要建立一个安全Linux服务器就首先要了解Linux环境下和网络服务相关的配置文件的含义及如何进行安全的配置。在Linux系统中，TCP/IP网 络是通过若干个文本文件进行配置的，也许你需要编辑这些文件来完成联网工作，但是这些配置文件大都可以通过配置命令linuxconf(其中网络部分的配 置可以通过netconf命令来实现)命令来实现（这两个工具在ReadHat/Fedora派系中提供）。下面介绍基本的TCP/IP网络配置文 件。     
    1、/etc/hostname文件： 该文件包含了系统的主机名称，包括完全的域名，如deep.openarch.com。 我的Ubuntu系统中的/etc/hostname只有一行内容：laptop-zhou，这是我系统的主机名。

2、/etc/sysconfig/network-scripts/ifcfg-ethN文件： RedHat/Fedora 派系中用于保存系统网络设备的配置文件，包括IP地址、网络掩码、广播地址等。ifcfg-eth0包含第一块网卡的配置信息，ifcfg-eth1包含 第二块网卡的配置信息，依次类推。下面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例：

DEVICE=eth0
IPADDR=208.164.186.1
NETMASK=255.255.255.0
NETWORK=208.164.186.0
BROADCAST=208.164.186.255
ONBOOT=yes
BOOTPROTO=none
USERCTL=no

若希望手工修改网络地址或在新的接口上增加新的网络界面，可以通过修改对应的文件（ifcfg-ethN）或创建新的文件来实现。
DEVICE=name：name表示物理设备的名字
IPADDR=addr：addr表示赋给该卡的IP地址
NETMASK=mask：mask表示网络掩码
NETWORK=addr：addr表示网络地址
BROADCAST=addr：addr表示广播地址
ONBOOT=yes/no：启动时是否激活该卡
BOOTPROTO=...：使用的启动协议。none表示无须启动协议，static表示分配静态IP，bootp表示使用bootp协议， dhcp表示使用dhcp协议
USERCTL=yes/no：是否允许非root用户控制该设备    
    3、/etc/resolv.conf文件： 域名解析器（resolver，一个根据主机名解析IP地址的库）使用的配置文件，我的Ubuntu中的内容如下：

search lib
nameserver 202.96.209.6
nameserver 192.168.0.1

这里“search”指定搜索域，这里指定为在域名解析库中搜索。又如"search openarch.com"表示当提供了一个不包括完全域名的主机名时，在该主机名后添加domainname.com的后缀。“nameserver” 指定域名服务器，表示解析域名时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中出现的顺序来查询的。
    4、/etc/host.conf文件： 指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。在我的Ubuntu系统上的内容为：

# "order"行只在旧版本的C库中使用
order hosts,bind
multi on

其中“order bind,hosts”指定主机名查询顺序，这里规定先使用DNS来解析域名，然后再查询“/etc/hosts”文件(也可以相反)。“multi on”指定是否“/etc/hosts”文件中指定的主机可以有多个地址，拥有多个IP地址的主机一般称为多穴主机。 文件中经常还会有“nospoof on”选项，它是指不允许对该服务器进行IP地址欺骗。IP欺骗是一种攻击系统安全的手段，通过把IP地址伪装成别的计算机，来取得其它计算机的信任。
　　  5、/etc/sysconfig/network文件： RedHat/Fedora派系中的配置文件，用来指定服务器上的网络配置信息及默认路由，下面是一个示例：

NETWORK=yes
RORWARD_IPV4=yes
HOSTNAME=deep.openarch.com
GAREWAY=0.0.0.0
GATEWAYDEV=

解释：
NETWORK=yes/no：网络是否被配置
FORWARD_IPV4=yes/no：是否开启IP转发功能
HOSTNAME=hostname：hostname表示服务器的主机名
GAREWAY=gw-ip：gw-ip表示网络网关的IP地址
GAREWAYDEV=gw-dev：gw-dw表示网关的设备名，如eth0等
    注意为了和老的软件相兼容，“/etc/hostname”文件应该使用与HOSTNAME=hostname选项中相同的主机名。
    6、/etc/hosts文件： 当机器启动时，在可以查询DNS以前，机器需要查询一些主机名到IP地址的匹配。这些匹配信息存放 在/etc/hosts文件中。在没有域名服务器情况下，系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。Windows系统中 也有这样的文件。在我的Ubuntu系统上的内容为：

127.0.0.1 localhost
127.0.1.1 laptop-zhou# 下面的各行在具有IPv6功能的主机中最好不要少
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

每一行有三列，IP地址、主机名、主机别名（上面文件中都没有主机别名）。一旦配置完机器的网络配置文件，应该重新启动网络以使修改生效。使用下面的命令 来重新启动网络：/etc/rc.d/init.d/network restart，在Debian/Ubuntu派系中则用sudo /etc/init.d/networking restart。
    7、/etc/inetd.conf文件： 众所周知，作为服务器来说，服务端口开放越多，系统安全稳定性越难以保证。所以提供特定 服务的服务器应该尽可能开放提供服务必不可少的端口，而将与服务器服务无关的服务关闭，比如一台作为www和ftp服务器的机器，应该只开放80和25端 口，而将其他无关的服务如finger auth等服务关掉，以减少系统漏洞。而inetd，也叫作“超级服务器”，就是监视一些网络请求的守护进程，其根据网络请求来调用相应的服务进程来处理 连接请求。inetd.conf则是 inetd的配置文件。inetd.conf文件告诉inetd监听哪些网络端口，为每个端口启动哪个服务。在任何的网络环境中使用Linux系统，第一 件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉，最好卸载掉，这样黑客就少了一些攻击系统的机会。查看“/etc /inetd.conf”文件，了解一下inetd提供哪些服务。用加上注释的方法（在一行的开头加上#号），禁止任何不需要的服务，再给inetd进程 发一个SIGHUP信号。修改inetd.conf的流程如下：
    （1）把文件的许可权限改成600：chmod 600 /etc/inetd.conf
    （2）确信文件的所有者是root：stat /etc/inetd.conf
    （3）编辑“inetd.conf”文件（vi /etc/inetd.conf），禁止所有不需要的服务，如ftp、 telnet、 shell、 login、 exec、talk、ntalk、 imap、 pop-2、pop-3、finger、 auth，等等。如果你觉得某些服务有用，可以不禁止这些服务。但是，把这些服务禁止掉，系统受攻击的可能性就会小很多。一个修改后的 “inetd.conf”文件示例如下（只是在不需要的服务前加了注释符#）：

# 为了在改变后重新读取本文件，只需用命令'killall -HUP inetd'
#echo stream tcp nowait root internal
#echo dgram udp wait root internal
#discard stream tcp nowait root internal
#discard dgram udp wait root internal
daytime stream tcp nowait root internal
daytime dgram udp wait root internal
#chargen stream tcp nowait root internal
#chargen dgram udp wait root internal
time stream tcp nowait root internal
time dgram udp wait root internal # 这些是标准服务（一般很少关闭，除非确实不需要它们）
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
# 服务Shell, login, exec, comsat以及talk是BSD中的协议
#shell stream tcp nowait root /usr/sbin/tcpd in.rshd
#login stream tcp nowait root /usr/sbin/tcpd in.rlogind
#exec stream tcp nowait root /usr/sbin/tcpd in.rexecd
#comsat dgram udp wait root /usr/sbin/tcpd in.comsat
#talk dgram udp wait root /usr/sbin/tcpd in.talkd
#ntalk dgram udp wait root /usr/sbin/tcpd in.ntalkd
#dtalk stream tcp wait nobody /usr/sbin/tcpd in.dtalkd
# Pop和imap邮件服务
pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d
pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d
imap stream tcp nowait root /usr/sbin/tcpd imapd
# 因特网UUCP服务
#uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l
# Tftp服务主要用来引导系统。许多站点只在作为“系统引导服务器“的机器上运行它，除非你
# 需要它，否则不要取消其注释
#tftp dgram udp wait root /usr/sbin/tcpd in.tftpd
#bootps dgram udp wait root /usr/sbin/tcpd bootpd
# Finger, systat和netstat可能会泄露有价值的用户信息给那些潜在的“系统黑客”，
# 许多站点选择禁止所有的这些服务或其中的一部分，以增强安全性
#finger stream tcp nowait root /usr/sbin/tcpd in.fingerd
#cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd
#systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx
#netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet
# 认证
#auth stream tcp nowait nobody /usr/sbin/in.identd in.identd -l -e -o
# inetd.conf的结束

注意改变了“inetd.conf”文件之后，别忘了给inetd进程发一个SIGHUP信号（killall -HUP inetd）。
    （4）为了保证“inetd.conf”文件的安全，可以用chattr命令把它设成不可改变。把文件设成不可改变的只要用下面的命令： chattr +i /etc/inetd.conf ，这样可以避免“inetd.conf”文件的任何改变（意外或是别的原因）。一个有“i”属性的文件是不能被改动的，不能删除或重命名，不能创建这个文 件的链接，不能往这个文件里写数据。只有系统管理员才能设置和清除这个属性。如果要改变inetd.conf文件，你必须先用chattr -i清除这个不允许改变的标志。
    对于诸如sendmail，named，www等服务，由于它们不象finger，telnet等服务，在请求到来时由inet守护进程启动相应的进程提 供服务，而是在系统启动时，作为守护进程运行的。而对于redhat linux，提供了一个linuxconfig命令，可以通过它在图形界面下交互式地设置是否在启动时运行相关服务。也可以通过命令来设置是否启动时启动 某个服务，如chkconfig –level 35 named off。具体命令可以参考man chkconfig的说明。
    8、/etc/hosts.allow和/etc/hosts.deny文件： 对于telnet、ftp等服务，如果将其一同关 闭，那么对于管理员需要远程管理时，将非常不方便。Linux提供另外一种更为灵活和有效的方法来实现对服务请求用户的限制，从而可以在保证安全性的基础 上，使可信任用户使用各种服务。Linux提供了一个叫TCP wrapper的程序。在大多数发布版本中该程序往往是缺省地被安装。利用TCP wrapper你可以限制访问前面提到的某些服务。而且TCP wrapper的记录文件中记录了所有的企图访问你的系统的行为。通过last命令查看该程序的log，管理员可以获知谁曾经或者企图连接你的系统。 在/etc目录下，有两个文件hosts.deny和hosts.allow，通过配置这两个文件，你可以指定哪些机器可以使用这些服务，哪些不可以使用 这些服务。在我的Ubuntu系统上的内容为：

# /etc/hosts.allow: 允许访问系统的主机列表。参看手册页hosts_access(5)和hosts_option(5)
#
# 例如:    ALL: LOCAL @some_netgroup
#         ALL: .foobar.edu EXCEPT terminalserver.foobar.edu
#
# 如果你想保护端口映射，对守护进程名使用名称"portmap"。记住你只能为端口映射使用关键字"ALL"
# 和IP地址（不能使用主机名或域名），对rpc.mountd（NFS挂载守护进程）也一样。参看portmap(8)
# 和rpc.mountd(8)
#

# /etc/hosts.deny: 允许访问系统的主机列表。参看手册页hosts_access(5)和hosts_options5)
#
# 例如:    ALL: some.host.name, .some.domain
#         ALL EXCEPT in.fingerd: other.host.name, .other.domain
#
# 如果你想保护端口映射，对守护进程名使用名称"portmap"。记住你只能为端口映射使用关键字"ALL"
# 和IP地址（不能使用主机名或域名），对rpc.mountd（NFS挂载守护进程）也一样。参看portmap(8)
# 和rpc.mountd(8)
#
# 能配符PARANOID匹配任何其名字不匹配IP地址的项 wildcard matches any host whose name does not match its
# address.
# 你可能希望激活这个选项，以确保任何未验证搜索到的主机名的程序仍然能留下易于理解的日志记录。在
# 早期的Debian版本中，这是默认的设置
# ALL: PARANOID

当服务请求到达服务器时，TCP wrapper就按照下列顺序查询这两个文件，直到遇到一个匹配为止：
    （1）当在/etc/hosts.allow里面有一项与请求服务的主机地址项匹配，那么就允许该主机获取该服务。
    （2）否则，如果在/etc/hosts.deny里面有一项与请求服务的主机地址项匹配，就禁止该主机使用该项服务。
    （3）如果相应的配置文件不存在，访问控制软件就认为是一个空文件，所以可以通过删除或者移走配置文件实现对清除所有设置。在文件中，空白行或者以#开头的行被忽略，你可以通过在行前加#实现注释功能。
　　配置这两个文件是通过一种简单的访问控制语言来实现的，访问控制语句的基本格式为：
　　程序名列表:主机名/IP地址列表。
    程序名列表指定一个或者多个提供相应服务的程序的名字，名字之间用逗号或者空格分割，可以在inetd.conf文件里查看提供相应服务的程序名，如上面 的文件示例中，telent所在行的最后一项就是所需的程序名in.telnetd。主机名/IP地址列表指定允许或者禁止使用该服务的一个或者多个主机 的标识，主机名之间用逗号或空格分隔。程序名和主机地址都可以使用通配符，以方便的指定多项服务和多个主机。
　　Linux提供了下面灵活的方式指定程序名或者主机列表:
    （1）一个以"."起始的域名串，如 .amms.ac.cn 那么www.amms.ac.cn就和这一项匹配。
    （2）以"."结尾的IP串如 202.37.152. 那么IP地址包括202.37.152. 的主机都与这一项匹配。
    （3）格式为n.n.n.n/m.m.m.m表示网络/掩码，如果请求服务的主机的IP地址与掩码的位与的结果等于n.n.n.n，那么该主机与该项匹配。
    （4）ALL表示匹配所有可能性。
    （5）EXPECT表示除去后面所定义的主机。如"list_1 EXCEPT list_2"表示list_1主机列表中除去List_2所列出的主机。
    （6）LOCAL表示匹配所有主机名中不包含"."的主机。
    上面的几种方式只是Linux提供的方式中的几种，但是对于我们的一般应用来说是足够了。我们通过举几个例子来说明这个问题： 我们只希望允许同一个局域网的机器使用服务器的ftp功能，而禁止广域网上面的ftp服务请求，本地局域网由202.39.154.、 202.39.153.和202.39.152.三个网段组成。在hosts.deny文件中，我们定义禁止所有机器请求所有服务:
　　ALL:ALL
　　在hosts.allow文件中，我们定义只允许局域网访问ftp功能：
　　in.ftpd -l –a: 202.39.154 202.39.153. 202.39.152.
    这样，当非局域网的机器请求ftp服务时，就会被拒绝。而局域网的机器可以使用ftp服务。此外，应该定期检查/var/log目录下的日志文件，发现对系统安全有威胁的登录事件。last命令可以有效的查看系统登录事件，发现问题所在。
    最后tcpdchk是检查TCP_WAPPERS配置的程序。它检查TCP_WAPPERS的配置，并报告它可以发现的问题或潜在的问题。在所有的配置都完成了之后，请运行tcpdchk命令。
    9、/etc/services文件： 端口号和标准服务之间的对应关系在RFC 1700 “Assigned Numbers”中有详细的定义。“/etc/services”文件使得服务器和客户端的程序能够把服务的名字转成端口号，这张表在每一台主机上都存 在。只有“root”用户才有权限修改这个文件，而且在通常情况下这个文件是没有必要修改的，因为这个文件中已经包含了常用的服务所对应的端口号。为了提 高安全性，我们可以给这个文件加上保护以避免没有经过授权的删除和改变。为了保护这个文件可以用下面的命令：chattr +i /etc/services。这个文件的内容很简单，但比较长（因为要包含所有的端口号），这里就不列出来了。　　
    10、/etc/network/interfaces： Debian/Ubuntu中配置网络接口参数的文件，功能类似于RedHat中的ifcfg-ethN文件。在我的Ubuntu系统上的内容为：

# 回环接口
auto lo
iface lo inet loopback# ADSL拨号接口
auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up   # 这一行由pppoeconf维护
provider dsl-provideriface eth0 inet static
address 192.168.0.109
netmask 255.255.255.0
gateway 192.168.0.1auto eth0

auto的行表示在系统启动时自动配置该接口。一个以iface开头的行指定一个网络接口，后面跟着多个缩行，指定更多的参数。inet表示地址 族，adress、netmask、gateway、broadcast分别表示接口的IP地址、网络掩码、默认网关地址、广播地址。static是IP 地址的获取方式，常用的获取方式有：
    static：静态分配IP
    dhcp：动态分配IP，即通过dhcp协议获取IP
    ppp：通过PPP拨号协议（常用PPPoE）获取IP
    loopback：回环接口（IP为127.0.0.1）
    11、/etc/nsswitch.conf文件： C程序库里很多函数都需要配置以便能在本地环境正常工作，习惯上是使用文件(例 如`/etc/passwd') 来完成这一任务. 但别的名字服务, 如网络信息服务NIS，还有域名服务DNS等，逐渐通用起来，并且被加入了C程序库里，而它们使用的是固定的搜索顺序。在有NYS支持的Linux libc5以及GNU C Library 2.x (libc.so.6)里，依靠一个更清晰完整的方案来解决该问题。该方案模仿了Sun Microsystems公司在Solaris 2 的C程序库里的方法, 也沿袭了它们的命名，称为 "名字服务开关(NSS)"， 所用 "数据库" 及其查找顺序在文件/etc/nsswitch.conf里指明。在我的Ubuntu系统上的内容为：

# /etc/nsswitch.conf
#
# GNU名字开关服务功能的配置文件。如果你安装有'glibc-doc-reference'和'info'包，尝试用：
# `info libc "Name Service Switch"'来获取本文件的帮助信息passwd:         compat
group:          compat
shadow:         compathosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       filesprotocols:      db files
services:       db files
ethers:         db files
rpc:            db filesnetgroup:       nis

NSS 中可用数据库如下:
aliases:    邮件别名，sendmail(8)使用该文件
ethers:     以太网号
group:      用户组，getgrent(3)函数使用该文件
hosts:      主机名和主机号，gethostbyname(3)以及类似的函数使用了该文件
netgroup:   网络内主机及其用户的列表，访问规则使用该文件
network:    网络名及网络号，getnetent(3)函数使用该文件
passwd:     用户口令，getpwent(3)函数使用该文件
protocols:  网络协议，getprotoent(3)函数使用该文件
publickey:  NIS+及NFS所使用的secure_rpc的公开密匙
rpc:        远程过程调用名及调用号，getrpcbyname(3)及类似函数使用该文件
services:   网络服务，getservent(3)函数使用该文件
shadow:     shadow用户口令，getspnam(3)函数使用该文件
    每行的其余部分指明如何查找，对每个数据库都可以分别指明其查找方法。每个数据库的配置规范包含两个不同的项:
    （1）服务规范：如`files', `db', 或者`nis'。
    （2）对查找结果的反应：如`[NOTFOUND=return]'。
    在有NYS支持的libc5里允许服务规范`files', `nis'及`nisplus'，此外还可以对hosts指明`dns'为额外服务，对passwd及group指明`compat'，但不能对 shadow指明`compat'。在GNU C Library里，每个可用的SERVICE都必须有文件 /lib/libnss_SERVICE.so.1 与之对应。在标准安装时可以使用`files',`db', `nis'以及`nisplus'。此外还可以对hosts指明`dns'为额外服务，对passwd, group, shadow指明`compat'，而在有NYS支持的libc5中，不支持最后一项服务。
    说明中的第二项使用户可以更好地控制查找过程。常规格式为[STATUS = ACTION]，这里STATUS=success | notfound | unavail | tryagain，ACTION=return | continue，对关键字的大小写并不敏感。STATUS的值是调用指定服务查找函数的结果，意义如下:
    success: 没有错误发生，得到想要的结果。缺省action是`return'。
    notfound: 查找顺利，但是没有得到所要的结果。缺省action是`continue'。
    unavail: 服务永久不可用。这可能意味着必要的文件不可用，或者DNS 服务不可用或不允许查询。缺省action是`continue'。
    tryagain: 服务临时不可用。可能是文件被锁住了或者服务器当前不接受过多的连接。缺省action是`continue'。
    注意每个用到了nsswitch.conf文件的进程只完整地读一次文件，如果该文件后面被改变了，进程将仍然使用原来的配置。

　　总结：介绍到的主要文件有：
/etc/hostname
/etc/sysconfig/network-scripts/ifcfg-ethN
/etc/resolv.conf
/etc/host.conf
/etc/sysconfig/network
/etc/hosts
/etc/inetd.conf
/etc/hosts.allow和/etc/hosts.deny
/etc/services
/etc/network/interfaces
/etc/nsswitch.conf