Linux網絡服務器配置基礎詳解 (2)


Linux網絡服務器配置基礎詳解 (2)



Linux網絡服務器配置基礎詳解 (2)


若希望手工修改網絡地址或在新的接口上增加新的網絡界面,可以通過修改對應的文件(ifcfg-ethN)或創建新的文件來實現。


DEVICE=name    


name表示物理設備的名字


IPADDR=addr    


addr表示賦給該卡的IP地址


NETMASK=mask    


mask表示網絡掩碼


NETWORK=addr    


addr表示網絡地址


BROADCAST=addr  


addr表示廣播地址


ONBOOT=yes/no  


啟動時是否激活該卡


none:


無須啟動協議


bootp:


使用bootp協議


dhcp:


使用dhcp協議


USERCTL=yes/no      


是否允許非root用戶控制該設備


*/etc/resolv.conf 文件


該文件是由域名解析器(resolver,一個根據主機名解析IP地址的庫)使用的配置文件,示例如下:










search openarch.com
nameserver 208.164.186.1
nameserver 208.164.186.2
“search domainname.com”


表示當提供瞭一個不包括完全域名的主機名時,在該主機名後添加domainname.com的後綴;“nameserver”表示解析域名時使用該地址指定的主機為域名服務器。其中域名服務器是按照文件中出現的順序來查詢的。


*/etc/host.conf 文件


該文件指定如何解析主機名。Linux通過解析器庫來獲得主機名對應的IP地址。下面是一個“/etc/host.conf”的示例:










order bind,hosts

  multi on

  ospoof on

  “order bind,hosts”


指定主機名查詢順序,這裡規定先使用DNS來解析域名,然後再查詢“/etc/hosts”文件(也可以相反)。


“multi on”指定是否“/etc/hosts”文件中指定的主機可以有多個地址,擁有多個IP地址的主機一般稱為多穴主機。


“nospoof on”指不允許對該服務器進行IP地址欺騙。IP欺騙是一種攻擊系統安全的手段,通過把IP地址偽裝成別的計算機,來取得其它計算機的信任。


*/etc/sysconfig/network 文件


該文件用來指定服務器上的網絡配置信息,下面是一個示例:


NETWORK=yes


RORWARD_IPV4=yes


HOSTNAME=deep.openarch.com


GAREWAY=0.0.0.0


GATEWAYDEV=


NETWORK=yes/no    


網絡是否被配置;


FORWARD_IPV4=yes/no    


是否開啟IP轉發功能


HOSTNAME=hostname hostname


表示服務器的主機名


GAREWAY=gw-ip    


gw-ip表示網絡網關的IP地址


GAREWAYDEV=gw-dev  


gw-dw表示網關的設備名,如:etho等


註意:為瞭和老的軟件相兼容,“/etc/HOSTNAME”文件應該用和HOSTNAME=hostname相同的主機名。


*/etc/hosts 文件


當機器啟動時,在可以查詢DNS以前,機器需要查詢一些主機名到IP地址的匹配。這些匹配信息存放在/etc/hosts文件中。在沒有域名服務器情況下,系統上的所有網絡程序都通過查詢該文件來解析對應於某個主機名的IP地址。


下面是一個“/etc/hosts”文件的示例:


最左邊一列是主機IP信息,中間一列是主機名。任何後面的列都是該主機的別名。一旦配置完機器的網絡配置文件,應該重新啟動網絡以使修改生效。使用下面的命令來重新啟動網絡:










/etc/rc.d/init.d/network restart


* /etc/inetd.conf 文件


眾所周知,作為服務器來說,服務端口開放越多,系統安全穩定性越難以保證。所以提供特定服務的服務器應該盡可能開放提供服務必不可少的端口,而將與服務器服務無關的服務關閉,比如:一臺作為www和ftp服務器的機器,應該隻開放80和25端口,而將其他無關的服務如:finger auth等服務關掉,以減少系統漏洞。


而inetd,也叫作“超級服務器”,就是監視一些網絡請求的守護進程,其根據網絡請求來調用相應的服務進程來處理連接請求。inetd.conf則是inetd的配置文件。inetd.conf文件告訴inetd監聽哪些網絡端口,為每個端口啟動哪個服務。


在任何的網絡環境中使用Linux系統,第一件要做的事就是瞭解一下服務器到底要提供哪些服務。不需要的那些服務應該被禁止掉,最好卸載掉,這樣黑客就少瞭一些攻擊系統的機會。


查看“/etc/inetd.conf”文件,瞭解一下inetd提供哪些服務。用加上註釋的方法(在一行的開頭加上#號),禁止任何不需要的服務,再給inetd進程發一個SIGHUP信號。


第一步:把文件的許可權限改成600。










[[email protected]]# chmod 600 /etc/inetd.conf


第二步:確信文件的所有者是root。










[[email protected]]# stat /etc/inetd.conf

0 個評論

要回覆文章請先登錄註冊