『壹』 無線路由器dhcp怎麼設置
DHCP就是動態主機配置協議(Dynamic Host Configuration Protocol),它的目的就是為了減輕TCP/IP網路的規劃、管理和維護的負擔,解決IP地址空間缺乏問題。這種網路服務有利於對網路中的客戶機 IP地址進行有效管理。那麼無線路由器dhcp怎麼設置呢?
DHCP功能分為兩個部份:一個是伺服器端,而另一個是客戶端(客戶端不用安裝,windows 9x/2000/xp 在默認情況下都啟動DHCP Client服務)。DHCP透過「租約」的概念,有效且動態的.分配客戶端的TCP/IP設定。下面我們將結合TP-LINK的寬頻路由器TL-R410 具體說明DHCP伺服器的功能。
DHCP它的前身是 BOOTP。BOOTP 原本是用於無磁碟主機連接的網路上面的:網路主機使用 BOOT ROM 而不是磁碟起動並連接上網路,BOOTP 則可以自動地為那些主機設定 TCP/IP 環境。但 BOOTP 有一個缺點:您在設定前須事先獲得客戶端的硬體地址,而且,與 IP 的對應是靜態的。換而言之,BOOTP 非常缺乏 "動態性" ,若在有限的 IP 資源環境中,BOOTP 的一對一對應會造成非常可觀的浪費。
DHCP 可以說是 BOOTP 的增強版本,它分為兩個部份:一個是伺服器端,而另一個是客戶端。所有的 IP 網路設定數據都由 DHCP 伺服器集中管理,並負責處理客戶端的 DHCP 要求;而客戶端則會使用從伺服器分配下來的IP環境數據。比較起 BOOTP ,DHCP 透過 "租約" 的概念,有效且動態的分配客戶端的 TCP/IP 設定,而且,作為兼容考慮,DHCP 也完全照顧了 BOOTP Client 的需求。 DHCP 的分配形式 首先,必須至少有一台 DHCP 工作在網路上面,它會監聽網路的 DHCP 請求,並與客戶端磋商 TCP/IP 的設定環境。
如何設置DHCP伺服器?
今天我們以最常見的TL-R410為例,詳細講解如何設置DHCP伺服器。
1)、首先登陸路由器界面,初始登陸帳號為192.168.1.1,密碼為admin,登陸WEB管理界面後,就可以看到路由器設置向導
然後可以看到左邊有一項」DHCP伺服器「選項,選擇DHCP伺服器,可以看到有三個子文件,DHCP功能、客戶端列表和靜態地址分配。選擇DHCP服務,將進入如下的設置畫面
首先選擇啟用DHCP伺服器(如上圖),這樣就可以利用自動分配地址功能。地址池開始地址:DHCP伺服器所自動分配的IP的起始地址。地址池結束地 址:DHCP伺服器所自動分配的IP的結束地址。網關:可選項,建議填入路由器LAN口的IP地址,預設是192.168.1.1,預設域名可不填,DNS可詢問當地ISP運營商或查詢DNS地址
注意:為了使用該路由器的DHCP伺服器功能,區域網中各計算機的TCP/IP協議必須設置為「自動獲得IP地址」。此功能需要重啟路由器才能生效。
『貳』 如何添加windows無盤伺服器與設置
一般的步驟,客戶機掛硬碟裝系統,然後在伺服器添加此工作站,然後客戶機安裝無盤軟體客戶端(此時是掛載硬碟的),在伺服器對此客戶機開超級用戶,然後通過無盤軟體客戶端上傳系統。上傳完後就可以無盤啟動了。 大部分的無盤軟體均是這個步驟。也就是說需要一個網路伺服器。
詳細方法:具體安裝過程:
1.雙擊BXP的安裝文件BXP2.5_evalxi.exe,開始安裝。(BXP2.5_evalxi.exe為BXP 2.5的測試版,只能連接兩個用戶,且虛擬磁碟的空間限制在2G以內,《無盤網路完全教程—提高篇》一書配置光碟的「純無盤windows xp相關文件\BXP2.5」目錄下有此安裝文件。文件自動解壓後,開始安裝,出現一個「Welcome」的歡迎安裝界面。
2.若需要查閱BXP的英文安裝文檔,則可以單擊「View」按鈕;若不需查閱則單擊「Install」按鈕開始安裝。
3.在閱讀產品授權協議書並表示同意之後,便可以繼續安裝,後面的幾個步驟可以按默認值設置,當出現「Setup Type」時,需根據具體情況來時行選擇,由於本例只使用一台伺服器,所以可以選擇第一項,即「Full Server」
4.單擊「Next」出現「Select Components」界面,
在組件列表中有以下兩個組件:
? ? 「Tellurian DHPC Server」 BXP內置的DHCP伺服器組件,選擇此組件時,在後續步驟中,系統將會自動安裝BXP內置的DHCP模塊,若不準備使用外部的DHCP來為BXP提供服務,可以選中此選項,當然此項選中後,外部的DHCP仍可以照常使用,也就是說在BXP管理器中可以選擇使用哪一個DCHP,因此在這里我們先選中此項目。
? ? 「Embedded Tools」 嵌入工具組件,此組件可以在窗口中嵌入XP,類似於XP的遠程桌面。
注意:
如果內置上的 DHCP 組件被選擇,那麼就不能配置BOOTP方式啟動無盤工作站。 當選擇DHCP組件時,可以不安裝微軟DHCP組件。
5.後面幾個步驟要按默認值設置,本例使用的BXP 2.5的測試版,所以沒有注冊界面,若需正式使用,需購買正式版,並正確進行注冊。最後出現「Setup complete」 對話框,
單擊「Finish」按鈕,完成BXP的安裝。
4 配置BXP伺服器組件
配置BXP伺服器組件包括以下幾個內容:
? ? 配置BXP相關的服務
? ? 配置DHCP服務(在需要的情況下)
? ? 產生並且處理BXP客戶登錄
4.1 配置BXP相關的服務
在配置一個BXP伺服器之前,必須確定以下服務組件已正確安裝在伺服器:
? ? 3 Com BOOTP 服務 或3 Com PXE 服務
? ? BXP TFTP 服務
? ? BXP IO 服務
? ? BXP 登錄服務
1.引導方式的選擇
BXP工作站的引導方式有兩種,一種為PXE方式,另一種為BOOTP方式;PXE是通過DHCP服務動態地為工作站分配IP地址,其網路構在PXE的網路結構DHCP伺服器和BXP伺服器可以作到一台計算機上。 在BOOTP 引導方式下,工作站的IP地址是固定的,每個工作站必須在伺服器上手動地指定。其網路結構如無盤系統採用何種啟動方式,取決於不同的應用環境,在小型的較單一的網路中建立使用PXE方式,對於較大型的網路,尤其是多種網路混合組網時,應用採用BOOTP方式。以下的設置以PXE為例進行說明。
2.配置PXE服務
在伺服器上,打開「控制面板」,雙擊「3 COM PXE」圖標。如果出現警告信息,說明 PXE服務還沒有啟動,單擊「是」按鈕,若已安裝Windows 2000 自帶的DHCP,系統將提示已安裝DHCP,將禁用BXP內置的DHCP,單擊「確定」,此時出現「3COM PXE」對話框。在「Options」標簽中的Data files框中,輸入BOOTPTAB文件及其正確的路徑,也可以單「Browse」找到此文件,由於事先已安裝了Windows 2000自帶的DHCP,所以「Proxy DHCP」為不可用狀態,單擊「Network Adapters」標簽,在伺服器IP地址列表中,選中要綁定的IP地址,本例為198.168.0.1單擊「OK」按鈕,完成PXE伺服器設置。
3.配置 Venturcom TFTP 服務
打開伺服器的「控制面板」,雙擊「Venturcom TFTP Service」圖標,出現「TFTP Settings」對話框,單擊「TFTP Option」標簽,在「Transmit (GET) directory」框中為啟動引導文件 Vldrmi13.bin所在路徑,若在在安裝期間是以默認的路徑安裝的BXP,則此文件的路徑為 C:\ Program Files\Venturcom\BXP\ Tftpboot),設置好後單擊「TFTP Network」標簽,將TFTP服務綁定到相關的IP地址上,本例為198.168.0.1,單擊「確定」按鈕,結束BXP的TFTP的設置。
4.配置 BXP IO 服務
在伺服器上,建立一個用來存放所有的虛擬磁碟映象文件的文件夾,例如:D:\VLD,請確定此文件夾所在的磁碟有足夠的硬碟空間。單擊「開始」菜單→選擇「程序」→ Venturcom BXP→ 「BXP IO Service Preferences」,出現「BXP IO Service Preferences」對話框,單擊「Virtual disks directory」框後面的「Browse」按鈕,在彈出的「Select Directory」對話框中選擇我們在前面建立的用以存放虛擬磁碟映象文件的文件夾D:\VLD,在「IP Settings」的列表中,選中「198.168.0.1」,其它選項可以按默認值設置,完成後,單擊「OK」按鈕,完成配置 BXP IO 服務的配置。
5.配置BXP登錄服務
在伺服器上,單擊「開始」菜單→選擇「程序」→ Venturcom BXP→ BXP Login Service Preferences,出現「Login Service Preferences」 對話框,檢查資料庫路徑是否正確定(默認情況下在C:\ Program 文件\Venturcom\BXP\ VLD.MDB),單擊「Browse」按鈕可以選擇一個不同的資料庫。在「IP Settings」列表中綁定「198.168.0.1」,其它的選項可以按默認值進行設置,單擊「OK」按鈕,完成登錄服務的配置。
4.2 啟動BXP相關的服務
打開伺服器「控制面板」,雙擊「管理工具」圖標,打開管理工具窗口,雙擊「服務」圖標,出現「服務」對話框,按以下順序啟動各項服務並將它們設置為自動運行。
? ? 3Com BOOTP 或 3Com PXE
? ? BXP TFTP Service
? ? BXP Adaptive Boot Server (此服務無需配置)
? ? BXP IO Service
? ? BXP Login Service
? ? BXP Write Cache I/O Server (此服務無需配置)
服務啟動並設置完畢後
4.3 配置DHCP服務
如果使用Windows 2000 系統的自帶的DHCP,那麼配置DHCP服務的方法與PXE無盤Windows 98完全相同,詳細情況請參見本叢書基礎篇的第7章相關內容。若伺服器採用Windows 2000 Workstion 或Windows XP等不帶DHCP的操作系統,則可以設置BXP的DHCP,以完成PXE的啟動過程。
5 配置BXP管理程序
5.1 管理程序概述
BXP 管理程序有管理IO伺服器、工作站帳號、虛擬磁碟和配置啟動文件路徑等功能。使用管理程序對數據的修改都被儲存在BXP資料庫中(VLD.MDB)。
單擊「開始」菜單→程序→ Venturcom BXP→BXP Administrator就可以打開BXP管理程序,當BXP的各項伺服器都啟動時,由於還沒有建立工作站帳號、虛擬磁碟,及沒有添加IO伺服器,所以在列表中只有一個登錄伺服器的圖標,在後繼章節設置完成後,就會出現在列表中。
5.2 管理程序的使用
1. 1. 配置自引導文件
單擊「開始」菜單→程序→ Venturcom BXP→BXP Administrator就可以打開BXP管理程序。單擊「Tools」菜單,選擇「Configure Bootstrap」命令,在「Path」框中,輸入引導文件及其路徑,也可以單擊「Browse」按鈕,在「打開」窗口中找到此文件,默認情況下引導文件為:C:\ Program Files\Venturcom\BXP\ TFTPBoot\VLDBMI13.BIN。其它選項均按默認值設置。完成後,單擊「OK」按鈕完成設置。
2. 2. 注冊IO伺服器
在安裝BXP伺服器時,IO服務組件已自動安裝,本機的IO伺服器,必須在資料庫中注冊登記後才能正常的使用。
注意:
本實例的中只使用一台伺服器,包括IO服務在內的所有組件都安裝在同一台伺服器,當使用多台IO伺服器時,也將外部的IO伺服器加入資料庫。
具體注冊方法如下:
單擊「開始」菜單→程序→ Venturcom BXP→BXP Administrator打開BXP管理程序。從「File」菜單中,單擊「New」→「Server」,出現「New IO Server」對話框。在「Name」框中,輸入IO伺服器的機器名,然後單擊「Resolve」按鈕,此時與此伺服器綁定IP 地址便會在「IP Address」框中顯示出來,若伺服器有多個IP地址,則需手動輸入伺服器的IP地址。
注意:
不要改變埠(port)中的數值。 因為BXP內置程序將使用這個埠。
在「Descriptio」框中,輸入入此IO伺服器的描述信息,例如:I/O伺服器,最後點擊「OK」按鈕。IO 伺服器和登錄伺服器圖標就會在BXP管理界面中出現。 如果BXP服務處於已啟動狀態,則出現由於綠色的熒屏,如果服務處於停止狀態,則圖標以黑色的熒屏出現。
3. 3. 建立虛擬磁碟
創造一個虛擬磁碟前,應確定BXP IO服務已啟動,具體建立過程如下:
單擊「開始」菜單→程序→ Venturcom BXP→BXP Administrator打開BXP管理程序。將管理程序的面板模式改變為「Server」→「Disks」。 操作為:單擊「View」菜單,選擇「Server」→「Disks」。選中IO伺服器圖標,本例為yxzfs1,從「File」菜單中,選擇「New」命令,然後單擊擊「disk」,出現「Add Virtual Disk」對話框,選中「New Disk」選項,在「Virtual disk size in……」框中輸入虛擬磁碟的大小,如果在IO伺服器上的虛擬磁碟目錄為NTFS,最大的磁碟大小是8024MB,其它的方式則最大的虛擬磁碟大小如果 4095MB(以上數據均為正式版,測試版最大容量為2006MB)。
注意:
虛擬磁碟的大小在生成之後是不能改變的。因此要確定分配空間足以滿足客戶需要。
在「Disk name」框中輸入虛擬磁碟的名字,它可以支持長文件名字,在「Description」框中,輸入虛擬磁碟的描述,描述最多允許50個字元,若輸入漢字描述則最多為25個漢字,設置信息輸入後,單擊「OK」按鈕,完成設置,系統開始建立虛擬磁碟,系統可能要花費幾分鍾時間產生虛擬磁碟文件,並出現如圖23所示界面,提示生成虛擬磁碟的進程。
4. 4. 格式化虛擬磁碟
單擊「開始」菜單→程序→ Venturcom BXP→BXP Administrator打開BXP管理程序。. 單擊「View」菜單,選擇「Server」→「Disks」,選擇需格式化的虛擬磁碟,本例為win XP。 從「Tools」菜單下,選擇「Map Virtual Disk」命令,此時可以看到虛擬磁碟的顏色加亮,這個操作的目的是將指定的虛擬磁碟文件在伺服器端產生一個虛擬盤符,操作人員可以對這個虛擬的盤格式化,添加、刪除及修改其中文件。
警告:
正在使用中的的虛擬磁碟,不要映射一個虛擬的磁碟。這樣作,很可能引起虛擬磁碟映象的損壞。
當作完以下映射操作後,打開「我的電腦」就可以看到虛擬磁碟的盤符了,本例為H盤,按常方法對虛擬磁碟進行格式化,完成後需將映射取消工作站才能使用,返回BXP 管理程序界面,選中剛才作映射的虛擬磁碟,然後從「Tools」菜單下,再次單擊「Map Virtual Disk」,使前面的選中鉤去除,從而取消虛擬盤的映射。
5. 5. 建立工作站帳號
建立工作站帳號的方法有以下兩種:
? ? 在工作站端自動添加(注意此方式只有在配置BXP登錄服務期間,已將「Add new clients to data」選項選中時才有效,
? ? 使用BXP管理程序手動的添加
自動生成工作站帳戶的操作:
啟動無盤工作站,修改BIOS設置及網卡相關設置,使用網路遠程引導優先。重新啟動工作站。工作站將會從伺服器到獲得IP地址,接著從伺服器引導系統,最後系統提示輸入工作站帳號名及相關描述,此時可以在工作站的熒屏看到與下列相似的信息:
Venturcom BXP bootstrap v2.0 build 23
Copyright (c) 2002 Venturcom, Inc.
All rights reserved.
UNDI IRQ:000B
Bootstrap loaded at 8AC0:0000 Size 3BFE
Connectiong to the BXP services.Please wait…
Venturcom BXP could not find an entry for this client PC in its database. This may be because it is a new PC. You can enter the information below for this client PC and it will be added to the BXP database, or you can press the ESC key and the MAC address will be used as the client name and description. You can edit this client information later using the BXP Administrator.
Client Name:
Description:
輸入一個工作站的帳號例如:X01,然後按回車,再輸入相關的描述信息,例如「First ws」,按回車確定。系統提示「No virtual disk assgned」(沒有分配虛擬磁碟)。
此時伺服器, 打開BXP管理程序,若如果管理程序已經是打開的,可以按F5進行刷新,在管理程序窗口,將管理界面設置為「Server→Client→Disk」方式,就可以在Clients分支中看到剛才添加進來的工作站帳號X01,
由於工作站X01還沒有分配到虛擬磁碟,所以它目前處於Clinets分支,若它分配了虛擬磁碟後將出現在提供給它虛擬磁碟的IO伺服器圖標下。
為上傳工作站系統,並在有盤工作站中產生虛擬磁碟的映射,在此要將第一個工作站(帶母盤的工作站)設置為硬碟優先,可以在所示界面中,右擊X01工作站圖標,在彈出的快捷菜單中,選擇「Properties」命令,出現「Client Properties」對話框,單擊「Disks」標簽,在「Boot order」下拉列表中,選擇「Hard Disk First」即硬碟優先,單擊「確定」按鈕,完成設置。當系統上傳後,可將此選項設置為「Virtual Disk First」即虛擬盤優先。
使用BXP管理程序手動的添加
單擊「開始」菜單→程序→ Venturcom BXP→BXP Administrator打開BXP管理程序。從「File」菜單中,選擇「New」,再單擊「Client」後出現「New Client」對話框。在Name框中輸入要建立的工作站帳號名,例如X02,在MAC框中輸入工作站網卡的MAC地址,例如00e04c232201,在Descriptio框中輸入相關的描述信息,也可以不輸入描述信息,注意不要改變Port的值,完成後,單擊「確定」按鈕。
6. 6. 為工作站分配虛擬磁碟
打開BXP管理程序,在「View」菜單中,將管理界面設置為「Server→Client→Disk」方式。展開「Clients」分支,右擊需要虛擬磁碟的用戶,例如X01,在彈出的快捷菜單中,選擇「Properties」命令,出現「Client Properties」對話框,單擊「Disks」標簽,單擊「Change」按鈕,出現「Select Virtual Disk」對話框,在「All disks」列表中,展開IO服務分支,本例為yxzfs1,此進可以看到此伺服器中的虛擬磁碟,本例為Win XP,單擊此虛擬磁碟圖標,然後單擊「Add」按鈕,將它加入到右邊的「Attached disks」列表中,單擊「OK」按鈕,返回「Clent Properties」設置界面,此時在IO Server列表可以看到剛才添加過來的虛擬磁碟。單擊「確定」按鈕,返回BXP管理程序界面。此時可以看到,工作站X01的圖標已轉移到yxzfs1的IO伺服器分支上了。
6.7 BXP客戶的安裝及設置
在一個工作站上安裝硬碟及光碟機,將Windows XP安裝並設置好,另外,在安裝BXP客戶端程序之前,需確定以下工作是否完成:
? ? BXP IO伺服器已啟動,且已在BXP
無盤網路,就是一個網路中的所有工作上都不安裝硬碟,而全部通過網路伺服器來啟動,這樣的網路就是無盤網路,這些工作站被稱為無盤工作站。
一種新的網路結構:無盤網路出現了。無盤網路的本意一個是為了降低工作站的成本,但主要卻是為了管理和維護的方便。試想,如果把工作站要用到的操作系統的文件和軟體文件都放到伺服器上,系統的管理和維護都在伺服器上完成,軟體升級只需要配置一次,網路中的所有計算機就都能用上新軟體。
應用范圍 :
1、 適用於學校無盤網路教室的組建或改造
2、 適用於大中小型公司、企事業單位、營業廳等辦公室
3、 適用於游戲吧及Internet 網吧
4、 適用於酒店、KTV歌廳等以vcd 為主的網路
『叄』 linux如何配置網路游戲伺服器
要建立一個安全Linux伺服器就首先要了解Linux環境下和網路服務相關的配置文件的含義及如何進行安全的配置。在Linux系統中,TCP/IP網路是通過若干個文本文件進行配置的,也許你需要編輯這些文件來完成聯網工作,但是這些配置文件大都可以通過配置命令linuxconf(其中網路部分的配置可以通過netconf命令來實現)命令來實現。下面介紹基本的TCP/IP網路配置文件。
*/etc/conf.moles文件
該配置文件定義了各種需要在啟動時載入的模塊的參數信息。這里主要著重討論關於網卡的配置。在使用Linux做網關的情況下,Linux伺服器至少需要配置兩塊網卡。為了減少啟動時可能出現的問題,Linux內核不會自動檢測多個網卡。對於沒有將網卡的驅動編譯到內核而是作為模塊動態載入的系統若需要安裝多塊網卡,應該在「conf.moles」文件中進行相應的配置。
若設備驅動被編譯為模塊(內核的模塊):對於PCI設備,模塊將自動檢測到所有已經安裝到系統上的設備;對於ISA卡,則需要向模塊提供IO地址,以使模塊知道在何處尋找該卡,這些信息在「/etc/conf.moles」中提供。
例如,我們有兩塊ISA匯流排的3c509卡,一個IO地址是0x300,另一個是0x320。編輯「conf.moles」文件如下:
aliaseth03c509
aliaseth13c509
options3c509io=0x300,0x320
這是說明3c509的驅動程序應當分別以eth0或eth1的名稱被載入(aliaseth0,eth1),並且它們應該以參數io=0x300,0x320被裝載,來通知驅動程序到哪裡去尋找網卡,其中0x是不可缺少的。
對於PCI卡,僅僅需要alias命令來使ethN和適當的驅動模塊名關聯,PCI卡的IO地址將會被自動的檢測到。對於PCI卡,編輯「conf.moles」文件如下:
aliaseth03c905
aliaseth13c905
若驅動已經被編譯進了內核:系統啟動時的PCI檢測程序將會自動找到所有相關的網卡。ISA卡一般也能夠被自動檢測到,但是在某些情況下,ISA卡仍然需要做下面的配置工作:
在「/etc/lilo.conf」中增加配置信息,其方法是通過LILO程序將啟動參數信息傳遞給內核。對於ISA卡,編輯「lilo.conf」文件,增加如下內容:
append="ether="0,0,eth0ether="0,0,eth1"
註:先不要在「lilo.conf」中加入啟動參數,測試一下你的ISA卡,若失敗再使用啟動參數。
如果用傳遞啟動參數的方法,eth0和eth1將按照啟動時被發現的順序來設置。
*/etc/HOSTNAME文件
該文件包含了系統的主機名稱,包括完全的域名,如:deep.openarch.com。
*/etc/sysconfig/network-scripts/ifcfg-ethN文件
在RedHat中,系統網路設備的配置文件保存在「/etc/sysconfig/network-scripts」目錄下,ifcfg-eth0包含第一塊網卡的配置信息,ifcfg-eth1包含第二塊網卡的配置信息。
下面是「/etc/sysconfig/network-scripts/ifcfg-eth0」文件的示例:
DEVICE=eth0
IPADDR=208.164.186.1
NETMASK=255.255.255.0
NETWORK=208.164.186.0
BROADCAST=208.164.186.255
ONBOOT=yes
BOOTPROTO=none
USERCTL=no
若希望手工修改網路地址或在新的介面上增加新的網路界面,可以通過修改對應的文件(ifcfg-ethN)或創建新的文件來實現。
DEVICE=name name表示物理設備的名字
IPADDR=addr addr表示賦給該卡的IP地址
NETMASK=mask mask表示網路掩碼
NETWORK=addr addr表示網路地址
BROADCAST=addr addr表示廣播地址
ONBOOT=yes/no 啟動時是否激活該卡
none:無須啟動協議
bootp:使用bootp協議
dhcp:使用dhcp協議
USERCTL=yes/no 是否允許非root用戶控制該設備
*/etc/resolv.conf文件
該文件是由域名解析器(resolver,一個根據主機名解析IP地址的庫)使用的配置文件,示例如下:
searchopenarch.com
nameserver208.164.186.1
nameserver208.164.186.2
「searchdomainname.com」表示當提供了一個不包括完全域名的主機名時,在該主機名後添加domainname.com的後綴;「nameserver」表示解析域名時使用該地址指定的主機為域名伺服器。其中域名伺服器是按照文件中出現的順序來查詢的。
*/etc/host.conf文件
該文件指定如何解析主機名。Linux通過解析器庫來獲得主機名對應的IP地址。下面是一個「/etc/host.conf」的示例:
orderbind,hosts
multion
ospoofon
「orderbind,hosts」指定主機名查詢順序,這里規定先使用DNS來解析域名,然後再查詢「/etc/hosts」文件(也可以相反)。
「multion」指定是否「/etc/hosts」文件中指定的主機可以有多個地址,擁有多個IP地址的主機一般稱為多穴主機。
「nospoofon」指不允許對該伺服器進行IP地址欺騙。IP欺騙是一種攻擊系統安全的手段,通過把IP地址偽裝成別的計算機,來取得其它計算機的信任。
*/etc/sysconfig/network文件
該文件用來指定伺服器上的網路配置信息,下面是一個示例:
NETWORK=yes
RORWARD_IPV4=yes
HOSTNAME=deep.openarch.com
GAREWAY=0.0.0.0
GATEWAYDEV=
NETWORK=yes/no 網路是否被配置;
FORWARD_IPV4=yes/no 是否開啟IP轉發功能
HOSTNAME=hostnamehostname表示伺服器的主機名
GAREWAY=gw-ip gw-ip表示網路網關的IP地址
GAREWAYDEV=gw-dev gw-dw表示網關的設備名,如:etho等
注意:為了和老的軟體相兼容,「/etc/HOSTNAME」文件應該用和HOSTNAME=hostname相同的主機名。
*/etc/hosts文件
當機器啟動時,在可以查詢DNS以前,機器需要查詢一些主機名到IP地址的匹配。這些匹配信息存放在/etc/hosts文件中。在沒有域名伺服器情況下,系統上的所有網路程序都通過查詢該文件來解析對應於某個主機名的IP地址。
下面是一個「/etc/hosts」文件的示例:
IPAddress Hostname Alias
127.0.0.1 Localhost Gate.openarch.com
208.164.186.1 gate.openarch.comGate
………… ………… ………
最左邊一列是主機IP信息,中間一列是主機名。任何後面的列都是該主機的別名。一旦配置完機器的網路配置文件,應該重新啟動網路以使修改生效。使用下面的命令來重新啟動網路:/etc/rc.d/init.d/networkrestart
*/etc/inetd.conf文件
眾所周知,作為伺服器來說,服務埠開放越多,系統安全穩定性越難以保證。所以提供特定服務的伺服器應該盡可能開放提供服務必不可少的埠,而將與伺服器服務無關的服務關閉,比如:一台作為www和ftp伺服器的機器,應該只開放80和25埠,而將其他無關的服務如:fingerauth等服務關掉,以減少系統漏洞。
而inetd,也叫作「超級伺服器」,就是監視一些網路請求的守護進程,其根據網路請求來調用相應的服務進程來處理連接請求。inetd.conf則是inetd的配置文件。inetd.conf文件告訴inetd監聽哪些網路埠,為每個埠啟動哪個服務。在任何的網路環境中使用Linux系統,第一件要做的事就是了解一下伺服器到底要提供哪些服務。不需要的那些服務應該被禁止掉,最好卸載掉,這樣黑客就少了一些攻擊系統的機會。查看「/etc/inetd.conf」文件,了解一下inetd提供哪些服務。用加上注釋的方法(在一行的開頭加上#號),禁止任何不需要的服務,再給inetd進程發一個SIGHUP信號。
第一步:把文件的許可許可權改成600。
[root@deep]#chmod600/etc/inetd.conf
第二步:確信文件的所有者是root。
[root@deep]#stat/etc/inetd.conf
第三步:編輯「inetd.conf」文件(vi/etc/inetd.conf),禁止所有不需要的服務,如:ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等。如果你覺得某些服務有用,可以不禁止這些服務。但是,把這些服務禁止掉,系統受攻擊的可能性就會小很多。改變後的「inetd.conf」文件的內容如下面所示:
#Tore-readthisfileafterchanges,justdoa'killall-HUPinetd'
#
#
#echodgramudpwaitrootinternal
#
#
#
#
#
#
#
#timedgramudpwaitrootinternal
#
#Thesearestandardservices.
#
#ftpstreamtcpnowaitroot/usr/sbin/tcpdin.ftpd-l-a
#telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd
#
#Shell,login,exec,comsatandtalkareBSDprotocols.
#
#shellstreamtcpnowaitroot/usr/sbin/tcpdin.rshd
#loginstreamtcpnowaitroot/usr/sbin/tcpdin.rlogind
#execstreamtcpnowaitroot/usr/sbin/tcpdin.rexecd
#comsatdgramudpwaitroot/usr/sbin/tcpdin.comsat
#talkdgramudpwaitroot/usr/sbin/tcpdin.talkd
#ntalkdgramudpwaitroot/usr/sbin/tcpdin.ntalkd
#dtalkstreamtcpwaitnobody/usr/sbin/tcpdin.dtalkd
#
#Popandimapmailservicesetal
#
#pop-2streamtcpnowaitroot/usr/sbin/tcpdipop2d
#pop-3streamtcpnowaitroot/usr/sbin/tcpdipop3d
#imapstreamtcpnowaitroot/usr/sbin/tcpdimapd
#
#TheInternetUUCPservice.
#
#uucpstreamtcpnowaituucp/usr/sbin/tcpd/usr/lib/uucp/uucico-l
#
#.Mostsites
#runthisonlyonmachinesactingas"bootservers."Donotuncomment
#thisunlessyou*need*it.
#
#tftpdgramudpwaitroot/usr/sbin/tcpdin.tftpd
#bootpsdgramudpwaitroot/usr/sbin/tcpdbootpd
#
#Finger,
#valuabletopotential"systemcrackers."Manysiteschoosetodisable
#.
#
#fingerstreamtcpnowaitroot/usr/sbin/tcpdin.fingerd
#cfingerstreamtcpnowaitroot/usr/sbin/tcpdin.cfingerd
#systatstreamtcpnowaitguest/usr/sbin/tcpd/bin/ps-auwwx
#netstatstreamtcpnowaitguest/usr/sbin/tcpd/bin/netstat-finet
#
#Authentication
#
#authstreamtcpnowaitnobody/usr/sbin/in.identdin.identd-l-e-o
#
#Endofinetd.conf
注意:改變了「inetd.conf」文件之後,別忘了給inetd進程發一個SIGHUP信號(killall–HUPinetd)。
[root@deep/root]#killall-HUPinetd
第四步:
為了保證「inetd.conf」文件的安全,可以用chattr命令把它設成不可改變。把文件設成不可改變的只要用下面的命令:
[root@deep]#chattr+i/etc/inetd.conf
這樣可以避免「inetd.conf」文件的任何改變(意外或是別的原因)。一個有「i」屬性的文件是不能被改動的:不能刪除或重命名,不能創建這個文件的鏈接,不能往這個文件里寫數據。只有系統管理員才能設置和清除這個屬性。如果要改變inetd.conf文件,你必須先清除這個不允許改變的標志:
[root@deep]#chattr-i/etc/inetd.conf
但是對於諸如sendmail,named,www等服務,由於它們不象finger,telnet等服務,在請求到來時由inet守護進程啟動相應的進程提供服務,而是在系統啟動時,作為守護進程運行的。而對於redhatlinux,提供了一個linuxconfig命令,可以通過它在圖形界面下互動式地設置是否在啟動時運行相關服務。也可以通過命令來設置是否啟動時啟動某個服務,如:[root@deep]#chkconfig–level35namedoff
具體命令可以參考manchkconfig的說明。
*/etc/hosts.allow文件
但是對於telnet、ftp等服務,如果將其一同關閉,那麼對於管理員需要遠程管理時,將非常不方便。Linux提供另外一種更為靈活和有效的方法來實現對服務請求用戶的限制,從而可以在保證安全性的基礎上,使可信任用戶使用各種服務。Linux提供了一個叫TCPwrapper的程序。在大多數發布版本中該程序往往是預設地被安裝。利用TCPwrapper你可以限制訪問前面提到的某些服務。而且TCPwrapper的記錄文件記錄了所有的企圖訪問你的系統的行為。通過last命令查看該程序的log,管理員可以獲知誰曾經或者企圖連接你的系統。
在/etc目錄下,有兩個文件:hosts.denyhosts.allow通過配置這兩個文件,你可以指定哪些機器可以使用這些服務,哪些不可以使用這些服務。
當服務請求到達伺服器時,TCPwrapper就按照下列順序查詢這兩個文件,直到遇到一個匹配為止:
1.當在/etc/hosts.allow裡面有一項與請求服務的主機地址項匹配,那麼就允許該主機獲取該服務
2.否則,如果在/etc/hosts.deny裡面有一項與請求服務的主機地址項匹配,就禁止該主機使用該項服務。
3.如果相應的配置文件不存在,訪問控制軟體就認為是一個空文件,所以可以通過刪除或者移走配置文件實現對清除所有設置。在文件中,空白行或者以#開頭的行被忽略,你可以通過在行前加#實現注釋功能。
配置這兩個文件是通過一種簡單的訪問控制語言來實現的,訪問控制語句的基本格式為:
程序名列表:主機名/IP地址列表。
程序名列表指定一個或者多個提供相應服務的程序的名字,名字之間用逗號或者空格分割,可以在inetd.conf文件里查看提供相應服務的程序名:如上面的文件示例中,telent所在行的最後一項就是所需的程序名:in.telnetd。
主機名/IP地址列表指定允許或者禁止使用該服務的一個或者多個主機的標識,主機名之間用逗號或空格分隔。程序名和主機地址都可以使用通配符,實現方便的指定多項服務和多個主機。
Linux提供了下面靈活的方式指定進程或者主機列表:
1.一個以"."起始的域名串,如.amms.ac.cn那麼www.amms.ac.cn就和這一項匹配
2.以"."結尾的IP串如202.37.152.那麼IP地址包括202.37.152.的主機都與這一項匹配。
3.格式為n.n.n.n/m.m.m.m表示網路/掩碼,如果請求服務的主機的IP地址與掩碼的位與的結果等於n.n.n.n那麼該主機與該項匹配。
4.ALL表示匹配所有可能性
5.EXPECT表示除去後面所定義的主機。如:list_1EXCEPTlist_2表示list_1主機列表中除去List_2所列出的主機
6.LOCAL表示匹配所有主機名中不包含"."的主機
上面的幾種方式只是Linux提供的方式中的幾種,但是對於我們的一般應用來說是足夠了。我們通過舉幾個例子來說明這個問題:
例一:我們只希望允許同一個區域網的機器使用伺服器的ftp功能,而禁止廣域網上面的ftp服務請求,本地區域網由202.39.154.、202.39.153.和202.39.152.三個網段組成。
在hosts.deny文件中,我們定義禁止所有機器請求所有服務:
ALL:ALL
在hosts.allow文件中,我們定義只允許區域網訪問ftp功能:
in.ftpd-l–a:202.39.154202.39.153.202.39.152.
這樣,當非區域網的機器請求ftp服務時,就會被拒絕。而區域網的機器可以使用ftp服務。此外,應該定期檢查/var/log目錄下的紀錄文件,發現對系統安全有威脅的登錄事件。last命令可以有效的查看系統登錄事件,發現問題所在。
最後tcpdchk是檢查TCP_WAPPERS配置的程序。它檢查TCP_WAPPERS的配置,並報告它可以發現的問題或潛在的問題。在所有的配置都完成了之後,請運行tcpdchk程序:
[root@deep]#tcpdchk
*/etc/services文件
埠號和標准服務之間的對應關系在RFC1700「AssignedNumbers」中有詳細的定義。「/etc/services」文件使得伺服器和客戶端的程序能夠把服務的名字轉成埠號,這張表在每一台主機上都存在,其文件名是「/etc/services」。只有「root」用戶才有許可權修改這個文件,而且在通常情況下這個文件是沒有必要修改的,因為這個文件中已經包含了常用的服務所對應的埠號。為了提高安全性,我們可以給這個文件加上保護以避免沒有經過授權的刪除和改變。為了保護這個文件可以用下面的命令:
[root@deep]#chattr+i/etc/services
*/etc/securetty文件
「/etc/securetty」文件允許你規定「root」用戶可以從那個TTY設備登錄。登錄程序(通常是「/bin/login」)需要讀取「/etc/securetty」文件。它的格式是:列出來的tty設備都是允許登錄的,注釋掉或是在這個文件中不存在的都是不允許root登錄的。
注釋掉(在這一行的開頭加上#號)所有你想不讓root登錄的tty設備。
編輯securetty文件(vi/etc/securetty)象下面一樣,注釋掉一些行:
tty1
#tty2
#tty3
#tty4
#tty5
#tty6
#tty7
#tty8
*使Control-Alt-Delete關機鍵無效
把「/etc/inittab」文件中的一行注釋掉可以禁止用Control-Alt-Delete關閉計算機。如果伺服器不是放在一個安全的地方,這非常重要。
編輯inittab文件(vi/etc/inittab)把這一行:
ca::ctrlaltdel:/sbin/shutdown-t3-rnow
改為:
#ca::ctrlaltdel:/sbin/shutdown-t3-rnow
用下面的命令使改變生效:
[root@deep]#/sbin/initq
*改變「/etc/rc.d/init.d/」目錄下的腳本文件的訪問許可
/etc/rc.d/init.d/下的腳本主要包含了啟動服務的腳本程序。一般用戶沒有什麼必要知道腳本文件的內容。所以應該改變這些腳本文件的許可權。
[root@deep]#chmod-R700/etc/rc.d/init.d/*
這樣只有root可以讀、寫和執行這個目錄下的腳本。
*/etc/rc.d/rc.local文件
在默認情況下,當登錄裝有Linux系統的計算機時,系統會告訴你Linux發行版的名字、版本號、內核版本和伺服器名稱。這泄露了太多的系統信息。最好只顯示一個「Login:」的提示信息。
第一步:
編輯「/ect/rc.d/rc.local」文件,在下面這些行的前面加上「#」:
--
#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou
#wanttomaketo/etc/.
#echo"">/etc/issue
#echo"$R">>/etc/issue
#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue
#
#cp-f/etc/issue/etc/issue.net
#echo>>/etc/issue
--
第二步:
刪除「/etc」目錄下的「issue.net」和「issue」文件:
[root@deep]#rm-f/etc/issue
[root@deep]#rm-f/etc/issue.net
注意:「/etc/issue.net」文件是用戶從網路登錄計算機時(例如:telnet、SSH),看到的登錄提示。同樣在「」目錄下還有一個「issue」文件,是用戶從本地登錄時看到的提示。這兩個文件都是文本文件,可以根據需要改變。但是,如果想刪掉這兩個文件,必須向上面介紹的那樣把「/etc/rc.d/rc.local」腳本中的那些行注釋掉,否則每次重新啟動的時候,系統又會重新創建這兩個文件。