之前整过在RouterOS上异常的访问触发防火墙拦截ip地址访问,就一直想給VPS套上这种拦截策略,以提高安全性,拦截那些奇奇怪怪的扫描,最近偶然看到了iptables里面的一个模块——ip_recent。
这个模块现在已经改名了,叫做xt_recent,可以达到我所想要的目的,这里记录一下用法:
首先,检查一下模块的情况,用modinfo来看看模块的情况
root@ferrets:/proc/net/xt_recent# modinfo xt_recent
filename: /lib/modules/5.10.0-9-amd64/kernel/net/netfilter/xt_recent.ko
alias: ip6t_recent
alias: ipt_recent
license: GPL
description: Xtables: "recently-seen" host matching
author: Jan Engelhardt jengelh@medozas.de
author: Patrick McHardy kaber@trash.net
depends: x_tables
retpoline: Y
intree: Y
name: xt_recent
vermagic: 5.10.0-9-amd64 SMP mod_unload modversions
sig_id: PKCS#7
signer: Debian Secure Boot CA
sig_key: 4B:6E:F5:AB:CA:66:98:25:17:8E:05:2C:84:66:7C:CB:C0:53:1F:8C
sig_hashalgo: sha256
signature: 54:BB:49:31:44:96:65:97:63:67:BA:20:96:4A:85:29:C6:F2:0C:19:
69:FC:31:34:C7:1E:82:9C:13:90:80:E2:7C:9B:2E:46:1F:32:46:A3:
E0:29:55:01:E4:0E:24:5A:EE:67:C2:6D:45:16:ED:0A:51:AC:CE:A7:
66:F4:CE:3D:2E:F4:13:32:23:87:0C:A2:77:3D:72:99:96:CB:36:6E:
3C:43:15:52:8E:F5:59:31:1B:A1:4F:2D:B2:08:81:AC:F7:B3:0D:80:
D7:0E:DD:78:94:50:F9:8A:CA:3F:5C:6D:AB:4A:B9:E3:94:87:64:7F:
97:08:4F:4A:D3:7E:44:54:8F:F3:03:B8:A8:48:8E:5D:7C:5C:9F:FE:
4E:49:60:63:57:EC:62:57:0C:5C:9F:1F:36:FE:D3:E6:EF:F3:AB:C5:
D2:A4:0E:9C:B2:89:52:55:8A:1F:BF:92:DE:30:19:61:75:A6:22:BC:
A4:DD:2D:B7:8B:74:65:61:A6:4D:75:0E:9B:05:EB:33:79:46:88:13:
71:A3:3F:5C:4B:3C:11:85:EF:B0:F9:CD:45:DE:28:12:84:EB:D1:79:
32:38:19:D3:9F:55:7D:01:27:6C:A2:FB:96:18:7D:30:4E:F7:B4:4F:
33:DA:B6:5D:A2:F9:5E:B0:D2:17:4D:14:12:39:D7:00
parm: ip_list_tot:number of IPs to remember per list (uint)
parm: ip_list_hash_size:size of hash table used to look up IPs (uint)
parm: ip_list_perms:permissions on /proc/net/xt_recent/* files (uint)
parm: ip_list_uid:default owner of /proc/net/xt_recent/* files (uint)
parm: ip_list_gid:default owning group of /proc/net/xt_recent/* files (uint)
parm: ip_pkt_list_tot:number of packets per IP address to remember (max. 255) (uint)xt_recent上记录ip地址和RouterOS的addresslist设定稍微有点不一样。xt_recent有个参数ip_list_tot,这里会指定单个列表中,能够记录的ip地址的最大的数量,只要列表没满,就会一直留在列表里面;而RouterOS的addresslist会有个timeout的设定,如果超时了就会自动从列表里面移除。这样就导致两者的记录和调用逻辑稍微有点不一样:
具体孰优孰劣这个不同人有不同看法,这里就不作太多比较。
要注意的是ip_list_tot默认大小是100,我个人感觉是不是非常够的,于是打算修改一下这个限制。
具体当前的值可以在/sys/module/xt_recent/parameters/ip_list_tot看到,直接用cat来读出来就行。
如果你也觉得默认的列表只有100的容量不是很够,可以参考下面的部分来修改ip_list_tot的值
首先把xt_recent这个mod卸载掉,如果出现提示说这个mod在用导致无法卸载的话,就先检查一下是不是iptables或者ip6tables已经存在调用,可以先把策略删掉,完了再加回来。
首先,把xt_recent停掉。
modprobe -r xt_recent然后,在/etc/modprobe.d/下面新增一个xt_recent.conf,内容如下:
options xt_recent ip_list_tot=8192新增完毕之后,再重新加载xt_recent
modprobe xt_recent最后,检查一下是否已经生效
cat /sys/module/xt_recent/parameters/ip_list_tot
完毕之后,就可以着手开始调整iptables了。
设计思路可以参考之前RouterOS的部分,但是要作一些修改,因为拦截两种坏东西的时长是不一样的,在Linux上要拆分成两个list,所以,iptables里面INPUT chain可以这样设计:
这里拿未知访问的来做例子:
# 4.拦截未知访问的ip地址
iptables -A INPUT -m recent --update --seconds 86400 --name UnknownConnection --rsource -j DROP
……
……
……
# 7.标记其他未知访问的ip地址
iptables -A INPUT -m recent --set --name UnknownConnection --rsource -j DROP这里简单介绍一下几个参数:
-A INPUT :这个策略添加在INPUT chain中 -j DROP :跳转至DROP,即直接丢弃包,不做任何回应 -m recent :调用xt_recent模块 --update :更新最后一次见到的时间 --seconds 86400:指定只检查86400秒就是24小时内的部分,这里的单位是秒 --name UnknownConnection :指定检查名称为UnknownConnection列表 --rsource :指定为源地址匹配 --set :将地址添加到列表中
其他用法的话,这里有篇文章,讲述的比较详细,可以作为参考。
配上之后,可以在/proc/net/xt_recent/文件夹里面看到所有的列表,可以直接用cat或者less等工具来读取。
从此,服务器的安全性得到了一定的提升,至少能挡一下扫描什么的了。至于说WAF什么的……先靠Cloudflare吧。
哦,对了,ip6tables可以用一样的方法来加强抗扫描的能力。
上了这个拦截之后,发现邮箱被jetpack提醒网站下线的邮件填满了。花了一段时间检查之后,终于发现之前放通的部分是使用了ctstate NEW+limit这种,导致无法匹配到tcp reset的包,最后发来reset包的cloudflare服务器就被当作是坏家伙而屏蔽了。加上允许reset包的策略就可以解决这个问题。
iptables -A INPUT -p tcp -m tcp --tcp-flags RST,PSH,ACK RST -m limit --limit 64/sec -j ACCEPT如果需要手动操作清单里面的ip地址,可以直接用echo来添加和删除:例如
echo +10.10.10.10 > UnknownConnection #将10.10.10.10添加到列表中
echo -10.10.10.10 > UnknownConnection #将10.10.10.10从列表中移除
echo / > UnknownConnection #清空整个列表Redhat系的linux发行版,默认都打开了SELinux,总所周知,SELinux可以很好的提高系统安全性,但同时也会对系统的配置造成影响,所以,很多教程开始都会包含关闭SELinux的内容,避免出现异常。
Redhat对于配置SELinux也提供了一些很有用的帮助,比如说/var/log/audit/audit.log里面就包含了SELinux的审计日志,只要一搜denied就能看到SELinux拦截了的内容,配合audit2allow工具,就可以很方便的新增SELinux的放通策略。
下面是摘抄于参考文档中的内容:
第一步,先检查/var/log/audit/audit.log,里面包含了被SELinux拦截的内容,比如说这样内容
type=AVC msg=audit(1226270358.848:238): avc: denied { write } for pid=13349 comm="certwatch" name="cache" dev=dm-0 ino=218171 scontext=system_u:system_r:certwatch_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir
type=SYSCALL msg=audit(1226270358.848:238): arch=40000003 syscall=39 success=no exit=-13 a0=39a2bf a1=3ff a2=3a0354 a3=94703c8 items=0 ppid=13344 pid=13349 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="certwatch" exe="/usr/bin/certwatch" subj=system_u:system_r:certwatch_t:s0 key=(null)
例子中一个叫做certwatch(comm="certwatch")的进程被拦截了,被禁止写操作({ write }),写的目标文件夹的带有的var_t标签(tcontext=system_u:object_r:var_t:s0)。如果仔细阅读另外一节之后发现,这个拦截不能用简单的sebool来解决,就需要使用audit2allow来根据audit的日志来生成允许策略。
第二步,用audit2allow -w -a生成一个方便人看懂的报告。audit2allow可以读取/var/audit/audit.log,需要root权限运行,-w参数代表方便阅读,-a参数表示读取所有的audit日志。结果会是类似这样的
~]# audit2allow -w -a
type=AVC msg=audit(1226270358.848:238): avc: denied { write } for pid=13349 comm="certwatch" name="cache" dev=dm-0 ino=218171 scontext=system_u:system_r:certwatch_t:s0 tcontext=system_u:object_r:var_t:s0 tclass=dir
Was caused by:
Missing type enforcement (TE) allow rule.
You can use audit2allow to generate a loadable module to allow this access.
第三步,执行audit2allow -a检查需要放通的权限
~]# audit2allow -a #============= certwatch_t ============== allow certwatch_t var_t:dir write;
原文中提到一个重要的提醒,提到,出现这种情况都算软件没配好,是应该向Redhat提交故障报告的。
第四步,用 audit2allow -a -M 生成一个可以加载的模块
~]#audit2allow -a -M mycertwatch******************** IMPORTANT *********************** To make this policy package active, execute: semodule -i mycertwatch.pp ~]#lsmycertwatch.pp mycertwatch.te
生成模块后,用semodule加载上。原文中提到,生成的模块往往会超出实际所需的权限,建议先提交结果去 fedora-selinux-list 之类的让大家先看看有没有问题。
最后,如果出现多个denied的原因,建议用grep过滤出几个结果,分开几个模块来允许。
首先,我使用的是debian的linux,版本是stretch,其他发行版的话只能作为参考,无法照搬。
然后上参考:https://blog.csdn.net/politefish/article/details/4444417
在网上搜无盘系统,全部都是指导怎么启动安装器的,这个我之前已经做过了,没什么问题,但是如何做一个能直接运行的linux,倒还是第一次。上边这边文章里面洋洋撒撒一大串,不过还是指引了我找到了比较核心的内容。
首先PXE启动系统我这边就不说了,参考有很多,比如说这个、这个,还有这个。总所周之,PXE启动linux需要3个组件,一个DHCP服务器,一个tftp服务器,还有一个NFS服务器。因为我家的路由器系统都比较的有好,DHCP服务器方面都支持设置PXE的引导,所以不需要额外的架设一个DHCP服务器。
tftp服务器和NFS服务器我是使用我家的一台QNAP的NAS来做的,性能和整合度不错,由于是同一份文件的不同共享,所以就不需要每次更新了kernel之后还需要单独将kernel拷贝到tftp服务器去了。
首先是tftp服务器,先把tftp服务器开起来,指向目标,限制好来源
然后参考这个,把所需的文件放到目标
看起来像是这样:
PXE
├── debian
│ └── #这里放Debian的系统
├── ldlinux.c32
├── libcom32.c32
├── libutil.c32
├── pxelinux.0
├── pxelinux.cfg
│ └── default
└── vesamenu.c32
再然后就是NFS系统,在系统中调整NFS分享,让/PXE能够以NFS的形式挂载,这就可以了,如何建立NFS服务器并且建立共享,这里不多说。
然后先安装好基本系统,再回来修改default的配置文件
参考了网上搜出来的文章,我发现他用的方法就是使用debootstrap来安装系统。嗯?看着眼熟,不就是我当年做过的事情吗?哎呀,这就容易了嘛。
这里我选择的方法是用containerstation跑个LXC容器,将文件夹挂载到容器中。如果手边只有windows的机器,可以选择上虚拟机,然后挂载NFS共享。
假设将目标挂载到/mnt,就可以使用这样的方式来安装基本的debian系统
debootstrap –arch=amd64 stretch /mnt/ http://ftp.cn.debian.org/debian/
然后稍作等待,你就获得了一个debian系统了。当然,推荐使用同一个架构的CPU,因为这样接下来的后续安装就会方便很多。
chroot到新系统之后就可以向刚安装的系统一样去做后期的调整了。注意至少有一下这么几个
1.修改root的密码
2.新增用户
以下几个我是当时做了的配置但看起来并不是必须的,酌情参考
3.修改fstab和mtab,详细看参考链接,但是我登录系统之后看mount表完全不是那么一回事
4.配置网络,参考链接里面还是用的eth0,但是我登录系统后看到的接口都不是eth0而是en0了,又是一个过期的文档
5.调整时区,这个最好做一下,还有用timedatectl set-local-rtc 1 设置将RTC时钟设为本地时间而不是UTC时间,避免和windows来回切的时候导致windows时间混乱
然后把你想安装的东西都安装上。duang,系统就安装好了。
最后回来调整一下PXE的启动文件,这里是最精华的地方:
DEFAULT vesamenu.c32
PROMPT 0
MENU TITLE Home PXE-Boot Server
label Diskless Debian
MENU LABEL Diskless Debian
KERNEL debian/vmlinuz
append vga=normal initrd=debian/initrd.img ramdisk_size=14332 root=/dev/nfs nfsroot=NFS服务器地址:/PXE/debian rw --
TEXT HELP
Starts the Diskless Debian
ENDTEXT
需要注意的是,这里是系统的根目录下存在两个指向boot的链接,所以kernel和initrd才是这个位置,至于其他的参数,我暂时还没了解到如何使用,先保留着,看以后是否再需要优化。
配置完成后,就可以启动主机,然后选择从LAN启动了,启动之后,可以看到根目录是从nfs服务器挂载的。
参考:
https://archlinuxarm.org/forum/viewtopic.php?f=30&t=2452
https://archlinuxarm.org/forum/viewtopic.php?f=7&t=2451#p13657
最近把在吃灰的PogoPlug又重新捞出来丢到出租屋那边,刚才在网上瞎逛的时候突然发现Archlinux的论坛上有个家伙po了个帖子,说在研究能不能打开他手里的pogoplug的AES硬件加速,然后发现可行并且有点效果,于是我也尝试着试了一下,发现确实ok,于是先记一下。
由于好心人(pklaus)的付出,现在不需要重复 firefoxPL先生的老路了,现在只需要安装特定的软件包,并且创建文件让系统能够在启动的时候自动加载kernel mod就可以用了。
根据原po的说明以及大胆的猜测,初步推测不仅仅是pogoplug,其他使用kiriwoodCPU的设备都可以用相同的方法来开启硬件加速。
先安装所需的kernel header:
pacman -S linux-kirkwood-headers
然后安装cryptodev-dkms以及其所需的软件包:
pacman -S cryptodev-dkms
然后就会根据安装脚本自动编译kernel mod,由于是需要编译的,可能会出现其他的软件包需求。
安装完毕之后,就把openssl给替换掉:
pacman -S openssl-cryptodev
由于openssl-cryptodev会自动引用一个openssl,其版本不一定会是最新,所以要是提示有openssl可以更新的时候请不要在意,保持openssl-cryptodev是最新的即可。当然openssl和openssl-cryptodev会有冲突,安装的时候会有提醒的。
顺便贴一下我测试的开了硬件加速和没开硬件加速的区别:
这个是没开
[root@alarm ~]# openssl speed -evp aes-128-cbc Doing aes-128-cbc for 3s on 16 size blocks: 1360545 aes-128-cbc's in 2.78s Doing aes-128-cbc for 3s on 64 size blocks: 489186 aes-128-cbc's in 2.99s Doing aes-128-cbc for 3s on 256 size blocks: 133567 aes-128-cbc's in 2.99s Doing aes-128-cbc for 3s on 1024 size blocks: 32897 aes-128-cbc's in 2.88s Doing aes-128-cbc for 3s on 8192 size blocks: 4273 aes-128-cbc's in 2.98s Doing aes-128-cbc for 3s on 16384 size blocks: 2143 aes-128-cbc's in 2.99s OpenSSL 1.1.0h 27 Mar 2018 built on: reproducible build, date unspecified options:bn(64,32) rc4(char) des(long) aes(partial) idea(int) blowfish(ptr) compiler: gcc -DDSO_DLFCN -DHAVE_DLFCN_H -DNDEBUG -DOPENSSL_THREADS -DOPENSSL_NO_STATIC_ENGINE -DOPENSSL_PIC -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DPOLY1305_ASM -DHAVE_CRYPTODEV -DHASH_MAX_LEN=64 -DOPENSSLDIR="\"/etc/ssl\"" -DENGINESDIR="\"/usr/lib/engines-1.1\"" -Wa,--noexecstack -D_FORTIFY_SOURCE=2 -march=armv5te -O2 -pipe -fstack-protector-strong -fno-plt -Wl,-O1,--sort-common,--as-needed,-z,relro The 'numbers' are in 1000s of bytes per second processed. type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes aes-128-cbc 7830.47k 10470.87k 11435.84k 11696.71k 11746.45k 11742.78k
这个是开了
[root@alarm ~]# openssl speed -evp aes-128-cbc Doing aes-128-cbc for 3s on 16 size blocks: 36940 aes-128-cbc's in 0.11s Doing aes-128-cbc for 3s on 64 size blocks: 37466 aes-128-cbc's in 0.07s Doing aes-128-cbc for 3s on 256 size blocks: 33812 aes-128-cbc's in 0.07s Doing aes-128-cbc for 3s on 1024 size blocks: 20341 aes-128-cbc's in 0.08s Doing aes-128-cbc for 3s on 8192 size blocks: 5133 aes-128-cbc's in 0.01s Doing aes-128-cbc for 3s on 16384 size blocks: 2984 aes-128-cbc's in 0.02s OpenSSL 1.1.0h 27 Mar 2018 built on: reproducible build, date unspecified options:bn(64,32) rc4(char) des(long) aes(partial) idea(int) blowfish(ptr) compiler: gcc -DDSO_DLFCN -DHAVE_DLFCN_H -DNDEBUG -DOPENSSL_THREADS -DOPENSSL_NO_STATIC_ENGINE -DOPENSSL_PIC -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DAES_ASM -DBSAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DPOLY1305_ASM -DHAVE_CRYPTODEV -DHASH_MAX_LEN=64 -DOPENSSLDIR="\"/etc/ssl\"" -DENGINESDIR="\"/usr/lib/engines-1.1\"" -Wa,--noexecstack -D_FORTIFY_SOURCE=2 -march=armv5te -O2 -pipe -fstack-protector-strong -fno-plt -Wl,-O1,--sort-common,--as-needed,-z,relro The 'numbers' are in 1000s of bytes per second processed. type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes 16384 bytes aes-128-cbc 5373.09k 34254.63k 123655.31k 260364.80k 4204953.60k 2444492.80k
这效率差距不是一星半点。不过根据原po的另外一个测试,在使用openssh传输文件的时候,速度和带宽的差距并不明显,只是在打开了硬件加速的时候,CPU占用会下降。
主页在这里:http://radicale.org/
显着无聊,在LEDE的软件源里面到处找有什么有趣的服务,结果发现了一个叫做radicale的个人CalDAV/CardDAV服务器,直接装了跑起来之后总有点问题,于是稍微研究了一下,大概是由缺失了htpasswd的原因导致的,抓log也没报任何错误,但就是没法正常工作。最后还是去官网直接看部署过程才终于搞起来。
软件使用python编写,最新的版本使用python3,目前就我所知,软件包的需求最少也有python3、pip、htpasswd,及其所有所需软件包。功能上非常简陋,但核心的功能一个不漏,源码包不到100K,还自带一个简陋的web控制页面,可以用来新增文件夹。
安装过程就和官网所说,非常简单,最少只需要2条命令就能跑起来,不过想要用得好一点就还是需要进行一些配置。
先安装radicale
python3 -m pip install --upgrade radicale
然后pip就会搞定全部的需求,官方同时推荐对密码使用bcrypt进行加密,如果使用bcrypt加密,同时使用pip安装bcrypt。同时,根据不同的发行版,把htpasswd装上,LEDE由于没有将htpasswd从apache中拆出来,所以我就把apache装上就可以用了。
好了,服务器已经安装完,进入配置环节,radicale会自动尝试从“/etc/radicale/config、~/.config/radicale/config或者是尝试从系统变量中读取RADICALE_CONFIG来找到配置文件,所以直接放在/etc/radicale/config就好,当然,可以直接加参数来运行,不过我觉得没有多少人会每次都加上一堆参数来运行的吧(笑)。
创建好配置文件,就向里面填入以下内容:
[auth]
type = htpasswd
htpasswd_filename = /path/to/users
htpasswd_encryption = plain
delay = 1
[server]
hosts = 0.0.0.0:5232
max_connections = 20
max_content_length = 10000000
timeout = 10
daemon = True
pid = /var/run/radicale.pid
ssl = True
certificate = /path/to/cert
key = /path/to/key
realm = Radicale - Password Required
[storage]
filesystem_folder = /path/to/storage
[rights]
type = authenticated根据个人需求,可以酌情修改,比如说想要规模大一点,可以对权限进行更加详细的设定,比如说哪些人能读哪些人能写,参考这里。
同时可以根据需要,抓取更加详尽的log,可以参考这里。
在这个例子里面,我就参考LEDE默认的那个,直接用plain存储用户名和密码,同时使用SSL对通信进行加密,证书的做法有太多,这里就不详述。
users文件可以使用htpasswd来创建,大概的格式就是用户名:密码,如果用明文的话可以直接编辑users文件来修改密码。
创建好用户名和密码之后,可以尝试使用浏览器来访问https://your.domain:5232/,会自动跳转到一个非常简陋的web控制页面能够创建、编辑、删除包括地址簿、日历、todo清单等文件夹,根据我的测试来说暂时是没法在客户端创建这些文件夹的,所以现在web控制页面建好,然后就可以到客户端添加详细的条目了。
最近耍了一个RouterOS的x86版,自带kvm虚拟机,看起来碉堡了,但是使用了之后只能吐槽说各种bug,就连官方的建立img都会报个“failed to copy files to image(s)”,结果我还是用ultraiso建立了一个空的img文件才能用。openwrt的镜像倒是方便,把kernel也放出来了,启动参数也提供了,在routerOS中一填就OK,没什么大问题。至于安装其他的linux。。。。目前我只成功安装了CentOS7。
在目前的RouterOS版本(6.36.2)中,kvm虚拟机的vnc是用不了的,这让我安装windows的企图破灭了,没GUI玩个蛋蛋。剩下一种可行的链接方式就只有console,这让安装linux变得可能。
但是下载下来的iso镜像不能直接使用,因为很多发行版发布的镜像的grub是默认没有console输出的,这让我们需要重新打包iso镜像。
首先,找到grub的配置文件,视情况而定,有可能是grub.cfg、grub.conf、isolinux.cfg几种,ubuntu的配置文件更加复杂,详细去官方的wiki慢慢研究。
在grub的配置文件中全局的位置(大概是在那一堆label前)插入一句
serial 0 115200
就能够让grub输出到console,至于这时候有没有视频输出,我没试过。这时候routerOS就可以用过console看到grub的输出了。
然后就是kernel的参数,这让kernel启动之后输出到console,这段写在kernel的后面,像这样。
label linux
menu label ^Install or upgrade an existing system
menu default
kernel vmlinuz console=ttyS0,115200
append initrd=initrd.img
之后就像正常安装linux一样安装就行了,不过只能够用文本的安装向导,详细查询各大发行版。
最近给小主机换成了CentOS,感觉人性化了非常多(虽然软件仓库还是缺少很多挺好用的货),于是就顺手想把wine给装上(我才不会乱说因为跑个有毒的game.exe中招了于是顺手换系统),于是出现了奇怪的问题,大量exe文件无法运行,报告一个错误
fixme:service:scmdatabase_autostart_services Auto-start service L"MountMgr" failed to start: 2 wine: Bad EXE format for Z:\home\ferrets\桌面\winbox.exe.
而且,wine的配置器也报告了类似的问题。
经过一番Google,在CentOS的论坛上找到了答案,因为某些上游开发者的决策“要保持CentOS的64位纯洁性”,而砍掉了32位支持,只要去装个32位的wine就能解决。于是我找到了这篇教程。
非常典型编译过程:
先安装工具包
yum groupinstall 'Development Tools' yum install libX11-devel freetype-devel zlib-devel libxcb-devel
然后,下载源码,解压:
cd /usr/src wget http://dl.winehq.org/wine/source/1.8/wine-1.8.tar.bz2 tar xjf wine-1.8.tar.bz2
解压之后configure:
32位系统用: ./configure 64位系统用: ./configure --enable-win64
最后编译和安装:
make make install
装完了运行一下作个测试。
32位系统运行: # wine --version 64位系统运行: # wine64 --version
不出什么意外的话安装就完成了
参考:http://wiki.centos.org/zh/AdditionalResources/Repositories
最近弄了个AWS玩,送了一年的免费试用(amazon真大方),于是上了个redhat,再重新部署VPN服务的时候发现没有openvpn,没有pptpd,果断加第三方软件源。
之前用过rpmforge,于是顺着老路子走,发现rpmforge也没有openvpn和pptpd,什么鬼……找到CentOS的wiki一查,发现rpmforge已经不被维护了,于是转战EPEL。
来源:http://www.supershigi.com/forums/index.php?topic=888.0
今天又闲着将小主机的系统从windows server换到了debian,又重温了一下在Linux下用wine跑一些工口RPG小游戏的配置过程,为了避免忘记,做个记录。
原文有大量详细的说明,这里就只翻译一下通用的部分(至少我遇到的基本上都能跑起来)。
首先,你需要安装wine和winetricks这两个软件包(遇到需求问题的话自行解决)。
debian系的就用aptitude(原文用apt-get)来安装,推荐把q4wine也装上,用q4启动器的话可以设定语言环境,玩未汉化的游戏相当方便,至于是用32位还是用64位自行斟酌。
aptitude install wine winetricks q4wine
软件包的需求就好了。然后打开winecfg,添加两个函数库顶替:
winecfg
没错,就是最底下的两货,分别是winegstreamer和winepulse.drv(会提示说禁用这个会有问题,无视之,会装个新的)。
禁用之后,再装上新的
winetricks directmusic就会自动从网上扒下来,自动安装。
安装完之后,RPG Maker的作品就能够跑起来了。
至于特定的某些个游戏,这里就不叙述了。