亚洲韩日午夜视频,欧美日韩在线精品一区二区三区,韩国超清无码一区二区三区,亚洲国产成人影院播放,久草新在线,在线看片AV色

您好,歡迎來到思海網(wǎng)絡(luò),我們將竭誠為您提供優(yōu)質(zhì)的服務(wù)! 誠征網(wǎng)絡(luò)推廣 | 網(wǎng)站備案 | 幫助中心 | 軟件下載 | 購買流程 | 付款方式 | 聯(lián)系我們 [ 會員登錄/注冊 ]
促銷推廣
客服中心
業(yè)務(wù)咨詢
有事點擊這里…  531199185
有事點擊這里…  61352289
點擊這里給我發(fā)消息  81721488
有事點擊這里…  376585780
有事點擊這里…  872642803
有事點擊這里…  459248018
有事點擊這里…  61352288
有事點擊這里…  380791050
技術(shù)支持
有事點擊這里…  714236853
有事點擊這里…  719304487
有事點擊這里…  1208894568
有事點擊這里…  61352289
在線客服
有事點擊這里…  531199185
有事點擊這里…  61352288
有事點擊這里…  983054746
有事點擊這里…  893984210
當(dāng)前位置:首頁 >> 技術(shù)文章 >> 文章瀏覽
技術(shù)文章

linux服務(wù)器配置apache

添加時間:2011-12-14  添加: admin 

要建立一個安全Linux服務(wù)器就首先要了解Linux環(huán)境下和網(wǎng)絡(luò)服務(wù)相關(guān)的配置文件的含義及如何進(jìn)行安全的配置。在Linux系統(tǒng)中,TCP/IP網(wǎng)絡(luò)是通過若干個文本文件進(jìn)行配置的,也許你需要編輯這些文件來完成聯(lián)網(wǎng)工作,但是這些配置文件大都可以通過配置命令linuxconf(其中網(wǎng)絡(luò)部分的配置可以通過netconf命令來實現(xiàn))命令來實現(xiàn)。下面介紹基本的 TCP/IP網(wǎng)絡(luò)配置文件。
 
  * /etc/conf.modules 文件
 
  該配置文件定義了各種需要在啟動時加載的模塊的參數(shù)信息。這里主要著重討論關(guān)于網(wǎng)卡的配置。在使用Linux做網(wǎng)關(guān)的情況下,Linux服務(wù)器至少需要配置兩塊網(wǎng)卡。為了減少啟動時可能出現(xiàn)的問題,Linux內(nèi)核不會自動檢測多個網(wǎng)卡。對于沒有將網(wǎng)卡的驅(qū)動編譯到內(nèi)核而是作為模塊動態(tài)載入的系統(tǒng)若需要安裝多塊網(wǎng)卡,應(yīng)該在"conf.modules"文件中進(jìn)行相應(yīng)的配置。
 
  若設(shè)備驅(qū)動被編譯為模塊(內(nèi)核的模塊):對于PCI設(shè)備,模塊將自動檢測到所有已經(jīng)安裝到系統(tǒng)上的設(shè)備;對于ISA卡,則需要向模塊提供IO地址,以使模塊知道在何處尋找該卡,這些信息在"/etc/conf.modules"中提供。
 
  例如,我們有兩塊ISA總線的3c509卡,一個IO地址是0x300,另一個是0x320。編輯"conf.modules"文件如下:
 
  alias eth0 3c509
 
  alias eth1 3c509
 
  options 3c509 io=0x300,0x320
 
  這是說明3c509的驅(qū)動程序應(yīng)當(dāng)分別以eth0或eth1的名稱被加載(alias eth0,eth1),并且它們應(yīng)該以參數(shù)io=0x300,0x320被裝載,來通知驅(qū)動程序到哪里去尋找網(wǎng)卡,其中0x是不可缺少的。
 
  對于PCI卡,僅僅需要alias命令來使ethN和適當(dāng)?shù)尿?qū)動模塊名關(guān)聯(lián),PCI卡的IO地址將會被自動的檢測到。對于PCI卡,編輯"conf.modules"文件如下:
 
  alias eth0 3c905
 
  alias eth1 3c905
 
  若驅(qū)動已經(jīng)被編譯進(jìn)了內(nèi)核:系統(tǒng)啟動時的PCI檢測程序?qū)詣诱业剿邢嚓P(guān)的網(wǎng)卡。ISA卡一般也能夠被自動檢測到,但是在某些情況下,ISA卡仍然需要做下面的配置工作:
 
  在"/etc/lilo.conf"中增加配置信息,其方法是通過LILO程序?qū)訁?shù)信息傳遞給內(nèi)核。對于ISA卡,編輯"lilo.conf"文件,增加如下內(nèi)容:
 
  append=" ether="0,0,eth0 ether="0,0,eth1"
 
  注:先不要在"lilo.conf"中加入啟動參數(shù),測試一下你的ISA卡,若失敗再使用啟動參數(shù)。
 
  如果用傳遞啟動參數(shù)的方法,eth0和eth1將按照啟動時被發(fā)現(xiàn)的順序來設(shè)置。
 
  * /etc/HOSTNAME 文件
 
  該文件包含了系統(tǒng)的主機(jī)名稱,包括完全的域名,如:deep.openarch.com。
 
  */etc/sysconfig/network-s/ifcfg-ethN 文件
 
  在RedHat中,系統(tǒng)網(wǎng)絡(luò)設(shè)備的配置文件保存在"/etc/sysconfig/network-s"目錄下,ifcfg-eth0包含第一塊網(wǎng)卡的配置信息,ifcfg-eth1包含第二塊網(wǎng)卡的配置信息
 
\\
下面是"/etc/sysconfig/network-s/ifcfg-eth0"文件的示例:
 
  DEVICE=eth0
 
  IPADDR=208.164.186.1
 
  NETMASK=255.255.255.0
 
  NETWORK=208.164.186.0
 
  BROADCAST=208.164.186.255
 
  ONBOOT=yes
 
  BOOTPROTO=none
 
  USERCTL=no
 
  若希望手工修改網(wǎng)絡(luò)地址或在新的接口上增加新的網(wǎng)絡(luò)界面,可以通過修改對應(yīng)的文件(ifcfg-ethN)或創(chuàng)建新的文件來實現(xiàn)。
 
  DEVICE=name     name表示物理設(shè)備的名字
 
  IPADDR=addr     addr表示賦給該卡的IP地址
 
  NETMASK=mask    mask表示網(wǎng)絡(luò)掩碼
 
  NETWORK=addr    addr表示網(wǎng)絡(luò)地址
 
  BROADCAST=addr   addr表示廣播地址
 
  ONBOOT=yes/no   啟動時是否激活該卡
 
  none:無須啟動協(xié)議
 
  bootp:使用bootp協(xié)議
 
  dhcp:使用dhcp協(xié)議
 
  USERCTL=yes/no       是否允許非root用戶控制該設(shè)備
 
  */etc/resolv.conf 文件
 
  該文件是由域名解析器(resolver,一個根據(jù)主機(jī)名解析IP地址的庫)使用的配置文件,示例如下:
 
  search openarch.com
 
  nameserver 208.164.186.1
 
  nameserver 208.164.186.2
 
  "search domainname.com"表示當(dāng)提供了一個不包括完全域名的主機(jī)名時,在該主機(jī)名后添加domainname.com的后綴;"nameserver"表示解析域名時使用該地址指定的主機(jī)為域名服務(wù)器。其中域名服務(wù)器是按照文件中出現(xiàn)的順序來查詢的。
 
  */etc/host.conf 文件
 
  該文件指定如何解析主機(jī)名。Linux通過解析器庫來獲得主機(jī)名對應(yīng)的IP地址。下面是一個"/etc/host.conf"的示例:
 
  order bind,hosts
 
  multi on
 
  ospoof on

“order bind,hosts”指定主機(jī)名查詢順序,這里規(guī)定先使用DNS來解析域名,然后再查詢“/etc/hosts”文件(也可以相反)。
 
  “multi on”指定是否“/etc/hosts”文件中指定的主機(jī)可以有多個地址,擁有多個IP地址的主機(jī)一般稱為多穴主機(jī)。
 
  “nospoof on”指不允許對該服務(wù)器進(jìn)行IP地址欺騙。IP欺騙是一種攻擊系統(tǒng)安全的手段,通過把IP地址偽裝成別的計算機(jī),來取得其它計算機(jī)的信任。
 
  */etc/sysconfig/network 文件
 
  該文件用來指定服務(wù)器上的網(wǎng)絡(luò)配置信息,下面是一個示例:
 
  NETWORK=yes
 
  RORWARD_IPV4=yes
 
  HOSTNAME=deep.openarch.com
 
  GAREWAY=0.0.0.0
 
  GATEWAYDEV=
 
  NETWORK=yes/no     網(wǎng)絡(luò)是否被配置;
 
  FORWARD_IPV4=yes/no    是否開啟IP轉(zhuǎn)發(fā)功能
 
  HOSTNAME=hostname hostname表示服務(wù)器的主機(jī)名
 
  GAREWAY=gw-ip     gw-ip表示網(wǎng)絡(luò)網(wǎng)關(guān)的IP地址
 
  GAREWAYDEV=gw-dev   gw-dw表示網(wǎng)關(guān)的設(shè)備名,如:etho等
 
  注意:為了和老的軟件相兼容,“/etc/HOSTNAME”文件應(yīng)該用和HOSTNAME=hostname相同的主機(jī)名。
 
  */etc/hosts 文件
 
  當(dāng)機(jī)器啟動時,在可以查詢DNS以前,機(jī)器需要查詢一些主機(jī)名到IP地址的匹配。這些匹配信息存放在/etc/hosts文件中。在沒有域名服務(wù)器情況下,系統(tǒng)上的所有網(wǎng)絡(luò)程序都通過查詢該文件來解析對應(yīng)于某個主機(jī)名的IP地址。
\\
 
最左邊一列是主機(jī)IP信息,中間一列是主機(jī)名。任何后面的列都是該主機(jī)的別名。一旦配置完機(jī)器的網(wǎng)絡(luò)配置文件,應(yīng)該重新啟動網(wǎng)絡(luò)以使修改生效。使用下面的命令來重新啟動網(wǎng)絡(luò):/etc/rc.d/init.d/network restart
 
  * /etc/inetd.conf 文件
 
  眾所周知,作為服務(wù)器來說,服務(wù)端口開放越多,系統(tǒng)安全穩(wěn)定性越難以保證。所以提供特定服務(wù)的服務(wù)器應(yīng)該盡可能開放提供服務(wù)必不可少的端 口,而將與服務(wù)器服務(wù)無關(guān)的服務(wù)關(guān)閉,比如:一臺作為www和ftp服務(wù)器的機(jī)器,應(yīng)該只開放80 和25端口,而將其他無關(guān)的服務(wù)如:finger auth等服務(wù)關(guān)掉,以減少系統(tǒng)漏洞。
 
  而inetd,也叫作“超級服務(wù)器”,就是監(jiān)視一些網(wǎng)絡(luò)請求的守護(hù)進(jìn)程,其根據(jù)網(wǎng)絡(luò)請求來調(diào)用相應(yīng)的服務(wù)進(jìn)程來處理連接請求。 inetd.conf則是inetd的配置文件。inetd.conf文件告訴inetd監(jiān)聽哪些網(wǎng)絡(luò)端口,為每個端口啟動哪個服務(wù)。在任何的網(wǎng)絡(luò)環(huán)境中 使用Linux系統(tǒng),第一件要做的事就是了解一下服務(wù)器到底要提供哪些服務(wù)。不需要的那些服務(wù)應(yīng)該被禁止掉,最好卸載掉,這樣黑客就少了一些攻擊系統(tǒng)的機(jī) 會。查看“/etc/inetd.conf”文件,了解一下inetd提供哪些服務(wù)。用加上注釋的方法(在一行的開頭加上#號),禁止任何不需要的服務(wù), 再給inetd進(jìn)程發(fā)一個SIGHUP信號。
 
  第一步:把文件的許可權(quán)限改成600。
 
  [root@deep]# chmod 600 /etc/inetd.conf
 
  第二步:確信文件的所有者是root。
 
  [root@deep]# stat /etc/inetd.conf
 
  第三步:編輯“inetd.conf”文件(vi /etc/inetd.conf),禁止所有不需要的服務(wù),如:ftp、 telnet、 shell、 login、 exec、talk、ntalk、 imap、 pop-2、pop-3、finger、auth,等等。如果你覺得某些服務(wù)有用,可以不禁止這些服務(wù)。但是,把這些服務(wù)禁止掉,系統(tǒng)受攻擊的可能性就會 小很多。改注意:改變了“inetd.conf”文件之后,別忘了給inetd進(jìn)程發(fā)一個SIGHUP信號(killall –HUP inetd)。
 
  [root@deep /root]# killall -HUP inetd
 
  第四步:
 
  為了保證“inetd.conf”文件的安全,可以用chattr命令把它設(shè)成不可改變。把文件設(shè)成不可改變的只要用下面的命令:
 
  [root@deep]# chattr +i /etc/inetd.conf
 
  這樣可以避免“inetd.conf”文件的任何改變(意外或是別的原因)。一個有“i”屬性的文件是不能被改動的:不能刪除或重命名,不 能創(chuàng)建這個文件的鏈接,不能往這個文件里寫數(shù)據(jù)。只有系統(tǒng)管理員才能設(shè)置和清除這個屬性。如果要改變inetd.conf文件,你必須先清除這個不允許改 變的標(biāo)志:
 
  [root@deep]# chattr -i /etc/inetd.conf
 
  但是對于諸如sendmail,named,www等服務(wù),由于它們不象finger,telnet等服務(wù),在請求到來時由inet守護(hù)進(jìn) 程啟動相應(yīng)的進(jìn)程提供服務(wù),而是在系統(tǒng)啟動時,作為守護(hù)進(jìn)程運行的。而對于redhat linux,提供了一個linuxconfig命令,可以通過它在圖形界面下交互式地設(shè)置是否在啟動時運行相關(guān)服務(wù)。也可以通過命令來設(shè)置是否啟動時啟動 某個服務(wù),如:[root@deep]# chkconfig –level 35 named off
 
  具體命令可以參考man chkconfig的說明

關(guān)鍵字:linux、服務(wù)器、apache

分享到:

頂部 】 【 關(guān)閉
版權(quán)所有:佛山思海電腦網(wǎng)絡(luò)有限公司 ©1998-2024 All Rights Reserved.
聯(lián)系電話:(0757)22630313、22633833
中華人民共和國增值電信業(yè)務(wù)經(jīng)營許可證: 粵B1.B2-20030321 備案號:粵B2-20030321-1
網(wǎng)站公安備案編號:44060602000007 交互式欄目專項備案編號:200303DD003  
察察 工商 網(wǎng)安 舉報有獎  警警  手機(jī)打開網(wǎng)站