鸟哥的linux私房菜_服务器架设篇第二版习题答案.docx

1.4.1Linux基本操作上需要了解账户管理，档案属性与权限、程序与资源管理、硬件如光盘挂载与软件套件安装如RPM套件管理等，vi与shell也是不可或缺的基本技能，日志的管理以及系统服务的原理也需清楚，以便将来架设网站除错。网站基础知识上，TCP/IP协议、路由、DNS等概念要熟悉。心态上，系统管理员要有较高的道德感和使命感。1.4.2由于IDE排线与分区的代号，以及/etc/fstab的对应不同，所以可能是由于IDE插槽放置错误所致(Linux系统下，每个IDE插槽对应的分区各不相同)。此外，上次不正常的关机页可能导致硬盘损害而无法正常开机。1.4.3/home来自/etc/skel1.4.4磁盘配额只能对分区进行限制，如果该目录是分区，则可以进行限制，否则无法进行限制。quota除了特定特定目录以及需要ext2、ext3格式的硬盘支持，还需要核心的支持。1.4.5which vbird.doucumentwhereis vbird.doucumentfind / -name vbird.doucument寻找一天内修改的文件 find / -ctime 11.4.6RPM套件管理员在安装套件的时候，会将该套件的档案名称、套件功能与信息等等以资讯的形式记录在/var/lib/rpm目录内，由于有这些条件的信息，因此在系统内很容易进行RPM的升级、安装、卸载等操作。不过，由于RPM档案之间的相互依赖性很强，因此常常会有不同版本不合或者是缺少某些套件的问题发生。Tarball是源码，使用者可以自行设定套件的编译参数，以符合自己的LInux平台，此外，由于Tarball是源码，因此需要在系统上面进行编译，编译过程中需要gcc、make、以及kernel source等套件，还有所要安装的套件所需要的前驱套件也同时需要先安装后，才能进行Tarball的安装。每个Tarball以tar解压后，在新增的目录下均会有README以及INSTALL档案，请先阅读后才进行安装。1.4.7httpd为文件名2.0.52为版本信息.tar.gz为打包格式在Linux系统上必须要有tar、make、gcc等相关的编译套件用tar解压，阅读README或者INSTALL了解安装使用make读取Makefile来编译程式使用make install来安装程序1.4.8没有安装gcc这个套件，编译源码需要经过编译才能在系统上面运行，gcc能够对源码进行编译。安装gcc这个套件。1.4.9ps auxtop找出这个进程的PID，然后用kill -9 PID来删除进程1.4.10可以先用file来查询该文件的格式，如果是普通文件，则可能是权限问题。也可能是该文件含有隐藏属性，可以先使用lsattr来查看，再以chattr来修改隐藏属性。1.4.11在Linux系统下，使用者和群组都是以ID的格式来设定的，所以使用者为UID，群组为GIDLinux对于档案权限也是使用UID/GID来分辨。UID的等级主要分两种，一种是root，其UID为0，其他为普通用户，UID非01.4.12/etc/passwd以及/etc/shadow和/etc/login.defs1.4.13操作系统的基础知识，网络基础知识，Internet服务的基础知识，身心健康、有道德感、责任感和使命感。1.4.14/etc/init.d下面的文件1.4.15chkconfig del cronps aux |grep cron找出PID，然后用kill -9 PID来关闭1.4.16/etc/boot.local2.7.1第一层：物理层，该层主要定义了最基础的网络硬件标准，包括各种网线、各种无线连接方式，各种设备规范，各种接头的规则，传输信号的电压等，定义了与硬件有关的标准。第二层：数据链路层，由于传送数据的网路媒介是以电子信号进行传送，所以我们的数据要使用这样的信号传送时，就需要制订各种网络形态的帧（Frame），才能确保数据可以在不同的网络媒介进行传送的操作。所以，在这一层中制订了Frame的格式以及通过网络的方式，包括帧的数据格式，错误控制，流量控制，检查数据传输错误的方法等，都在这里控制，既然与帧有关，当然这个层级就与MAC有很强的相关性了。目前Internet使用其实是IP来进行连接的，但硬件数据却是由帧所传送的，为了要将两者对应（MAC与IP的对应），就需要通过Address Resolution Protocol（ARP）这个协议来帮忙解析。第三层：网络层，该层定义了IP协议，同时也定义了计算机之间的连接建立，终止，维持，数据包的传输路径选择等，因此这个层级当中最重要的除了IP之外，就是数据包能否到达目的地的路由概念了，此外，网络层可以涵盖实体层与数据链路层，通常我们不需要设置硬件与相关MAC的数据，就是因为网络层已经隐藏了下面两层，我们只要设置好IP就能够上网了。第四层：传输层，该层定义了发送端与接收端的连接技术（如TCP技术），同时包括该技术的数据包格式，数据包的传送，流程的控制，传输过程的帧测检查与复原重新传送等，以确保各个信息数据包可以正确无误的到达目的端。第五层：会话层，该层定义了两个地址之间的连接信道的连接与挂断，此外，还可以建立应用程序的对谈，提供其他加强型服务如网络管理，签到签退，对谈的控制等，如果传送层是判断信息数据包是否可以正确到达目标，会话层则是确保网络服务建立连接的确认，例如3次握手。第六层：表示层，在应用程序上所制作出来的数据格式不一定符合网络传输的标准编码格式，所以，在这个层级当中，主要的操作就是：将来自本地端应用程序的数据格式转换（或重新编码）成为网络的标准格式，然后再交给下面传输层等的协议来进行处理。所以，在这个层级上面主要定义的是网络服务（或程序）之间的数据格式的转换，包括数据的加密、解密也是在这个分层上面处理。第七层：应用层，完全与程序相关，包括定义文件的读取、复制、打开、关闭等，常见的程序包括浏览器、数据库处理系统与电子邮件系统等。2.7.2bits/s2.7.3在网络媒体上面，资料要传送时，必须知道下一个节点的位置才能顺利传送，这个节点的位置如网卡的硬件位置就是MAC。硬件位置在网络出厂时就已经焊死在上面了（有些笔记本可以通过软件修改MAC），而软件位置则是我们常说的IP地址，MAC与IP互相对应则是通过ARP Table来进行转译的。2.7.4当两部主机同时在一个网络媒体上面进行资料传输时，两个数据包就会发生冲突的情况。在网络媒体流量很高，网络媒体之间的连线长度过长都很容易发生数据包冲突的情况。2.7.5ARP Table主要是对应IP与MAC，当主机要将资料封包送出到下个节点时，必须要知道下个节点的MAC才能进行传送，而如果不知道MAC时，就得需要使用逻辑广播才查询IP与MAC的对应才行，不过如果主机内部的ARP Table已经记录了IP对应的MAC后，那数据包可以立即传送到下个节点，而不需要再次的进行逻辑广播了。可以使用arp a来查询ARP表格。2.7.6netmask可以有效的增加网络的效率，因为netmask可以定义出一个网域的大小，那么broadcast的时间就可以降低很多，可以使用netmask将一个大网域细分成小网域。2.7.7network 000 0000 netmask 111 0000 40broadcast 000 1111 5可用IP为14个 42.7.8network 0000 000 netmask 1111 000 48broadcast 0000 111 可用Ip为6个 2.7.9network 0000000 netmask broadcast 1111111 55因为2的2次方等于4，所以把Netmast改为1 000000，256/4=64，要减去全0和全1，所以4个子网段为/26 4/26 28/26 92/262.7.10route n2.7.11SYN表示该封包为该系列连线的第一个封包，即主动连接的意思；ACK表示该封包为确认封包，即回应封包。2.7.12使用TCP才会有3次握手，TCP封包的3次握手是一个确认封包正确性的重要步骤，通过SYN，SYN/ACK,ACK三个封包的确认无误后，才能够建立连接。UDP封包没有3次握手。.14有3个拿去用作网络号，网关和广播地址了。1111 000 482.7.15Network Access Layer 网络层对应第二层Internet Layer 互联网层Transport Layer 传输层对应第四层Application Layer 应用层对应第六、七层.17套接口对(socket pair)是一个定义该连接两个端点的四元组：本地连接、本地TCP端口、远程IP地址、远程TCP端口地址。2.7.18接头名称 1 2 3 4 5 6 7 8568A 白绿 绿 白橙 蓝 白蓝 橙 白棕 棕568B 白橙 橙 白绿 蓝 白蓝 绿 白棕 棕2.7.19/8回环测试2.7.20ICMP协议最大的功能就是可以确保我们网络的连接状态与连接的正确性。0、8、14、16、182.7.21Time to Live，存活时间，表示这个Ip数据包的存活时间，范围为0255.当这个IP数据包通过一个路由器时，TTL就会减1，当TTL为0时，这个数据包就会被丢弃。2.7.22vi /etc/service2.7.23以一个集线器为中心来串联各网络设备的一个方法，可以很简单的加装其他设备或者移除其他设备，而不会收到其他装置的影响。2.7.24CSMA/CD应用在 OSI 的第二层 数据链路层它的工作原理是: 发送数据前 先侦听信道是否空闲 ,若空闲 则立即发送数据.在发送数据时,边发送边继续侦听.若侦听到冲突,则立即停止发送数据.等待一段随机时间,再重新尝试.先听后发，边发边听，冲突停发，随机延迟后重发2.7.25IP与路由器仅能将数据包转送到正确的目标而已，要确认该数据是否正确被目的端所接收，就需要在数据包上多加一些参数来判断才行。MAC的表头IP的表头TCP的表头实际的资料4.7.1dmesg | grep ethlsmod4.7.2ifconfig eth0 00 netmask up4.7.3修改/etc/HOSTNAME，然后重启4.7.4都是用来寻找IP地址。在/etc/resolv.conf填写DNS主机名称/etc/hosts直接填写主机名称对应的IP即可4.7.53个，ADSL连接时使用PPP点对点协议，所以连接成功后会多出一个ppp0的接口，系统原本已有eth0和lo这两个接口，所以总共有3个接口。4.7.6rp-pppoe4.7.7可能是Gateway设置有问题。不要设置Gateway.95.7.1ifconfig eth0 005.7.2route add net 00 netmask dev eth05.7.3traceroute 即可5.7.4netstat aup | lesskill -9 PID5.7.5nslookup green.ev.ncku.twdig green.ev.ncku.tw5.7.6ping c 3 M do s MTU IP5.7.7lynx5.7.8telnet .1netstat tunl7.3.2ps aux top7.3.3正在LISTEN当中的端口是由某些daemons(服务)所启动的，所以要启动端口就得启动某个服务，要了解某个端口是由哪个daemon启动的，可以使用netstat tulp来查看。7.3.4Linux系统的服务有独立启动(stand alone)和超级守护(super daemon)两种启动方式，挂在super daemon底下的服务可以经由super daemon控制，以加强一些安全功能，不过由于要经过super darmon的管理，所以服务的连接速度会比stand alone慢一些。7.3.5放在/etc/inid.d 里面super daemon放在/etc/xinetd.d.1的netmask为28所以可以这样设置ifconfig eth0 netmask 28 up或者可以修改/etc/sysconfig/network/ifcfg-eth-id-00:0c:29:a3:55:2bDEVICE=eth0ONBOOT=yesBOOTPROTO=staticIPADDR=NETMASK=28NETWORK=BROADCAST=279.5.2ifconfig eth0:1 up9.5.3route n9.5.4echo “1” /proc/sys/net/ipv4/ip_forward.6ping 9.5.710.6.1topps aux uptimelastfree10.6.2SUID为4000find / -perm 400010.6.3使用MD5编码来测试一下10.6.4没有启动ACL10.6.5setfacl m u:dmtsai:rwx /home/projectget /home/project10.6.6不是，SELinux全称是Security Enhanced Linux10.6.7/etc/passwd和/etc/shadow10.6.8首先拔掉网线11.7.1当系统开放多个端口时，某个服务出现漏洞，防火墙仍然无法修补该漏洞，这样就有可能中毒。.3uname r11.7.4fifter为预设的table，里面的链(chains)有：INPUT：为来自外部，想要进入主机的封包。OUTPUT：为来自主机，想要离开主机的封包FORWARD：为主机内部网域与外部网域的封包，该封包不进入主机。nat这个tablePREROUTING：进行路由之前的封包传送过程。OUTPUT：离开主机的封包传送过程。POSTROUTING：已经经过路由，然后才进行的过滤规则。11.7.5当封包的所有属性都不在防火墙的规则当中时，那么这个封包能否顺利的通过防火墙，则以Policy这个封包为最终动作。iptables P INPUT DROP11.7.6把对外的端口先关闭iptables P INPUT DROPiptables A INPUT m state state RELATED j ACCEPT11.7.7iptables A INPUT p tcp s 0 dport 21:23 j DROP11.7.8ehco 1 /proc/sys/net/ipv4/icmp_echo_ignore_all11.7.9只有tcp才有syn标志，udp没有11.7.10iptables A INPUT p udp sport 53 j ACCEPTiptables A INPUT p tcp sport 53 j ACCEPT11.7.11iptables -F; iptables -X; iptables -Ziptables -t nat -F; iptables -t nat -X; iptables -t nat -Z11.7.12iptables save 以及iptables -restore这两个命令 配合重定向即可。11.7.13分析该用户的MAC地址，用防火墙将该MAC锁住。12.4.1这个档案早期是用在进行逐级名称与IP的解析，目前比较常用在内部网络的名称解析上，可以加快内部网络的反查。12.4.2需要向上DNS主机注册才行。12.4.3动态DNS提供动态更新主机名称对应动态IP的机制，可以让我们不同的IP对应到同一个主机名称。12.4.4动态DNS主机名称。13.10.1Telnet使用明码传送资料，同时telnet也比较容易被入侵。ssh相对来说要比telnet要安全一些。13.10.2server提供public key给client演算private key以提供封包传送时的加密、解密。13.10.3SSH的配置文件为sshd.config，放在/etc/ssh/sshd.config13.10.4Telnet端口号为23，ssh端口号为22，查看端口号可参考/etc/services13.10.5很多原因。可以先查看/var/log/messages1. 可能被防火墙挡住了，可以查看iptables L n ，或者/etc/hosts.deny2. 可能是public key改变了3. 可能由于/etc/ssh/sshd_config设置问题。13.10.6最好不要，ssh的加密函式库使用的是openssl，一般linux distribution使用的是ssh则是openssh，这两个套件还有不少的漏洞没被发现。14.7.1/etc/exports1516.7.1自动分配网络参数给客户端，降低网络中的IP冲突问题16.7.2动态分配：直接取用网络中未被使用的IP来进行客户端的分配静态IP：即根据MAC地址来分配固定的IP16.7.3首先客户端会发出一个DHCP要求封包，服务器接收到要求后，会主动回应信息参数给客户端，客户端收到DHCP主机所提供的参数后，会记录下租约信息，开始设定网络。16.7.4DHCP主要利用网卡的硬件地址，即MAC来进行客户端的参数设置ifconfig16.7.5记录了客户端连接上服务器端的资料，会被DHCP主机用来判断客户端的租约行为16.7.6/var/log/messages17.9.1最主要的功能是在于Hostname对应IP的查询，可以让我们以电脑主机名称连上internet，而不必背诵IP17.9.2使用BIND这个套件为DNS架设，至于dae