Config HOWTO 系統設置 (1)
2024-07-26 00:30:58
供稿:網友
作者:Guido Gonzato, guido ``at'' ibogeo.df.unibo.it
(譯者:趙平望 tchao@worldnet.att.net)
v1.3.7���, 1999年9月6日翻譯日期:2000年1月1日
--------------------------------------------------------------------------------
編寫本文的目的是要使您能更快���、更容易地調試剛安裝好的 linux 系統���。文內附有一些最常用的應用軟件的設置辦法���。
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
1. 導言
1.1 為什麼要編寫這份 HOWTO
我在許多 PC 上都安裝過 Linux 系統,發現目前流行的各種 Linux 版本都相當不錯,但感到不便的是缺少一些基本設置文檔���。多數應用軟件在安裝後都可立即使用,但有些軟件卻不行���。我還注意到同樣的問題在 c.o.l.setup 上一再重復出現���。為了彌補這種缺憾���,并為了我個人方便,我作了一些筆記���,後來加以修改潤色,終於成為這份 HOWTO���。文內附有設置最常用的一些應用軟件和程式的訣竅和實例���,這應能節省您不少時間和精力。
文中所列的一些實例有時取決于使用何種 Linux 版本���。目前我只有安裝 Red Hat 5.2 的 Linux 系統���,內核是 2.0.36;因此如果您的 Linux 是其他版本�����,那就別把我提供的訣竅視為金科玉律�����。不過���,把我提供的辦法略作修改��,改用于其他版本��,倒也并非難事��。這份 HOWTO 不能代替其他 HOWTO���,而且它也無意替代其他 HOWTO ���。翻閱相關文件和其他 HOWTO 都會使人獲益匪淺���,因此如果您想進一步了解這套系統��,就必需勤于查找翻閱���。此外���,也不要想在這里占便宜:如果您知道對某方面不了解���,就請查找相關的 HOWTO ���。再次提醒:Usenet 的 news:comp.os.linux.setup是尋求 Linux 配置方面的協助的最好地點。我的工作十分繁忙���,務請不要找我解決配置方面的問題���。
這份文件以及一些翻譯正式存放在 http://metalab.unc.edu/mdw/HOWTO���。在這個網址也可找到我提到的所有其他 HOWTO 。本文的最新版本存放在 http://ibogeo.df.unibo.it/guido/Configuration
1.2 我們將作何種配置
PC的硬件配置種類繁多���,但依我的經驗,有一種配置十分普遍���,即裝有一個劃分為三個分割區(一個DOS/Windows區���、一個 Linux 區和一個交換(swap partition)區)的大容量硬盤���、音效卡���、數據機���、光盤機、打印機和滑鼠的 PC���。目前,許多 PC 還安裝了平行埠的 Zip 磁碟機�����。這樣設定的 PC 極可能是 Windows-Linux 搭配組成的網絡系統的一部分���,一般作為服務器之用。
我假定這些設備是您要設置的硬件��,不過將設置這些設備的辦法轉用于不同的硬件也非難事。此外���,我還假定您在編輯調試硬件時,具有root的權限��。
好吧!現在就讓我們卷起袖子來干吧���!
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
2. 一般系統設定
2.1 安全問題
在開始啟動系統之前,首先應該決定要采用何種級別的安全規□���。在作出這項決定之前��,不要將電腦與網絡連接���。電腦安全是極其重要的問題,但它不屬於這份 HOWTO 的討論□圍���。不過���,要了解電腦的安全問題可從兩方面著手:“ Linux 安全管理員手冊”( Linux Security Administrator's Guide) http://www.seifried.org/lasg 和“ Linux 安全手冊”( Linux Security Guide) http://nic.com/ (譯注:此處英文原文有漏) 下列步驟:使用Shadow passWord(Shadow Password HOWTO )限制網路進入機器(Section 限制網路進入Restricting Network access)���、使用 Secure Shell ( http://www.cs.hut.fi/ssh/) 或使用 Secure Remote Password ( http://srp.stanford.edu/srp/)���。祝您好運���。
2.2 工作日志
要保證安裝順利���,必須確切知道機器里安裝了什麼�����,何時作了修改��,何時作了清除���。因此���,在動手之前���,首先應該建立一本“工作日志”,紀錄作為 root 的一切舉動���;在我的工作日志中,有一節專門紀錄所有改動的系統文檔���、增加的 .rpms 和安裝的 .tar.gz���。理論上,往回追溯以往的任何改變���,應該可以回復到最初原始的安裝狀態。
千萬記住���,在改動任何系統文件之前,制作備份���。更理想的是用 RCS���;這樣就能追蹤以往的所有改變���。作為 root���,決不可隨意改動系統而不加紀錄。
2.3 鍵盤
如在安裝時遺漏了這一步驟���,或改用了他種鍵盤���,則需要:
從/usr/lib/kbd/keymaps/中選取適當的鍵盤表���;例如,it.map 就代表義大利鍵盤���;
編輯/etc/sysconfig/keyboard文檔,使其讀?��。篕EYTABLE="it";
設定鍵盤的重復率和延遲時間���,將以下內容加附到 /etc/rc.d/rc.sysinit (Red Hat) 或 /etc/rc.d/rc.boot (Caldera) 或 /etc/rc.d/boot (S.u.S.E.):
/sbin/kbdrate -s -r 16 -d 500 # or whatever you like --或其他設定的數值
要載入鍵盤表,使用/etc/rc.d/init.d/keytable start指令���。其他特殊鍵位將在以下各節再作說明。
要在開機時自動設定 NumLock,則在/etc/rc.d/rc.sysinit中加入以下內容:
for tty in /dev/tty[1-9]*; do
setleds -D +num < $tty
done
2.4 啟動和援救軟片
為剛安裝好的系統,應該制作兩���、三張啟動軟片���,以備不時之需���。您使用的 Linux 版本可能已經包括了制作這種軟片的指令,否則可用下列指令:
#
#
(譯注:作者似乎忘了填入指令)
此外,至少也要制作幾片援救軟片���。在 ftp://metalab.unc.edu/pub/Linux/system/recovery可找到各種援救軟片;如果您不知道選用哪一種���,我建議您試試 Tomsbtrt���。
2.5 內核
IMHO,其次首先要做的工作是編制最適合您的系統的內核���。編制工作并不困難���,但無論如何都先看一看/usr/src/Linux/內的README檔或內核 HOWTO (Kernel HOWTO )。注意事項:
仔細想清楚需要電腦完成何種工作。一次選定內核���,同時作出必要的修補(patch)���,遠比每月作一次設置或編譯一次內核來得省事;如果把 Linux 作為伺服器使用���,尤應如此。不要忘記把未來可能會增加的硬件(例如���,SCSI�����、Zip和網路卡等)都先編制在內核內;通常利用模組是最好的辦法�����;
如果你的電腦用 Cyrix 芯片���,而內核對它的支持不足��,則應作出必要修補��,以便提高電腦性能�����。有關資料見: http://www.Linuxhq.com/patch/20-p0591.html;
使用筆記型電腦的用戶應改進屏幕的視覺效果���。我曾經建議修補內核,但SVGATextMode (見 SVGATextMode一節)可能是最理想的解決辦法�����。不論采用何種辦法���,在 http://www.Linuxhq.com/patch/20-p0239.html可以找到大型游標的內核修補軟件���。
此外���,不要將筆記型電腦串行 PCMCIA modem/fax 卡作為模組編譯���;將其作為內核的一部分編譯,否則,PCMCIA modem 就無法運作���;
如果使用 PCMCIA 卡���,記住務必編譯這些模組���;此外,如果使用 PCMCIA 網路卡�����,不要忘記修改/etc/pcmcia/network.opts;
如果屏幕顯示來自modPRobe的信息���,指出不能確定某些模組的位置���,這表示需要修改/etc/conf.modules���。例如�����,如果不使用ipx和appletalk模組���,則增加下列兩行:
alias net-pf-4 off
alias net-pf-5 off
為了節省下次配置和編譯內核的時間,不妨將配置設定作為一個文檔妥善保存���。注意:如果內核升級���,則這個配置設定檔必然無用���,因為它沒有包含新內核的各種要素���。
2.6 Sendmail停機
有些系統的sendmail會使機器在啟動時停頓兩���、三分鐘���。原因有二:(1)機器沒有與網際網路直接連接���;(2)直接連接網際網路,并有永久的IP地址���。
立即解決第一種問題的辦法是確定/etc/hosts內有下列一行:
127.0.0.1 localhost
造成停頓的第二種原因是往往在/etc/hosts內有內容如下的一行:
127.0.0.1 localhost your_host_name
可將其分成以下兩行:
127.0.0.1 localhost
w.x.y.z your_host_name
同時請參考 Hostname一節
2.7 硬盤性能
如果謹慎使用 hdparm(8)就會大大提高 (E)IDE 硬盤的性能���。假設使用的 Linux 中沒有包含這個軟件���,可從 ftp://metalab.unc.edu/pub/Linux/system/hardware查找;設法在這個網址上找一個稱為hdparm-X.Y.tar.gz的軟件���。
由于使用這個軟件的細節取決于硬盤的種類和控制程序,因此在此無法提出通則��。使用不當,可能會損及文檔系統���,因此使用之前���,務必詳細閱讀 man 說明��。以最簡單的例子而言�����,在/etc/rc.d/rc.sysinit內可增加一行���,內容如下:
/sbin/hdparm -c1 /dev/hda # -- 假定為第一個 IDE 硬盤
這行提供了 (E)IDE 32-bit I/O 的支持。關於 -m 選項�����,hdparm的作者 Mark Lord 告訴我:
(...) 如果系統內的組件是前幾年的產品 [< 1997]���,一般都沒有問題���。如果是老舊的設備���,可能不行(但也許沒問題)。真正發生問題的是 2 - 3 年前在 486 和 (早期)586 母板上廣泛使用的 CMD0646 和 RZ1000 這兩種晶片。
下列設置應可使用于最近的電腦:
/sbin/hdparm -c1 -A1 -m16 -d1 /dev/hda
2.8 并聯埠 Zip 磁碟機
利用最近內核(2.x.x)所帶的驅動程序就可使用并聯埠的 Zip 磁碟機���。在設置內核時,務必加裝使用 SCSI 和 SCSI 磁盤的功能。注意:打印機和 Zip 磁碟機共用并聯埠時可能會發生沖突���,因此最好使用內核模組設置。在 http://www.torque.net/ 上還有一個代用的 ppa 驅動程序���。
Zip 磁片出售時已經格式化���,其分割為 /dev/sda4���。在設定 Zip 磁碟機時,在 /etc/rc.d/rc.sysinit 檔中加附下列內容:
# Enable the Zip drive -- 設定 Zip 磁碟機
/sbin/modprobe ppa
Zip 磁片可在/etc/fstab中加列以下內容或通過 Mtools 在/etc/mtools.conf中增加下列內容加載:
drive z: file="/dev/sda4" exclusive
此外��,mzip指令也可用于彈出、查詢機況���、讀寫和附加密碼于 Zip 磁片��;詳情請查閱man mzip���。 Mtools 的網址在 http:// Linux .wauug.org/pub/knaff/mtools���。
2.9 設備驅動程序
列在/dev中(或連接到實際設備驅動程序)的設備可能并不確切���。檢查滑鼠、數據機和光碟驅動程序對應的設備為何���,然後作出下列設定:
/dev# ln -s ttyS0 mouse; ln -s ttyS1 modem; ln -s hdb cdrom; ln -s sda4 zip
在多數筆記本電腦上���,鼠標的設置是/dev/psaux:在設置 X11 時應將此列入考慮��。
不妨將這些設置都通過 chmod 666 改變屬性,使所有使用者均可使用這些設備���。
2.10 聲卡
我只有一張舊聲卡 Sound Blaster 16���;即使您的聲卡與我的不同,不過下列方法也可引導您如何設置聲卡���。
我將聲卡的驅動程序作為模組(sb.o)編入內核���。然後將下列內容列入/etc/conf.modules:
options sb io=0x220 irq=5 dma=1 dma16=5 mpu_io=0x330
alias sound sb
要啟動聲卡,首先運行modprobe sound���,或者使用 RedHat 的工具sndconfig。
2.11 登錄信息
如要自設登錄信息�����,首先檢查/etc/rc.d/rc.local是否覆蓋/etc/issue和/etc/motd的內容���。(RedHat 覆蓋內容)如屬肯定���,請打開文本編輯器。
如要使登錄信息帶有顏色�����,可在rc.local中列入下列內容:
# put a real escape character instead of ^[. To do this:
# emacs: ^Q ESC vi: ^V ESC joe: ` 0 2 7 jed: ` ESC
ESC="^[" # a real escape character
BLUE="$ESC[44;37m"
NORMAL="$ESC[40;37m"
CLEAR="$ESC[H$ESC[J"
> /etc/issue
echo "$CLEAR" >> /etc/issue
echo "$BLUE Welcome to MyServer (192.168.1.1) " >> /etc/issue
echo "$NORMAL " >> /etc/issue
echo "" >> /etc/issue
2.12 主機名稱
只運行hostname new_host_name指令也許不夠���。要解決sendmail死機的問題���,可采用下列步驟(只適用于單機):
編輯/etc/sysconfig/network和改變其中的主機名稱(例如new_host_name.localdomain)���;
相應地編輯/etc/HOSTNAME���;
將新機名編入/etc/hosts���;
127.0.0.1 localhost new_host_name.locadomain
2.13 滑鼠(Mouse)
gpm 的滑鼠功能對在主控臺進行剪貼至為有用,也可在一些應用中使用滑鼠���。在 Red Hat 系統中,檢查有否一個稱為/etc/sysconfig/mouse 的文檔���,內容如下:
MOUSETYPE="Microsoft"
XEMU3=yes
此外,還得有一個/etc/rc.d/init.d/gpm檔���,其中還可設定一些指令���。我設定的指令如下:
...
daemon gpm -t $MOUSETYPE -d 2 -a 5 -B 132 # two-button mouse -- 雙按鈕滑鼠
...
顯而易見���,其中設置當然得與滑鼠的類型相符���。在多數筆記型型電腦中���, MOUSETYPE 應設為 “PS/2”���。
在Caldera系統中,只要在/etc/rc.d/rc.boot中加入此行即可:
/usr/bin/gpm
在S.u.S.E.中���,在/etc/rc.config中加入gpm部分���;在Debian系統中���,則需修改 /etc/gpm.conf。
如果喜歡用Ctrl按鈕使用主控臺的菜單���,則需設置gpm-root。修改 /etc/gpm-root.conf中的預設菜單���,然後從/etc/rc.d/rc.local啟動 gpm-root���。
2.14 加載位置(Mount Points)
為方便使用,應對軟盤���、其他設備和NFS的輸出目錄設定加載位置���。例如���,可采用下列辦法:
/mnt# mkdir floppy; mkdir cdrom; mkdir win; mkdir zip; mkdir server
此行設定了 DOS/Win 軟盤(ext2磁片)�����、CD-ROM���、Windows 分割區���、平行口 Zip 驅動器和 NFS 目錄的加載位置���。
然後修改 /etc/fstab 檔,并增加下列內容:
/dev/fd0 /mnt/floppy auto user,noauto 0 1
/dev/cdrom /mnt/cdrom iso9660 ro,user,noauto 0 1
/dev/zip /mnt/zip vfat user,noauto,exec 0 1
/dev/hda1 /mnt/win vfat user,noauto 0 1
server:/export /mnt/server nfs defaults
顯而易見,第一欄必須使用正確的設備名稱。最近發表的內核已經支持 fat32���;以前的內核需要修補。修補軟件可從 http://bmrc.berkeley.edu/people/chaffee/fat32.html取得���。有關這方面的進一步資料,可查詢 man mount���。
注意第一行中的“auto”文檔系統格式���;這表示可加載 ext2 和 vfat(DOS/Windows)兩種系統格式制作的磁片���。mtools也是相當好用的工具���。
2.15 lilo(8) 和 LOADLIN.EXE
許多使用者在電腦上同時運行 Linux 和 DOS/Windows 兩套操作系統,并在開機時選用其中之一���;這應在安裝時作出設定���,如果當時沒有設定���,可采取下列辦法解決���。首先假定 /dev/hda1中裝有 DOS/Windows���, /dev/hda2 中裝有 Linux .
將 /dev/hda 作為默認設備���!
Command (m for help):a
Partition number (1-4): 2
Command (m for help):w
經過這項設定���, Linux 分割區成為啟動操作系統。然後在/etc/lilo.conf中作出設定:
boot = /dev/hda2
compact # may conflict with "linear" --可能與“linear”沖突
delay = 100 # 10 seconds --等待10秒
linear # gets rid of the "1024 cylinder" problem --解決1024磁圈的問題
# message = /boot/bootmesg.txt # write your own, if you will --自訂開機信息
root = current
image = /boot/vmlinuz # boot Linux by default as this entry comes first --默認的內核
label = Linux
read-only
# append="mem=128M" # to see more memory than 64M --如果記憶內存大於64M
other = /dev/hda1
table = /dev/hda
label = dos
運行/sbin/lilo后就大功告成。由于lilo是安裝中極其重要的部分��,無論如何應該詳細閱讀有關這方面的資料���。
如果不打算重作設定���,而要從 DOS/Windows 內啟動 Linux ,可把 LOADLIN.EXE 放入一個屬於 DOS 路徑的子目錄(DOS 分割區)��;然後將內核拷貝到該子目錄���,例如C:/TEMP/VMLINUZ�����。利用下面簡單的 .BAT檔就可啟動 Linux:
rem Linux .bat
smartdrv /C
loadlin c:/temp/vmlinuz root=/dev/hda2 ro
如使用 Windows 9X���,則設定這個.BAT檔的特性,使其從 MS-DOS 狀態啟動���。
安全考量
在安裝 Linux 之前���,先制作一張 MBR 區的備份磁片,以防不測���。先運行restorrb(包括在FIPS的軟件包內)���,或以下面的指令制作 Linux 的死機解救磁片:
rescue:
然後至少制作兩片有MBR檔的磁片。如果一旦故障停機���,可用下列指令恢復原先的 MBR:
rescue:
當然,這要在/mnt已加載包含MBR的磁片���。否則,利用 DOS 的解救磁片運行FDISK /MBR���。
2.16 電子郵件
如何閱讀以 HTML 格式或含有其他各種文件格式的電子郵件呢���?首先要有兩個文檔:/etc/mime.types 和/etc/mailcap。第一個文檔列出文件的格式及其擴展名:
application/postscript ps eps
image/jpeg jpe jpeg jpg
text/html html
而第二個文檔規定如何顯示這種文檔的格式���。
有時有的電子郵件使用 Microsoft Outlook 發送���,其內容含有多重 MIME 格式���。閱讀這類電子郵件需要在etc/mailcap中加入下列兩行:
text/plain; less %s; needsterminal
text/html; lynx -force_html %s; needsterminal
2.17 打印機的設置
就我所知���,各種 Linux 版本均有設置打印機的工具(printtool���,yast或magicfilter)�����;否則可用基本的手動設定。
假定要用非 PostScript 打印機(也非“Windows-only”的打印機)來打印原始文件(例如 C 程序的原始碼文本)和利用 GhostScript 來打印 PostScript 文檔(此處假定已安裝了 GhostScript)。
設定打印機的步驟如下:
檢查并行口的打印機:
~# echo "hello, world" > /dev/lp0
~# echo "hello, world" > /dev/lp1
記下聯機的打印機和端口���。
設定兩個 spool 子目錄:
/var/spool/lpd/# mkdir raw; mkdir postscript
如果打印機印出的結果有“臺階”現象(多數 InkJet 打印機都有這種現象)���,則需要一個過濾器。試印下面兩列:
~# echo "first line" > /dev/lp1 ; echo "second line" > /dev/lp1
如果印出的結果如下:
first line
second line
將此文檔作為/var/spool/lpd/raw/filter保存:
#!/bin/sh
# 這個過濾器可消除“臺階”現象
awk '{print $0, "/r"}'
運行chmod 755 /var/spool/lpd/raw/filter使其成為可執行文檔。
要制作用于PostScript仿真的過濾器�����,則將過濾器定名為 /var/spool/lpd/postscript/filter:
#!/bin/sh
DEVICE=djet500
RESOLUTION=300x300
PAPERSIZE=a4
SENDEOF=
nenscript -TUS -ZB -p- |
if [ "$DEVICE" = "PostScript" ]; then
cat -
else
gs -q -sDEVICE=$DEVICE /
-r$RESOLUTION /
-sPAPERSIZE=$PAPERSIZE /
-dNOPAUSE /
-dSAFER /
-sOutputFile=- -
fi
if [ "$SENDEOF" != "" ]; then
printf "/004"
fi
(上例使用 HP DeskJet 打印機���。如為他種打印機���,則作出相應修改。)
最後在/etc/printcap內增加下列內容:
# /etc/printcap
lp|ps|PS|PostScript|djps:/
:sd=/var/spool/lpd/postscript:/
:mx#0:/
:lp=/dev/lp1:/
:if=/var/spool/lpd/postscript/filter:/
:sh:
raw:/
:sd=/var/spool/lpd/raw:/
:mx#0:/
:lp=/dev/lp1:/
:if=/var/spool/lpd/raw/filter:/
:sh:
其他更為復雜或少見的打印設置���,請參考 Printing-HOWTO��。
注意:如使用printtool���,Printtool選取的 GSDEVICE 可以用于打印,但不一定是最好的選擇�����。不妨對postscript.cfg檔作些修改���;例如,把 GSDEVICE 內cdj500 改為 djet500���,就可加快打印的速度���。
2.18 SVGATextMode
放在 ftp://tsx-11.mit.edu/pub/ Linux /sources/sbin上的工具軟件對改變主控臺的屏幕分辨率���、字體和游標的形狀非常有用���。在主控臺上工作時,需要使用重音字體的文字(譯注:如歐洲文字)或需要改變筆記本電腦游標的大小都可使用這套軟件���。
從默認的 VGA 參數開始��,首先編輯/etc/TextConfig或/etc/TextMode。使用歐洲文字的用戶應該對其中含有“LoadFont”一節感到慶幸。
Option "LoadFont"
FontProg "/usr/bin/setfont"
FontPath "/usr/lib/kbd/consolefonts"
FontSelect "lat1u-16.psf" 8x16 9x16 8x15 9x15
FontSelect "lat1u-14.psf" 8x14 9x14 8x13 9x13
FontSelect "lat1u-12.psf" 8x12 9x12 8x11 9x11
FontSelect "lat1u-08.psf" 8x8 9x8 8x7 9x7
完成這項設定之後���,運行SVGATextMode "80x34x9"。如果覺得一切運行順利���,從/etc/TextMode中刪除警告,并將下行寫入 etc/rc.d/rc.sysinit:
# SVGATextMode
/usr/sbin/SVGATextMode "80x34x9"
注意:方塊游標只在有些模式下有效���;在我的筆記本電腦上���,其數值為“80x32x9”���。
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
3. 管理員的一般工作
要做的工作那麼多���,時間又那麼少���!盡管有許多工作要完成���,但我們還是先從這一節開始。這一節主要與網路有關���。網路聯網涉及的問題□多�����,無法在此全部概括。首先應參考NET-3 HOWTO�����,此外���,多數 Linux 版本也提供了如何設定網路功能的資料。此處只預備討論其中幾項要點���。
假設在 Linux 上預備安裝calendar或reminder、Http���、Samba���、telnet/ssh登錄、匿名 ftp(anonymous ftp)��、POP/IMAP服務器和NFS等功能�����。
3.1 網路設置
設定 Linux 各種版本網路功能的方法可能相當復雜��,但下述腳本足夠啟動網路:
#!/bin/sh
# net-up.sh: set up network access --設定聯網
DEVICE=eth0 #-- 網卡
IPADDR=192.168.1.100
NETMASK=255.255.255.0
NETWORK=192.168.1.0
GATEWAY=192.168.1.1
ifconfig $DEVICE $IPADDR netmask $NETMASK up
route add -net $NETWORK netmask $NETMASK $DEVICE
route add default gw $GATEWAY
這個腳本在使用解救磁片連接網路時非常有用��。當然,它只能使機器通過 ping���,ftp 和 telnet 與外界聯絡。
3.2 分享網際網路
Linux 服務器的一項最有用的功能就是分享網際網路���。目前,大多數現成可用的內核都已附有 IP firewalling���、masquerading 和 forwarding 的功能���。如要知道詳細功能,可參看 IP-Masquerade mini-HOWTO�����。然後安裝 ipfwadm(內核 2.0.x���; http://www.xos.nl/ Linux /ipfwadm/)或 ipchains(內核2.2.x���; http://www.adelaide.net.au/)���。
注意:對需要的功能,啟動相應的內核模組��。例如���,如需要ftp���,則應將下行加入 /etc/rc.d/rc.sysconfig:
/sbin/modprobe ip_masq_ftp
其他模組通常都放在/lib/modules/KERNEL-VERSION/ipv4檔中���。
為本地網路的其他機器啟動IP masquerading功能的程序非常簡單���。首先檢查網路初始化腳本/etc/sysconfig/network (應在應該放置的位置)是否有內容為FORWARD_IPV4=true的一行。通常在網路啟動時 /proc/sys/net/ipv4/ip_forward均設為 1���。
在/etc/rc.d/rc.sysinit中增加以下數行:
# default: packets cannot go reach the outside
# 預設為數據包無法發送到網際網路
/sbin/ipfwadm -F -p deny
# allow all machines on the local network to reach the Internet
# 使本地網路上的所有機器均可連接網際網路
/sbin/ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0
# alternatively, allow only these two machines
# 或只讓下面兩臺電腦連到網際網路
# /sbin/ipfwadm -F -a m -S 192.168.1.100/24 -D 0.0.0.0/0
# /sbin/ipfwadm -F -a m -S 192.168.1.101/24 -D 0.0.0.0/0
如 Linux 已使用 2.2.x 系列內核�����,以ipfwadm-wrapper代替ipfwadm可加快啟動速度���。
現在應使用戶端機器撥接ISP;可試用Mserver( http://cpwright.villagenet.com/mserver/)�����。修改etc/mserver.conf�����;只需改動“checkhost”、“shadow”和“cname”三項���。然後設定聯網參數�����。
3.3 限制網路連接
假定電腦通過PPP連到網際網路�����。任何機器連到網際網路就有可能遭到外界的入侵。在 /etc/hosts.allow中列入以下內容:
# only allow access to localhost
# 只允許連到localhost
ALL: 127.
并在/etc/hosts.deny中列入:
# deny access to everyone
# 不讓任何人進入
ALL: ALL
如果電腦所屬的網路直接與網際網路連接��,由于安全的理由���,最好取消finger、telnet等功能���;利用ssh替代telnet。此處只要修改/etc/inet.conf檔即可���。同時�����,也可在/etc/hosts.allow中增加下列內容限制網路連接:
in.telnetd: 192.168.1., .另一個.可信的.網路地址
in.ftpd: 192.168.1., .另一個.可信的.網路地址
并在/etc/hosts.deny中增加下列內容:
in.telnetd: ALL
in.ftpd: ALL
3.4 NFS輸出
這種方式用于服務器用戶目錄的輸出�����;但如果用戶的 UID 和 GID 在各臺機器上各不相同��,就會發生問題���。如果用戶 guido 在server上的 UID/GID 為 500���,在client上的 UID/GID 為 512,則可設置如下:
# /etc/exports
/tmp my.client.machine(rw)
/home/guido my.client.machine(rw,map_static=/etc/nfs/client.map)
在/etc/nfs/client.map檔中填入:
# /etc/nfs/client.map
# NFS mapping for client
# remote local
uid 512 500
gid 512 500
3.5 域名服務器
有待編寫 (譯注:作者顯然忘了編寫這部分內容)
--------------------------------------------------------------------------------
