HPUX平安手冊(cè)

1、快速查看hp-ux 磁盤信息#iosacn funcdisk #ioscan -functape #ioscan funcprinter 一、 cd 命令的利用返回上一次的目錄（cd -）2、 esc 鍵的使用在命令行中可通過擊兩次esc鍵來匹配當(dāng)前目錄中唯一的文件名，這樣可節(jié)約擊入長(zhǎng)文件名的時(shí)間3、 col 命令的使用man cp | col b 該命令可將cp 命令的聯(lián)機(jī)幫助手冊(cè)輸出為名為的文本文件4、啟動(dòng)機(jī)器時(shí)執(zhí)行的工作腳本（/etc/）5、which 命令的使用（查看某命令的絕對(duì)路徑）which 命令名6、顯示當(dāng)前系統(tǒng)補(bǔ)丁安裝情況（show_patches）7、中文環(huán)境的配置a、 查看

2、系統(tǒng)中安裝的語(yǔ)言集（locale a）b、 顯示當(dāng)前語(yǔ)言環(huán)境變量（echo $lang ）c、 如不為中文則修改（export lang= ）d、 sty istrip 8、查看系統(tǒng)信息和運(yùn)行情況a、 glance b、 top c、 performance view d、 /opt/ignite/bin/print_manifest /var/opt/ignite/local/manifest/manifest e、 /var/adm/syslog/syslog （系統(tǒng)運(yùn)行日志）f、 /var/adm/shutdownlog g、 /var/adm/crash/ h、 /var/opt/sn

3、a/ i、 /var/adm/ /usr/sbin/netfmt /var/adm/ j、/usr/contrib./bin/ k、/var/adm/btmp （歷史登錄信息，可用last 命令查看）l、/var/adm/wtmp （比 btmp 更詳細(xì)的信息）m、/etc/（機(jī)器啟動(dòng)時(shí)的信息）n、/var/adm/sw/（有關(guān)軟件包安裝、刪除的信息）9、查看系統(tǒng)當(dāng)前init 級(jí)別（ who r）10、顯示系統(tǒng)不成功登錄的歷史紀(jì)錄（lastb r）11、ftp 問題（如無法用某一用戶進(jìn)行ftp）a、 將/etc/passwd 中該用戶的sh 路徑改為 /usr/bin/ksh b、 在/etc

4、/shells 文件中將ksh 的路徑加入12、在 hp11i 環(huán)境下兩臺(tái)主機(jī)rlogin、rcp 和 ftp 速率小于10mbps a、 安裝補(bǔ)?。?phkl_25233 、 25389， phne_26728、27063）13、在 hp11i 環(huán)境下主機(jī)與路由器之間無法用大包進(jìn)行ping 命令a、 在主機(jī)的 /etc/文件中增加ip_send_source_quench參數(shù)的配置b、 ndd c 14、網(wǎng)絡(luò)配置（含網(wǎng)卡地址、激活狀態(tài)、路由地址）可通過修改/etc/文件來實(shí)現(xiàn)。15、 swapinfo 命令的使用swapinfo mt 16、 what 命令的使用（假如要查看某一core 文

5、件的誘因）what core 17、控制某一特定地址通過telnet、ftp 和 login 協(xié)議訪問主機(jī)的方法/var/adm/ 18、 tsm的使用在 tsm 狀態(tài)下可通過ctrl+w 來切換屏幕。19、 finger 命令的使用finger r（查看當(dāng)前登錄到主機(jī)的客戶機(jī)信息）20、 parstaus命令的使用parstatus p 查看某一特定分區(qū)的信息。擴(kuò)充文件系統(tǒng)的方法一、 vg00（例如將 /home 擴(kuò)充至 2g，邏輯卷名為/dev/vg00/lvol8 ）1、 shutdown y 0 進(jìn)入單用戶模式2、 umount /home 3、 lvextend l 2000 /de

6、v/vg00/lvol8 4、 extendfs /dev/vg00/rlvol8 5、 mount /dev/vg00/lvol8 /home 6、 reboot 二、 vg 不在 mc 的情況除不要啟停機(jī)器外同上三、 vg 在 mc 中配置的情況1、 有應(yīng)用運(yùn)行在該邏輯卷上，且不便停應(yīng)用的情況（例如將/data 擴(kuò)充至 6g，邏輯卷名為/dev/vgdata/lvdata ，mc 環(huán)境為 node1 和 node2，應(yīng)用包名為pkg，缺省運(yùn)行在node2 上）a、 cmhaltpkg v pkg b、 vgchange c n /dev/vgdata c、 vgchange a y /de

7、v/vgdata d、 lvextend l 6000 /dev/vgdata/lvdata （擴(kuò)大到6g）e、 extendfs /dev/vgdata/rlvdata （如為裸設(shè)備，e-n 可不做。）f、 vgexport p v s m /tmp/vgmap/ /dev/vgdata g、 rcp /tmp/vgmap/ node1: /tmp/vgmap/ h、 rlogin node1 i、 ll /dev/vgdata （查看 node1 上 vgdata 的設(shè)備編號(hào)，假設(shè)為0 x0c0000）j、 vgexport /dev/vgdata k、 mkdir /dev/vgdata

8、 l、 mknod /dev/vgdata/group c 64 0 x0c0000 m、 vgimport s v m /tmp/vgmap/ /dev/vgdata n、 exit o、 vgchange a n /dev/vgdata p、 vgchange c y /dev/vgdata q、 cmmodpkg e pkg 2、 無應(yīng)用運(yùn)行在該邏輯卷上，或可暫停應(yīng)用的情況（例如將/data 擴(kuò)充至 6g，邏輯卷名為/dev/vgdata/lvdata ，mc 環(huán)境為 node1 和 node2，應(yīng)用包名為pkg，缺省運(yùn)行在node2 上）1、將前一種情況中的a-c 改為（將涉及到該邏輯

9、卷的應(yīng)用停止，該工作應(yīng)選擇合適時(shí)機(jī)執(zhí)行） ：a、將涉及到該邏輯卷的應(yīng)用停止。b、umount /data 2、執(zhí)行前一種情況中的d-n 3、 將前一種情況中的o-q 改為a、 mount /data b、 激活涉及到該邏輯卷的應(yīng)用注：如未在vg 中新增 pv 則可將上述步驟中的f-n 略去。一。unix 安裝后創(chuàng)建文件系統(tǒng)前的準(zhǔn)備* 注：因?yàn)槲业臋C(jī)器只有一個(gè)磁盤，所以，此步中除創(chuàng)建邏輯卷外大部分操作可以省略。建物理卷。找出與磁盤相關(guān)的設(shè)備文件：ioscan(命令 )：ioscan func disk 。找到 disk 對(duì)應(yīng)的設(shè)備文件名：c1t15d0 因只有一個(gè)磁盤，所以只能創(chuàng)建一個(gè)物理卷。在

10、創(chuàng)建前，通過mediainit 對(duì)磁盤格式化合校驗(yàn)完整性：#mediainit /dev/rdsk/c1t15d0 l 創(chuàng)建物理卷：#pvcreate /dev/rdsk/c1t15d0 注：如果此時(shí)該磁盤以輸入某卷組的一部分，而且確信要?jiǎng)?chuàng)建物理卷。在命令行加“ -f ” 來強(qiáng)制執(zhí)行。創(chuàng)建卷組。(僅供明白得用，本系統(tǒng)不需要) 1.用卷組名在 /dev 下創(chuàng)建一目錄。如果卷組名為vg01,則目錄為： /dev/vg01。#mkdir /dev/vg01. 在此目錄下為該卷組創(chuàng)建一組設(shè)備文件。#mknod /dev/vg01/group c 64 0 x010000 創(chuàng)建卷組（以物理卷為參數(shù)）：#

11、vgcreate /dev/vg01 /dev/dsk/c1t15d0. 建完后，可以用命令：vgdisplay 來檢查設(shè)置是否正確。創(chuàng)建邏輯卷。創(chuàng)建邏輯卷時(shí)，相應(yīng)的字符設(shè)備和塊設(shè)備會(huì)在卷組目錄下生成。現(xiàn)在，我們?cè)谀J(rèn)卷組vg00 中創(chuàng)建以下邏輯卷：一個(gè) 256mb, 名為 lvoltuxlog 的邏輯卷。#lvcreate -l 256 -n lvoltuxlog。參數(shù)： -l 以 mb 為單位表示邏輯卷的大小。-n 指定邏輯卷名稱，缺省為：lvol1,lvol2 .。二、創(chuàng)建文件系統(tǒng)。注：系統(tǒng)安裝完成后，會(huì)自動(dòng)創(chuàng)建一些文件系統(tǒng)和目錄。所以，對(duì)一般權(quán)限的用戶來講，可以在 /home 目錄下安

12、裝軟件。但是，如果軟件過多，會(huì)造成比較混亂和不利于管理。最合適的做法， 高權(quán)限的用戶自己可以建立一些文件系統(tǒng)，這些文件系統(tǒng)在單獨(dú)的目錄下。這樣對(duì)將來（邏輯卷）的擴(kuò)展和維護(hù)非常有利。（1）文件系統(tǒng)介紹：1。高性能文件系統(tǒng)（hfs） ，現(xiàn)在應(yīng)用的不多了，只在存儲(chǔ)hp-ux 內(nèi)核時(shí)使用。2。日志文件系統(tǒng)（jfs） ，現(xiàn)在應(yīng)用最多。3。網(wǎng)絡(luò)文件系統(tǒng)（nfs） 。4。 cd-rom 文件系統(tǒng)（ cdfs）用于 cd-rom 上存儲(chǔ)文件。（2）創(chuàng)建新的文件系統(tǒng)：文件系統(tǒng)必須建在邏輯卷上。1newfs 創(chuàng)建文件系統(tǒng)：我們?cè)?/dev/vg00/lvoldb01 上創(chuàng)建 jfs 文件系統(tǒng)，如下命令：#newf

13、s f vxfs /dev/vg00/ lvoltuxlog。2掛載文件系統(tǒng)。mount 實(shí)現(xiàn)掛載：把/dev/vg00/ lvoltuxlog掛載到 /tuxedo/log 目錄上。（事前創(chuàng)建此目錄，具體見下面的*注解 1 ）#mount -f vxfs /dev/vg00/ lvoltuxlog /tuxedo/log?，F(xiàn)在可用bdf 顯示所有掛起的卷。* 注解 1：在根目錄下建立目錄/tuxedo/log ：#mkdir tuxedo/log 。（3）擴(kuò)展卷組： （若是以后磁盤空間不夠，能夠?qū)斫M擴(kuò)展）添加一塊磁盤，用pvcreate 創(chuàng)建一物理卷，然后，將其用vgextend 加入卷組

14、中。如：把磁盤c0t3d0 加入卷組vg00 中：#pvcreate /dev/rdsk/c0t3d0 #vgextend vg00 /dev/dsk/c0t3d0 用#vgdisplay -v vg00 看是否擴(kuò)展成功。（4）擴(kuò)展邏輯卷。擴(kuò)展了卷組以后，可以通過lvextend 命令擴(kuò)展邏輯卷尺寸。如把 /dev/vg00/ lvoltuxlog擴(kuò)展到 800m 。 （以前為256m） 。#lvextend -l 800 /dev/vg00/ lvoltuxlog 要在某特定磁盤上擴(kuò)展邏輯卷，可把磁盤設(shè)備文件作為參數(shù)添加到lvextend 命令的后面。#lvextend -l 800 /de

15、v/vg00/ lvoltuxlog /dev/dsk/c0t3d0 (5)擴(kuò)展文件系統(tǒng)。擴(kuò)展了邏輯空間不能自動(dòng)擴(kuò)展文件系統(tǒng)空間。在/dev/vg00/ lvoltuxlog下擴(kuò)展 jfs 文件系統(tǒng)。1先卸載 #umount /tuxedo/log 。2#extendsf -f vxfs /dev/vg00/ lvoltuxlog。3掛載 #mount -f vxfs /dev/vg00/ lvoltuxlog /tuxedo/log。完成上述操作后，可通過bdf 命令查看是否分配成功。漫談 efi 及 hp 特有的 efi 指令大伙兒都明白，itanium 晶片是hp 及intel 合作研發(fā)

16、完成的，因此，intel 為了因應(yīng)itanium 多種平臺(tái)並存的特性，而發(fā)展efi(extensible firmware interface) ； efi 規(guī)格定義了一個(gè)作業(yè)系統(tǒng)和平臺(tái)韌體之間共通的溝通模式，另外，efi 也為作業(yè)系統(tǒng)的啟動(dòng)和開機(jī)前置應(yīng)用程式的執(zhí)行提供了一個(gè)標(biāo)準(zhǔn)的系統(tǒng)環(huán)境；intel 乃至成心大力推廣efi 來取代傳統(tǒng) pc 的 bios( 大體輸入/ 輸出系統(tǒng)) ，因此， efi 成為所有電腦的業(yè)界標(biāo)準(zhǔn)將為期不遠(yuǎn)。hp 從 rx 系列開始利用itanium 晶片來取代傳統(tǒng)的pa-risc 晶片，因此，也開始用efi 代替bch (boot console handler)

17、，由於，efi 亦通用於一樣pc 、 linux 平臺(tái)，有關(guān)於efi 經(jīng)常使用的指令， 大伙兒應(yīng)該都有所熟悉，本文在此就再也不贅述，僅就hp 相關(guān)efi 之特有指令加以介紹。posse( 作業(yè)系統(tǒng)之前前置指令) 是 hp 提供等效的bch 指令在efi 下來利用，讓熟悉pa-risc bch 指令的客戶在efi 下面也有類似的指令可利用。以下是efi 與 bch 指令經(jīng)過整理的對(duì)照表，敬請(qǐng)參考：efi shell command bch command equivalent bch command parameters definition time time cn:yr:mo:dy:hr:m

18、n:ss read or set the real time clock information info all all display all system information info boot bootinfo display boot releated information info cpu cache display cache information info chiprev chiprevisions display revision number of major vlsi mp command fru display fru information info fw f

19、wrversion display firmware version for pdc, icm, and complex info io io display firmware version for pdc,icm, and complex lanaddress lanaddress display core lan station address info mem memory display memory information info cpu processor display processor information service errdump clear mm clearp

20、im memread clear (zero) the contents of pim read memory locations scope of page deallocation pdt pdt display or clear the page deallocation table errdump mca errdump cmc errdump init pim hpmc|lpmc|toc|asic display pim information (processor internal memory) hp-ux 平安手冊(cè)大體系統(tǒng)治理1、常用命令1. # ioscan -fn 列出各

21、i/o 卡及設(shè)備的所有相關(guān)信息：如邏輯單元號(hào)，硬件地址及設(shè)備文件名等。2. # ps -ef 列出正在運(yùn)行的所有進(jìn)程的各種信息：如進(jìn)程號(hào)及進(jìn)程名等。3. # netstat -rn 列出網(wǎng)卡狀態(tài)及路由信息等。4. # lanscan 列出網(wǎng)卡狀態(tài)及網(wǎng)絡(luò)配置信息。5. # bdf 列出已加載的邏輯卷及其大小信息。6. # mount 列出已加載的邏輯卷及其加載位置。7. # uname -a 列出系統(tǒng)id 號(hào)， os 版本及用戶權(quán)限等信息。8. # hostname 列出系統(tǒng)網(wǎng)絡(luò)名稱。9. # pvdisplay -v /dev/dsk/c*t*d* 顯示磁盤各種信息，如磁盤大小，包含的邏輯卷，

22、設(shè)備名稱等。10. # vgdisplay -v /dev/vg00 顯示邏輯卷組信息，如包含哪些物理盤及邏輯卷等。11. # lvdisplay -v /dev/vg00/lvol1 顯示邏輯卷各種信息，如包含哪些盤，是否有鏡像等。2、網(wǎng)絡(luò)故障診斷1. 如需修改網(wǎng)絡(luò)地址、主機(jī)名等，一定要用set_parms 命令# set_parms hostname # set_parms ip_address 2. 查看網(wǎng)卡狀態(tài)：lanscan hardware station crd hardware net-interface path address in# state nameunit stat

23、e 8/20/5/1 0 x03fb 0 up lan0 up 3. 確認(rèn)網(wǎng)絡(luò)地址：# ifconfig lan0 4. 啟動(dòng)網(wǎng)卡：# ifconfig lan0 up 5. 網(wǎng)絡(luò)不通的診斷過程：lanscan 查看網(wǎng)卡是否啟動(dòng)(up) ping 自己網(wǎng)卡地址(ip 地址 ) ping 其它機(jī)器地址，如不通，在其機(jī)器上用lanscan 命令得知station address，然后 linkloop station_address 來確認(rèn)網(wǎng)線及集成器是否有問題。在同一網(wǎng)中，subnetmask 應(yīng)一致。6. 配置網(wǎng)關(guān)手動(dòng)加網(wǎng)關(guān)：/usr/sbin/route add default 1 把網(wǎng)關(guān)自

24、動(dòng)加入系統(tǒng)中vi /etc/ / netconf route_destina tion 0=default route_gatew ay 0= route_count 0=1 : /sbin/net 將執(zhí)行：/usr/sbin/route add default 1 命令 netstat -rn 查看路由表另外也可用set_parms addl_netwrk 來設(shè)缺省路由。二、安全安裝hp-ux 1、 建議在安裝配置過程中，不要連接到任何不信任的網(wǎng)絡(luò)中。2、 盡可能選擇最小安裝3、 盡可能不要安裝nfs, x window, snmp等組件（視具體需求而定）4、 安裝完畢，則使用系統(tǒng)命令查看狀

25、態(tài)。# uname a （版本信息）# bdf （邏輯卷狀態(tài)）# ps ef （進(jìn)程狀態(tài)）# netstat -anf inet （端口狀態(tài)）5、 安裝各種驅(qū)動(dòng)等6、 安裝最新的補(bǔ)丁。安裝補(bǔ)丁時(shí)要注意hp 的補(bǔ)丁與硬件類型和系統(tǒng)版本都相關(guān)，檢查并安裝所有需要的補(bǔ)丁。確認(rèn)需要swlist -l fileset. 三、系統(tǒng)基本配置安裝并打上補(bǔ)丁后，需要做一些措施來對(duì)系統(tǒng)進(jìn)行一些配置。刪除保存的補(bǔ)?。蛇x）缺省情況下，補(bǔ)丁安裝完會(huì)在/var/adm/sw/save/ 下備份所有的補(bǔ)丁?？梢赃x擇刪除這些補(bǔ)丁文件，但一旦刪除就無法利用swremove 卸載補(bǔ)丁了。# swmodify -x patch_

26、commit=true *.* 轉(zhuǎn)換為一個(gè)可信系統(tǒng)：# /usr/lbin/tsconvert creating secure password database. directories created. making default files. system default file created. terminal default file created. device assignment file created. moving passwords. secure password database installed. converting at and crontab jo

27、bs. at and crontab files converted. 改變?nèi)痔貦?quán)hp-ux 有一個(gè)特權(quán)組，可以分配給一個(gè)組特權(quán)(參見 privgrp(4). 缺省情況下，chown 是分配給所有組的一個(gè)全局特權(quán)：$ getprivgrp global privileges: chown /sbin/set_prvgrp 在系統(tǒng)啟動(dòng)時(shí)執(zhí)行/usr/sbin/setprivgrp -f /etc /privgroup. 可以創(chuàng)建一個(gè)配置文件，刪除所有的全局特權(quán)(see setprivgrp(1m): # getprivgrp global privileges: chown # echo -n

28、 /etc/privgroup # chmod 400 /etc/privgroup # /sbin/set_prvgrp start # getprivgrp global privileges: 設(shè)置默認(rèn)umask. 轉(zhuǎn)換到可信系統(tǒng)后，默認(rèn)umask 已經(jīng)改為07077 限制 root 遠(yuǎn)程登錄，只能由console 登錄# echo console /etc/securetty # chmod 400 /etc/securetty 打開 inetd 日志功能在/etc/中的inetd_args 環(huán)境變量中增加l 參數(shù) : export inetd_args=-l 刪除不需要的系統(tǒng)偽帳戶#

29、 groupdel lp # groupdel nuucp # groupdel daemon # userdel uucp # userdel lp # userdel nuucp # userdel hpdb # userdel www # userdel daemon 對(duì)于一些保留的系統(tǒng)偽帳戶如：bin, sys，adm 等, 應(yīng)當(dāng)將需要禁止帳戶的* 用 np 代替，并不提供登錄shell example: bin:np:60002:60002:no access user:/:/sbin/noshell 將 root 主目錄從 /改為 /root. 編輯 /etc/passwd: ro

30、ot:*:0:3:/root:/sbin/sh 創(chuàng)建目錄并修改權(quán)限: # mkdir /root # chmod 700 /root # mv /.profile /root # pwconv 四、禁止網(wǎng)絡(luò)服務(wù)1、禁止 inetd 服務(wù)由 internet 服務(wù)器過程inetd 啟動(dòng)的網(wǎng)絡(luò)服務(wù)是由兩個(gè)配置文件/etc/inet/services 和 /etc/inet/來配置的。 /etc/inet/services 文件指定每個(gè)服務(wù)的端口號(hào)和端口類型，該配置文件的部分示例如下： ftp 21/tcp telnet 23/tcp smtp 25/tcp mail /etc/inet/文件指定效

31、勞對(duì)應(yīng)的系統(tǒng)效勞程序，該配置文件部份例如如下： ftp stream tcp nowait root /usr/sbin/ telnet stream tcp nowait root /usr/sbin/ 當(dāng)要停止某個(gè)服務(wù)，如ftp、 telnet 等時(shí)，只要注釋掉文件/etc/inet/services 和/etc/inet/中的相應(yīng)條目， 也就是在那一行的開頭加上字符，然后讓 inetd 重新讀配置文件，過程示例如下：# ps -ef |grep inetd root 149 1 0 jan 18 ? 0:00 /usr/sbin/inetd -s root 24621 24605 0 1

32、5:53:01 pts/1 0:00 grep inetd # kill hup 149 以上第一條命令是為了獲得inetd 的進(jìn)程號(hào)，示例中輸出的第二列內(nèi)容就是進(jìn)程號(hào)(149)，然后將該進(jìn)程號(hào)填入第二條命令的相應(yīng)位置?？梢允褂胠sof i 來查看監(jiān)聽進(jìn)程和端口信息: # lsof -i command pid user fd type device size/off node name syslogd 261 root 5u inet 0 x10191e868 0t0 udp *:syslog (idle) rpcbind 345 root 4u inet 72,0 x73 0t0 udp

33、*:portmap (idle) rpcbind 345 root 6u inet 72,0 x73 0t0 udp *:49158 (idle) rpcbind 345 root 7u inet 72,0 x72 0t0 tcp *:portmap (listen) sendmail: 397 root 5u inet 0 x10222b668 0t0 tcp *:smtp (listen) snmpdm 402 root 3u inet 0 x10221a268 0t0 tcp *:7161 (listen) snmpdm 402 root 5u inet 0 x10222a268 0t0

34、 udp *:snmp (idle) snmpdm 402 root 6u inet 0 x10221f868 0t0 udp *:* (unbound) mib2agt 421 root 0u inet 0 x10223e868 0t0 udp *:* (unbound) swagentd 453 root 6u inet 0 x1019d3268 0t0 udp *:2121 (idle) 2、禁止其他服務(wù)防止 syslogd 網(wǎng)絡(luò)監(jiān)聽安裝 phco_21023 補(bǔ)丁可以給syslogd 加上 -n 參數(shù)防止網(wǎng)絡(luò)監(jiān)聽. 編輯 /sbin/syslogd 修改為/usr/sbin/syslo

35、gd -dn. 禁止 snmp 服務(wù)編輯 snmp 啟動(dòng)文件 : /etc/ set snmp_hpunix_start to 0: snmp_hpunix_start=0 /etc/ set snmp_master_start to 0: snmp_master_start=0 /etc/ set snmp_mib2_start to 0: snmp_mib2_start=0 /etc/ set snmp_trapdest_start to 0: snmp_trapdest_start=0 禁止 sendmail 進(jìn)程編輯 /etc/ export sendmail_server=0 禁止

36、rpcbind 進(jìn)程# rm /sbin/ # rm /sbin/ # mv /usr/sbin/rpcbind /usr/sbin/ 五、文件系統(tǒng)安全1、檢查 set-id 程序# find / ( -perm -4000 -o -perm -2000 ) -type f -exec ls -ld ; # chmod u-s /usr/sbin/swinstall # chmod u-s /usr/sbin/vgcreate # chmod u-s /sbin/vgcreate 能夠采納以下方式， 將所有文件的set-id 位去掉，然后對(duì)一些需要的程序單獨(dú)加上suid 位 （可依照情形選擇）

37、: # find / -perm -4000 -type f -exec chmod u-s ; # find / -perm -2000 -type f -exec chmod g-s ; # chmod u+s /usr/bin/su # chmod u+s /usr/bin/passwd 采用這種方法后，普通用戶將無法使用很多系統(tǒng)命令，如bdf, uptime ，arp 等: $ bdf /dev/vg00/lvol3 bdf: /dev/vg00/lvol3: permission denied 2. 修改重要文件權(quán)限# chmod 1777 /tmp /var/tmp /var/pr

38、eserve （加上粘滯位）# chmod 666 /dev/null 六、網(wǎng)絡(luò)參數(shù)調(diào)整利用 ndd 命令，可以檢測(cè)或者更改網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序的特性。在/etc/啟動(dòng)腳本中增加以下各條命令，然后重啟系統(tǒng)，可以提高網(wǎng)絡(luò)的安全性。格式如下：/usr/sbin/ndd -set /dev/ip ip_forward_directed_broadcasts 0 network device parameter default value suggested value comment /dev/ip ip_forward_directed_broadcasts 1 0 不轉(zhuǎn)發(fā)定向廣播包/dev/ip i

39、p_forward_src_routed 1 0 不轉(zhuǎn)發(fā)原路由包/dev/ip ip_forwarding 2 0 禁止包轉(zhuǎn)發(fā)/dev/ip ip_pmtu_strategy 2 1 不采用 echo-request pmtu 策略/dev/ip ip_send_redirects 1 0 不發(fā) icmp 重定向包/dev/ip ip_send_source_quench 1 0 不發(fā) icmp 源結(jié)束包/dev/tcp tcp_conn_request_max 20 500 增加 tcp 監(jiān)聽數(shù)最大值，提高性能/dev/tcp tcp_syn_rcvd_max 500 500 hp syn

40、flood 保護(hù)/dev/ip ip_respond_to_echo_broadcast 1 0 不響應(yīng) icmp echo 請(qǐng)求廣播包由于 ndd 調(diào)用前，已經(jīng)啟動(dòng)網(wǎng)卡參數(shù)，所以可能不能正確設(shè)置?？梢圆捎孟铝蟹椒?，建立一個(gè)啟動(dòng)腳本。# cp /tmp/secconf /etc/ # chmod 444 /etc/ # cp /tmp/sectune /sbin/ # chmod 555 /sbin/sectune # ln -s /sbin/sectune /sbin/s009sectune unix 網(wǎng)絡(luò)治理配置ip 連通性為一塊新安裝的網(wǎng)卡配置軟件和驅(qū)動(dòng)程序。以命令行的方式配置和瀏覽系統(tǒng)

41、的主機(jī)名。以命令行方式配置和瀏覽系統(tǒng)的ip 地址。安裝一塊新的網(wǎng)卡后，修改/etc/hosts 文件。網(wǎng)絡(luò)治理配置ip 連通性配置 ip 連通性目標(biāo)：完成這一章，你能做以下情形：為一塊新安裝的網(wǎng)卡配置軟件和驅(qū)動(dòng)程序。以命令行的方式配置和閱讀系統(tǒng)的主機(jī)名。以命令行方式配置和閱讀系統(tǒng)的ip 地址。安裝一塊新的網(wǎng)卡后，修改/etc/hosts 文件。1.網(wǎng)絡(luò)圖系統(tǒng)治理員應(yīng)該有一份包括他所治理的所有的lan 硬件的網(wǎng)絡(luò)圖。那個(gè)網(wǎng)絡(luò)圖中至少應(yīng)該有：局域網(wǎng)所在的建筑或房間的可能的尺寸局域網(wǎng)電纜的類型，包括終結(jié)器的類型轉(zhuǎn)發(fā)器，集線器，網(wǎng)橋，路由器，和網(wǎng)關(guān)的位置每一個(gè)節(jié)點(diǎn)的位置，和每一個(gè)節(jié)點(diǎn)的：主機(jī)名ip 地

42、址鏈路層地址網(wǎng)卡的硬件地址的信息你能夠利用一個(gè)在線的工作表格，其中包括所有不需要用圖形方式來描述的信息：如主機(jī)名， 真實(shí)的名字， lan 網(wǎng)卡類型， ip 地址，鏈路層地址。lanic地址類型等等。有的工具，如hp open view 提供了網(wǎng)絡(luò)圖的圖形界面，而且能夠利用一個(gè)網(wǎng)絡(luò)治理系統(tǒng)和簡(jiǎn)單網(wǎng)絡(luò)治理協(xié)議（snmp) 來對(duì)你的網(wǎng)絡(luò)進(jìn)行治理。hp open view由幾個(gè)子產(chǎn)品組成，每一個(gè)能夠單獨(dú)購(gòu)買hp open view network node manager hp open view it/operations 2. 通過 /etc/來配置 ip 網(wǎng)絡(luò)當(dāng)系統(tǒng)啟動(dòng)的時(shí)候會(huì)執(zhí)行腳本/sbin

43、/hostname 和 /sbin/net。這兩個(gè)啟動(dòng)腳本都會(huì)從配置文件/etc/中讀取配置參數(shù)，而且利用這些參數(shù)來進(jìn)行系統(tǒng)初試化。這些腳本中執(zhí)行的命令有：hostname 設(shè)置系統(tǒng)的主機(jī)名ifconfig 設(shè)置 ip 地址，子網(wǎng)掩碼，和本地回路地址route 在系統(tǒng)的路由表中添加記錄3.配置網(wǎng)絡(luò)連通性系統(tǒng)啟動(dòng)的時(shí)候會(huì)利用/etc/文件來配置一個(gè)網(wǎng)卡的ip 地址。文件中指明了ip 地址和網(wǎng)卡名稱 （還有其它的相關(guān)信息)。一個(gè) netconf 文件的例子：# netconf: configuration values for core networking subsystems # (#) $r

44、evision: $ $date: 97/09/10 15:56:01 $ # hostname: name of your system for uname -s and hostname # operating_system: name of operating system returned by uname -s # - do not change this value - # loopback_address: loopback address # - do not change this value - # important: for transition, do not put

45、 blank lines between # the next set of statements hostname=v2500b operating_system=hp-ux loopback_address= # internet configuration parameters. see ifconfig(1m), autopush(1m) # interface_name: network interface name (see lanscan(1m) # ip_address: hostname (in /etc/hosts) or ip address in decimal-dot

46、 # notation ., # subnet_mask: subnetwork mask in decimal-dot notation, if different # from default # broadcast_address: broadcast address in decimal-dot notation, if # different from default # interface_state: desired interface state at boot time. # either up or down, default is up. # dhcp_enable de

47、termines whether or not dhcp client functionality # will be enabled on the network interface (see # auto_parms(1m), dhcpclient(1m). dhcp clients get # their ip address assignments from dhcp servers. # 1 enables dhcp client functionality; 0 disables it. # for each additional network interfaces, add a

48、 set of variable assignments # like the ones below, changing the index to 1, 2 et cetera. # important: for transition, do not put blank lines between # the next set of statements interface_name0=lan0 ip_address0= subnet_mask0= broadcast_address0= interface_state0=up dhcp_enable0=0 : : 命令ifconfig 命令被

49、用來：為一個(gè)網(wǎng)卡分派一個(gè)ip 地址設(shè)置本地環(huán)路界面分派一個(gè)子網(wǎng)掩碼（可選）那個(gè)命令在系統(tǒng)啟動(dòng)的時(shí)候通過/sbin/net 腳本自動(dòng)執(zhí)行的。也能夠在任何時(shí)候以命令行的方式執(zhí)行。以下是那個(gè)命令的語(yǔ)法：ifconfig interface addr_family address parameters 其中interface 一個(gè)最大四位的字符串，最后一個(gè)字符是數(shù)字，例如lan0。那個(gè)字符串代表網(wǎng)卡。數(shù)字表示網(wǎng)卡的instance。對(duì)有的系統(tǒng)來講，網(wǎng)卡的instance 是自動(dòng)分派的。第一配置的網(wǎng)卡是lan0。而 lo0 指明這是本地回路。add_family 對(duì) darpa internet協(xié)議來講

50、，唯一支持的是inet（默許的） ,。address 數(shù)字形式的ip 地址parameters 最重要的參數(shù)是up,down,arp,-arp, 和 netmask。up 激活那個(gè)網(wǎng)卡down 關(guān)閉那個(gè)網(wǎng)卡- arp 在 osi 模型的第二層和第三層(鏈路層和網(wǎng)絡(luò)層）之間禁用/利用地址解析協(xié)議netmask subnet 子網(wǎng)位掩蓋網(wǎng)絡(luò)部份。并指明了在將網(wǎng)絡(luò)分割為子網(wǎng)的時(shí)候所保留地址的數(shù)量。咱們會(huì)在下一章中詳細(xì)討論。若是你直接利用ifconfig interface命令而沒有加上任何參數(shù)。會(huì)顯示當(dāng)前有效網(wǎng)卡的名字，ip 地址，子網(wǎng)掩碼，廣播地址和其它信息。# ifconfig lan0 lan

51、0: flags=863 inet netmask ffffff00 broadcast 多路技術(shù)lan0 此刻大多數(shù)的unix 版本的 tpc/ip 協(xié)議堆棧都能夠用一個(gè)lan 界面支持多個(gè)邏輯界面。邏輯界面讓你能夠在一個(gè)物理界面上配置多個(gè)ip 地址。利用那個(gè)功能，你能夠?yàn)橐粋€(gè)物理網(wǎng)卡配置多個(gè) ip 地址。利用 ip 多路技術(shù)，一個(gè)單獨(dú)的系統(tǒng)能夠被看成是擁有不同的ip 地址和主機(jī)名的多個(gè)系統(tǒng)，即便那個(gè)系統(tǒng)只有一塊物理網(wǎng)卡。那個(gè)功能能夠在一臺(tái)機(jī)械上讓不同應(yīng)用利用多個(gè)instances。就象這些應(yīng)用在單獨(dú)的機(jī)械上運(yùn)行一樣。舉個(gè)例子，一個(gè)isp 需要為 acme,bob 和 keith 三家公司提

52、供website。利用 ip 多路復(fù)用，一個(gè)只有一塊網(wǎng)卡的系統(tǒng)能夠有三個(gè)不同的ip 地址，每一個(gè)屬于不同的網(wǎng)站。從外部看來，就和acme,bob, 和 keith 公司的網(wǎng)站成立在不同的機(jī)械上一樣。分派給一個(gè)卡的ip 地址能夠在相同的子網(wǎng)內(nèi)，也能夠在不同的子網(wǎng)內(nèi)。在那個(gè)例子里，兩個(gè)ip地址是在同一個(gè)子網(wǎng)和而另外一個(gè)在不同的子網(wǎng)內(nèi)（）。ip/ethernet 對(duì) ip/ieee 當(dāng)一個(gè)網(wǎng)卡同時(shí)用作傳輸ip/ethernet和 ip/ieee 數(shù)據(jù)包的時(shí)候，也能夠利用邏輯網(wǎng)卡。利用ethernet 和 ieee 發(fā)送 ip 包需要不同邏輯網(wǎng)卡。要同時(shí)發(fā)送兩種包，你必需配置兩個(gè)不同的ip地址。同時(shí)這

53、兩個(gè)ip 地址必需在兩個(gè)不同的子網(wǎng)內(nèi)。ifconfig 和/etc/中利用的網(wǎng)卡名能夠在網(wǎng)卡名后面加上邏輯instances 號(hào)，例如（ lan0:1) 。語(yǔ)法為：namex:logical_instance 其中x 為邏輯單元號(hào)。表示網(wǎng)卡物理位置的一個(gè)數(shù)字的索引。logical_instance 對(duì)應(yīng)于指定的網(wǎng)卡的一個(gè)邏輯的索引號(hào)。默以為 0， 網(wǎng)卡名 lan0 和 lan0:0 代表的是相同的網(wǎng)卡。第一個(gè)邏輯instance 號(hào)（邏輯instance 為 0）代表這是第一個(gè)邏輯網(wǎng)卡。第一個(gè)instance 必需在配置后面一個(gè)instance 之前配置。例如，lan2:0( 或 lan2)必

54、需在 lan2:1 之前配置。 一旦你配置第一個(gè)邏輯界面，你就能夠夠以任意的順序配置后面的邏輯網(wǎng)卡。例子：那個(gè)系統(tǒng)有兩個(gè)物理網(wǎng)卡和三個(gè)邏輯網(wǎng)卡。利用ifconfig 命令能夠配置三個(gè)邏輯網(wǎng)卡：# ifconfig lan0:0 inet # ifconfig lan0:1 inet # ifconfig lan1:0 inet /etc/ 文件如下：interface_name0=lan0 ip_address0= subnet_mask0= broadcast_address0= interface_state0=up dhcp_enable0=0 interface_name1=lan0:

55、1 ip_address1= subnet_mask1= broadcast_address1= interface_state1=up dhcp_enable1=0 interface_name2=lan1 ip_address2= subnet_mask2= broadcast_address2= interface_state2=up dhcp_enable2=0 配置 snap/ieee 界面物理網(wǎng)卡1 lan0:0 snap0:0 (ethernet) （snap/ 在那個(gè)例子中，系統(tǒng)有一個(gè)物理網(wǎng)卡，和兩個(gè)邏輯網(wǎng)卡。其中一個(gè)邏輯網(wǎng)卡被snap/ 利用。利用如下的ifconfig 命令

56、來配置：# ifconfig lan0:0 inet # ifconfig snap0:0 inet /etc/中的配置如下：interface_name0=lan0 ip_address0= subnet_mask0= broadcast_address0= interface_state0=up dhcp_enable0=0 interface_name1=snap0:0 ip_address1= subnet_mask1= broadcast_address1= interface_state1=up dhcp_enable1=0 注意 snap0:0 的 ip 地址不能和lan0:0

57、的 ip 地址在同一個(gè)網(wǎng)段上。同時(shí)snap邏輯網(wǎng)卡（ snap0:0）的邏輯 instance 號(hào)是 0，不是 1。對(duì)每一個(gè)界面名字來講，邏輯instance 號(hào)都是從0 開始的。5./etc/hosts 文件/etc/hosts 文件能夠?qū)⒅鳈C(jī)名和別名解析為ip 地址。如此用戶能夠用便于經(jīng)歷的字符名稱來代替難記的 ip 地址。配置 lan 9000連接不要求利用/etc/hosts 文件。 可是若是配置了那個(gè)文件，你就能夠夠利用主機(jī)名代替 ip 地址當(dāng)即利用預(yù)先配置好的網(wǎng)絡(luò)效勞。如下是 /etc/hosts 文件的語(yǔ)法 : ip_address hostname alias . 其中ip_a

58、ddress 節(jié)點(diǎn)的 ip 地址hostname arpa 主機(jī)名。同在/etc/文件中配置的一樣。alias 主機(jī)名的替代名。這是可選的。一個(gè)主性能夠有幾個(gè)別名。當(dāng)創(chuàng)建 /etc/hosts 文件的時(shí)候，必需遵守如下的規(guī)那么：一行的開頭不能夠是空白或tab 字符。字段之間能夠讓多個(gè)空白字符或tabs 分割。注釋部份能夠指明系統(tǒng)的屬主，系統(tǒng)的類型，版本，注釋是用符號(hào)（#)開始的部份。每一行只能有一個(gè)主機(jī)記錄在 ip 地址的第一名不能為0。不要更改或刪除本地回路的記錄。在/etc/hosts 中的本地 ip 地址要和 /etc/文件中的一致。注意： /etc/hosts 文件的屬主必需為bin，

59、同時(shí)存取權(quán)限為04444(-r-r-r-) 。映射主機(jī)名為ip 地址當(dāng)一個(gè)用戶在一個(gè)網(wǎng)絡(luò)請(qǐng)求中利用一個(gè)主機(jī)名的時(shí)候（例如telnet sysa) ，主機(jī)名的解析依托網(wǎng)絡(luò)治理員是不是配置了動(dòng)態(tài)名稱效勞開關(guān)。若是已經(jīng)配置了名稱效勞器，它會(huì)決定利用那種方式來解析主機(jī)名。如是利用nis,dns 或網(wǎng)絡(luò)配置文件（如/etc/hosts 文件）。若是沒有配置域名效勞器，可是配置了nis 或 nis+, 這時(shí)系統(tǒng)會(huì)用nis 來解析主機(jī)名， 若是 dns和 nis 都沒有配置，/etc/hosts 文件會(huì)被利用。若是主機(jī)名和ip 地址不能找到，你會(huì)取得錯(cuò)誤信息： unknown host 。系統(tǒng)治理員能夠配置

60、名稱效勞的查詢順序。那個(gè)順序被gethostbyname() 和 gethostbyaddr(）庫(kù)函數(shù)挪用。治理員能夠選擇已存在的名稱效勞的任意一種組合，例如dns,nis,nis+, 和本地hosts文件。 同時(shí)， 治理員能夠概念當(dāng)?shù)谝粋€(gè)名稱效勞失效的時(shí)候利用哪個(gè)效勞的條件。這種特點(diǎn)被稱為名稱效勞開關(guān)。能夠通過配置/etc/文件來實(shí)現(xiàn)這種選擇。這會(huì)在下一章中討論。nis,nis+, 和dns 會(huì)在其它章討論。unix 網(wǎng)絡(luò)治理網(wǎng)絡(luò)連接查錯(cuò)利用命令來檢查網(wǎng)絡(luò)連接方面的錯(cuò)誤：lanscan lanadmin linkloop arp ping netstat -i netstat -a nets