Nombre de dominio www.apdcom
En los sistemas Linux, la red TCP/IP está compuesta por varios archivos de texto. Es posible que necesite editar estos archivos para completar la red, pero la mayoría de estos archivos de configuración se pueden implementar mediante el comando de configuración linuxconf (la configuración de la parte de red se puede lograr mediante el comando netconf). Los archivos básicos de configuración de red TCP/IP se describen a continuación.
*Archivo/etc/conf.modules
Este archivo de configuración define la información de parámetros de cada módulo que debe cargarse al inicio. Este artículo analiza principalmente la configuración de la tarjeta de red. Cuando se utiliza Linux como puerta de enlace, el servidor Linux debe configurarse con al menos dos tarjetas de red. Para reducir posibles problemas al inicio, el kernel de Linux no detecta automáticamente varias tarjetas de red. Para sistemas que cargan dinámicamente controladores de tarjetas de red como módulos en lugar de compilarlos en el kernel, si es necesario instalar varias tarjetas de red, se deben realizar las configuraciones correspondientes en el archivo "conf.modules".
Si el controlador del dispositivo está compilado en un módulo (módulo kernel): para dispositivos PCI, el módulo detectará automáticamente todos los dispositivos instalados en el sistema; para tarjetas ISA, se debe proporcionar la dirección IO al; módulo para que el módulo pueda saber dónde encontrar la tarjeta. Esta información se proporciona en "/etc/conf.modules".
Por ejemplo, tenemos dos tarjetas 3c509 con bus ISA, una con dirección IO 0x300 y otra con dirección IO 0x320. Edite el archivo "conf.modules" de la siguiente manera:
aliaseth03c509
aliaseth13c509
Opción 3c509io=0x300,0x320
Esto explica El controlador 3c509 necesita cargar los nombres de eth0 o eth1 (aliaseth0, eth1) respectivamente, y también cargar los parámetros io=0x300, 0x320 para informar al controlador dónde encontrar la tarjeta de red, de los cuales 0x es esencial.
Para las tarjetas PCI, solo necesita el comando alias para asociar ethN con el nombre del módulo controlador correspondiente, y la dirección IO de la tarjeta PCI se detectará automáticamente. Para tarjetas PCI, edite el archivo "conf.modules" de la siguiente manera:
aliaseth03c905
aliaseth13c905
Si el controlador se ha compilado en el kernel, el sistema boots El programa de detección de PCI encontrará automáticamente todas las tarjetas de red relevantes. Las tarjetas ISA también se pueden detectar automáticamente, pero en algunos casos, las tarjetas ISA aún necesitan realizar el siguiente trabajo de configuración:
Transmitir información de parámetros de inicio al kernel a través del programa LILO, en "/etc/LILO. conf "Agregar información de configuración. Para tarjetas ISA, edite el archivo "lilo.conf" y agregue lo siguiente:
append="ether="0,0,eth0ether="0,0,eth1"
Nota: No agregue parámetros de inicio en "lilo.conf" todavía, primero pruebe su tarjeta ISA, si falla, luego use los parámetros de inicio.
Si se pasan los parámetros de inicio, eth0 y eth1 se configurarán en el orden en que se encuentran al inicio.
*Archivo/etc/HOSTNAME
Este archivo contiene el nombre de host del sistema, incluido el nombre de dominio completo, como deep.openarch.com.
*/etc/sys config/network-scripts/if archivo CFG-ethn
En RedHat, el archivo de configuración del dispositivo de red del sistema se guarda en "/etc/sysconfig/ directorio network-scripts", ifcfg-eth0 contiene la información de configuración de la primera tarjeta de red, e ifcfg-eth1 contiene la información de configuración de la segunda tarjeta de red.
El siguiente es un ejemplo del archivo "/etc/sys config/network-scripts/if CFG-eth 0":
device=eth0
Dirección IP = 208.164.186.1
Máscara de red=255.255.255.0
Red=208.164.186.0
Transmisión=208.164.186.255
ONBOOT = Sí
BOOTPROTO=Ninguno
USERCTL=No
Si desea modificar manualmente la dirección de red o agregar una nueva interfaz de red a una nueva interfaz, Puede modificar el archivo correspondiente (ifcfg-ethN) o crear un nuevo archivo para implementar.
DEVICE=nombre nombre representa el nombre del dispositivo físico.
IPADDR=addr addr indica la dirección IP asignada a la tarjeta.
NETMASK=máscara máscara representa la máscara de red.
NETWORK=addr addr representa la dirección de red.
Broadcast=address la dirección representa la dirección de transmisión.
Al iniciar=Sí/No ¿Activar tarjeta al iniciar?
Ninguno: No se requiere protocolo de inicio
Bootp: Usar protocolo bootp
Dhcp: Usar protocolo dhcp
usuario CTL = sí/no ¿Se permite a los usuarios no root controlar esta configuración?
*/etc/resolv.conf.
Este archivo es el archivo de configuración utilizado por el solucionador de nombres de dominio (una biblioteca que resuelve direcciones IP basadas en nombres de host). Los ejemplos son los siguientes:
searchopenarch.com
Servidor de nombres 208.164.186.1
Servidor de nombres 208.164.186.2
"searchdomainname.com " es Significa que cuando se proporciona un nombre de host que no contiene el nombre de dominio completo, se agrega el sufijo domainname.com al nombre de host; "servidor de nombres" significa que al resolver el nombre de dominio, el host especificado por la dirección es el servidor de nombres de dominio. Entre ellos, se consulta el servidor de nombres de dominio en el orden en que aparecen en el archivo.
*Archivo/etc/host.conf
Este archivo especifica cómo resolver nombres de host. Linux obtiene la dirección IP correspondiente al nombre de host a través de la biblioteca del analizador. El siguiente es un ejemplo de "/etc/host.conf":
Enlace de orden, host
Múltiples iones
Ospifon
"orderbind, hosts" especifica la secuencia de consulta del nombre de host, que estipula que primero se utiliza DNS para resolver el nombre de dominio y luego se consulta el archivo "/etc/hosts" (y viceversa).
"multion" especifica si el host especificado en el archivo "/etc/hosts" puede tener varias direcciones. Un host con múltiples direcciones IP a menudo se denomina host multitarjeta.
"nospoofon" significa que este servidor no permite la suplantación de direcciones IP. La suplantación de IP es un medio para atacar la seguridad del sistema. Se gana la confianza de otras computadoras disfrazando su dirección IP como la de otras computadoras.
*/etc/sysconfig/network file
Este archivo se utiliza para especificar la información de configuración de red en el servidor. Aquí hay un ejemplo:
NETWORK=YES
RORWARD_IPV4=YES
HOSTNAME=deep.openarch.com
GARAI Wei=0.0 .0.0
GATEWAYDEV=
Red=yes/no si la red está configurada;
forward _ IP v4 = si/no si el reenvío de IP está habilitado Función ?
HOSTNAME=nombrehostnombrehost representa el nombre de host del servidor.
GAREWAY=gw-ip gw-ip representa la dirección IP de la puerta de enlace de la red.
GAREWAYDEV=gw-dev gw-dw representa el nombre del dispositivo de la puerta de enlace, como etho, etc.
Nota: Para compatibilidad con software anterior, el archivo "/etc/HOSTNAME" debe usar el mismo nombre de host que HOSTNAME=hostname.
Archivo *etc/hosts
Cuando una máquina se inicia, antes de que pueda consultar DNS, la máquina necesita consultar alguna coincidencia entre los nombres de host y las direcciones IP. La información coincidente se almacena en el archivo /etc/hosts. Sin un servidor de nombres de dominio, todos los programas de red del sistema consultarán este archivo para resolver la dirección IP correspondiente al nombre de host.
El siguiente es un ejemplo de un archivo "/etc/hosts":
Dirección IP alias del nombre de host
127.0.0.1 localhostGate.openarch.com p>
208.164.186.1
……………………………………
La columna más a la izquierda es la información de IP del host y la columna del medio es el nombre del host. Cualquier columna posterior son alias para ese host. Después de configurar el archivo de configuración de red de la máquina, se debe reiniciar la red para que los cambios surtan efecto. Reinicie la red usando el siguiente comando: /etc/RC d/init d/network restart.
*Archivo/etc/inetd.conf
Como todos sabemos, como servidor, cuanto más abiertos son los puertos de servicio, más difícil es garantizar la seguridad y estabilidad del sistema. Por lo tanto, los servidores que brindan servicios específicos deben abrir los puertos que son esenciales para brindar servicios tanto como sea posible y cerrar los servicios que no están relacionados con los servicios del servidor. Por ejemplo, las máquinas que sirven como servidores www y ftp sólo deben abrir los puertos 80 y 25 y cerrar otros servicios no relacionados, como la autenticación de huellas dactilares, para reducir las vulnerabilidades del sistema.
Inetd, también llamado "superservidor", es un proceso demonio que monitorea algunas solicitudes de red. Llama al proceso de servicio correspondiente de acuerdo con la solicitud de red para manejar la solicitud de conexión. Inetd.conf es el archivo de configuración de Inetd. El archivo inetd.conf le dice a inetd qué puertos de red escuchar y qué servicio iniciar para cada puerto. Cuando utilice un sistema Linux en cualquier entorno de red, primero debe saber qué servicios proporcionará el servidor. Los servicios innecesarios deben desactivarse y preferiblemente desinstalarse para que haya menos oportunidades para que los piratas informáticos ataquen el sistema. Consulte el archivo "/etc/inetd.conf" para ver qué servicios proporciona inetd. Deshabilite cualquier servicio innecesario agregando comentarios (signo # al principio de la línea) y luego enviando una señal SIGHUP al proceso inetd.
Paso uno: Cambie los permisos del archivo a 600.
[root @ deep]# chmod 600/etc/inetd . conf
Paso 2: Asegúrese de que el propietario del archivo sea root.
[root @ deep]# stat/etc/inetd . conf
Paso 3: Edite el archivo "inetd . conf" (VI/etc/inetd . conf) y deshabilite todo Servicios innecesarios, como ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth, etc. Si encuentra útiles algunos servicios, no es necesario que los prohíba. Sin embargo, si estos servicios están deshabilitados, es menos probable que el sistema sea atacado.
El contenido del archivo "inetd.conf" modificado es el siguiente:
#Tore-readthisfileafterchanges, justdoa'killall-HUPinetd '
#
# echostreamtcpnowaitrootinternal
# echodgramudpwaitrootinternal
# descartastreamtcpnowaitrootinternal
# descartadgramudpwaitrootinternal
# daytimestreamtcpnowaitrootinternal
# daytimedgramudpwaitrootinternal
# chargenstreamtcpnowaitrootinternal
# chargendgramudpwaitrootinternal
# timestreamtcpnowaitrootinternal
#timedgramudpwaitrootinternal
#
#Estos son estándar servicios.
#
# ftpstreamtcpnowaitroot/usr/sbin/tcpdin .ftpd-l-a
# telnetstreamtcpnowaitroot/usr/sbin/tcpdin . >#
#Shell, inicio de sesión, exec, protocolos comsatandtalkareBSD.
#
# shellstreamtcpnowaitroot/usr/sbin/tcpdin rshd
# loginstreamtcpnowaitroot/usr/sbin/tcpdin . execstreamtcpnowaitroot/usr/sbin/tcpdin . rexecd
# comsatdgramudpwaitroot/usr/sbin/tcpdin com sat
# talkdgramudpwaitroot/usr/sbin/tcpdin . ># ntalkdgramudpwaitroot/usr/sbin/tcpdin . ntalkd
# dtalkstreatcpwaitnobody/usr/sbin/tcpdin .
#
#Popandimapmailservicesetal
<. p>## pop-2 streamtcpnowaitroot/usr/sbin/tcpdipop2d
# pop-3 streamtcpnowaitroot/usr/sbin/tcpdipop3d
# imapstreamtcpnowaitroot/usr /sbin/tcpdimapd
#
# El servicio InternetUUCP.
#
# uucpstreamtcpnowaitucp/usr/sbin/tcpd/usr/lib/uucp/uu cico-l
#
# El servicio tftp se proporciona principalmente para el arranque.
La mayoría de los sitios web
# ejecutan esto solo en máquinas que actúan como "servidores de arranque" No dejen de comentar
# A menos que lo *necesite*.
#
# tftpdgramudpwaitroot/usr/sbin/tcpdin . tftpd
# bootpsdgramudpwaitroot/usr/sbin/tcpdbootpd
#
#Finger, systatynetstat brindan información al usuario que tal vez
#La selección multisitio potencial valiosa de "hacker del sistema" está deshabilitada
# algunos o todos los servicios para mejorar la seguridad.
#
# fingerstreamtcpnowaitroot/usr/sbin/tcpdin .fingerd
# cfingerstreamtcpnowaitroot/usr/sbin/tcpdin . systatstreamtcpnowaitguest/usr/sbin/tcpd/bin/PS-au wwx
netstatstreamtcpnowaitguest/usr/sbin/tcpd/bin/netstat-finet
#
# Autenticación
#
# authstreamtcpnowaitnonover/usr/sbin/in .ident din identd-l-e-o
#
#Endofinetd.conf.
Nota: Después de cambiar el archivo "inetd.conf", no olvide enviar la señal SIGHUP al proceso inetd (elimine all-hup inetd).
[root @ deep/root]# kill all-HUPinetd
Paso 4:
Para garantizar la seguridad del archivo "inetd.conf" , puedes usar el comando chattr para hacerlo inmutable. Haga que el archivo sea inmutable usando el siguiente comando:
[root@deep]# chattr+I/etc/inetd.conf
Esto evita cualquier cambio en el archivo "inetd.conf". (accidente u otras razones). Un archivo con el atributo "I" no se puede cambiar: no se puede eliminar ni cambiar de nombre, no se puede crear un vínculo al archivo y no se pueden escribir datos en el archivo. Sólo los administradores del sistema pueden configurar y borrar esta propiedad. Si desea cambiar el archivo inetd.conf, primero debe borrar la bandera que no permite cambios:
[root @ deep]# chattr-I/etc/inetd
<. p>Pero para sendmail, servicios como nombrado y www son diferentes de finger y telnet. El demonio inet inicia el proceso correspondiente para proporcionar servicios cuando llega una solicitud y se ejecuta como un proceso de demonio cuando se inicia el sistema. Para redhatlinux, se proporciona un comando linuxconfig, que se puede utilizar para configurar de forma interactiva si se deben ejecutar servicios relacionados al inicio en la interfaz gráfica. También puede configurar si desea iniciar el servicio al inicio mediante comandos, como [root @ deep]# chkconfig–nivel 35 con nombre desactivado.Para comandos específicos, consulte las instrucciones de manchkconfig.
* Archivo/etc/hosts.allow
Sin embargo, para telnet, ftp y otros servicios, si están cerrados juntos, será muy inconveniente para los administradores administrarlos de forma remota.
Linux proporciona otro método más flexible y eficaz para restringir a los usuarios que solicitan servicios, permitiendo a los usuarios de confianza utilizar diversos servicios garantizando al mismo tiempo la seguridad. Linux proporciona un programa llamado TCPwrapper. Este programa suele venir instalado por defecto en la mayoría de distribuciones. Usando TCPwrapper puedes restringir el acceso a algunos de los servicios mencionados anteriormente. Y el archivo de registro de TCPwrapper registra todos los intentos de acceder a su sistema. Al ver los registros del programa con el último comando, los administradores pueden saber quién se ha conectado o ha intentado conectarse a su sistema.
En el directorio /etc, hay dos archivos: hosts.denyhosts.allow Al configurar estos dos archivos, puede especificar qué computadoras pueden usar estos servicios y cuáles no.
Cuando llega una solicitud de servicio al servidor, TCPwrapper consulta estos dos archivos en el siguiente orden hasta que encuentra una coincidencia:
1. coincide con la solicitud Cuando los elementos de dirección del host del servicio coinciden, el host puede obtener el servicio.
2. De lo contrario, si una entrada en /etc/hosts.deny coincide con la entrada de la dirección del host que solicita el servicio, se le prohibirá al host utilizar el servicio.
3. Si el archivo de configuración correspondiente no existe, el software de control de acceso lo tratará como un archivo vacío, por lo que todas las configuraciones se pueden borrar eliminando o eliminando el archivo de configuración. En el archivo, las líneas vacías o las líneas que comienzan con # se ignoran y la función de comentario se puede implementar agregando # antes de la línea.
La configuración de estos dos archivos se implementa mediante un sencillo lenguaje de control de acceso. El formato básico de la declaración de control de acceso es:
Lista de nombres de programas: nombre de host/lista de direcciones IP.
La lista de nombres de programas especifica los nombres de uno o más programas que brindan el servicio correspondiente, separados por comas o espacios. Puede ver el nombre del programa que proporciona el servicio correspondiente en el archivo inetd.conf: como en el ejemplo del archivo anterior, el último elemento en la línea telent es el nombre del programa requerido: in.telnetd.
La lista de nombres de host/direcciones IP especifica la identidad de uno o más hosts a los que se les permite o prohíbe usar el servicio. Los nombres de host están separados por comas o espacios. Se pueden utilizar comodines tanto para nombres de programas como para direcciones de host, lo que facilita la especificación de múltiples servicios y múltiples hosts.
Linux proporciona los siguientes métodos flexibles para especificar un proceso o lista de hosts:
1. Una cadena de nombre de dominio que comienza con ".", como amms.ac.cn, luego www. amms.ac.cn coincide con este artículo.
2. Si la cadena IP termina con "." y es 202.37.152, los hosts con direcciones IP que incluyan 202.37.152 coincidirán con este elemento.
El formato 3.n.n.n.n/m.m.m.m indica red/máscara. Un host coincide con esta entrada si la suma bit a bit de la dirección IP y la máscara del host que solicita el servicio es igual a n.n.n.n.
4. Todo significa combinar todas las posibilidades.
5.EXPECT significa eliminar el host definido más adelante. Por ejemplo, list_1EXCEPTlist_2 significa que los hosts enumerados en list_1 están excluidos de la lista de hosts.
6. Local significa hacer coincidir todos los hosts cuyos nombres de host no contienen "."
Los métodos anteriores son solo algunos métodos proporcionados por Linux, pero son suficientes para nuestras aplicaciones generales. . Demos algunos ejemplos para ilustrar este problema:
Ejemplo 1: solo queremos permitir que las máquinas en la misma LAN utilicen la función ftp del servidor, pero prohibir las solicitudes de servicio ftp en la WAN. La LAN local consta de tres segmentos de red: 202.39.154. , 202.39.153 y 202.39.152.
En el archivo hosts.deny, definimos que todas las máquinas tienen prohibido solicitar todos los servicios:
Todos: Todos
En el archivo hosts.allow, definimos que solo Permitir que LAN acceda a la función ftp:
in ftpd-l–a:202 39 .
De esta forma, cuando una máquina no LAN solicite el servicio ftp, será rechazado. Las máquinas LAN pueden utilizar el servicio ftp. Además, debe comprobar periódicamente los archivos de registro en el directorio /var/log para buscar eventos de inicio de sesión que amenacen la seguridad del sistema. El último comando puede verificar eficazmente los eventos de inicio de sesión del sistema y encontrar problemas.
Por último, tcpdchk es un programa que comprueba la configuración de TCP_WAPPERS. Comprueba la configuración de TCP_WAPPERS e informa cualquier problema o problema potencial que encuentre. Después de completar todas las configuraciones, ejecute el programa tcpdchk:
[root@deep]#tcpdchk
*/etc/services files
Asignado en RFC 1700 El La correspondencia entre los números de puerto y los servicios estándar se define detalladamente en "Número". El archivo "/etc/services" permite que los programas de servidor y cliente conviertan nombres de servicios en números de puerto. Esta tabla existe en cada host y su nombre de archivo es "/etc/services". Sólo el usuario "root" tiene derecho a modificar este archivo. En circunstancias normales, no es necesario modificar este archivo porque este archivo ya contiene los números de puerto correspondientes a los servicios comunes. Para mayor seguridad, podemos proteger este archivo para evitar cambios y eliminaciones no autorizadas. Para proteger este archivo, puede utilizar el siguiente comando:
[root @ deep]# chattr+I/etc/services
*/etc/securetty file
El archivo "/etc/securetty" le permite especificar que el usuario "root" puede iniciar sesión desde este dispositivo tty. El programa de inicio de sesión (normalmente "/bin/login") necesita leer el archivo "/etc/securety". Su formato es: todos los dispositivos tty enumerados pueden iniciar sesión, y aquellos que están comentados o no existen en este archivo no permiten el inicio de sesión de root.
Comente (ponga un # al principio de la línea) cualquier dispositivo tty en el que desee evitar que root inicie sesión.
Edite el archivo Securetty (vi/etc/securetty) de la siguiente manera y comente algunas líneas:
tty1
#tty2
#tty3
#tty4
#tty5
#tty6
#tty7
#tty8
*Desactiva la tecla de apagado Control-Alt-Suprimir.
Comente una línea en el archivo "/etc/inittab" para desactivar el uso de Control-Alt-Delete para apagar la computadora. Esto es muy importante si el servidor no se guarda en una ubicación segura.
Edite el archivo inittab (vi/etc/inittab) e introduzca la siguiente línea de código:
ca::ctrl altdel:/sbin/shut down-T3-rnow
Reemplazar con:
# ca::ctrl altdel:/sbin/shut down-T3-rnow
Utilice el siguiente comando para que los cambios sean efectivos:
[root@deep]#/sbin/initq
*Cambie los permisos de acceso de los archivos de script en el directorio "/etc/rc.d/init.d/".
Los scripts en /etc/rc.d/init.d/ incluyen principalmente programas de script para iniciar servicios. Los usuarios normales no necesitan conocer el contenido del archivo de script. Entonces deberías cambiar los permisos de estos archivos de script.
[root @ deep]# chmod-R700/etc/RC . d/init d/*
Solo el usuario root puede leer, escribir y ejecutar archivos en este script de directorio. .
*/etc/rc.d/rc.local file
Por defecto, cuando inicias sesión en un ordenador con sistema Linux, el sistema te indicará el nombre del Distribución de Linux, número de versión, versión del kernel y nombre del servidor. Esto expone demasiada información del sistema.
Es mejor mostrar sólo el mensaje "Iniciar sesión:".
Paso uno:
Edite el archivo "/ect/rc.d/rc.local" y agregue "#" antes de la siguiente línea:
-
# Esto sobrescribirá/etc/issueateveryboot. Por lo tanto, realice los cambios
# que desee realizar en/etc/issue aquí o los eliminará cuando reinicie.
# echo " " & gt/etc/issue
# echo " $ R " & gt& gt/etc/issue
# echo " Kernel $( uname-r)on $ a $(uname-m)" gt;& gt/etc/issue
#
#cp-f/etc/issue/etc/issue. net
# echo & gt& gt/etc/issue -
Paso 2:
Elimine "issue.net" y "issue.net" en el archivo " /etc" directorio "archivo de problema":
[root@deep]#rm-f/etc/issue
[root@deep]#rm-f/etc/issue. net
Nota: El archivo "/etc/issue.net" es el mensaje de inicio de sesión que ven los usuarios cuando inician sesión en la computadora desde la red (como telnet, SSH). También hay un archivo de "problema" en el directorio "", que es el mensaje que ven los usuarios al iniciar sesión localmente. Estos dos archivos son archivos de texto y se pueden cambiar según sea necesario. Sin embargo, si desea eliminar estos dos archivos, debe comentar estas líneas en el script "/etc/rc.d/rc.local" como se mencionó anteriormente; de lo contrario, el sistema volverá a crear estos dos archivos en cada reinicio. archivos.
¡Pruébalo!