网络管理员指南.docx-淘文阁

资源描述

《网络管理员指南.docx》由会员分享，可在线阅读，更多相关《网络管理员指南.docx（245页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、网络管理员指南网络管理员指南-1.网络介绍-1.历史联网的想法可能象电信一样远旧。考虑生活在石头时代的人,鼓在此可能被用来了在个人之间传送消息。猜想洞穴人A想要邀请洞穴人B参加对方掷岩石的一场比赛，但是他们居住的太远， B听不见A给他敲的鼓声。因此 A 的选择是什么？他能 1 )-走到 B 的地方上, 2 )-得到更大的一个鼓,或 3 )-问 C ,C生活在A与B之间，让C传送信息。最后这一个被叫作联网。当然,我们从我们的祖先的原始的追求和设备走了很长的路了。现在,我们让计算机互相讨论电线的广阔的集合,纤维光学,微波,等等,为星期六的足球比赛匹配预约。在下列，我们将处理这被完成的

2、工具和方法，但是省掉电线,象足球部分一样。我们将在这个指南中描述网络的两种类型:那些基于 UUCP ，和那些基于TCP/IP的网络.这些是提供方法在两台计算机之间传送数据的协议全套和软件包。在这章，我们将看到网络的两种类型，并且讨论他们的内在原则。我们把网络定义为作为能与对方一起交流的许多主机,经常依靠在参加者之间中继数据的很多专注主机的服务。主机经常是计算机，但是不必是;一个人作为主机也能想到X终端或聪明的打印机。主机的小块也被称为地点。通讯没有某种语言或代码是不可能的。在计算机网络中，这些语言共同作为协议。然而，在此你不应该想到写的协议，但是当规定的头相遇时，行为的高度形式化

3、了的代码被观察,例如。处于很类似的时尚，在计算机网络被使用了的协议仅仅是为在两个或两个以上主机之间交换信息的很严格的规则。网络管理员指南-1.网络介绍-2.UUCP网络 UUCP 是 Unix-to-Unix Copy的一个缩写。它作为程序的一个文件包启动，在连续的线上转移文件，确定那些转移的时间，并且在远程地点上开始执行程序。自从70年代末它的第一实现以来，它经历了主要的变化 ,但是它仍然在它提供的服务中是一名勇士。它的主要的应用仍然是基于拨号的电话连接在宽区域网络。 UUCP 首先与1977年在贝尔实验室被开发，用于在他们的Unix发展地点之间的通讯。在1978年中，这个网络已经

4、连接了80多个地点。它作为一个应用程序运行电子邮件,象远程打印一样。然而,系统的中央使用是散布新软件和错误修正。如今, UUCP 不再被限制到环境。有免费的和商业的为许多平台可得到的端口,包括 AmigaOS ， DOS , Atari 的 TOS ,等等。 UUCP 网络的主要不利条件之一是他们的低带宽。一方面,电话设备对于最大转移频率有严格的限制。另一方面, UUCP 连接很少是永久的连接;相反,主机在常规的间隔中相互拨号。因此，大部分时间，它通过一个UUCP网络传递一个邮件信息，它懒散地位于一些主机的磁盘上，等待下一次一个连接被建立。尽管有这些限制，仍然有许多 UUCP 网络在整

5、个世界中操作,主要由业余爱好者运行,它提供私人用户在合理价格上的联网存取。UUCP流行的主要的原因是，它与把你的计算机与大的因特网电缆线联接起来相比是极便宜的。使你的计算机成为 UUCP 节,你所需要的就是一个调制解调器，一个工作的UUCP实现，以及愿意给你发送邮件和新闻的另外一个UUCP节点。网络管理员指南-1.网络介绍-3.TCP/IP 网络-1)介绍TCP/IP网络尽管 UUCP 可能是低花费拨号网络连接的合理的选择，有许多种情况证明它的存储转发技术很顽固, 例如在本地的区域联网( LANs )。这些通常由位于同样建筑中的少数机器组成,或甚至在一样的地板上的少数机器组成，他们被

6、互相联系以提供同类工作环境。典型地，你将想要在这些主机之间分享文件，或在不同的机器上运行分布式的应用程序。这些任务要求到联网的一条完全不同的途径。而不是与工作描述一起提交全部文件，所有的数据在更小的块上被拆散(文件包),它很快地被提交给目的地主机,他们在此被重新集合。这类网络被称为一个切换包的网络。在另外的事情之中，这允许在网络上运行交互的应用程序。这的费用是,当然,在软件方面极大地增加了它的复杂性。被采用的那个系统的答案-以及许多 nonsites -作为TCP/IP被知道。在这一节中,我们将看一看它的内在概念。介绍TCP/IP-网络 TCP/IP追溯它的源头到1969年一个由

7、美国DARPA（防御高级研究项目代理）创建的一个研究项目。它是一个实验性网络， ARPANET，在他被证明成功之后，它转化到一个1975年的一个操作。在1983年，新的协议套组TCP/IP制定为一个标准，网络上的所有主机要求使用它。当ARPANET最终成长为Internet（ARPANET 本身在1990年退出历史），TCP/IP的使用传播到超越Internet本身的网络。最为著名的是本地区域网络。但是在快速数字电话设备之前，例如ISDN，它还有一个提升的特征作为一个拨叫网络的传输。对于集中一些东西来查找我们讨论的贯穿下面部分的TCP/IP，我们将考察Groucho Marx大学（GMU

8、），位于Fredland的某个地方，作为例子。大多数系运行他们自己的本地区域网络，而一些共享一个，其它运行几个。他们都是内部连接的，并且通过一个高速连接到Internet。假设你的信箱在数学系连接到LAN主机，并且它的名字是erdos。要访问物理系，称为quark，你输入下面的命令： $ rlogin quark.physics Welcome to the Physics Department at GMU (ttyq2) login: 在提示中，你输入你的注册名，称为andres，和你的密码。于是你在quark上给出一个shell，要到达那里你可以输入它就象你正位于系统控制台。在你

9、退出shell之后，你返到你自己的系统提示，你刚刚使用了一个即时，TCP/IP提供的交互式应用程序：远程注册。当注册到quark，你可能还想要运行一个X11基础的应用程序，如一个功能测绘程序，或者一个附录预览。来告诉这个应用程序你想要使它的窗口显示在你的主机屏幕上，你需要设置DISPLAY环境变量： $ export DISPLAY=erdos.maths:0.0 如果你现在开始你的应用程序，他将联络你的X服务器而不是quark的，并显示它所有的窗口在你的屏幕上。当然，这要求你有 X11运行在erdos。这里的问题是TCP/IP允许quark and erdos发送X11返回并给你印象你

10、在一个单独的系统中。网络这个几乎是透明的。 TCP/IP网络上的另外一个非常重要的应用程序是NFS，它代表Network （网络文件系统）。这是使网络透明的另外一种方法。因为它基本上允许你从其他主机安装目录层，因此，它们象本地文件系统一样出现。例如，所有的用户根目录可以在一个中心服务机器上，从那里所有在LAN上的其它主机安装到目录。它的影响是用户可以记录进入任何机器，并在相同的目录发现他们自己。同样的，在一个机器上安装要求大空间的应用程序是可能的（例如：TeX）。并输出这些目录到其他机器。我们将在章节-返回到NFS。当然，这些只是你通过TCP/IP网络可以做的事情的例子。可能性几乎

11、是无止境的。我们将进一步讨论TCP/IP网络。你将需要它来了解如何以及为什么配置到你的机器。我们将通过检查你的硬件开始，并慢慢上路。网络管理员指南-1.网络介绍-3.TCP/IP 网络-2)以太网本文出自: 作者: Andrew Anderson 广泛地被使用在LANS上的硬件类型通常被认为是以太网。它与通过接头，分接头或收发器被纳入它的由一根单个的电缆线组成的主机。简单的以太网安装起来是相当便宜的,它,和一个每秒 10 兆位速率的网络转移说明它的流行性。以太网有三种风情,称为厚和薄,分别地,和双绞线。薄和厚的以太网各个使用一根同轴电缆,在宽度和你可以把一台主机纳入这根电缆线的方法

12、上有不同。薄的以太网使用一个T型的“ BNC ”接头,你把它插入到电缆,并且拧一个插头放在你的计算机的背后。厚的以太网要求你给电缆钻一个小洞,并且使用一个vampire 接头缚上一个接收器。然后一个或一个以上的主机可以被连结到接收器。薄和厚的以太网电缆可以运行200和500米的最大值,分别地,并且也因此被称为 10base-2 和 10base-5 。使用一根电缆的双绞线由两根铜丝组成,它也被发现在一般的电话安装中，但是通常要求附加的硬件。它也称为 10base-T。尽管增加一台主机到一个厚的以太网有点毛乎乎的,它并不降低网络。把一台主机增加到细电缆网安装,因为你必须切断电揽去插

13、入接头，所以你必须有至少几分钟的时间中断联网服务。大多数人比较喜欢薄的以太网,因为它是很便宜的: PC 卡只要 US$50，并且电缆每米只要几分钱。然而,对于大规模的安装，厚的以太网是更适当的。例如,在 Gmu 数学部门的以太网使用厚的以太网,因此每次一台主机加入网络时交通不会中断。以太网技术的缺点之一是它的有限的电缆线长度,它预防除为 LANs 以外的它的任何使用。然而，几个以太网的片断可以被连接到使用中继器，桥或路。中继器简单地在两个或更多的片断之间拷贝信号,以便所有片断象是一个以太网一样一起行动。预定要求,网络上任何两个主机不能有超过四个中继器。桥和路是更复杂的。他们分析到

14、来的数据,并且只当接受者主机不在本地的以太网上时提交它。以太网象一个公共汽车系统一样地工作,一台主机在此可以发送达到1500个字节的文件包(或框架)给在同样以太网上的其他的主机。一位主机被它的以太网板的固件设定固定的一个6字节地址邮箱。这些地址通常由冒号分开了的两位十六进制的数字顺序被写,例如 aa:bb:cc:dd:ee:ff 。由一个地址被送出的一个框架被所有依附的地址看到，但是实际上仅有目的地主机能拣起它并且处理它。如果两个地址同时试着发送，发生碰撞,它通过两个地址终止任务来解决,并且片刻后重新尝试发送。网络管理员指南-1.网络介绍-3.TCP/IP 网络-3)其它类型的硬件

15、本文出自: 作者: Andrew Anderson 比较大的安装，例如：Groucho Marx大学，Ethernet经常不是唯一使用的设备类型。在Groucho Marx大学，每个系的局域网都连接在校园网主线上，它是一个运行FDDI（光纤分布式数据借口）的光纤电缆。FDDI使用一个与传输数据完全不同的连接方式。它基本上是发送一些记号，而一个网站如果得到一个记号的时候只被允许发送它的一个框架。FDDI的主要优点是它大于100-Mbps的速度，和一个最大可以到达200公里的长度。对于长距离的网络连接，设备类型上的一个不同类别经常被用到，它以一个名为X.25的标准为基础。象在美国的 Ty

16、mne和在德国的Datex-P一样，许多这样称呼的公共数据网络都支持这种服务。X.25要求一个特殊的硬件，被称为一个Packet Assembler/Disassembler或者是PAD. X.25来根据自己的权益定义一套网络协议，但是它不经常用来连接运行TCP/IP和其它协议的网络。因为IP包无法只是被简单地定位在X.25（并且反之亦然），它们被简单的密封在X.25包中在网络中发送。经常的，无线爱好者使用他们的设备来进行网络工作；这被称为packet radio 或者 ham radio。ham radios使用的协议称为AX.25,它是从X.25.派生出来的。其它技术是有关使用

17、比较慢但是便宜的串连线的拨号连接。这仍然需要包裹传输的另外一个协议，例如SLIP或者PPP，它们将会在下面进行介绍。网络管理员指南-1.网络介绍-3.TCP/IP 网络 -4)Internet协议本文出自: 作者: Andrew Anderson 当然，你不希望你的网络限制在一个Ethernet局域网上。理想状态下，你希望能够使用一个网络，它不需要考虑它所运行的是什么硬件和它由几个子单元组成。例如，在比较大的安装中，如Groucho Marx大学，你通常有一些分开的 Ethernets，它们需要使用某种方法进行连接。在GMU，数学系运行着两个Ethernets：一个给教授和研究生使用的快

18、机器的网络和另外一个为学生准备的慢机器的网络。它们都连接在FDDI校园中枢上这个连接由一个指定的主机处理，它就是一个所谓的网关，它通过在两个Ethernets个光缆线之间复制来处理输入和输出的包。例如，如果你在数学系，并且想要从你的box中访问物理系子网上的quark的话，网络软件无法直接发送包到 quark，因为它不在同一个Ethernet。因此，它需要网关作为一个转发器。网关（被称为sophus）于是使用中枢转发这些包裹到物理系与它同等级别的网关niels，niels再处理它到目标机器上。erdos 和quark之间的数据流动显示在下面（向Guy L. Steele道歉）表：从

19、erdos 到 quark发送一个datagram的三个步骤。对不起：这个指导数据到主机的计划被称为routing,并且包裹在这个上下文中经常是指datagrams。为了方便处理，datagrams交换由一个简单的协议管理，它独立于硬件使用的IP或者Internet协议。在章节，我们将会更详细的谈到IP和routing中的一些事项。 IP的主要益处是它将物理上相异的网络转化为月个亿显然统一的网络。这被被称为内部网络，它的结果“meta-network” 被称为一个internet.请注意，这里一个internet和那个internet之间的细微区别。后者是一个特殊的全球的internet

20、的名字。当然，IP还需要一个独立硬件的地址计划。这通过分派给每个主机一个唯一的32-bit的数字来实现，被称为IP地址。一个 IP地址经常被写为有4个小数的数字，每个有8-bit位，由点隔开。例如，quark可能有一个IP地址是0x954C0C04，它可以被写为149.76.12.4这种格式还被称为dotted quad符号。你将会注意到，我们现在由个不同类型的地址：第一个是主机名，象quark，然后是IP地址，最后是硬件地址，如 6-byte Ethernet地址。所有这些都需要相匹配，所以当你输入登录到quark的时候，可以给网络软件quark的IP 地址；当IP 处理任何数据到

21、物理系Ethernet的时候，它需要找到相对应于IP地址的Ethernet地址，这似乎有些混乱。我们在这里不准备在继续了，进一步的内容将在章节中提到。现在，可以完全记起这些查找地址的步骤被称为主机名决议，用于引导主机名到IP地址和地址决议，用于引导后面的部分到硬件地址。网络管理员指南-1.网络介绍-3.TCP/IP 网络 -5)通过并联线上的IP 本文出自: 作者: Andrew Anderson 在连续线上，一个被叫作SLIP或者Serial Line IP的一个de facto标准经常会用到。一个SLIP的修改被称为CSLIP，或者是压缩的SLIP，并且使用IP标题压缩来使连续线提供

22、的相当低的带宽更好的使用。一个不同的连续协议是PPP，或者是点到点协议。PPP比SLIP有更多的特征，包括一个谈话阶段的连接。然而，使用SLIP的主要优势是这不仅限于传输IP datagrams,但是它不是设计用来传输任何类型的datagrams。网络管理员指南-1.网络介绍-3.TCP/IP 网络 -6)用户Datagram协议本文出自: 作者: Andrew Anderson 当然，TCP不是TCP/IP网络中唯一的用户协议。尽管象rlogin一样适合于应用程序，它对于象NFS这样的应用程序仍然有上层的限制。相替代的，就使用了TCP的同属协议，称为UDP，或者是User Dat

23、agram Protocol.象TCP协议一样，UDP同样允许一个应用程序在远程机的一个特定的端口上同一个服务器联系。，但是不会为此建立一个连接。相反，你可能需要使用它来发送单个数据包到目标服务器，也就是它的名字。假设你已经从部门的中心NFS服务器galois上逐级安装了TeX路径，并且你想要浏览描述如何使用LaTeX的文件。你打开你的编辑器，它首先阅读整个文件。然而可能会花费太多的时间与galois建立一个TCP连接，发送文件，并再次退出连接。相反的，一个连接要求到送到galois，它把文件制成几个UDP数据包来发送，这样就会迅速得多。但是，UDP不能处理文件的丢失或者是损坏。这

24、些都由应用程序来决定在这个例子中就是由NFS来决定。网络管理员指南-1.网络介绍-3.TCP/IP 网络 -7)端口的更多信息本文出自:.com.tw 作者: Andrew Anderson 端口可以被看作是网络连接的接触点。如果一个应用程序想要提供一个特定的服务器，它就会将自己连接到一个端口并等待客户（这也称为端口上的listening）。一个想要使用这个服务器的客户在它的本地主机上分配出一个端口，并在远程主机上连接到服务器端口。端口的一个重要特性是当一个连接在客户和服务器之间建立的时候，服务器的另外一个副本可能会连接到服务器端口然后等待更多的客户。例如，这允许同一个主机上同时有几

25、个远程注册，它们都使用同样的端口513。 TCP可以在这些连接的两端互相转告，因为它们来自于不同的端口和主机。例如，如果你从erdos两次记录到 quark，第一个rlogin客户将使用本地端口1023，而第二个端口将使用端口1022。然而二者在quark上都将连接到同样的端口。这个例子显示端口被当作集合点使用。在那里一个客户连接一个指定的端口来获得一个特定的服务。为了使一个客户得知正确的端口号码，两个系统的管理员就这些号码的标志需要达成一个协议。对于广泛使用的服务，例如rlogin,这些数字需要进行中心管理。这是由IETF（或者是Internet Engineering Task F

26、orce）完成的，它有规律的释放一个标题为Assigned Numbers的RFC。在其它东西中间，它描述分配给well-known services的端口号码。Linux使用一个定位服务器名称为数码的文件，称为/etc/services。它将在部分中介绍。尽管TCP 和 UDP的连接都依靠端口，但是如果这些数字发生冲突，它们仍然没有什么作用。例如，TCP的端口 513需要区别于UDP的端口513，。实际上，这些端口是两个不同的服务器的连接点，称为rlogin (TCP) 和rwho (UDP)。网络管理员指南-1.网络介绍-3.TCP/IP 网络 -8)插槽集合本文出自: 作者:

27、Andrew Anderson 在操作系统中，上述中的软件所执行的所有任务和协议通常是核心的部分，并且它是这样。在世界上普通的编程接口大多数是Berkeley Socket库。它的名字来自一个流行的类比，该类比将端口视作插座，并且就象插入一样联接一个端口。它提供(约束( 2 )呼叫给指定的一台远程主机，一个运输协议，以及一个能连结或听到的程序(使用联接( 2 ),听( 2 )和接受（2）。然而socket库很一般,因为它不仅提供一类TCP/IP-based 插座（ AF_INET 插座),而且处理到机器的本地连接的一个类( AF_UNIX 类)。一些执行也能处理其他的级别,象 XNS

28、一样(复印联网系统)协议，或 X.25 。 socket库是标准的 libc C库的部分。当前，它仅仅支持 AF_INET 和 AF_UNIX 插座，但是努力为 Novell 的联网协议给予一体的支持,以便最终一个或一个以上的插座类别为这些可以被增加。网络管理员指南 -1.网络介绍 - 4.网络本文出自: 作者: Andrew Anderson 考虑全球程序者的努力结果，没有全球网络的支持就是不可能的。因此在早期的发展阶段许多人开始使用网络资源提供程序就不值得大惊小怪了。一个UUCP安装的运行是从最开开始起步的，并且在从1992年秋天开始的以 TCP/IP为基础的网络上进行。在那时Ros

29、s Biro和其他的创立者建立了现在的Net-1。在Ross与1993年退出发展行动之后，Fred van Kempen开始了在一个新的安装上的工作，他重新撰写了代码的主要部分。这个正在进行的努力被称为Net-2。第一个公共发布- Net-2d是在1992年的夏天（作为0.99.10核心的一部分），并且开始由几个人保护个扩展，最显著的是Alan Cox的Net-2Debugged。在对代码的大量的调试和实践之后，他在出版1.0以后将名字改为Net-3。这是当前包含在官方核心发布的网络代码的版本。 Net-3为一个宽阔的Ethernet boards提供设备驱动。如SLIP（为通过连续

30、线发送网络交通），和PLIP（对于平行线）。使用Net-3，有一个TCP/IP的安装，它在一个本地的网络环境中表现非常好，它显示的工作状态可以击败一些商业PC机。发展的趋向是必要的稳定以可靠的Internet主机上运行它. 除了这些设备之外，还有几个正在进行的项目可以增加更多的功能,一个PPP的驱动(点到点协议,在连续线上发送网络交通的另一种方法)当前是在Beta阶段,并且为ham无线电准备的AX.25驱动是在Alpha阶段。Alan Cox还为 Novells IPX协议安装了一个驱动，但是对于一个完整的网络组套以兼容Novell的努力被暂时停止，因为Novell 不愿意提供必要的文件

31、。另外一个有希望的工作是samba，它是由Andrew Tridgell撰写的一个对于Un*x的NetBIOS 服务器。网络管理员指南 -1.网络介绍 - 4.网络 - 1)发展的不同方向本文出自: 作者: Andrew Anderson 同时，Fred继续发展,继续到 Net-2e ,大部分特征被联网层的设计给修改了。在写的时候， Net-2e 仍然是 Beta 软件。关于 Net-2e 大多数值得注意的是 DDI 的结合,设备驱动器接口。 DDI 提供统一的存取和配置方法提所有联网设备和协议。联网的 TCP/IP 的另一个执行来自 Matthias Urlichs ,它为 Linu

32、x 和 FreeBSD 写出一个 ISDN 驱动器。为此，他在核心中综合一些BSD联网代码。对于可预见的未来，然而, Net-3 似乎要在这里留下来。Alan当前在由火腿收音机业余运动员使用了的 AX.25 协议上进行一个执行的工作。无疑地,为核心被发展为模块的代码也带给网络代码带来新的推动力。模块允许你在运行时间时把驱动器加到核心。尽管这些不同的网络实现都努力提供一样的服务，在核心和设备水平上,他们之间有主要的差别。因此,你不能设置从 Net-2d 或 Net-3 中用实用程序运行一个 Net-2e 核心的一个系统,并且反之毅然。这仅仅适用于相当仔细处理核心内部的命令;应用程序和

33、普通联网命令,例如 rlogin 或在他们的任何一个上被运用的远程登录命令。但是，你不应该担心所有这些不同的网络版本。除非你正在参予活跃的开发，否则,你不必担心你运行哪个 TCP/IP 代码的版本。官方的核心版本总是被一套在核心中的兼容联网代码的联网工具伴随。网络管理员指南 -1.网络介绍 - 4.网络 - 2)哪里可以得到编码本文出自: 作者: Andrew Anderson 网络编码的最新版本可以从各种地方由匿名的FTP得到。官方Net-3的FTP网站是sunacm.swan.ac.uk，由sunsite()提供。最新的Net-2e修补工具和二进制可以从得到。Matthias Ur

34、lichs BSD-derived网络编码可以从得到。最新的核心可以在al/701.PLE/Linus 发现， sunsite 和 tsx-11.mit.edu提供这个路径。网络管理员指南 -1.网络介绍 - 5.维护你的系统本文出自: 作者: Andrew Anderson 通过这本书，我们将主要讨论安装和配置问题。然而，管理是比-多的部分。在设置一种服务以后，你也必须让它运行。对于他们的大多数，仅仅少量的照顾将是必要的,但是有一些，类似邮件和新闻,要求你施行日常工作以保持你系统的不断更新。我们将在以后的章中讨论这些任务。维护的绝对最小量是定期为错误条件和不平常的事件检查系统和每

35、个申请记录文件。通常,你想要通过写一些行政的位置写手迹并且周期性地从 cron 运行他们来这样做。一些主要应用的来源分区，类似 smail 或C新闻,包含如此的手迹。你仅需要制定他们适合你的需要和偏爱。来自你的 cron 工作的任何东西的产量应该被邮寄给一个行政的帐目。通过缺省，许多应用程序将发送误差报告，用法统计，或给根帐目的记录文件摘要说明。如果你经常作为根登录，这仅仅说得通;一个更好的想法是把根的邮件提交给建立一个邮件别名的个人帐号，它被描述在章-。然而你要小心地设置你的地点,Murphy的法律保证一些问题将最后出现。因此,维护一个系统也意味会得到抱怨。通常，人们期望系统主

36、管至少能作为根，经由电子邮件被到达，但是也有另外的地址通常用来到达一个人，他负责一个维护的特殊方面。例如,关于一个故障邮件设置的抱怨通常被邮寄给 postmaster ;并且有新闻系统的问题可以被报导到 newsmaster 或 Usenet 。到 hostmaster 的邮件应该被重寄到负责主机的基本网络服务的人，如果你运行一个名字服务器，邮件应被重寄给 DNS名字服务器。网络管理员指南 -1.网络介绍 - 5.维护你的系统 -1)系统安全本文出自: 作者: Andrew Anderson 在一个网络环境下系统管理的另外一个非常重要的方面是保护的的系统和用户不受侵犯。疏忽的系统管理给

37、不怀好意者可乘之机：攻击的范围从密码猜测到Ethernet探听，毁坏包含从假的的邮件信息到数据的丢失或者是对你的用户秘密的威胁。我们将讨论一些可能进入的内容的特殊的问题，以及一些常用的抵御方法。本章将讨论处理系统安全的例子和基础技术。当然，题目不能涵盖所有你可能面对的所有的安全问题。它们只是描述可能发生的一些问题。因此，阅读一本有关安全的书籍是非常必要的，特别是在一个网络系统中。极力推荐 Simon Garfinkel的 Practical UNIX Security (see )。系统的安全来自于好的系统管理。这包括所有权的检查以及所有重要文件和路径的进入许可。、监特权帐户的使用

38、等等。例如，COPS程序将检查你的文件系统和命令配置文件中不经常使用的许可或者其它的不规则。使用一个有特定规则的用户密码套组使其不容易猜测也是一个聪明的做法。例如影子密码套组要求一个密码至少有5个字母，并且要同时包含上面和下面的数字。当使一个服务可以应用于网络，确定要给它一个“最小特权，”表示你不允许它代表做你不许可的事情。例如，你只有在根或者是其它优先的帐户真正需要的时候才将setuid程序安装到它们上去。同样的，如果你只需要使用一个有很大限制的应用程序，不要犹豫，把它限制在你的特殊应用程序允许的范围内。例如，如果你想要允许无磁盘主机从你的机器启动，你必须提供TFTP（小文件传送

39、服务）这样，在使用没有被限制的时候它们可以从/boot路径下下载基础配置文件。这不是你想要的，为什么不限制TFTP服务到/boot路径呢？根据同样的考虑，你可能想要限制特定的服务到用户使用特定的主机，表达来自于你的本地网络。在章节-,我们将介绍tcpd，它可以在许多类型的网络应用中做这个工作。另外一个重要的点是要避免“危险的”文软件。当然，任何你所使用的软件都可能是危险的，因为软件可能含有错误，它们是聪明的人想要获得进入你的系统的许可。象这样的事情发生，并且没有完全的保护措施。这个问题对免费的软件和商业化产品的影响是相同的。然而，那些要求特殊特权的程序本身比其他程序更为危险，因为如

40、何循环漏洞都可以有严重的后果。如果你在为网络目的安装一个setuid程序，你需要双北小心，不要漏掉文件中的任何内容，这样你就不会节外生枝。你可以不指定什么时候你的警觉失败，忽略你曾经如何谨慎。这样，你需要确定你尽早检查入侵者。检查一个系统记录文件是一个好的开始，但是入侵者可能非常聪明，删除所有他或者她可能留下的任何明显的痕迹。然而，象tripwire这样的工具可以让你检查重要的文件中的内容或者是许可是否被修改过。在后续的运行中，checksums被重新计算并与保存的内容相比较以检查是否曾被修改。网络管理员指南 -2.TCP/IP网络事件 -1网络接口本文出自: 作者: Andre

41、w Anderson 我们现在将转向当连接你的机器到一个包含处理IP地址，主机名字，有时是路由事件的TCP/IP网络的时候你将遇到的细节。本章给你为了了解你设置要求的内容的背景，而下一章将介绍处理它们的工具。网络接口为了隐蔽可能被用于一个联网环境中的设备的差异,TCP/IP 通过被存取的硬件定义一个抽象的接口。这个接口提供一套操作,这套操作对于所有硬件类型是一样的,并且基本上处理发送和接收文件包。对于你想要为联网使用的每个外部设备,一个相应的接口必须在核心中。例如，以太网接口被称为 eth0 和 eth1 ，并且 SLIP 接口作为 sl0 , sl1 ,等等。当你想要命名一台特

42、别的物理设备到核心时，这些接口名字被用于配置目的。在那以外,他们没有任何意义。可用于联网的 TCP/IP,一个接口必须被分配一个IP地址,当与世界其他部分进行交流时，这个IP地址作为它的辨认进行服务。这个地址与上面被提及了的接口名字不同;如果你把一个接口比作门，那么地址象钉在它上的名字板一样。当然,有另外的设备参数可以被设置;其中之一是能被特殊硬件设备处理的数据包的最大尺寸，也被称为最大的转移单位，或 MTU 。其他的属性将以后介绍。网络管理员指南 -2.TCP/IP网络事件 -2IP地址本文出自: 作者: Andrew Anderson 就象在先前的章提及了的那样，联网IP 协议

43、理解的地址是32位的数字。每台机器必须被分配到联网的环境唯一的一个数字。如果你正在运行没有与另外的网络有 TCP/IP 通路的一个本地的网络，你可以根据你的个人偏爱分配这些数字。然而,对于在因特网上的地点，数字被一个中央的权威，网络信息中心，或 NIC 分配。为了更容易的读，IP地址被分为叫做八位字节的四个位数字。例如, quark.physics.groucho.edu 有 0x954C0C04 的一个IP地址,它作为 149.76.12.4 被写。这格式经常被提交给作为由符号连接的四个小于255的数字代表IP地址。为这个标志的另外一个原因是IP地址被切分进一个网络数字,它被包含在最

44、重要的八位字节中，和一台主机数字,它是剩余物。当为IP地址申请到 NIC 时，你没有为你计划使用的每个单个的主机分配一个地址。相反，你被给出一个网络数字，并且被允许根据你的偏爱在你的网络上在这个范围以内分配所有的有效的IP地址到主机。取决于网络的大小,主机部分可以需要更小或更大。容纳不同的需要,这里有几种网络种类,定义不同IP地址的切开。类别A。类别A通过 127.0.0.0 包含网络1.0.0.0 。网络数字被包含在第一个八位字节中。这提供给一个24小点主机, 大约允许 1.6 百万主机。类别B。类别B通过 191.255.0.0包含网络 128.0.0.0 ;网络数字在第二个八位

45、字节中。这允许每个有 65024 的主机 16320 张网。类别C。类别C网络范围从 192.0.0.0到223.255.255.0 ,与网络数字包含在第三个八位字节中。这允许有直到 254 位主机的将近 2 百万个网络。类别D ， E ，并且通过 254.0.0.0 掉进 224.0.0.0 范围的 F 地址是试验性的，或为未来使用被保留并且不指定任何网络。如果我们回到先前章中的例子，我们发现那149.76.12.4 , quark 的地址,参考在类别B网络 149.76.0.0的主机12.4 。你可能注意到了，在上面的表中不是所有可能的值被允许在主机部分中的每个八位字节。因为有

46、八位字节的主机数字，所有 0 或所有 255 为特殊的目的被保留。所有的主机部分位是零的一个地址参考网络，并且主机部分所有的位的地址是 1的被称为一个广播地址。这同时在指定的网络上参考所有的主机。这样， 149.76.255.255 不是一个有效的主机地址，但是在网络 149.76.0.0 上参考所有的主机。也有两个网络地址被保留, 0.0.0.0 和 127.0.0.0 。第一个被称为缺省线路,后者 loopback 地址。缺省线路有时使用IP 路线数据的方式,它将被在下面处理。网络 127.0.0.0 为IP通路被保留到你的主机。通常,地址 127.0.0.1将在你的主机上被分到一个特殊的接口,所谓的 loopback 接口,它象一个关上的电路一样行动。来自TCP 或 UDP 被传递给它的任何 IP 包将被返回到他们，好像它刚从一些网络到达了。这允许你开发并且测试曾经没有使用一个“真实”网络的联网软件。另外一个有用的应用程序是你什么时候想要使用在一台独立的主机上的联网软件。这就象它发出的声音一样很平常;例如，许多 UUCP 地点根本没有 IP 连接，但是仍然不过想要运行INN新闻系统。对于合适的操作,INN要求 loopback 接口。网络管理员指南 -2.T

展开阅读全文