【精品】Linux安全策略詳解1

1、linux服務(wù)器安全策略詳解1. 1 linux網(wǎng)絡(luò)基礎(chǔ)1. 1. 1 linux網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)【it專家網(wǎng)獨(dú)家】linux在服務(wù)器領(lǐng)域已經(jīng)非常成熟,其影響力日趨增大。 linux的網(wǎng)絡(luò)服務(wù)功能非常強(qiáng)人，但是由t* linux的桌面應(yīng)用和windows相比還 有一定差距，除了一些linux專門實(shí)驗(yàn)室z外，大多數(shù)企業(yè)在應(yīng)用linux系統(tǒng)時(shí), 往往是linux和windows （或unix）等操作系統(tǒng)共存形成的異構(gòu)網(wǎng)絡(luò)。在一個(gè)網(wǎng)絡(luò)系統(tǒng)中，操作系統(tǒng)的地位是非常重要的。linux網(wǎng)絡(luò)操作系統(tǒng)以 高效性和靈活性而著稱。它能夠在pc上實(shí)現(xiàn)全部的unix特性，具有多任務(wù)、多 用戶的特點(diǎn)。linux的組網(wǎng)能力

2、非常強(qiáng)大，它的tcp/ip代碼是最高級(jí)的。linux 不僅提供了對(duì)當(dāng)前的tcp/ip協(xié)議的完全支持，也包括了對(duì)卜一代internet w ipv6的支持。linux內(nèi)核還包括了 ip防火墻代碼、ip防偽、ip服務(wù)質(zhì)量控制及 許多安全特性。linux的網(wǎng)絡(luò)實(shí)現(xiàn)是模仿freebsd的，它支持freebsd的帶有擴(kuò) 展的sockets （套接字）和tcp/ip協(xié)議。它支持兩個(gè)主機(jī)間的網(wǎng)絡(luò)連接和sockets 通信模型,實(shí)現(xiàn)了兩種類型的sockets： bsd sockets和i net sockets。它為不 同的通信模型提供了兩種傳輸協(xié)議，即不可靠的、基丁消息的udp傳輸|辦議和可 靠的、基于流的

3、tcp傳輸|辦議，并且都是在1p網(wǎng)際辦議上實(shí)現(xiàn)的。inet sockets 是在以上兩個(gè)協(xié)議及1p網(wǎng)際協(xié)議z上實(shí)現(xiàn)的，它們z間的關(guān)系如圖1-1所示。e 1-1 linux網(wǎng)絡(luò)中的層3掌握ost網(wǎng)絡(luò)模型、tcp/ip模型及相關(guān)服務(wù)對(duì)應(yīng)的層次對(duì)于理解linux網(wǎng) 絡(luò)服務(wù)器是非常重要的。1. 1. 2 tcp/ip四層模型和osi七層模型表1-1是tcp/ip四層模型和0si七層模型對(duì)應(yīng)表。我們把0si七層網(wǎng)絡(luò)模 型和linux tcp/ip四層概念模型對(duì)應(yīng)，然后將各種網(wǎng)絡(luò)協(xié)議歸類。«1-1 tcp-1p zosi -t 對(duì)應(yīng)靠"宅二“pus-二三三 appbgh：tf?p ft

4、pt!ts vais tdr-r. rlcjiil,$ 轉(zhuǎn) hoc：smtpir x : trixuywr：tcp. udp -s t :1jp :cmf：afi 甲藝劣訂左三dm l油:：mt二匂fddt eth j態(tài)叮三.pencil：z££s：2.l4 i£e s：2.2 j. z££sc2.l11.網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口把數(shù)據(jù)鏈路層和物理層放在一起，對(duì)應(yīng)tcp/ip概念模型的網(wǎng)絡(luò)接 口。對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議主要是:ethernet. fddi和能傳輸ip數(shù)據(jù)包的任何協(xié)議。2 網(wǎng)際層網(wǎng)絡(luò)層對(duì)應(yīng)linux tcp/ip概念模型的網(wǎng)際層，網(wǎng)絡(luò)層協(xié)議管理離

5、散的計(jì)算 機(jī)間的數(shù)據(jù)傳輸，如ip協(xié)議為用戶和遠(yuǎn)程計(jì)算機(jī)提供了信息包的傳輸方法，確 保信息包能正確地到達(dá)日的機(jī)器。這一過(guò)程屮，ip和其他網(wǎng)絡(luò)層的協(xié)議共同用 于數(shù)據(jù)傳輸，如果沒(méi)有使用一些監(jiān)視系統(tǒng)進(jìn)程的丁具，用戶是看不到在系統(tǒng)里的 ip的。網(wǎng)絡(luò)嗅探器sniffers是能看到這些過(guò)程的一個(gè)裝置（它可以是軟件，也 可以是硬件），它能讀取通過(guò)網(wǎng)絡(luò)發(fā)送的每一個(gè)包，即能讀取發(fā)生在網(wǎng)絡(luò)層協(xié)議 的任何活動(dòng)，因此網(wǎng)絡(luò)嗅探器sniffers會(huì)對(duì)安全造成威脅。重要的網(wǎng)絡(luò)層協(xié)議 包括arp （地址解析協(xié)議）、icmp （internet控制消息協(xié)議）和ip協(xié)議（網(wǎng)際協(xié)議） 等。3. 傳輸層傳輸層對(duì)應(yīng)linux tcp/i

6、p概念模型的傳輸層。傳輸層提供應(yīng)用程序間的通 信。其功能包括：格式化信息流;提供可靠傳輸。為實(shí)現(xiàn)后者，傳輸層協(xié)議規(guī)定 接收端必須發(fā)回確認(rèn)信息，如果分組丟失，必須重新發(fā)送。傳輸層包括 tcp （transmission control protocol,傳輸控制協(xié)議）和 udp（user datagram protocol,用戶數(shù)據(jù)報(bào)協(xié)議）,它們是傳輸層屮最主要的協(xié)議。tcp建立在tp之 上，定義了網(wǎng)絡(luò)上程序到程序的數(shù)據(jù)傳輸格式和規(guī)則，提供了 tp數(shù)據(jù)包的傳輸 確認(rèn)、丟失數(shù)據(jù)包的重新請(qǐng)求、將收到的數(shù)據(jù)包按照它們的發(fā)送次序重新裝配的 機(jī)制。tcp協(xié)議是面向連接的協(xié)議，類似于打電話，在開始傳輸數(shù)據(jù)之

7、前，必須 先建立明確的連接。udp也建立在ip之上，但它是一種無(wú)連接協(xié)議，兩臺(tái)計(jì)算 機(jī)之間的傳輸類似于傳遞郵件：消息從一臺(tái)計(jì)算機(jī)發(fā)送到另一臺(tái)計(jì)算機(jī)，兩者之 間沒(méi)有明確的連接。udp不保證數(shù)據(jù)的傳輸，也不提供覓新排列次序或帝新請(qǐng)求 的功能，所以說(shuō)它是不可靠的。雖然udp的不可靠性限制了它的應(yīng)用場(chǎng)合，但它 比tcp具有更好的傳輸效率。4. 應(yīng)用層應(yīng)用層、表示層和會(huì)話層對(duì)應(yīng)linux tcp/ip概念模型中的應(yīng)用層。應(yīng)用層 位于協(xié)議棧的頂端，它的主要任務(wù)是應(yīng)用。一般是可見的，如利用ftp(文件傳 輸協(xié)議)傳輸一個(gè)文件，請(qǐng)求一個(gè)和h標(biāo)計(jì)算機(jī)的連接，在傳輸文件的過(guò)程中， 用戶和遠(yuǎn)程計(jì)算機(jī)交逸的一部分是能

8、看到的。常見的應(yīng)用層協(xié)議有：http、ftp、 telnet、smtp和gopher等。應(yīng)用層是linux網(wǎng)絡(luò)設(shè)定最關(guān)鍵的一層。linux服 務(wù)器的配置文檔主要針對(duì)應(yīng)用層屮的協(xié)議。tcp/ip模型齊個(gè)層次的功能和協(xié)議 如表1-2所示。1-2 tcpjp噥全冬個(gè)號(hào)決怛勿能鬥滬漢,itit，尺*二s = . 痕=二05：#卻空二二"二三、hwx莖總上淫揑七士乂；.ppf夕二亠匕冰:slip總圧咚丄、二61多內(nèi)寒二廠瓷三三3 :門嚴(yán)uu：:cmp cf建整乜上蘭士3二af.p :龍社單“土么：raf.p吒*坯土爐8于3： tcp (揑乜傳址f a： x5 st.zss .三一才三二可壬？弋

9、關(guān)藝二鴛匕二05：少占 寒釜a二三三，:乂心違吃三n：.httpdws芻芒士*; £、up .工工蘭必曙雄二3：.：-ts曲迄工4形汁_ _d 說(shuō)靂 tcpip與osi星大的不辰枉亍osi是一木理論上則是 艮行運(yùn)仃芥題絡(luò)協(xié)議°卩c1ocio.ccm1. 1. 3 tcp/ip提供的主要用戶應(yīng)用程序1. telnet 程序telnet程序提供遠(yuǎn)程登錄功能。2. 文件傳輸協(xié)議文件傳輸協(xié)議(ftp)允許用戶將一個(gè)系統(tǒng)上的文件復(fù)制到另一個(gè)系統(tǒng)上。3. 簡(jiǎn)單郵件傳輸協(xié)議簡(jiǎn)單郵件傳輸協(xié)議(smtp)用于傳輸電子郵件。4. kerberos 協(xié)議kerberos是一個(gè)受到廣泛支持的安全性

10、協(xié)議。5. 域名服務(wù)器協(xié)議域名服務(wù)器協(xié)議(dns)能使一臺(tái)設(shè)備具有的普通名字轉(zhuǎn)換成某個(gè)特泄的網(wǎng)絡(luò) 地址。6. 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(snmp)把用戶數(shù)據(jù)報(bào)協(xié)議(udp)作為傳輸機(jī)制,它使用和 tcp/ip不同的術(shù)語(yǔ)，tcp/ip用客戶端和服務(wù)器，而snmp用管理器(manager)和 代理(agent),代理提供設(shè)備信息，而管理器管理網(wǎng)絡(luò)通信。7. 網(wǎng)絡(luò)文件系統(tǒng)協(xié)議網(wǎng)絡(luò)文件系統(tǒng)i辦議(nfs)是由sun microsystems公司開發(fā)的一套亦議，可使 多臺(tái)計(jì)算機(jī)能透明地訪問(wèn)彼此的冃錄。8. 遠(yuǎn)程過(guò)程調(diào)用遠(yuǎn)程過(guò)程調(diào)用(rpc)是使應(yīng)用軟件能與另一臺(tái)計(jì)算機(jī)(服務(wù)器)通信的一些函 數(shù)。

11、9. 普通文件傳輸協(xié)議普通文件傳輸協(xié)議(tftp)是一種缺乏任何安全性的、非常簡(jiǎn)單落后的文件傳 輸協(xié)議。10. 傳輸控制協(xié)議傳輸控制協(xié)議(tcp/ip中的tcp部分)是一種數(shù)據(jù)可靠傳輸?shù)耐ㄐ艆f(xié)議。11. 網(wǎng)際協(xié)議網(wǎng)際協(xié)議(tp)負(fù)責(zé)在網(wǎng)絡(luò)上傳輸由tcp/udp裝配的數(shù)據(jù)包。12. 網(wǎng)際控制消息協(xié)議網(wǎng)際控制消息協(xié)議負(fù)責(zé)根據(jù)網(wǎng)絡(luò)上設(shè)備的狀態(tài)發(fā)出和檢杳消息，它可以將某 臺(tái)設(shè)備的故障通知到其他設(shè)備。1.1.4端口號(hào)分配tcp和u）p采用16bit的端口號(hào)來(lái)識(shí)別應(yīng)用程序。那么這些端口號(hào)是如何選 擇的呢？服務(wù)器一般都是通過(guò)知名端口號(hào)來(lái)識(shí)別的。例如，對(duì)t tcp/ip實(shí)現(xiàn)來(lái)說(shuō)， 每個(gè)ftp服務(wù)器的tcp端口

12、號(hào)都是21,矯 telnet服務(wù)器的tcp端口號(hào)都是23, 每個(gè)tftp （普通文件傳輸協(xié)議）服務(wù)器的udp端口號(hào)都是69昇阿tcp/ip實(shí)現(xiàn)所 提供的服務(wù)都用知名的廣1 023 z間的端口號(hào)。這些知名端口號(hào)由internet號(hào) 分配機(jī)構(gòu)（internet assigned numbers authority, 1ana）來(lái)管理。至!j 1992 年為 止，知名端口號(hào)介于1255 z間。2561 023 z間的端口號(hào)通常都是由unix系 統(tǒng)占用，以提供一些特定的untx服務(wù)，也就是說(shuō)，提供一些只有untx系統(tǒng)才有 的，而其他操作系統(tǒng)可能不提供的服務(wù)。現(xiàn)在tana管理廣1 023之間所有的端 口

13、號(hào)。internet擴(kuò)展服務(wù)與untx特定服務(wù)之間的一個(gè)差別就是telnet和rlogin, 它們二者都允許通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)登錄到其他主機(jī)上。telnet是采用端口號(hào)為23 的tcp/ip標(biāo)準(zhǔn)，且兒乎可以在所有操作系統(tǒng)上進(jìn)行實(shí)現(xiàn)。相反，rlogin最開始 時(shí)只是為unix系統(tǒng)設(shè)計(jì)的（盡管許多非unix系統(tǒng)現(xiàn)在也提供該服務(wù)）,因此在 20世紀(jì)80年代初，它的端口號(hào)為513,客戶端通常對(duì)它所使用的端口號(hào)并不關(guān) 心，只須保證該端口號(hào)在本機(jī)上是唯一的即可?？蛻舳丝谔?hào)又稱做臨時(shí)端口號(hào)（即 存在時(shí)間很短暫），這是因?yàn)樗ǔＶ皇窃谟脩暨\(yùn)行該客戶程序時(shí)才存在，而服 務(wù)器則只要主機(jī)開著，其服務(wù)就運(yùn)行。大多數(shù)tcp

14、/ip實(shí)現(xiàn)給臨時(shí)端口分配1 0245 000之間的端口號(hào)。大于5 000 的端口號(hào)是為其他服務(wù)器預(yù)留的（internet .上并不常用的服務(wù)）。我們可以在后 面看見許多給臨時(shí)端口分配端口號(hào)的例子。大多數(shù)linux系統(tǒng)的文件 /etc/services都包含了人們熟知的端口號(hào)。為了找至！i telnet服務(wù),可以運(yùn)行 以下語(yǔ)句:ugrep telnet /etc/services”。表-3是一些常用tcp服務(wù)和端 口。喪13蚩?jī)蓆cp昂務(wù)茁芫tcphtt discrd. a w zl、切"c、f：；|fkz3i *g止i:二“；二三二lx"4?23 atcp k z .5 *

15、iwp， n y.tcp4? t巧召爍跡fk： nw.、llo.tkj小lll.itucrpc、5工fi亡卷c務(wù)刃丐:b>c 3，1d.«乂 t可-w.w巧肖，snip 疋以羅=哎l!：=x143.,=矽httpi i=s51w*h7tp、$12m 土亍.二?r513,.債仝鼻土至sbc三*心班：.151-./unixn汕 y:、 "r.11cw.i50cksh w*| t e 另? ixxlx,nfstcp zxfj >t5 :nfs w tcp： "、xxwigioudp為運(yùn)行于同一臺(tái)或不同機(jī)器之上的兩個(gè)或多個(gè)程序之間傳輸數(shù)據(jù)包提 供了簡(jiǎn)單的、不可

16、靠的連接?！安豢煽俊币馕吨僮飨到y(tǒng)不保證每個(gè)發(fā)出的包都 能到達(dá)，也不保證包能夠按序到達(dá)。不過(guò)udp是盡力傳輸?shù)模趌an屮udp通常 能達(dá)到100%的可靠性。ldp的優(yōu)點(diǎn)在于它比tcp的開銷少，較少的開銷使得基于 udp的服務(wù)可以用tcp 10倍的吞吐量傳輸數(shù)據(jù)。udp主耍用于sln的nfs、nis、主機(jī)名解析和傳輸路由信息。對(duì)于有些服務(wù)而言, 偶然丟失一個(gè)包并不會(huì)帶來(lái)太大的負(fù)面影響，因?yàn)樗鼈儠?huì)周期性地請(qǐng)求一個(gè)新 包，或者那些包本身并不是很重要。這些服務(wù)包括who、talk和一些時(shí)間服務(wù)。 表1-4是一些常用udp服務(wù)和端口。2. linux的tcp/ip網(wǎng)絡(luò)配置linux從一開始就是為網(wǎng)絡(luò)而

17、設(shè)計(jì)的。它內(nèi)置了以前僅在高端企業(yè)產(chǎn)品中才 可見到的成熟功能。然而，盡管擁有這些強(qiáng)大的能力，linux網(wǎng)絡(luò)的配置卻遠(yuǎn)沒(méi) 有 windows 網(wǎng)絡(luò)的配置復(fù)雜。諸如 webmin> redhat-conf ig-network 和 yast 允 許執(zhí)行圖形化的配置;諸如ifconfig和route允許通過(guò)控制臺(tái)或腳本查看和修改 網(wǎng)絡(luò)參數(shù);諸如netstat允許查看單獨(dú)的網(wǎng)絡(luò)連接，并顯示它們與運(yùn)行著的進(jìn)程 的關(guān)系。1. 2. 1 linux的tcp/ip網(wǎng)絡(luò)配置文件除非另行指定,red hat linux系統(tǒng)中大多數(shù)配置文件都在/etc目錄中。 配置文件如表1-5所示。1-5製蓋乂七卩etcfx

18、arrr.- 三手尸坯歿t二£5 .cz r«rck:工二子譽(yù)二迄戔蘭祈總二營(yíng)2c港三栄二訪三可疋亦兩txdi，-xs-：r = rv 爭(zhēng)#豐mwe巧=:舒丁二丁、* 二8*主欣字*亍卞 一八b憶土芒±jsr = f.pc強(qiáng)p空二.a三：抒$ = t歿乂*歲芒于決蘭二x=ft 二 cxpwu .>ts： ：-：:< -ht km wi切仝憶x! kpdsf 七-壬3：二農(nóng)巻ft t-&c ；tx?.x：«ieezr:- is-? 禰瘁h松a呈.尸理牧敵直二巧為豈總r?-?!?五三祺：=？n ：盤乞怪芫工二圣王ec toj-xxze i

19、:逮ftm廣s?kr*.巴hmimi虹h=ttehoncccf«2工件兀電h 亍3?«三r $ linux2 宅壯，轉(zhuǎn)就、a:r n szccfx n»rv：dk. 羚 x xetwofck20yw 0 a. s triynsn 吉住號(hào)二 jysmiy rtrroffc.jt：.rtdkr ««szsx.jetehmu wtzhx.壬護(hù)馭”=壬二尋冬二手基、全w才：p1.2.2網(wǎng)絡(luò)配置工具在安裝linux發(fā)行版木時(shí)，需要配置網(wǎng)絡(luò)。你或許已經(jīng)有一個(gè)來(lái)自初始配置 的活動(dòng)etho,這個(gè)配置對(duì)于當(dāng)前的使用也許足夠，但是隨著時(shí)間的推移你可能 需要做出更改

20、。下而將介紹與ip網(wǎng)絡(luò)相關(guān)的不同配置項(xiàng)，以及使用這些配置項(xiàng) 的文件和工具。1. 手動(dòng)修改配置文件手動(dòng)配置是最直接的方式，熟練的linux用戶在平時(shí)維護(hù)系統(tǒng)的時(shí)候更喜歡 使用手工配置，因?yàn)槭止づ渲糜泻芏鄡?yōu)點(diǎn)： 熟悉命令z后，手工配置更快速，并且不需要重新啟動(dòng)； 能夠使用配置命令的高級(jí)特性； 更容易維護(hù)配置文件，找出系統(tǒng)故障； 能更深刻地了解系統(tǒng)配置是如何進(jìn)行的。2. 使用linux命令雖然linux桌面應(yīng)用發(fā)展很快，但是命令在linux中依然有很強(qiáng)的生命力。 linux是一個(gè)由命令行組成的操作系統(tǒng)，其精髓在于命令行，無(wú)論圖形界面發(fā)展 到什么水平這個(gè)原理是不會(huì)變的。linux網(wǎng)絡(luò)設(shè)備操作命令包括i

21、fconfig、ip、 ping nctstat、route、ip、arp> hostname f口 etrpwatch。3. webminwebmin 在 networking 下的 network configuration 中提供了一組網(wǎng)絡(luò)配置 工具。你可以配置單獨(dú)的接口，并調(diào)整它們的當(dāng)前設(shè)置或已保存的設(shè)置。還可以 配置蚩也和網(wǎng)關(guān)、dns客戶端設(shè)置，以及木地主機(jī)地址。編輯好所有的配置之后， 可以單擊“apply configuration來(lái)應(yīng)用它們，不必重新啟動(dòng)系統(tǒng)。4 不同發(fā)行版本中的工具每個(gè)發(fā)行版木都有它自己用于配置網(wǎng)絡(luò)設(shè)置的工具。應(yīng)該參考特定發(fā)行版木 的文檔來(lái)確定要使用的工具

22、。每種工具都提供了與webmin工具基本相同的配置 選項(xiàng)。其中有些版本at能提供特定于該發(fā)行版本的選項(xiàng)。red hat linux 3/4使 用 system-config-network 工具（如圖 1-2 所示）,suse linux 使用 yast 工具（如 圖1-3所示）os 1-2 ?.rd hat linux 3 -使用 svstan-ccniis.nhv. crk 工具cv* 9 conig*crlr» yol/cmbe admbrmtlacro o«<m «mc ( wks70 p cwl：j mt4 w* mw iamdwim|mci| &

23、gt;mp*|rmvuiivcq 0*1 wh qmc:a . jx鬟家網(wǎng)g) i -3 suse lrnux 便用 yast05 1.2.3配置網(wǎng)絡(luò)接口1.網(wǎng)卡的選擇一般來(lái)說(shuō),2. 4版本以后的linux可以支持的網(wǎng)卡芯片組數(shù)量已經(jīng)很完備了， 包括著名廠商，如intel,以及使用廣泛的rcaltek. via等網(wǎng)卡芯片都已經(jīng)被 支持，所以使用者可以很輕松地設(shè)定好他們的網(wǎng)卡。但是由t linux發(fā)行版本眾 多（目前超過(guò)188個(gè)）,使用前最好先查看linux發(fā)行版本的文檔。以rhel 4.0 為例，這個(gè)設(shè)備列表在ethernet-howto文檔中。另外最直接的方法是杳看h錄 /lib/modul

24、es/ release/kernel/drivers/net,其中 release 是內(nèi)核版本,可以 使用命令“unamer”獲得,對(duì)于rhel 4.0內(nèi)核版本是2.6. 9-5elot-cnimg realnx.kc tun.jf*2139epko阿_5口:訂 kc 3ung«r. <c isrlook:pcascib225?.kc eloogxxgt.-*12clty.k*2332.kc 9ui9c0.ko naacxi.konerdxp kopppox k”112k kcforceieth e"vitoon. <c2139toc.kc-rcl,kcsurf

25、erj h：. joponez32. ko3 二x. 9elqj.ka xliakotgs.kovlrelesdacenic k»*k98iinankoour ko»ppp.eseri 二 ko sihc icor okearmjtii tc<pppee ke b3lz91 ?4ak2可以看封這個(gè)目錄列出所有l(wèi)inux內(nèi)協(xié)支持的剛絡(luò)設(shè)備動(dòng)程序.3趴3com. inte. '.也有一些是其他類型的設(shè)備.對(duì)于初學(xué)看應(yīng)當(dāng)盡 斗家網(wǎng)2. 檢査網(wǎng)卡是否加載驅(qū)動(dòng)硬件是操作系統(tǒng)最基本的功能，操作系統(tǒng)通過(guò)各種驅(qū)動(dòng)程序來(lái)駕馭硬件 設(shè)備，和windows系統(tǒng)不同,linux內(nèi)核目

26、前采用可加載的模塊化設(shè)計(jì)(lkms loadable kernel modules),就是將最基本的核心代碼編譯在內(nèi)核屮，網(wǎng)卡驅(qū)動(dòng) 程序是作為內(nèi)核模塊動(dòng)態(tài)加載的，可以使用命令“l(fā)smod”查看加載情況：“ isdsd*51ze±c_xcd54*41button42x2batterys9c13ac4s05wxd5c033jcev102412uhci hcd4m31065gehcihsd30917gsnd_*ia322uc243732s91 snd_via：2xx-3ndjpar._03349017acxindcore tulip9:?3450251 and*1 1-*via_rhinc

27、 all231132*_n-lcext31168093bl"125*1 ext3對(duì)每行而言，第一列是模塊名稱;第二列是模塊人小;第三列是調(diào)用數(shù)。調(diào)用 數(shù)后面的信息對(duì)每個(gè)模塊而言都有所不同。如果(unused)被列在某模塊的那行 屮，說(shuō)明該模塊當(dāng)前未被使用。如果(autoclean)被列在某模塊的那行屮，說(shuō)明 該模塊可以被rmmod-a命令口動(dòng)清除，當(dāng)這個(gè)命令被執(zhí)行后，所有自從上次被自 動(dòng)清除后未被使用的且標(biāo)記了 “autoclean”的模塊都會(huì)被卸載。從以上粗體字 符可以看到linux計(jì)算機(jī)屮兩塊網(wǎng)卡模塊tulip和via_rhine已經(jīng)加載。對(duì)應(yīng)的 網(wǎng)卡商業(yè)型號(hào)分別是：tulip

28、lite-on communications inc lne1ootx linksys etherfast 10/100ovia_rhine via vt6102rhine-ii常見主板集成網(wǎng)卡。如果沒(méi)有檢測(cè)到硬件，用便件檢測(cè)程序kuduz檢測(cè)網(wǎng)卡，它和windows中添 加新碩件功能差不多。kudzu程序是通過(guò)查看/usr/share/hwdata/1=|錄下的文件 識(shí)別各種硬件設(shè)備的。如果內(nèi)核支持該碩件，并月有該驅(qū)動(dòng)程序就可門動(dòng)裝載。 首先需耍說(shuō)明的是，linux下對(duì)網(wǎng)卡的支持往往是針對(duì)芯片的，所以對(duì)某些不是 很著名的網(wǎng)卡，需耍知道它的芯片型號(hào)以配置linux,比如top link網(wǎng)卡，就

29、 不存在linux的驅(qū)動(dòng)，但是因?yàn)樗cne2000兼容，所以把它當(dāng)做ne2000就可以 在linux t使用了。所以當(dāng)你有一塊網(wǎng)卡不能使用，在未找到linux的驅(qū)動(dòng)程序 之前，一定搞清楚這個(gè)網(wǎng)卡使用的是什么芯片，跟誰(shuí)兼容，比如3c509, ne2000 等。這樣的型號(hào)一般都在網(wǎng)卡上最大的一塊芯片上卬著，抄下來(lái)就是了。對(duì)于 isa接口的ne2000卡,首先需要將網(wǎng)卡設(shè)定為jumpless模式。目前很多網(wǎng)卡默 認(rèn)的都是pnp模式，這在windows下的確能減少很多麻煩，但是linux不支持， 所以linux下必須是jumpless模式。一般所有網(wǎng)卡都帶有驅(qū)動(dòng)盤和在dos下可 執(zhí)行的一個(gè)設(shè)定程序，用

30、該程序?qū)⒕W(wǎng)卡設(shè)為jumplesso對(duì)于pci網(wǎng)卡，可以使 用lspci命令來(lái)查看。在顯示的列表中找到ethernet controllern ,記下廠 商和型號(hào)，然后使用modprobe嘗試加載正確的模塊，比如modprobe 3c509o如 果出現(xiàn)錯(cuò)誤，說(shuō)明該模塊不存在。這時(shí)候你應(yīng)該找到正確的模塊并且重新編譯。如果你使用的是比較罕見的一些網(wǎng)卡，或者是linux核心支持不夠的網(wǎng)卡， 以致在安裝linux時(shí)無(wú)法檢測(cè)到網(wǎng)卡，那也不用擔(dān)心，我們可以使用較為簡(jiǎn)單的 核心模塊編譯來(lái)支持這塊網(wǎng)卡。下面以3c0m的3cr990-tx-97網(wǎng)卡為例(一款具 有空全特性的網(wǎng)卡)看看如何進(jìn)行模塊編譯。首先在其網(wǎng)站

31、 linuxdownload. htm">http:/ww. 3com com/infodcli/tools/nic/linuxdownlo ad. htm卜載適合你使用內(nèi)核版本的相關(guān)驅(qū)動(dòng)程序，這里以2. 4內(nèi)核為例。#wegt http:/www. 3com com/infodcli/tools/nic/3c990-l. 0. 0a. tar. gz另外在開始編譯核心模塊之前，因?yàn)轵?qū)動(dòng)程序需要配合核心來(lái)編譯，所以會(huì) 使用到kernel source或者是kernel header的數(shù)據(jù)，此外，也需要編譯器 (compiler)的幫助，因此，先確定你的linux系統(tǒng)當(dāng)中已經(jīng)存在

32、下列軟件： kernelsource、kernel、gcc> makeozxvf 3c990-l. 0. 0a. tar. gz# make此時(shí)會(huì)產(chǎn)生3c990. o驅(qū)動(dòng)模塊，然后使用命令復(fù)制到相應(yīng)位置，查看加載 是否正常。smodprobe 3c990#cp 3c990.o /iib/modules/2. 4. 20-8/kernel/drivers/net# depmod - a然后使用lsmod命令檢查加載情況，如果一切正常，可以讓系統(tǒng)啟動(dòng)時(shí)自 動(dòng)加載該模塊：#ech()ual i as etho 3c990” » /etc/modules, conf3為新網(wǎng)卡設(shè)定ip地

33、址linux網(wǎng)絡(luò)設(shè)備在配置時(shí)被賦予別名,該別名由一個(gè)描述性的縮略詞和一個(gè) 編號(hào)組成。某種類型的第一個(gè)設(shè)備的編號(hào)為0,其他設(shè)備依次被編號(hào)為1, 2, 3 等。但是網(wǎng)卡并不是作為裸設(shè)備出現(xiàn)在/dev目錄下，而是存在內(nèi)存中。etho、 cthl是以太網(wǎng)卡接口，它們用于大多數(shù)的以太網(wǎng)卡，包括許多并行端口以太網(wǎng) 卡。本節(jié)主要討論這類網(wǎng)卡。為linux以太網(wǎng)卡設(shè)定ip地址的方式非常靈活， 你可以選擇適合你工作情況的方法。(1) 使用ip或ifconfig命令ifconfig命令是最重要的linux網(wǎng)絡(luò)命令，它最主要的用途是設(shè)定、修改 網(wǎng)卡的tp地址：ttifconf i g etho 192. 168.

34、0. 2 netmask 255. 255. 255. 0在默認(rèn)情況下，ifconfig顯示活動(dòng)的網(wǎng)絡(luò)設(shè)備。給這個(gè)命令添加一個(gè)“-a” 開關(guān)就能看到所有設(shè)備。但是ifconfig命令設(shè)置完網(wǎng)絡(luò)設(shè)備的ip地址，當(dāng)系統(tǒng) 重新啟動(dòng)后設(shè)置會(huì)自動(dòng)失效，所以它主要用于網(wǎng)卡狀態(tài)調(diào)試。假設(shè)你要建立一個(gè) 臨時(shí)的網(wǎng)絡(luò)配置以供測(cè)試,你可以使用發(fā)行版本屮的丁具來(lái)編輯配置，但是需要 注意，在完成測(cè)試z后,將所有設(shè)置恢復(fù)回去。通過(guò)使用ifconfig命令，我們 無(wú)須影響已保存的設(shè)置，就能夠快速地配置網(wǎng)卡。ip命令是iproute2軟件包屮的一個(gè)強(qiáng)大的網(wǎng)絡(luò)配置t具，它能夠替代一些 傳統(tǒng)的網(wǎng)絡(luò)管理工具，例如ifconfig、

35、route等。現(xiàn)在，絕大多數(shù)linux發(fā)行版 和絕大多數(shù)unix都使用古老的arp、ifconfig和route命令。雖然這些工具能 夠工作，但它們?cè)趌inux2.2和更高版本的linux內(nèi)核上顯得有些落伍。使用 iproute2前，你應(yīng)該確認(rèn)己經(jīng)安裝了這個(gè)工具。這個(gè)包的名字在red hat linux 9. 0 叫做 “iproute2” , 也可以在 ftp:/ftp. int. ac. ru/ip-routing/下載源代 碼安裝。在以太網(wǎng)接口 etho上增加一個(gè)地址10. 0. 0. 1,掩碼長(zhǎng)度為24位，標(biāo)準(zhǔn)廣 播地址,標(biāo)簽為etho:alias： ”#ip addr add 10.

36、 0.0.1/24 brd + dev etho label ctho:alias(2) 使用nctconf ig命令netconfig命令口j以設(shè)置網(wǎng)絡(luò)設(shè)備的tp地址，netconfig命令口j以永久保存 設(shè)置。使用方法是：unetconfig ethxv。使用命令“netconfig elho”后，會(huì) 在命令行下彈出一個(gè)對(duì)話框，這時(shí)即可進(jìn)行設(shè)定，如圖1-4所示。一1 ”jip k<mtui t.2*s,4».圖1-4 netconfig配置界面設(shè)定結(jié)朿后，用“tab”鍵選擇“ok”，即可保存設(shè)置并且退出，然后使用 命令"service network restar

37、tn 激活，即可生效。(3) 使用neat命令使用neat命令需要配置好x window系統(tǒng)，在命令行下運(yùn)行neat命令后, 添加ip地址和其他相關(guān)參數(shù)后保存設(shè)置，重新啟動(dòng)網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)或計(jì)算機(jī), 如圖1-5所示。>dil|0 fl hew則歎話設(shè)歓山0 乂許所“用戶口用10：訓(xùn)浹設(shè)企必oip 加 izaft川i | 山 i |® »4>qhw ipr i:«28 it mutft專獗網(wǎng)亠 .c1ocx>.c<xn cn® 1-5e）形界曲忝加:p地址j圖1-5圖形界面添加ip地址另外，neat命令還有一個(gè)等價(jià)命令“redhat-

38、config-networkv ,二者完全 相同。neat和redhat-config- config命令可以永久保存設(shè)置。(4) 修改tcp/ip網(wǎng)絡(luò)配置文件除非另行指定，red hat linux網(wǎng)卡相關(guān)的tcp/ip網(wǎng)絡(luò)配置文件是 /etc/sysconfig/network-scripts/ ifcfg-ethx,其中 x 從 0 開始，第一個(gè)以太 網(wǎng)配置文件即/etc/sysconf ig/nctwork-scripts/ifcfg-cthoovi 編輯器可以修改這個(gè)文件，也可以修改網(wǎng)卡ip地址。二£vzc£=eth：okbcot«yes bootfro

39、to-static:權(quán)2 255.255.0ewc 松亠：h :br0a2cast-121-2553atl0ay-設(shè)定冋卡的名稱，要跟文件名稱對(duì)應(yīng)是否在開機(jī)的時(shí)候啟動(dòng)酥|工專家網(wǎng)c啟動(dòng)的呼if墓刪卿，這里«固定的創(chuàng)果是動(dòng)態(tài)主機(jī)的心奧改成負(fù)壬 /irhlilt /子瞰瑪“該網(wǎng)段的第一個(gè)二卩靈后一個(gè)同網(wǎng)段的廠猶地址，/網(wǎng)關(guān)地址存盤后使用命令"service network restartv激活即可生效。該方法同樣可以永久保存設(shè)置。(5) 為網(wǎng)卡添加ipv6地址和windows操作系統(tǒng)相比，linux對(duì)ipv6的支持更好，最早的支持ipv6的 linux內(nèi)核是

40、2. 2o 一般基于2. 4內(nèi)核的linux發(fā)行版本都可以直接使用ipv6, 使用前要看系統(tǒng)的ipv6模塊是否被加載，如果沒(méi)有被加載可以使用命令手工加 載，這需要超級(jí)用戶的權(quán)限。然后使用命令檢測(cè)，如果顯示ipv6地址(inet6 addr： fe80: : 200: e8ff: feao: 2586/64),證明 ipv6 已經(jīng)加載。# modprobe ipv6;#ifconfig - a如果希望linux系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載ipv6模塊，可以在配置文件 /etc/modules. conf 屮加入一行：alias net?pf?10 ipv6 # automatically load ipv

41、6 module on demand4. 調(diào)整網(wǎng)卡工作模式現(xiàn)在的網(wǎng)卡大多是自適應(yīng)工作模式，在配置網(wǎng)卡參數(shù)時(shí)，我們很少考慮它的 工作模式，有時(shí)發(fā)現(xiàn)一些網(wǎng)卡模塊已經(jīng)加載，但是在某些模式工作不穩(wěn)定。如一 塊xxx品牌的雜牌rtl-8139c芯片10/100自適應(yīng)網(wǎng)卡，在100m全雙工狀態(tài)下極 其不穩(wěn)定(在qcheck的tcp和udp的測(cè)試過(guò)程中，數(shù)據(jù)包遺失率9. 12%)。在linux 環(huán)境下，我們可以使用系統(tǒng)自帶的工具mii-tool命令來(lái)配置網(wǎng)卡工作模式。顯 示linux服務(wù)器網(wǎng)卡支持的所有以太網(wǎng)卡類型,使用命令：# mi i-tool -vetho: negotiated 100basetx-

42、fd, link okproduct info: vendor 00:00:00, model 0 rev 0basic mode: autonegotiation enabledbasic status: autonegotiation complete, link okcapabilities: 100basetx-fd 100basetx-hd 10baset-fd 10baset-hdadvertising: 100basetx-fd 100basetx-hd 10baset-fd 10baset-hdlink partner: 100basetx-fd 100basetx-hd 10baset-fd 10baset-hd從以上信息中可以看出，這塊網(wǎng)卡工作在100m全雙工自適應(yīng)模式下， “l(fā)oobasetx-fd”表示100m full duplexo這里可以強(qiáng)制網(wǎng)卡工作在100m半雙 工模式下，輸入命令：#mii-tool - f 100basetx-hd etho然后恢復(fù)網(wǎng)卡的自適應(yīng)工作模式，輸入命令:#mi i一tool - r etho另外，在路曲器、交換機(jī)、代理服務(wù)器等通信量比較大的關(guān)鍵設(shè)備上,應(yīng)該 為它指定正確的工作模式，這樣可以提高通信效率。5. dhcp客戶端的網(wǎng)