来源: 互联网  发布时间: 2013-12-24

要建立一个安全Linux服务器就首先要了解Linux环境下和网络服务相关的配置文件的含义及如何进行安全的配置。在Linux系统中，TCP/IP网络是通过若干个文本文件进行配置的，也许你需要编辑这些文件来完成联网工作，但是这些配置文件大都可以通过配置命令linuxconf (其中网络部分的配置可以通过netconf命令来实现)。下面介绍基本的 TCP/IP网络配置文件。

　　* /etc/conf.modules文件

　　该配置文件定义了各种需要在激活时加载的模块的参数信息。这里主要着重讨论关于网卡的配置。在使用Linux做网关的情况下，Linux服务器至少需要配置两块网卡。为了减少激活时可能出现的问题，Linux内核不会自动检测多个网卡。对于没有将网卡的驱动编译到内核而是作为模块动态加载的系统若需要安装多块网卡，应该在“conf.modules”文件中进行相应的配置。

　　若设备驱动被编译为模块(内核的模块)：对于PCI设备，模块将自动检测到所有已经安装到系统上的设备;对于ISA卡，则需要向模块提供IO地址，以使模块知道在何处寻找该卡，这些信息在“/etc/conf.modules”中提供。

　　例如，我们有两块ISA总线的3c509卡，一个IO地址是0x300，另一个是0x320。编辑“conf.modules”文件如下：alias eth0 3c509alias eth1 3c509options 3c509 io=0x300，0x320这是说明3c509的驱动程序应当分别以eth0或eth1的名称被加载(alias eth0，eth1)，并且它们应该以参数io=0x300，0x320被装载，来通知驱动程序到哪里去寻找网卡，其中0x是不可缺少的。

　　对于PCI卡，仅仅需要alias命令来使ethN和适当的驱动模块名关联，PCI卡的IO地址将会被自动的检测到。对于PCI卡，编辑“conf.modules”文件如下：alias eth0 3c905alias eth1 3c905若驱动已经被编译进了内核：系统激活时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到，但是在某些情况下，ISA卡仍然需要做下面的配置工作：

　　在“/etc/lilo.conf”中增加配置信息，其方法是通过LILO程序将激活参数信息传递给内核。对于ISA卡，编辑“lilo.conf”文件，增加如下内容：append=" ether="0，0，eth0 ether="0，0，eth1"注：先不要在“lilo.conf”中加入激活参数，测试一下你的ISA卡，若失败再使用激活参数。

　　如果用传递激活参数的方法，eth0和eth1将按照激活时被发现的顺序来设置。

　　* /etc/HOSTNAME文件：

　　该文件包含了系统的主机名称，包括完全的域名，如：

　　deep.openarch.com

　　*/etc/sysconfig/network-scripts/ifcfg-ethN文件：

　　在RedHat中，系统网络设备的配置文件保存在“/etc/sysconfig/network-scripts”目录下，ifcfg-eth0包含第一块网卡的配置信息，ifcfg-eth1包含第二块网卡的配置信息。

　　下面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例：DEVICE=eth0IPADDR=208.164.186.1NETMASK=255.255.255.0NETWORK=208.164.186.0BROADCAST=208.164.186.255ONBOOT=yesBOOTPROTO=noneUSERCTL=no

　　若希望手工修改网络地址或在新的接口上增加新的网络界面，可以通过修改对应的文件(ifcfg-ethN)或创建新的文件来实现。

　　DEVICE=name name表示物理设备的名字

　　IPADDR=addr addr表示赋给该卡的IP地址

　　NETMASK=mask mask表示网络掩码

　　NETWORK=addr addr表示网络地址

　　BROADCAST=addr addr表示广播地址

　　ONBOOT=yes/no 激活时是否激活该卡

　　none：无须激活协议

　　bootp：使用bootp协议

　　dhcp：使用dhcp协议

　　USERCTL=yes/no 是否允许非root用户控制该设备

　　*/etc/resolv.conf文件：

　　该文件是由域名解析器(resolver，一个根据主机名解析IP地址的库)使用的配置文件，示例如下：

　　search openarch.comnameserver 208.164.186.1nameserver 208.164.186.2

　　“search domainname.com”表示当提供了一个不包括完全域名的主机名时，在该主机名后添加domainname.com的后缀;“nameserver”表示解析域名时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中出现的顺序来查询的。
*/etc/host.conf文件：

　　该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。下面是一个“/etc/host.conf”的示例：

　　order bind，hosts

　　multi on

　　ospoof on

　　“order bind，hosts”指定主机名查询顺序，这里规定先使用DNS来解析域名，然后再查询“/etc/hosts”文件(也可以相反)。

　　“multi on”指定是否“/etc/hosts”文件中指定的主机可以有多个地址，拥有多个IP地址的主机一般称为多穴主机。

　　“nospoof on”指不允许对该服务器进行IP地址欺骗。IP欺骗是一种攻击系统安全的手段，通过把IP地址伪装成别的计算器，来取得其它计算器的信任。

　　*/etc/sysconfig/network文件

　　该文件用来指定服务器上的网络配置信息，下面是一个示例：

　　NETWORK=yesRORWARD_IPV4=yesHOSTNAME=deep.openarch.comGAREWAY=0.0.0.0GATEWAYDEV=NETWORK=yes/no 网络是否被配置;FORWARD_IPV4=yes/no 是否开启IP转发功能HOSTNAME=hostname hostname表示服务器的主机名GAREWAY=gw-ip gw-ip表示网络网关的IP地址GAREWAYDEV=gw-dev gw-dw表示网关的设备名，如：etho等

　　注意：为了和老的软件相兼容，“/etc/HOSTNAME”文件应该用和HOSTNAME=hostname相同的主机名。

　　*/etc/hosts文件

　　当机器激活时，在可以查询DNS以前，机器需要查询一些主机名到IP地址的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下，系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。

　　下面是一个“/etc/hosts”文件的示例：

　　IP Address Hostname Alias127.0.0.1 Localhost Gate.openarch.com208.164.186.1 gate.openarch.com Gate

　　最左边一列是主机IP信息，中间一列是主机名。任何后面的列都是该主机的别名。一旦配置完机器的网络配置文件，应该重新激活网络以使修改生效。使用下面的命令来重新激活网络：/etc/rc.d/init.d/network restart

　　* /etc/inetd.conf文件

　　众所周知，作为服务器来说，服务端口开放越多，系统安全稳定性越难以保证。所以提供特定服务的服务器应该尽可能开放提供服务必不可少的端口，而将与服务器服务无关的服务关闭，比如：一台作为www和Ftp服务器的机器，应该只开放80 和25端口，而将其它无关的服务如：finger auth等服务关掉，以减少系统漏洞。

　　而inetd，也叫作“超级服务器”，就是监视一些网络请求的守护进程，其根据网络请求来调用相应的服务进程来处理连接请求。inetd.conf则是inetd的配置文件。inetd.conf文件告诉inetd监听哪些网络端口，为每个端口激活哪个服务。在任何的网络环境中使用Linux系统，第一件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉，最好卸载掉，这样黑客就少了一些攻击系统的机会。查看“/etc/inetd.conf”文件，了解一下inetd提供哪些服务。用加上注释的方法(在一行的开头加上#号)，禁止任何不需要的服务，再给inetd进程发一个SIGHUP信号。

　　第一步：把文件的权限限改成600。

　　[root@deep]# chmod 600 /etc/inetd.conf

　　第二步：确信文件的所有者是root。

　　[root@deep]# stat /etc/inetd.conf

　　第三步：编辑“inetd.conf”文件(vi /etc/inetd.conf)，禁止所有不需要的服务，如：ftp、 telnet、 shell、 login、 exec、talk、ntalk、 imap、 pop-2、pop-3、finger、auth，等等。如果你觉得某些服务有用，可以不禁止这些服务。但是，把这些服务禁止掉，系统受攻击的可能性就会小很多。改变后的“inetd.conf”文件的内容如下面所示：

# To re-read this file after changes， just do a 'killall -HUP inetd'##echo stream tcp nowait root internal#echo dgram udp wait root internal#discard stream tcp nowait root internal#discard dgram udp wait root internal#daytime stream tcp nowait root internal#daytime dgram udp wait root internal#chargen stream tcp nowait root internal#chargen dgram udp wait root internal#time stream tcp nowait root internal#time dgram udp wait root internal## These are standard services.##ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd## Shell， login， exec， comsat and talk are BSD protocols.

    

    来源: 互联网  发布时间: 2013-12-24

如果你使用的是Windows 7，推荐阅读《演示：Windows7 下安装IIS7 启用ASP+Access环境》

安装IIS 5.1

1.下载IIS 5.1 （winxp sp3 IIS 5.1）

2.打开【控制面板】->【添加或删除程序】，点击【添加/删除Windows组件(A)】，勾选【Internet信息服务(IIS)】,点击【下一步】

3.提示【插入磁盘】，点击【确定】

4.弹出【所需文件】，点击【浏览】

5.找到下载好并解压出来的IIS 5.1(这里为D盘下的Win XP IIS5.1)，选择并打开

接着打开

6.然后点击【确定】，就会开始安装。

注：安装的过程中，也许还会弹出几次类似上面的【所需文件】的对话框，一律通过【浏览】打开刚才的文件夹(这里为D盘下的Win XP IIS5.1)

顺利的话，很快就安装好IIS啦。

配置IIS

1.打开【控制面板】->【管理工具】，双击打开【Internet 信息服务】

2.依次展开计算机->网站->默认网站，在【默认网站】上右键，查看【属性】。

切换到【主目录】，按照下图勾选，同时将【执行权限】设置为【脚本和可执行文件】，点击【应用】

切换到【文档】在这里可以添加默认文档，比如这里我添加index.asp，还可以上下移动顺序，根据你的需要设置即可。

切换到【目录安全性】点击【编辑】，勾选【允许 IIS 控制密码】，确定

3.在【默认网站】右键，点击【浏览】

如果在浏览器中正常打开 IIS 5.1文档，说明 IIS 设置成功。

安装网站程序

1.将你的网站程序复制到【wwwroot】文件夹下，可以删除该文件夹下的其他文件，将程序源码放到根目录，也可以建一个文件夹装着你的程序源码文件，比如这里我建立一个blog文件夹，里面是Z-Blog安装文件

小贴士：此时【wwwroot】文件夹对应的地址是 http://localhost/ 或者 http://127.0.0.1/

2.访问 http://localhost/blog/install.asp (这是zblog安装文件的路径，你要根据你的实际情况访问)，就可以开始安装程序了，如果一切都很顺利，那说明没什么问题了。

3.如果出现安装过程出错，或者访问网站出错，比如提示 无法打开/无法连接/数据库连接错误 等信息，很可能是由于权限问题引起的，你就要按照下面的教程来操作。

用户权限设置

大家应该知道，在Windows系统中，NTFS格式的分区是比较安全的，这是因为设置了相关的权限。正式由于NTFS分区权限的限制，导致了不同用户在NTFS分区中的权限不一样，没有获得相应的权限，就不能进行读写等操作。

IIS 使用的是匿名用户【IUSR_计算机名】 ，安装程序时，【IUSR_计算机名】要写入和修改文件，连接数据库时也要通过C:Windowstemp目录作缓存进行数据交换，所以我们要赋予用户【IUSR_计算机名】相应的权限。

查看一下你的站点 wwwroot文件夹 所在的分区的格式，如果为NTFS格式，那就要赋予用户【IUSR_计算机名】相应的权限。

如何查看分区格式？

在分区图标上右键，查看属性，就可以看到文件系统对应的是否为NTFS，如下图

根据上面的分析，这里我们要给【IUSR_计算机名】用户设置【C:Windowstemp】 和【C:Inetpubwwwrootblog】的操作权限。

1.打开C:Windows，打开【工具】->【文件夹选项】，去除【使用简单文件共享】的钩，确定

2.在C:Windows找到Temp文件夹，右键查看属性，在【安全】下【添加】，点击【高级】

2.点击【立即查找】，然后选择以 IUSR_ 开头的用户，点击【确定】

确定

3.选择刚才添加的用户，按照下图赋予【完全控制】的权限，确定

4.同样在网站目录blog文件夹上右键属性，【安全】，选择刚才的 IUER_ 用户，同样赋予【完全控制】权限

5.这时候访问网站，如果一切正常了，那就万事OK啦！

总 结

本文虽然演示的是Windows XP系统，其实在Windows 2003下也是大同小异的。

如果网站根目录分区是NTFS格式，在网站运行期间，出现的各种无法访问的错误，一般都是由于权限问题引起的，可以按照上面的方法，对文件夹赋予 IUSR_ 用户相应的权限即可。FAT32格式的分区，一般不存在这样的问题。

如果你在设置过程中遇到问题，可以在下面留言，我们一定会尽量帮助你的。

    

    来源: 互联网  发布时间: 2013-12-24

制作动态网页就需要进行环境配置，一般用微软的IIS，但是默认安装情况下IIS是没有被安装的，所以使用的时候需要进行安装配置，具体操作步骤如下图：

在控制面板里打开添加删除程序选项

 

这一步可能出现：xp系统无法打开添加与删除windows组件的情况，点击这里解决。