构建安全的Linux服务器

　　要构建一个安全Linux服务器就首先要了解Linux环境下和网络服务相关的配置文件的含义及如何进行安全的配置。在Linux系统中，TCP/IP网络是通过若干个文本文件进行配置的，也许你需要编辑这些文件来完成联网工作，但是这些配置文件大都可以通过配置命令linuxconf (其中网络部分的配置可以通过netconf命令来实现)。下面介绍基本的 TCP/IP网络配置文件。
　　* /etc/conf.modules文件

　　该配置文件定义了各种需要在激活时加载的模块的参数信息。这里主要着重讨论关于网卡的配置。在使用Linux做网关的情况下，Linux服务器至少需要配置两块网卡。为了减少激活时可能出现的问题，Linux内核不会自动检测多个网卡。对于没有将网卡的驱动编译到内核而是作为模块动态加载的系统若需要安装多块网卡，应该在“conf.modules”文件中进行相应的配置。

　　若设备驱动被编译为模块（内核的模块）：对于PCI设备，模块将自动检测到所有已经安装到系统上的设备；对于ISA卡，则需要向模块提供IO地址，以使模块知道在何处寻找该卡，这些信息在“/etc/conf.modules”中提供。

　　例如，我们有两块ISA总线的3c509卡，一个IO地址是0x300，另一个是0x320。编辑“conf.modules”文件如下：alias eth0 3c509alias eth1 3c509options 3c509 io=0x300，0x320这是说明3c509的驱动程序应当分别以eth0或eth1的名称被加载（alias eth0，eth1），并且它们应该以参数io=0x300，0x320被装载，来通知驱动程序到哪里去寻找网卡，其中0x是不可缺少的。

　　对于PCI卡，仅仅需要alias命令来使ethN和适当的驱动模块名关联，PCI卡的IO地址将会被自动的检测到。对于PCI卡，编辑“conf.modules”文件如下：alias eth0 3c905alias eth1 3c905若驱动已经被编译进了内核：系统激活时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到，但是在某些情况下，ISA卡仍然需要做下面的配置工作：

　　在“/etc/lilo.conf”中增加配置信息，其方法是通过LILO程序将激活参数信息传递给内核。对于ISA卡，编辑“lilo.conf”文件，增加如下内容：append=" ether="0，0，eth0 ether="0，0，eth1"注：先不要在“lilo.conf”中加入激活参数，测试一下你的ISA卡，若失败再使用激活参数。

　　如果用传递激活参数的方法，eth0和eth1将按照激活时被发现的顺序来设置。

　　* /etc/HOSTNAME文件：

　　该文件包含了系统的主机名称，包括完全的域名，如：

　　deep.openarch.com

　　*/etc/sysconfig/network-scripts/ifcfg-ethN文件：

　　在RedHat中，系统网络设备的配置文件保存在“/etc/sysconfig/network-scripts”目录下，ifcfg-eth0包含第一块网卡的配置信息，ifcfg-eth1包含第二块网卡的配置信息。

　　下面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例：DEVICE=eth0IPADDR=208.164.186.1NETMASK=255.255.255.0NETWORK=208.164.186.0BROADCAST=208.164.186.255ONBOOT=yesBOOTPROTO=noneUSERCTL=no

　　若希望手工修改网络地址或在新的接口上增加新的网络界面，可以通过修改对应的文件（ifcfg-ethN）或创建新的文件来实现。

　　DEVICE=name name表示物理设备的名字

　　IPADDR=addr addr表示赋给该卡的IP地址

　　NETMASK=mask mask表示网络掩码

　　NETWORK=addr addr表示网络地址

　　BROADCAST=addr addr表示广播地址

　　ONBOOT=yes/no 激活时是否激活该卡

　　none：无须激活协议

　　bootp：使用bootp协议

　　dhcp：使用dhcp协议

　　USERCTL=yes/no 是否允许非root用户控制该设备

　　*/etc/resolv.conf文件：