TCP-IP
IP(Internet Protocol)地址是 TCP/IP 網上為主機之間數據
選擇路徑(交換)的基礎,但是,用戶通常不甚喜歡使用由數字
組成的 IP 地址,而比較喜歡使用多由英文字母組成的主機名字--
URL(Uniform Resource Location)。
不過,主機名字必需映像到 IP 地址,而方法就是通過 /etc/hosts
文件完成。
配置 /etc/hosts
/etc/hosts 的格式是:地址--名字--別名。
例如:
127.0.0.1 localhost localhost
132.147.18.1 vision vision.sco.com
IP 地址必需是一行上的第一項,在它前面不應有任何字符,例如
空格符或制表符;名字是簡單的主機名字;別名則在很多情況下
都不需要,但是,全限主機名字、簡單主機名字和轄區名字都歸
入別名之列。
檢測 TCP/IP 配置
TCP/IP 協議的軟件部份包括 TCP/IP 協議層架的頂三級,即
應用級(Application Protocol)、傳送級(Transport Protocol)
和網際網級(Internet Protocol)。特定的主機名字”Localhost”
是特殊網絡”loopback”上的本地主機的別名。
要檢測 TCP/IP 協議層架的軟件部份,使用 ping 指令:
#ping localhost
如果 Ping localhost 失敗,則使用 netstat -i[n],檢查網絡接
口的狀況,顯示網絡接口上分組傳輸的統計訊息,指令如下:
#netstat -i[n]
n 選項強行顯示編號,而不是名字。netstat 查看自環驅動器 lo0 ,
如果 lo0 失敗,則在 /etc/tcp 中”ifconfig lo0”行指示壞了或
有錯誤。
檢測 TCP/IP 硬件
審核引導過程中,會對所職別的網絡接口產生的配置報告,而
TCP/IP 協議的硬件部分包括 TCP/IP 協議層架的底兩級,即
網絡接口級和物理/硬件級。
對網上另一主機的任何通訊都是在「物理」網絡接口上傳輸,並
不會引起數據傳輸到「自環」網絡上。
使用 ping 指令檢測 TCP/IP 協議層架的硬件部份。
#ping hostname
或
#ping IP-address
如果 ping 指令失敗,則改用 netstat -i[n] 審核網絡接口。
了解 netstat -i 的輸出
如果遠地主機上使用 ping 之後,Opkts 和 Ipkts 仍然是零,那麽,
網絡接口大概使用了不同的中斷(Interrupt),而不是它的設備
驅動程序。
如果 Ipkts 不是零,而 Opkts 等於 Oerrs,那麽,網卡的 I/O 地址
可能不正確。如果 Ipkts 是零,而 Opkts 等於 Oerrs ,那麽,可
能是網絡電纜連接的不合格。
通過用 Opkts 除 Cloois ,再用 100 乘所得的結果,計算沖突的百
份比。如果沖突的百份比少於百份之五到十,那麽,所有網絡接
口是有效運行。
如果 ping 失敗,並查出網絡接口有問題,那麽,就該驗證網絡介
質操作。
調整 TCP/IP 的核心參數
沒有足夠的流資源(Stream Parameter),網絡程序是不能進行
通訊;流資源不充份的話,經常會導致較慢的吞吐率。
要核查流資源,使用 netstat -m ;也可以使用 crash 指令考察流
資源,在出現 crash 發出的提示符’>”時,打入”strstat”。
如果在 FAIL 列的下面有不等於零的項目,那麽,同一行中的
ITEM 的項目可能需要調整。如果 FAIL 列下的數目大於或等於
TOTAL 列中數目的百份之十,該資源每次應增加一或二,但不
能將該數目加倍。
由於流資源使用 RAM,當增加流資源時,應加倍小心。用戶亦可
以使用 configure 或 sysadmsh 增加特定的流資源,重新連接核心
或重新引導。
限制通過 ftp 訪問系統的權限
對於不想令其使用 ftp 跨網訪問系統的人,可以通過建立
/etc/ftpusers 文件和設立系統帳戶名字的方法,阻止他獲得利
用 ftp 訪問系統的權限。
如果 /etc/ftpusers 不存在的話,先要建立。在單獨的行上,加
上系統帳戶的名字,表明不能從網中其它系統使用 ftp 訪問該系
統,在安全系統中,不允許 ftp 訪問用戶權和 uucp ,列出任何其
限制使用 ftp 的用戶名字。