Linux 의 네트워크 구성. 。

Linux 를 설치할 때 네트워크 카드가 있으면 설치 프로그램은 컴퓨터의 IP 주소, 기본 게이트웨이의 IP 주소, DNS 의 IP 주소 등과 같은 tcp/ip 네트워크의 구성 매개변수를 제공하라는 메시지를 표시합니다. 이러한 구성 매개 변수에 따라 설치 프로그램은 네트워크 카드 드라이버 (Linux 시스템이 먼저 지원해야 함) 를 커널에 자동으로 컴파일합니다. 하지만 카드 드라이버 로딩 과정을 꼭 알아야 하기 때문에 나중에 카드를 바꿔야 한다. 여러 개의 네트워크 카드를 사용할 때 우리는 쉽게 조작할 수 있을 것이다. 네트워크 카드의 드라이버는 모듈로 커널에 로드되고, 리눅스가 지원하는 모든 네트워크 카드 드라이버는 /lib/modules/(linux 버전 번호) /net/ 디렉토리에 저장됩니다. 예를 들어, inter 의 82559 시리즈 10/ 100M 어댑티브 부트 카드 드라이버는 eepro 100.o 이고 3COM 의 3C509 ISA 카드는 3C509 입니다. O. 이러한 기본 드라이버를 이해하면 모듈 구성 파일을 수정하여 네트워크 카드를 교체하거나 네트워크 카드를 추가할 수 있습니다.

1. /etc/conf.modules 파일을 수정합니다.

구성 파일은 모듈을 로드하는 데 중요한 매개 변수 파일입니다. 먼저 샘플 파일을 살펴 보겠습니다.

#/etc/conf.modules

별칭 eth0 eepro 100

별칭 eth 1 eepro 100

이 파일은 두 개의 inter 82559 시리즈 네트워크 카드가 있는 Linux 시스템에서 conf.modules 의 내용입니다. Alias 명령은 eth0 과 같은 이더넷 포트에 있는 드라이버 이름을 나타냅니다. 별칭 eth0 eepro 100 은 이더넷 포트 0 에 로드할 드라이버가 eepro100.o. 임을 의미합니다. 그러면 modprobe eth0 명령을 사용할 때 eepro/kloc-가 자동으로 로드됩니다 그러나 ISA 카드에 해당하는 경우 다음 그림과 같이 conf.modules 에 하드웨어의 io 주소나 인터럽트 번호를 지정해야 합니다. NE ISA 네트워크 카드의 conf.modules 파일을 보여 줍니다.

별칭 eth0 ne

옵션 ne io=0x300 irq=5

Conf.modules 파일을 수정한 후 명령을 사용하여 모듈을 로드할 수 있습니다 (예: 두 번째 관심 있는 네트워크 카드 삽입).

# insmod/lib/modules/2.2.14/net/eepro100.o

이렇게 하면 eepro 100.o 모듈을 이더넷 포트에 로드할 수 있으며 명령을 사용하여 현재 로드된 모듈 정보를 볼 수 있습니다.

[root@ice /etc]# lsmod

사용된 모듈 크기

Eepro 100 15652 2 (자동 청소)

결과를 반환하면 현재 로드된 모듈은 eepro 100 이고 크기는 15652 바이트이며 두 명의 사용자가 있습니다. 방법은 자동으로 지우는 것입니다.

2. /etc/lilo.conf 파일을 수정합니다.

일부 최신 버전의 Linux 에서는 운영 체제가 모든 관련 하드웨어를 자동으로 감지하므로 /etc/lilo.conf 파일을 수정할 필요가 없습니다. 그러나 ISA 및 이전 버전의 경우 시스템 초기화 중 새로 추가된 네트워크 카드를 초기화하기 위해 lilo.conf 파일을 수정할 수 있습니다. /etc/lilo.conf 파일에 다음 명령을 추가합니다.

Append = "ether = 0x240, eth0ether = 0x300, eth 1"

이 명령은 eth0 의 io 주소가 0x240 이고 인터럽트가 5 이고 eth 1 의 io 주소가 0x300 이고 인터럽트가 7 이라는 뜻입니다.

사실 이 문은 시스템이 미러 파일을 부트할 때 전달되는 인수에서 나온 것이다.

Lilo: linuxether = 0x240, eth0ether = 0x300, eth 1

이 방법을 사용하면 Linux 시스템에서 두 개의 네트워크 카드를 구성할 수도 있습니다. 마찬가지로 세 개 이상의 네트워크 카드를 사용할 때도 같은 방법을 따를 수 있습니다.

네트워크 카드를 구성한 후 TCP/IP 매개변수를 구성해야 합니다. 일반적으로 Linux 시스템을 설치할 때 네트워크 매개 변수를 구성하라는 메시지가 표시됩니다. 그러나 나중에 네트워크 설정을 수정하려면 다음 명령을 사용할 수 있습니다.

#ifconfig eth0 A.B.C.D 넷마스크 E.F.G.H

A.B.C.D 는 eth0 의 IP 주소이고 E.F.G.H 는 넷마스크입니다.

실제로 Linux 시스템에서는 다음 명령과 같이 하나의 네트워크 카드에 대해 여러 개의 IP 주소를 설정할 수 있습니다.

# ifconfig eth 0:1202.112.11..

그런 다음 #ifconfig -a 명령을 사용하여 모든 네트워크 인터페이스의 인터페이스를 봅니다.

Eth0 링크 패키징: 이더넷 HWaddr 00:90:27:58:AF: 1A

인터넷 주소: 202.112.13.204 bcast: 202.1/kloc

멀티캐스트 실행 멀티캐스트 MTU: 1500 메트릭: 1

수신 패킷: 4355 10 오류: 0 폐기: 0 오버플로: 0 프레임: 2

TX 패킷: 538988 오류: 0 폐기: 0 오버플로우: 0 캐리어: 0

충돌: 318683txqueuelen:100

인터럽트: 10 기본 주소: 0xc000

Eth0: 1 링크 패키징: 이더넷 HWaddr 00:90:27:58:AF: 1A

인터넷 주소: 202.112.11.218bcast

멀티캐스트 실행 멀티캐스트 MTU: 1500 메트릭: 1

인터럽트: 10 기본 주소: 0xc000

Lo 링크 캡슐화: 로컬 루프백

인터넷 주소: 127.0.0. 1 마스크: 255.0.0.0

업루프백 실행 MTU:3924 측정 단위: 1

RX 패킷: 2055 오류: 0 버리기: 0 오버플로우: 0 프레임: 0

TX 패킷: 2055 오류: 0 폐기: 0 오버플로우: 0 캐리어: 0

충돌: 0 txqueuelen:0

Eth0, eth0: 1, lo, eth0 은 실제 이더넷 인터페이스이고, eth0: 1 과 eth0 은 같은 네트워크 카드이지만 다른 주소는 바인딩되어 있습니다. Eth0 과 eth0: 1 서로 다른 네트워크 세그먼트의 IP 주소를 사용할 수 있으며 동일한 물리적 네트워크 세그먼트에 서로 다른 네트워크 주소를 사용하는 경우에 유용합니다.

또한 네트워크 카드에는 혼합 모드 모드가 있습니다. 이 모드에서는 네트워크 카드가 네트워크의 모든 패킷을 수신합니다. Tcpdump, snort 등과 같은 Linux 의 일부 네트워크 모니터링 도구는 네트워크 카드를 혼합 모드로 설정합니다.

Ifconfig 명령은 이 실행 시간 동안 네트워크 카드의 IP 주소를 변경할 수 있지만, 시스템이 재부팅될 경우 Linux 는 여전히 원래의 기본 설정에 따라 네트워크 인터페이스를 시작합니다. 이때 netconfig 또는 netconf 명령을 사용하여 기본 네트워크 매개 변수를 재설정할 수 있습니다. Netconfig 명령은 IP 주소 (dhcpd 및 BOOTP), NIC 의 IP 주소, 넷마스크, 기본 게이트웨이 및 기본 도메인 이름 서버 주소를 동적으로 가져오도록 구성되었는지 여부를 포함한 기본 tcp/ip 매개변수를 재구성하는 데 사용됩니다. Netconf 명령은 모든 네트워크 매개 변수를 클라이언트 작업, 서버 작업 및 기타 구성의 세 부분으로 상세하게 구성합니다. 클라이언트 구성에서는 주로 호스트 기본 구성 (호스트 이름, 유효한 도메인 이름, 네트워크 별칭, 해당 네트워크 카드의 IP 주소, 넷마스크, 네트워크 디바이스 이름, 네트워크 디바이스 커널 드라이버), DNS 주소 구성, 기본 게이트웨이 주소 구성, NIS 주소 구성, IPX 인터페이스 구성, PPP/ 가 포함됩니다. 서버측 구성에는 주로 NFS 구성, DNS 구성, Apache 웹 서버 구성, 삼바 구성 및 Wu-ftpd 구성이 포함됩니다. 기타 구성 옵션 중 하나는 /etc/hosts 파일의 호스트 구성에 대한 것이고, 다른 하나는 /etc/networks 파일의 네트워크 구성 정보, 마지막으로 linuxconf 구성 사용에 대한 정보입니다.

네트워크 정보는 linuxconf 명령으로 구성할 수도 있지만 보시다시피 linuxconf 프로그램은 netconf 를 호출하여 네트워크를 구성합니다.

또한 네트워크에 대한 시스템 구성 파일은 /etc/sysconfig/network-scripts 디렉토리에 저장됩니다. 예를 들면 다음과 같습니다.

: & ltbr & gt& ltbr & gt

Ifcfg-eth0 * ifdown-post * ifup-aliases * ifup-PPP *

Ifcfg-eth1* ifdown-PPP * ifup-IPX * ifup-routes *

Ifcfg-lo * ifdown-sl * ifup-plip * ifup-sl *

Ifdown@ ifup@ ifup-post* 네트워크-기능

Ifcfg-eth0 은 이더넷 포트 eth0 에 대한 구성 정보이며 다음과 같습니다.

DEVICE="eth0" /* 은 네트워크 디바이스 이름 */

IPaddr = "202.112.13.204"/* 는 네트워크 디바이스의 IP 주소 */

넷마스크 = "255.255.255. 192"/* 는 넷마스크 */

Network = 202.112.13.192/* 네트워크 주소 지정 */

브로드캐스트 = 202.112.13.255/* 브로드캐스트 주소 표시 */

ONBOOT="yes" /* 는 네트워크 카드가 시스템 부팅 시 활성화되는지 여부를 나타냅니다 */

BootpROTO="none" /* BOOTP 프로토콜 사용 여부를 나타냅니다 */

따라서 Linux 에서 네트워크 매개 변수를 변경하기 위해 이 파일을 수정할 수도 있습니다. [/SIZE]

--

2. 네트워크 서비스 구성

이 섹션에서는 특정 네트워크 서버 (DNS, FTP, WWW, SENDMAIL) 의 구성 (큰 편폭) 을 자세히 설명하지 않고 Linux 네트워크 서비스 구성과 관련된 파일을 소개합니다.

1 에 대한 구성 파일입니다. 에어쿠션

Linux 시스템에는 여러 운영 체제를 선택적으로 시작할 수 있는 lilo(linux loadin) 라는 시스템 부트 프로그램이 있습니다. 구성 파일은 /etc/lilo.conf 입니다. 이 구성 파일에서 lilo 의 구성 매개 변수는 주로 두 부분으로 나뉩니다. 하나는 부팅 장치 설정을 포함한 전역 구성 매개 변수이고, 다른 하나는 로컬 구성 매개 변수입니다. 각 부트 미러 파일에 대한 구성 매개변수를 포함합니다. 각 매개 변수, 특히 암호와 제한 옵션의 두 가지 중요한 매개 변수에 대해서는 자세히 설명하지 않습니다. 암호 옵션은 각 부트 이미지 파일에 암호 보호를 추가합니다.

Linux 시스템에는 단일 사용자 모드가 있다는 것은 잘 알려져 있습니다. 이 모드에서는 사용자가 Linux 시스템에 슈퍼유저 (루트) 로 로그인합니다. 사람들은 lilo 를 부트할 때 매개 변수 (Linux single 또는 Linux init 0) 를 추가하여 비밀번호를 요구하지 않고 단일 사용자 모드 수퍼 유저 환경으로 직접 들어갈 수 있어 위험할 수 있습니다. 따라서 각 이미지 파일에 대한 암호 보호를 강화하기 위해 lilo.conf 에 암호 구성 옵션이 추가되었습니다.

전역 모드에서 암호 옵션 (모든 이미지 파일에 동일한 암호 추가) 을 사용하거나 각 개별 이미지 파일에 암호를 추가할 수 있습니다. 이렇게 하면 시스템이 시작될 때마다 사용자가 비밀번호를 입력해야 합니다. 비밀번호를 입력할 때마다 번거롭다고 생각하시겠지만 제한 옵션을 이용하실 수 있습니다. 이를 통해 lilo 는 Linux 시작 시 매개 변수 (예: Linux single) 를 입력할 때만 비밀번호를 확인할 수 있습니다. 이 두 가지 옵션을 사용하면 시스템 보안이 크게 향상되므로 lilo.conf 파일에서 설정하는 것이 좋습니다.

암호는 /etc/lilo.conf 파일에 일반 텍스트로 저장되므로 /etc/lilo.conf 파일의 등록 정보를 루트 읽기 전용 (0400) 으로 변경해야 합니다.

또한 이전 버전의 lilo 에서는 부트 섹터를 첫 번째 1024 실린더 제한에 저장해야 했습니다. 이 제한은 lilo 의 2.5 1 버전에서 깨졌으며 부트 인터페이스가 더 직관적이었습니다. 최신 버전을 다운로드하고 압축을 푼 후 make "명령을 사용한 후 make install 명령을 사용하여 설치를 완료합니다. 참고: 물리적 보안은 가장 기본적인 보안입니다. Lilo.conf 에 암호 보호를 추가해도 물리적 보안이 없으면 악의적인 침입자가 부팅 플로피 디스크를 사용하여 Linux 시스템을 부팅할 수 있습니다.

2. 도메인 이름 서비스 프로필

(1)/etc/HOSTNAME Linux 시스템의 호스트 이름과 도메인 이름을 이 파일에 저장합니다. 샘플 파일.

Ice.xanet.edu.cn

이 파일은 호스트 이름 ice 와 도메인 이름 xanet.edu.cn 을 나타냅니다.

(2)/etc/hosts 및 /etc/networks 파일에는 도메인 이름 서비스 시스템에 호스트 테이블 메커니즘이 있으며 /etc/hosts 및 /etc/networks 는 호스트 테이블에서 개발되었습니다. /etc/hosts 에 DNS 시스템 쿼리가 필요하지 않은 호스트의 IP 주소와 호스트 이름을 저장할 수 있습니다. 다음은 샘플 파일입니다.

# IP 주소 호스트 이름 별칭

127.0.0 ..1로컬 호스트 루프백

Www.xjtu.edu.cn www

202.117.1.24ftp.xjtu.edu.cnftp

/etc/networks 에서 네트워크 IP 주소와 네트워크 이름은 일대일로 대응됩니다. 파일 형식은 /etc/hosts 와 유사합니다.

(3) /etc/resolv.conf 파일은 DNS 도메인 이름 확인기의 기본 구성 파일입니다. 형식은 매우 간단하며 각 행은 기본 키워드로 구성됩니다. /etc/resolv.conf 의 키워드는 주로 다음과 같습니다.

도메인 은 기본 로컬 도메인 이름을 나타냅니다.

Search 는 호스트 이름을 찾을 때 검색할 도메인 이름 목록을 나타냅니다.

Nameserver 는 이름 확인을 수행할 때 도메인 이름 서버의 IP 주소를 나타냅니다. 다음은 샘플 파일입니다.

#/etc/resolv.conf

도메인 xjtu.edu.cn

Xjtu.edu.cn· edu.cn 을 검색합니다

이름 서버 202. 1 17.0.20

이름 서버 202.117.1.9

(4)/etc/host.conf 시스템에 /etc/hosts 의 DNS 이름 확인 및 호스트 테이블 메커니즘이 모두 있는 경우 /etc/host.conf 파일은 파서의 질의 순서를 설명합니다. 샘플 파일은 다음과 같습니다.

#/etc/host.conf

호스트를 정렬하고 /etc/hosts 파일에 # parser 쿼리를 바인딩하고 그 뒤에 DNS 가 옵니다.

Multi on # 은 호스트에 여러 개의 IP 주소를 허용합니다.

Ip 주소 스푸핑을 금지합니다.

3.DHCP 용 구성 파일

/etc/DHCPD.conf 는/etc/DHCPD.conf 파일의 구성을 통해 LAN 의 IP 주소를 동적으로 할당할 수 있는 dhcpd 구성 파일입니다. Linux 호스트는 dhcpd 서버로 설정되며 네트워크 카드의 MAC 주소를 식별하여 IP 주소를 동적으로 할당합니다. 샘플 파일은 다음과 같습니다.

옵션 도메인 이름 "chinapub.com";

Use-host-decl-names 를 닫으십시오.

서브넷 2 10.27.48.0 넷마스크 255.255.255. 192

{

파일 이름'/tmp/image' ：

호스트 전화 접속 서버

{

하드웨어 이더넷 00: 02: B3:11:F2: 30;

고정 주소 210.27.48.8;

파일 이름'/tmp/image' ：

}

}

이 파일에서 가장 중요한 것은 하드웨어 주소를 설정하여 LAN 의 호스트를 식별하고 지정된 IP 주소를 할당하는 것입니다. 하드웨어 이더넷 00: 02: B3:11:F2: 30 동적으로 IP 를 할당할 호스트 NIC 의 MAC 주소, 고정 주소 210.27 을 지정합니다 파일 이름' /tmp/image' 는 호스트가 TFTP 서비스를 통해 얻은 미러 파일이며 호스트를 부트하는 데 사용할 수 있습니다.

4. 수퍼 대기 프로세스 inetd 구성

Linux 시스템에는 /etc/services 파일에 지정된 서비스의 포트를 수신하는 수퍼 대기 프로세스인 inetd 가 있습니다. Inetd 는 네트워크 접속 요청에 따라 해당 서비스 프로세스를 호출하여 요청에 응답합니다. 여기에는 /etc/inetd.conf 와 /etc/services 라는 두 가지 매우 중요한 파일이 있습니다. /etc/services 파일은 linu 시스템의 모든 서비스에 대한 이름, 프로토콜 유형, 서비스 포트 등의 정보를 정의합니다. /etc/inetd.conf 는 inetd 가 모니터링할 수 있는 서비스와 해당 서비스 프로세스에 대한 호출 명령을 지정하는 inetd 구성 파일입니다. 먼저 /etc/services 파일을 소개했습니다. /etc/services 파일은 다음과 같이 서비스 이름 및 서비스 포트에 해당하는 데이터베이스 파일입니다:/.

(사실 위는 /etc/services 의 일부일 뿐, 편폭의 제한으로 인해 전부 쓰여지지 않았다. ) 을 참조하십시오

이 파일에서 보안을 위해 텔넷 서비스의 포트 주소를 52323 으로, WWW 의 포트 주소를 8080 으로, FTP 의 포트 주소를 2 12 1 등으로 변경할 수 있습니다. 따라서 어플리케이션의 해당 포트만 수정하면 시스템 보안이 향상됩니다.

/etc/inetd.conf 파일은 inetd 의 구성 파일입니다. 첫째, Linux 서버가 어떤 서비스를 제공하는지 알아야 합니다. 한 가지 좋은 원칙은' 불필요한 모든 서비스를 금지한다' 는 것이다. 이렇게 하면 해커가 시스템을 공격할 기회가 줄어든다. /etc/inetd.conf 샘플 파일

보시다시피 이 문서는 수정되었으며 텔넷과 FTP 서비스를 제외한 모든 서비스는 금지되어 있습니다. /etc/inetd.conf 를 수정한 후 kill-hup 명령 (inetd 의 프로세스 번호) 을 사용하여 inetd 가 구성 파일을 다시 읽고 다시 시작하도록 합니다.

5.IP 라우팅 구성

Linux 를 사용하면 일반 마이크로폰도 가격 대비 성능이 뛰어난 라우터를 구현할 수 있습니다. 먼저 Linux 에서 라우팅 정보를 보는 명령에 대해 살펴보겠습니다.

[root@ice /etc]# route -n

커널 IP 라우팅 테이블

대상 게이트웨이 Genmask 플래그 측정 참조 I 인터페이스 사용

202.112.13.204

202.117.48.43 0.0.0 255.255.255 uh0eth1

202.112.13.192 202.12 ..

202.112.13.192 0.0.0.0 255.255

202.117.48.0 202.117.48.43 255.255.255

202.117.48.0 0 0.0.0 255.255.255.0u 000 eth1

127.0.0.0 0 0.0 255.0.0.0 u00lo

0.0.0.0 202.117.48.1

명령 netstat -r n 은 route -n n 과 동일한 출력을 얻습니다. 모두 Linux 커널을 조작하는 라우팅 테이블입니다.

Cat /proc/net/route 명령의 출력은 16 진수 라우팅 테이블입니다.

[루트 @ ice/etc] # cat/proc/net/route

Iface 대상 게이트웨이 플래그 RefCnt 는 측정 단위 마스크를 사용합니다

Eth0 cc0d70 ca 00000000005 00 ffffff

Eth12b3075 ca 0000000005 00 000fffff

Eth0c00d70ca cc0d70ca0003 00c0ffff

Eth 0c00d 70 ca 000000000 00010 000c0ffff

Eth1003075 ca 2b3075 ca 0003 0 0000ffff

Eth1003075 ca 000000000 00010 0 0 0 000ffff

Lo000007f000000000 00010 0 0 0 00000000f

Eth100000000 013075 ca 0003 0 0 0000000

계산을 통해 다음 라우팅 테이블 (16 진수) 이 이전 라우팅 테이블 (10 진수) 과 일치한다는 것을 알 수 있습니다.

또한 route add (del) 명령을 사용하여 라우팅 테이블을 조작하고 라우팅 정보를 추가 및 삭제할 수 있습니다.

위의 정적 라우팅 외에도 Linux 는 routed 를 통해 rip 프로토콜의 동적 라우팅을 수행할 수 있습니다. 리눅스의 라우팅 전달 기능을 켜고 /proc/sys/net/ipv4/ip_forward 파일에 1 문자를 추가하기만 하면 됩니다.

셋. 네트워크 보안 설정

이 섹션에서는 불필요한 모든 서비스를 금지하는 /etc/inetd.conf 를 수정해야 한다는 점을 다시 한 번 강조합니다. 또한 다음과 같은 네트워크 보안 관련 파일이 있습니다.

(1)./etc/ftpusers FTP 서비스는 안전하지 않은 서비스이므로 /etc/ftpusers 는 FTP 를 통해 Linux 호스트에 액세스할 수 없는 사용자 목록을 정의합니다. Ftp 요청이 ftpd 로 전송되면 ftpd 는 먼저 사용자 이름을 확인합니다. 사용자 이름이 /etc/ftpusers 에 있는 경우 ftpd 는 사용자가 연결을 계속할 수 없도록 합니다. 샘플 파일은 다음과 같습니다.

#/etc/ftpusers–사용자가 FTP 를 통해 로그인할 수 없습니다

뿌리

상자

데몬

의사 결정 지원 (Aid in Decision Making 의 약자)

선형 프로그래밍 (Linear Programming)

동기화

전원을 끄다

멈추다

메일

뉴스

프로그램을 복사하다

운영자

경기

아무도 없다

나드민

(2)/etc/securetty Linux 시스템에는 항상 * * * 6 개의 터미널 콘솔이 있습니다. /etc/securetty 에서 루트 로그인을 허용하는 터미널을 설정할 수 있으며, 파일에 기록되지 않은 다른 모든 터미널은 로그인을 허용하지 않습니다. 샘플 파일은 다음과 같습니다.

# /etc/securetty-tty 루트 로그인을 허용하는 디렉토리

Tty 1

Tty2

티티 3

Tty4

(3) 제어 3)tcpd /etc/hosts.allow 및 /etc/hosts.deny 에 대한 로그인 파일.

Tcpd 서비스 중 Linux 호스트에 대한 외부 액세스는 /etc/hosts.allow 및 /etc/hosts.deny 의 액세스 제어 규칙에 의해 제어되며 형식은 다음과 같습니다

서비스 목록: 호스트 목록 [:명령]

서비스 프로세스 이름: 선택 가능한 호스트 목록 및 규칙 충족 시 수행되는 작업.

호스트 테이블에 도메인 이름 또는 IP 주소를 사용할 수 있습니다. ALL 은 일부 항목을 제외한 모든 항목을 일치시키는 것을 의미합니다. PARANOID 는 IP 주소와 도메인 이름이 일치하지 않을 때 일치하는 항목 (도메인 이름 위장) 을 나타냅니다.

샘플 파일은 다음과 같습니다.

#

# hosts.allow 이 파일은 다음 호스트의 이름을 설명합니다

# 결정에 따라 로컬 인터넷 서비스를 사용할 수 있습니다

#' /usr/sbin/tcpd' 서버를 통해.

#

모두: 202.112.13.0/255.255.255.0

Ftpd: 202.117.13.196

원격 로그인: 202. 1 17.48.33

모두: 127.0.0. 1

이 파일에서 네트워크 세그먼트 202.112.13.0/24 는 Linux 시스템의 모든 네트워크 서비스에 액세스할 수 있고 호스트 202./kloc-

/etc/hosts.deny 파일에서 다른 모든 상황을 금지합니다.

#/etc/hosts.deny

All: deny: spawn (/usr/bin/finger-LP @% h |/bin/mail-s "포트 거부 레코드 %d-%h" 루트

/etc/hosts.allow 에는 Linux 가 다른 모든 경우에 수행해야 하는 작업이 정의되어 있습니다. Shell 옵션을 사용하면 Linux 시스템에서 일치 규칙에 지정된 셸 명령을 실행할 수 있습니다. 이 예에서 Linux 시스템은 무단 액세스를 발견하면 수퍼유저에게' 포트 거부 기록 %d-%h' 라는 제목의 e-메일을 보내지 않습니다. 먼저 allow 와 allow 를 소개하겠습니다.

(4)/etc/issue 및 /etc/issue.net

Linux 시스템에 로그인할 때 Linux 시스템의 버전 번호와 같은 민감한 정보를 자주 볼 수 있습니다. 오늘날의 사이버 공격에서는 많은 해커들이 먼저 대상 시스템에 대한 정보를 수집하고 버전 번호는 매우 중요한 정보이므로 일반적으로 Linux 시스템에 정보를 숨깁니다. /etc/issue 및 /etc/issue.net 은 이 정보를 저장하는 파일입니다. 이러한 파일을 수정하여 버전 정보를 숨길 수 있습니다.

또한 Linux 가 재부팅될 때마다 /etc/rc.d/rc.local 스크립트의 두 파일을 덮어쓰게 됩니다. /etc/rc.d/rc.local 파일의 예는 다음과 같습니다.

# 이 스크립트는 * 다른 모든 init 스크립트 이후 * 실행됩니다.

# 그렇지 않다면 초기화 자료를 여기에 두셔도 됩니다

# 완전한 Sys V 스타일 초기화를 하고 싶습니다.

If [-f/etc/red hat-release]; 그리고 나서

R=$ (카터벨 /etc/redhat-release)

Arch=$(uname -m)

A="a "

의 대/소문자 "_$arch"

_ a *)a = "an "；; 을 눌러 섹션을 인쇄할 수도 있습니다

_ I *)a = "an "；; 을 눌러 섹션을 인쇄할 수도 있습니다

Environmental systems applications center 환경 시스템 애플리케이션 센터

Numproc =' egrep-c "CPU [0-9]+"/proc/stat'

If ["$ numproc"-gt "1"]; 그리고 나서

SMP = "$ num proc- 프로세서"

If ["$ numproc" = "8"-o "$ numproc" = "11"]; 그리고 나서

A= "앤"

기타

A="a "

선측은 화물 적재 비용을 부담하지 않습니다

선측은 화물 적재 비용을 부담하지 않습니다

# 시작할 때마다 /etc/issue 를 덮어씁니다. 그래서, 어떤 변화라도 하세요.

# 여기에 /etc/issue 를 생성하길 바랍니다. 그렇지 않으면 재부팅 시 손실됩니다.

# echo ""& gt/etc/issue

# echo "$ R">& gt/etc/issue

# echo "kernel $ (uname-r) on $ a $ SMP $ (uname-m)" >>/etc/issue

Cp -f /etc/issue /etc/issue.net

Echo & gt& gt/etc/issue

파일의 굵은 부분은 시스템 버전 정보를 얻는 곳입니다. 반드시 주석을 달아야 한다.

(5) 기타 구성

일반 마이크로컴퓨터에서는 ctl+alt+del 의 조합을 통해 Linux 를 다시 시작할 수 있습니다. 이것은 매우 안전하지 않으므로 /etc/inittab 파일에 이 함수를 기록해야 합니다.

# 트랩 CTRL-ALT-DELETE

# ca:: ctrl alt del:/sbin/shutdown-T3-r now