linux网卡配置修改IP地址

1、查看文章linux网卡配置修改IP地址要修改的文件：1. /etc/sysconfig/network-scripts/ifcfg-eth02. /etc/sysconfig/network3. /etc/resolv.conf4. /etc/init.d/network restart重启网卡，生效A、修改ip地址即时生效：# ifconfig eth0 0 netmask 启动生效：修改 /etc/sysconfig/network-scripts/ifcfg-eth0B、修改 default gateway即时生效：# route add

2、default gw 54启动生效：修改 /etc/sysconfig/network-scripts/ifcfg-eth0C、修改dns修改 /etc/resolv.conf修改后可即时生效，启动同样有效D、修改 host name# vi /etc/sysconfig/network具体细节：要建立一个安全Linux服务器就首先要了解Linux环境下和网络服务相关 的配置文件的含义及如何进行安全的配置。在Linux系统中，TCP/IP网络是通过若十个文本文件进行配置的，也许你需要编辑这些文件来完成联网工作，但 是这些配置文件大都可以通过配置命令linuxconf（其中

3、网络部分的配置可以通过netconf命令来实现）命令来实现。下面介绍基本的 TCP/IP网络配置文件。* /etc/conf.modules 文件该配置文件定义了各种需要在启动时加载的模块的参数信息。这里主要着重讨论关于网卡的配置。在使用 Linux做网关的情况下，Linux服务器至少需 要配置两块网卡。为了减少启动时可能出现的问题， Linux内核不会自动检测 多个网卡。对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统若 需要安装多块网卡，应该在“ conf.modules ”文件中进行相应的配置。若设备驱动被编译为模块（内核的模块）：对于 PCI设备，模块将自动检 测到所有已经安装

4、到系统上的设备；对于 ISA卡，则需要向模块提供IO地址， 以使模块知道在何处寻找该卡，这些信息在“ /etc/conf.modules ”中提供。例如，我们有两块ISA总线的3c509卡，一个IO地址是0x300,另一个是0x320。编辑 "conf.modules ” 文件如下：alias eth0 3c509alias eth1 3c509options 3c509 io=0x300,0x320这是说明3c509的驱动程序应当分别以eth0或eth1的名称被加载（alias eth0,eth1 ），并且它们应该以参数io=0x300,0x320被装载，来通知驱动程序 到哪里去寻

5、找网卡，其中0x是不可缺少的。对于PCI卡，仅仅需要alias命令来使ethN和适当的驱动模块名关联，PCI 卡的IO地址将会被自动的检测到。 对于PCI卡，编辑"conf.modules ”文件如 下：alias eth0 3c905alias eth1 3c905若驱动已经被编译进了内核：系统启动时的 PCI检测程序将会自动找到所 有相关的网卡。ISA卡一般也能够被自动检测到，但是在某些情况下，ISA卡仍 然需要做下面的配置工作：在“/etc/lilo.conf”中增加配置信息，其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡，编辑“lilo.conf ”文件，增加

6、如下内容：append=" ether="0,0,eth0 ether="0,0,eth1注：先不要在“ lilo.conf”中加入启动参数，测试一下你的ISA卡，若失败再使用启动参数。如果用传递启动参数的方法，eth0和ethl将按照启动时被发现的顺序来 设置。* /etc/HOSTNAME 文件该文件包含了系统的主机名称，包括完全的域名，如：。*/etc/sysconfig/network-scripts/ifcfg-ethN文件在RedHat中，系统网络设备的配置文件保存在“/etc/sysconfig/network - scripts ”目录下,ifcf

7、g-eth0 包含第一块网卡的配置信息，ifcfg-eth1包含第二块网卡的配置信息。下面是 “ /etc/sysconfig/network-scripts/ifcfg-eth0” 文件的示例：DEVICE=eth0IPADDR=NETMASK=NETWORK=BROADCAST=55ONBOOT=yesBOOTPROTO=noneUSERCTL=no若希望手工修改网络地址或在新的接口上增加新的网络界面，可以通过修 改对应的文件(ifcfg-ethN )或创建新的文件来实现。DEVICE=

8、namename表示物理设备的名字IPADDR=addraddr表示赋给该卡的IP地址NETMASK=maskmask表示网络掩码NETWORK=addraddr表示网络地址BROADCAST=addr addr表示广播地址ONBOOT=yes/no启动时是否激活该卡none：无须启动协议bootp :使用 bootp协议dhcp：使用dhcp协议USERCTL=yes/no是否允许非root用户控制该设备*/etc/resolv.conf 文件该文件是由域名解析器（resolver , 一个根据主机名解析IP地址的库）使 用的配置文件，示例如下：search nameserver 208.1

9、64.186.1nameserver “search ”表示当提供了一个不包括完全域名的主机名 时，在该主机名后添加勺后缀；“nameserver”表示解析域名 时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中出现的 顺序来查询的。*/etc/host.conf 文件该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP 地址。下面是一个“ /etc/host.conf”的示例：order bind,hostsmulti onospoof on“order bind,hosts ”指定主机名查询顺序，这里规定先使用DNS解析域名，然后再查

10、询“ /etc/hosts ”文件（也可以相反）。“multion ”指定是否“/etc/hosts ”文件中指定的主机可以有多个地 址，拥有多个IP地址的主机一般称为多穴主机。“nospoof on ”指不允许对该服务器进行IP地址欺骗。IP欺骗是一种攻 击系统安全的手段，通过把IP地址伪装成别的计算机，来取得其它计算机的信 任。*/etc/sysconfig/network 文件该文件用来指定服务器上的网络配置信息，下面是一个示例:NETWORK=yesRORWARD_IPV4=yesHOSTNAME=GAREWAY=GATEWAYDEV=NETWORK=yes/no网络是否

11、被配置；FORWARD_IPV4=yes/no是否开启IP转发功能HOSTNAME=hostname hostnarmfe /K 服务器的主机名GAREWAY=gw-ipgw-ip表示网络网关的IP地址GAREWAYDEV=gw-dev gw-dw表示网关的设备名，如：etho等注意：为了和老的软件相兼容，“ /etc/HOSTNAME文件应该用和 HOSTNAME=hostname?J 的主机名。*/etc/hosts 文件当机器启动时，在可以查询DN殷前，机器需要查询一些主机名到IP地址 的匹配。这些匹配信息存放在/etc/hosts 文件中。在没有域名服务器情况下， 系统上的所有网络程序

12、都通过查询该文件来解析对应于某个主机名的IP地址。IP AddressG下面是一个“ /etc/hosts ”文件的示例：HostnameAliasLocalhost Gate最左边一列是主机IP信息，中间一列是主机名。任何后面的列都是该主机 的别名。一旦配置完机器的网络配置文件，应该重新启动网络以使修改生效。使用下面的命令来重新启动网络：/etc/rc.d/init.d/network restart* /etc/inetd.conf 文件众所周知，作为服务器来说，服务端口开放越多，系统安全稳定性越难以 保证。所以提供特定服务的服务器应该尽可能开放

13、提供服务必不可少的端口， 而将与服务器服务无关的服务关闭，比如：一台作为wwvft ftp服务器的机器，应该只开放80和25端口，而将其他无关的服务如：finger auth等服务关掉， 以减少系统漏洞。而inetd ,也叫作“超级服务器”，就是监视一些网络请求的守护进程， 其根据网络请求来调用相应的服务进程来处理连接请求。inetd.conf则是inetd的配置文件。inetd.conf 文件告诉inetd监听哪些网络端口，为每个端 口启动哪个服务。在任何的网络环境中使用Linux系统，第一件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉，最好 卸载掉，这样黑客就

14、少了一些攻击系统的机会。查看“/etc/inetd.conf ”文件，了解一下inetd提供哪些服务。用加上注释的方法(在一行的开头加上#号),禁止任何不需要的服务，再给inetd进程发一个SIGHUP言号。第一步：把文件的许可权限改成600。rootdeep# chmod 600 /etc/inetd.conf第二步：确信文件的所有者是root。rootdeep# stat /etc/inetd.conf第三步：编辑inetd.conf ”文件(vi /etc/inetd.conf ),禁止所有不需要的服务，如：ftp、telnet 、shell 、login、exec、talk、ntalk

15、、imap、 pop-2、pop-3、finger > auth,等等。如果你觉得某些服务有用，可以不禁止 这些服务。但是，把这些服务禁止掉，系统受攻击的可能性就会小很多。改变 后的“inetd.conf ”文件的内容如下面所示：# To re-read this file after changes, just do a 'killall -HUPinetd'#echo stream tcpnowait root internal#echo dgramudp wait root internal#discard stream tcpnowait root interna

16、l#discard dgramudp wait root internal#daytime stream tcpnowait root internal#daytime dgramudp wait root internal#chargen stream tcpnowait root internal#chargendgramudp wait root internal#time stream tcpnowait root internal#time dgramudp wait root internal# These are standard services.#ftp stream tcp

17、nowait root /usr/sbin/tcpdin.ftpd -l -a#telnet stream tcpnowait root /usr/sbin/tcpdin.telnetd# Shell, login, exec, comsat and talk are BSD protocols.#shell stream tcpnowait root /usr/sbin/tcpdin.rshd#login stream tcpnowait root /usr/sbin/tcpdin.rlogind#exec stream tcpnowait root /usr/sbin/tcpdin.rex

18、ecd#comsatdgramudp wait root /usr/sbin/sat#talk dgramudp wait root /usr/sbin/tcpdin.talkd#ntalkdgramudp wait root /usr/sbin/tcpdin.ntalkd#dtalk stream tcp wait nobody /usr/sbin/tcpdin.dtalkd# Pop and imap mail services et al#pop-2 stream tcpnowait root /usr/sbin/tcpd ipop2d#pop-3 stream tcpnowait ro

19、ot /usr/sbin/tcpd ipop3d#imap stream tcpnowait root /usr/sbin/tcpdimapd# The Internet UUCP service.#uucp stream tcpnowaituucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l# Tftp service is provided primarily for booting. Most sites# run this only on machines acting as "boot servers." Do not uncom

20、ment# this unless you *need* it.#tftpdgramudp wait root /usr/sbin/tcpdin.tftpd#bootpsdgramudp wait root /usr/sbin/tcpdbootpd# Finger, systat and netstat give out user information which maybe# valuable to potential "system crackers." Many sites choose to disable# some or all of these servic

21、es to improve security.#finger stream tcpnowait root /usr/sbin/tcpdin.fingerd#cfinger stream tcpnowait root /usr/sbin/tcpdin.cfingerd#systat stream tcpnowait guest /usr/sbin/tcpd /bin/ps -auwwx#netstat stream tcpnowait guest /usr/sbin/tcpd /bin/netstat -f inet# Authentication#auth stream tcpnowait n

22、obody /usr/sbin/in.identdin.identd -l -e -o# End of inetd.conf注意：改变了 “inetd.conf ”文件之后，别忘了给inetd进程发一个SIGHUP 信号(killall - HUP inetd )。rootdeep /root# killall -HUP inetd第四步：为了保证“inetd.conf ”文件的安全，可以用chattr命令把它设成不可改 变。把文件设成不可改变的只要用下面的命令：rootdeep# chattr +i /etc/inetd.conf这样可以避免 inetd.conf ”文件的任何改变(意外或是

23、别的原因)。一 个有“i”届性的文件是不能被改动的：不能删除或重命名，不能创建这个文件 的链接，不能往这个文件里写数据。只有系统管理员才能设置和活除这个届性。 如果要改变inetd.conf文件，你必须先活除这个不允许改变的标志：rootdeep# chattr -i /etc/inetd.conf但是对于诸如 sendmail , named wwg服务，由于它们不象 finger , telnet 等服务，在请求到来时由inet守护进程启动相应的进程提供服务，而是在系统启动时，作为守护进程运行的。而对于 redhatlinux ，提供了一个linuxconfig 命令，可以通过它在图形界面

24、下交互式地设置是否在启动时运行相关服务。也 可以通过命令来设置是否启动时启动某个服务，如： rootdeep# chkconfig -level 35 named off具体命令可以参考 man chkconfig的说明。* /etc/hosts.allow 文件但是对于telnet、ftp等服务，如果将其一同关闭，那么对于管理员需要 远程管理时，将非常不方便。Linux提供另外一种更为灵活和有效的方法来实 现对服务请求用户的限制，从而可以在保证安全性的基础上，使可信任用户使用各种服务。Linux提供了一个叫TCP wrapper的程序。在大多数发布版本中 该程序往往是缺省地被安装。利用TCP

25、 wrapper你可以限制访问前面提到的某些服务。而且TCPWrapper的记录文件记录了所有的企图访问你的系统的行为。 通过last命令查看该程序的log ,管理员可以获知谁曾经或者企图连接你的系 统。在/etc目录下，有两个文件：hosts.denyhosts.allow通过配置这两个文件，你可以指定哪些机器可以使用这些服务，哪些不可以使用这些服务。当服务请求到达服务器时，TCP wrapper就按照下歹U顺序查询这两个文件， 直到遇到一个匹配为止：1. 当在/etc/hosts.allow里面有一项与请求服务的主机地址项匹配，那么 就允许该主机获取该服务2. 否则，如果在/etc/hos

26、ts.deny里面有一项与请求服务的主机地址项匹 配，就禁止该主机使用该项服务。3. 如果相应的配置文件不存在，访问控制软件就认为是一个空文件，所以 可以通过删除或者移走配置文件实现对活除所有设置。在文件中，空白行或者 以#开头的行被忽略，你可以通过在行前加 #实现注释功能。配置这两个文件是通过一种简单的访问控制语言来实现的，访问控制语句 的基本格式为：程序名列表：主机名/IP地址列表。程序名列表指定一个或者多个提供相应服务的程序的名字，名字之间用逗号或者空格分割，可以在inetd.conf文件里查看提供相应服务的程序名：如上面的文件示例中，telent所在行的最后一项就是所需的程序名：in.

27、telnetd 。主机名/IP地址列表指定允许或者禁止使用该服务的一个或者多个主机的 标识，主机名之间用逗号或空格分隔。程序名和主机地址都可以使用通配符， 实现方便的指定多项服务和多个主机。Linux提供了下面灵活的方式指定进程或者主机歹U表：1. 一个以"."起始的域名申，如 那么就和这 一项匹配2. 以"."结尾的IP申如202.37.152. 那么IP地址包括202.37.152. 的主 机都与这一项匹配。3.格式为n.n.n.n/m.m.m.m表示网络/掩码，如果请求服务的主机的IP地址与掩码的位与的结果等于n.n.n.n那么该主机与该项匹配4.

28、ALL表示匹配所有可能性5. EXPEC认示除去后面所定义的主机。如:list_1 EXCEPT list_2 表示list_1 主机列表中除去List_2所列出的主机6. LOCA以示匹配所有主机名中不包含"."的主机上面的几种方式只是Linux提供的方式中的几种，但是对于我们的一般应 用来说是足够了。我们通过举几个例子来说明这个问题：例一：我们只希望允许同一个局域网的机器使用服务器的 ftp功能，而禁 止广域网上面的ftp服务请求，本地局域网由 202.39.154.、202.39.153.和 202.39.152. 三个网段组成。在hosts.deny文件中，我们定义

29、禁止所有机器请求所有服务：ALL:ALL在hosts.allow文件中，我们定义只允许局域网访问 ftp功能：in.ftpd -l - a: 202.39.154 202.39.153. 202.39.152.这样，当非局域网的机器请求ftp服务时，就会被拒绝。而局域网的机器 可以使用ftp服务。此外，应该定期检查/var/log 目录下的纪录文件，发现对 系统安全有威胁的登录事件。last命令可以有效的查看系统登录事件，发现问 题所在。最后tcpdchk是检查TCP_WAPPE咿的程序。它检查 TCP_WAPPERS己 置，一并报告它可以发现的问题或浦在的问题。在所有的配置都完成了之后，请

30、运行tcpdchk程序：rootdeep# tcpdchk* /etc/services 文件端口号和标准服务之间的对应关系在 RFC 1700 “Assigned Numbers”中 有详细的定义。“/etc/services ”文件使得服务器和客户端的程序能够把服务 的名字转成端口号，这张表在每一台主机上都存在，其文件名是“/etc/services ”。只有“root ”用户才有权限修改这个文件，而且在通常情况下这个文件是没有必要修改的，因为这个文件中已经包含了常用的服务所对 应的端口号。为了提高安全性，我们可以给这个文件加上保护以避免没有经过 授权的删除和改变。为了保护这个文件可以用下

31、面的命令：rootdeep# chattr +i /etc/services* /etc/securetty 文件“/etc/securetty”文件允许你规定root ”用户可以从那个TTY设备登录。登录程序(通常是“ /bin/login ”)需要读取" /etc/securetty ”文件。 它的格式是：列出来的tty设备都是允许登录的，注释掉或是在这个文件中不 存在的都是不允许root登录的。注释掉(在这一行的开头加上#号)所有你想不让 root登录的tty设备。编辑securetty 文件(vi /etc/securetty )象下面一样，注释掉一些行：tty1#tty2#tty3#tty4#tty5#tty6#tty7#tty8* 使 Control-Alt-Delete关机键无效把“/etc/inittab”文件中的一行注释掉可以禁止用Control-Alt-Delete关闭计算机。如果服务器不是放在一个安全的地方，这非常重要。编辑 inittab 文件(vi /etc/inittab )把这一行：ca:ctrlaltdel:/sbin/shutd