書名: Linux 網管技術 流量統計與效能監控
作者: 蔡一郎 邱敏乘@著
內容與筆記
RPM(RedHat Package Manager)
RPM檔案已經完成編譯的程序,因為檔案中已經包含了已完成編譯的Binary檔案,使用者在安裝的過程中,並不需要再進行編譯工作,另外在安裝的過程中,RPM管理套件會針對目前硬體環境做檢查,包括硬碟容量、目前使用的系統版本、與其他套件之間的相依性等。
一般而言在安裝軟體時,會遇到不同套件之間相容性的問題,這問題大多是由於版本不相容所造成,因此如果為了配合特定的軟體而必須使用該軟體所指定的其他的函式庫或是應用軟體的套件。
套件檔案名稱最後一欄位:
i386
適用於所有x86平台,不論新舊CPU都能適用,其中i只的是intel相容之CPU。一般而言如果對硬體平台較不要求的軟體都會標示為「i386」。
i586
指的是586等級的CPU,為非確定目前所使用的CPU為該等級,否則容易在安裝時出現錯誤。
i686
指的是686等級的CPU,該版本會的套件會針對此等級的CPU做最佳化。
noarch
沒有任和硬體環境的限制與需求,因此可安裝在任何平台上。
YUM(Yellow Dog Updater Modified)
YUM是由Duke大學所發起的一項計畫,其目的在於解決RPM安裝時的相依性問題,YUM為一主從式架構,用戶端可透過HTTP協定來進行套件的更新,在伺服器端當然會存在所有可能的RPM套件啦。(在fedora中預設就有安裝yum)
yum的指令格式如下:
yum [option] [command] [package ...]
[option]的部分式yum指令執行的設定選項,常用的選項為 [-y],yum在安裝時可能會需要使用者回應,而[-y]指的是yes。
[command]的部分是yum會執行的動作,如:update、install 等等..
列出目前yum server上有的RPM套件:
#yum list | more
執行結果有三個欄位,第一為套件名稱,第二為套件版本,第三為套件狀態(installed表已安裝之套件、updates表可更新之套件、core 或extras表尚未安裝之套件)。
列出伺服器上可供更新的套件:
#yum check-update
以yum安裝套件:
如: #yum install aide -y
已yum更新套件:
如: #yum update gtk2 -y
SSH
在「/etc/ssh」目錄中,我們可以看見許多組態設定檔,其中最重要的兩個設定檔分別是「ssh config」以及「sshd config」,由檔案名稱不難分辨前者是提供給SSH使用者端的組態設定,後者是針對SSH伺服器的組態檔。
對於SSH伺服器的紀錄而言,必須定期分析是否有異常的登入訊息,而該記錄一般記錄在「/var/log/secure」。
網路安全對策
Linux系統中提供了相關的接取控制工具,在架構上可以分為三層:
1.在核心部份,利用iptable或ipchains來設定核心防火牆模組,以過濾不受歡迎的網路封包;此外也能用來監控主機的網路行為,提早發現問題。
2.另一個是TCP Wrappers,TCP Wrappers提供了以服務為主的存取控制,決定主機是否可以接取該項服務。
3.除了上述的兩關卡外,各項網路服務也有自己的安全性設定,另外xinetd則自己控管了一組服務的安全機制。
「iptable」或「ipchains」會根據封包的鏢頭資訊決定封包的命運(通過 丟掉 轉遞),如果通過了,系統就會喚起相關的服務,這時TCP Wrappers就要開始工作了,他會根據封包的來源來決定是否接取該項服務,在通過TCP Wrappers的檢查後才會真正接取到相對的網路服務。
iptables 防火牆
簡單的防火牆就是一套來明顯區隔兩個以上的一組軟硬體裝置,藉由事先制定的安全規則,針對網路的交通和安全性進行過濾及管理。防火牆按照運作方式分類,可分成以下三類:
1.封包過濾式防火牆:
封包過濾式是最早期的防火牆技術,主要是在網路層(IP)及運輸層(TCP)運作,藉由封包的標頭進行檢查,來決定如何處理該封包。封包過濾式優點是速度快、容易建置、成本低並具有完全的通透性(Transparency),大部分的工作都不會造成本地端的負擔,甚至不會察覺有防火牆的存在,但缺點是無法針對較高層的資料進行過濾分析。
2.應用層閘道式防火牆:
針對封包過濾式的缺點,應用層閘道是作用在應用層的防火牆,它會針對不同的服務如:FTP、HTTP等來分別進行安全稽核的動作。
3.電路層閘道式防火牆:
和應用層閘道一樣,差別在於它是建構在OSI架構中的交談層(Session Layer)。
在此iptable的相關指令使用不詳細介紹,該相關資料請參照本書第五章。不過在此注意一點,在預設中,iptables會將紀錄放在「/var/log/message」這個檔案中。
TCP Wrapper
TCP Wrapper套件在大多數的linux預設是安裝的,其主要元件是「/usr/lib/libwrap.a」這個函式庫,TCP Wrapper主要是透過它來提供服務。當一個連結企圖取得TCP服務時,該項服務首先會參考主機接取檔(host access file),也就是「/etc/hosts.allow」及「/etc/hosts.deny」這兩個檔案,來決定這個用戶端是否允許建立連結,之後syslog這個deamon會將相關的資訊,即主機名稱及服務的名稱記錄在「/var/log/secure」或「/var/log/messages」檔案中。
TCP Wrapper的優點
1.隱蔽性:包刮用戶端和提供服務的deamon均不會察覺到TCP Wrapper的存在;不論連結成功與否,要求連結的用戶端及要求的接取服務,皆會被記錄下來。
2.便利性:透過簡單的組態設定,TCP Wrapper能分別對多個網路服務進行管控,十分便利。
當TCP Wrapper服務收到用戶端的需求時,他會採取的步驟:
step1.
首先它會先比對「/etc/hosts.allow」這個設定檔,由上而下依序比對設定的規則,當滿足某個規則時就允許建立連結,如果不滿足任何一項規則時,則跳到第二步驟。
step2.
再來TCP Wrapper服務會比對「/etc/hosts.deny」這個設定檔,同樣的,由上而下依序比對設定的規則,當滿足某個規則時就拒絕建立連結,如果不符合任何一項規則,其預設為同意用戶端的連結需求。
於第七章之後,本書介紹數個網路管理的軟體工具,至於這些軟體的相關設定與安裝在此不再詳述,在此只單純介紹說明。
第七章 : MRTG
第八章 : Cacti
第九章 : OpenNMS
第十章 : 網路檢測工具(例如: ping fping echoping hping nmap..)
第十一章 : ntop
第七章之後,多以實作為主,之後若有機會使用到這些工具,這部分本書是非常值得參考的工具書,說明的相當詳細。
sclin by 淳
留言列表