемент массива argv (argv[0]) - это имя программы или что-либо иное. 
Непосредственные аргументы программы отсчитываются от элемента с номером 1.

В случае успешного завершения execve() ничего не возвращает, поскольку новая программа получает полное и безвозвратное управление текущим процессом.
Если произошла ошибка, то по традиции возвращается -1.

Рассмотрим теперь пример программы, которая заменяет свой образ другой программой.

vim execve01.c
--------------
/* execve01.c */
#include 
#include 

int main (void)
{
        printf ("pid=%d\n", getpid ());
        execve ("/bin/cat", NULL, NULL);

        return 0;
}
--------------

Итак, данная программа выводит свой PID и передает безвозвратное управление программе cat без аргументов и без окружения. 


Проверяем:
$ gcc -o execve01 execve01.c
$ ./execve01
pid=30150

Программа вывела идентификатор процесса и замерла в смиренном ожидании. Откроем теперь другое терминальное окно и проверим, что же творится с нашим процессом:


$ ps -e | grep 30150
30150 pts/3    00:00:00 cat

Итак, мы убедились, что теперь процесс 30150 выполняет программа cat. 
Теперь можно вернуться в исходное окно и нажатием Ctrl+D завершить работу cat.

И, наконец, следующий пример демонстрирует запуск программы в отдельном процессе.

vim forkexec01.c
----------------
/* forkexec01.c */
#include 
#include 

extern char ** environ;

int main (void)
{
        char * echo_args[] = { "echo", "child", NULL };

        if (!fork ()) {
                execve ("/bin/echo", echo_args, environ);
                fprintf (stderr, "an error occured\n");
                return 1;
        }

        printf ("parent");
        return 0;
}
----------------

Проверяем:
$ gcc -o forkexec01 forkexec01.c
$ ./forkexec01
parent
child

Обратите внимание, что поскольку execve() не может возвращать ничего кроме -1, то для обработки возможной ошибки вовсе не обязательно создавать ветвление. 
Иными словами, если вызов execve() возвратил что-то, то это однозначно ошибка.

Таблица 1. Флаги общего режима

Таблица 2. Флаги расширенного режима

Таблица 3. Дополнительные флаги

Таблица 4. Флаги режима открытия файла

Первая лабораторная подготовка шлюза

!!! в лабораторной будет две виртуальной машины
!!! домен  d0.zor.inc
0. Информация о шлюзе
hostname: c0.d0.zor.inc
eth0 -> isp 10.0.0.23/24
eth1 -> lan 192.168.200.1/24

GW 10.0.0.1
DNS 192.168.200.1 (127.0.0.1)

1. Изменяем имена интерфейсов в файле /etc/udev/rules.d/70-persistent-net.rules 
1.1 Или можно создать свое правило
sudo nano /etc/udev/rules.d/1-user-network.rules
KERNEL=="enp0s3", ,ATTR{address}=="08:00:27:47:d2:4e", NAME="eth0"



2. Информация о клиенте
hostname: ubuntu
ip dhcp


3. редактируем hosts на шлюзе 
nano /etc/hosts
---------------
127.0.0.1       localhost
10.0.0.23       c0.d0.zor.inc c0
192.168.200.1   intgate
--------------

4. Удаляем resolv.conf на шлюзе, что-бы убить символическую ссылку на файл генерации
rm /etc/resolv.conf

5. Создаем файл resolv.conf на шлюзе
nano /etc/resolv.conf
---------------------
domain        d0.zor.inc
nameserver    10.0.0.1
---------------------

6. Редактируем файл interfaces на шлюзе
!!! Ubuntu в файле  ifupdown просит установить пакет ifupdown, для управления сетью
!!! sudo apt install ifupdown - устанавливаем пакет  ifupdown
!!! В ubuntu авто конфигурация сетевых интерфейсов демон netplan
!!! netplan apply - применить изменения
nano /etc/netplan/50-cloud-init.yaml - редактируем файл
------------------------------------
#network:
#    ethernets:
#        enp1s0:
#            dhcp4: true
#    version: 2

network: {config: disabled}
------------------------------------

nano  /etc/network/interfaces - редактируем файл interfaces
-----------------------------
auto lo
iface lo inet loopback

auto isp
iface isp inet static
      address 10.0.0.23
      netmask 255.255.255.0
      gateway 10.0.0.1
      dns-search CORP.NAME.local 
      dns-domain CORP.NAME.local
      dns-nameservers 192.168.15.1
      dns-nameservers 8.8.8.8

auto lan
iface lan inet static
      address 192.168.200.1
      netmask 255.255.255.0
-----------------------------

7. Перезагружаем шлюз
reboot

Памятка по файлу /etc/network/interfaces

auto lo
iface lo inet loopback

auto ens3
iface ens3 inet static
      address 10.0.0.216
      netmask 255.255.255.0
      gateway 10.0.0.1  
      dns-nameservers 8.8.8.8 8.8.4.4
      dns-search YOUR-DOME.pro

Установка программ из исходников на примере браузера links

http://links.twibright.com/user_en.html - главная страница links
http://links.twibright.com/download.php - страница загрузки

cd /tmp - переходим в каталог временных файлов
wget http://links.twibright.com/download/links-2.21.tar.gz - загружаем исходник src
tar -xf links-2.21.tar.gz - распаковываем
cd links-2.21  - переходим в каталог links-2.21
less README - читаем
less INSTALL - читаем 

./configure  - подготовка к сборке программы (создается файл Makefile)
./configure --help - посмотреть дополнительные опции для сборки
./configure --without-ipv6 - соберем без ipv6

CFLAGS="-march=native -pipe -O2" ./configure --without-ipv6 - соберем без ipv6, native - родной, для нашей архитектуры

apt install build-essential - пакет необходимый для сборки приложений в ubuntu ( make, gcc, cc и т.д.)

CFLAGS="-march=native -pipe -O2" ./configure --without-ipv6 --without-gpm - соберем без ipv6, без gpm, native - родной, для нашей архитектуры

make -j2 - компиляция и сборка программы
make install - установка программы

make clean - очистка подготовленных файлов для установки
make remove - удаление программы

hash -r - встроенная программа помогает сбросить хэш шела (помогает лечить проблему с путями к программам)

links ya.ru - открыть страницу ya.ru
links -dump ya.ru - links умеет делать дамп страницы 

Лабораторная вторая скрипты, программирование

!!! apt install fping
!!! for x in `seq 0 14`; do fping 10.0.0.$((200+$x)); done - пример с fping
!!! пробел в shell разделитель

!!! script - сценарий

При запуске программы проверяются условия:
- право на исполнение
- является ли файл бинарным исполняемым файлом
- если это текстовый файл, есть ли в первой строке путь к интерпретатору
При использовании bash первая строка
shell script должна быть такой:
#! /bin/bash


!!! Переменные в shell script:
- не типизированы
- область видимости переменных – весь код программы
- при обращении к неопределенной переменной не выдаются ошибки
Пример использования переменной:
PERM=value
echo $PERM
В shell все переменные строковые, string

name=vasya - задали переменной name значение vasya
echo $name - вывели на экран значение переменной name
env -  показывает значение переменных
env | grep name - показать значение переменной name (ха-ха - мы ее там не увидим, что-бы её увидеть нужно её экспортировать)
!!! shell дочерним процессам не передает переменные без экспорта
export name - экспортировать переменную name, теперь мы ее увидим в глобальных переменных
env | grep name - показать значение переменной name - вот теперь значение переменной name появилось после export
set | less - показать все переменные заданные shell

name=vasya
surname=loshkin
echo $name $surname
#fullname=$name $surname - так как пробел является разделителем, то shell задаст переменную fullname=$name, а $surname попытается выполнить как команду
!!! Еще есть особенность при такой записи fullname=$name $surname переменная выполняется и не изменяется, хороший пример с командой  date и переменной LANG ниже
date
LANG= date

fullname=$name\ $surname - экранируем пробел так как пробел  в шелл является спец символом -разделителем
echo $name $surname

fullname="$name $surname" - кавычки заставляют шелл не интерпретировать спец символ пробел
echo $name $surname

fullname='$name $surname' - апострофы(одинарные кавычки), заставляют шелл игнорировать все 
echo $name $surname

!!! обратные апострофы - выполнение команды
a=`date`
echo $a

a=`date;date;date`
echo $a


cmd=date
a=`cmd`
echo $a

!!! Три способа определения массивов:
MASS[0]=value
MASS=([0]=value1 [5]=value2)
MASS=(value1 value2)
Получение значения элемента массива:
${MASS[0]}
Получение значений всех элементов массива:
${MASS[*]} или ${MASS[@]}


!!! Подстановочные переменные
В подстановке используется то, что программа будет выводить на стандартный вывод.
Два варианта записи подстановки:
`program`
$(program)


!!! В shell script используется ограниченный набор арифметических операций: + - * / и круглые скобки.
Для подстановки значения арифметических выражений используется: $(( выражение ))
Если значение переменной, используемой в арифметическом выражении, не является целым числом, то её значение считается равным 0.
Значения могут быть только целочисленными, дробная часть отбрасывается
echo $((87/100 * 100000))
echo $((10 - 3))
echo $((48*50))
echo $((500/234))
echo $(((900+200*49-10000)/2))


!!! Условный оператор if
if условие
then
    список операторов
[else
     список операторов ]
[elif условие
            список операторов ]
fi

!!! Проверка условий при помощи программы test
test [опции] условия ...
Программа test предназначена для
проверки следующих типов условий:
- сравнение различных значений,
- проверка типов и наличия файлов,
- проверка логических условий


!!! Использование встроенных операторов && и ||
&& ― логическое И.
|| ― логическое ИЛИ.


!!! Оператор case
case строка in
шаблон)
список операторов
;;
[ шаблон)
список операторов
[;;] ]
esac
Оператор case поочередно сравнивает строку с шаблонами. 
Если шаблон совпадает, то выполняется группа операторов, находящихся между шаблоном и специальными символами ;;. 
После выполнения всех строк управление передается операторам, находящимся за ключевым словом esac.


!!! Оператор for
for переменная [ in список ]
do
  список операторов
done

При каждой итерации в операторе for, переменной присваивается следующее значение из списка и выполняются все операторы, находящиеся между do и done.
Оператор работает до тех пор, пока не будет обработан весь список или в теле цикла не встретится оператор break.

#!/bin/bash
# Пример for
for I in 1 2 3 4 5 6 7 8 9 10
do
   echo "--> $I <--"
done

!!! Оператор while
while условие
do
   набор операторов
done
В цикле while выполняются строки, расположенные между do и done, до тех пор, пока условие истинно или пока не встретится оператор break или exit.


s4 - пример скрипта пинговалики
-----------------------------
#!/bin/sh

#seq - генерирует числа от до
#fping - пингует хост

for x in `seq 1 254`
do
  #fping 10.10.104.$((200+$x))
  #fping -a -c1 192.168.15.$((0+$x))
  fping 192.168.15.$((0+$x))
done
------------------------------

s4 - показываем что не пингуется
------------------------------
#!/bin/sh

#seq - генерирует числа от до
#fping - пингует хост

for x in `seq 1 254`
do
  fping -q  192.168.15.$((0+$x)) 2> /dev/null
  if [ $? -ne 0 ]
  then
     echo ACHTUNG! ip 192.168.15.$x is  unreacheable.
  fi
done
------------------------------


!!! Оператор select
select переменная in список
do
   набор операторов
done


!!! Специальные переменные
$0 $1 ... $9 ― позиционные переменные.
$* и $@ ― все параметры командной строки.
$# ― количество параметров командной строки.
$? ― код возврата программы.
$! ― PID программы, запущенной в background режиме.
$$ ― PID процесса shell.
$? — код возврата последней выполненной программы.
$! — PID последней программы, запущенной в background режиме.
$$ — PID процесса shell, исполняющего данный shell script.

Пример использования специальных переменных:
------------------
#!/bin/sh
#$0 - имя программы как она была вызвана
#$$ - PID процесса скрипта
echo PID of $0: $$
------------------


!!! - Значения переменных живут в своих процессах (если только специально не переданы)
s1
------------------
#!/bin/sh
echo PID of $0: $$
a=1
echo a in $0: $a
./s2
echo a in $0: $a
-----------------

s2
-----------------
#!/bin/sh

echo PID of $0: $$
a=2
echo a in $0: $a
-----------------


s2
!!! если значение переменной не присвоено, то оно будет пустой строкой
-----------------
#!/bin/sh

echo PID of $0: $$
echo a in $0 \(before\): $a
a=2
echo a in $0 \(after\): $a
------------------


!!! экспорт переменных, если всё-таки требуется передать значение переменной
s1
------------------
#!/bin/sh
echo PID of $0: $$
export a=1 # экспортируем значение переменной
echo a in $0: $a
./s2
echo a in $0: $a
-----------------

!!! А если всё-таки переменную из s2 надо будет использовать в s1?
!!! Все просто нужно что бы скрипты s1 и s2 были одним процессом, для этого просто скрипт s2 запустим в процессе s1
s1
------------------
#!/bin/sh
echo PID of $0: $$
a=1 #экспорт нам не нужен, так как это будет один процесс
echo a in $0: $a
. ./s2 #вот таким не хитрым способом поставив точку
echo a in $0: $a
-----------------


!!! Использование $? - код возврата программы
---------------------
fping ya.ru - 
fping -q ya.ru
echo $?
0   - ноль все хорошо
fping -q ya.ry
echo $?
2 - все значения кроме нуля какая-то ошибка
---------------------


!!! Пример скрипта s6 читаем файл
echo 1 2 3 4 > hosts_to_check - создаем файл hosts_to_check с цифрами 1,2,3,4

s6
-------------------
#!/bin/sh
for x in `cat hosts_to_check`  # значения x берем из файла hosts_to_check
do
  fping -q  192.168.15.$((0+$x)) 2> /dev/null
  if [ $? -ne 0 ]  # если ответ fping не равен нулю то выводим следующие
  then
     echo ACHTUNG! ip 192.168.15.$x is  unreacheable.
  fi
done
---------------------

!!! Пример скрипта s7
!!! Если не указывать значение аргумента arg, то шелл будет брать значения аргумента командной строки
!!! Т.е. ./s7 без параметров шелл не выведет ничего, а если указать параметры ./s7 1 f 2 42
s7
--------
#!/bin/sh
for arg
do
     echo $arg
done
---------


s8
---------
#!/bin/sh
:>x1
for arg
do
     echo $arg  >> x1
done
sort -r x1
---------

Лабораторная третья, время, NTP, сервер NTPD

RTC - на плате вместе с BIOS, запитанные от батарейки, 
System Clock - unix epoch

UTC - всемирное координированное время - Coordinated Universal Time
GMT - Greenwich Mean Time - Среднее время по Гринвичу
UTC=GMT

NTP использует порт 123 UDP
В пакет входит следующее:
ntpq для запроса серверов NTP
ntpd поддерживает точность локальных часов и (опционально) обеспечивает клиентам службу NTP
ntptrace прослеживает цепь сервера NTP к исходному серверу
ntpdate — одноразовая программа обновления часов

Онлайн список общедоступных серверов NTP
http://support.ntp.org/bin/view/Servers/WebHome

apt instsall ntp - установим ntp
apt install ntpdate - установим пакет ntpdate
/etc/init.d/ntp stop - остановим демон ntp

date - показать время
date -s 16:00 - установить время 16:00

file /etc/localtime - файл временной зоны, обычно линкуют с правильным файлом из /usr/share/zoneinfo, по умолчанию  это /usr/share/zoneinfo/Etc/UTC
cp /usr/share/zoneinfo/Europe/Stockholm /etc/localtime - вот так можно сменить временную зону например на Stockholm
cp /usr/share/zoneinfo/Europe/Helsinki /etc/localtime - вот так можно сменить временную зону например на Helsinki
cp /usr/share/zoneinfo/Europe/London /etc/localtime - вот так можно сменить временную зону например на London 
cp /usr/share/zoneinfo/Europe/Moscow /etc/localtime - вот так можно сменить временную зону например на Moscow

ntpdate ru.pool.ntp.org - установим время используя пул ru.pool.ntp.org

Для автоматической синхронизации можно настроить планировщик crontab
crontab –e 
0 * * * * /usr/sbin/ntpdate [серверы NTP]
0 * * * * /usr/sbin/ntpdate ntpdate ru.pool.ntp.org



Сервер точного времени ntpd
GPS NMEA-0183

/etc/init.d/ntp start - запускаем демон ntp
pgrep -l ntp - убеждаемся что он запустился и работает 

nano /etc/ntp.conf - файл конфигурации
------------------
server ntp.ubuntu.com 
server time.nist.gov 
server europe.pool.ntp.org


Разрешение доступа из локальной сети:
По умолчанию ваш сервер NTP будет доступен всем хостам в Интернет. 
Параметр restrict в файле /etc/ntp.conf позволяет вам контролировать, какие машины могут обращаться к вашему серверу. 

Если вы хотите запретить всем машинам обращаться к вашему серверу NTP, добавьте следующую строку в файл /etc/ntp.conf: 
restrict default ignore 

Если вы хотите разрешить синхронизировать свои часы с вашим сервером только машинам в вашей сети, 
но запретить им настраивать сервер или быть равноправными участниками синхронизации времени, то вместо указанной добавьте строчку 
restrict 10.0.0.0 mask 255.0.0.0 nomodify notrap 

/etc/ntp.conf может содержать несколько директив restrict 
restrict 10.0.0.0 mask 255.0.0.0 noquery
------------------

Логи сервера: 
/var/log/ntpstats/ 

Проверка запросов: 
ntpq –p

Лабораторная четвертая, FTP, демон ftpd

!!! ftp порт 21
!!! ss -tpln | grep  ftp

FTP отличается от других приложений тем, что он использует два TCP соединения для передачи файла.

1.Управляющее соединение устанавливается как обычное соединение клиент-сервер. Сервер осуществляет пассивное открытие на заранее известный порт FTP (21) и ожидает запроса на соединение от клиента. 
Клиент осуществляет активное открытие на TCP порт 21, чтобы установить управляющее соединение. Управляющее соединение существует все время, пока клиент общается с сервером. 
Это соединение используется для передачи команд от клиента к серверу и для передачи откликов от сервера.

2.Соединение данных открывается каждый раз, когда осуществляется передача файла между клиентом и сервером. 
(Оно также открывается и в другие моменты, как мы увидим позже.) 
Тип сервиса IP для соединения данных должен быть "максимальная пропускная способность", так как это соединение используется для передачи файлов.


FTP-сервер поддерживает 2 режима передачи данных: ascii и binary, что определяется переданными ему командами.


Команды FTP
-----------
help получить список команд поддерживаемых ftp-сервером
ls или dir список файлов или директорий
pwd показать текущую директорию
cd перейти к указанной директории
mkdir создать директорию
rmdir удалить директорию, если она не пустая
[m]get получить файл[ы] с сервера
[m]put отправить файл[ы] на сервер
TYPE {binary | ascii} указать режим передачи данных
quit или exit завершить работу с сервером
-----------

apt-get install proftpd openssl ftp-ssl whois - установка, с этого момента proftpd установился и работает но без шифрования
ftp localhost - подключаема и проверяем работу proftpd

Проверяем работу
ftp IP_адрес
После подключения создаем на сервере директорию MyDir командой:
mkdir MyDir


Для использования TLS нам необходимо создать SSL сертификат в каталоге /etc/proftpd/ssl
mkdir /etc/proftpd/ssl - cоздаем каталог /etc/proftpd/ssl
openssl req -new -x509 -days 365 -nodes -out /etc/proftpd/ssl/proftpd.cert.pem -keyout  /etc/proftpd/ssl/proftpd.key.pem - генерируем SSL сертификат (на все вопросы просто прощелкаем Enter, так как сертификат само подписанный и проверять его некто не будет)

nano /etc/proftpd/proftpd.conf - редактируем строки в конфиге proftpd, убираем комментарии строк
------------------------------
DefaultRoot ~  #Изолировать пользователя в домашнем каталоге, найти убрать комментарий
IdentLookups off #найти убрать комментарий
Include /etc/proftpd/tls.conf #Включаем TLS, найти убрать комментарий
ServerIdent on "FTP Server ready." #Приветсвие сервера при подключении, добавляем в конец файла
------------------------------

cp /etc/proftpd/tls.conf /etc/proftpd/tls.conf.back - делаем копию файла /etc/proftpd/tls.conf
:> /etc/proftpd/tls.conf - уничтожаем содержимое файла /etc/proftpd/tls.conf

nano /etc/proftpd/tls.conf - редактируем файл /etc/proftpd/tls.conf
--------------------------
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
TLSOptions NoCertRequest
TLSRSACertificateFile /etc/proftpd/ssl/proftpd.cert.pem
TLSRSACertificateKeyFile /etc/proftpd/ssl/proftpd.key.pem
TLSVerifyClient off
TLSRequired on
--------------------------
Если у вас TLSRequired on, тогда только пользователи с включенным TLS получат доступ к вашему FTP серверу (могут возникнуть проблемы у пользователей использующих старые FTP клиенты не поддерживающие TLS). 
Для того чтобы все пользователи могли соединиться с FTP закомментируйте строку TLSRequired on, либо измените значение на Off

В случае возникновения проблем с TLS смотрите логи /var/log/proftpd/tls.log


Проверяем работу
ftp-ssl IP_адрес
После подключения создаем на сервере директорию MyDir командой:
mkdir MyDir

DNS

DNS to ip  - прямое преобразование
ip to DNS - обратное преобразование - PTR

ping -c1 ya.ru - прямое преобразование

RESOLVER DNS Library

/etc/hosts - специальный файл, прямое преобразование, обратное преобразование, DNS, resolver проверяет в первую очередь
/etc/resolv.conf - файл списка DNS серверов для resolver


!!! Например полное имя нашего хоста h1, DNS Suffix у нас class.inc
!!! FQDN - полное имя у нас будет h1.class.inc.
FQDN - полностью квалифицированного доменного имени.
Обратите внимание на точку в конце имени — это явное указание корневого домена.
Наиболее распространенная ошибка при создании файла описания зоны — это отсутствие точки в конце FQDN.

/etc/host.conf - специальный файл, задает поведения обращения к ресурсам в сети DNS (старый файл)
/etc/nsswitch.conf - (Name Service Switch) специальный файл, задает поведения обращения к ресурсам в сети (DNS, password, etc...)



Записи о ресурсах
Формат записи можно представить следующим образом:
[имя_компьютера|имя_домена] [ttl] [класс] тип параметры

Первое – это имя машины или домена. Что именно писать в этом поле, зависит от типа записи. 
Если это поле оставить пустым, то его значение берется из предыдущей записи.
Если вы не указываете первое поле, то в начале строки обязательно должен присутствовать либо символ пробела, либо табуляции.

Второе поле – время жизни записи в кэш DNS сервера. 
Значение поля устанавливается в секундах. 
Если поле не определено, его значение берется из значения по умолчанию для данной зоны.

Третье поле – класс сети. Можно использовать следующие классы сетей:
IN – Internet (значение по умолчанию)
CH – ChaosNet. В настоящее время не используется.
HS – Hesoid – информационная служба, являющаяся надстройкой пакета BIND. Используется крайне редко

Тип записи – это зарезервированное слово.
SOA Определение параметров зоны DNS. Обязательная запись
NS Определение DNS серверов, авторитетных для зоны. Делегирование полномочий под доменам. Обязательная запись.
А Преобразование имени в IP адрес
AAAA Преобразование имени в адрес IPv6
А6 Преобразование имени в адрес IPv6
PTR Преобразование IP адреса в имя
MX Применяется для указание почтового сервера, отвечающего за почту домена
KEY Открытый ключ шифрования для DNS имени
CNAME Дополнительное имя машины (псевдоним)
SRV Определение служб в пределах домена

Пример формата записи SOA:
unix.domenname.ru. IN SOA master.unix.domenname.ru. (
artur.unix.domenname.ru. ; e-mail
2008072501 ; серийный номер записи
18H ; время обновления
20M ; интервал между попытками
2W ; интервал устаревания
1D ) ; TTL


host 
host ya.ru 8.8.8.8
host -v ya.ru 8.8.8.8
host -t mx gmail.com
host -la ya.ru 8.8.8.8
nslookup 
dig

Сервер DNS — bind9

!!! Используются порты udp/tcp 53 и tcp 953
!!! ps auxwww | grep bind - проверяем от кого работает bind, должен работать от пользователя bind
!!! Low (Privileged) Ports < 1024 UID == 0 
!!! Privilege Drop
!!! id bind - проверяем UID пользователя

0. Устанавливаем Bind9
apt-get install bind9 - устанавливаем Bind9 
pgrep named - проверяем запуск демона named (он же bind9)

/etc/bind/named.conf - главный конфиг файл (в дистрибутивах debian в нем ссылки(include) на другие файлы)

1. Редактируем файл /etc/bind/named.conf.options

nano /etc/bind/named.conf.options - редактируем, убираем комментарии, комментируем не нужное
---------------------------------

forwarders {
                192.168.15.1; - внешний сервер DNS
        };

//dnssec-validation auto; - эту строку мы закомментируем (поставим //), в некоторых дистрибутивах  этот параметр работает не правильно

//dnssec-enable yes;  - были проблемы с bind после обновления, не резолвились внешние адреса, после добавления заработало
//dnssec-validation yes;  - были проблемы с bind после обновления, не резолвились внешние адреса, после добавления заработало

 listen-on-v6 { none; }; - отключаем прослушивания ipv6 DNS на интерфейсах (вместо any прописали none)

---------------------------------

/etc/init.d/bind9 restart - перезапускаем демон bind9

host ya.ru 127.0.0.1 - проверяем работу нашего DNS сервера (демона bind9)


2. Редактируем файл /etc/resolv.conf после успешной проверки
nano /etc/resolv.conf - редактируем
---------------------
domain        d0.zor.inc
nameserver    127.0.0.1   - меняем строку nameserver указав ip 127.0.0.1 вместо ip внешнего сервера
---------------------

3. Редактируем файл etc/bind/named.conf.local создаем свою зону DNS "d0.zor.inc"
Типы зон: зона master принадлежит нам, зона slave о своем существовании узнает от мастера, зона  hint для домена точки со списком корневых серверов,

nano /etc/bind/named.conf.local - редактируем файл
-------------------------------
zone "d0.zor.inc" {
      type master; - тип зоны
      file "/etc/bind/d0.zor.inc.zone"; - файл с описание хостов зоны

};
-------------------------------


!!! Всегда проверяйте изменения конфига с помощью named-checkconf
named-checkconf - проверка конфиг файлов (по умолчанию проверяет только синтаксис, например файла d9.zor.inc.zone еще нет, а проверка молчит )
named-checkconf -z - при использовании параметра "-z" производит проверку файлов которых не хватает. 

4. Редактируем файл описания нашей зоны d0.zor.inc.zone
nano /etc/bind/d0.zor.inc.zone - редактируем файл
------------------------------
$TTL    30
$ORIGIN d0.zor.inc.

@       SOA     c0      root    2021011300      1h      10m     1d      30
        NS      c0
        MX      10      c0

c0 A 192.168.200.1
c1 A 192.168.200.2
router A 10.0.0.1
printer A 192.168.15.10
internet A 10.0.0.23

------------------------------


named-checkconf -z - проверка конфигурации на ошибки


!!! Да для того что-бы настройки вступили в силу можно перезагрузить сервер, перезапустить демон,
!!! но это скорее не правильное действие, лучше использовать специальную программу rndc

!!! rndc - специальная программа для управления bind
!!! Внимание rndc reload - перечитать все конфигурационные файлы и файлы описания зон
rndc reconfig - перечитать конфигурационный файл и загрузить только новые зоны

Пример скрипта проверки хостов № 1

#! /bin/sh
while :
do
  clear
  for x in `seq 1 10`
  do
   /bin/echo -ne "$x:\t"
   host c$x.d0.zor.inc. 192.168.200.$((0 + $x)) | grep zor
   /bin/echo -ne "$x:\t"
   host c0x.d$.zor.inc. 192.168.200.$((0 + $x)) | grep zor
   done
   sleep 2
done

Пример скрипта проверки хостов № 2

#! /bin/sh
while :
do
   /bin/echo -ne "\t"
   host router.d0.zor.inc 192.168.200.1 | grep zor
   /bin/echo -ne "\t"
   host c0.d0.zor.inc 192.168.200.1 | grep zor
   /bin/echo -ne "\t"
   host c1.d0.zor.inc 192.168.200.1 | grep zor
   /bin/echo -ne "\t"
   host printer.d0.zor.inc 192.168.200.1 | grep zor
   /bin/echo -ne "\t"
   host internet.d0.zor.inc 192.168.200.1 | grep zor
   sleep 5
   clear
done

Пример скрипта проверки хостов № 3

#! /bin/sh
while :
do
    for x in `seq 1 5`
    do
    /bin/echo -ne "test $x:\t\n\t"
    host router.d0.zor.inc 192.168.200.1 | grep zor
    /bin/echo -ne "\t"
    host c0.d0.zor.inc 192.168.200.1 | grep zor
    /bin/echo -ne "\t"
    host c1.d0.zor.inc 192.168.200.1 | grep zor
    /bin/echo -ne "\t"
    host printer.d0.zor.inc 192.168.200.1 | grep zor
    /bin/echo -ne "\t"
    host internet.d0.zor.inc 192.168.200.1 | grep zor
    sleep 5
    clear
    done
done

Сервер DNS - bind9 - добавление slave зоны

1. Редактируем файл и добавим slave зону d1.zor.inc
nano /etc/bind/named.conf.local
-------------------------------
zone "d0.zor.inc" {
      type master;
      file "/etc/bind/d0.zor.inc.zone";

};

zone "d1.zor.inc" {
      type slave;
      master {10.0.0.27;};
      file "d1.zor.inc.zone"; # !!! Внимание: без этой строки кэша не будет, путь относительный, файл описания зоны, файл кэш с мастера на d0 искать тут /var/cache/bind/d1.zor.inc.zone

};
-------------------------------

2. Проверяем на ошибки 
named-checkconf - проверка конфигурации на ошибки

3. Применяем изменения 
rndc reconfig - перечитать конфигурационный файл и загрузить только новые зоны

4. Проверяем, c1 - ПК в домене d1.zor.inc.
host c1.d1.zor.inc.

Сервер DNS - bind9 - добавление зоны обратного преобразования (ptr запись)

!!! Домен in-addr.arpa
!!! .in-addr.arpa. - Это специальный домен, предназначенный для обратного преобразования.
!!! FQDN будет выглядеть следующим образом: 192.168.200.1.in-addr.arpa
!!! Все примеры, которые мы до сих пор рассматривали, относились к прямому преобразованию, когда имя машины преобразовывалось в IP адрес. 
!!! DNS сервера позволяют осуществлять и обратное преобразование — IP адрес в имя машины.
!!! 10.in-addr.arpa. 10/8 10.0.0/8  
!!! 10.10.in-addr.arpa. 10.10/16 10.10.0/16  
!!! 10.10.10.in-addr.arpa. 10.10.10/24 10.0.0.0/24

!!! у меня в  примере три сети 192.168.200/24, 192.168.15/24,  10.0.0/24 поэтому три файла
!!! Внимание на забывайте ставить точку в имени FQDN (c0.d0.zor.inc.) , ( 200.168.192.in-addr.arpa.)

0. Редактируем файл /etc/bind/named.conf.local, добавим ptr зону 10.0.0.in-addr.arpa
nano /etc/bind/named.conf.local
-------------------------------
zone "d0.zor.inc" {
      type master;
      file "/etc/bind/d0.zor.inc.zone";

};

zone "0.0.10.in-addr.arpa" {
      type master;
      file "/etc/bind/0.0.10.in-addr.arpa.zone";

};

zone "15.168.192.in-addr.arpa" {
      type master;
      file "/etc/bind/15.168.192.in-addr.arpa.zone";

};

zone "200.168.192.in-addr.arpa" {
      type master;
      file "/etc/bind/200.168.192.in-addr.arpa.zone";

};
-------------------------------


1. редактируем файл  /etc/bind/0.0.10.in-addr.arpa.zone
nano /etc/bind/0.0.10.in-addr.arpa.zone
----------------------------------
$TTL    30
$ORIGIN 0.0.10.in-addr.arpa.

@       SOA     c0.d0.zor.inc.  root.d0.zor.inc.        (
                2021011300      1h      10m     1d      30)
        NS      c0.d0.zor.inc.

23      PTR internet.d0.zor.inc.
1       PTR router.d0.zor.inc.

----------------------------------


2. редактируем файл  /etc/bind/200.168.192.in-addr.arpa.zone
nano /etc/bind/200.168.192.in-addr.arpa.zone
----------------------------------
$TTL    30
$ORIGIN 200.168.192.in-addr.arpa.

@       SOA     c0.d0.zor.inc.  root.d0.zor.inc.        (
                2021011300      1h      10m     1d      30)
        NS      c0.d0.zor.inc.

#$GENERATE 0-254 ${0} PTR c$.d0.zor.inc. - удали нафиг это пример
#$GENERATE 0-54 ${200} PTR c$.d0.zor.inc. - удали нафиг это пример

$GENERATE 0-5 ${1} PTR c$.d0.zor.inc.



----------------------------------

3. редактируем файл  /etc/bind/15.168.192.in-addr.arpa.zone
nano /etc/bind/15.168.192.in-addr.arpa.zone
----------------------------------
$TTL    30
$ORIGIN 15.168.192.in-addr.arpa.

@       SOA     c0.d0.zor.inc.  root.d0.zor.inc.        (
                2021011300      1h      10m     1d      30)
        NS      c0.d0.zor.inc.

10      PTR printer.d0.zor.inc.

----------------------------------

4. Применяем изменения 
named-checkconf -z - проверяем конфиг файлы bind

Если с конфигурационными файлами все в порядке, применяем изменения с помощью rndc
rndc reconfig - перечитать конфигурационный файл и загрузить только новые зоны
!!! Внимание rndc reload - перечитать все конфигурационные файлы и файлы описания зон
rndc reload 15.168.192.in-addr.arpa. - перезапустить зону 15.168.192.in-addr.arpa.

5. Проверяем
host 192.168.15.1
host 192.168.200.1
host 192.168.200.2
host 10.0.0.1
host 10.0.0.23

Если все хорошо, в ответ мы получим ИП_АДРЕС.in-addr.arpa domain name pointer ИМЯ.d0.zor.inc.

bind очистка кэша:

rndc dumpdb -all  - сохранить кэш в файл named_dump.db  (обычно тут /var/bind/named_dump.db)

rndc flushname mx.example.ru. - удаляем mx.example.ru из кэша

rndc flush - очистить кэш

Пример:
rndc flushname mx.example.ru. - удаляем mx.example.ru из кэша
rm /var/bind/named_dump.db - удаляем дамп кэша DNS
rndc dumpdb -all - сохраняем дамп кэша DNS
grep mx.example.ru /var/bind/named_dump.db - проверяем если запись

DHCP

!!! порты UDP, сервер 67, клиент 68
!!! ipv4 - DHCP - определена в RFC 2131
!!! ipv6 - DHCPv6 и определена в RFC 3315
Передача данных производится при помощи протокола UDP, при этом сервер принимает сообщения от клиентов на порт 67 и отправляет сообщения клиентам на порт 68.

Запрос IP клиентом DHCPDISCOVER:
Он отправляет сообщение типа DHCPDISCOVER, при этом в качестве IP-адреса источника указывается 0.0.0.0 (так как компьютер ещё не имеет собственного IP-адреса), а в качестве адреса назначения — широковещательный адрес 255.255.255.255.
В сообщении клиент заполняет несколько полей начальными значениями:
уникальный идентификатор транзакции, который позволяет отличать данный процесс получения IP-адреса от других, протекающих в то же время;
аппаратный адрес (MAC-адрес) клиента;
последний известный клиенту IP-адрес, а в данном примере это 192.168.1.100;
Это необязательно и может быть проигнорировано сервером.

Сервер DHCP предлагает IP адрес клиенту DHCPOFFER:
Это сообщение DHCP-сервер рассылает широковещательно. 
Клиент может получить несколько различных предложений DHCP от разных серверов; из них он должен выбрать то, которое его «устраивает».

Клиент выбирает конфигурацию предложенную DHCP-серверами DHCPREQUEST:
Выбрав одну из конфигураций, предложенных DHCP-серверами, клиент отправляет запрос DHCP (DHCPREQUEST). 
Он рассылается широковещательно; при этом к опциям, указанным клиентом в сообщении DHCPDISCOVER, добавляется специальная опция 
— идентификатор сервера — указывающая адрес DHCP-сервера, выбранного клиентом.

Подтверждение DHCP
Сервер подтверждает запрос и направляет это подтверждение (DHCPACK) клиенту. 
После этого клиент должен настроить свой сетевой интерфейс, используя предоставленные опции.

DHCP установка сервера (isc-dhcp-server)

apt-cache -n search dhcp - ищем пакет с именем (параметр -n) dhcp 
apt-cache search -n dhcp - ищем пакет с именем (параметр -n) dhcp 
apt-cache search -n dhcp | grep server  - ищем пакет с именем (параметр -n) dhcp 

apt install isc-dhcp-server - устанавливаем DHCP сервер

DHCP настройка сервера (isc-dhcp-server)

0. редактируем файл /etc/default/isc-dhcp-server
nano /etc/default/isc-dhcp-server
---------------------------------
INTERFACESv4="lan"
---------------------------------

1. Перейдем в каталог /etc/dhcp 
cd /etc/dhcp

тут два файла 
dhclient.conf - настройки dhcp клиента 
dhcpd.conf - настройки сервера


1. редактируем файл /etc/dhcp/dhcpd.conf
> dhcpd.conf - очистим файл
nano dhcpd.conf - редактируем файл
---------------
# Глобальные настройки
option domain-name "d0.zor.inc"; # наша зона DNS
option domain-name-servers 192.168.200.1;  # наш  DNS сервер
option routers 192.168.200.1; # Маршрут по умолчанию

default-lease-time 600; # время аренды ip десять минут
max-lease-time 86400; # время ожидания доступности dhcp сервера один день (через день клиент получит адрес APIPA 169.$

ddns-update-style none; # отключаем отправку нашему dns серверу о новых клиентах
authoritative; # говорим всем что самый главный dhcp сервер (у клиента не будет задержи при получения ip)

# Настройки для сети 192.168.200.0/24
subnet 192.168.200.0 netmask 255.255.255.0 {
#option netbios-name-servers 192.168.200.1; # в 2021 году net-bios зачем?, можно удалить
#option domain-name-servers 192.168.200.1; # можно удалить, указали в глобальных настройках
#option domain-name "d0.zor.inc"; # можно удалить, указали в глобальных настройках
#option routers 192.168.200.1; # можно указать в глобальных настройках, тем более если сеть одна.
#option broadcast-address 192.168.200.255; # можно удалить
range 192.168.200.50 192.168.200.250;
}
---------------

2. Итоговый файл /etc/dhcp/dhcpd.conf
nano dhcpd.conf - редактируем файл
---------------
option domain-name "d0.zor.inc";
option domain-name-servers 192.168.200.1;
option routers 192.168.200.1;

default-lease-time 600;
max-lease-time 86400;

ddns-update-style none;
authoritative;

subnet 192.168.200.0 netmask 255.255.255.0 {
       range 192.168.200.50 192.168.200.250;
}

---------------

3. Проверяем конфиги dhcp сервера
dhcpd -t - команда проверки конфигов dchp сервера 

4. если все хорошо то перезапускаем dhcp сервер
/etc/init.d/isc-dhcp-server restart - перезапускаем dhcp сервер 

Включение IP Forward

!!! По умолчанию ip forward выключен
!!! Если forward выключен то не будет работать маршрутизация между интерфейсами
cat /proc/sys/net/ipv4/ip_forward - проверяем текущие состояние ip_forward

echo 1 > /proc/sys/net/ipv4/ip_forward - так мы можем включить IP forward

!!! Для постоянного включения необходимо отредактировать файл  /etc/sysctl.conf, найти строку net.ipv4.ip_forward=1 и убрать комментарий с неё
nano /etc/sysctl.conf
---------------------
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1
---------------------
sysctl -p  - выполняем для применения изменений без перезагрузки 
sysctl -f  - выполняем для применения изменений без перезагрузки 

NAT

!!! В организация NAT не должно быть в принципе. Доступ к интернету должен осуществляется через proxy сервер
!!! eth0 = isp


NAT:
iptables -t nat -A POSTROUTING -o isp -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
 
forward port:
iptables -t nat -A PREROUTING -p tcp -d 192.168.3.124 --dport 3389 -j DNAT --to 10.70.70.105:3389
iptables -t nat -A PREROUTING -p tcp -d 192.168.3.124 --dport 5090 -j DNAT --to 10.70.70.101:5090

DHCP настроим имя для хоста + IP address

Bind дополнительные настройки
directory 
Определяет директорию, в которой сервер BIND будет искать файлы описания зон и создавать различные
дополнительные файлы. Обычно этот параметр ссылается на директорию /var/named.
Пример:
directory «/var/named»

notify yes|no 
Если параметр notify равен yes, то при изменении описания зоны будут посланы уведомления всем slave DNS серверам. 
Значение по умолчанию — yes.
Пример:
notify no

also-notify address 
При помощи этого параметра определяются DNS сервера, которые необходимо уведомить при изменении зоны.
Slave DNS сервера в этом списке указывать не надо.
Значение по умолчанию не определено.
Пример:
also-notify { 193.12.20.1; 193.12.38.200; };

recursion yes|no 
Параметр определяет, будет ли сервер BIND рекурсивным сервером. 
Значение по умолчанию — yes.
Пример:
recursion yes

allow-recursion address 
Этот параметр определяет адреса машин или сетей, для которых сервер BIND будет выступать в роли рекурсивного сервера. 
Значение по умолчанию неопределенно.
Пример:
allow-recursion { 193.12.13.240; 194.12.34/24; };

listen-on port порт list 
Параметр позволяет определить, на каком интерфейсе и порту будет слушать запросы сервер. 
Значение по умолчанию: все интерфейсы, порт 53.
Пример:
listen-on { 5.6.7.8; };
listen-on port 1234 { ! 1.2.3.4; 1.2/16; };

allow-query адреса 
Параметр определяет, с каких адресов можно посылать запросы нашему серверу. 
Значение по умолчанию:
разрешены все адреса.
Пример:
allow-query { 1.2.3.4; 10.10.100/24; };

allow-transfer адреса 
Параметр определяет, на какие сервера разрешены зонные пересылки. 
Значение по умолчанию: пересылки разрешены всем серверам.
Пример:
allow-transfer { 1.2.3.4; 10.10.100/24; };

blackhole адреса 
Параметр определяет адреса серверов, запросы от которых будут всегда игнорироваться. 
Сервер не будет посылать им свои запросы. 
Значение по умолчанию: список не определен.
Пример:
blackhole { 1.2.3.4; 2.3.4.5; };


Электронная почта 
# https://help.ubuntu.ru/wiki/postfix - подробное руководство
# https://help.ubuntu.com/community/PostfixCompleteVirtualMailSystemHowto - подробное руководство


apt-get install postfix dovecot-imapd dovecot-pop3d - установка
dpkg-reconfigure postfix - пере конфигурация 

Выбираем следующие:
internet-site - настройки
c0.d0.zor.inc -  имя FQDN  почтового сервера 

Пользовательский агент (ПА)
Транспортный агент (ТА)
Агент подачи почты (АП)
Агент доставки почты (АДП)
Агент доступа (АД)

Для работы почты требуется MX запись
Для борьбы со спамом SPF-запись, PTR-запись

!!! OPEN RELAY - режим работы сервера, пересылка почты, передаст, грозит попаданием в черные списки как спамер, практически единственная возможность выбраться смена внешнего IP адреса

!!! Старые клиенты
pine
alpine
pico


/etc/postfix/main.cf - файл конфигурации postfix
/etc/dovecot/dovecot.conf - файл конфигурации dovecot



Пример отправки почты (SMTP):
0. Используем программу netcat(nc), подключаемся к почтовому серверу c0, порт 25
nc c0 25

сервер нам ответил что все ок, и ждет дальнейших указаний
220 c0.d0.zor.inc ESMTP Postfix (Ubuntu)

1. Приветствуем  почтовый сервер
helo localhost

Получаем ответ
250 c0.d0.zor.inc

2. Представляемся кто мы
mail from: 

Сервер отвечает
250 2.1.0 Ok

3. Сообщаем серверу что хотим отправить student@localhost сообщение
rcpt to: 

Почтовый сервер разрешает отправку
250 2.1.5 Ok

4. Запрашиваем передачу данных
data

Почтовый сервер разрешает передачу и просит в конце  письма указать строку с одной точкой
354 End data with .

5. Пишем письмо
hello student!
bye-bye
.

Почтовый сервер сообщает что письмо получено и ИД у письма A6E68A11B7
250 2.0.0 Ok: queued as A6E68A11B7

6. Отключаемся от почтового сервера
quit

Почтовый сервер прощается
221 2.0.0 Bye

7. По умолчание письмо будет положено в файл /var/mail/student
/var/mail - каталог почты пользователей
cat /var/mail/student - проверяем содержимое файла 

8. Лог получения письма
/var/log/ - каталог с логами 
grep A6E68A11B7 /var/log/mail.log - смотрим лог получения письма, A6E68A11B7 - ID письма
---------------------------------
Jan 27 07:06:38 c0 postfix/smtpd[10135]: A6E68A11B7: client=c0.d0.zor.inc[10.0.0.23]
Jan 27 07:07:18 c0 postfix/cleanup[10296]: A6E68A11B7: message-id=<20210127070638.A6E68A11B7@c0.d0.zor.inc>
Jan 27 07:07:18 c0 postfix/qmgr[5913]: A6E68A11B7: from=, size=328, nrcpt=1 (queue active)
Jan 27 07:07:18 c0 postfix/local[10297]: A6E68A11B7: to=, relay=local, delay=121, delays=121/0.01/0/0.01, dsn=2.0.0, status=sent (delivered to mailbox)
Jan 27 07:07:18 c0 postfix/qmgr[5913]: A6E68A11B7: removed
---------------------------------


Протоколы получения  / хранения почты клиентом (АД):
POP3 - Клиент (ПА) подключается к серверу,  получает почту на ПК (загружаем ее с сервера)
IMAP - Клиент (ПА) подключается к серверу, почта хранится на сервере, клиент (ПА) её просматривает. 

MBOX - формат хранения почты по умолчанию (самый простой), вся почта сыпется в один файл, разделить пробел и строчка from, используется с POP3 (демон popa3d, dovecot-pop3d), не подходит для IMAP

MailDir - формат хранения почты в виде иерархии каталогов и файлов, подходит для IPMAP и POP3 (пакеты dovecot-imapd и dovecot-pop3d)


https://postfix.ru - рецепты готовки почтового сервера на все случаи жизни

Настройка postfix / виртуальные хосты
0. Редактируем файл /etc/postfix/main.cf
nano /etc/postfix/main.cf
-------------------------
smtpd_banner = $myhostname ESMTP $mail_name
biff = no
append_dot_mydomain = no
myhostname = localhost
home_mailbox = Maildir/
virtual_mailbox_domains = /etc/postfix/vhosts
virtual_mailbox_base = /home/vmail
virtual_mailbox_maps = hash:/etc/postfix/vmaps
virtual_minimum_uid = 1000
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
mynetworks = 127.0.0.0/8 192.168.0.0/24
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
-------------------------

!!! /etc/init.d/postfix restart - перезапустим postfix для применения настроек

1. Создадим пользователя  и группу vmail для наших будущих виртуальных ящиков
groupadd -g 5000 vmail - создаем группу vmail с GUID равный 5000
useradd -m -u 5000 -g vmail -s /bin/bash vmail - создаем пользователя vmail, UID 5000, добавляем его в группу vmail, шелл указываем ему bash


2. Создадим файлы vhosts и vmaps в каталоге /etc/postfix
cd /etc/postfix - перешли в каталог /etc/postfix
touch vhosts vmaps - создали файлы vhosts vmaps

3. Добавим записи в файл /etc/postfix/vhosts
!!! vhosts это файл наших доменов которые мы обслуживаем
cd /etc/postfix - перешли в каталог /etc/postfix
echo b14esh.com >> vhosts
echo d0.zor.inc >> vhosts

4. Добавим записи в файл /etc/postfix/vmaps
!!! vmaps - это файл указывающий на место расположения виртуальных почтовых адресов
nano /etc/postfix/vmaps
-----------------------
zaec@b14esh.com b14esh.com/zaec/
yo@d0.zor.inc d0.zor.inc/yo/ 
-----------------------

5. Конвертируем файл /etc/postfix/vmaps в хэш файл
!!! ОБЕЗАТЕЛЬНО
postmap /etc/postfix/vmaps

6. Проверка, пошлем письмо командой mail
# Используя любой почтовый клиент, например mutt, ну или mail, отправим письмо

mutt zaec@b14esh.com 
mutt yo@d0.zor.inc

В каталоге /home/vmail/ должны появится каталоги с доменами.
Новые тестовые письма упадут в каталог new.

tree
.
├── b14esh.com
│   └── zaec
│       ├── cur
│       ├── new
│       │   └── 1612244173.Vfc02Ie29eaM119102.c0
│       └── tmp
└── d0.zor.inc
    └── yo
        ├── cur
        ├── new
        │   └── 1612244308.Vfc02Ie29f0M317344.c0
        └── tmp


Содержимое писем можно посмотреть так:
cat /home/vmail/b14esh.com/zaec/new/1612244173.Vfc02Ie29eaM119102.c0
cat /home/vmail/d0.zor.inc/yo/new/1612244308.Vfc02Ie29f0M317344.c0


Настройка dovecot 
0. Редактируем файл /etc/dovecot/dovecot.conf 
nano /etc/dovecot/dovecot.conf
------------------------------
#base_dir = /var/run/dovecot
#listen = *, :: #enable ipv6
listen = *
protocols = imap pop3
disable_plaintext_auth = no
shutdown_clients = yes
log_path = /var/log/dovecot
info_log_path = /var/log/dovecot.info
log_timestamp = "%Y-%m-%d %H:%M:%S "
ssl_disable = yes
login_dir = /var/run/dovecot/login
login_chroot = yes
login_user = dovecot
login_greeting = Dovecot ready.
mail_location = maildir:/home/vmail/%d/%n
mmap_disable = no
valid_chroot_dirs = /var/spool/vmail

protocol imap {
login_executable = /usr/lib/dovecot/imap-login
mail_executable = /usr/lib/dovecot/imap
}

protocol pop3 {
login_executable = /usr/lib/dovecot/pop3-login
mail_executable = /usr/lib/dovecot/pop3
pop3_uidl_format = %08Xu%08Xv
}

#auth_executable = /usr/lib/dovecot/dovecot-auth
auth_verbose = yes

auth default {
mechanisms = plain digest-md5

passdb passwd-file {
args = /etc/dovecot/passwd
}

userdb passwd-file {
args = /etc/dovecot/users
}
user = root
}

------------------------------
1. Перезапускаем демон dovecot
/etc/init.d/dovecot restart


Создадим скрипты создания пользователей для dovecot, скрипты adddovecotuser и mkdovecotpasswd

0. adddovecotuser
nano adddovecotuser
-------------------
echo "$1" > /tmp/user
user=`cat /tmp/user | cut -f1 -d "@"`
domain=`cat /tmp/user | cut -f2 -d "@"`
echo "$user@$domain::5000:5000::/home/vmail/$domain/:/bin/false" >> /etc/dovecot/users
/usr/bin/maildirmake.dovecot /home/vmail/$domain/$user 5000:5000
echo $1 $domain/$user/ >> /etc/postfix/vmaps
postmap /etc/postfix/vmaps
postfix reload
-------------------

1. mkdovecotpasswd
nano mkdovecotpasswd
--------------------
mkpasswd --hash=md5 $2 > /tmp/hash
echo "$1:`cat /tmp/hash`" >> /etc/dovecot/passwd

--------------------

2. Скопируем их в папку /usr/local/sbin/
cp adddovecotuser mkdovecotpasswd /usr/local/sbin/

3. Добавляем бит исполнения для adddovecotuser и mkdovecotpasswd
chmod u+x /usr/local/sbin/adddovecotuser
chmod u+x /usr/local/sbin/mkdovecotpasswd


Создание учетных записей для devcot используя скрипты  adddovecotuser и mkdovecotpasswd 
0. используем скрипты adddovecotuser
adddovecotuser user_name - создает пользователя user_name и mkdovecotpasswd 
mkdovecotpasswd user_name password123 - задает пользователю user_name с паролям password123

adddovecotuser zaec@b14esh.com 
mkdovecotpasswd zaec@b14esh.com  pass1

adddovecotuser yo@d0.zor.inc
mkdovecotpasswd yo@d0.zor.inc pass2

1. Защитите файл пароля:
chmod 640 /etc/dovecot/passwd

2. Перезапустим dovecot и  postfix
/etc/init.d/postfix restart
/etc/init.d/dovecot restart


Тестирование почты \ проверка приема и отправки 
0. Используем программу nc, тестируем на самом сервере
nc localhost 25 - подключаемся к серверу
---------------
220 localhost ESMTP Postfix - ответ сервера
helo localhost - представляемся
250 localhost - ответ сервера
mail from:  - пишем письмо от пользователю root@localhost
250 2.1.0 Ok - ответ сервера
rcpt to: - пишем письмо пользователю zaec@b14esh.com
250 2.1.5 Ok - ответ сервера
data - начинаем передачу данных
354 End data with . - ответ сервера, в конце данных просит указать пустую строку с точкой
helo helolllo 1234 !!!! - наши данные
.
250 2.0.0 Ok: queued as EEAE8A0F90 - ответ сервера, письмо принято в очереди у него ID: EEAE8A0F90
quit - отключаемся от сервера
221 2.0.0 Bye - ответ сервера, сервер с нами прощается
----------------

1. Проверка работы dovecot
ss -tpln | grep dovecot
pgrep dovecot
lsof -i tcp:143
lsof -i tcp:110
tail /var/log/dovecot
tail /var/log/dovecot.info

2. Перезапуск
/etc/init.d/dovecot restart

3. Проверяем pop3
nc localhost 110 - подключаемся для проверки
-----------------
+OK Dovecot ready.
user ggg@b14esh.com
+OK
pass pass1
+OK Logged in.
list
+OK 1 messages:
1 389
.
retr 1
+OK 389 octets
Return-Path: 
X-Original-To: ggg@b14esh.com
Delivered-To: ggg@b14esh.com
Received: from localhost (localhost [127.0.0.1])
        by localhost (Postfix) with SMTP id CBDCAA06A4
        for ; Tue,  9 Feb 2021 11:17:20 +0000 (UTC)
Message-Id: <20210209111738.CBDCAA06A4@localhost>
Date: Tue,  9 Feb 2021 11:17:20 +0000 (UTC)
From: zaza@rrrru.ru

 helo men!!!123
.
dele 1
+OK Marked to be deleted.
quit
+OK Logging out, messages deleted.
-----------------


Частичная расшифровки конфига /etc/posfix/main.cf 
smtpd_banner = Microsoft(R) Exchange(TM) 2017 Platinum Edition # как наш сервер представляется
biff = no #извещение что письмо пришло
append_dot_mydomain = no # авто дополнение имени домена для пользователя
myhostname = localhost
home_mailbox = Maildir/ # для пользователи у которого почта не virtual_mailbox, будет хранится в домашнем каталоге
virtual_mailbox_domains = /etc/postfix/vhosts # для каких доменов мы принимаем почту
virtual_mailbox_base = /home/vmail
virtual_mailbox_maps = hash:/etc/postfix/vmaps # карта где мы храним почту, создается файл vmaps.db, после изменения необходимо выполнять postmap vmaps.
virtual_minimum_uid = 1000
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
mynetworks = 127.0.0.0/8 192.168.15.0/24 10.0.0.0/24 192.168.200.0/24 # разрешенные сети
mailbox_size_limit = 0 # ограничение размера ящика
recipient_delimiter = +
inet_interfaces = all # интерфейсы которые мы слушаем
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

Перечитать alias, vmaps 
postmap vmaps

postalias /etc/aliases
newaliases

Почтовые псевдонимы \ алиасы \ alias 
0. По умолчанию /etc/aliases
cat /etc/aliase
---------------
# See man 5 aliases for format
postmaster:    root
--------------

1. Пример использования  /etc/aliase
cat /etc/aliase
---------------
# See man 5 aliases for format
postmaster:    root #Почта для postmaster пересылается root
root:          vasya,petya # почта для root пересылается vasya и petya
vasya:         vasya,petya # почта для vasya  приходит vasya и пересылается petya
tolya:         /home/tolya/mbox,petya,vasya@yandex.ru,|/usr/local/bin/messenger # почта для tolya кладется в файл mbox, пересылается petya и на внешнею почту vasya@yandex.ru, далее передать на программу "|/usr/local/bin/messenger"
--------------
!!! Обычно все ТА при использовании alias не будут пересылать одно и тоже письмо несколько раз.



Почтовый антивирус \ clamav
0. Ознакомимся с инструкцией
ищем в google >  site:ubuntu.com postfix clamav
https://help.ubuntu.com/community/PostfixVirtualMailBoxClamSmtpHowto

1. Ставим пакет clamsmtp
apt-get install clamsmtp

2. Запускаем обновление freshclam
!!! в последних версиях ubuntu freshclam запускается сам после установки
freshclam - запуск обновления базы данных 

!!! Антивирусная защита работает следующим образом, postfix отдает письма на проверку  clamsmtp, письмо проверяется, 
clamsmtp в случае вируса сообщает о вирусе postfix, postfix такое письмо удаляет у пользователя.

Proxy и NAT 
Сосед попросил вас позвонить в газовую службу. 
Вы - прокси для соседа.

Несколько соседей попросили позвонить вас в газовую службу. 
Вы позвонили по первой просьбе, а на другие ответили, что уже звонили. 
Вы - кеширующая прокси для соседей.

Сосед взял ваш телефон и позвонил в газовую службу с вашего номера. 
Вы - NAT для соседа.

А прозрачный прокси?
Сосед думает, что звонит в газовую службу, но вы обрезали его телефонную линию, 
с коммутировали на своём телефоне и притворяетесь работником газовой службы.

Прокси сервер \ SQUID
!!! [c] <=========> [p] <--------->[s]
!!! [browser] <=====HTTP====> [webserver]
!!! [request] header, body - запрос клиента
!!! [response] header, body - ответ сервера


nc ya.ru 80
-----------
HEAD / HTTP/1.0

-----------

MIME base64 - картинки
ASCII

apt-get install squid - установим squid, прокси сервер
apt-get install apache2 - установим apache2, веб сервер

lsof -i tcp:3128
lsof -i tcp:80
lsof -i tcp:443

!!! ВНИМАНИЕ PROXY SERVER SQUID в Ubuntu будет по умолчанию запущен на всех интерфейсах


squid -k c - проверяем конфиг (squid должен работать)
squid -k p - проверяем конфиг (возможен запуск проверки при остановленном squid)
squid -k r - проверяем конфиг и применяем изменения

/etc/squid/squid.conf - конфигурационный файл squid

nano /etc/squid/squid.conf - конфигурируем
-------------------------- 
#http_port 3128 - находим и изменяем, светим на всех интерфейсах
http_port 192.168.200.1:3128 localhost:3128

# !!! Ищем эту строку: 
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
# после нее создаем правила http_access
# далее подымаемся вверх pageup(несколько раз) и создаем правила acl 

# ACL - описание условия
# acl aclname acltype "/file/file"
# acl aclname acltype string
# acl localnet src XXX.XXX.XXX.XXX - убираем \ комментируем лишние сети (группа localnet)
acl myhost src 192.168.200.1 - добавляем хост с которого можно на прокси (группа myhost)
acl mynet src 192.168.200.0/24 - добавляем нашу сеть с именем mynet (группа mynet)
acl wt time 10:00-17:00 - задаем время в которое можно выходить в интернет (группа wt)
acl rambler dstdomain .rambler.ru (группа rambler)


# http_access - директива, которая разрешает или запрещает выполнение условия
# !!! Правила терминирующие выполняются сверху вниз
# комментируем не нужную сети \ или удаляем
http_access allow myhost - разрешаем доступ в интернет через прокси группе myhost
http_access deny rambler - запрещаем доступ в интернет через прокси группе rambler
http_access allow mynet wt - разрешаем доступ в интернет через прокси группе mynet 
# And finally deny all other access to this proxy
# !!! обязательное правило
http_access deny all - запрещаем остальные обращения через прокси 
---------------------------

squid -k c - проверяем конфиг
squid -k r - применяем изменения

!!! Проверяем
links -http-proxy localhost -dump ya.ru  (для проверки с localhost параметр "http_port" в конфиге должен быть таким "http_port 3128", что бы squid слушал все интерфейсы)


Squid настройка аутентификации
!!! /etc/squid/squid.conf - конфигурационный файл squid


auth_param схема параметр [опции]
!!! Прокси-сервер squid позволяет осуществлять аутентификацию пользователей, причем сам squid не проверяет правильность аутентификации, он только запрашивает логин и пароль у пользователя. 
!!! Для проверки полученной от пользователя информации он использует сторонние программы, которые будут ее осуществлять.
!!! Параметр «схема» определяет схему аутентификации: ntlm, digest или basic.
!!! После включения или выключения поддержки новой схемы proxy сервер рекомендуется остановить и запустить.

!!! Простой варианта basic аутентификации с использованием программы ncsa_auth
!!! Для работы программы ncsa_auth необходимо создать файл с перечислением пользователей и их паролей.
!!! Файл /etc/squid/passwd следует создавать и редактировать при помощи программы htpasswd(Эта программа поставляется с WEB сервером Apache)

!!! Создаем пользователей
htpasswd -c /etc/squid/passwd user - добавляем пользователя user (опцию -с следует указывать, только если файл /etc/squid/passwd еще не существует)

Пример включения авторизации:
-------
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl passwd proxy_auth REQUIRED
acl any_auth proxy_auth anna bell thom
-------

!!! dpkg -L squid | grep ncsa_auth - команда поможет найти как теперь называется пакет ncsa_auth, и мы увидим что в ubuntu20.+ он лежит "/usr/lib/squid/basic_ncsa_auth"

Разрешим заходить на "ya.ru" только по паролю. Редактируем  файл /etc/squid/squid.conf
nano /etc/squid/squid.conf
--------------------------
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl passwd proxy_auth REQUIRED
acl ya dstdomain .ya.ru .yandex.ru
acl myhost src 192.168.200.1
acl mynet src 192.168.200.0/24
acl wt time 10:00-17:00
acl rambler dstdomain .rambler.ru


http_access allow ya passwd
http_access deny ya
http_access allow localhost
http_access allow myhost
http_access deny rambler
http_access allow mynet wt
http_access deny all 

---------------------------

Проверка:
links -http-proxy localhost ya.ru  (для проверки с localhost параметр "http_port" в конфиге должен быть таким "http_port 3128", что бы squid слушал все интерфейсы)

/etc/init.d/squid force-reload

SQUID ограничение ширины канала

delay_pools
delay_class
delay_parameters
delay_access

В первую очередь при помощи параметра delay_pools определяется количество емкостей. 
Например, чтобы определить две емкости, необходимо написать так:
delay_pools 2

Ёмкости бывают трех классов:
Первого класса, предназначены для ограничения трафика всем acl, подключенным к емкости.
Второго класса, определяют ограничения для сети класса С и отдельно для каждого acl.
Третьего класса, определяют ограничения для сети класса В, затем отдельные ограничения для подсетей класса С и еще одно ограничение для каждого пользователя.
Для определения, к какому классу принадлежит емкость, используют параметр delay_class.
Первое число определяет номер емкости, второе — ее класс.
delay_class 1 1
delay_class 2 1

После определения количества и класса емкостей, необходимо задать параметры ограничения.
Количество опций параметра delay_parameters зависит от класса емкости:
Первого класса — один параметр.
Второго класса — два параметра.
Третьего класса — три параметра.
Если вместо 800/64000 написать 800/800 — общая скорость скачивания будет 800 бит в секунду.
Число -1 означает, что нет никаких ограничений.
Например, необходимо ограничить скорость скачивания для объектов размером от 64 Килобайт до 800 бит в секунду. 
Следует использовать следующую пару значений: 800/64000.
В случае определения ограничения для емкости первого класса
delay_parameters 1 800/64000
Если определяются параметры для емкости 2-го класса, указываются две пары значений: для сети и для каждой машины.
delay_parameters 1 64000/64000 4000/4000

Например, нам необходимо ограничить скорость скачивания мультимедийных файлов до 400 Килобит в секунду.
Сначала определяем acl, описывающий все типы мультимедийных файлов:
acl media urlpath_regex -i \.mpg$ \.avi$ \.mp3$
Затем определяем емкость задержки.
delay_pools 1
delay_class 1 1
delay_parameters 1 400/400
delay_access 1 allow media
delay_access 1 deny all
При определении параметра delay_access обязательно указывается номер емкости, к которой подключаются acl.

И еще пример:
Ограничить скорость скачивания материалов с сайта odnoklassniki.ru до 40 бит в секунду.

1. Откройте на редактирование файл squid.conf.

2.В конце файла добавьте:
acl odnoklassniki dstdomain .odnoklassniki.ru
delay_pools 1
delay_class 1 1
delay_parameters 1 40/40
delay_access 1 allow odnoklassniki
delay_access 1 deny all

3. Проверьте и заставьте прокси-сервер перечитать свой конфигурационный файл:
squid -k c
squid -k r
# /etc/init.d/squid force-reload
egrep -v "^#|^$" /etc/squid/squid.conf - показать конфиг, исключить из вывода строки начинающиеся на #, и пустые строки

4. Протестируйте
links -http-proxy localhost odnoklassniki.ru

SQUID ограничение ширины канала пример 
acl ok dstdomain .odnoklassniki.ru
acl vk dstdomain .vk.com
acl tube dstdom_regex -i tube

delay_pools 2 # количество пулов

delay_class 1 2 # определяем для первого пула класс 2
delay_class 2 2 # определяем для второго пула класс 2

delay_parameters 1 -1/-1 1000/1000 # для первого пула не ограничиваем групповую полосу пропускная(-1), для одиночек ограничиваем в 1000бит
delay_parameters 2 10000/1000 1000/1000 # для второго пула ограничиваем групповую полосу пропускания в 10000бит (по итогу будет ровно на всех делится), для одиночек ограничиваем в 1000бит

delay_access 1 allow ok # включаем очередь для ok,  используем первый пулл
delay_access 1 allow vk # включаем очередь для vk,  используем второй пулл
delay_access 1 deny all # обязательное правило, для всех остальных не используем первый пулл

delay_access 2 allow tube # используем пулл два для tube
delay_access 2 deny all # для остальных не используем 

squid анализ логов 
apt-get install sarg
dpkg -L sarg | grep conf

при ошибке не найден лог squid  \ создать символьную ссылку
------------------
cd /var/log 
ln -s squid3 squid
-------------------

при ошибки SARG: Unknown option resolve_ip
nano /etc/sarg/sarg.conf - собственно настроим параметр resolve_ip
------------------------
resolve_ip yes
-------------------------

sarg - запускаем и если все ок то sarg отработает молча

grep -i output /etc/sarg/sarg.conf - ищем в конфиге куда он там складывает логи, и видим что кладет он сюда /var/lib/sarg

grep -i documentroot /etc/apache2/* -R - ищем где там у нас apache2 сайты держит

собственно создаем еще одну символьную ссылку для sarg теперь в каталоге apache2
-----------------------------
cd /var/www/html/
ln -s /var/lib/sarg/ sarg
-----------------------------


добавим в планировщик в sarg
crontab -e 
----------
0 5 * * * /usr/bin/sarg
----------

Сетевой фильтр \ firewall 
https://wiki.nftables.org/wiki-nftables/index.php/Port_knocking_example

OSI
-------------------
4. транспортный TCP UDP ICMP
3. сетевой IP  AF: inet inet6   -> firewall живет тут NetFilter
2. канальный \ Ethernet AF: Link  \ ARP
1. физика \ провода
-------------------
iptables - программа управления
netfilter - файрволл в ядре

Цепочки:
1. PREROUTING
2. FORWARD
3. POSTROUTING
4. INPUT
5. OUTPUT

Таблицы:
filter
nat
mangle

filter: (DROP, LOG, ACCEPT, REJECT)
-FORWARD - цепочка используется для фильтрацию пакетов, идущих транзитом через брандмауэр.
-INPUT - через эту цепочку проходят пакеты, которые предназначены локальным приложениям(брандмауэр).
-OUTPUT - используются для фильтрации исходящих пакетов, сгенерированных приложениями на самом брандмауэре.

nat: (DNAT,SNAT)
-PREROUTING - используется для внесения изменений на ходе брандмауэра. (dnat)
-OUTPUT - предназначена для преобразования пакетов, созданных приложениями внутри брандмауэра, перед принятием решения о маршрутизации.
-POSTROUTING - применяется для преобразования пакетов перед выдачей их во вне. (snat)

mangle: (MARK,TOS,TTL)
-PREROUTING - используется для внесения изменений в  пакеты на входе брандмауэра.
-POSTROUTING - применяется для изменения в пакеты перед выдачей их во вне.
-INPUT - через эту цепочку проходят пакеты, которые предназначены локальным приложениям(брандмауэру).
-FORWARD - используется для модификации заголовков пакетов, идущих транзитом через брандмауэр.
-OUTPUT - для внесения изменений в заголовок пакетов, поступающих от приложений внутри брандмауэра.


Порядок прохождения транзитных пакетов:
mangle PREROUTING
nat PREEOUTING
mangle FORWARD
filter FORWARD
mangle POSTROUTING
nat POSTROUTING

Порядок прохождения пакетов предназначенных для приложения компьютера:
mangle PREPOUTING
nat PREROUTING
mangle INPUT
filter INPUT

Порядок прохождения пакетов  отправленные приложениями компьютера:
mangle OUTPUT
nat OUTPUT
filter OUTPUT
mangle POSTROUTING
nat POSTROUTING



iptables [-t table] command [match] [target/jump]
command:
-A - добавить правило в конец цепочки (APPEND)
-D - удалить правило из цепочки (DELETE)
-R - заменить одно правило другим (REPLACE)
-I - вставить правило в указанное место в цепочке (INSERT) (по умолчанию вставляет в начало)
-L - показать список правил (LIST)
-F - очистить цепочку или таблицу (FLUSH)
-Z - обнулить счетчики (ZERO)
-N - создать цепочку пользователя (NEW)
-X - удалить цепочку пользователя 
-P - установить политику по умолчанию 

!!! таблица по умолчанию filter (iptables -t filter)
iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT - в таблице filter из цепочки INPUT хостам из c ip 10.0.0.0/24 разрешаем доступ
iptables -D INPUT 1  - в таблице filter, цепочка INPUT, удаляем правило номер 1
iptables -D -p tcp --dport 80 -j DROP  - в таблице filter, цепочка INPUT, удаляем правило с протоколом tcp, портом 80
iptables -R INPUT 1 -s 192.168.0.1 -J ACCEPT - в таблице filter, цепочка INPUT, заменить первое правило на -s 192.168.0.1 -J ACCEPT
iptables -I INPUT 1 -p tcp --sport 80 -j ACCEPT - в таблице фильтр, цепочка INPUT, вставить правило -p tcp --sport 80 -j ACCEPT, все номера следующих правил будут увеличены на еденицу

пример iptables
---------------
iptables -A INPUT -s 10.0.0.130 -j ACCEPT - Разрешаем любой трафик на input с хоста 10.0.0.130
iptables -A INPUT -m state --state INVALID -j DROP - Отбрасываем трафик INVALID
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT - Разрешаем трафик RELATED, ESTABILISHED
iptables -A INPUT -j DROP - Отбрасываем все
---------------

пример ip6tables все дропаем для ipv6 во всех цепочках
-----------------------------
ip6tables -A INPUT -j DROP
ip6tables -A FORWARD -j DROP
ip6tables -A OUTPUT -j DROP
-----------------------------


iptables -L INPUT 

iptables -t nat 
iptables -t mangle


iptables -I INPUT -s 192.168.15.0/24 -j ACCEPT
iptables -I INPUT -s 10.0.0.0/24 -j ACCEPT

iptables -L -n - показать правила и показывать цифры
iptables -L -n -v - показать правила, использовать цифры, подробная информация
iptables -L -n -v -x - показывать правила, использовать цифры, подробная информация, не преобразовывать значения(аналог df -h)
iptables -L -n -v -x --line-numbers - показывать правила, использовать цифры, подробная информация, не преобразовывать значения(аналог df -h), показывать номера правил

iptables -F INPUT - очистим таблицу filter, цепочка INPUT
iptables -F - очистим таблицу filter и все ее цепочки (FORWARD, INPUT, OUTPUT)

iptables -N tcp_filter - добавить в таблицу filter пользовательскую цепочку tcp_filter
iptables -N udp_filter - добавить в таблицу filter пользовательскую цепочку tcp_filter
iptables -N icmp_filter - добавить в таблицу filter пользовательскую цепочку tcp_filter

iptables -P INPUT -p tcp -j tcp_filter - вот так мы заставляем пакеты tcp перенаправить в пользовательскую цепочку tcp_filter
iptables -D INPUT 1 - удаляем правило под номером 1 (тут пользовательская цепочка у нас )
iptables -F tcp_filter - очистить все правила цепочки tcp_filter
iptables -X tcp_filter - удалить пользовательскую цепочку tcp_filter

iptabless -P INPUT DROP - устанавливаем политику по умолчанию DROP (настраивать firewall на удаленной машине к дальней дороге)
iptabless -P INPUT ACCEPT - устанавливаем политику по умолчанию ACCEPT

Общие критерии match
-p - протокол (-p tcp)
-s - определяет IP-адрес источника (-s 10.0.0.1)
-d - определяет  IP-адрес назначения
-i - определяет входящий интерфейс
-o - определяет исходящий интерфейс (o eth0)
-f - определяет фрагментыm фрагментированного пакета (!-f) 

!!! Символ "!" инвертирует значение параметра.

TCP критерии:
    --sport - порт источника
    --dport - порт назначения (--dport 1024:65535)
    --tcp-flags - определение TCP-флагов
    --syn - запрос на соединение
UDP критерии:
    --sport - порт источника
    --dport - порт назначения
ICMP критерии:
    --icmp-type - определяет тип ICMP пакета (--icmp-type echo-request)

iptables -p tcp --help - показать все возможные значения для протокола tcp
iptables -p icmp --help - показать все возможные значения для протокола icmp
iptables -p udp --help - показать все возможные значения для протокола udp

Явные критерии:
limit - количество срабатываний правила (--limit-burst(отсечки) по умолчанию равны 5, N\t, N - кол-во срабатываний за единицу времени, t единица времени s,m,h,d)
mac - позволяет указать MAC-адрес устройства
multiport - позволяет указать список портов
state - определяет состояние пакетов (NEW, ESTABLISHED, RELATED, INVALID)

iptables -A INPUT -p icmp --icmp-type echo-request -m limnit --limit 1/s --limit-burst 1 -J ACCEPT (не более одного пакета в секунда по протоколу ICMP)
iptables -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
iptables -A IMPUT -p tcp -m multiport --source-port 21,53 -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DPORT

Действия(-j):
ACCEPT - принять пакеты
DROP - сбросить пакет
REJECT - сбросить пакет с сообщение об ошибке
RETURN - возвращает из цепочки
LOG - помещает информацию в системный журнал

iptables -A INPUT -m state --state INVALID -j LOG --log-prefix "Strange:"


NAT - NETWORK ADDRESS TRANSLATION
RFC-1918 - документ по не маршрутизированным адресам
SNAT - замена IP-адреса или порта источника (Например настройка доступа к интернету для ПК из локальной сети через маршрутизатор)
DNAT - замена IP-адреса или порта назначения (Например доступ из интернета на ПК в локальной сети)
MASQUERADE - разбирается сам что куда подменять (используется когда у вас нет постоянного внешнего IP, или получаете его по DHCP)
REDIRECT - выполняет перенаправление пакетов и потоков на другой порт той же самой машины

iptables -t nat -A POSTROUTING -o isp -j MASQUERADE
iptables -t nat -A POSTROUTING -o isp -j SNAT --to-source 10.0.0.23
iptables -t nat -A PREROUTING -i eth1 -j DNAT --to-destination 192.168.1.25

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
iptables -A INPUT -p icmp --icmp type echo-request -j DROP

Разбираемся с limit:
------------------------------
iptables -F - удаляем правила из таблицы filter
iptables -Z - обнуляем счетчики
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 1 -j ACCEPT
ping -f -c 100000 localhost - посылаем 100000 пакетов и проверяем
iptables -Z - обнуляем счетчики
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
ping -f -c  500 localhost
------------------------------


Сохранение \  восстановление настроек iptables
---------------------------------------------
iptables-save - выведет на экран текущие настройки iptables 
iptables-restore - восстановит из файла настройки iptables
iptables-save > iptables-rules - сохранить настройки в файл iptables-rules
iptables-restore < iptables-rules - восстановить настройки из файла iptables-rules
---------------------------------------------

Для авто восстановления iptables можно добавить в файл сетевых настроек запуск iptables-restore
nano /etc/network/interfaces
----------------------------
auto lo (рекомендуется добавлять после lo интерфейса)
iface lo inet loopback (интерфейс loopback)
post-up iptables-restore < /путь_до_файла/iptables-rules  (например можно создать папку iptables и в нее положить iptables-rules )
----------------------------


http_port 3128 transparent - прозрачный прокси (в этом режиме работает только не шифрованный трафик http)
iptables -t nat -I PREROUTING -p tcp --dport 80 -i lan -j DNAT --to 192.168.200.1:3128
#iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.2.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.2.1:3128

iptables -t nat -F - очистить таблицу nat


Для работы pptp
iptables -A INPUT -p gre -j ACCEPT - разрешаем протокол GRE для всех
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT - разрешаем соединение с PPTP-сервером для всех




PPTP / VPN / сервер / PPTD / PPPD
PoPToP - является одной из популярных реализаций PPTP 
dpkg -L pptpd | grep conf - позволяет посмотреть какие файлы входят в пакет

1.
apt-get install pptpd - установка 
nano  /etc/pptpd.conf - дописываем в конец следующие строки
---------------------
localip 172.16.1.1 - IP-адрес PPTP-сервера
remoteip 172.16.1.2-254 - # Диапазон адресов для клиентов PPTP-сервера
---------------------

2.
nano /etc/ppp/pptpd-options - нужно добавить строку auth и строка require-mppe-128 должна быть раскомментированна
---------------------------
###############################################################################

auth # требуем авторизацию у клиентов
# Authentication
require-mppe-128 # Используем шифрование
-----------------------------

3.
nano /etc/ppp/chap-secrets
-------------------------- 
user1 pptpd 1234 "*" - # Если пользователь должен динамически получать IP-адрес из диапазона remoteip в pptpd.conf:
user2 pptpd 1234 "172.16.1.101" - # Если мы хотим привязать определённый IP к логину
--------------------------

4.
/etc/init.d/pptpd restart - после этого перезапускаем pptpd

5.
Скорее всего на сервере стоит файрволл. 
iptables -A INPUT -p gre -j ACCEPT - разрешаем протокол GRE для всех;
iptables -A INPUT -p tcp --dport 1723 -j ACCEP - разрешаем соединение с PPTP-сервером для всех;

6. Сами себе провайдер
iptables -t nat -I POSTROUTING -o isp -s 172.16.1/24 -j MASQUERADE


PPTP / VPN / клиент
0. установка
apt-get install pptp-linux

1. Редактируем   /etc/ppp/peers/vpn0
nano /etc/ppp/peers/vpn0
------------------------
pty "pptp 192.168.2.1 --nolaunchpppd"
name user1
file /etc/ppp/options.pptp
remotename PPTP
ipparam vpn0
------------------------

2. Редактируем /etc/ppp/options.pptp
nano /etc/ppp/options.pptp - раскомментируем в файле следующую строчку
--------------------------
require-mppe-128
--------------------------

3. Редактируем /etc/ppp/chap-secrets
nano  /etc/ppp/chap-secrets - добавляем строку
---------------------------
user1 PPTP 1234 "192.168.2.1"
---------------------------

4. Проверяем 
pon vpn0
В системе должен появиться новый ppp-интерфейс. 
Проверить это можно командой:
ifconfig | grep ppp

Если же соединения не происходит, то можно попытаться выполнить команду:
pon vpn0 debug dump logfd 2 nodetach
И посмотреть какие ошибки будут выданы на экран.

5. Если нужно чтобы соединение выполнялось автоматически при загрузке компьютера, то
нужно добавить в файл /etc/network/interfaces строки:
auto tunnel
iface tunnel inet ppp
provider vpn0

NFS 
NFS использует протокол UDP
apt-cache search nfs | grep server
apt-get install nfs-kernel-server

nano /etc/export - открываем доступ по nfs  на  каталог /usr/share/man для сети 10.0.0.0/24
---------------
/usr/share/man 10.0.0.0/24
/usr/share/man 192.168.1.0/24
---------------
/etc/init.d/nfs-kernel-server restart - перезапуск для принятия новых настроек


showmount -e - показать какие шары NFS доступны

mount c0:/usr/share/man /mnt/ - вот так можно примонтировать шару NFS на другом ПК (с0 - ПК на котором NFS, шара /usr/share/man, /mnt/ точка монтирования  )

----------------------------------------------------------------------------------------
mount 10.0.0.23:/usr/share/man j: - вот так можно примонтировать NFS шару на windows ПК
----------------------------------------------------------------------------------------

Apache2 
ip-based и Name-based
nginx \ lighttpd

apt-get install apache2

ServerRoot - Параметр определяет вершину дерева каталогов WEB сервера. Этот каталог не предназначен для хранения html файлов.
PidFile - Определяет путь к файлу, в котором WEB сервер после запуска помещает свой PID.
KeepAlive - Если параметр имеет значение On — WEB сервер позволяет за одно подключение передавать сразу несколько ресурсов.
MaxKeepAliveRequests - Параметр определяет максимальное количество запросов в одном соединении.
KeepAliveTimeout - Параметр определяет время в секундах. Если в течении этого времени клиент не запросит следующий ресурс, сервер разорвет соединение.
IfModule - Директива проверяет — загружен ли соответствующий модуль и, если он загружен, позволяет использовать специфичные для этого модуля параметры.
StartServers - Количество дочерних серверов, создаваемых при запуске WEB сервера.
MinSpareServers - Минимальное количество экземпляров WEB сервера.
MaxSpareServers - Максимальное количество экземпляров WEB сервера.
MaxClients Определяет - количество запросов, обрабатываемых сервером.
MaxRequestsPerChild - Определяет максимальное количество запросов, которое может обработать один процесс.
Listen - Определяет IP адрес и порт, на которых WEB сервер слушает запросы. Если IP адрес не указан — сервер слушает запросы на всех сетевых интерфейсах.
LoadModule - Параметр связывает имя модуля и файл, в котором он находится.
Include - Директива подключает внешние конфигурационные файлы.
Port - Определяет порт на котором будет слушать запросы WEB сервер.
User - Определяет пользователя, с правами которого будет работать WEB сервер.
Group - Определяет группу, с правами которой будет работать WEB сервер.
ServerAdmin - Определяет Email администратора сервера.
DocumentRoot - Определяет директорию, в которой находятся html файлы.

Контейнеры
В Apache можно использовать различные контейнеры, которые позволяют определять параметры для объектов:
Directory — директорий
DirectoryMatch — то же, что и предыдущий контейнер, но в качестве параметра используется регулярное выражение
Files — файлов
FilesMatch — то же, что и предыдущий контейнер, но в качестве параметра используется регулярное выражении

Опции
Внутри контейнеров Directory можно использовать параметр Options, при помощи которого определяются различные опции. 
All - Все опции.
ExecCGI - Разрешает выполнение сценариев CGI.
FollowSymLinks - Сервер следует по символьным ссылкам.
Includes - Разрешается выполнение команд SSI (Server Side Includes).
IncludesNoExec - При использовании SSI запрещается использовать команды #exec и #include.
Indexes - Если в запросе не указывается конкретный файл, а только директория, и для даной директории не определен параметр
DirectoryIndex - или не найден файл по умолчанию, сервер выдает список файловой директорий, находящихся в запрашиваемой директории.
SymLinksIfOwnerMatch - Сервер следует по символьной ссылке только в том случае, если объект, на кото- рый указывает ссылка, принадлежит тому же пользователю, что и сама символьная ссылка.
MultiViews - Позволяет выводить документ согласно языка клиента.

AllowOverride
Параметр AllowOverride используют внутри контейнера Directory. 
Параметр определяет, какие параметры, объявленные в файле .htaccess (или любом другом, заданном AccessFileName), могут быть переопределены пользователями.
AuthConfig - Разрешает использование параметров аутентификации и управления доступом.
FileInfo - Разрешает использование параметров, управляющих типами документов.
Indexes - Разрешает использование параметров, управляющих индексами директорий.
Limit - Разрешает использовать параметры, управляющие доступом.
Options - Разрешает использовать параметры, управляющие свойствами директорий.
None - Запрещает использовать любые параметры.
All - Разрешает использовать все параметры.


Контроль доступа к ресурсам осуществляется при помощи параметров:
 Allow from — разрешает доступ
 Deny from — запрещает доступ
 Order — определяет порядок рассмотрения параметров Allow и Deny
Эти параметры можно использовать только в контейнерах или файлах .htaccess.

Виртуальный хостинг

NameVirtualHost *:80

ServerAdmin webmaster@any.com
DocumentRoot /home/any/public_html
ServerName www.any.com
ErrorLog /home/any/err/error_log
CustomLog /home/any/err/access_log common


---------------
nc ya.ru 80
HEAD / HTTP/1.1
Host: ya.ru
---------------

apache2ctl configteset - проверка конфигурации
apache2ctl graceful - принять настройки без перезагрузки