Linux网络服务器配置详解行安全的配置Word文件下载.docx
《Linux网络服务器配置详解行安全的配置Word文件下载.docx》由会员分享,可在线阅读,更多相关《Linux网络服务器配置详解行安全的配置Word文件下载.docx(11页珍藏版)》请在冰点文库上搜索。
options3c509io=0x300,0x320
这是说明3c509的驱动程序应当分别以eth0或eth1的名称被加载(aliaseth0,eth1),并且它们应该以参数io=0x300,0x320被装载,来通知驱动程序到哪里去寻找网卡,其中0x是不可缺少的。
对于PCI卡,仅仅需要alias命令来使ethN和适当的驱动模块名关联,PCI卡的IO地址将会被自动的检测到。
对于PCI卡,编辑“conf.modules”文件如下:
aliaseth03c905
aliaseth13c905
若驱动已经被编译进了内核:
系统启动时的PCI检测程序将会自动找到所有相关的网卡。
ISA卡一般也能够被自动检测到,但是在某些情况下,ISA卡仍然需要做下面的配置工作:
在“/etc/lilo.conf”中增加配置信息,其方法是通过LILO程序将启动参数信息传递给内核。
对于ISA卡,编辑“lilo.conf”文件,增加如下内容:
append="
ether="
0,0,eth0ether="
0,0,eth1"
注:
先不要在“lilo.conf”中加入启动参数,测试一下你的ISA卡,若失败再使用启动参数。
如果用传递启动参数的方法,eth0和eth1将按照启动时被发现的顺序来设置。
*/etc/HOSTNAME文件
该文件包含了系统的主机名称,包括完全的域名,如:
。
*/etc/sysconfig/network-scripts/ifcfg-ethN文件
在RedHat中,系统网络设备的配置文件保存在“/etc/sysconfig/network-scripts”目录下,ifcfg-eth0包含第一块网卡的配置信息,ifcfg-eth1包含第二块网卡的配置信息。
下面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例:
DEVICE=eth0
IPADDR=208.164.186.1
NETMASK=255.255.255.0
NETWORK=208.164.186.0
BROADCAST=208.164.186.255
ONBOOT=yes
BOOTPROTO=none
USERCTL=no
若希望手工修改网络地址或在新的接口上增加新的网络界面,可以通过修改对应的文件(ifcfg-ethN)或创建新的文件来实现。
DEVICE=name
name表示物理设备的名字
IPADDR=addr
addr表示赋给该卡的IP地址
NETMASK=mask
mask表示网络掩码
NETWORK=addr
addr表示网络地址
BROADCAST=addr
addr表示广播地址
ONBOOT=yes/no
启动时是否激活该卡
none:
无须启动协议
bootp:
使用bootp协议
dhcp:
使用dhcp协议
USERCTL=yes/no
是否允许非root用户控制该设备
*/etc/resolv.conf文件
该文件是由域名解析器(resolver,一个根据主机名解析IP地址的库)使用的配置文件,示例如下:
search
nameserver208.164.186.1
nameserver208.164.186.2
“search”
表示当提供了一个不包括完全域名的主机名时,在该主机名后添加的后缀;
“nameserver”表示解析域名时使用该地址指定的主机为域名服务器。
其中域名服务器是按照文件中出现的顺序来查询的。
*/etc/host.conf文件
在任何的网络环境中使用Linux系统,第一件要做的事就是了解一下服务器到底要提供哪些服务。
不需要的那些服务应该被禁止掉,最好卸载掉,这样黑客就少了一些攻击系统的机会。
查看“/etc/inetd.conf”文件,了解一下inetd提供哪些服务。
用加上注释的方法(在一行的开头加上#号),禁止任何不需要的服务,再给inetd进程发一个SIGHUP信号。
第一步:
把文件的许可权限改成600。
[root@deep]#chmod600/etc/inetd.conf
第二步:
确信文件的所有者是root。
[root@deep]#stat/etc/inetd.conf
第三步:
编辑“inetd.conf”文件(vi/etc/inetd.conf),禁止所有不需要的服务,如:
ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等。
如果你觉得某些服务有用,可以不禁止这些服务。
但是,把这些服务禁止掉,系统受攻击的可能性就会小很多。
改变后的“inetd.conf”文件的内容如下面所示:
#Tore-readthisfileafterchanges,justdoa'
killall-HUPinetd'
#
#echostreamtcpnowaitrootinternal
#echodgramudpwaitrootinternal
#discardstreamtcpnowaitrootinternal
#discarddgramudpwaitrootinternal
#daytimestreamtcpnowaitrootinternal
#daytimedgramudpwaitrootinternal
#chargenstreamtcpnowaitrootinternal
#chargendgramudpwaitrootinternal
#timestreamtcpnowaitrootinternal
#timedgramudpwaitrootinternal
#Thesearestandardservices.
#ftpstreamtcpnowaitroot
/usr/sbin/tcpdin.ftpd-l-a
#telnetstreamtcpnowaitroot
/usr/sbin/tcpdin.telnetd
#Shell,login,exec,comsatandtalkareBSDprotocols.
#shellstreamtcpnowaitroot
/usr/sbin/tcpdin.rshd
#loginstreamtcpnowaitroot
/usr/sbin/tcpdin.rlogind
#execstreamtcpnowaitroot
/usr/sbin/tcpdin.rexecd
#comsatdgramudpwaitroot
/usr/sbin/tcpdsat
#talkdgramudpwaitroot
/usr/sbin/tcpdin.talkd
#ntalkdgramudpwaitroot
/usr/sbin/tcpdin.ntalkd
#dtalkstreamtcpwaitnobody
/usr/sbin/tcpdin.dtalkd
#Popandimapmailservicesetal
#pop-2streamtcpnowaitroot
/usr/sbin/tcpdipop2d
#pop-3streamtcpnowaitroot
/usr/sbin/tcpdipop3d
#imapstreamtcpnowaitroot
/usr/sbin/tcpdimapd
#TheInternetUUCPservice.
#uucpstreamtcpnowaituucp
/usr/sbin/tcpd/usr/lib/uucp/uucico-l
#Tftpserviceisprovidedprimarily
forbooting.Mostsites
#runthisonlyonmachinesactingas
"
bootservers."
Donotuncomment
#thisunlessyou*need*it.
#tftpdgramudpwaitroot
/usr/sbin/tcpdin.tftpd
#bootpsdgramudpwaitroot
/usr/sbin/tcpdbootpd
#Finger,systatandnetstatgiveout
userinformationwhichmaybe
#valuabletopotential"
systemcrackers."
Manysiteschoosetodisable
#someoralloftheseservicestoimprovesecurity.
#fingerstreamtcpnowaitroot
/usr/sbin/tcpdin.fingerd
#cfingerstreamtcpnowaitroot
/usr/sbin/tcpdin.cfingerd
#systatstreamtcpnowaitguest
/usr/sbin/tcpd/bin/ps-auwwx
#netstatstreamtcpnowaitguest
/usr/sbin/tcpd/bin/netstat-finet
#
#Authentication
#authstreamtcpnowaitnobody
/usr/sbin/in.identdin.identd-l-e-o
#Endofinetd.conf
注意:
改变了“inetd.conf”文件之后,别忘了给inetd进程发一个SIGHUP信号(killall–HUPinetd)。
[root@deep/root]#killall-HUPinetd
第四步:
为了保证“inetd.conf”文件的安全,可以用chattr命令把它设成不可改变。
把文件设成不可改变的只要用下面的命令:
[root@deep]#chattr+i/etc/inetd.conf
这样可以避免“inetd.conf”文件的任何改变(意外或是别的原因)。
一个有“i”属性的文件是不能被改动的:
不能删除或重命名,不能创建这个文件的链接,不能往这个文件里写数据。
只有系统管理员才能设置和清除这个属性。
如果要改变inetd.conf文件,你必须先清除这个不允许改变的标志:
[root@deep]#chattr-i/etc/inetd.conf
但是对于诸如sendmail,named,www等服务,由于它们不象finger,telnet等服务,在请求到来时由inet守护进程启动相应的进程提供服务,而是在系统启动时,作为守护进程运行的。
而对于redhatlinux,提供了一个linuxconfig命令,可以通过它在图形界面下交互式地设置是否在启动时运行相关服务。
也可以通过命令来设置是否启动时启动某个服务,如:
[root@deep]#chkconfig–level35namedoff。