【正文】 你輸入登錄到quark的時(shí)候，可以給網(wǎng)絡(luò)軟件quark的IP 地址； 當(dāng)IP 處理任何數(shù)據(jù)到物理系Ethernet的時(shí)候，它需要找到相對(duì)應(yīng)于IP地址的Ethernet地址，這似乎有些混亂。 我們?cè)谶@里不準(zhǔn)備在繼續(xù)了，進(jìn)一步的內(nèi)容將在章節(jié)中提到?，F(xiàn)在，可以完全記起這些查找地址的步驟被稱為主機(jī)名決議， 用于引導(dǎo)主機(jī)名到IP地址和地址決議，用于引導(dǎo)后面的部分到硬件地址。)通過并聯(lián)線上的IP 本文出自: 作者: Andrew Anderson 在連續(xù)線上，一個(gè)被叫作SLIP或者Serial Line IP的一個(gè)``de facto39。39。標(biāo)準(zhǔn)經(jīng)常會(huì)用到。一個(gè)SLIP的 修改被稱為CSLIP，或者是壓縮的SLIP，并且使用IP標(biāo)題壓縮來使連續(xù)線提供的相當(dāng)?shù)偷膸捀玫氖?用。一個(gè)不同的連續(xù)協(xié)議是PPP，或者是點(diǎn)到點(diǎn)協(xié)議。PPP比SLIP有更多的特征，包括一個(gè)談話階段的 連接。然而，使用SLIP的主要優(yōu)勢(shì)是這不僅限于傳輸IP datagrams,但是它不是設(shè)計(jì)用來傳輸任何類型 的datagrams。 )用戶Datagram協(xié)議 本文出自: 作者: Andrew Anderson 當(dāng)然，TCP不是TCP/IP網(wǎng)絡(luò)中唯一的用戶協(xié)議。盡管象rlogin一樣適合于應(yīng)用程序，它對(duì)于象NFS這樣的應(yīng)用程序 仍然有上層的限制。相替代的，就使用了TCP的同屬協(xié)議，稱為UDP，或者是User Datagram 一樣，UDP同樣允許一個(gè)應(yīng)用程序在遠(yuǎn)程機(jī)的一個(gè)特定的端口上同一個(gè)服務(wù)器聯(lián)系。，但是不會(huì)為此建立一個(gè)連接。 相反，你可能需要使用它來發(fā)送單個(gè)數(shù)據(jù)包到目標(biāo)服務(wù)器，也就是它的名字。 假設(shè)你已經(jīng)從部門的中心NFS服務(wù)器galois上逐級(jí)安裝了TeX路徑，并且你想要瀏覽描述如何使用LaTeX的文件。你 打開你的編輯器，它首先閱讀整個(gè)文件。然而可能會(huì)花費(fèi)太多的時(shí)間與galois建立一個(gè)TCP連接，發(fā)送文件，并再 次退出連接。相反的，一個(gè)連接要求到送到galois，它把文件制成幾個(gè)UDP數(shù)據(jù)包來發(fā)送，這樣就會(huì)迅速得多。但 是，UDP不能處理文件的丟失或者是損壞。這些都由應(yīng)用程序來決定—在這個(gè)例子中就是由NFS來決定。)端口的更多信息 本文出自: 作者: Andrew Anderson 端口可以被看作是網(wǎng)絡(luò)連接的接觸點(diǎn)。如果一個(gè)應(yīng)用程序想要提供一個(gè)特定的服務(wù)器，它就會(huì)將自己連接到 一個(gè)端口并等待客戶（這也稱為端口上的listening）。一個(gè)想要使用這個(gè)服務(wù)器的客戶在它的本地主機(jī)上 分配出一個(gè)端口，并在遠(yuǎn)程主機(jī)上連接到服務(wù)器端口。 端口的一個(gè)重要特性是當(dāng)一個(gè)連接在客戶和服務(wù)器之間建立的時(shí)候，服務(wù)器的另外一個(gè)副本可能會(huì)連接到服 務(wù)器端口然后等待更多的客戶。例如，這允許同一個(gè)主機(jī)上同時(shí)有幾個(gè)遠(yuǎn)程注冊(cè)，它們都使用同樣的端口513。 TCP可以在這些連接的兩端互相轉(zhuǎn)告，因?yàn)樗鼈儊碜杂诓煌亩丝诤椭鳈C(jī)。例如，如果你從erdos兩次記錄到 quark，第一個(gè)rlogin客戶將使用本地端口1023，而第二個(gè)端口將使用端口1022。然而二者在quark上都將連 接到同樣的端口。 這個(gè)例子顯示端口被當(dāng)作集合點(diǎn)使用。在那里一個(gè)客戶連接一個(gè)指定的端口來獲得一個(gè)特定的服務(wù)。為了使 一個(gè)客戶得知正確的端口號(hào)碼，兩個(gè)系統(tǒng)的管理員就這些號(hào)碼的標(biāo)志需要達(dá)成一個(gè)協(xié)議。對(duì)于廣泛使用的服務(wù)， 例如rlogin,這些數(shù)字需要進(jìn)行中心管理。這是由IETF（或者是Internet Engineering Task Force）完成的， 它有規(guī)律的釋放一個(gè)標(biāo)題為Assigned Numbers的RFC。在其它東西中間，它描述分配給wellknown services的 端口號(hào)碼。Linux使用一個(gè)定位服務(wù)器名稱為數(shù)碼的文件，稱為/etc/services。它將在部分 中介紹。 盡管TCP 和 UDP的連接都依靠端口，但是如果這些數(shù)字發(fā)生沖突，它們?nèi)匀粵]有什么作用。例如，TCP的端口 513需要區(qū)別于UDP的端口513。實(shí)際上，這些端口是兩個(gè)不同的服務(wù)器的連接點(diǎn)，稱為rlogin (TCP) 和rwho (UDP)。)插槽集合 本文出自: 作者: Andrew Anderson 在操作系統(tǒng)中，上述中的軟件所執(zhí)行的所有任務(wù)和協(xié)議通常是核心的部分，并且它是這樣。在世界上普 通的編程接口大多數(shù)是Berkeley Socket庫(kù)。它的名字來自一個(gè)流行的類比，該類比將端口視作插座，并且 就象插入一樣聯(lián)接一個(gè)端口。它提供(約束( 2 ))呼叫給指定的一臺(tái)遠(yuǎn)程主機(jī)，一個(gè)運(yùn)輸協(xié)議，以及一個(gè)能連 結(jié)或聽到的程序(使用聯(lián)接( 2 ),聽( 2 )和接受（2））。然而socket庫(kù)很一般,因?yàn)樗粌H提供 一類TCP/IPbased 插座（ AF_INET 插座),而且處理到機(jī)器的本地連接的一個(gè)類( AF_UNIX 類)。一些執(zhí)行也 能處理其他的級(jí)別,象 XNS 一樣(復(fù)印聯(lián)網(wǎng)系統(tǒng))協(xié)議，或 。 socket庫(kù)是標(biāo)準(zhǔn)的 libc C庫(kù)的部分。當(dāng)前，它僅僅支持 AF_INET 和 AF_UNIX 插座，但是努力為 Novell 的聯(lián)網(wǎng)協(xié)議給予一體的支持,以便最終一個(gè)或一個(gè)以上的插座類別為這些可以被增加。網(wǎng)絡(luò)管理員指南 本文出自: 作者: Andrew Anderson 考慮全球程序者的努力結(jié)果，沒有全球網(wǎng)絡(luò)的支持就是不可能的。因此在早期的發(fā)展階段許多人開始使用網(wǎng)絡(luò) 資源提供程序就不值得大驚小怪了。一個(gè)UUCP安裝的運(yùn)行是從最開開始起步的，并且在從1992年秋天開始的以 TCP/IP為基礎(chǔ)的網(wǎng)絡(luò)上進(jìn)行。在那時(shí)Ross Biro和其他的創(chuàng)立者建立了現(xiàn)在的Net1。 在Ross與1993年退出發(fā)展行動(dòng)之后，F(xiàn)red van Kempen開始了在一個(gè)新的安裝上的工作，他重新撰寫了代碼的主 要部分。這個(gè)正在進(jìn)行的 努力被稱為Net2。第一個(gè)公共發(fā)布 Net2d是在1992年的夏天（ 一部分），并且開始由幾個(gè)人保護(hù)個(gè)擴(kuò)展，最顯著的是Alan Cox的Net2Debugged。在對(duì)代碼的大量的調(diào)試和實(shí) 踐之后。這是當(dāng)前包含在官方核心發(fā)布的網(wǎng)絡(luò)代碼的版本。 Net3為一個(gè)寬闊的Ethernet boards提供設(shè)備驅(qū)動(dòng)。如SLIP（為通過連續(xù)線發(fā)送網(wǎng)絡(luò)交通），和PLIP（對(duì)于平行 線）。使用Net3，有一個(gè)TCP/IP的安裝，它在一個(gè)本地的網(wǎng)絡(luò)環(huán)境中表現(xiàn)非常好，它顯示的工作狀態(tài)可以擊敗一 些商業(yè)PC機(jī)。發(fā)展的趨向是必要的穩(wěn)定以可靠的Internet主機(jī)上運(yùn)行它. 除了這些設(shè)備之外，還有幾個(gè)正在進(jìn)行的項(xiàng)目可以增加更多的功能,一個(gè)PPP的驅(qū)動(dòng)(點(diǎn)到點(diǎn)協(xié)議,在連續(xù)線上發(fā)送 網(wǎng)絡(luò)交通的另一種方法)當(dāng)前是在Beta階段,。Alan Cox還為 Novell39。s IPX協(xié)議安裝了一個(gè)驅(qū)動(dòng)，但是對(duì)于一個(gè)完整的網(wǎng)絡(luò)組套以兼容Novell的努力被暫時(shí)停止，因?yàn)镹ovell 不愿意提供必要的文件。另外一個(gè)有希望的工作是samba，它是由Andrew Tridgell撰寫的一個(gè)對(duì)于Un*x的NetBIOS 服務(wù)器。網(wǎng)絡(luò)管理員指南 1)發(fā)展的不同方向 本文出自: 作者: Andrew Anderson 同時(shí)，F(xiàn)red繼續(xù)發(fā)展,繼續(xù)到 Net2e ,大部分特征被聯(lián)網(wǎng)層的設(shè)計(jì)給修改了。在寫的時(shí)候， Net2e 仍然 是 Beta 軟件。關(guān)于 Net2e 大多數(shù)值得注意的是 DDI 的結(jié)合,設(shè)備驅(qū)動(dòng)器接口。 DDI 提供統(tǒng)一的存取和配置 方法提所有聯(lián)網(wǎng)設(shè)備和協(xié)議。 聯(lián)網(wǎng)的 TCP/IP 的另一個(gè)執(zhí)行來自 Matthias Urlichs ,它為 Linux 和 FreeBSD 寫出一個(gè) ISDN 驅(qū)動(dòng)器。 為此，他在核心中綜合一些BSD聯(lián)網(wǎng)代碼。 對(duì)于可預(yù)見的未來，然而, Net3 似乎要在這里留下來。Alan當(dāng)前在由火腿收音機(jī)業(yè)余運(yùn)動(dòng)員使用了的 協(xié)議上進(jìn)行一個(gè)執(zhí)行的工作。無疑地,為核心被發(fā)展為模塊的代碼也帶給網(wǎng)絡(luò)代碼帶來新的推動(dòng)力。 模塊允許你在運(yùn)行時(shí)間時(shí)把驅(qū)動(dòng)器加到核心。 盡管這些不同的網(wǎng)絡(luò)實(shí)現(xiàn)都努力提供一樣的服務(wù)，在核心和設(shè)備水平上,他們之間有主要的差別。因此,你不 能設(shè)置從 Net2d 或 Net3 中用實(shí)用程序運(yùn)行一個(gè) Net2e 核心的一個(gè)系統(tǒng),并且反之毅然。這僅僅適用于相當(dāng) 仔細(xì)處理核心內(nèi)部的命令。應(yīng)用程序和普通聯(lián)網(wǎng)命令,例如 rlogin 或在他們的任何一個(gè)上被運(yùn)用的遠(yuǎn)程登錄命令。 但是，你不應(yīng)該擔(dān)心所有這些不同的網(wǎng)絡(luò)版本。除非你正在參予活躍的開發(fā)，否則,你不必?fù)?dān)心你運(yùn)行哪個(gè) TCP/IP 代碼的版本。官方的核心版本總是被一套在核心中的兼容聯(lián)網(wǎng)代碼的聯(lián)網(wǎng)工具伴隨。網(wǎng)絡(luò)管理員指南 2)哪里可以得到編碼 本文出自: 作者: Andrew Anderson 網(wǎng)絡(luò)編碼的最新版本可以從各種地方由匿名的FTP得到。， 由sunsite()提供。最新的Net2e修補(bǔ) 。Matthias Urlichs39。 BSDderived網(wǎng)絡(luò)編碼可以從 。 最新的核心可以在， sunsite 和 。網(wǎng)絡(luò)管理員指南 本文出自: 作者: Andrew Anderson 通過這本書，我們將主要討論安裝和配置問題。然而，管理是比多的部分。在設(shè)置一種服務(wù)以后，你也必須 讓它運(yùn)行。對(duì)于他們的大多數(shù)，僅僅少量的照顧將是必要的,但是有一些，類似郵件和新聞,要求你施行日常工作以 保持你系統(tǒng)的不斷更新。我們將在以后的章中討論這些任務(wù)。 維護(hù)的絕對(duì)最小量是定期為錯(cuò)誤條件和不平常的事件檢查系統(tǒng)和每個(gè)申請(qǐng)記錄文件。通常,你想要通過寫一些行 政的位置寫手跡并且周期性地從 cron 運(yùn)行他們來這樣做。一些主要應(yīng)用的來源分區(qū)，類似 smail 或C新聞,包含如 此的手跡。你僅需要制定他們適合你的需要和偏愛。 來自你的 cron 工作的任何東西的產(chǎn)量應(yīng)該被郵寄給一個(gè)行政的帳目。通過缺省，許多應(yīng)用程序?qū)l(fā)送誤差報(bào)告， 用法統(tǒng)計(jì)，或給根帳目的記錄文件摘要說明。如果你經(jīng)常作為根登錄，這僅僅說得通。一個(gè)更好的想法是把根的郵件 提交給建立一個(gè)郵件別名的個(gè)人帳號(hào)，它被描述在章。 然而你要小心地設(shè)置你的地點(diǎn),Murphy的法律保證一些問題將最后出現(xiàn)。因此,維護(hù)一個(gè)系統(tǒng)也意味會(huì)得到抱怨。 通常，人們期望系統(tǒng)主管至少能作為根，經(jīng)由電子郵件被到達(dá)，但是也有另外的地址通常用來到達(dá)一個(gè)人，他負(fù)責(zé)一 個(gè)維護(hù)的特殊方面。例如,關(guān)于一個(gè)故障郵件設(shè)置的抱怨通常被郵寄給 postmaster 。并且有新聞系統(tǒng)的問題可以被報(bào) 導(dǎo)到 newsmaster 或 Usenet 。到 hostmaster 的郵件應(yīng)該被重寄到負(fù)責(zé)主機(jī)的基本網(wǎng)絡(luò)服務(wù)的人，如果你運(yùn)行一個(gè) 名字服務(wù)器，郵件應(yīng)被重寄給 DNS名字服務(wù)器。網(wǎng)絡(luò)管理員指南 1)系統(tǒng)安全 本文出自: 作者: Andrew Anderson 在一個(gè)網(wǎng)絡(luò)環(huán)境下系統(tǒng)管理的另外一個(gè)非常重要的方面是保護(hù)的的系統(tǒng)和用戶不受侵犯。疏忽的系統(tǒng)管理給不懷好 意者可乘之機(jī)：攻擊的范圍從密碼猜測(cè)到Ethernet探聽，毀壞包含從假的的郵件信息到數(shù)據(jù)的丟失或者是對(duì)你的用 戶秘密的威脅。我們將討論一些可能進(jìn)入的內(nèi)容的特殊的問題，以及一些常用的抵御方法。 本章將討論處理系統(tǒng)安全的例子和基礎(chǔ)技術(shù)。當(dāng)然，題目不能涵蓋所有你可能面對(duì)的所有的安全問題。它們只是描 述可能發(fā)生的一些問題。因此，閱讀一本有關(guān)安全的書籍是非常必要的，特別是在一個(gè)網(wǎng)絡(luò)系統(tǒng)中。極力推薦 Simon Garfinkel的 ``Practical UNIX Security39。39。 (see [])。 系統(tǒng)的安全來自于好的系統(tǒng)管理。這包括所有權(quán)的檢查以及所有重要文件和路徑的進(jìn)入許可。、監(jiān)特權(quán)帳戶的使用 等等。例如，COPS程序?qū)z查你的文件系統(tǒng)和命令配置文件中不經(jīng)常使用的許可或者其它的不規(guī)則。使用一個(gè)有特 定規(guī)則的用戶密碼套組使其不容易猜測(cè)也是一個(gè)聰明的做法。例如影子密碼套組要求一個(gè)密碼至少有5個(gè)字母，并且 要同時(shí)包含上面和下面的數(shù)字。 當(dāng)使一個(gè)服務(wù)可以應(yīng)用于網(wǎng)絡(luò)，確定要給它一個(gè)“最小特權(quán)，”表示你不允許它代表做你不許可的事情。例如，你只 有在根或者是其它優(yōu)先的帳戶真正需要的時(shí)候才將setuid程序安裝到它們上去。同樣的，如果你只需要使用一個(gè)有很 大限制的應(yīng)用程序，不要猶豫，把它限制在你的特殊應(yīng)用程序允許的范圍內(nèi)。例如，如果你想要允許無磁盤主機(jī)從你 的機(jī)器啟動(dòng)，你必須提供TFTP（小文件傳送服務(wù)）這樣，在使用沒有被限制的時(shí)候它們可以從/boot路徑下下載基礎(chǔ) 配置文件。這不是你想要的，為什么不限制TFTP服務(wù)到/boot路徑呢？ 根據(jù)同樣的考慮，你可能想要限制特定的服務(wù)到用戶使用特定的主機(jī)，表達(dá)來自于你的本地網(wǎng)絡(luò)。在章節(jié),我們將介 紹tcpd，它可以在許多類型的網(wǎng)絡(luò)應(yīng)用中做這個(gè)工作。 另外一個(gè)重要的點(diǎn)是要避免“危險(xiǎn)的”文軟件。當(dāng)然，任何你所使用的軟件都可能是危險(xiǎn)的，因?yàn)檐浖赡芎绣e(cuò)誤， 它們是聰明的人想要獲得進(jìn)入你的系統(tǒng)的許可。象這樣的事情發(fā)生，并且沒有完全的保護(hù)措施。這個(gè)問題對(duì)免費(fèi)的軟件 和商業(yè)化產(chǎn)品的影響是相同的。然而，那些要求特殊特權(quán)的程序本身比其他程序更為危險(xiǎn)，因?yàn)槿绾窝h(huán)漏洞都可以有 嚴(yán)重的后果。如果你在為網(wǎng)絡(luò)目的安裝一個(gè)setuid程序，你需要雙北小心，不要漏掉文件中的任何內(nèi)容，這樣你就不會(huì) 節(jié)外生枝。 你可以不指定什么時(shí)候你的警覺失敗，忽略你曾經(jīng)如何謹(jǐn)慎。這樣，你需要確定你盡早檢查入侵者。檢查一個(gè)系統(tǒng)記錄 文件是一個(gè)好的開始，但是入侵者可能非常聰明，刪除所有他或者她可能留下的任何明顯的痕跡。然而，象tripwire這 樣的工具可以讓你檢查重要的