WEB开发网
开发学院操作系统Linux/Unix IBM p 系列管理员认证(Test 191)指南系列,第 8... 阅读

IBM p 系列管理员认证(Test 191)指南系列,第 8 部分:网络管理(下)

 2008-11-12 08:30:21 来源:WEB开发网   
核心提示:主机名解析TCP/IP 提供了同时支持扁平(flat)和分层网络组织结构的命名系统,因此用户可以使用有意义、容易记住的名称,IBM p 系列管理员认证(Test 191)指南系列,第 8 部分:网络管理(下),而不必使用 Internet 地址,在扁平 TCP/IP 网络中,并非所有问题都是由网络和网络功能导致的,请确

主机名解析

TCP/IP 提供了同时支持扁平(flat)和分层网络组织结构的命名系统,因此用户可以使用有意义、容易记住的名称,而不必使用 Internet 地址。

在扁平 TCP/IP 网络中,网络上的每台计算机都包含一个文件 (/etc/hosts),该文件包含网络上所有主机的名称至 Internet 地址的映射信息。

当 TCP/IP 网络变得非常庞大时,例如在 Internet 上,将采用划分层级的命名方式。通常,按照网络的组织结构划分层级。在 TCP/IP 中,分级命名被称为域名系统 (DNS) 并使用 DOMAIN 协议。DOMAIN 协议是由 TCP/IP 中的 named 守护进程实现的。

解析主机名的缺省顺序如下:

1. BIND/DNS (named)

2. 网络信息服务 (NIS)

3. 本地 /etc/hosts 文件

可通过创建配置文件 /etc/netsvc.conf 并指定所需顺序来覆盖缺省顺序。使用环境变量 NSORDER 可以同时覆盖缺省设置和 /etc/netsvc.conf。

您可以通过创建包含一个条目的 /etc/netsvc.conf 文件来覆盖缺省顺序。如果 /etc/netsvc.conf 不存在,缺省设置将类似于输入以下内容:

hosts = bind,nis,local

您可以通过更改 NSORDER 环境变量来覆盖缺省顺序或配置文件顺序。如果未设置该变量,则缺省值将类似于您发出以下命令:

export NSORDER=bind,nis,local

/etc/resolv.conf 文件

/etc/resolv.conf 文件定义本地解析器例程的域名协议 (DOMAIN) 名称服务器信息。如果 /etc/resolv.conf 文件不存在,则将 BIND/DNS 视为未设置或未运行,因此不可用。系统将尝试使用缺省路径,使用 /etc/netsvc.conf 文件或 NSORDER 环境变量进行名称解析。

图 1 中显示了 /etc/resolv.conf 文件示例。

图 1 /etc/resolv.conf 文件示例

IBM p 系列管理员认证(Test 191)指南系列,第 8 部分:网络管理(下)

在本例中,只定义了一个名称服务器,其地址为 9.3.1.74。

系统将向该域名服务器查询名称解析。对于结尾不是 .(句点)的名称,为其附加的缺省域名为 itsc.austin.ibm.com。search 条目定义在解析名称时搜索的域的列表;在上面的示例中,它们是 itsc.austin.ibm.com 和 austin.ibm.com。

与 /etc/resolv.conf 相关的问题

如果您在解析某个主机名时遇到问题,并且您正在使用名称服务器,您应当:

1. 验证您的 /etc/resolv.conf 文件是否指定了正确的域名和名称服务器的 Internet 地址。如果您在尝试通过名称访问主机时,该名称对应于 /etc/resolv.conf 中的错误条目,并且如果该主机也未在 /etc/hosts 中定义,您将得到一条错误消息,如下例所示:

# ping olympus
0821-062 ping:host name olympus NOT FOUND

2. 如果 /etc/resolv.conf 包含正确的数据,请验证作为本地名称服务器的主机是否已启动,方法是向在 /etc/resolv.conf 文件中找到的名称服务器的 IP 地址发出 ping 命令。

3. 如果本地名称服务器已启动,请验证位于该本地系统上的 named 守护进程是否活动,方法是在该主机上发出 lssrc -s named 命令。

4. 如果您正在运行 syslogd 守护进程,将记录错误消息。这些消息的输出是在 /etc/syslog.conf 文件中定义的。

nslookup 命令

nslookup 命令向域名服务器查询有关各个主机和域的信息。nslookup 命令对于通过 IP 地址、主机名或域来确定 Internet 上系统服务器的主机名非常有用。nslookup 命令可以按如下格式运行:

# nslookup [IPAddress | HostName]

例如,若要使用 IP 地址 207.25.253.26 确定系统的主机名,您应输入:

# nslookup 207.25.253.26
Server:dhcp001.itsc.austin.ibm.com
Address: 9.3.240.2
Name:service.boulder.ibm.com
Address: 207.25.253.26

在本例中,具有 IP 地址 207.25.253.26 的系统的主机名为 service.boulder.ibm.com。

nslookup 命令还可以通过主机名确定系统的 IP 地址。例如,若要显示 service.software.ibm.com 的 IP 地址,您应输入:

# nslookup service.software.ibm.com
Server:dhcp001.itsc.austin.ibm.com
Address: 9.3.240.2
Non-authoritative answer:
Name:service.boulder.ibm.com
Address: 207.25.253.26
Aliases:service.software.ibm.com

在本例中,service.software.ibm.com 的 IP 地址为 207.25.253.26。

nslookup 输出还显示 service.software.ibm.com 是 service.boulder.ibm.com 的别名。

新适配器注意事项

更换计算机中的网络适配器可能需要在基本硬件安装后执行其他配置步骤。请考虑下列任务,将它们作为配置新适配器所需的其他步骤。

1. 如果您错过了来自系统启动过程中调用的 cfgmgr 命令的提示消息,您应当再次调用该命令以检查是否缺少与所需设备相关的软件。

2. 如有需要,使用 smitty devices 命令安装所需设备的软件。

3. 调用 diag -a 命令以确认新适配器资源已添加至硬件配置。

4. 重新运行 cfgmgr。

5. 通过在适配器上调用 lsdev -Cl 命令来确保适配器在系统中可用。例如:

# lsdev -Cl ent0

6. 从您的网络架构师处获取 IP 地址和网络掩码。

7. 使用 SMIT 快速路径 smit inet 配置网络接口。请勿使用 smit mktcpip。该命令只用于首次配置 TCP/IP。

8. 如果计算机连接至两个网络,则启用 IP 转发。

9. 向需要从任何私有网络访问的那些系统添加路由。

使用 SMIT 配置网络适配器

若要更改网络适配器的高级功能,包括 ring speed、双工设置,以及传输和接收信息的队列大小,请为以太网适配器使用 SMIT 快速命令 smit chgenet,或为令牌环网适配器使用 smit chgtok。

图 2 显示了 smit chgenet 示例屏幕。

图 2 Change/Show Characteristics of an Ethernet Adapter 菜单

IBM p 系列管理员认证(Test 191)指南系列,第 8 部分:网络管理(下)

使用 SMIT 配置网络接口

用于配置 TCP/IP 的 SMIT 快速路径命令是 smit tcpip。您可以使用快速路径 smit inet 配置网络接口。对于这些示例,我们将使用以太网接口 en0。

1. 通过选择 List All Network Interfaces 检查 en0 接口是否存在。

如果 en0 不存在,请选择 Add a Network Interface,然后选择 Add a Standard Ethernet Network Interface。您应当看到与图 3 类似的面板。

图 3 可用的网络接口子菜单

IBM p 系列管理员认证(Test 191)指南系列,第 8 部分:网络管理(下)

2. 按 Enter 键选择 en0 并填充下列对话框屏幕。

选择您需要配置的接口并填充必要的信息。图 4 显示了示例屏幕。

图 4 Add a Standard Ethernet Network Interface 菜单

IBM p 系列管理员认证(Test 191)指南系列,第 8 部分:网络管理(下)

3. 添加标准以太网接口完成后,您应看到提示 en0 可用的消息。

4. 如果 en0 已存在,请选择 Change/Show Characteristics of a Network Interface。

SMIT 快速路径为 smit chinet。图 5 显示了示例屏幕。

图 5 Change/Show a Standard Ethernet Interface 菜单

IBM p 系列管理员认证(Test 191)指南系列,第 8 部分:网络管理(下)

5. 更改标准以太网接口完成后,您应看到提示 en0 接口已更改的消息。

启用 IP 转发

若要允许其他系统通过拥有两个网络适配器的计算机访问不同的网络,则必须在该计算机上启用 IP 转发。该系统现在将作为网络 A 和网络 B 之间的网关。

IP 转发是运行时属性。缺省值 0(零)阻止转发目标不是本地系统的 IP 数据包。值 1 启用转发。

使用以下命令启用 IP 转发:

no -o ipforwarding=1

该设置将在系统重新启动后丢失。

添加网络路由

对于那些需要访问私有网络的系统,请使用 SMIT 快速路径 smit route 或 smit mkroute 通过两个网络之间的网关向私有网络添加路由。图 6 显示了 smit mkroute 的示例。

图 6 Adding a Static Route 菜单

IBM p 系列管理员认证(Test 191)指南系列,第 8 部分:网络管理(下)

可以不使用 SMIT,而改用命令:

route add -net 192.168.1 -netmask 255.255.255.0 9.3.1.124

在图 7 中显示的过程演示了以下情景:

主机无法访问 IP 地址 192.168.1.1 和 192.168.1.2。

使用 route add 命令添加了一个路由,该路由指定 9.3.1.124 应作为访问网络 192.168.1 的网关。

traceroute 命令显示访问 192.168.1.1 和 192.168.1.2 时经过的路由。

图 7 使用 route add 命令添加路由

IBM p 系列管理员认证(Test 191)指南系列,第 8 部分:网络管理(下)

使用 SMIT 更改 IP 地址

如果要将您的计算机从一个网络段移动到另一个网络段并需要更改 IP 地址,请按照您第一次配置 TCP/IP 时的方法使用 smit mktcpip。您可能需要更改主机名、IP 地址和缺省网关地址。图 8 显示了示例屏幕。

图 8 Minimum Configuration & Startup 菜单

IBM p 系列管理员认证(Test 191)指南系列,第 8 部分:网络管理(下)

注意:请不要在 Telnet 会话中执行该任务,因为您在做出更改时将丢失连接。

如果不是跨网络段移动计算机,而只希望更改 IP 地址,那么可以将图 8 中显示的字段 START Now 更改为 yes。

这将自动启动 TCP/IP 守护进程,或者在其已启动的情况下刷新它们。

ifconfig 命令

使用 ifconfig 命令可以直接配置和修改网络接口的属性,而不必使用 SMIT。通常,管理员会发现使用该命令进行网络管理比使用 SMIT 面板更简单。

使用 ifconfig 命令配置和修改网络接口的语法如下:

ifconfig Interface [ AddressFamily [ Address [ DestinationAddress ] ]
[Parameters... ] ]

有三个地址族可与 ifconfig 命令一起使用:

inet 构成 DARPA Internet 的系统的缺省点分十进制表示法。该地址族是 ifconfig 缺省使用的地址族。

inet6 构成运行 IPv6 的 DARPA Internet 的系统的缺省点分十进制表示法。

ns 构成 Xerox 网络系统族的系统的缺省点分十六进制表示法。

表 1 是 ifconfig 命令的常用命令参数及其功能的列表。

表 1 ifconfig 的常用参数

参数 说明
alias 建立接口的其他网络地址。
delete 从接口删除指定的网络地址。
detach 从网络接口列表中删除一个接口。
down 将接口标记为非活动 (down),从而禁止系统试图通过该接口传送消息。
mtu Value 将最大 IP 数据包大小设为 Value 字节(最大传输单元),其范围从 60 到 65535。
netmask Mask 指定将网络划分为子网时要保留的地址数。
up 将接口标记为活动 (up)。

识别网络接口

在使用 ifconfig 命令对网络接口执行管理操作之前,识别服务器上的所有接口非常有帮助。可以使用两种方法识别服务器上的网络接口。可以运行的第一个命令是:

# lsdev -Cc if

该命令将生成系统上所有接口的简单列表,而无论它们是否被系统主动使用。例如:

# lsdev -Cc if
en0 Defined 10-80 Standard Ethernet Network Interface
en1 Defined 20-60 Standard Ethernet Network Interface
et0 Defined 10-80 IEEE 802.3 Ethernet Network Interface
et1 Defined 20-60 IEEE 802.3 Ethernet Network Interface
lo0 Available Loopback Network Interface
tr0 Available 10-68 Token Ring Network Interface

可以运行的第二个命令是:

# ifconfig -a

该命令将生成系统上所有已分配 IP 地址、并被系统主动使用的网络接口的列表。

例如:

# ifconfig -a
tr0:flags=e0a0043<UP,BROADCAST,RUNNING,ALLCAST,MULTICAST,GROUPRT,64BIT>
inet 10.1.2.2 netmask 0xffffff00 broadcast 10.1.2.255
lo0:
flags=e08084b<UP,BROADCAST,LOOPBACK,RUNNING,SIMPLEX,MULTICAST,GROUPRT,64BIT
>
inet 127.0.0.1 netmask 0xff000000 broadcast 127.255.255.255
inet6 ::1/0

若要获取有关特定网络接口的信息,包括状态、IP 地址和网络掩码,请运行以下命令:

# ifconfig Interface

例如,若要获取有关 tr0 的信息,请运行命令:

# ifconfig tr0
tr0:flags=e0a0043<UP,BROADCAST,RUNNING,ALLCAST,MULTICAST,GROUPRT,64BIT>
inet 10.1.2.2 netmask 0xffffff00 broadcast 10.1.2.255

激活网络接口

在通过网络接口传送消息之前,必须使接口处于 up 或活动状态。若要使用 ifconfig 激活接口,请运行以下命令:

# ifconfig Interface [Address] [netmask Netmask] up

若要使用 ifconfig 激活某个网络接口,如 tr0,请运行以下命令:

# ifconfig tr0 up

若要激活某个网络接口,如环回接口 (lo0) 并为其分配一个 IP 地址,请运行以下命令:

# ifconfig lo0 127.0.0.1 up

若要激活某个网络接口,如令牌环接口 (tr0) 并为其分配 IP 地址和网络掩码,请运行以下命令:

# ifconfig tr0 10.1.2.3 netmask 255.255.255.0 up

禁用网络接口

若要阻止从某个接口传送消息,必须使该接口处于 down 或非活动状态。若要使用 ifconfig 禁用接口,请运行以下命令:

# ifconfig Interface down

例如,若要禁用网络接口 tr0,请运行以下命令:

# ifconfig tr0 down

注意:该命令不会从系统中移除已分配给该接口的任何 IP 地址,也不会从网络接口列表中删除该接口。

从网络接口中删除地址

若要从某个接口中删除网络地址,则必须从接口定义中删除该地址。若要使用 ifconfig 从接口中删除网络地址,请运行以下命令:

# ifconfig Interface [Address] [netmask Netmask] delete

例如,若要从 tr0 删除网络地址,请运行以下命令:

# ifconfig tr0 delete

注意:该命令不会将接口设为 down 状态,也不会从网络接口列表中删除该接口。

分离网络接口

若要从网络接口列表中删除某个接口,则必须使该接口与系统分离。从系统中实际移除某个网络接口卡,或者系统中不再需要定义某个接口时可以使用该命令。若要使用 ifconfig 从系统中分离网络接口,请运行以下命令:

# ifconfig Interface detach

例如,若要从网络接口列表中移除接口 tr0,请运行以下命令:

# ifconfig tr0 detach

注意:该命令移除分配给接口的所有网络地址,并从 ifconfig -a 命令的输出中移除接口。若要将接口重新添加到系统中,或将新接口添加到网络接口列表中,请运行以下命令:

# ifconfig Interface

其中 Interface 是要添加的网络接口。

为网络接口创建 IP 别名

利用 ifconfig 命令,可以通过定义别名将多个网络地址绑定到单个网络接口。该工具对于通过 Web 服务器应用程序提供两个不同的初始主页这类活动非常有用。若要将别名绑定到网络接口,请运行以下命令:

# ifconfig Interface Address [netmask Netmask] alias

例如,若要将 IP 地址 10.1.2.3 绑定到 tr0,其网络掩码为 255.255.255.0,请运行以下命令:

# ifconfig tr0 10.1.2.3 netmask 255.255.255.0 alias

注意:此命令不会创建别名的 ODM 记录。您在每次重新启动系统时都需要调用相同的命令来保存别名。如果您的系统配置拥有在 /etc/inittab 文件中定义的本地启动脚本,该命令应包括在该本地启动脚本中。

如果不再需要此别名,您可以使用以下命令将其删除:

ifconfig tr0 10.1.2.3 netmask 255.255.255.0 delete

注意:如果未指定要从网络接口中删除哪个别名,系统缺省将从接口中删除主网络地址。此后,该接口的网络地址列表中的第一个别名将成为该接口的主网络地址。若要从接口中删除所有别名,则必须分别删除每个别名。

更改网络接口的 MTU 大小

通过网络接口传送消息时,将消息组合在称为数据包的信息包中进行传递。这些数据包的长度可以在 60 字节到 65535 字节之间。

缺省情况下,16 Mb 令牌环接口将传送长度为 1492 字节的数据包,而以太网接口将传送长度为 1500 字节的数据包。对于 AIX 系统,这些数据包是通过最大传输单元 (MTU) 大小变量控制的。

注意:特定接口的最小和最大 MTU 大小可以不同。

有关更多信息,请参阅作为 AIX 产品文档一部分提供的 AIX 5L Version 5.1 System Management Guide: Communications and Networks 中的“自动配置网络接口”。

MTU 大小对于实现正常的网络通信非常重要。过短的数据包可能会在传输过程中丢失。过长的数据包可能会与传输的其他数据包发生冲突。由于当数据包丢失或发生冲突时必须重新传输,因此这些因素可能导致传输速率减慢和其他网络问题。

若要确定网络接口的 MTU 大小,请运行以下命令:

# lsattr -El Interface

其输出将与以下所示类似:

# lsattr -El tr1
mtu 1492 Maximum IP Packet Size for This Device True
mtu_4 1492 Maximum IP Packet Size for 4 Mbit ring speed True
mtu_16 1492 Maximum IP Packet Size for 16 Mbit ring speed True
mtu_100 1492 Maximum IP Packet Size for 100 Mbit ring speed True
...

ifconfig 命令可以调整网络接口的 MTU 大小。若要更改 MTU 大小,请运行以下命令:

# ifconfig Interface mtu Value

例如,若要将 tr1 的 MTU 大小更改为 12000 字节,请运行以下命令:

# ifconfig tr1 mtu 12000

注意:当接口正在使用时,不能更改其 MTU 大小。位于同一局域网中的所有系统必须拥有相同的 MTU 大小,因此所有系统必须同时更改 MTU 大小以避免出现问题。

网络安全

网络安全是系统管理员面对的普遍问题。对安全连接、受信任网络和其他禁止未授权系统访问的通信方式存在大量需求。本部分将简要介绍一些较常用的方法,可以阻止对网络上的系统进行未授权访问。

受信和非受信进程

受信程序或受信进程是符合特定安全标准的 Shell 脚本、守护进程或程序。这些安全标准是由美国国防部设置和维护的,该部门也验证一些受信程序。

TCP/IP 包含数个受信守护进程和大量非受信守护进程。受信守护进程已经过测试以确保其运行符合特定的安全标准,如授予用户特定的访问级别,以及只允许用户执行特定任务。

受信守护进程的示例如下:

ftpd

rexecd

telnetd

受信类型的守护进程要求对希望与服务器进行通信的用户进行确认和身份验证。通常,这是通过使用登录和密码实现的。

非受信守护进程的示例如下:

rshd

rlogind

tftpd

非受信类型的守护进程并非始终要求对希望与服务器进行通信的用户进行确认和身份验证。使用这种类型的守护进程不一定需要登录和密码。

允许这些进程在您的系统上运行时应保持谨慎。

$HOME/.netrc 文件

$HOME/.netrc 文件包含 rexec 和 ftp 命令的自动登录功能所使用的信息。该文件是位于用户 home 目录下的隐藏文件,必须为执行命令的用户或 root 用户所拥有。如果 .netrc 文件包含登录密码,则文件的权限必须设为 600(只允许所有者读写)。

登录密码采用明文。即使将权限设为 600,远程系统的密码仍然容易泄露给任何具有 root 权限的用户。

$HOME/.netrc 文件中的条目以下列格式存储(通过空格、制表符或新行分隔):

machine HostName: HostName 变量是远程主机的名称。该条目开始定义指定主机的自动登录进程。直至下个 machine 条目或文件末尾的所有后续条目都适用于该主机。

login UserName: UserName 变量是远程主机使用的完全域用户名。如果找到此条目,自动登录进程将使用指定的名称发起登录。如果缺少该条目,自动登录进程将无法正常运行。

password Password: Password 变量是要使用的登录密码。自动登录进程将此密码提供给远程服务器。在远程主机上必须设立登录密码,该密码必须在 .netrc 文件中输入。否则,自动登录进程将无法正常运行,系统将提示用户输入登录密码。

account Password: Password 变量是要使用的帐户密码。如果找到此条目,并且远程主机需要帐户密码,则自动登录进程将此密码提供给远程服务器。如果远程主机需要帐户密码,但此条目不存在,则自动登录进程将提示输入帐户密码。

macdef MacroName: MacroName 变量是 FTP 子命令宏的名称。该宏被定义为包含直到下个空行或文件末尾的所有后续 FTP 子命令。如果该宏命名为 init,则 ftp 命令在自动登录进程成功完成时执行该宏。rexec 命令不会识别 macdef 条目。

图 9 显示了 $HOME/.netrc 文件示例。

图 9 .netrc 文件示例

IBM p 系列管理员认证(Test 191)指南系列,第 8 部分:网络管理(下)

注意:.netrc 文件的最大大小为 4096 字节。如果需要使用超过 4096 字节的文件,您必须将该文件拆分为多个部分,并编写脚本以自动化类似于 FTP 作业的功能。

/etc/hosts.equiv 和 $HOME/.rhosts 文件

/etc/hosts.equiv 文件和任意本地 $HOME/.rhosts 文件一起,定义了在本地主机上不需要提供密码即可调用远程命令的主机(网络上的计算机)和用户帐户。不需要提供密码的用户或主机被视为受信任,即使发起连接的守护进程本质上不受信任(例如,rlogind)也是如此。

当本地主机收到远程命令请求时,相应的本地守护进程首先检查 /etc/hosts.equiv 文件以确定请求是否源自受信任的用户或主机。例如,如果本地主机收到远程登录请求,rlogind 守护进程将检查本地主机上是否存在 hosts.equiv 文件。如果存在该文件,但是未定义主机或用户,则系统检查相应的 $HOME/.rhosts 文件。该文件与 /etc/hosts.equiv 文件类似,只是该文件是针对单个用户维护的。

注意:如果某个远程命令请求是由 root 用户发出的,则忽略 /etc/hosts.equiv 文件,只读取 /.rhosts 文件。

/etc/hosts.equiv 和 $HOME/.rhosts 两个文件都必须具有拒绝组和其他用户进行写访问的权限 (600)。如果组或其他用户拥有该文件的写访问权限,则忽略该文件。请不要将 /etc/hosts.equiv 文件的写权限授予组和其他用户,因为这会导致安全漏洞和不受欢迎的用户对本地主机进行访问。

/etc/hosts.equiv 和 $HOME/.rhosts 文件的格式如下所示:

[ + | - ] HostName [ + | - ] UserName or @NetGroup

注意:/etc/hosts.equiv 和 $HOME/.rhosts 文件都是自顶向下读取的,因此向这些文件添加条目的顺序会更改预期的结果。在列表中,拒绝 -(减号)语句必须位于接受 +(加号)语句之前。

例如,若要允许主机 toaster 和 machine 上的所有用户登录本地主机,您应输入:

toaster machine

若要仅允许用户 bob 从主机 machine 登录,您应输入:

toaster machine bob

若要允许用户 lester 从任意主机登录,您应输入:

toaster machine bob

+ lester

若要允许所有用户从主机 tron 登录,同时要求用户 joel 和 mike 输入密码才能登录,您应输入:

toaster machine bob

+ lester tron -joel tron -mike tron

若要拒绝 forum 网络组的所有成员自动登录,您应输入:

toaster machine bob

+ lester tron -joel tron -mike tron

- @forum

注意:网络组是 NIS 和 AIX 5L Version 5.1 中的功能,允许管理员轻松地将主机和用户划分到公共组中。使用网络组超出了本红皮书的范围。有关网络组的更多信息,可以在作为 AIX 产品文档一部分提供的 AIX 5L Version 5.1 System Management Guide: Communications and Networks 中找到。

securetcpip 命令

securetcpip 命令为主机上的网络提供增强的安全性。该命令执行以下任务:

禁用不受信任的命令和守护进程:rcp、rlogin、rlogind、rsh、rshd、tftp 和 tftpd。被禁用的命令和守护进程不会被删除;而是更改为 0000 模式。您可以通过重新建立有效的模式来启用特定的命令或守护进程。当 securetcpip 命令已在您的系统上运行时,任何程序都不会使用 /.netrc 文件。

向 /etc/security/config 文件添加一个 TCP/IP 安全节。该节采用如下格式:

tcpip:

netrc = ftp,rexec /* functions disabling netrc */

注意:在运行 securetcpip 命令之前,以 root 身份登录并执行 killall 命令来停止所有网络守护进程,从而使系统停顿。killall 命令终止除调用进程之外的所有进程。如果有登录用户或一些应用程序正在运行,那么在执行 killall 命令之前应使这些用户退出或结束应用程序。

发出 securetcpip 命令后,关闭系统并重新启动。系统重新启动后,您的所有 TCP/IP 命令和网络接口应当已配置正确。

匿名 FTP

匿名 FTP 是允许用户通过不需要唯一登录的 ftp 传输系统上的某些文件目录中的文件的功能。该工具对于发布软件修补程序的情况非常有用,届时分布在世界各地的大量用户可能需要访问特定系统。用户只需使用登录名 anonymous 和密码 guest 或一些其他公共密码约定(通常是用户的 Internet 电子邮件 ID)。

若要在运行 AIX 5L Version 5.1 的服务器上设置匿名 FTP,请运行以下脚本:

# /usr/samples/tcpip/anon.ftp

这将为使用匿名 FTP 创建相应的用户和目录。

FTP 日志记录

缺省情况下,FTP 不会记录用户访问系统时的连接或文件传输。当用户使用匿名 FTP 与您的系统交换文件时,这样做存在安全风险。若要启用 FTP 日志记录,请执行以下操作:

1. 编辑 /etc/syslog.conf 文件并添加行:

daemon.info FileName

其中 FileName 是将要跟踪由匿名和其他用户 ID 执行的 FTP 活动的日志文件名称。在执行此过程的下个步骤之前,FileName 必须存在。

2. 运行命令 refresh -s syslogd 以刷新 syslogd 守护进程。

3. 编辑 /etc/inetd.conf 文件,并按如下方式修改包含 ftpd 的行:

ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd -l

4. 运行命令 refresh -s inetd 以刷新 inetd 守护进程。

当用户使用 ftp 命令来访问您的系统时,他们的登录和文件传输活动将记录在 FileName 中。该日志将与以下所示类似:

Sep 5 13:56:47 localhost ftpd[17958]:connection from
server2.example.ibm.com at Wed Sep 5 13:56:47 2001
Sep 5 13:56:52 localhost ftpd[17958]:ANONYMOUS FTP LOGIN FROM
server2.example.ibm.com, sampleid@server1.example.ibm.com
Sep 5 13:57:17 localhost ftpd[17958]:FTPD:IMPORT file local testfile, remote

在本例中,用户从 server1.example.ibm.com 建立匿名 FTP 连接。用户提供电子邮件地址 sampleid@server1.example.ibm.com 作为密码。用户使用 FTP 命令 put 将文件 testfile 上传到 server2 上。

当用户退出 FTP 会话时,FTP 日志不会进行记录。若要确定某人是否仍然连接到您的系统,请在括号 ([17958]) 内提供的 PID 上运行 ps –fp。

FTP 日志文件将随着访问系统的用户数量和传送文件的数量的增长而增长。建议您监控 FTP 日志的增长以避免可能存在的系统问题。

uname 命令

除 hostname 命令之外,您还可以使用 uname -n 命令显示系统的主机名。如果不带任何标志,uname 命令将显示您正在使用的操作系统。

您还可以使用 uname -x 命令显示以下内容:

您正在使用的操作系统

主机名

运行系统的硬件的计算机 ID 号

操作系统的发行版编号

操作系统版本

系统型号名称

图 10 显示了 uname 命令的几个使用示例。

图 10 uname 命令

IBM p 系列管理员认证(Test 191)指南系列,第 8 部分:网络管理(下)

确定基本网络问题

当用户通知您无法访问某个系统时,请检查各种网络问题。通常,您将使用适合您的环境的任何方式浏览这些 TCP/IP 问题确定主题:

通信问题

名称解析问题

路由问题

与系统资源控制器 (SRC) 支持相关的问题

Telnet 或 rlogin 问题

配置问题

网络接口的常见问题

数据包传输的问题

与动态主机配置协议 (DHCP) 相关的问题

然后,您还应当检查除网络以外的其他考虑事项:

服务器系统可能已关闭。

在您检查通信问题时,该问题通常会自动显示。

ping 命令将引导您找到问题系统。整个系统或网络接口可能已关闭。

分页空间可能已满。

如果某个用户已登录,该问题可能相当明显,因为通常有系统消息提示分页空间不足或内存不足。然而,如果某位用户尝试通过 telnet 或 ftp 连接到系统,可能由于系统无法创建其他进程或正在忙于终止进程而导致超时。

文件系统可能已满。

如果用户可以访问系统,但是特定的功能存在问题,您应当检查系统中的所有区域。如果用户无法启动 Web Based System Manager (WSM),/tmp 文件系统可能已满。

可能尚未挂载某个文件系统。

通常,用户将提到他的所有文件已丢失。

并非所有问题都是由网络和网络功能导致的。请确保在得出存在网络问题的结论之前,您已了解用户的问题。

Tags:IBM 系列 管理员

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接