‘壹’ 无线路由器dhcp怎么设置
DHCP就是动态主机配置协议(Dynamic Host Configuration Protocol),它的目的就是为了减轻TCP/IP网络的规划、管理和维护的负担,解决IP地址空间缺乏问题。这种网络服务有利于对网络中的客户机 IP地址进行有效管理。那么无线路由器dhcp怎么设置呢?
DHCP功能分为两个部份:一个是服务器端,而另一个是客户端(客户端不用安装,windows 9x/2000/xp 在默认情况下都启动DHCP Client服务)。DHCP透过“租约”的概念,有效且动态的.分配客户端的TCP/IP设定。下面我们将结合TP-LINK的宽带路由器TL-R410 具体说明DHCP服务器的功能。
DHCP它的前身是 BOOTP。BOOTP 原本是用于无磁盘主机连接的网络上面的:网络主机使用 BOOT ROM 而不是磁盘起动并连接上网络,BOOTP 则可以自动地为那些主机设定 TCP/IP 环境。但 BOOTP 有一个缺点:您在设定前须事先获得客户端的硬件地址,而且,与 IP 的对应是静态的。换而言之,BOOTP 非常缺乏 "动态性" ,若在有限的 IP 资源环境中,BOOTP 的一对一对应会造成非常可观的浪费。
DHCP 可以说是 BOOTP 的增强版本,它分为两个部份:一个是服务器端,而另一个是客户端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理,并负责处理客户端的 DHCP 要求;而客户端则会使用从服务器分配下来的IP环境数据。比较起 BOOTP ,DHCP 透过 "租约" 的概念,有效且动态的分配客户端的 TCP/IP 设定,而且,作为兼容考虑,DHCP 也完全照顾了 BOOTP Client 的需求。 DHCP 的分配形式 首先,必须至少有一台 DHCP 工作在网络上面,它会监听网络的 DHCP 请求,并与客户端磋商 TCP/IP 的设定环境。
如何设置DHCP服务器?
今天我们以最常见的TL-R410为例,详细讲解如何设置DHCP服务器。
1)、首先登陆路由器界面,初始登陆帐号为192.168.1.1,密码为admin,登陆WEB管理界面后,就可以看到路由器设置向导
然后可以看到左边有一项”DHCP服务器“选项,选择DHCP服务器,可以看到有三个子文件,DHCP功能、客户端列表和静态地址分配。选择DHCP服务,将进入如下的设置画面
首先选择启用DHCP服务器(如上图),这样就可以利用自动分配地址功能。地址池开始地址:DHCP服务器所自动分配的IP的起始地址。地址池结束地 址:DHCP服务器所自动分配的IP的结束地址。网关:可选项,建议填入路由器LAN口的IP地址,缺省是192.168.1.1,缺省域名可不填,DNS可询问当地ISP运营商或查询DNS地址
注意:为了使用该路由器的DHCP服务器功能,局域网中各计算机的TCP/IP协议必须设置为“自动获得IP地址”。此功能需要重启路由器才能生效。
‘贰’ 如何添加windows无盘服务器与设置
一般的步骤,客户机挂硬盘装系统,然后在服务器添加此工作站,然后客户机安装无盘软件客户端(此时是挂载硬盘的),在服务器对此客户机开超级用户,然后通过无盘软件客户端上传系统。上传完后就可以无盘启动了。 大部分的无盘软件均是这个步骤。也就是说需要一个网络服务器。
详细方法:具体安装过程:
1.双击BXP的安装文件BXP2.5_evalxi.exe,开始安装。(BXP2.5_evalxi.exe为BXP 2.5的测试版,只能连接两个用户,且虚拟磁盘的空间限制在2G以内,《无盘网络完全教程—提高篇》一书配置光盘的“纯无盘windows xp相关文件\BXP2.5”目录下有此安装文件。文件自动解压后,开始安装,出现一个“Welcome”的欢迎安装界面。
2.若需要查阅BXP的英文安装文档,则可以单击“View”按钮;若不需查阅则单击“Install”按钮开始安装。
3.在阅读产品授权协议书并表示同意之后,便可以继续安装,后面的几个步骤可以按默认值设置,当出现“Setup Type”时,需根据具体情况来时行选择,由于本例只使用一台服务器,所以可以选择第一项,即“Full Server”
4.单击“Next”出现“Select Components”界面,
在组件列表中有以下两个组件:
? ? “Tellurian DHPC Server” BXP内置的DHCP服务器组件,选择此组件时,在后续步骤中,系统将会自动安装BXP内置的DHCP模块,若不准备使用外部的DHCP来为BXP提供服务,可以选中此选项,当然此项选中后,外部的DHCP仍可以照常使用,也就是说在BXP管理器中可以选择使用哪一个DCHP,因此在这里我们先选中此项目。
? ? “Embedded Tools” 嵌入工具组件,此组件可以在窗口中嵌入XP,类似于XP的远程桌面。
注意:
如果内置上的 DHCP 组件被选择,那么就不能配置BOOTP方式启动无盘工作站。 当选择DHCP组件时,可以不安装微软DHCP组件。
5.后面几个步骤要按默认值设置,本例使用的BXP 2.5的测试版,所以没有注册界面,若需正式使用,需购买正式版,并正确进行注册。最后出现“Setup complete” 对话框,
单击“Finish”按钮,完成BXP的安装。
4 配置BXP服务器组件
配置BXP服务器组件包括以下几个内容:
? ? 配置BXP相关的服务
? ? 配置DHCP服务(在需要的情况下)
? ? 产生并且处理BXP客户登录
4.1 配置BXP相关的服务
在配置一个BXP服务器之前,必须确定以下服务组件已正确安装在服务器:
? ? 3 Com BOOTP 服务 或3 Com PXE 服务
? ? BXP TFTP 服务
? ? BXP IO 服务
? ? BXP 登录服务
1.引导方式的选择
BXP工作站的引导方式有两种,一种为PXE方式,另一种为BOOTP方式;PXE是通过DHCP服务动态地为工作站分配IP地址,其网络构在PXE的网络结构DHCP服务器和BXP服务器可以作到一台计算机上。 在BOOTP 引导方式下,工作站的IP地址是固定的,每个工作站必须在服务器上手动地指定。其网络结构如无盘系统采用何种启动方式,取决于不同的应用环境,在小型的较单一的网络中建立使用PXE方式,对于较大型的网络,尤其是多种网络混合组网时,应用采用BOOTP方式。以下的设置以PXE为例进行说明。
2.配置PXE服务
在服务器上,打开“控制面板”,双击“3 COM PXE”图标。如果出现警告信息,说明 PXE服务还没有启动,单击“是”按钮,若已安装Windows 2000 自带的DHCP,系统将提示已安装DHCP,将禁用BXP内置的DHCP,单击“确定”,此时出现“3COM PXE”对话框。在“Options”标签中的Data files框中,输入BOOTPTAB文件及其正确的路径,也可以单“Browse”找到此文件,由于事先已安装了Windows 2000自带的DHCP,所以“Proxy DHCP”为不可用状态,单击“Network Adapters”标签,在服务器IP地址列表中,选中要绑定的IP地址,本例为198.168.0.1单击“OK”按钮,完成PXE服务器设置。
3.配置 Venturcom TFTP 服务
打开服务器的“控制面板”,双击“Venturcom TFTP Service”图标,出现“TFTP Settings”对话框,单击“TFTP Option”标签,在“Transmit (GET) directory”框中为启动引导文件 Vldrmi13.bin所在路径,若在在安装期间是以默认的路径安装的BXP,则此文件的路径为 C:\ Program Files\Venturcom\BXP\ Tftpboot),设置好后单击“TFTP Network”标签,将TFTP服务绑定到相关的IP地址上,本例为198.168.0.1,单击“确定”按钮,结束BXP的TFTP的设置。
4.配置 BXP IO 服务
在服务器上,建立一个用来存放所有的虚拟磁盘映象文件的文件夹,例如:D:\VLD,请确定此文件夹所在的磁盘有足够的硬盘空间。单击“开始”菜单→选择“程序”→ Venturcom BXP→ “BXP IO Service Preferences”,出现“BXP IO Service Preferences”对话框,单击“Virtual disks directory”框后面的“Browse”按钮,在弹出的“Select Directory”对话框中选择我们在前面建立的用以存放虚拟磁盘映象文件的文件夹D:\VLD,在“IP Settings”的列表中,选中“198.168.0.1”,其它选项可以按默认值设置,完成后,单击“OK”按钮,完成配置 BXP IO 服务的配置。
5.配置BXP登录服务
在服务器上,单击“开始”菜单→选择“程序”→ Venturcom BXP→ BXP Login Service Preferences,出现“Login Service Preferences” 对话框,检查数据库路径是否正确定(默认情况下在C:\ Program 文件\Venturcom\BXP\ VLD.MDB),单击“Browse”按钮可以选择一个不同的数据库。在“IP Settings”列表中绑定“198.168.0.1”,其它的选项可以按默认值进行设置,单击“OK”按钮,完成登录服务的配置。
4.2 启动BXP相关的服务
打开服务器“控制面板”,双击“管理工具”图标,打开管理工具窗口,双击“服务”图标,出现“服务”对话框,按以下顺序启动各项服务并将它们设置为自动运行。
? ? 3Com BOOTP 或 3Com PXE
? ? BXP TFTP Service
? ? BXP Adaptive Boot Server (此服务无需配置)
? ? BXP IO Service
? ? BXP Login Service
? ? BXP Write Cache I/O Server (此服务无需配置)
服务启动并设置完毕后
4.3 配置DHCP服务
如果使用Windows 2000 系统的自带的DHCP,那么配置DHCP服务的方法与PXE无盘Windows 98完全相同,详细情况请参见本丛书基础篇的第7章相关内容。若服务器采用Windows 2000 Workstion 或Windows XP等不带DHCP的操作系统,则可以设置BXP的DHCP,以完成PXE的启动过程。
5 配置BXP管理程序
5.1 管理程序概述
BXP 管理程序有管理IO服务器、工作站帐号、虚拟磁盘和配置启动文件路径等功能。使用管理程序对数据的修改都被储存在BXP数据库中(VLD.MDB)。
单击“开始”菜单→程序→ Venturcom BXP→BXP Administrator就可以打开BXP管理程序,当BXP的各项服务器都启动时,由于还没有建立工作站帐号、虚拟磁盘,及没有添加IO服务器,所以在列表中只有一个登录服务器的图标,在后继章节设置完成后,就会出现在列表中。
5.2 管理程序的使用
1. 1. 配置自引导文件
单击“开始”菜单→程序→ Venturcom BXP→BXP Administrator就可以打开BXP管理程序。单击“Tools”菜单,选择“Configure Bootstrap”命令,在“Path”框中,输入引导文件及其路径,也可以单击“Browse”按钮,在“打开”窗口中找到此文件,默认情况下引导文件为:C:\ Program Files\Venturcom\BXP\ TFTPBoot\VLDBMI13.BIN。其它选项均按默认值设置。完成后,单击“OK”按钮完成设置。
2. 2. 注册IO服务器
在安装BXP服务器时,IO服务组件已自动安装,本机的IO服务器,必须在数据库中注册登记后才能正常的使用。
注意:
本实例的中只使用一台服务器,包括IO服务在内的所有组件都安装在同一台服务器,当使用多台IO服务器时,也将外部的IO服务器加入数据库。
具体注册方法如下:
单击“开始”菜单→程序→ Venturcom BXP→BXP Administrator打开BXP管理程序。从“File”菜单中,单击“New”→“Server”,出现“New IO Server”对话框。在“Name”框中,输入IO服务器的机器名,然后单击“Resolve”按钮,此时与此服务器绑定IP 地址便会在“IP Address”框中显示出来,若服务器有多个IP地址,则需手动输入服务器的IP地址。
注意:
不要改变端口(port)中的数值。 因为BXP内置程序将使用这个端口。
在“Descriptio”框中,输入入此IO服务器的描述信息,例如:I/O服务器,最后点击“OK”按钮。IO 服务器和登录服务器图标就会在BXP管理界面中出现。 如果BXP服务处于已启动状态,则出现由于绿色的荧屏,如果服务处于停止状态,则图标以黑色的荧屏出现。
3. 3. 建立虚拟磁盘
创造一个虚拟磁盘前,应确定BXP IO服务已启动,具体建立过程如下:
单击“开始”菜单→程序→ Venturcom BXP→BXP Administrator打开BXP管理程序。将管理程序的面板模式改变为“Server”→“Disks”。 操作为:单击“View”菜单,选择“Server”→“Disks”。选中IO服务器图标,本例为yxzfs1,从“File”菜单中,选择“New”命令,然后单击击“disk”,出现“Add Virtual Disk”对话框,选中“New Disk”选项,在“Virtual disk size in……”框中输入虚拟磁盘的大小,如果在IO服务器上的虚拟磁盘目录为NTFS,最大的磁盘大小是8024MB,其它的方式则最大的虚拟磁盘大小如果 4095MB(以上数据均为正式版,测试版最大容量为2006MB)。
注意:
虚拟磁盘的大小在生成之后是不能改变的。因此要确定分配空间足以满足客户需要。
在“Disk name”框中输入虚拟磁盘的名字,它可以支持长文件名字,在“Description”框中,输入虚拟磁盘的描述,描述最多允许50个字符,若输入汉字描述则最多为25个汉字,设置信息输入后,单击“OK”按钮,完成设置,系统开始建立虚拟磁盘,系统可能要花费几分钟时间产生虚拟磁盘文件,并出现如图23所示界面,提示生成虚拟磁盘的进程。
4. 4. 格式化虚拟磁盘
单击“开始”菜单→程序→ Venturcom BXP→BXP Administrator打开BXP管理程序。. 单击“View”菜单,选择“Server”→“Disks”,选择需格式化的虚拟磁盘,本例为win XP。 从“Tools”菜单下,选择“Map Virtual Disk”命令,此时可以看到虚拟磁盘的颜色加亮,这个操作的目的是将指定的虚拟磁盘文件在服务器端产生一个虚拟盘符,操作人员可以对这个虚拟的盘格式化,添加、删除及修改其中文件。
警告:
正在使用中的的虚拟磁盘,不要映射一个虚拟的磁盘。这样作,很可能引起虚拟磁盘映象的损坏。
当作完以下映射操作后,打开“我的电脑”就可以看到虚拟磁盘的盘符了,本例为H盘,按常方法对虚拟磁盘进行格式化,完成后需将映射取消工作站才能使用,返回BXP 管理程序界面,选中刚才作映射的虚拟磁盘,然后从“Tools”菜单下,再次单击“Map Virtual Disk”,使前面的选中钩去除,从而取消虚拟盘的映射。
5. 5. 建立工作站帐号
建立工作站帐号的方法有以下两种:
? ? 在工作站端自动添加(注意此方式只有在配置BXP登录服务期间,已将“Add new clients to data”选项选中时才有效,
? ? 使用BXP管理程序手动的添加
自动生成工作站帐户的操作:
启动无盘工作站,修改BIOS设置及网卡相关设置,使用网络远程引导优先。重新启动工作站。工作站将会从服务器到获得IP地址,接着从服务器引导系统,最后系统提示输入工作站帐号名及相关描述,此时可以在工作站的荧屏看到与下列相似的信息:
Venturcom BXP bootstrap v2.0 build 23
Copyright (c) 2002 Venturcom, Inc.
All rights reserved.
UNDI IRQ:000B
Bootstrap loaded at 8AC0:0000 Size 3BFE
Connectiong to the BXP services.Please wait…
Venturcom BXP could not find an entry for this client PC in its database. This may be because it is a new PC. You can enter the information below for this client PC and it will be added to the BXP database, or you can press the ESC key and the MAC address will be used as the client name and description. You can edit this client information later using the BXP Administrator.
Client Name:
Description:
输入一个工作站的帐号例如:X01,然后按回车,再输入相关的描述信息,例如“First ws”,按回车确定。系统提示“No virtual disk assgned”(没有分配虚拟磁盘)。
此时服务器, 打开BXP管理程序,若如果管理程序已经是打开的,可以按F5进行刷新,在管理程序窗口,将管理界面设置为“Server→Client→Disk”方式,就可以在Clients分支中看到刚才添加进来的工作站帐号X01,
由于工作站X01还没有分配到虚拟磁盘,所以它目前处于Clinets分支,若它分配了虚拟磁盘后将出现在提供给它虚拟磁盘的IO服务器图标下。
为上传工作站系统,并在有盘工作站中产生虚拟磁盘的映射,在此要将第一个工作站(带母盘的工作站)设置为硬盘优先,可以在所示界面中,右击X01工作站图标,在弹出的快捷菜单中,选择“Properties”命令,出现“Client Properties”对话框,单击“Disks”标签,在“Boot order”下拉列表中,选择“Hard Disk First”即硬盘优先,单击“确定”按钮,完成设置。当系统上传后,可将此选项设置为“Virtual Disk First”即虚拟盘优先。
使用BXP管理程序手动的添加
单击“开始”菜单→程序→ Venturcom BXP→BXP Administrator打开BXP管理程序。从“File”菜单中,选择“New”,再单击“Client”后出现“New Client”对话框。在Name框中输入要建立的工作站帐号名,例如X02,在MAC框中输入工作站网卡的MAC地址,例如00e04c232201,在Descriptio框中输入相关的描述信息,也可以不输入描述信息,注意不要改变Port的值,完成后,单击“确定”按钮。
6. 6. 为工作站分配虚拟磁盘
打开BXP管理程序,在“View”菜单中,将管理界面设置为“Server→Client→Disk”方式。展开“Clients”分支,右击需要虚拟磁盘的用户,例如X01,在弹出的快捷菜单中,选择“Properties”命令,出现“Client Properties”对话框,单击“Disks”标签,单击“Change”按钮,出现“Select Virtual Disk”对话框,在“All disks”列表中,展开IO服务分支,本例为yxzfs1,此进可以看到此服务器中的虚拟磁盘,本例为Win XP,单击此虚拟磁盘图标,然后单击“Add”按钮,将它加入到右边的“Attached disks”列表中,单击“OK”按钮,返回“Clent Properties”设置界面,此时在IO Server列表可以看到刚才添加过来的虚拟磁盘。单击“确定”按钮,返回BXP管理程序界面。此时可以看到,工作站X01的图标已转移到yxzfs1的IO服务器分支上了。
6.7 BXP客户的安装及设置
在一个工作站上安装硬盘及光驱,将Windows XP安装并设置好,另外,在安装BXP客户端程序之前,需确定以下工作是否完成:
? ? BXP IO服务器已启动,且已在BXP
无盘网络,就是一个网络中的所有工作上都不安装硬盘,而全部通过网络服务器来启动,这样的网络就是无盘网络,这些工作站被称为无盘工作站。
一种新的网络结构:无盘网络出现了。无盘网络的本意一个是为了降低工作站的成本,但主要却是为了管理和维护的方便。试想,如果把工作站要用到的操作系统的文件和软件文件都放到服务器上,系统的管理和维护都在服务器上完成,软件升级只需要配置一次,网络中的所有计算机就都能用上新软件。
应用范围 :
1、 适用于学校无盘网络教室的组建或改造
2、 适用于大中小型公司、企事业单位、营业厅等办公室
3、 适用于游戏吧及Internet 网吧
4、 适用于酒店、KTV歌厅等以vcd 为主的网络
‘叁’ linux如何配置网络游戏服务器
要建立一个安全Linux服务器就首先要了解Linux环境下和网络服务相关的配置文件的含义及如何进行安全的配置。在Linux系统中,TCP/IP网络是通过若干个文本文件进行配置的,也许你需要编辑这些文件来完成联网工作,但是这些配置文件大都可以通过配置命令linuxconf(其中网络部分的配置可以通过netconf命令来实现)命令来实现。下面介绍基本的TCP/IP网络配置文件。
*/etc/conf.moles文件
该配置文件定义了各种需要在启动时加载的模块的参数信息。这里主要着重讨论关于网卡的配置。在使用Linux做网关的情况下,Linux服务器至少需要配置两块网卡。为了减少启动时可能出现的问题,Linux内核不会自动检测多个网卡。对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统若需要安装多块网卡,应该在“conf.moles”文件中进行相应的配置。
若设备驱动被编译为模块(内核的模块):对于PCI设备,模块将自动检测到所有已经安装到系统上的设备;对于ISA卡,则需要向模块提供IO地址,以使模块知道在何处寻找该卡,这些信息在“/etc/conf.moles”中提供。
例如,我们有两块ISA总线的3c509卡,一个IO地址是0x300,另一个是0x320。编辑“conf.moles”文件如下:
aliaseth03c509
aliaseth13c509
options3c509io=0x300,0x320
这是说明3c509的驱动程序应当分别以eth0或eth1的名称被加载(aliaseth0,eth1),并且它们应该以参数io=0x300,0x320被装载,来通知驱动程序到哪里去寻找网卡,其中0x是不可缺少的。
对于PCI卡,仅仅需要alias命令来使ethN和适当的驱动模块名关联,PCI卡的IO地址将会被自动的检测到。对于PCI卡,编辑“conf.moles”文件如下:
aliaseth03c905
aliaseth13c905
若驱动已经被编译进了内核:系统启动时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到,但是在某些情况下,ISA卡仍然需要做下面的配置工作:
在“/etc/lilo.conf”中增加配置信息,其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡,编辑“lilo.conf”文件,增加如下内容:
append="ether="0,0,eth0ether="0,0,eth1"
注:先不要在“lilo.conf”中加入启动参数,测试一下你的ISA卡,若失败再使用启动参数。
如果用传递启动参数的方法,eth0和eth1将按照启动时被发现的顺序来设置。
*/etc/HOSTNAME文件
该文件包含了系统的主机名称,包括完全的域名,如:deep.openarch.com。
*/etc/sysconfig/network-scripts/ifcfg-ethN文件
在RedHat中,系统网络设备的配置文件保存在“/etc/sysconfig/network-scripts”目录下,ifcfg-eth0包含第一块网卡的配置信息,ifcfg-eth1包含第二块网卡的配置信息。
下面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例:
DEVICE=eth0
IPADDR=208.164.186.1
NETMASK=255.255.255.0
NETWORK=208.164.186.0
BROADCAST=208.164.186.255
ONBOOT=yes
BOOTPROTO=none
USERCTL=no
若希望手工修改网络地址或在新的接口上增加新的网络界面,可以通过修改对应的文件(ifcfg-ethN)或创建新的文件来实现。
DEVICE=name name表示物理设备的名字
IPADDR=addr addr表示赋给该卡的IP地址
NETMASK=mask mask表示网络掩码
NETWORK=addr addr表示网络地址
BROADCAST=addr addr表示广播地址
ONBOOT=yes/no 启动时是否激活该卡
none:无须启动协议
bootp:使用bootp协议
dhcp:使用dhcp协议
USERCTL=yes/no 是否允许非root用户控制该设备
*/etc/resolv.conf文件
该文件是由域名解析器(resolver,一个根据主机名解析IP地址的库)使用的配置文件,示例如下:
searchopenarch.com
nameserver208.164.186.1
nameserver208.164.186.2
“searchdomainname.com”表示当提供了一个不包括完全域名的主机名时,在该主机名后添加domainname.com的后缀;“nameserver”表示解析域名时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中出现的顺序来查询的。
*/etc/host.conf文件
该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。下面是一个“/etc/host.conf”的示例:
orderbind,hosts
multion
ospoofon
“orderbind,hosts”指定主机名查询顺序,这里规定先使用DNS来解析域名,然后再查询“/etc/hosts”文件(也可以相反)。
“multion”指定是否“/etc/hosts”文件中指定的主机可以有多个地址,拥有多个IP地址的主机一般称为多穴主机。
“nospoofon”指不允许对该服务器进行IP地址欺骗。IP欺骗是一种攻击系统安全的手段,通过把IP地址伪装成别的计算机,来取得其它计算机的信任。
*/etc/sysconfig/network文件
该文件用来指定服务器上的网络配置信息,下面是一个示例:
NETWORK=yes
RORWARD_IPV4=yes
HOSTNAME=deep.openarch.com
GAREWAY=0.0.0.0
GATEWAYDEV=
NETWORK=yes/no 网络是否被配置;
FORWARD_IPV4=yes/no 是否开启IP转发功能
HOSTNAME=hostnamehostname表示服务器的主机名
GAREWAY=gw-ip gw-ip表示网络网关的IP地址
GAREWAYDEV=gw-dev gw-dw表示网关的设备名,如:etho等
注意:为了和老的软件相兼容,“/etc/HOSTNAME”文件应该用和HOSTNAME=hostname相同的主机名。
*/etc/hosts文件
当机器启动时,在可以查询DNS以前,机器需要查询一些主机名到IP地址的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下,系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。
下面是一个“/etc/hosts”文件的示例:
IPAddress Hostname Alias
127.0.0.1 Localhost Gate.openarch.com
208.164.186.1 gate.openarch.comGate
………… ………… ………
最左边一列是主机IP信息,中间一列是主机名。任何后面的列都是该主机的别名。一旦配置完机器的网络配置文件,应该重新启动网络以使修改生效。使用下面的命令来重新启动网络:/etc/rc.d/init.d/networkrestart
*/etc/inetd.conf文件
众所周知,作为服务器来说,服务端口开放越多,系统安全稳定性越难以保证。所以提供特定服务的服务器应该尽可能开放提供服务必不可少的端口,而将与服务器服务无关的服务关闭,比如:一台作为www和ftp服务器的机器,应该只开放80和25端口,而将其他无关的服务如:fingerauth等服务关掉,以减少系统漏洞。
而inetd,也叫作“超级服务器”,就是监视一些网络请求的守护进程,其根据网络请求来调用相应的服务进程来处理连接请求。inetd.conf则是inetd的配置文件。inetd.conf文件告诉inetd监听哪些网络端口,为每个端口启动哪个服务。在任何的网络环境中使用Linux系统,第一件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉,最好卸载掉,这样黑客就少了一些攻击系统的机会。查看“/etc/inetd.conf”文件,了解一下inetd提供哪些服务。用加上注释的方法(在一行的开头加上#号),禁止任何不需要的服务,再给inetd进程发一个SIGHUP信号。
第一步:把文件的许可权限改成600。
[root@deep]#chmod600/etc/inetd.conf
第二步:确信文件的所有者是root。
[root@deep]#stat/etc/inetd.conf
第三步:编辑“inetd.conf”文件(vi/etc/inetd.conf),禁止所有不需要的服务,如:ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等。如果你觉得某些服务有用,可以不禁止这些服务。但是,把这些服务禁止掉,系统受攻击的可能性就会小很多。改变后的“inetd.conf”文件的内容如下面所示:
#Tore-readthisfileafterchanges,justdoa'killall-HUPinetd'
#
#
#echodgramudpwaitrootinternal
#
#
#
#
#
#
#
#timedgramudpwaitrootinternal
#
#Thesearestandardservices.
#
#ftpstreamtcpnowaitroot/usr/sbin/tcpdin.ftpd-l-a
#telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd
#
#Shell,login,exec,comsatandtalkareBSDprotocols.
#
#shellstreamtcpnowaitroot/usr/sbin/tcpdin.rshd
#loginstreamtcpnowaitroot/usr/sbin/tcpdin.rlogind
#execstreamtcpnowaitroot/usr/sbin/tcpdin.rexecd
#comsatdgramudpwaitroot/usr/sbin/tcpdin.comsat
#talkdgramudpwaitroot/usr/sbin/tcpdin.talkd
#ntalkdgramudpwaitroot/usr/sbin/tcpdin.ntalkd
#dtalkstreamtcpwaitnobody/usr/sbin/tcpdin.dtalkd
#
#Popandimapmailservicesetal
#
#pop-2streamtcpnowaitroot/usr/sbin/tcpdipop2d
#pop-3streamtcpnowaitroot/usr/sbin/tcpdipop3d
#imapstreamtcpnowaitroot/usr/sbin/tcpdimapd
#
#TheInternetUUCPservice.
#
#uucpstreamtcpnowaituucp/usr/sbin/tcpd/usr/lib/uucp/uucico-l
#
#.Mostsites
#runthisonlyonmachinesactingas"bootservers."Donotuncomment
#thisunlessyou*need*it.
#
#tftpdgramudpwaitroot/usr/sbin/tcpdin.tftpd
#bootpsdgramudpwaitroot/usr/sbin/tcpdbootpd
#
#Finger,
#valuabletopotential"systemcrackers."Manysiteschoosetodisable
#.
#
#fingerstreamtcpnowaitroot/usr/sbin/tcpdin.fingerd
#cfingerstreamtcpnowaitroot/usr/sbin/tcpdin.cfingerd
#systatstreamtcpnowaitguest/usr/sbin/tcpd/bin/ps-auwwx
#netstatstreamtcpnowaitguest/usr/sbin/tcpd/bin/netstat-finet
#
#Authentication
#
#authstreamtcpnowaitnobody/usr/sbin/in.identdin.identd-l-e-o
#
#Endofinetd.conf
注意:改变了“inetd.conf”文件之后,别忘了给inetd进程发一个SIGHUP信号(killall–HUPinetd)。
[root@deep/root]#killall-HUPinetd
第四步:
为了保证“inetd.conf”文件的安全,可以用chattr命令把它设成不可改变。把文件设成不可改变的只要用下面的命令:
[root@deep]#chattr+i/etc/inetd.conf
这样可以避免“inetd.conf”文件的任何改变(意外或是别的原因)。一个有“i”属性的文件是不能被改动的:不能删除或重命名,不能创建这个文件的链接,不能往这个文件里写数据。只有系统管理员才能设置和清除这个属性。如果要改变inetd.conf文件,你必须先清除这个不允许改变的标志:
[root@deep]#chattr-i/etc/inetd.conf
但是对于诸如sendmail,named,www等服务,由于它们不象finger,telnet等服务,在请求到来时由inet守护进程启动相应的进程提供服务,而是在系统启动时,作为守护进程运行的。而对于redhatlinux,提供了一个linuxconfig命令,可以通过它在图形界面下交互式地设置是否在启动时运行相关服务。也可以通过命令来设置是否启动时启动某个服务,如:[root@deep]#chkconfig–level35namedoff
具体命令可以参考manchkconfig的说明。
*/etc/hosts.allow文件
但是对于telnet、ftp等服务,如果将其一同关闭,那么对于管理员需要远程管理时,将非常不方便。Linux提供另外一种更为灵活和有效的方法来实现对服务请求用户的限制,从而可以在保证安全性的基础上,使可信任用户使用各种服务。Linux提供了一个叫TCPwrapper的程序。在大多数发布版本中该程序往往是缺省地被安装。利用TCPwrapper你可以限制访问前面提到的某些服务。而且TCPwrapper的记录文件记录了所有的企图访问你的系统的行为。通过last命令查看该程序的log,管理员可以获知谁曾经或者企图连接你的系统。
在/etc目录下,有两个文件:hosts.denyhosts.allow通过配置这两个文件,你可以指定哪些机器可以使用这些服务,哪些不可以使用这些服务。
当服务请求到达服务器时,TCPwrapper就按照下列顺序查询这两个文件,直到遇到一个匹配为止:
1.当在/etc/hosts.allow里面有一项与请求服务的主机地址项匹配,那么就允许该主机获取该服务
2.否则,如果在/etc/hosts.deny里面有一项与请求服务的主机地址项匹配,就禁止该主机使用该项服务。
3.如果相应的配置文件不存在,访问控制软件就认为是一个空文件,所以可以通过删除或者移走配置文件实现对清除所有设置。在文件中,空白行或者以#开头的行被忽略,你可以通过在行前加#实现注释功能。
配置这两个文件是通过一种简单的访问控制语言来实现的,访问控制语句的基本格式为:
程序名列表:主机名/IP地址列表。
程序名列表指定一个或者多个提供相应服务的程序的名字,名字之间用逗号或者空格分割,可以在inetd.conf文件里查看提供相应服务的程序名:如上面的文件示例中,telent所在行的最后一项就是所需的程序名:in.telnetd。
主机名/IP地址列表指定允许或者禁止使用该服务的一个或者多个主机的标识,主机名之间用逗号或空格分隔。程序名和主机地址都可以使用通配符,实现方便的指定多项服务和多个主机。
Linux提供了下面灵活的方式指定进程或者主机列表:
1.一个以"."起始的域名串,如.amms.ac.cn那么www.amms.ac.cn就和这一项匹配
2.以"."结尾的IP串如202.37.152.那么IP地址包括202.37.152.的主机都与这一项匹配。
3.格式为n.n.n.n/m.m.m.m表示网络/掩码,如果请求服务的主机的IP地址与掩码的位与的结果等于n.n.n.n那么该主机与该项匹配。
4.ALL表示匹配所有可能性
5.EXPECT表示除去后面所定义的主机。如:list_1EXCEPTlist_2表示list_1主机列表中除去List_2所列出的主机
6.LOCAL表示匹配所有主机名中不包含"."的主机
上面的几种方式只是Linux提供的方式中的几种,但是对于我们的一般应用来说是足够了。我们通过举几个例子来说明这个问题:
例一:我们只希望允许同一个局域网的机器使用服务器的ftp功能,而禁止广域网上面的ftp服务请求,本地局域网由202.39.154.、202.39.153.和202.39.152.三个网段组成。
在hosts.deny文件中,我们定义禁止所有机器请求所有服务:
ALL:ALL
在hosts.allow文件中,我们定义只允许局域网访问ftp功能:
in.ftpd-l–a:202.39.154202.39.153.202.39.152.
这样,当非局域网的机器请求ftp服务时,就会被拒绝。而局域网的机器可以使用ftp服务。此外,应该定期检查/var/log目录下的纪录文件,发现对系统安全有威胁的登录事件。last命令可以有效的查看系统登录事件,发现问题所在。
最后tcpdchk是检查TCP_WAPPERS配置的程序。它检查TCP_WAPPERS的配置,并报告它可以发现的问题或潜在的问题。在所有的配置都完成了之后,请运行tcpdchk程序:
[root@deep]#tcpdchk
*/etc/services文件
端口号和标准服务之间的对应关系在RFC1700“AssignedNumbers”中有详细的定义。“/etc/services”文件使得服务器和客户端的程序能够把服务的名字转成端口号,这张表在每一台主机上都存在,其文件名是“/etc/services”。只有“root”用户才有权限修改这个文件,而且在通常情况下这个文件是没有必要修改的,因为这个文件中已经包含了常用的服务所对应的端口号。为了提高安全性,我们可以给这个文件加上保护以避免没有经过授权的删除和改变。为了保护这个文件可以用下面的命令:
[root@deep]#chattr+i/etc/services
*/etc/securetty文件
“/etc/securetty”文件允许你规定“root”用户可以从那个TTY设备登录。登录程序(通常是“/bin/login”)需要读取“/etc/securetty”文件。它的格式是:列出来的tty设备都是允许登录的,注释掉或是在这个文件中不存在的都是不允许root登录的。
注释掉(在这一行的开头加上#号)所有你想不让root登录的tty设备。
编辑securetty文件(vi/etc/securetty)象下面一样,注释掉一些行:
tty1
#tty2
#tty3
#tty4
#tty5
#tty6
#tty7
#tty8
*使Control-Alt-Delete关机键无效
把“/etc/inittab”文件中的一行注释掉可以禁止用Control-Alt-Delete关闭计算机。如果服务器不是放在一个安全的地方,这非常重要。
编辑inittab文件(vi/etc/inittab)把这一行:
ca::ctrlaltdel:/sbin/shutdown-t3-rnow
改为:
#ca::ctrlaltdel:/sbin/shutdown-t3-rnow
用下面的命令使改变生效:
[root@deep]#/sbin/initq
*改变“/etc/rc.d/init.d/”目录下的脚本文件的访问许可
/etc/rc.d/init.d/下的脚本主要包含了启动服务的脚本程序。一般用户没有什么必要知道脚本文件的内容。所以应该改变这些脚本文件的权限。
[root@deep]#chmod-R700/etc/rc.d/init.d/*
这样只有root可以读、写和执行这个目录下的脚本。
*/etc/rc.d/rc.local文件
在默认情况下,当登录装有Linux系统的计算机时,系统会告诉你Linux发行版的名字、版本号、内核版本和服务器名称。这泄露了太多的系统信息。最好只显示一个“Login:”的提示信息。
第一步:
编辑“/ect/rc.d/rc.local”文件,在下面这些行的前面加上“#”:
--
#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou
#wanttomaketo/etc/.
#echo"">/etc/issue
#echo"$R">>/etc/issue
#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue
#
#cp-f/etc/issue/etc/issue.net
#echo>>/etc/issue
--
第二步:
删除“/etc”目录下的“issue.net”和“issue”文件:
[root@deep]#rm-f/etc/issue
[root@deep]#rm-f/etc/issue.net
注意:“/etc/issue.net”文件是用户从网络登录计算机时(例如:telnet、SSH),看到的登录提示。同样在“”目录下还有一个“issue”文件,是用户从本地登录时看到的提示。这两个文件都是文本文件,可以根据需要改变。但是,如果想删掉这两个文件,必须向上面介绍的那样把“/etc/rc.d/rc.local”脚本中的那些行注释掉,否则每次重新启动的时候,系统又会重新创建这两个文件。