作者:GuidoGonzato,guido``at'ibogeo.df.unibo.it (譯者:趙平望
[email protected]) v1.3.7,1999年9月6日翻譯日期:2000年1月1日 -------------------------------------------------------------------------------- 編寫本文的目的是要使您能更快
作者:Guido Gonzato, guido ``at' ibogeo.df.unibo.it
(譯者:趙平望
[email protected])
v1.3.7, 1999年9月6日翻譯日期:2000年1月1日
--------------------------------------------------------------------------------
編寫本文的目的是要使您能更快、更容易地調試剛安裝好的 Linux 系統。文內附有一些最常用的應用軟件的設置辦法。
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
1. 導言
1.1 為什麽要編寫這份 HOWTO
我在許多 PC 上都安裝過 Linux 系統,發現目前流行的各種 Linux 版本都相當不錯,但感到不便的是缺少一些基本設置文檔。多數應用軟件在安裝後都可立即使用,但有些軟件卻不行。我還注意到同樣的問題在 c.o.l.setup 上一再重復出現。為了彌補這種缺憾,並為了我個人方便,我作了一些筆記,後來加以修改潤色,終於成為這份 HOWTO。文內附有設置最常用的一些應用軟件和程式的訣竅和實例,這應能節省您不少時間和精力。
文中所列的一些實例有時取決於使用何種 Linux 版本。目前我只有安裝 Red Hat 5.2 的 Linux 系統,內核是 2.0.36;因此如果您的 Linux 是其他版本,那就別把我提供的訣竅視為金科玉律。不過,把我提供的辦法略作修改,改用於其他版本,倒也並非難事。這份 HOWTO 不能代替其他 HOWTO,而且它也無意替代其他 HOWTO 。翻閱相關文件和其他 HOWTO 都會使人獲益匪淺,因此如果您想進一步了解這套系統,就必需勤於查找翻閱。此外,也不要想在這裡占便宜:如果您知道對某方面不了解,就請查找相關的 HOWTO 。再次提醒:Usenet 的 news:comp.os.
linux.setup是尋求 Linux 配置方面的協助的最好地點。我的工作十分繁忙,務請不要找我解決配置方面的問題。
這份文件以及一些翻譯正式存放在 http://metalab.unc.edu/mdw/HOWTO。在這個網址也可找到我提到的所有其他 HOWTO 。本文的最新版本存放在 http://ibogeo.df.unibo.it/guido/Configuration
1.2 我們將作何種配置
PC的硬件配置種類繁多,但依我的經驗,有一種配置十分普遍,即裝有一個劃分為三個分割區(一個DOS/Windows區、一個 Linux 區和一個交換(swap partition)區)的大容量硬盤、音效卡、數據機、光盤機、打印機和滑鼠的 PC。目前,許多 PC 還安裝了平行埠的 ZIP 磁碟機。這樣設定的 PC 極可能是 Windows-Linux 搭配組成的網絡系統的一部分,一般作為
服務器之用。
我假定這些設備是您要設置的硬件,不過將設置這些設備的辦法轉用於不同的硬件也非難事。此外,我還假定您在編輯調試硬件時,具有root的權限。
好吧!現在就讓我們卷起袖子來干吧!
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
2. 一般系統設定
2.1 安全問題
在開始啟動系統之前,首先應該決定要采用何種級別的安全規□。在作出這項決定之前,不要將電腦與網絡連接。電腦安全是極其重要的問題,但它不屬於這份 HOWTO 的討論□圍。不過,要了解電腦的安全問題可從兩方面著手:“ Linux 安全管理員手冊”( Linux Security Administrator's Guide) http://www.seifried.org/lasg 和“ Linux 安全手冊”( Linux Security Guide) http://nic.com/ (譯注:此處英文原文有漏) 下列步驟:使用Shadow password(Shadow Password HOWTO )限制網路進入機器(Section 限制網路進入Restricting Network A
clearcase/" target="_blank" >ccess)、使用 Secure Shell ( http://www.cs.hut.fi/ssh/) 或使用 Secure Remote Password ( http://srp.stanford.edu/srp/)。祝您好運。
2.2 工作日志
要保證安裝順利,必須確切知道機器裡安裝了什麽,何時作了修改,何時作了清除。因此,在動手之前,首先應該建立一本“工作日志”,紀錄作為 root 的一切舉動;在我的工作日志中,有一節專門紀錄所有改動的系統文檔、增加的 .rpms 和安裝的 .tar.gz。理論上,往回追溯以往的任何改變,應該可以回復到最初原始的安裝狀態。
千萬記住,在改動任何系統文件之前,制作備份。更理想的是用 RCS;這樣就能追蹤以往的所有改變。作為 root,決不可隨意改動系統而不加紀錄。
2.3 鍵盤
如在安裝時遺漏了這一步驟,或改用了他種鍵盤,則需要:
從/usr/lib/kbd/keymaps/中選取適當的鍵盤表;例如,it.map 就代表義大利鍵盤;
編輯/etc/sysconfig/keyboard文檔,使其讀取:KEYTABLE="it";
設定鍵盤的重復率和延遲時間,將以下內容加附到 /etc/rc.d/rc.sysinit (Red Hat) 或 /etc/rc.d/rc.boot (Caldera) 或 /etc/rc.d/boot (S.u.S.E.):
/sbin/kbdrate -s -r 16 -d 500 # or whatever you like --或其他設定的數值
要載入鍵盤表,使用/etc/rc.d/init.d/keytable start指令。其他特殊鍵位將在以下各節再作說明。
要在開機時自動設定 NumLock,則在/etc/rc.d/rc.sysinit中加入以下內容:
for tty in /dev/tty[1-9]*; do
setleds -D +num < $tty
done
2.4 啟動和援救軟片
為剛安裝好的系統,應該制作兩、三張啟動軟片,以備不時之需。您使用的 Linux 版本可能已經包括了制作這種軟片的指令,否則可用下列指令:
#
#
(譯注:作者似乎忘了填入指令)
此外,至少也要制作幾片援救軟片。在 ftp://metalab.unc.edu/pub/Linux/system/recovery可找到各種援救軟片;如果您不知道選用哪一種,我建議您試試 Tomsbtrt。
2.5 內核
IMHO,其次首先要做的工作是編制最適合您的系統的內核。編制工作並不困難,但無論如何都先看一看/usr/src/Linux/內的README檔或內核 HOWTO (Kernel HOWTO )。注意事項:
仔細想清楚需要電腦完成何種工作。一次選定內核,同時作出必要的修補(patch),遠比每月作一次設置或編譯一次內核來得省事;如果把 Linux 作為伺服器使用,尤應如此。不要忘記把未來可能會增加的硬件(例如,SCSI、Zip和網路卡等)都先編制在內核內;通常利用模組是最好的辦法;
如果你的電腦用 Cyrix 芯片,而內核對它的支持不足,則應作出必要修補,以便提高電腦性能。有關資料見: http://www.Linuxhq.com/patch/20-p0591.html;
使用筆記型電腦的用戶應改進屏幕的視覺效果。我曾經建議修補內核,但SVGATextMode (見 SVGATextMode一節)可能是最理想的解決辦法。不論采用何種辦法,在 http://www.Linuxhq.com/patch/20-p0239.html可以找到大型游標的內核修補軟件。
此外,不要將筆記型電腦串行 PCMCIA modem/fax 卡作為模組編譯;將其作為內核的一部分編譯,否則,PCMCIA modem 就無法運作;
如果使用 PCMCIA 卡,記住務必編譯這些模組;此外,如果使用 PCMCIA 網路卡,不要忘記修改/etc/pcmcia/network.opts;
如果屏幕顯示來自modprobe的信息,指出不能確定某些模組的位置,這表示需要修改/etc/conf.modules。例如,如果不使用ipx和appletalk模組,則增加下列兩行:
alias net-pf-4 off
alias net-pf-5 off
為了節省下次配置和編譯內核的時間,不妨將配置設定作為一個文檔妥善保存。注意:如果內核升級,則這個配置設定檔必然無用,因為它沒有包含新內核的各種要素。
2.6 Sendmail停機
有些系統的sendmail會使機器在啟動時停頓兩、三分鐘。原因有二:(1)機器沒有與網際網路直接連接;(2)直接連接網際網路,並有永久的IP地址。
立即解決第一種問題的辦法是確定/etc/hosts內有下列一行:
127.0.0.1 localhost
造成停頓的第二種原因是往往在/etc/hosts內有內容如下的一行:
127.0.0.1 localhost your_host_name
可將其分成以下兩行:
127.0.0.1 localhost
w.x.y.z your_host_name
同時請參考 Hostname一節
2.7 硬盤性能
如果謹慎使用 hdparm(8)就會大大提高 (E)IDE 硬盤的性能。假設使用的 Linux 中沒有包含這個軟件,可從 ftp://metalab.unc.edu/pub/Linux/system/hardware查找;設法在這個網址上找一個稱為hdparm-X.Y.tar.gz的軟件。
由於使用這個軟件的細節取決於硬盤的種類和控制程序,因此在此無法提出通則。使用不當,可能會損及文檔系統,因此使用之前,務必詳細閱讀 man 說明。以最簡單的例子而言,在/etc/rc.d/rc.sysinit內可增加一行,內容如下:
/sbin/hdparm -c1 /dev/hda # -- 假定為第一個 IDE 硬盤
這行提供了 (E)IDE 32-bit I/O 的支持。關於 -m 選項,hdparm的作者 Mark Lord 告訴我:
(...) 如果系統內的組件是前幾年的產品 [< 1997],一般都沒有問題。如果是老舊的設備,可能不行(但也許沒問題)。真正發生問題的是 2 - 3 年前在 486 和 (早期)586 母板上廣泛使用的 CMD0646 和 RZ1000 這兩種晶片。
下列設置應可使用於最近的電腦:
/sbin/hdparm -c1 -A1 -m16 -d1 /dev/hda
2.8 並聯埠 Zip 磁碟機
利用最近內核(2.x.x)所帶的驅動程序就可使用並聯埠的 Zip 磁碟機。在設置內核時,務必加裝使用 SCSI 和 SCSI 磁盤的功能。注意:打印機和 Zip 磁碟機共用並聯埠時可能會發生沖突,因此最好使用內核模組設置。在 http://www.torque.net/ 上還有一個代用的 ppa 驅動程序。
Zip 磁片出售時已經格式化,其分割為 /dev/sda4。在設定 Zip 磁碟機時,在 /etc/rc.d/rc.sysinit 檔中加附下列內容:
# Enable the Zip drive -- 設定 Zip 磁碟機
/sbin/modprobe ppa
Zip 磁片可在/etc/fstab中加列以下內容或通過 Mtools 在/etc/mtools.conf中增加下列內容加載:
drive z: file="/dev/sda4" exclusive
此外,mzip指令也可用於彈出、查詢機況、讀寫和附加密碼於 Zip 磁片;詳情請查閱man mzip。 Mtools 的網址在 http:// Linux .wauug.org/pub/knaff/mtools。
2.9 設備驅動程序
列在/dev中(或連接到實際設備驅動程序)的設備可能並不確切。檢查滑鼠、數據機和光碟驅動程序對應的設備為何,然後作出下列設定:
/dev# ln -s ttyS0 mouse; ln -s ttyS1 modem; ln -s hdb cdrom; ln -s sda4 zip
在多數筆記本電腦上,鼠標的設置是/dev/psaux:在設置 X11 時應將此列入考慮。
不妨將這些設置都通過 chmod 666 改變屬性,使所有使用者均可使用這些設備。
2.10 聲卡
我只有一張舊聲卡 Sound Blaster 16;即使您的聲卡與我的不同,不過下列方法也可引導您如何設置聲卡。
我將聲卡的驅動程序作為模組(sb.o)編入內核。然後將下列內容列入/etc/conf.modules:
options sb io=0x220 irq=5 dma=1 dma16=5 mpu_io=0x330
alias sound sb
要啟動聲卡,首先運行modprobe sound,或者使用 RedHat 的工具sndconfig。
2.11 登錄信息
如要自設登錄信息,首先檢查/etc/rc.d/rc.local是否覆蓋/etc/issue和/etc/mo
td的內容。(RedHat 覆蓋內容)如屬肯定,請打開文本編輯器。
如要使登錄信息帶有顏色,可在rc.local中列入下列內容:
# put a real escape character instead of ^[. To do this:
# emacs: ^Q ESC vi: ^V ESC joe: ` 0 2 7 jed: ` ESC
ESC="^[" # a real escape character
BLUE="$ESC[44;37m"
NORMAL="$ESC[40;37m"
CLEAR="$ESC[H$ESC[J"
> /etc/issue
echo "$CLEAR" >> /etc/issue
echo "$BLUE Welcome to MyServer (192.168.1.1) " >> /etc/issue
echo "$NORMAL " >> /etc/issue
echo "" >> /etc/issue
2.12 主機名稱
只運行hostname new_host_name指令也許不夠。要解決sendmail死機的問題,可采用下列步驟(只適用於單機):
編輯/etc/sysconfig/network和改變其中的主機名稱(例如new_host_name.localdomain);
相應地編輯/etc/HOSTNAME;
將新機名編入/etc/hosts;
127.0.0.1 localhost new_host_name.locadomain
2.13 滑鼠(Mouse)
gpm 的滑鼠功能對在主控台進行剪貼至為有用,也可在一些應用中使用滑鼠。在 Red Hat 系統中,檢查有否一個稱為/etc/sysconfig/mouse 的文檔,內容如下:
MOUSETYPE="Microsoft"
XEMU3=yes
此外,還得有一個/etc/rc.d/init.d/gpm檔,其中還可設定一些指令。我設定的指令如下:
...
daemon gpm -t $MOUSETYPE -d 2 -a 5 -B 132 # two-button mouse -- 雙按鈕滑鼠
...
顯而易見,其中設置當然得與滑鼠的類型相符。在多數筆記型型電腦中, MOUSETYPE 應設為 “PS/2”。
在Caldera系統中,只要在/etc/rc.d/rc.boot中加入此行即可:
/usr/bin/gpm
在S.u.S.E.中,在/etc/rc.config中加入gpm部分;在Debian系統中,則需修改 /etc/gpm.conf。
如果喜歡用Ctrl按鈕使用主控台的菜單,則需設置gpm-root。修改 /etc/gpm-root.conf中的預設菜單,然後從/etc/rc.d/rc.local啟動 gpm-root。
2.14 加載位置(Mount Points)
為方便使用,應對軟盤、其他設備和NFS的輸出目錄設定加載位置。例如,可采用下列辦法:
/mnt# mkdir floppy; mkdir cdrom; mkdir win; mkdir zip; mkdir server
此行設定了 DOS/Win 軟盤(ext2磁片)、CD-ROM、Windows 分割區、平行口 Zip 驅動器和 NFS 目錄的加載位置。
然後修改 /etc/fstab 檔,並增加下列內容:
/dev/fd0 /mnt/floppy auto user,noauto 0 1
/dev/cdrom /mnt/cdrom iso9660 ro,user,noauto 0 1
/dev/zip /mnt/zip vfat user,noauto,exec 0 1
/dev/hda1 /mnt/win vfat user,noauto 0 1
server:/export /mnt/server nfs defaults
顯而易見,第一欄必須使用正確的設備名稱。最近發表的內核已經支持 fat32;以前的內核需要修補。修補軟件可從 http://bmrc.berkeley.edu/people/chaffee/fat32.html取得。有關這方面的進一步資料,可查詢 man mount。
注意第一行中的“auto”文檔系統格式;這表示可加載 ext2 和 vfat(DOS/Windows)兩種系統格式制作的磁片。mtools也是相當好用的工具。
2.15 lilo(8) 和 LOADLIN.EXE
許多使用者在電腦上同時運行 Linux 和 DOS/Windows 兩套操作系統,並在開機時選用其中之一;這應在安裝時作出設定,如果當時沒有設定,可采取下列辦法解決。首先假定 /dev/hda1中裝有 DOS/Windows, /dev/hda2 中裝有 Linux .
將 /dev/hda 作為默認設備!
Command (m for help):a
Partition number (1-4): 2
Command (m for help):w
經過這項設定, Linux 分割區成為啟動操作系統。然後在/etc/lilo.conf中作出設定:
boot = /dev/hda2
compact # may conflict with "linear" --可能與“linear”沖突
delay = 100 # 10 seconds --等待10秒
linear # gets rid of the "1024 cylinder" problem --解決1024磁圈的問題
# message = /boot/bootmesg.txt # write your own, if you will --自訂開機信息
root = current
image = /boot/vmlinuz # boot Linux by default as this entry comes first --默認的內核
label = Linux
read-only
# append="mem=128M" # to see more memory than 64M --如果記憶內存大於64M
other = /dev/hda1
table = /dev/hda
label = dos
運行/sbin/lilo後就大功告成。由於lilo是安裝中極其重要的部分,無論如何應該詳細閱讀有關這方面的資料。
如果不打算重作設定,而要從 DOS/Windows 內啟動 Linux ,可把 LOADLIN.EXE 放入一個屬於 DOS 路徑的子目錄(DOS 分割區);然後將內核拷貝到該子目錄,例如C:\TEMP\VMLINUZ。利用下面簡單的 .BAT檔就可啟動 Linux:
rem Linux .bat
smartdrv /C
loadlin c:\temp\vmlinuz root=/dev/hda2 ro
如使用 Windows 9X,則設定這個.BAT檔的特性,使其從 MS-DOS 狀態啟動。
安全考量
在安裝 Linux 之前,先制作一張 MBR 區的備份磁片,以防不測。先運行restorrb(包括在FIPS的軟件包內),或以下面的指令制作 Linux 的死機解救磁片:
rescue:
然後至少制作兩片有MBR檔的磁片。如果一旦故障停機,可用下列指令恢復原先的 MBR:
rescue:
當然,這要在/mnt已加載包含MBR的磁片。否則,利用 DOS 的解救磁片運行FDISK /MBR。
2.16 電子郵件
如何閱讀以 HTML 格式或含有其他各種文件格式的電子郵件呢?首先要有兩個文檔:/etc/mime.types 和/etc/mailcap。第一個文檔列出文件的格式及其擴展名:
application/postscript ps eps
image/jpeg jpe jpeg jpg
text/html html
而第二個文檔規定如何顯示這種文檔的格式。
有時有的電子郵件使用 Microsoft Outlook 發送,其內容含有多重
MIME 格式。閱讀這類電子郵件需要在etc/mailcap中加入下列兩行:
text/plain; less %s; needsterminal
text/html; lynx -force_html %s; needsterminal
2.17 打印機的設置
就我所知,各種 Linux 版本均有設置打印機的工具(printtool,yast或magicfilter);否則可用基本的手動設定。
假定要用非 PostScript 打印機(也非“Windows-only”的打印機)來打印原始文件(例如 C 程序的原始碼文本)和利用 GhostScript 來打印 PostScript 文檔(此處假定已安裝了 GhostScript)。
設定打印機的步驟如下:
檢查並行口的打印機:
~# echo "hello, world" > /dev/lp0
~# echo "hello, world" > /dev/lp1
記下聯機的打印機和端口。
設定兩個 spool 子目錄:
/var/spool/lpd/# mkdir raw; mkdir postscript
如果打印機印出的結果有“台階”現象(多數 InkJet 打印機都有這種現象),則需要一個過濾器。試印下面兩列:
~# echo "first line" > /dev/lp1 ; echo "second line" > /dev/lp1
如果印出的結果如下:
first line
second line
將此文檔作為/var/spool/lpd/raw/filter保存:
#!/bin/sh
# 這個過濾器可消除“台階”現象
awk '{print $0, "\r"}'
運行chmod 755 /var/spool/lpd/raw/filter使其成為可執行文檔。
要制作用於PostScript仿真的過濾器,則將過濾器定名為 /var/spool/lpd/postscript/filter:
#!/bin/sh
DEVICE=djet500
RESOLUTION=300x300
PAPERSIZE=a4
SENDEOF=
nenscript -TUS -ZB -p- |
if [ "$DEVICE" = "PostScript" ]; then
cat -
else
gs -q -sDEVICE=$DEVICE \
-r$RESOLUTION \
-sPAPERSIZE=$PAPERSIZE \
-dNOPAUSE \
-dSAFER \
-sOutputFile=- -
fi
if [ "$SENDEOF" != "" ]; then
printf "\004"
fi
(上例使用 HP DeskJet 打印機。如為他種打印機,則作出相應修改。)
最後在/etc/printcap內增加下列內容:
# /etc/printcap
lp|ps|PS|PostScript|djps:\
:sd=/var/spool/lpd/postscript:\
:mx#0:\
:lp=/dev/lp1:\
:if=/var/spool/lpd/postscript/filter:\
:sh:
raw:\
:sd=/var/spool/lpd/raw:\
:mx#0:\
:lp=/dev/lp1:\
:if=/var/spool/lpd/raw/filter:\
:sh:
其他更為復雜或少見的打印設置,請參考 Printing-HOWTO。
注意:如使用printtool,Printtool選取的 GSDEVICE 可以用於打印,但不一定是最好的選擇。不妨對postscript.cfg檔作些修改;例如,把 GSDEVICE 內cdj500 改為 djet500,就可加快打印的速度。
2.18 SVGATextMode
放在 ftp://tsx-11.mit.edu/pub/ Linux /sources/sbin上的工具軟件對改變主控台的屏幕分辨率、字體和游標的形狀非常有用。在主控台上工作時,需要使用重音字體的文字(譯注:如歐洲文字)或需要改變筆記本電腦游標的大小都可使用這套軟件。
從默認的 VGA 參數開始,首先編輯/etc/TextConfig或/etc/TextMode。使用歐洲文字的用戶應該對其中含有“LoadFont”一節感到慶幸。
Option "LoadFont"
FontProg "/usr/bin/setfont"
FontPath "/usr/lib/kbd/consolefonts"
FontSelect "lat1u-16.psf" 8x16 9x16 8x15 9x15
FontSelect "lat1u-14.psf" 8x14 9x14 8x13 9x13
FontSelect "lat1u-12.psf" 8x12 9x12 8x11 9x11
FontSelect "lat1u-08.psf" 8x8 9x8 8x7 9x7
完成這項設定之後,運行SVGATextMode "80x34x9"。如果覺得一切運行順利,從/etc/TextMode中刪除警告,並將下行寫入 etc/rc.d/rc.sysinit:
# SVGATextMode
/usr/sbin/SVGATextMode "80x34x9"
注意:方塊游標只在有些模式下有效;在我的筆記本電腦上,其數值為“80x32x9”。
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
3. 管理員的一般工作
要做的工作那麽多,時間又那麽少!盡管有許多工作要完成,但我們還是先從這一節開始。這一節主要與網路有關。網路聯網涉及的問題□多,無法在此全部概括。首先應參考NET-3 HOWTO,此外,多數 Linux 版本也提供了如何設定網路功能的資料。此處只預備討論其中幾項要點。
假設在 Linux 上預備安裝calendar或reminder、Http、Samba、telnet/ssh登錄、匿名 ftp(anonymous ftp)、POP/IMAP服務器和NFS等功能。
3.1 網路設置
設定 Linux 各種版本網路功能的方法可能相當復雜,但下述腳本足夠啟動網路:
#!/bin/sh
# net-up.sh: set up network access --設定聯網
DEVICE=eth0 #-- 網卡
IPADDR=192.168.1.100
NETMASK=255.255.255.0
NETWORK=192.168.1.0
GATEWAY=192.168.1.1
ifconfig $DEVICE $IPADDR netmask $NETMASK up
route add -net $NETWORK netmask $NETMASK $DEVICE
route add default gw $GATEWAY
這個腳本在使用解救磁片連接網路時非常有用。當然,它只能使機器通過 ping,ftp 和 telnet 與外界聯絡。
3.2 分享網際網路
Linux 服務器的一項最有用的功能就是分享網際網路。目前,大多數現成可用的內核都已附有 IP firewalling、masquerading 和 forwarding 的功能。如要知道詳細功能,可參看 IP-Masquerade mini-HOWTO。然後安裝 ipfwadm(內核 2.0.x; http://www.xos.nl/ Linux /ipfwadm/)或 ipchains(內核2.2.x; http://www.adelaide.net.au/)。
注意:對需要的功能,啟動相應的內核模組。例如,如需要ftp,則應將下行加入 /etc/rc.d/rc.sysconfig:
/sbin/modprobe ip_masq_ftp
其他模組通常都放在/lib/modules/KERNEL-VERSION/ipv4檔中。
為本地網路的其他機器啟動IP masquerading功能的程序非常簡單。首先檢查網路初始化腳本/etc/sysconfig/network (應在應該放置的位置)是否有內容為FORWARD_IPV4=true的一行。通常在網路啟動時 /proc/sys/net/ipv4/ip_forward均設為 1。
在/etc/rc.d/rc.sysinit中增加以下數行:
# default: packets cannot go reach the outside
# 預設為數據包無法發送到網際網路
/sbin/ipfwadm -F -p deny
# allow all machines on the local network to reach the Internet
# 使本地網路上的所有機器均可連接網際網路
/sbin/ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0
# alternatively, allow only these two machines
# 或只讓下面兩台電腦連到網際網路
# /sbin/ipfwadm -F -a m -S 192.168.1.100/24 -D 0.0.0.0/0
# /sbin/ipfwadm -F -a m -S 192.168.1.101/24 -D 0.0.0.0/0
如 Linux 已使用 2.2.x 系列內核,以ipfwadm-wrapper代替ipfwadm可加快啟動速度。
現在應使用戶端機器撥接ISP;可試用Mserver( http://cpwright.villagenet.com/mserver/)。修改etc/mserver.conf;只需改動“checkhost”、“shadow”和“cname”三項。然後設定聯網參數。
3.3 限制網路連接
假定電腦通過PPP連到網際網路。任何機器連到網際網路就有可能遭到外界的入侵。在 /etc/hosts.allow中列入以下內容:
# only allow access to localhost
# 只允許連到localhost
ALL: 127.
並在/etc/hosts.deny中列入:
# deny access to everyone
# 不讓任何人進入
ALL: ALL
如果電腦所屬的網路直接與網際網路連接,由於安全的理由,最好取消finger、telnet等功能;利用ssh替代telnet。此處只要修改/etc/inet.conf檔即可。同時,也可在/etc/hosts.allow中增加下列內容限制網路連接:
in.telnetd: 192.168.1., .另一個.可信的.網路地址
in.ftpd: 192.168.1., .另一個.可信的.網路地址
並在/etc/hosts.deny中增加下列內容:
in.telnetd: ALL
in.ftpd: ALL
3.4 NFS輸出
這種方式用於服務器用戶目錄的輸出;但如果用戶的 UID 和 GID 在各台機器上各不相同,就會發生問題。如果用戶 guido 在server上的 UID/GID 為 500,在client上的 UID/GID 為 512,則可設置如下:
# /etc/exports
/tmp my.client.machine(rw)
/home/guido my.client.machine(rw,map_static=/etc/nfs/client.map)
在/etc/nfs/client.map檔中填入:
# /etc/nfs/client.map
# NFS mapping for client
# remote local
uid 512 500
gid 512 500
3.5 域名服務器
有待編寫 (譯注:作者顯然忘了編寫這部分內容)
--------------------------------------------------------------------------------