资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,9,章 网络应用及管理,主要内容,网络配置,网络文件系统,NFS,的基本功能,Linux,环境下,FTP,和邮件服务器的使用,Linux,系统网络管理的基本方法,Linux,系统网络安全问题及对策,9.1,配 置 网 络,9.1.1,配置调制解调器,单击 控制面板,调制解调器,打开,“网络设备配置”对话框,Linux,环境下,要实现拨号上网,首先要安装调制解调器的驱动程序,1,2,系统检测到当前支持的调制解调器,“调制解调器管理”对话框,系统所支持的全部调制解调器信息,选中刚才检测到的调制解调器,双击“拨号程序”,,打开“创建新连接”对话框,选择“连接向导”,“创建新连接”对话框,然后建立拨号连接:,连接建立完成之后,重新开机,双击系统主窗口中的“拨号程序”图标,即可拨号上网。,9.1.2,配置网卡,配置网络参数,如果是通过局域网连入,internet,,则按照下列步骤对网卡进行配置:,选择 控制面板,-,网络,“网卡配置”对话框,1,9.1.3,网络互连,1,局域网互连,2,局域网与广域网互连,3,局域网与城域网互连,网络互连可以在不同的层次上实现,分为,物理层互连(通常采用中继器,以比特形式传送信息分组)、,数据链路层互连(采用桥接器或介质访问控制桥接器,按帧接收或传送信息)、,网络层互连(已在广域网中广为采用,其中各子网可具有不同的协议机制),高层互连(传送服务是一类端对端服务,应用层网关可以提供交互式终端服务和电子邮件服务)。,9.1.4,基本网络命令,1,ping,命令,确定网络上的主机是否可到达和到达速率。一般格式为:,ping ,选项,IP,地址,/,主机名,2,telnet,命令,是,Linux,下的远程登录工具。,telnet,命令的基本格式是:,telnet ,选项,IP,地址,/,主机名,3,ftp,命令,利用,ftp,命令能在本地机和远程机之间传送文件。基本格式如下:,ftp ,选项,IP,地址,/,主机名,9.3,网络文件系统,NFS9.3.1 NFS,简介,NFS,的全称是,Network Files System,,网络文件系统,是一种在网络上的机器间共享文件的方法,文件就如同位于客户的本地硬盘驱动器上一样。,Linux,系统既可以是,NFS,服务器也可以是,NFS,客户,这意味着它可以把文件系统导出给其它系统,也可以挂载从其它机器上导入的文件系统。,NFS,是一种基于,TCP/IP,,专门负责文件操作的应用层软件,采取客户,-,服务器结构。,9.3.2 NFS,的配置及使用,使用,NFS,之前要进行两部分配置:服务器端和客户端,NFS,服务器的配置步骤如下:,1.,在,/etc/exports,文件中配置,NFS,服务器上要导出的文件系统或目录。,/etc/exports,内容语法如下:,Directory-to-export NFS-,client(permission,),2.,启动,NFS,服务。,使用命令,nfs,start,激活,NFS,服务。,【,例,】,将,NFS,文件服务器,flute,中的,/home/book,和,/pub/data,两个目录作为文件系统导出,允许网络中主机,tiger,和,ox,分别以读写和只读的方式访问,则:,1,、以超级用户,root,登陆,,2,、使用文本编辑器,vi,在,/etc/exports,文件中增加以下两行:,3,、然后在命令提示符下执行下述命令,使上述配置文件生效。,4,、完成,NFS,服务器的配置后,需要重新启动,NFS,。,/home/book,tiger(rw,),ox(rw,),/put/data,tiger(ro,),ox(ro,),exportfs,-a,此外,还可以使用,NFS,服务器配置工具来配置,NFS,服务器。,在,X Window,的环境下使用,NFS,服务器配置工具,并要具备,root,用户的特权,且安装了,redhat-config-nfs,RPM,软件包。要启动服务器配置工具,可以有以下两种方式:,(,1,)依次单击面板上的“主菜单 系统设置 服务器设置,NFS,服务器”,(,2,)在终端提示符下键入,redhat-config-nfs,命令,NFS,服务器配置工具,文件传输协议服务器(,FTP,),1.FTP,协议概述,FTP,是,TCP/IP,的一种具体应用,,FTP,工作在,OSI,模型的第七层,,TCP,模型的第四层上,即应用层,,FTP,使用的是传输层的,TCP,传输而不是,UDP,,,这样,FTP,客户在和服务器建立连接前就要经过一个被广为熟知的,“,三次握手,”,的过程,其意义在于客户与服务器之间的连接是可靠的,为数据的传输提供了可靠的保证。,什么是,FTP,协议,FTP,是,TCP/IP,协议族中的一个协议,是英文,File Transfer Protocol,的缩写。,该协议定义的是一个在远程计算机系统和本地计算机系统之间传输文件的一个标准,是,Internet,文件传送的基础。,FTP,的基本工作原理,(,1,)打开熟知端口(端口号为,21,),使客户进程能连接上;,(,2,)等待客户进程发起连接建立请求;,(,3,)启动从属进程来处理客户进程发来的请求。从属进程对客户进程的请求处理完毕后即终止,但从属进程在运行期间根据需要还可能创建其他一些子进程。,(,4,)回到等待状态,继续接受其他客户进程发来的请求。主进程与从属进程的处理是并发地进行。,Linux,环境下,FTP,服务器的启动与配置,1,、,FTP,服务器的安装与启动,在进行,DNS,服务器配置之前,首先要检查系统中是否安装了,BIND,域名服务器,检查的方法可使用下面的命令:,$rpm,qa,|,grep,vsftpd,2,、可使用下面的命令来进行,BIND,域名服务器的启动和停止。,$service,vsftpd,start,$service,vsftpd,stop,$service,vsftpd,restart,下面的命令是用来检查,vsftpd,是否被启动:,$,pstree,|,grep,vsftpd,修改,vsftpd,的默认配置,具体的步骤如下:,(,1,)修改,/etc/,vsftpd/vsftpd.conf,配置文件,激活以下两项,即在原文件以下两行前的,“,”,去掉。,anon_upload_enable,=YES,/,允许匿名用户上传,anon_mkdir_write_enable,=YES,/,允许匿名用户创建新目录,修改,vsftpd,的默认配置,(,2,)在原配置文件中添加下面一行,目的是开放匿名用户的浏览权限。,anon_world_readable_only,=NO,如果允许匿名用户对服务器上的文件或文件夹有更名或删除操作的权限,还需在配置文件中添加下面一行:,anon_other_write_enable,=YES,修改完配置文件并存盘后,使用下面的命令重新启动,vsftpd,服务。,service,vsftpd,restart,FTP,客户端的常用命令,1.,与某个,FTP,服务器建立连接,2.,列出,FTP,服务器上的目录,:,在提示符,“,ftp,”,下,执行,“,ls,”,或,“,dir,”,命令后,屏幕会显示当前目录下的文件或子目录。,显示格式与,Linux,命令提示行所显示的某个目录文件方式完全相同。,3.,改变当前目录,在提示符,“,ftp,”,下,执行,“,cd,”,或,“,pwd,”,命令,可以查看当前目录;,执行,“,cd,.,”,命令可以进入上一级目录;执行,“,cd,子目录名,”,命令,可以进入子目录,,例如,输入,“,cd,mail,”,,,表示进入当前目录下的,“,mail,”,子目录。,4.,一般文件传送,(,1,)下载单个文件,get,命令能从远程计算机上下载一个文件,,其命令格式如下:,get,源文件名目标文件名,(,2,)下载多个文件,mget,命令是从远程计算机取多个文件。命令格式为:,mget,源文件列表,(,3,)上传单个文件,将本地计算机的文件传送到远程计算机上,其命令格式为:,put,源文件名目标文件名,(,4,)上传多个文件,mput,命令可以将本地计算机的多个文件一起送到远程主机。其命令格式为:,mput,文件名列表,FTP,客户端软件的配置方法,1.Windows,系统下的,FTP,客户端软件的配置方法,2.,Linux,系统下的,FTP,客户端软件的配置方法,Linux,环境下邮件服务器的使用,1.,安装,Sendmail,在,Red Hat Linux 9,的安装光盘中提供了,Sendmail,的,RPM,包,其内容包括:,sendmail,:,sendmail,服务器,sendmail-cf,:与,sendmail,服务器配置相关的文件和程序,sendmail,-doc,:,sendmail,服务器的文档,当不能确定在,Red Hat Linux 9,中是否安装了,sendmail,服务器时,可使用下面的命令来进行测试:,rpm,qa,|,grep,sendmail,启动,Sendmail,在,Linux,操作系统中邮件客户端的设置方法,在,Red Hat Linux 9,系统中邮件客户端可以采用以下三种方式:,Evolution,程序;,Mozilla,Mail,程序;,基于文本的电子邮件客户,9.4,网 络 管 理,9.4.1,网络管理简介,网络管理是对网络设备以及应用加以规划、监控和管理,并跟踪、记录、分析网络的异常情况,使网络人员能及时处理问题。网络管理具备以下几大功能。,1,、配置管理,配置管理是指网络中应有或实际有多少设备,每个设备的功能及其连接关系、工作参数等。,2,、故障管理,故障管理是指管理功能中的监测设备故障以及故障设备恢复或故障排除等措施有关的网络管理功能,其目的是保证网络能够提供连接和可靠的服务。,3,、性能管理,性能管理包括从管理设备中收集与网络性能有关的数据,分析和同级历史数据,建立性能分析模型,预测网络性能的长期趋势,并根据分析和预测结果对网络拓扑结构和参数进行调整。,4,、计费管理,对于公用网来说,用户必须为使用网络的服务而缴费,网络管理系统则需要对用户使用网络资源进行记录并核算费用,然而通过一定的渠道收取费用。,5,、安全管理,安全管理涉及的问题包括保证网络管理工作可靠性尽心甘泉问题和保护网络用户及网罗管理对象问题。,9.5,网 络 安 全,9.5.1,网络安全简介,网络安全从其本质上来讲就是网络上的信息安全,其所涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。下面给出网络安全的一个通用定义:,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。,网络安全的含义,因此,网络安全在不同的环境和应用中会得到不同的解释。,(,1,)运行系统安全,,即保证信息处理和传输系统的安全。包括计算机系统机房环境的保护,计算机结构设计上的安全性考虑,硬件系统的可靠安全运行,计算机操作系统和应用软件的安全,数据库系统的安全,电磁信息泄露的防护等。它侧重于保证系统正常的运行,避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失,避免由与电磁泄漏,产生信息泄露,干扰他人,本质上是保护系统的合法操作和正常运行。,(,2,)网络上系统信息的安全。,包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。,(,3,)网络上信息传播的安全,即信息传播后的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用通信网络上大量自由传输的信息失控。它本质上是维护道德、法律或国家利益。,(,4,)网络上信息内容的安全,即讨论的狭义的,“,信息安全,”,。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等有损于合法用户的行为。它本质上是保护用户的利益和隐私。,计算机网络安全的含义是,通过各种计算机、网络、密码技术和信息安全技术,保护在公用通信网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播及内容具有控制能力。,网络安全的结构层次包括:物理安全、安全控制和安全服务。,可见,计算机网络安全主要是,从保护网络用户的角度来进行的,是针对攻击和破译等人为因素所造成的对网络安全的威胁。而不涉及网络可靠性、信息的可控性、可用性和互操作性等领域。,国际标准化组织,ISO,对开放系统互连(,OSI,)的安全体系结构制定了基本参考模型(,ISO 7498-2,)。目前根据该模型所建立的主要的安全机制如下:,1,身份鉴别,2,访问控制,基本任务是防止非法用户进入系统及防止合法用户对系统资源的非法使用。,3,数据加密,4,数据完整性,保护数据完整性是指通过一定的机制如加入消息摘要等,以发现信息是否被非法修改,避免用户或主机被伪信息欺骗。,5,数字签名,数字签名是通过一定的机制如,RSA,公钥加密算法等,使信息接收方能够做出,“,该信息是来自某一数据源且只可能来自该数据源,”,的判断。,6,防重发,7,审计机制,9.5.2 Linux,安全问题及对策,随着,Internet,Intranet,网络的日益普及,采用,Linux,网络操作系统作为服务器的用户也越来越多,,一方面是因为,Linux,是开放源代码的免费正版软件,,另一方面也是因为较之微软的,Windows NT,网络操作系统而言,,Linux,系统具有更好的稳定性、效率性和安全性。,在,Internet,Intranet,的大量应用中,网络本身的安全面临着重大的挑战,随之而来的信息安全问题也日益突出。全球平均每,20,秒钟就发生一起,Internet,计算机黑客侵入事件。一般认为,计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒,2,个方面。,由于网络操作系统是用于管理计算机网络中的各种软硬件资源,实现资源共享,并为整个网络中的用户提供服务,保证网络系统正常运行的一种系统软件。如何确保网络操作系统的安全,是网络安全的根本所在。只有网络操作系统安全可靠,才能保证整个网络的安全。,因此,详细分析,Linux,系统的安全机制,找出可能存在的安全隐患,给出相应的安全策略和保护措施是十分必要的。,那么黑客攻击为什么能够经常得逞呢?,主要原因是很多人,尤其是很多网络管理员没有起码的网络安全防范意识,没有针对所用的网络操作系统,采取有效的安全策略和安全机制,给黑客以可乘之机。,通常,对,Linux,系统的安全设定包括:,1,、取消不必要的服务,目前版本的,linux,系统使用统一的,/etc/,inetd,服务器程序,通过后台运行的方式,监听多个网络端口,一旦接收到外界传来的连接信息,则执行相应的,TCP/UDP,网络服务。,并且,大部分的,TCP/UDP,网络服务是在,/etc/,inetd.conf,文件中设定的,因此,取消不必要服务的第一步就是检查,inetd.conf,文件,在不必要服务项之前加,#,一般来说,除了,HTTP,SMTP,TELNET,FTP,之外,其他服务都应取消。,一些记录系统状态的服务,虽然对系统检查和寻找用户比较有用,但同时也给黑客提供了方便之门,例如:黑客可以利用,finger,服务查找用户的电话、使用目录等重要信息。,2,、密码安全,3,、保持最新的系统核心,4,、检查登陆密码,Crack,密码破解程序,用户可以自己执行该程序,看所选密码是否容易被黑客破解。,5,、设定用户账号的安全等级,将不同的用户归入不同用户组,对很久未使用过的账号及时删除,6,、消除黑客犯罪的温床,Linux,系统中,有一组,r,开头的公用程序,运行用户在不需要提供密码的情况下,进入对方系统,执行远程操作。,该命令在为合法用户提供方便之时,也为系统带来了潜在的安全问题,常被黑客作为入侵的途径。,Linux,系统中,使用,r,命令必须首先设置,/etc/,hosts.equiv,和,$HOME/.,rhosts,文件,所以,正确设置这两个文件,是安全使用,r,命令的前提。,/etc/,hosts.equiv,文件,$HOME/.,rhosts,文件,存放“可信”主机列表,如果本地主机,A,的列表中包括某台远程主机,B,的名字,那么,B,上的所有账号和,A,上除,root,之外的所有用户,都可以使用,r,命令访问和操作本地主机上的同名账号,而不需要输入账号密码,从而造成很大的安全漏洞。,存放“可信”用户列表,如果该文件中加入某个远程主机名,B,和账号,M,,则在,B,上以账号,M,登录的用户,都可以使用,r,命令,直接访问和操纵本地主机上的账号。,如果这两个文件设置不正确,则用户就不能使用,r,命令访问远程主机和帐户。,黑客入侵某个,linux,系统之后,通常做的一件事情就是修改用户起始目录,$HOME,下的,.,rhosts,文件,以便日后再次进入系统。因此,当怀疑自己的,linux,系统被黑客闯入时,建议用户马上查看自己的,$HOME/.,rhosts,文件,检查最后一次修改日期和内容。,7,、限制用户对系统网络地址的访问,例如:,TCP_Wrappers,软件,可以实现对,IP,地址的访问限制。对请求本地系统提供,TELNET,FTP,等服务的远程主机的,IP,地址进行控制,如:只允许局域网内部某些机器可以执行该操作。,8,、限制超级用户账号和密码,10,、安全检查,(,1,)检查账号安全,系统管理员应定期检查系统中的所有账号,特别注意一些在非正常工作时间登陆的用户和执行的命令。,/,var/log/lastlog,文件,记录系统中每个用户最后一次登录的时间。一般人们都记得最后一次登陆时间,因此,通过这种方式可以发现账号是否被盗用。,还可以使用,who,命令查看当前登录的用户信息,使用,last,命令查看每个用户的登录时间与注销时间。,(,2,)网络应用安全,(,3,)简单的系统监视命令,如:,ps,命令查看当前运行的进程状态,,定期用,ls,命令查看系统目录,此时应使用,-a,选项,这样就可以检查以“,.”,开头的文件。,9.5.3,网络安全工具,1,TCP_Wrappers,访问控制,通过,IP,地址来控制对服务器所提供服务的访问。,2,网络安全扫描工具,(,1,),ISS,公司的安全扫描器,(,2,),CyberCop,扫描器,(,3,),SATAN,工具,(,4,),Nmap,端口扫描工具,
展开阅读全文