ConfigHOWTO系统设置(1)

发表于:2007-07-04来源:作者:点击数: 标签:
作者:GuidoGonzato,guido``at'ibogeo.df.unibo.it (译者:赵平望tchao@worldnet.att.net) v1.3.7,1999年9月6日翻译日期:2000年1月1日 -------------------------------------------------------------------------------- 编写本文的目的是要使您能更快
作者:Guido Gonzato, guido ``at' ibogeo.df.unibo.it
(译者:赵平望 tchao@worldnet.att.net)
v1.3.7, 1999年9月6日翻译日期:2000年1月1日 


--------------------------------------------------------------------------------
编写本文的目的是要使您能更快、更容易地调试刚安装好的 Linux 系统。文内附有一些最常用的应用软件的设置办法。 
--------------------------------------------------------------------------------
 --------------------------------------------------------------------------------

1. 导言


1.1 为什麽要编写这份 HOWTO 
我在许多 PC 上都安装过 Linux 系统,发现目前流行的各种 Linux 版本都相当不错,但感到不便的是缺少一些基本设置文档。多数应用软件在安装後都可立即使用,但有些软件却不行。我还注意到同样的问题在 c.o.l.setup 上一再重复出现。为了弥补这种缺憾,并为了我个人方便,我作了一些笔记,後来加以修改润色,终於成为这份 HOWTO。文内附有设置最常用的一些应用软件和程式的诀窍和实例,这应能节省您不少时间和精力。 

文中所列的一些实例有时取决于使用何种 Linux 版本。目前我只有安装 Red Hat 5.2 的 Linux 系统,内核是 2.0.36;因此如果您的 Linux 是其他版本,那就别把我提供的诀窍视为金科玉律。不过,把我提供的办法略作修改,改用于其他版本,倒也并非难事。这份 HOWTO 不能代替其他 HOWTO,而且它也无意替代其他 HOWTO 。翻阅相关文件和其他 HOWTO 都会使人获益匪浅,因此如果您想进一步了解这套系统,就必需勤于查找翻阅。此外,也不要想在这里占便宜:如果您知道对某方面不了解,就请查找相关的 HOWTO 。再次提醒:Usenet 的 news:comp.os.linux.setup是寻求 Linux 配置方面的协助的最好地点。我的工作十分繁忙,务请不要找我解决配置方面的问题。 

这份文件以及一些翻译正式存放在 http://metalab.unc.edu/mdw/HOWTO。在这个网址也可找到我提到的所有其他 HOWTO 。本文的最新版本存放在 http://ibogeo.df.unibo.it/guido/Configuration


1.2 我们将作何种配置 
PC的硬件配置种类繁多,但依我的经验,有一种配置十分普遍,即装有一个划分为三个分割区(一个DOS/Windows区、一个 Linux 区和一个交换(swap partition)区)的大容量硬盘、音效卡、数据机、光盘机、打印机和滑鼠的 PC。目前,许多 PC 还安装了平行埠的 ZIP 磁碟机。这样设定的 PC 极可能是 Windows-Linux 搭配组成的网络系统的一部分,一般作为服务器之用。 

我假定这些设备是您要设置的硬件,不过将设置这些设备的办法转用于不同的硬件也非难事。此外,我还假定您在编辑调试硬件时,具有root的权限。 

好吧!现在就让我们卷起袖子来干吧! 




--------------------------------------------------------------------------------
--------------------------------------------------------------------------------

2. 一般系统设定


2.1 安全问题 
在开始启动系统之前,首先应该决定要采用何种级别的安全规□。在作出这项决定之前,不要将电脑网络连接。电脑安全是极其重要的问题,但它不属於这份 HOWTO 的讨论□围。不过,要了解电脑的安全问题可从两方面著手:“ Linux 安全管理员手册”( Linux Security Administrator's Guide) http://www.seifried.org/lasg ;和“ Linux 安全手册”( Linux Security Guide) http://nic.com/ ;(译注:此处英文原文有漏) 下列步骤:使用Shadow password(Shadow Password HOWTO )限制网路进入机器(Section 限制网路进入Restricting Network Aclearcase/" target="_blank" >ccess)、使用 Secure Shell ( http://www.cs.hut.fi/ssh/) 或使用 Secure Remote Password ( http://srp.stanford.edu/srp/)。祝您好运。 


2.2 工作日志 
要保证安装顺利,必须确切知道机器里安装了什麽,何时作了修改,何时作了清除。因此,在动手之前,首先应该建立一本“工作日志”,纪录作为 root 的一切举动;在我的工作日志中,有一节专门纪录所有改动的系统文档、增加的 .rpms 和安装的 .tar.gz。理论上,往回追溯以往的任何改变,应该可以回复到最初原始的安装状态。 

千万记住,在改动任何系统文件之前,制作备份。更理想的是用 RCS;这样就能追踪以往的所有改变。作为 root,决不可随意改动系统而不加纪录。 


2.3 键盘 

如在安装时遗漏了这一步骤,或改用了他种键盘,则需要: 


从/usr/lib/kbd/keymaps/中选取适当的键盘表;例如,it.map 就代表义大利键盘; 
编辑/etc/sysconfig/keyboard文档,使其读取:KEYTABLE="it"; 
设定键盘的重复率和延迟时间,将以下内容加附到 /etc/rc.d/rc.sysinit (Red Hat) 或 /etc/rc.d/rc.boot (Caldera) 或 /etc/rc.d/boot (S.u.S.E.): 
/sbin/kbdrate -s -r 16 -d 500  # or whatever you like --或其他设定的数值

要载入键盘表,使用/etc/rc.d/init.d/keytable start指令。其他特殊键位将在以下各节再作说明。 
要在开机时自动设定 NumLock,则在/etc/rc.d/rc.sysinit中加入以下内容: 


for tty in /dev/tty[1-9]*; do
  setleds -D +num < $tty
done


2.4 启动和援救软片 

为刚安装好的系统,应该制作两、三张启动软片,以备不时之需。您使用的 Linux 版本可能已经包括了制作这种软片的指令,否则可用下列指令: 


#
#
(译注:作者似乎忘了填入指令)

此外,至少也要制作几片援救软片。在 ftp://metalab.unc.edu/pub/Linux/system/recovery可找到各种援救软片;如果您不知道选用哪一种,我建议您试试 Tomsbtrt。 


2.5 内核 
IMHO,其次首先要做的工作是编制最适合您的系统的内核。编制工作并不困难,但无论如何都先看一看/usr/src/Linux/内的README档或内核 HOWTO (Kernel HOWTO )。注意事项: 


仔细想清楚需要电脑完成何种工作。一次选定内核,同时作出必要的修补(patch),远比每月作一次设置或编译一次内核来得省事;如果把 Linux 作为伺服器使用,尤应如此。不要忘记把未来可能会增加的硬件(例如,SCSI、Zip和网路卡等)都先编制在内核内;通常利用模组是最好的办法; 
如果你的电脑用 Cyrix 芯片,而内核对它的支持不足,则应作出必要修补,以便提高电脑性能。有关资料见: http://www.Linuxhq.com/patch/20-p0591.html; 
使用笔记型电脑的用户应改进屏幕的视觉效果。我曾经建议修补内核,但SVGATextMode (见 SVGATextMode一节)可能是最理想的解决办法。不论采用何种办法,在 http://www.Linuxhq.com/patch/20-p0239.html可以找到大型游标的内核修补软件。 
此外,不要将笔记型电脑串行 PCMCIA modem/fax 卡作为模组编译;将其作为内核的一部分编译,否则,PCMCIA modem 就无法运作; 
如果使用 PCMCIA 卡,记住务必编译这些模组;此外,如果使用 PCMCIA 网路卡,不要忘记修改/etc/pcmcia/network.opts; 
如果屏幕显示来自modprobe的信息,指出不能确定某些模组的位置,这表示需要修改/etc/conf.modules。例如,如果不使用ipx和appletalk模组,则增加下列两行: 
alias net-pf-4 off
alias net-pf-5 off

为了节省下次配置和编译内核的时间,不妨将配置设定作为一个文档妥善保存。注意:如果内核升级,则这个配置设定档必然无用,因为它没有包含新内核的各种要素。 

2.6 Sendmail停机 

有些系统的sendmail会使机器在启动时停顿两、三分钟。原因有二:(1)机器没有与网际网路直接连接;(2)直接连接网际网路,并有永久的IP地址。 

立即解决第一种问题的办法是确定/etc/hosts内有下列一行: 

127.0.0.1   localhost

造成停顿的第二种原因是往往在/etc/hosts内有内容如下的一行: 

127.0.0.1   localhost   your_host_name

可将其分成以下两行: 


127.0.0.1    localhost
w.x.y.z      your_host_name

同时请参考 Hostname一节 



2.7 硬盘性能 
如果谨慎使用 hdparm(8)就会大大提高 (E)IDE 硬盘的性能。假设使用的 Linux 中没有包含这个软件,可从 ftp://metalab.unc.edu/pub/Linux/system/hardware查找;设法在这个网址上找一个称为hdparm-X.Y.tar.gz的软件。 

由于使用这个软件的细节取决于硬盘的种类和控制程序,因此在此无法提出通则。使用不当,可能会损及文档系统,因此使用之前,务必详细阅读 man 说明。以最简单的例子而言,在/etc/rc.d/rc.sysinit内可增加一行,内容如下: 


/sbin/hdparm -c1 /dev/hda  #  -- 假定为第一个 IDE 硬盘

这行提供了 (E)IDE 32-bit I/O 的支持。关於 -m 选项,hdparm的作者 Mark Lord 告诉我: 


(...) 如果系统内的组件是前几年的产品 [< 1997],一般都没有问题。如果是老旧的设备,可能不行(但也许没问题)。真正发生问题的是 2 - 3 年前在 486 和 (早期)586 母板上广泛使用的 CMD0646 和 RZ1000 这两种晶片。 
下列设置应可使用于最近的电脑: 


/sbin/hdparm -c1 -A1 -m16 -d1 /dev/hda


2.8 并联埠 Zip 磁碟机 
利用最近内核(2.x.x)所带的驱动程序就可使用并联埠的 Zip 磁碟机。在设置内核时,务必加装使用 SCSI 和 SCSI 磁盘的功能。注意:打印机和 Zip 磁碟机共用并联埠时可能会发生冲突,因此最好使用内核模组设置。在 http://www.torque.net/ ;上还有一个代用的 ppa 驱动程序。 

Zip 磁片出售时已经格式化,其分割为 /dev/sda4。在设定 Zip 磁碟机时,在 /etc/rc.d/rc.sysinit 档中加附下列内容: 


# Enable the Zip drive  -- 设定 Zip 磁碟机
/sbin/modprobe ppa

Zip 磁片可在/etc/fstab中加列以下内容或通过 Mtools 在/etc/mtools.conf中增加下列内容加载: 


drive z: file="/dev/sda4" exclusive

此外,mzip指令也可用于弹出、查询机况、读写和附加密码于 Zip 磁片;详情请查阅man mzip。 Mtools 的网址在 http:// ;Linux .wauug.org/pub/knaff/mtools。 


2.9 设备驱动程序 
列在/dev中(或连接到实际设备驱动程序)的设备可能并不确切。检查滑鼠、数据机和光碟驱动程序对应的设备为何,然後作出下列设定: 


/dev# ln -s ttyS0 mouse; ln -s ttyS1 modem; ln -s hdb cdrom; ln -s sda4 zip

在多数笔记本电脑上,鼠标的设置是/dev/psaux:在设置 X11 时应将此列入考虑。 
不妨将这些设置都通过 chmod 666 改变属性,使所有使用者均可使用这些设备。 



2.10 声卡 

我只有一张旧声卡 Sound Blaster 16;即使您的声卡与我的不同,不过下列方法也可引导您如何设置声卡。 

我将声卡的驱动程序作为模组(sb.o)编入内核。然後将下列内容列入/etc/conf.modules: 


options sb io=0x220 irq=5 dma=1 dma16=5 mpu_io=0x330
alias sound sb

要启动声卡,首先运行modprobe sound,或者使用 RedHat 的工具sndconfig。 


2.11 登录信息 
如要自设登录信息,首先检查/etc/rc.d/rc.local是否覆盖/etc/issue和/etc/motd的内容。(RedHat 覆盖内容)如属肯定,请打开文本编辑器。 

如要使登录信息带有颜色,可在rc.local中列入下列内容: 


# put a real escape character instead of ^[. To do this:
# emacs: ^Q ESC   vi: ^V ESC   joe:  ` 0 2 7   jed: ` ESC
ESC="^["  # a real escape character
BLUE="$ESC[44;37m"
NORMAL="$ESC[40;37m"
CLEAR="$ESC[H$ESC[J"

> /etc/issue
echo "$CLEAR" >> /etc/issue
echo "$BLUE   Welcome to MyServer (192.168.1.1)   " >> /etc/issue
echo "$NORMAL " >> /etc/issue
echo "" >> /etc/issue


2.12 主机名称 
只运行hostname new_host_name指令也许不够。要解决sendmail死机的问题,可采用下列步骤(只适用于单机): 


编辑/etc/sysconfig/network和改变其中的主机名称(例如new_host_name.localdomain); 
相应地编辑/etc/HOSTNAME; 
将新机名编入/etc/hosts; 
127.0.0.1       localhost  new_host_name.locadomain


2.13 滑鼠(Mouse) 

gpm 的滑鼠功能对在主控台进行剪贴至为有用,也可在一些应用中使用滑鼠。在 Red Hat 系统中,检查有否一个称为/etc/sysconfig/mouse 的文档,内容如下: 


MOUSETYPE="Microsoft"
XEMU3=yes

此外,还得有一个/etc/rc.d/init.d/gpm档,其中还可设定一些指令。我设定的指令如下: 

...
       daemon gpm -t $MOUSETYPE -d 2 -a 5 -B 132 # two-button mouse -- 双按钮滑鼠
...

显而易见,其中设置当然得与滑鼠的类型相符。在多数笔记型型电脑中, MOUSETYPE 应设为 “PS/2”。 

在Caldera系统中,只要在/etc/rc.d/rc.boot中加入此行即可: 

/usr/bin/gpm

在S.u.S.E.中,在/etc/rc.config中加入gpm部分;在Debian系统中,则需修改 /etc/gpm.conf。 

如果喜欢用Ctrl按钮使用主控台的菜单,则需设置gpm-root。修改 /etc/gpm-root.conf中的预设菜单,然後从/etc/rc.d/rc.local启动 gpm-root。 


2.14 加载位置(Mount Points) 

为方便使用,应对软盘、其他设备和NFS的输出目录设定加载位置。例如,可采用下列办法: 


/mnt# mkdir floppy; mkdir cdrom; mkdir win; mkdir zip; mkdir server

此行设定了 DOS/Win 软盘(ext2磁片)、CD-ROM、Windows 分割区、平行口 Zip 驱动器和 NFS 目录的加载位置。 

然後修改 /etc/fstab 档,并增加下列内容: 


/dev/fd0        /mnt/floppy     auto            user,noauto 0 1
/dev/cdrom      /mnt/cdrom      iso9660         ro,user,noauto 0 1
/dev/zip        /mnt/zip        vfat            user,noauto,exec 0 1
/dev/hda1       /mnt/win        vfat            user,noauto 0 1
server:/export  /mnt/server     nfs             defaults

显而易见,第一栏必须使用正确的设备名称。最近发表的内核已经支持 fat32;以前的内核需要修补。修补软件可从 http://bmrc.berkeley.edu/people/chaffee/fat32.html取得。有关这方面的进一步资料,可查询 man mount。 

注意第一行中的“auto”文档系统格式;这表示可加载 ext2 和 vfat(DOS/Windows)两种系统格式制作的磁片。mtools也是相当好用的工具。 


2.15 lilo(8) 和 LOADLIN.EXE 

许多使用者在电脑上同时运行 Linux 和 DOS/Windows 两套操作系统,并在开机时选用其中之一;这应在安装时作出设定,如果当时没有设定,可采取下列办法解决。首先假定 /dev/hda1中装有 DOS/Windows, /dev/hda2 中装有 Linux . 


将 /dev/hda 作为默认设备!

Command (m for help):a
Partition number (1-4): 2

Command (m for help):w

经过这项设定, Linux 分割区成为启动操作系统。然後在/etc/lilo.conf中作出设定: 


boot = /dev/hda2
compact                # may conflict with "linear"  --可能与“linear”冲突
delay = 100            # 10 seconds  --等待10秒
linear                 # gets rid of the "1024 cylinder" problem --解决1024磁圈的问题
# message = /boot/bootmesg.txt  # write your own, if you will --自订开机信息
root = current
image = /boot/vmlinuz  # boot  Linux  by default as this entry comes first --默认的内核
  label =  Linux 
  read-only
#  append="mem=128M"   # to see more memory than 64M  --如果记忆内存大於64M
other = /dev/hda1
  table = /dev/hda
  label = dos

运行/sbin/lilo后就大功告成。由于lilo是安装中极其重要的部分,无论如何应该详细阅读有关这方面的资料。 

如果不打算重作设定,而要从 DOS/Windows 内启动 Linux ,可把 LOADLIN.EXE 放入一个属於 DOS 路径的子目录(DOS 分割区);然後将内核拷贝到该子目录,例如C:\TEMP\VMLINUZ。利用下面简单的 .BAT档就可启动 Linux: 


rem    Linux .bat
smartdrv /C
loadlin c:\temp\vmlinuz root=/dev/hda2 ro

如使用 Windows 9X,则设定这个.BAT档的特性,使其从 MS-DOS 状态启动。 


安全考量

在安装 Linux 之前,先制作一张 MBR 区的备份磁片,以防不测。先运行restorrb(包括在FIPS的软件包内),或以下面的指令制作 Linux 的死机解救磁片: 

rescue:

然後至少制作两片有MBR档的磁片。如果一旦故障停机,可用下列指令恢复原先的 MBR: 

rescue:

当然,这要在/mnt已加载包含MBR的磁片。否则,利用 DOS 的解救磁片运行FDISK /MBR。 



2.16 电子邮件 

如何阅读以 HTML 格式或含有其他各种文件格式的电子邮件呢?首先要有两个文档:/etc/mime.types 和/etc/mailcap。第一个文档列出文件的格式及其扩展名: 


application/postscript          ps eps
image/jpeg                      jpe jpeg jpg
text/html                       html

而第二个文档规定如何显示这种文档的格式。 

有时有的电子邮件使用 Microsoft Outlook 发送,其内容含有多重 MIME 格式。阅读这类电子邮件需要在etc/mailcap中加入下列两行: 


text/plain; less %s; needsterminal
text/html; lynx -force_html %s; needsterminal


2.17 打印机的设置 

就我所知,各种 Linux 版本均有设置打印机的工具(printtool,yast或magicfilter);否则可用基本的手动设定。 

假定要用非 PostScript 打印机(也非“Windows-only”的打印机)来打印原始文件(例如 C 程序的原始码文本)和利用 GhostScript 来打印 PostScript 文档(此处假定已安装了 GhostScript)。 

设定打印机的步骤如下: 


检查并行口的打印机: 
~# echo "hello, world" > /dev/lp0
~# echo "hello, world" > /dev/lp1

记下联机的打印机和端口。 
设定两个 spool 子目录: 
/var/spool/lpd/# mkdir raw; mkdir postscript

如果打印机印出的结果有“台阶”现象(多数 InkJet 打印机都有这种现象),则需要一个过滤器。试印下面两列: 
~# echo "first line" > /dev/lp1 ; echo "second line" > /dev/lp1

如果印出的结果如下: 
first line
          second line

将此文档作为/var/spool/lpd/raw/filter保存: 
#!/bin/sh
# 这个过滤器可消除“台阶”现象
awk '{print $0, "\r"}'

运行chmod 755 /var/spool/lpd/raw/filter使其成为可执行文档。 
要制作用于PostScript仿真的过滤器,则将过滤器定名为 /var/spool/lpd/postscript/filter: 
#!/bin/sh

DEVICE=djet500
RESOLUTION=300x300
PAPERSIZE=a4
SENDEOF=

nenscript -TUS -ZB -p- |
if [ "$DEVICE" = "PostScript" ]; then
        cat -
else
        gs -q -sDEVICE=$DEVICE \
                -r$RESOLUTION \
                -sPAPERSIZE=$PAPERSIZE \
                -dNOPAUSE \
                -dSAFER \
                -sOutputFile=- -
fi

if [ "$SENDEOF" != "" ]; then
        printf "\004"
fi

(上例使用 HP DeskJet 打印机。如为他种打印机,则作出相应修改。) 
最後在/etc/printcap内增加下列内容: 
# /etc/printcap
lp|ps|PS|PostScript|djps:\
        :sd=/var/spool/lpd/postscript:\
        :mx#0:\
        :lp=/dev/lp1:\
        :if=/var/spool/lpd/postscript/filter:\
        :sh:
raw:\
        :sd=/var/spool/lpd/raw:\
        :mx#0:\
        :lp=/dev/lp1:\
        :if=/var/spool/lpd/raw/filter:\
        :sh:

其他更为复杂或少见的打印设置,请参考 Printing-HOWTO。 

注意:如使用printtool,Printtool选取的 GSDEVICE 可以用于打印,但不一定是最好的选择。不妨对postscript.cfg档作些修改;例如,把 GSDEVICE 内cdj500 改为 djet500,就可加快打印的速度。 


2.18 SVGATextMode 

放在 ftp://tsx-11.mit.edu/pub/ ;Linux /sources/sbin上的工具软件对改变主控台的屏幕分辨率、字体和游标的形状非常有用。在主控台上工作时,需要使用重音字体的文字(译注:如欧洲文字)或需要改变笔记本电脑游标的大小都可使用这套软件。 

从默认的 VGA 参数开始,首先编辑/etc/TextConfig或/etc/TextMode。使用欧洲文字的用户应该对其中含有“LoadFont”一节感到庆幸。 


Option "LoadFont"
FontProg "/usr/bin/setfont"
FontPath "/usr/lib/kbd/consolefonts"
FontSelect "lat1u-16.psf"   8x16 9x16 8x15 9x15
FontSelect "lat1u-14.psf"   8x14 9x14 8x13 9x13
FontSelect "lat1u-12.psf"   8x12 9x12 8x11 9x11
FontSelect "lat1u-08.psf"   8x8  9x8  8x7  9x7

完成这项设定之後,运行SVGATextMode "80x34x9"。如果觉得一切运行顺利,从/etc/TextMode中删除警告,并将下行写入 etc/rc.d/rc.sysinit: 


# SVGATextMode
/usr/sbin/SVGATextMode "80x34x9"

注意:方块游标只在有些模式下有效;在我的笔记本电脑上,其数值为“80x32x9”。 



--------------------------------------------------------------------------------
    
--------------------------------------------------------------------------------

3. 管理员的一般工作

要做的工作那麽多,时间又那麽少!尽管有许多工作要完成,但我们还是先从这一节开始。这一节主要与网路有关。网路联网涉及的问题□多,无法在此全部概括。首先应参考NET-3 HOWTO,此外,多数 Linux 版本也提供了如何设定网路功能的资料。此处只预备讨论其中几项要点。 


假设在 Linux 上预备安装calendar或reminder、Http、Samba、telnet/ssh登录、匿名 ftp(anonymous ftp)、POP/IMAP服务器和NFS等功能。 


3.1 网路设置 
设定 Linux 各种版本网路功能的方法可能相当复杂,但下述脚本足够启动网路: 


#!/bin/sh

# net-up.sh: set up network access --设定联网

DEVICE=eth0      #-- 网卡
IPADDR=192.168.1.100
NETMASK=255.255.255.0
NETWORK=192.168.1.0
GATEWAY=192.168.1.1

ifconfig $DEVICE $IPADDR netmask $NETMASK up
route add -net $NETWORK netmask $NETMASK $DEVICE
route add default gw $GATEWAY

这个脚本在使用解救磁片连接网路时非常有用。当然,它只能使机器通过 ping,ftp 和 telnet 与外界联络。 


3.2 分享网际网路 

Linux 服务器的一项最有用的功能就是分享网际网路。目前,大多数现成可用的内核都已附有 IP firewalling、masquerading 和 forwarding 的功能。如要知道详细功能,可参看 IP-Masquerade mini-HOWTO。然後安装 ipfwadm(内核 2.0.x; http://www.xos.nl/ ;Linux /ipfwadm/)或 ipchains(内核2.2.x; http://www.adelaide.net.au/)。 

注意:对需要的功能,启动相应的内核模组。例如,如需要ftp,则应将下行加入 /etc/rc.d/rc.sysconfig: 


/sbin/modprobe ip_masq_ftp

其他模组通常都放在/lib/modules/KERNEL-VERSION/ipv4档中。 

为本地网路的其他机器启动IP masquerading功能的程序非常简单。首先检查网路初始化脚本/etc/sysconfig/network (应在应该放置的位置)是否有内容为FORWARD_IPV4=true的一行。通常在网路启动时 /proc/sys/net/ipv4/ip_forward均设为 1。 

在/etc/rc.d/rc.sysinit中增加以下数行: 


# default: packets cannot go reach the outside 
# 预设为数据包无法发送到网际网路
/sbin/ipfwadm -F -p deny
# allow all machines on the local network to reach the Internet
# 使本地网路上的所有机器均可连接网际网路
/sbin/ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0
# alternatively, allow only these two machines
# 或只让下面两台电脑连到网际网路
# /sbin/ipfwadm -F -a m -S 192.168.1.100/24 -D 0.0.0.0/0
# /sbin/ipfwadm -F -a m -S 192.168.1.101/24 -D 0.0.0.0/0

如 Linux 已使用 2.2.x 系列内核,以ipfwadm-wrapper代替ipfwadm可加快启动速度。 


现在应使用户端机器拨接ISP;可试用Mserver( http://cpwright.villagenet.com/mserver/)。修改etc/mserver.conf;只需改动“checkhost”、“shadow”和“cname”三项。然後设定联网参数。 



3.3 限制网路连接 
假定电脑通过PPP连到网际网路。任何机器连到网际网路就有可能遭到外界的入侵。在 /etc/hosts.allow中列入以下内容: 


# only allow access to localhost
# 只允许连到localhost
ALL: 127.

并在/etc/hosts.deny中列入: 


# deny access to everyone
# 不让任何人进入
ALL: ALL

如果电脑所属的网路直接与网际网路连接,由于安全的理由,最好取消finger、telnet等功能;利用ssh替代telnet。此处只要修改/etc/inet.conf档即可。同时,也可在/etc/hosts.allow中增加下列内容限制网路连接: 


in.telnetd: 192.168.1., .另一个.可信的.网路地址
in.ftpd: 192.168.1., .另一个.可信的.网路地址

并在/etc/hosts.deny中增加下列内容: 


in.telnetd: ALL
in.ftpd: ALL


3.4 NFS输出 
这种方式用于服务器用户目录的输出;但如果用户的 UID 和 GID 在各台机器上各不相同,就会发生问题。如果用户 guido 在server上的 UID/GID 为 500,在client上的 UID/GID 为 512,则可设置如下: 


# /etc/exports
/tmp            my.client.machine(rw)
/home/guido     my.client.machine(rw,map_static=/etc/nfs/client.map)

在/etc/nfs/client.map档中填入: 


# /etc/nfs/client.map
# NFS mapping for client
#       remote          local
uid     512             500
gid     512             500



3.5 域名服务器 

有待编写 (译注:作者显然忘了编写这部分内容) 



--------------------------------------------------------------------------------

原文转自:http://www.ltesting.net