Linux网络服务器配置详解

  要建立一个宁静Linux服务器就首先要了解Linux环境下和网络服务相干的配置文件的含义及如何进行宁静的配置。在Linux体系中，TCP/IP网络是经过多少个文本文件进行配置的，也许你必要编辑这些文件来完成联网工作，但是这些配置文件大都可以经过配置命令linuxconf(其中网络部分的配置可以经过netconf命令来实现)命令来实现。上面介绍基本的 TCP/IP网络配置文件。
  * /etc/conf.modules 文件
  该配置文件定义了各种必要在启动时加载的模块的参数信息。这里主要偏重讨论关于网卡的配置。在利用Linux做网关的情况下，Linux服务器至多必要配置两块网卡。为了减少启动时大概呈现的问题，Linux内核不会自动检测多个网卡。
  对于没有将网卡的驱动编译到内核而是作为模块动态载入的体系若必要安装多块网卡，应该在“conf.modules”文件中进行相应的配置。
  若设备驱动被编译为模块（内核的模块）：对于PCI设备，模块将自动检测到所有已经安装到体系上的设备；对于ISA卡，则必要向模块提供IO地点，以使模块晓得在那边寻找该卡，这些信息在“/etc/conf.modules”中提供。
  比方，我们有两块ISA总线的3c509卡，一个IO地点是0x300，另一个是0x320。编辑“conf.modules”文件如下：
  alias eth0 3c509
  alias eth1 3c509
  options 3c509 io=0x300,0x320
  这是阐明3c509的驱动步伐该当分别以eth0或eth1的称号被加载（alias eth0，eth1），而且它们应该以参数io=0x300，0x320被装载，来关照驱动步伐到哪里去寻找网卡，其中0x是不可短少的。
  对于PCI卡，仅仅必要alias命令来使ethN和得当的驱动模块名联系关系，PCI卡的IO地点将会被自动的检测到。对于PCI卡，编辑“conf.modules”文件如下：
  alias eth0 3c905
  alias eth1 3c905
  若驱动已经被编译进了内核：体系启动时的PCI检测步伐将会自动找到所有相干的网卡。ISA卡一样平常也能够被自动检测到，但是在某些情况下，ISA卡仍然必要做上面的配置工作：
  在“/etc/lilo.conf”中增长配置信息，其方法是经过LILO步伐将启动参数信息通报给内核。对于ISA卡，编辑“lilo.conf”文件，增长如下内容：
  append=" ether="0,0,eth0 ether="0,0,eth1"
  注：先不要在“lilo.conf”中参加启动参数，测试一下你的ISA卡，若失败再利用启动参数。
  要是用通报启动参数的方法，eth0和eth1将根据启动时被发明的次序来设置。
  * /etc/HOSTNAME 文件
  该文件包含了体系的主机称号，包括完全的域名，如：deep.openarch.com。
  */etc/sysconfig/network-scripts/ifcfg-ethN 文件
  --------------------------------------------------------------------------------
  在RedHat中，体系网络设备的配置文件生存在“/etc/sysconfig/network-scripts”目录下，ifcfg-eth0包含第一块网卡的配置信息，ifcfg-eth1包含第二块网卡的配置信息。
  上面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例：
  DEVICE=eth0
  IPADDR=208.164.186.1
  NETMASK=255.255.255.0
  NETWORK=208.164.186.0
  BROADCAST=208.164.186.255
  ONBOOT=yes
  BOOTPROTO=none
  USERCTL=no
  若希望手工修改网络地点或在新的接口上增长新的网络界面，可以经过修改对应的文件（ifcfg-ethN）或创立新的文件来实现。
  DEVICE=name
  name表示物理设备的名字
  IPADDR=addr
  addr表示赋给该卡的IP地点
  NETMASK=mask
  mask表示网络掩码
  NETWORK=addr
  addr表示网络地点
  BROADCAST=addr
  addr表示广播地点
  ONBOOT=yes/no
  启动时能否激活该卡
  none：
  无须启动协议
  bootp：
  利用bootp协议
  dhcp：
  利用dhcp协议
  USERCTL=yes/no
  能否允许非root用户控制该设备
  */etc/resolv.conf 文件
  该文件是由域名解析器（resolver，一个根据主机名解析IP地点的库）利用的配置文件，示比方下：
  search openarch.com
  nameserver 208.164.186.1
  nameserver 208.164.186.2
  “search domainname.com”
  表示当提供了一个不包括完全域名的主机名时，在该主机名后添加domainname.com的后缀；“nameserver”表示解析域名时利用该地点指定的主机为域名服务器。其中域名服务器是根据文件中呈现的次序来盘问的。
  */etc/host.conf 文件
  --------------------------------------------------------------------------------
  该文件指定如何解析主机名。Linux经过解析器库来获得主机名对应的IP地点。上面是一个“/etc/host.conf”的示例：
  order bind,hosts
  multi on
  ospoof on
  “order bind,hosts”
  指定主机名盘问次序，这里规定先利用DNS来解析域名，然后再盘问“/etc/hosts”文件(也可以相反)。
  “multi on”指定能否“/etc/hosts”文件中指定的主机可以有多个地点，拥有多个IP地点的主机一样平常称为多穴主机。
  “nospoof on”指不允许对该服务器进行IP地点欺骗。IP欺骗是一种攻击体系宁静的本领，经过把IP地点伪装成别的盘算机，来获得其它盘算机的信任。
  */etc/sysconfig/network 文件
  该文件用来指定服务器上的网络配置信息，上面是一个示例：
  NETWORK=yes
  RORWARD_IPV4=yes
  HOSTNAME=deep.openarch.com
  GAREWAY=0.0.0.0
  GATEWAYDEV=
  NETWORK=yes/no　　　　
  网络能否被配置；
  FORWARD_IPV4=yes/no　　　　
  能否开启IP转发功效
  HOSTNAME=hostname hostname
  表示服务器的主机名
  GAREWAY=gw-ip　　　　
  gw-ip表示网络网关的IP地点
  GAREWAYDEV=gw-dev　　
  gw-dw表示网关的设备名，如：etho等
  细致：为了和老的软件相兼容，“/etc/HOSTNAME”文件应该用和HOSTNAME=hostname雷同的主机名。
  */etc/hosts 文件
  当机器启动时，在可以盘问DNS曩昔，机器必要盘问一些主机名到IP地点的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下，体系上的所有网络步伐都经过盘问该文件来解析对应于某个主机名的IP地点。
  上面是一个“/etc/hosts”文件的示例：
  最左边一列是主机IP信息，中心一列是主机名。任何背面的列都是该主机的别名。一旦配置完机器的网络配置文件，应该重新启动网络以使修改生效。利用上面的命令来重新启动网络：
  /etc/rc.d/init.d/network restart
  * /etc/inetd.conf 文件
  众所周知，作为服务器来说，服务端口开放越多，体系宁静稳定性越难以包管。所以提供特定服务的服务器应该尽大概开放提供服务必不可少的端口，而将与服务器服务无关的服务关闭，好比：一台作为www和ftp服务器的机器，应该只开放80和25端口，而将其他无关的服务如：finger auth等服务关掉，以减少体系毛病。
  而inetd，也叫作“超等服务器”，就是监督一些网络请求的守护进程，其根据网络请求来调用相应的服务进程来处理毗连请求。inetd.conf则是inetd的配置文件。inetd.conf文件告诉inetd监听哪些网络端口，为每个端口启动哪个服务。
  --------------------------------------------------------------------------------
  在任何的网络环境中利用Linux体系，第一件要做的事就是了解一下服务器到底要提供哪些服务。不必要的那些服务应该被禁止掉，最好卸载掉，这样黑客就少了一些攻击体系的机会。
  查看“/etc/inetd.conf”文件，了解一下inetd提供哪些服务。用加上注释的方法（在一行的扫尾加上#号），禁止任何不必要的服务，再给inetd进程发一个SIGHUP信号。
  第一步：把文件的允许权限改成600。
  [root@deep]# chmod 600 /etc/inetd.conf
  第二步：确信文件的所有者是root。
  [root@deep]# stat /etc/inetd.conf
  第三步：编辑“inetd.conf”文件（vi /etc/inetd.conf），禁止所有不必要的服务，如：ftp、 telnet、 shell、 login、 exec、talk、ntalk、 imap、 pop-2、pop-3、finger、auth，等等。
  要是你觉得某些服务有用，可以不禁止这些服务。但是，把这些服务禁止掉，体系受攻击的大概性就会小很多。转变后的“inetd.conf”文件的内容如上面所示：
  # To re-read this file after changes, just do a 'killall -HUP inetd'
  #
  #echo stream tcp nowait root internal
  #echo dgram udp wait root internal
  #discard stream tcp nowait root internal
  #discard dgram udp wait root internal
  #daytime stream tcp nowait root internal
  #daytime dgram udp wait root internal
  #chargen stream tcp nowait root internal
  #chargen dgram udp wait root internal
  #time stream tcp nowait root internal
  #time dgram udp wait root internal
  #
  # These are standard services.
  #
  #ftp stream tcp nowait root
  /usr/sbin/tcpd in.ftpd -l -a
  #telnet stream tcp nowait root
  /usr/sbin/tcpd in.telnetd
  #
  # Shell, login, exec, comsat and talk are BSD protocols.
  #
  #shell stream tcp nowait root
  /usr/sbin/tcpd in.rshd
  #login stream tcp nowait root
  /usr/sbin/tcpd in.rlogind
  #exec stream tcp nowait root
  /usr/sbin/tcpd in.rexecd
  #comsat dgram udp wait root
  /usr/sbin/tcpd in.comsat
  #talk dgram udp wait root
  /usr/sbin/tcpd in.talkd
  #ntalk dgram udp wait root
  /usr/sbin/tcpd in.ntalkd
  #dtalk stream tcp wait nobody
  /usr/sbin/tcpd in.dtalkd
  #
  # Pop and imap mail services et al
  #
  #pop-2 stream tcp nowait root
  /usr/sbin/tcpd ipop2d
  #pop-3 stream tcp nowait root
  /usr/sbin/tcpd ipop3d
  #imap stream tcp nowait root
  /usr/sbin/tcpd imapd
  #
  # The Internet UUCP service.
  #
  #uucp stream tcp nowait uucp
  /usr/sbin/tcpd /usr/lib/uucp/uucico -l
  #
  # Tftp service is provided primarily
  for booting. Most sites
  # run this only on machines acting as
  "boot servers." Do not uncomment
  # this unless you *need* it.
  #
  #tftp dgram udp wait root
  /usr/sbin/tcpd in.tftpd
  #bootps dgram udp wait root
  /usr/sbin/tcpd bootpd
  #
  # Finger, systat and netstat give out
  user information which may be
  # valuable to potential "system crackers."
  Many sites choose to disable
  # some or all of these services to improve security.
  #
  #finger stream tcp nowait root
  /usr/sbin/tcpd in.fingerd
  #cfinger stream tcp nowait root
  /usr/sbin/tcpd in.cfingerd
  #systat stream tcp nowait guest
  /usr/sbin/tcpd /bin/ps -auwwx
  #netstat stream tcp nowait guest
  /usr/sbin/tcpd /bin/netstat -f inet
  #
  # Authentication
  #
  #auth stream tcp nowait nobody
  /usr/sbin/in.identd in.identd -l -e -o
  #
  # End of inetd.conf
  --------------------------------------------------------------------------------
  细致：转变了“inetd.conf”文件之后，别忘了给inetd进程发一个SIGHUP信号（killall –HUP inetd）。
  [root@deep /root]# killall -HUP inetd
  第四步：
  为了包管“inetd.conf”文件的宁静，可以用chattr命令把它设成不可转变。把文件设成不可转变的只要用上面的命令：
  [root@deep]# chattr +i /etc/inetd.conf
  这样可以制止“inetd.conf”文件的任何转变（意外或是别的缘故原由）。一个有“i”属性的文件是不克不及被窜改的：不克不及删除或重命名，不克不及创立这个文件的链接，不克不及往这个文件里写数据。只要体系办理员才气设置和清除这个属性。要是要转变inetd.conf文件，你必需先清除这个不允许转变的标记：
  [root@deep]# chattr -i /etc/inetd.conf
  但是对于诸如sendmail，named，www等服务，由于它们不象finger，telnet等服务，在请求到来时由inet守护进程启动相应的进程提供服务，而是在体系启动时，作为守护进程运行的。
  而对于redhat linux，提供了一个linuxconfig命令，可以经过它在图形界面下交互式地设置能否在启动时运行相干服务。也可以经过命令来设置能否启动时启动某个服务，如：[root@deep]# chkconfig –level 35 named off。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：