【精品】Linux安全策略詳解1_第1頁
【精品】Linux安全策略詳解1_第2頁
【精品】Linux安全策略詳解1_第3頁
【精品】Linux安全策略詳解1_第4頁
【精品】Linux安全策略詳解1_第5頁
已閱讀5頁,還剩12頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、linux服務(wù)器安全策略詳解1. 1 linux網(wǎng)絡(luò)基礎(chǔ)1. 1. 1 linux網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)【it專家網(wǎng)獨(dú)家】linux在服務(wù)器領(lǐng)域已經(jīng)非常成熟,其影響力日趨增大。 linux的網(wǎng)絡(luò)服務(wù)功能非常強(qiáng)人,但是由t* linux的桌面應(yīng)用和windows相比還 有一定差距,除了一些linux專門實(shí)驗(yàn)室z外,大多數(shù)企業(yè)在應(yīng)用linux系統(tǒng)時(shí), 往往是linux和windows (或unix)等操作系統(tǒng)共存形成的異構(gòu)網(wǎng)絡(luò)。在一個(gè)網(wǎng)絡(luò)系統(tǒng)中,操作系統(tǒng)的地位是非常重要的。linux網(wǎng)絡(luò)操作系統(tǒng)以 高效性和靈活性而著稱。它能夠在pc上實(shí)現(xiàn)全部的unix特性,具有多任務(wù)、多 用戶的特點(diǎn)。linux的組網(wǎng)能力

2、非常強(qiáng)大,它的tcp/ip代碼是最高級的。linux 不僅提供了對當(dāng)前的tcp/ip協(xié)議的完全支持,也包括了對卜一代internet w ipv6的支持。linux內(nèi)核還包括了 ip防火墻代碼、ip防偽、ip服務(wù)質(zhì)量控制及 許多安全特性。linux的網(wǎng)絡(luò)實(shí)現(xiàn)是模仿freebsd的,它支持freebsd的帶有擴(kuò) 展的sockets (套接字)和tcp/ip協(xié)議。它支持兩個(gè)主機(jī)間的網(wǎng)絡(luò)連接和sockets 通信模型,實(shí)現(xiàn)了兩種類型的sockets: bsd sockets和i net sockets。它為不 同的通信模型提供了兩種傳輸協(xié)議,即不可靠的、基丁消息的udp傳輸|辦議和可 靠的、基于流的

3、tcp傳輸|辦議,并且都是在1p網(wǎng)際辦議上實(shí)現(xiàn)的。inet sockets 是在以上兩個(gè)協(xié)議及1p網(wǎng)際協(xié)議z上實(shí)現(xiàn)的,它們z間的關(guān)系如圖1-1所示。e 1-1 linux網(wǎng)絡(luò)中的層3掌握ost網(wǎng)絡(luò)模型、tcp/ip模型及相關(guān)服務(wù)對應(yīng)的層次對于理解linux網(wǎng) 絡(luò)服務(wù)器是非常重要的。1. 1. 2 tcp/ip四層模型和osi七層模型表1-1是tcp/ip四層模型和0si七層模型對應(yīng)表。我們把0si七層網(wǎng)絡(luò)模 型和linux tcp/ip四層概念模型對應(yīng),然后將各種網(wǎng)絡(luò)協(xié)議歸類。«1-1 tcp-1p zosi -t 對應(yīng)靠"宅二“pus-二三三 appbgh:tf?p ft

4、pt!ts vais tdr-r. rlcjiil,$ 轉(zhuǎn) hoc:smtpir x : trixuywr:tcp. udp -s t :1jp :cmf:afi 甲藝劣訂左三dm l油::mt二匂fddt eth j態(tài)叮三.pencil:z££s:2.l4 i£e s:2.2 j. z££sc2.l11.網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口把數(shù)據(jù)鏈路層和物理層放在一起,對應(yīng)tcp/ip概念模型的網(wǎng)絡(luò)接 口。對應(yīng)的網(wǎng)絡(luò)協(xié)議主要是:ethernet. fddi和能傳輸ip數(shù)據(jù)包的任何協(xié)議。2 網(wǎng)際層網(wǎng)絡(luò)層對應(yīng)linux tcp/ip概念模型的網(wǎng)際層,網(wǎng)絡(luò)層協(xié)議管理離

5、散的計(jì)算 機(jī)間的數(shù)據(jù)傳輸,如ip協(xié)議為用戶和遠(yuǎn)程計(jì)算機(jī)提供了信息包的傳輸方法,確 保信息包能正確地到達(dá)日的機(jī)器。這一過程屮,ip和其他網(wǎng)絡(luò)層的協(xié)議共同用 于數(shù)據(jù)傳輸,如果沒有使用一些監(jiān)視系統(tǒng)進(jìn)程的丁具,用戶是看不到在系統(tǒng)里的 ip的。網(wǎng)絡(luò)嗅探器sniffers是能看到這些過程的一個(gè)裝置(它可以是軟件,也 可以是硬件),它能讀取通過網(wǎng)絡(luò)發(fā)送的每一個(gè)包,即能讀取發(fā)生在網(wǎng)絡(luò)層協(xié)議 的任何活動,因此網(wǎng)絡(luò)嗅探器sniffers會對安全造成威脅。重要的網(wǎng)絡(luò)層協(xié)議 包括arp (地址解析協(xié)議)、icmp (internet控制消息協(xié)議)和ip協(xié)議(網(wǎng)際協(xié)議) 等。3. 傳輸層傳輸層對應(yīng)linux tcp/i

6、p概念模型的傳輸層。傳輸層提供應(yīng)用程序間的通 信。其功能包括:格式化信息流;提供可靠傳輸。為實(shí)現(xiàn)后者,傳輸層協(xié)議規(guī)定 接收端必須發(fā)回確認(rèn)信息,如果分組丟失,必須重新發(fā)送。傳輸層包括 tcp (transmission control protocol,傳輸控制協(xié)議)和 udp(user datagram protocol,用戶數(shù)據(jù)報(bào)協(xié)議),它們是傳輸層屮最主要的協(xié)議。tcp建立在tp之 上,定義了網(wǎng)絡(luò)上程序到程序的數(shù)據(jù)傳輸格式和規(guī)則,提供了 tp數(shù)據(jù)包的傳輸 確認(rèn)、丟失數(shù)據(jù)包的重新請求、將收到的數(shù)據(jù)包按照它們的發(fā)送次序重新裝配的 機(jī)制。tcp協(xié)議是面向連接的協(xié)議,類似于打電話,在開始傳輸數(shù)據(jù)之

7、前,必須 先建立明確的連接。udp也建立在ip之上,但它是一種無連接協(xié)議,兩臺計(jì)算 機(jī)之間的傳輸類似于傳遞郵件:消息從一臺計(jì)算機(jī)發(fā)送到另一臺計(jì)算機(jī),兩者之 間沒有明確的連接。udp不保證數(shù)據(jù)的傳輸,也不提供覓新排列次序或帝新請求 的功能,所以說它是不可靠的。雖然udp的不可靠性限制了它的應(yīng)用場合,但它 比tcp具有更好的傳輸效率。4. 應(yīng)用層應(yīng)用層、表示層和會話層對應(yīng)linux tcp/ip概念模型中的應(yīng)用層。應(yīng)用層 位于協(xié)議棧的頂端,它的主要任務(wù)是應(yīng)用。一般是可見的,如利用ftp(文件傳 輸協(xié)議)傳輸一個(gè)文件,請求一個(gè)和h標(biāo)計(jì)算機(jī)的連接,在傳輸文件的過程中, 用戶和遠(yuǎn)程計(jì)算機(jī)交逸的一部分是能

8、看到的。常見的應(yīng)用層協(xié)議有:http、ftp、 telnet、smtp和gopher等。應(yīng)用層是linux網(wǎng)絡(luò)設(shè)定最關(guān)鍵的一層。linux服 務(wù)器的配置文檔主要針對應(yīng)用層屮的協(xié)議。tcp/ip模型齊個(gè)層次的功能和協(xié)議 如表1-2所示。1-2 tcpjp噥全冬個(gè)號決怛勿能鬥滬漢,itit,尺*二s = . 痕=二05:#卻空二二"二三、hwx莖總上淫揑七士乂;.ppf夕二亠匕冰:slip總圧咚丄、二61多內(nèi)寒二廠瓷三三3 :門嚴(yán)uu::cmp cf建整乜上蘭士3二af.p :龍社單“土么:raf.p吒*坯土爐8于3: tcp (揑乜傳址f a: x5 st.zss .三一才三二可壬?弋

9、關(guān)藝二鴛匕二05:少占 寒釜a二三三,:乂心違吃三n:.httpdws芻芒士*; £、up .工工蘭必曙雄二3:.:-ts曲迄工4形汁_ _d 說靂 tcpip與osi星大的不辰枉亍osi是一木理論上則是 艮行運(yùn)仃芥題絡(luò)協(xié)議°卩c1ocio.ccm1. 1. 3 tcp/ip提供的主要用戶應(yīng)用程序1. telnet 程序telnet程序提供遠(yuǎn)程登錄功能。2. 文件傳輸協(xié)議文件傳輸協(xié)議(ftp)允許用戶將一個(gè)系統(tǒng)上的文件復(fù)制到另一個(gè)系統(tǒng)上。3. 簡單郵件傳輸協(xié)議簡單郵件傳輸協(xié)議(smtp)用于傳輸電子郵件。4. kerberos 協(xié)議kerberos是一個(gè)受到廣泛支持的安全性

10、協(xié)議。5. 域名服務(wù)器協(xié)議域名服務(wù)器協(xié)議(dns)能使一臺設(shè)備具有的普通名字轉(zhuǎn)換成某個(gè)特泄的網(wǎng)絡(luò) 地址。6. 簡單網(wǎng)絡(luò)管理協(xié)議簡單網(wǎng)絡(luò)管理協(xié)議(snmp)把用戶數(shù)據(jù)報(bào)協(xié)議(udp)作為傳輸機(jī)制,它使用和 tcp/ip不同的術(shù)語,tcp/ip用客戶端和服務(wù)器,而snmp用管理器(manager)和 代理(agent),代理提供設(shè)備信息,而管理器管理網(wǎng)絡(luò)通信。7. 網(wǎng)絡(luò)文件系統(tǒng)協(xié)議網(wǎng)絡(luò)文件系統(tǒng)i辦議(nfs)是由sun microsystems公司開發(fā)的一套亦議,可使 多臺計(jì)算機(jī)能透明地訪問彼此的冃錄。8. 遠(yuǎn)程過程調(diào)用遠(yuǎn)程過程調(diào)用(rpc)是使應(yīng)用軟件能與另一臺計(jì)算機(jī)(服務(wù)器)通信的一些函 數(shù)。

11、9. 普通文件傳輸協(xié)議普通文件傳輸協(xié)議(tftp)是一種缺乏任何安全性的、非常簡單落后的文件傳 輸協(xié)議。10. 傳輸控制協(xié)議傳輸控制協(xié)議(tcp/ip中的tcp部分)是一種數(shù)據(jù)可靠傳輸?shù)耐ㄐ艆f(xié)議。11. 網(wǎng)際協(xié)議網(wǎng)際協(xié)議(tp)負(fù)責(zé)在網(wǎng)絡(luò)上傳輸由tcp/udp裝配的數(shù)據(jù)包。12. 網(wǎng)際控制消息協(xié)議網(wǎng)際控制消息協(xié)議負(fù)責(zé)根據(jù)網(wǎng)絡(luò)上設(shè)備的狀態(tài)發(fā)出和檢杳消息,它可以將某 臺設(shè)備的故障通知到其他設(shè)備。1.1.4端口號分配tcp和u)p采用16bit的端口號來識別應(yīng)用程序。那么這些端口號是如何選 擇的呢?服務(wù)器一般都是通過知名端口號來識別的。例如,對t tcp/ip實(shí)現(xiàn)來說, 每個(gè)ftp服務(wù)器的tcp端口

12、號都是21,矯 telnet服務(wù)器的tcp端口號都是23, 每個(gè)tftp (普通文件傳輸協(xié)議)服務(wù)器的udp端口號都是69昇阿tcp/ip實(shí)現(xiàn)所 提供的服務(wù)都用知名的廣1 023 z間的端口號。這些知名端口號由internet號 分配機(jī)構(gòu)(internet assigned numbers authority, 1ana)來管理。至!j 1992 年為 止,知名端口號介于1255 z間。2561 023 z間的端口號通常都是由unix系 統(tǒng)占用,以提供一些特定的untx服務(wù),也就是說,提供一些只有untx系統(tǒng)才有 的,而其他操作系統(tǒng)可能不提供的服務(wù)。現(xiàn)在tana管理廣1 023之間所有的端 口

13、號。internet擴(kuò)展服務(wù)與untx特定服務(wù)之間的一個(gè)差別就是telnet和rlogin, 它們二者都允許通過計(jì)算機(jī)網(wǎng)絡(luò)登錄到其他主機(jī)上。telnet是采用端口號為23 的tcp/ip標(biāo)準(zhǔn),且兒乎可以在所有操作系統(tǒng)上進(jìn)行實(shí)現(xiàn)。相反,rlogin最開始 時(shí)只是為unix系統(tǒng)設(shè)計(jì)的(盡管許多非unix系統(tǒng)現(xiàn)在也提供該服務(wù)),因此在 20世紀(jì)80年代初,它的端口號為513,客戶端通常對它所使用的端口號并不關(guān) 心,只須保證該端口號在本機(jī)上是唯一的即可??蛻舳丝谔栍址Q做臨時(shí)端口號(即 存在時(shí)間很短暫),這是因?yàn)樗ǔV皇窃谟脩暨\(yùn)行該客戶程序時(shí)才存在,而服 務(wù)器則只要主機(jī)開著,其服務(wù)就運(yùn)行。大多數(shù)tcp

14、/ip實(shí)現(xiàn)給臨時(shí)端口分配1 0245 000之間的端口號。大于5 000 的端口號是為其他服務(wù)器預(yù)留的(internet .上并不常用的服務(wù))。我們可以在后 面看見許多給臨時(shí)端口分配端口號的例子。大多數(shù)linux系統(tǒng)的文件 /etc/services都包含了人們熟知的端口號。為了找至!i telnet服務(wù),可以運(yùn)行 以下語句:ugrep telnet /etc/services”。表-3是一些常用tcp服務(wù)和端 口。喪13蚩兩tcp昂務(wù)茁芫tcphtt discrd. a w zl、切"c、f:;|fkz3i *g止i:二“;二三二lx"4?23 atcp k z .5 *

15、iwp, n y.tcp4? t巧召爍跡fk: nw.、llo.tkj小lll.itucrpc、5工fi亡卷c務(wù)刃丐:b>c 3,1d.«乂 t可-w.w巧肖,snip 疋以羅=哎l!:=x143.,=矽httpi i=s51w*h7tp、$12m 土亍.二?r513,.債仝鼻土至sbc三*心班:.151-./unixn汕 y:、 "r.11cw.i50cksh w*| t e 另? ixxlx,nfstcp zxfj >t5 :nfs w tcp: "、xxwigioudp為運(yùn)行于同一臺或不同機(jī)器之上的兩個(gè)或多個(gè)程序之間傳輸數(shù)據(jù)包提 供了簡單的、不可

16、靠的連接?!安豢煽俊币馕吨僮飨到y(tǒng)不保證每個(gè)發(fā)出的包都 能到達(dá),也不保證包能夠按序到達(dá)。不過udp是盡力傳輸?shù)模趌an屮udp通常 能達(dá)到100%的可靠性。ldp的優(yōu)點(diǎn)在于它比tcp的開銷少,較少的開銷使得基于 udp的服務(wù)可以用tcp 10倍的吞吐量傳輸數(shù)據(jù)。udp主耍用于sln的nfs、nis、主機(jī)名解析和傳輸路由信息。對于有些服務(wù)而言, 偶然丟失一個(gè)包并不會帶來太大的負(fù)面影響,因?yàn)樗鼈儠芷谛缘卣埱笠粋€(gè)新 包,或者那些包本身并不是很重要。這些服務(wù)包括who、talk和一些時(shí)間服務(wù)。 表1-4是一些常用udp服務(wù)和端口。2. linux的tcp/ip網(wǎng)絡(luò)配置linux從一開始就是為網(wǎng)絡(luò)而

17、設(shè)計(jì)的。它內(nèi)置了以前僅在高端企業(yè)產(chǎn)品中才 可見到的成熟功能。然而,盡管擁有這些強(qiáng)大的能力,linux網(wǎng)絡(luò)的配置卻遠(yuǎn)沒 有 windows 網(wǎng)絡(luò)的配置復(fù)雜。諸如 webmin> redhat-conf ig-network 和 yast 允 許執(zhí)行圖形化的配置;諸如ifconfig和route允許通過控制臺或腳本查看和修改 網(wǎng)絡(luò)參數(shù);諸如netstat允許查看單獨(dú)的網(wǎng)絡(luò)連接,并顯示它們與運(yùn)行著的進(jìn)程 的關(guān)系。1. 2. 1 linux的tcp/ip網(wǎng)絡(luò)配置文件除非另行指定,red hat linux系統(tǒng)中大多數(shù)配置文件都在/etc目錄中。 配置文件如表1-5所示。1-5製蓋乂七卩etcfx

18、arrr.- 三手尸坯歿t二£5 .cz r«rck:工二子譽(yù)二迄戔蘭祈總二營2c港三栄二訪三可疋亦兩txdi,-xs-:r = rv 爭#豐mwe巧=:舒丁二丁、* 二8*主欣字*亍卞 一八b憶土芒±jsr = f.pc強(qiáng)p空二.a三:抒$ = t歿乂*歲芒于決蘭二x=ft 二 cxpwu .>ts: :-::< -ht km wi切仝憶x! kpdsf 七-壬3:二農(nóng)巻ft t-&c ;tx?.x:«ieezr:- is-? 禰瘁h松a呈.尸理牧敵直二巧為豈總r?-?!?五三祺:=?n :盤乞怪芫工二圣王ec toj-xxze i

19、:逮ftm廣s?kr*.巴hmimi虹h=ttehoncccf«2工件兀電h 亍3?«三r $ linux2 宅壯,轉(zhuǎn)就、a:r n szccfx n»rv:dk. 羚 x xetwofck20yw 0 a. s triynsn 吉住號二 jysmiy rtrroffc.jt:.rtdkr ««szsx.jetehmu wtzhx.壬護(hù)馭”=壬二尋冬二手基、全w才:p1.2.2網(wǎng)絡(luò)配置工具在安裝linux發(fā)行版木時(shí),需要配置網(wǎng)絡(luò)。你或許已經(jīng)有一個(gè)來自初始配置 的活動etho,這個(gè)配置對于當(dāng)前的使用也許足夠,但是隨著時(shí)間的推移你可能 需要做出更改

20、。下而將介紹與ip網(wǎng)絡(luò)相關(guān)的不同配置項(xiàng),以及使用這些配置項(xiàng) 的文件和工具。1. 手動修改配置文件手動配置是最直接的方式,熟練的linux用戶在平時(shí)維護(hù)系統(tǒng)的時(shí)候更喜歡 使用手工配置,因?yàn)槭止づ渲糜泻芏鄡?yōu)點(diǎn): 熟悉命令z后,手工配置更快速,并且不需要重新啟動; 能夠使用配置命令的高級特性; 更容易維護(hù)配置文件,找出系統(tǒng)故障; 能更深刻地了解系統(tǒng)配置是如何進(jìn)行的。2. 使用linux命令雖然linux桌面應(yīng)用發(fā)展很快,但是命令在linux中依然有很強(qiáng)的生命力。 linux是一個(gè)由命令行組成的操作系統(tǒng),其精髓在于命令行,無論圖形界面發(fā)展 到什么水平這個(gè)原理是不會變的。linux網(wǎng)絡(luò)設(shè)備操作命令包括i

21、fconfig、ip、 ping nctstat、route、ip、arp> hostname f口 etrpwatch。3. webminwebmin 在 networking 下的 network configuration 中提供了一組網(wǎng)絡(luò)配置 工具。你可以配置單獨(dú)的接口,并調(diào)整它們的當(dāng)前設(shè)置或已保存的設(shè)置。還可以 配置蚩也和網(wǎng)關(guān)、dns客戶端設(shè)置,以及木地主機(jī)地址。編輯好所有的配置之后, 可以單擊“apply configuration來應(yīng)用它們,不必重新啟動系統(tǒng)。4 不同發(fā)行版本中的工具每個(gè)發(fā)行版木都有它自己用于配置網(wǎng)絡(luò)設(shè)置的工具。應(yīng)該參考特定發(fā)行版木 的文檔來確定要使用的工具

22、。每種工具都提供了與webmin工具基本相同的配置 選項(xiàng)。其中有些版本at能提供特定于該發(fā)行版本的選項(xiàng)。red hat linux 3/4使 用 system-config-network 工具(如圖 1-2 所示),suse linux 使用 yast 工具(如 圖1-3所示)os 1-2 ?.rd hat linux 3 -使用 svstan-ccniis.nhv. crk 工具cv* 9 conig*crlr» yol/cmbe admbrmtlacro o«<m «mc ( wks70 p cwl:j mt4 w* mw iamdwim|mci| &

23、gt;mp*|rmvuiivcq 0*1 wh qmc:a . jx鬟家網(wǎng)g) i -3 suse lrnux 便用 yast05 1.2.3配置網(wǎng)絡(luò)接口1.網(wǎng)卡的選擇一般來說,2. 4版本以后的linux可以支持的網(wǎng)卡芯片組數(shù)量已經(jīng)很完備了, 包括著名廠商,如intel,以及使用廣泛的rcaltek. via等網(wǎng)卡芯片都已經(jīng)被 支持,所以使用者可以很輕松地設(shè)定好他們的網(wǎng)卡。但是由t linux發(fā)行版本眾 多(目前超過188個(gè)),使用前最好先查看linux發(fā)行版本的文檔。以rhel 4.0 為例,這個(gè)設(shè)備列表在ethernet-howto文檔中。另外最直接的方法是杳看h錄 /lib/modul

24、es/ release/kernel/drivers/net,其中 release 是內(nèi)核版本,可以 使用命令“unamer”獲得,對于rhel 4.0內(nèi)核版本是2.6. 9-5elot-cnimg realnx.kc tun.jf*2139epko阿_5口:訂 kc 3ung«r. <c isrlook:pcascib225?.kc eloogxxgt.-*12clty.k*2332.kc 9ui9c0.ko naacxi.konerdxp kopppox k”112k kcforceieth e"vitoon. <c2139toc.kc-rcl,kcsurf

25、erj h:. joponez32. ko3 二x. 9elqj.ka xliakotgs.kovlrelesdacenic k»*k98iinankoour ko»ppp.eseri 二 ko sihc icor okearmjtii tc<pppee ke b3lz91 ?4ak2可以看封這個(gè)目錄列出所有l(wèi)inux內(nèi)協(xié)支持的剛絡(luò)設(shè)備動程序.3趴3com. inte. '.也有一些是其他類型的設(shè)備.對于初學(xué)看應(yīng)當(dāng)盡 斗家網(wǎng)2. 檢査網(wǎng)卡是否加載驅(qū)動硬件是操作系統(tǒng)最基本的功能,操作系統(tǒng)通過各種驅(qū)動程序來駕馭硬件 設(shè)備,和windows系統(tǒng)不同,linux內(nèi)核目

26、前采用可加載的模塊化設(shè)計(jì)(lkms loadable kernel modules),就是將最基本的核心代碼編譯在內(nèi)核屮,網(wǎng)卡驅(qū)動 程序是作為內(nèi)核模塊動態(tài)加載的,可以使用命令“l(fā)smod”查看加載情況:“ isdsd*51ze±c_xcd54*41button42x2batterys9c13ac4s05wxd5c033jcev102412uhci hcd4m31065gehcihsd30917gsnd_*ia322uc243732s91 snd_via:2xx-3ndjpar._03349017acxindcore tulip9:?3450251 and*1 1-*via_rhinc

27、 all231132*_n-lcext31168093bl"125*1 ext3對每行而言,第一列是模塊名稱;第二列是模塊人小;第三列是調(diào)用數(shù)。調(diào)用 數(shù)后面的信息對每個(gè)模塊而言都有所不同。如果(unused)被列在某模塊的那行 屮,說明該模塊當(dāng)前未被使用。如果(autoclean)被列在某模塊的那行屮,說明 該模塊可以被rmmod-a命令口動清除,當(dāng)這個(gè)命令被執(zhí)行后,所有自從上次被自 動清除后未被使用的且標(biāo)記了 “autoclean”的模塊都會被卸載。從以上粗體字 符可以看到linux計(jì)算機(jī)屮兩塊網(wǎng)卡模塊tulip和via_rhine已經(jīng)加載。對應(yīng)的 網(wǎng)卡商業(yè)型號分別是:tulip

28、lite-on communications inc lne1ootx linksys etherfast 10/100ovia_rhine via vt6102rhine-ii常見主板集成網(wǎng)卡。如果沒有檢測到硬件,用便件檢測程序kuduz檢測網(wǎng)卡,它和windows中添 加新碩件功能差不多。kudzu程序是通過查看/usr/share/hwdata/1=|錄下的文件 識別各種硬件設(shè)備的。如果內(nèi)核支持該碩件,并月有該驅(qū)動程序就可門動裝載。 首先需耍說明的是,linux下對網(wǎng)卡的支持往往是針對芯片的,所以對某些不是 很著名的網(wǎng)卡,需耍知道它的芯片型號以配置linux,比如top link網(wǎng)卡,就

29、 不存在linux的驅(qū)動,但是因?yàn)樗cne2000兼容,所以把它當(dāng)做ne2000就可以 在linux t使用了。所以當(dāng)你有一塊網(wǎng)卡不能使用,在未找到linux的驅(qū)動程序 之前,一定搞清楚這個(gè)網(wǎng)卡使用的是什么芯片,跟誰兼容,比如3c509, ne2000 等。這樣的型號一般都在網(wǎng)卡上最大的一塊芯片上卬著,抄下來就是了。對于 isa接口的ne2000卡,首先需要將網(wǎng)卡設(shè)定為jumpless模式。目前很多網(wǎng)卡默 認(rèn)的都是pnp模式,這在windows下的確能減少很多麻煩,但是linux不支持, 所以linux下必須是jumpless模式。一般所有網(wǎng)卡都帶有驅(qū)動盤和在dos下可 執(zhí)行的一個(gè)設(shè)定程序,用

30、該程序?qū)⒕W(wǎng)卡設(shè)為jumplesso對于pci網(wǎng)卡,可以使 用lspci命令來查看。在顯示的列表中找到ethernet controllern ,記下廠 商和型號,然后使用modprobe嘗試加載正確的模塊,比如modprobe 3c509o如 果出現(xiàn)錯誤,說明該模塊不存在。這時(shí)候你應(yīng)該找到正確的模塊并且重新編譯。如果你使用的是比較罕見的一些網(wǎng)卡,或者是linux核心支持不夠的網(wǎng)卡, 以致在安裝linux時(shí)無法檢測到網(wǎng)卡,那也不用擔(dān)心,我們可以使用較為簡單的 核心模塊編譯來支持這塊網(wǎng)卡。下面以3c0m的3cr990-tx-97網(wǎng)卡為例(一款具 有空全特性的網(wǎng)卡)看看如何進(jìn)行模塊編譯。首先在其網(wǎng)站

31、 linuxdownload. htm">http:/ww. 3com com/infodcli/tools/nic/linuxdownlo ad. htm卜載適合你使用內(nèi)核版本的相關(guān)驅(qū)動程序,這里以2. 4內(nèi)核為例。#wegt http:/www. 3com com/infodcli/tools/nic/3c990-l. 0. 0a. tar. gz另外在開始編譯核心模塊之前,因?yàn)轵?qū)動程序需要配合核心來編譯,所以會 使用到kernel source或者是kernel header的數(shù)據(jù),此外,也需要編譯器 (compiler)的幫助,因此,先確定你的linux系統(tǒng)當(dāng)中已經(jīng)存在

32、下列軟件: kernelsource、kernel、gcc> makeozxvf 3c990-l. 0. 0a. tar. gz# make此時(shí)會產(chǎn)生3c990. o驅(qū)動模塊,然后使用命令復(fù)制到相應(yīng)位置,查看加載 是否正常。smodprobe 3c990#cp 3c990.o /iib/modules/2. 4. 20-8/kernel/drivers/net# depmod - a然后使用lsmod命令檢查加載情況,如果一切正常,可以讓系統(tǒng)啟動時(shí)自 動加載該模塊:#ech()ual i as etho 3c990” » /etc/modules, conf3為新網(wǎng)卡設(shè)定ip地

33、址linux網(wǎng)絡(luò)設(shè)備在配置時(shí)被賦予別名,該別名由一個(gè)描述性的縮略詞和一個(gè) 編號組成。某種類型的第一個(gè)設(shè)備的編號為0,其他設(shè)備依次被編號為1, 2, 3 等。但是網(wǎng)卡并不是作為裸設(shè)備出現(xiàn)在/dev目錄下,而是存在內(nèi)存中。etho、 cthl是以太網(wǎng)卡接口,它們用于大多數(shù)的以太網(wǎng)卡,包括許多并行端口以太網(wǎng) 卡。本節(jié)主要討論這類網(wǎng)卡。為linux以太網(wǎng)卡設(shè)定ip地址的方式非常靈活, 你可以選擇適合你工作情況的方法。(1) 使用ip或ifconfig命令ifconfig命令是最重要的linux網(wǎng)絡(luò)命令,它最主要的用途是設(shè)定、修改 網(wǎng)卡的tp地址:ttifconf i g etho 192. 168.

34、0. 2 netmask 255. 255. 255. 0在默認(rèn)情況下,ifconfig顯示活動的網(wǎng)絡(luò)設(shè)備。給這個(gè)命令添加一個(gè)“-a” 開關(guān)就能看到所有設(shè)備。但是ifconfig命令設(shè)置完網(wǎng)絡(luò)設(shè)備的ip地址,當(dāng)系統(tǒng) 重新啟動后設(shè)置會自動失效,所以它主要用于網(wǎng)卡狀態(tài)調(diào)試。假設(shè)你要建立一個(gè) 臨時(shí)的網(wǎng)絡(luò)配置以供測試,你可以使用發(fā)行版本屮的丁具來編輯配置,但是需要 注意,在完成測試z后,將所有設(shè)置恢復(fù)回去。通過使用ifconfig命令,我們 無須影響已保存的設(shè)置,就能夠快速地配置網(wǎng)卡。ip命令是iproute2軟件包屮的一個(gè)強(qiáng)大的網(wǎng)絡(luò)配置t具,它能夠替代一些 傳統(tǒng)的網(wǎng)絡(luò)管理工具,例如ifconfig、

35、route等?,F(xiàn)在,絕大多數(shù)linux發(fā)行版 和絕大多數(shù)unix都使用古老的arp、ifconfig和route命令。雖然這些工具能 夠工作,但它們在linux2.2和更高版本的linux內(nèi)核上顯得有些落伍。使用 iproute2前,你應(yīng)該確認(rèn)己經(jīng)安裝了這個(gè)工具。這個(gè)包的名字在red hat linux 9. 0 叫做 “iproute2” , 也可以在 ftp:/ftp. int. ac. ru/ip-routing/下載源代 碼安裝。在以太網(wǎng)接口 etho上增加一個(gè)地址10. 0. 0. 1,掩碼長度為24位,標(biāo)準(zhǔn)廣 播地址,標(biāo)簽為etho:alias: ”#ip addr add 10.

36、 0.0.1/24 brd + dev etho label ctho:alias(2) 使用nctconf ig命令netconfig命令口j以設(shè)置網(wǎng)絡(luò)設(shè)備的tp地址,netconfig命令口j以永久保存 設(shè)置。使用方法是:unetconfig ethxv。使用命令“netconfig elho”后,會 在命令行下彈出一個(gè)對話框,這時(shí)即可進(jìn)行設(shè)定,如圖1-4所示。一1 ”jip k<mtui t.2*s,4».圖1-4 netconfig配置界面設(shè)定結(jié)朿后,用“tab”鍵選擇“ok”,即可保存設(shè)置并且退出,然后使用 命令"service network restar

37、tn 激活,即可生效。(3) 使用neat命令使用neat命令需要配置好x window系統(tǒng),在命令行下運(yùn)行neat命令后, 添加ip地址和其他相關(guān)參數(shù)后保存設(shè)置,重新啟動網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)或計(jì)算機(jī), 如圖1-5所示。>dil|0 fl hew則歎話設(shè)歓山0 乂許所“用戶口用10:訓(xùn)浹設(shè)企必oip 加 izaft川i | 山 i |® »4>qhw ipr i:«28 it mutft專獗網(wǎng)亠 .c1ocx>.c<xn cn® 1-5e)形界曲忝加:p地址j圖1-5圖形界面添加ip地址另外,neat命令還有一個(gè)等價(jià)命令“redhat-

38、config-networkv ,二者完全 相同。neat和redhat-config- config命令可以永久保存設(shè)置。(4) 修改tcp/ip網(wǎng)絡(luò)配置文件除非另行指定,red hat linux網(wǎng)卡相關(guān)的tcp/ip網(wǎng)絡(luò)配置文件是 /etc/sysconfig/network-scripts/ ifcfg-ethx,其中 x 從 0 開始,第一個(gè)以太 網(wǎng)配置文件即/etc/sysconf ig/nctwork-scripts/ifcfg-cthoovi 編輯器可以修改這個(gè)文件,也可以修改網(wǎng)卡ip地址。二£vzc£=eth:okbcot«yes bootfro

39、to-static:權(quán)2 255.255.0ewc 松亠:h :br0a2cast-121-2553atl0ay-設(shè)定冋卡的名稱,要跟文件名稱對應(yīng)是否在開機(jī)的時(shí)候啟動酥|工專家網(wǎng)c啟動的呼if墓刪卿,這里«固定的創(chuàng)果是動態(tài)主機(jī)的心奧改成負(fù)壬 /irhlilt /子瞰瑪“該網(wǎng)段的第一個(gè)二卩靈后一個(gè)同網(wǎng)段的廠猶地址,/網(wǎng)關(guān)地址存盤后使用命令"service network restartv激活即可生效。該方法同樣可以永久保存設(shè)置。(5) 為網(wǎng)卡添加ipv6地址和windows操作系統(tǒng)相比,linux對ipv6的支持更好,最早的支持ipv6的 linux內(nèi)核是

40、2. 2o 一般基于2. 4內(nèi)核的linux發(fā)行版本都可以直接使用ipv6, 使用前要看系統(tǒng)的ipv6模塊是否被加載,如果沒有被加載可以使用命令手工加 載,這需要超級用戶的權(quán)限。然后使用命令檢測,如果顯示ipv6地址(inet6 addr: fe80: : 200: e8ff: feao: 2586/64),證明 ipv6 已經(jīng)加載。# modprobe ipv6;#ifconfig - a如果希望linux系統(tǒng)啟動時(shí)自動加載ipv6模塊,可以在配置文件 /etc/modules. conf 屮加入一行:alias net?pf?10 ipv6 # automatically load ipv

41、6 module on demand4. 調(diào)整網(wǎng)卡工作模式現(xiàn)在的網(wǎng)卡大多是自適應(yīng)工作模式,在配置網(wǎng)卡參數(shù)時(shí),我們很少考慮它的 工作模式,有時(shí)發(fā)現(xiàn)一些網(wǎng)卡模塊已經(jīng)加載,但是在某些模式工作不穩(wěn)定。如一 塊xxx品牌的雜牌rtl-8139c芯片10/100自適應(yīng)網(wǎng)卡,在100m全雙工狀態(tài)下極 其不穩(wěn)定(在qcheck的tcp和udp的測試過程中,數(shù)據(jù)包遺失率9. 12%)。在linux 環(huán)境下,我們可以使用系統(tǒng)自帶的工具mii-tool命令來配置網(wǎng)卡工作模式。顯 示linux服務(wù)器網(wǎng)卡支持的所有以太網(wǎng)卡類型,使用命令:# mi i-tool -vetho: negotiated 100basetx-

42、fd, link okproduct info: vendor 00:00:00, model 0 rev 0basic mode: autonegotiation enabledbasic status: autonegotiation complete, link okcapabilities: 100basetx-fd 100basetx-hd 10baset-fd 10baset-hdadvertising: 100basetx-fd 100basetx-hd 10baset-fd 10baset-hdlink partner: 100basetx-fd 100basetx-hd 10baset-fd 10baset-hd從以上信息中可以看出,這塊網(wǎng)卡工作在100m全雙工自適應(yīng)模式下, “l(fā)oobasetx-fd”表示100m full duplexo這里可以強(qiáng)制網(wǎng)卡工作在100m半雙 工模式下,輸入命令:#mii-tool - f 100basetx-hd etho然后恢復(fù)網(wǎng)卡的自適應(yīng)工作模式,輸入命令:#mi i一tool - r etho另外,在路曲器、交換機(jī)、代理服務(wù)器等通信量比較大的關(guān)鍵設(shè)備上,應(yīng)該 為它指定正確的工作模式,這樣可以提高通信效率。5. dhcp客戶端的網(wǎng)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論