怎么实现当域客户端访问linux共享文件服务器时不需要输入帐号密码呢，没加入域的客户端访问则需要提供帐户

解答一：

不使用share安全级别，你可以尝试使用samba的别名机制，通过修改smbusers名称映射文件来实现，在文件中设置访问的windows用户映射的samba用户账号即可。

应该可以实现你需要的效果。

解答二：

你可以尝试使用samba做主域控制器。看可以不。网上有很多资料，我早前做过，步骤基本上不记得了！

常用的IT服务器有Linux、Unix和Windows操作系统，其中Linux因其稳定、开源、免费、安全、高效的特点，发展迅猛，在服务器市场占有率超过80%，随着云计算的发展，Linux在未来服务器领域仍是大势所趋！

Linux操作系统主要有以下三大应用领域：

1 Linux作为企业级服务器的应用

Linux系统可以为企业架构WWW服务器、数据库服务器、负载均衡服务器、邮件服务器、DNS服务器、代理服务器、路由器等，不但使企业降低了运营成本，同时还获得了Linux系统带来的高稳定性和高可靠性，且无须考虑商业软件的版权问题。

2 嵌入式Linux系统应用领域

由于Linux系统开放源代码，功能强大、可靠、稳定性强、灵活而且具有极大的伸缩性，再加上它广泛支持大量的微处理体系结构、硬件设备、图形支持和通信协议，因此，在嵌入式应用的领域里，从因特网设备（路由器、交换机、防火墙，负载均衡器）到专用的控制系统（自动售货机，手机，PDA，各种家用电器），LINUX操作系统都有很广阔的应用市场。特别是经过这几年的发展，它已经成功地跻身于主流嵌入式开发平台。

3 个人桌面Linux应用领域

所谓个人桌面系统，其实就是我们在办公室使用的个人计算机系统，例如：Windows xp、windows 7、Mac等。Linux系统在这方面的支持也已经非常好了，完全可以满足日常的办公及家长需求。

随着Linux在服务器领域的广泛应用，近几年来，该系统已经参透到电信、金融、政府、教育、银行、石油等各个行业，同时各大硬件厂商也相继支持Linux操作系统；同时，大型、超大型互联网企业都在使用Linux系统作为其服务器端的程序运行平台，全球及国内排名前十的网站使用的几乎都是Linux系统，Linux已经逐步渗透到了各个领域。这一切表明，Linux在服务器市场前景光明。

几大主流服务器的操作系统特性概述

服务器市场现阶段的推动力主要由产品来主导，而产品的牵引主要由上游芯片厂商的性能提升来指向。更新年年有，今年特别多。越来越多、越来越快的服务器硬件新品推出似乎产生了更多的商机，但有时候也让使用者的眼神感觉疲惫。

　　产品总是为服务做准备，而服务器应用的基础是操作系统。本章中，笔者将把长期以来对于一些主流操作系统的应用体验在此展示一下，希望在感觉一丝新意之余，能够为朋友们选择服务器操作系统提供些微的参考。

　　1、服务器操作系统的分类

　　操作系统英文原称Operating System(简称OS)，主要功能是实现计算机硬件与软件的直接控制，并进行管理协调。

　　操作系统主要分为两部分：内核(Kernel)，壳(Shell)。

　　顾名思义，内核主要实现计算机硬件与壳之间的信息传递与沟通，是一个操作系统最核心技术的体现；壳主要负责传递内核与应用程序之间的信息交流，将内核与软件的内外部命令用利用底层语言进行相互转译，实现一个个的操作请求。对于Windows系统来说，内核与壳之间相互联系，就如同一个只会外语的洋老板与中国翻译的位置，是一个管理与被管理的关系；对于Unix与Linux来说，由于将内核与壳完全分离，就如同一个厂商与一个代理商之间的关系，双方互利协作，厂商可以随时取消代理商的代理权来另找代理，而代理同时也可以不需要这个代理权。

　　服务器操作系统，又名网络操作系统。相比个人版操作系统，在一个具体的网络中，服务器操作系统要承担额外的管理、配置、稳定、安全等功能，处于每个网络中的心脏部位，其网络操作系统的别称也由此而来。

　　服务器操作系统主要分为四大流派：WINDOWS、NETWARE、UNIX、LINUX。

　　WINDOWS服务器操作系统大家应该都不会陌生，这是全球最大的操作系统开发商——Microsoft公司开发的。其服务器操作系统重要版本WINNT 40 Server、Win2000/Advanced Server、Win2003/Advanced Server,也支撑起目前市面上应用最多的服务器操作系统——Windows服务器操作系统派应用。

　　NetWare服务器操作系统对现在一些IT圈里的朋友可能就比较陌生，由于种种原因，它的市场占有率已经非常局限，主要应用在某些特定的行业中。也就是因为此，在很多朋友在划分操作系统派系的时候，去除了NETWARE的代表权。其实，如果80年代前出生的老IT，对于NetWare这个名词就会异常熟悉了，因为在当初各种设备和网络都比较落后的年代，NetWare在局域网应用中占据着绝对的高额市场；而就算是目前，在一些特定行业和事业单位中，NetWare优秀的批处理功能和安全、稳定的系统性能也有很大的生存空间。NetWare目前常用的版本主要有Novell的311、312、410、50等中英文版。

　　Unix服务器操作系统由AT&T公司和SCO公司共同推出，主要支持大型的文件系统服务、数据服务等应用。由于一些出众的服务器厂商生产的高端服务器产品中甚至只支持Unix操作系统，因而在很多人的眼中，Unix甚至成为高端操作系统的代名词。目前市面上流传的主要有SCO SVR、BSD Unix、SUN Solaris、IBM-AIX 。

　　Linux服务器操作系统是国外几位IT前辈，在Posix和Unix基础上开发出来的，支持多用户、多任务、多线程、多CPU。Linux开放源代码政策，使得基于其平台的开发与使用无须支付任何单位和个人的版权费用，成为后来很多操作系统厂家创业的基石，同时也成为目前国内外很多保密机构服务器操作系统采购的首选。目前国内主流市场中使用的主要有Novell的中文版Suse Linux 90、小红帽系列、红旗Linux系列等。

　　2、Windows服务器操作系统

　　1)WINNT 40

　　WINNT Server可算得是开了直观、稳定、安全的服务器平台的先河。

　　当Windows操作系统以第一人性化的操作界面占据大片江山的时候，Windows系列产品在当时的主流的95、97系列中表现出的频繁机、后门敞开等问题，却成为竞争对手与用户同时攻击的对象。痛定思痛，在经过很长一段时间的闭门练功之后，Microsoft对自己的Windows系列产品与竞争对手的产品经过各方位测试比较，总结各自的优缺点，融入新的安全观念，在人性化的直观操作基础上，开发出影响深远的新技术NT架构内核。尽管由于技术的发展，后来的业内人员还是找出其中不少的缺点，但是其NT内核技术的开发与操作直观、安全等理念的实现，对于服务器操作系统的发展来说，仍然具有划时代的意义。时至今日，虽然Microsoft已经取消了对NT版本的升级服务，但一些怀旧和追求简单实用功能的IT人士，还是在一些特定的应用中使用到它。

　　优点：操作直观，易于使用，功能实用，安全性能比较好，可用于单一的防火墙等服务器上。

　　缺点：运行速度慢，功能不够完善，当进行超出系统处理能力的多项并发处理时，单个线程的不响应将会系统由于不堪重负产生机现象，需要对服务器进行重启操作，Microsoft已停止对其进行所有升级服务，市面上已无正版产品的销售。

　　2)Win2000/Advanced Server

　　Win2000/Advanced Server是在NT技术上发展起来的，当越来越多的人指责NT系统运行速度慢如蜗牛时，Microsoft对NT内核的壳部分进行了很大程度的响应与传输优化，并在NT基础上增加了很多的附加管理功能，这样就诞生了Win2000/Advanced Server的初始版本(Advanced Server版本相对Server版本所具有的管理功能更加全面)。Win2000系列服务器操作系统秉承了Windows一贯的直观易用的优良传统，并在原有的基础上实现了速度与功能的提升，在安全上也修补了所有以往的后门，是目前为止Windows服务器操作系统中市场使用最普遍的一款服务器，为Windows市场分额的直线提升立下了汗马功劳。但随着时间的推移，Windows一贯的后门失守现象也越来越多的呈现在大众的面前，而且目前Microsoft公司也已经停止此系列产品的销售与系统升级服务，不免使得很多仍执着跟随的朋友产生了很多遗憾。

　　优点：操作直观，易于使用，功能随着时代的发展具有大幅的提升，管理更加全面，相对NT版本，当单个线程不响应时，其他线程的处理仍然可以继续进行，系统无需重启，现代社会的很多应用仍然能够实现。

　　缺点：运行速度虽然较NT版本有不小的提升，但是在有一部分追求完美的应用者来说，仍然有恨铁不成钢的情绪；由于是在原有完整NT内核的基础上对所有的高端功能应用进行开发的，系统的稳定与安全性有部分的削弱；Microsoft已停止对Win2000系列服务器进销售与升级服务支持。

　　3)Win2003/Advanced Server

　　Win2003/Advanced Server继承了有历以来最具人性化的WinXP界面，对于原由内核处理技术进行了更大程度的改良，在安全性能上相对以前版本也有很大的提升，在管理功能上增加了许多流行的新技术，目前在Windows系列服务器中，其实际应用的比例与2000系列服务器产品基本相当。

　　优点：操作易用性是除了XP以外最人性化的版本，安全性是目前为止Windows全系列服务器产品中最好的，线程处理速度跟随硬件的发展有不小的提升，管理能力也有不小的提升，是目前Windows服务器中主流产品。

　　缺点：安全性能仍有待更加完善，由于管理功能的增加，需要处理的线程更加繁杂，如果使用同样的硬件，2000系列比2003系列产品在处理速度上会稍快。

　　3、UNIX服务器操作系统

　　Unix服务器操作系统最初是由AT&T与SCO两家公司共同推出，由于看到其系统的高稳定性与安全性，兼且对于大型文件系统、大型数据库系统的支持，使得在服务器领域具有卓越硬件研发功力的SUN与IBM两家公司也忍不住诱惑，加入其中，并且在其服务器操作系统推出不久，就借助其在服务器硬件领域的市场，推动了两家服务器操作系统赶超UNIX创始人的局面。

　　1)SCO SVR、BSD Unix

　　Unix由，Unix SCO SVR就是Unix技术创始人之一SCO公司的产品。由SCO公司开发的Unix SCO SVR和由AT&T主导的BSD Unix能够支持所有Unix系统都能实现的网络大型文件系统、数据库系统的支持，并且随着时代发展，能够支持越来越多的软件应用。此外，由于Unix系列的所有系统都属于非开源代码，而其系统的技术研发层面没有得到更多的推广，在外界对其知晓并不是很多的情况下，其本来就高高在上的系统稳定性与安全性地位就更加显得无法动摇。

　　优点：系统安全性与稳定性犹如业界无法动摇的泰山，能够支持大型文件系统与数据库系统，处于技术创始人地位的两位元老级Unix，一直在业界受到无数人狂热的追捧；

　　缺点：所有操作都需要输入代码式的命令触动，人性化显得非常差，这样也绊住了其对于中低端服务器市场的发展；虽然厂家位于技术创始人的地位，而且产品对于应用软件的支持一直都有所改善，但是临到后来，因为其本身的高端服务器操作系统定义，深层的技术研发没有得到更多的推广，导致这些改善的结果并未有太大的起色。

　　2)SUN Solaris、IBM-AIX

　　之所以把以上的四家产品只分为两组来谈，主要原因是笔者以实际应用的角度来看：四者其实都是定位于高端服务器操作系统市场的，在实际应用中，四者在处于高端定位上的技术差别非常微小，如果非要分一个具体的差别，那就从四位历史的起源与科技的进一步发展状况来区别——SCO与AT&T属于创业始祖，SUN与IBM属于后来居上者。而从结果中所得的猜测是，由于本组所谈的这两者的服务器产品市场占有率稍高，服务器厂商对于己身的服务器操作系统支持比较足够，这就对两这服务器的市场占有率和技术含量起了很大的推动力。

　　优点：支持大型文件系统与数据库，传承了UNIX一贯的高能级系统安全性、稳定性，对于系统应用软件的支持比较完善。

　　缺点：沾染了Unix系操作系统的通病，人性化界面肯定谈不上好了；由于IBM-AIX属于非开源代码，技术层面未能得到有效推广，使得相关维护人员的雇佣成本比较高，不利于占有率更多的中低端市场的进一步推广与普及；SUN对于源代码的开放时日尚短，目前也还没有享受到开源代码比较新颖的技术创新推动；两者面向企业的服务器端都是采取收费服务的方式，用户在享受两家高稳定性与安全性的硬件产品同时与服务器操作系统技术支持服务之时，“物美价廉”的想法是可以作罢了。

　　4、Linux服务器操作系统

　　1)小红帽系列、红旗Linux

　　Linux在中国的商用，很大程度上是政府采购的推动。考虑到机密数据的安全性，在前几年的一次政府采购中，具有开放的源代码基础的Linux操作系统似乎意外但也带有些必然性的中标，对于服务器操作系统市场来说，无意于引起了一场大地震，而官方获利最大的红旗和民间流传最广的小红帽也就成为国内Linux系统的代表。但其实在真正的使用中，除了在图标与细枝末节的功能差别外，这两个Linux厂商代表的核心技术都是无差别化的雷同。

　　优点：源代码的开放，使得该类服务器操作系统的技术完善从民间得到了其他厂商无法比拟的雄厚力量，在此基础上所形成的一件服务器操作系统成品是任何力量都不可忽视的，因而其所具有的兼容、安全、稳定的Linux特性也是其他服务器操作系统厂商不容易实现的；Linux

　　缺点：由于其是基于Unix系统所做的开发修补，属于类Unix模式，这就决定了其系统的兼容性相比其他服务器操作系统兼容的软件来说，还是具有一定差距的；Linux的操作基本也是利用输入代码命令进行应用实现的方式，使得其在人性化方面还是处于相当的劣势，其后果必然导致维护成本的相对偏高。

　　2)Suse Linux

　　其实在本组中笔者要提到的是Suse Linux10，不过因为其推出的时间只是上月末，离现在刚刚半个月的时间，在市面上最多的还是它的前辈Suse Linux90，所以笔者在之前Linux技术与产品介绍中提到的只是大家都比较熟悉的90版本。

　　很幸运，在Novell将Suse Linux10正式发布后第二天，笔者一位同事通过一些渠道获得其试用版，并且在笔者身旁做完了长达三天的测试，笔者也切身体验了这个结合Linux开源与微软人性化的新服务器操作系统。以下的优缺点分析也就是笔者要谈到的Suse Linux10的特点。

　　优点：具有Linux一贯稳定、安全的系统性能，兼容性相对目前主流的服务器操作系统也有很大的提升，具有相当于微软系列操作系统般的人性化设计，增加操作系统中绚丽而高难的三维立体空间显示，属于另一个划时代的产品。

　　缺点：虽然相对以前各家的软件兼容性有不小的提高，但因为市场中对于Linux系统支持的软件开发商本来就不多，所以它还是延续了Linux兼容性暂时差于微软的特性；系统所需的立体空间显示技术，并不是如同发布会当天Novell发言人所说的那样，只需要四五年前的主流PC的CPU性能和主板集成的显卡就可以完成。笔者看到的实际情况是，在微软系统中播放正常的一集美国大片，当在Suse Linux100上以三维立体空间技术播放时，播放了不到30秒钟，音频就一桢桢的跳着继续，视频更是好象播放划花的盗版光碟一样，在显示器上显示一个大花脸和不断颤动的波纹。

　　5、Netware服务器操作系统

　　Netware服务器操作系统的诞生比较早，在信息发展相对比较落后的年代，由于其对当时主流操作系统DOS命令的兼容，让很多使用者的入门与提高非常容易，这样就使得其对市场的推广更加有利。而当其版本一代代进行升级后，越来越多的人看到了它对基础设备低要求、很方便的实现网络联接与支持、对无盘工作站的优化组建、支持更多应用软件的优势。这样，随着时间的推移，Netware就渐渐成长成为当时局域网服务器操作系统的一方霸主。

　　随着信息技术的进一步前进以及Windows系统的出世，便宜性的人性化操作系统时代趋势挡住了其前进的步伐，并一再迫使其业绩走向滑坡。在目前社会的应用中，只有在金融这些需要无盘工作站的特定行业以及设备成本预算比较少的教育部门、小型企业等还维系其生存。

　　优点：操作相对方便，对设备的要求很低，对于网络的组建具有先天的优势，相对DOS能够支持更多的应用，能够支持金融行业所需的无盘工作站同时节省成本，能够支持很多游戏软件的开发环境搭建，系统稳定性和Unix系统基本处于对等水平。

　　缺点：由于操作仍然大部分依靠手工输入命令来实现，人性化显得比较弱势；对于硬盘的识别最高只能达到1G，无法满足现在社会对于大容量服务器的需求；各版本的升级只是实现了部分功能的实现与软件支持，没有更深层次的技术革新。

　　总结：笔者在此只是就服务器操作系统的应用在比较宏观的应用感官层面发表一下自己的意见。而其实除了以上我所提供的一些体验参考外，在选用服务器操作系统时，还存在很多包括具体方案、服务器规格、网络配套、软件应用、成本计算等诸多现实环境因素要考虑，可以的话，还是建议朋友们经过慎重考虑之后才确定——毕竟一个服务器建立以后，可能就需要马上控制一个或多个重要业务系统的管理了。

你这个问题，说的好像不怎么清楚

如果你是说使用LDAP在LINUX搭域，然后把WINDOWS作为客户端加入进去的话，这种做法我没见过

但我听过，SAMBA搭域，SAMBA搭的域，WINDOWS的可以作为客户端加入域，但使用SAMBA搭域的话，建议高手这么多，新手的话也可以尝试尝试下

但我感觉SAMBA这块做域控，没有windows server系列做域控方便

个人拙见，仅供参考。

要建立一个安全Linux服务器就首先要了解Linux环境下和网络服务相关的配置文件的含义及如何进行安全的配置。在Linux系统中，TCP/IP网络是通过若干个文本文件进行配置的，也许你需要编辑这些文件来完成联网工作，但是这些配置文件大都可以通过配置命令linuxconf(其中网络部分的配置可以通过netconf命令来实现)命令来实现。下面介绍基本的TCP/IP网络配置文件。

/etc/confmodules文件

该配置文件定义了各种需要在启动时加载的模块的参数信息。这里主要着重讨论关于网卡的配置。在使用Linux做网关的情况下，Linux服务器至少需要配置两块网卡。为了减少启动时可能出现的问题，Linux内核不会自动检测多个网卡。对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统若需要安装多块网卡，应该在“confmodules”文件中进行相应的配置。

若设备驱动被编译为模块（内核的模块）：对于PCI设备，模块将自动检测到所有已经安装到系统上的设备；对于ISA卡，则需要向模块提供IO地址，以使模块知道在何处寻找该卡，这些信息在“/etc/confmodules”中提供。

例如，我们有两块ISA总线的3c509卡，一个IO地址是0x300，另一个是0x320。编辑“confmodules”文件如下：

aliaseth03c509

aliaseth13c509

options3c509io=0x300,0x320

这是说明3c509的驱动程序应当分别以eth0或eth1的名称被加载（aliaseth0,eth1），并且它们应该以参数io=0x300,0x320被装载，来通知驱动程序到哪里去寻找网卡，其中0x是不可缺少的。

对于PCI卡，仅仅需要alias命令来使ethN和适当的驱动模块名关联，PCI卡的IO地址将会被自动的检测到。对于PCI卡，编辑“confmodules”文件如下：

aliaseth03c905

aliaseth13c905

若驱动已经被编译进了内核：系统启动时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到，但是在某些情况下，ISA卡仍然需要做下面的配置工作：

在“/etc/liloconf”中增加配置信息，其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡，编辑“liloconf”文件，增加如下内容：

append="ether="0,0,eth0ether="0,0,eth1"

注：先不要在“liloconf”中加入启动参数，测试一下你的ISA卡，若失败再使用启动参数。

如果用传递启动参数的方法，eth0和eth1将按照启动时被发现的顺序来设置。

/etc/HOSTNAME文件

该文件包含了系统的主机名称，包括完全的域名，如：deepopenarchcom。

/etc/sysconfig/network-scripts/ifcfg-ethN文件

在RedHat中，系统网络设备的配置文件保存在“/etc/sysconfig/network-scripts”目录下，ifcfg-eth0包含第一块网卡的配置信息，ifcfg-eth1包含第二块网卡的配置信息。

下面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例：

DEVICE=eth0

IPADDR=2081641861

NETMASK=2552552550

NETWORK=2081641860

BROADCAST=208164186255

ONBOOT=yes

BOOTPROTO=none

USERCTL=no

若希望手工修改网络地址或在新的接口上增加新的网络界面，可以通过修改对应的文件（ifcfg-ethN）或创建新的文件来实现。

DEVICE=name name表示物理设备的名字

IPADDR=addr addr表示赋给该卡的IP地址

NETMASK=mask mask表示网络掩码

NETWORK=addr addr表示网络地址

BROADCAST=addr addr表示广播地址

ONBOOT=yes/no 启动时是否激活该卡

none：无须启动协议

bootp：使用bootp协议

dhcp：使用dhcp协议

USERCTL=yes/no 是否允许非root用户控制该设备

/etc/resolvconf文件

该文件是由域名解析器（resolver，一个根据主机名解析IP地址的库）使用的配置文件，示例如下：

searchopenarchcom

nameserver2081641861

nameserver2081641862

“searchdomainnamecom”表示当提供了一个不包括完全域名的主机名时，在该主机名后添加domainnamecom的后缀；“nameserver”表示解析域名时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中出现的顺序来查询的。

/etc/hostconf文件

该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。下面是一个“/etc/hostconf”的示例：

orderbind,hosts

multion

ospoofon

“orderbind,hosts”指定主机名查询顺序，这里规定先使用DNS来解析域名，然后再查询“/etc/hosts”文件(也可以相反)。

“multion”指定是否“/etc/hosts”文件中指定的主机可以有多个地址，拥有多个IP地址的主机一般称为多穴主机。

“nospoofon”指不允许对该服务器进行IP地址欺骗。IP欺骗是一种攻击系统安全的手段，通过把IP地址伪装成别的计算机，来取得其它计算机的信任。

/etc/sysconfig/network文件

该文件用来指定服务器上的网络配置信息，下面是一个示例：

NETWORK=yes

RORWARD_IPV4=yes

HOSTNAME=deepopenarchcom

GAREWAY=0000

GATEWAYDEV=

NETWORK=yes/no 网络是否被配置；

FORWARD_IPV4=yes/no 是否开启IP转发功能

HOSTNAME=hostnamehostname表示服务器的主机名

GAREWAY=gw-ip gw-ip表示网络网关的IP地址

GAREWAYDEV=gw-dev gw-dw表示网关的设备名，如：etho等

注意：为了和老的软件相兼容，“/etc/HOSTNAME”文件应该用和HOSTNAME=hostname相同的主机名。

/etc/hosts文件

当机器启动时，在可以查询DNS以前，机器需要查询一些主机名到IP地址的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下，系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。

下面是一个“/etc/hosts”文件的示例：

IPAddress Hostname Alias

127001 Localhost Gateopenarchcom

2081641861 gateopenarchcomGate

………… ………… ………

最左边一列是主机IP信息，中间一列是主机名。任何后面的列都是该主机的别名。一旦配置完机器的网络配置文件，应该重新启动网络以使修改生效。使用下面的命令来重新启动网络：/etc/rcd/initd/networkrestart

/etc/inetdconf文件

众所周知，作为服务器来说，服务端口开放越多，系统安全稳定性越难以保证。所以提供特定服务的服务器应该尽可能开放提供服务必不可少的端口，而将与服务器服务无关的服务关闭，比如：一台作为www和ftp服务器的机器，应该只开放80和25端口，而将其他无关的服务如：fingerauth等服务关掉，以减少系统漏洞。

而inetd，也叫作“超级服务器”，就是监视一些网络请求的守护进程，其根据网络请求来调用相应的服务进程来处理连接请求。inetdconf则是inetd的配置文件。inetdconf文件告诉inetd监听哪些网络端口，为每个端口启动哪个服务。在任何的网络环境中使用Linux系统，第一件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉，最好卸载掉，这样黑客就少了一些攻击系统的机会。查看“/etc/inetdconf”文件，了解一下inetd提供哪些服务。用加上注释的方法（在一行的开头加上#号），禁止任何不需要的服务，再给inetd进程发一个SIGHUP信号。

第一步：把文件的许可权限改成600。

[root@deep]#chmod600/etc/inetdconf

第二步：确信文件的所有者是root。

[root@deep]#stat/etc/inetdconf

第三步：编辑“inetdconf”文件（vi/etc/inetdconf），禁止所有不需要的服务，如：ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth，等等。如果你觉得某些服务有用，可以不禁止这些服务。但是，把这些服务禁止掉，系统受攻击的可能性就会小很多。改变后的“inetdconf”文件的内容如下面所示：

#Tore-readthisfileafterchanges,justdoa'killall-HUPinetd'

#

#echostreamtcpnowaitrootinternal

#echodgramudpwaitrootinternal

#discardstreamtcpnowaitrootinternal

#discarddgramudpwaitrootinternal

#daytimestreamtcpnowaitrootinternal

#daytimedgramudpwaitrootinternal

#chargenstreamtcpnowaitrootinternal

#chargendgramudpwaitrootinternal

#timestreamtcpnowaitrootinternal

#timedgramudpwaitrootinternal

#

#Thesearestandardservices

#

#ftpstreamtcpnowaitroot/usr/sbin/tcpdinftpd-l-a

#telnetstreamtcpnowaitroot/usr/sbin/tcpdintelnetd

#

#Shell,login,exec,comsatandtalkareBSDprotocols

#

#shellstreamtcpnowaitroot/usr/sbin/tcpdinrshd

#loginstreamtcpnowaitroot/usr/sbin/tcpdinrlogind

#execstreamtcpnowaitroot/usr/sbin/tcpdinrexecd

#comsatdgramudpwaitroot/usr/sbin/tcpdincomsat

#talkdgramudpwaitroot/usr/sbin/tcpdintalkd

#ntalkdgramudpwaitroot/usr/sbin/tcpdinntalkd

#dtalkstreamtcpwaitnobody/usr/sbin/tcpdindtalkd

#

#Popandimapmailservicesetal

#

#pop-2streamtcpnowaitroot/usr/sbin/tcpdipop2d

#pop-3streamtcpnowaitroot/usr/sbin/tcpdipop3d

#imapstreamtcpnowaitroot/usr/sbin/tcpdimapd

#

#TheInternetUUCPservice

#

#uucpstreamtcpnowaituucp/usr/sbin/tcpd/usr/lib/uucp/uucico-l

#

#TftpserviceisprovidedprimarilyforbootingMostsites

#runthisonlyonmachinesactingas"bootservers"Donotuncomment

#thisunlessyouneedit

#

#tftpdgramudpwaitroot/usr/sbin/tcpdintftpd

#bootpsdgramudpwaitroot/usr/sbin/tcpdbootpd

#

#Finger,systatandnetstatgiveoutuserinformationwhichmaybe

#valuabletopotential"systemcrackers"Manysiteschoosetodisable

#someoralloftheseservicestoimprovesecurity

#

#fingerstreamtcpnowaitroot/usr/sbin/tcpdinfingerd

#cfingerstreamtcpnowaitroot/usr/sbin/tcpdincfingerd

#systatstreamtcpnowaitguest/usr/sbin/tcpd/bin/ps-auwwx

#netstatstreamtcpnowaitguest/usr/sbin/tcpd/bin/netstat-finet

#

#Authentication

#

#authstreamtcpnowaitnobody/usr/sbin/inidentdinidentd-l-e-o

#

#Endofinetdconf

注意：改变了“inetdconf”文件之后，别忘了给inetd进程发一个SIGHUP信号（killall–HUPinetd）。

[root@deep/root]#killall-HUPinetd

第四步：

为了保证“inetdconf”文件的安全，可以用chattr命令把它设成不可改变。把文件设成不可改变的只要用下面的命令：

[root@deep]#chattr+i/etc/inetdconf

这样可以避免“inetdconf”文件的任何改变（意外或是别的原因）。一个有“i”属性的文件是不能被改动的：不能删除或重命名，不能创建这个文件的链接，不能往这个文件里写数据。只有系统管理员才能设置和清除这个属性。如果要改变inetdconf文件，你必须先清除这个不允许改变的标志：

[root@deep]#chattr-i/etc/inetdconf

但是对于诸如sendmail，named，www等服务，由于它们不象finger，telnet等服务，在请求到来时由inet守护进程启动相应的进程提供服务，而是在系统启动时，作为守护进程运行的。而对于redhatlinux，提供了一个linuxconfig命令，可以通过它在图形界面下交互式地设置是否在启动时运行相关服务。也可以通过命令来设置是否启动时启动某个服务，如：[root@deep]#chkconfig–level35namedoff

具体命令可以参考manchkconfig的说明。

/etc/hostsallow文件

但是对于telnet、ftp等服务，如果将其一同关闭，那么对于管理员需要远程管理时，将非常不方便。Linux提供另外一种更为灵活和有效的方法来实现对服务请求用户的限制，从而可以在保证安全性的基础上，使可信任用户使用各种服务。Linux提供了一个叫TCPwrapper的程序。在大多数发布版本中该程序往往是缺省地被安装。利用TCPwrapper你可以限制访问前面提到的某些服务。而且TCPwrapper的记录文件记录了所有的企图访问你的系统的行为。通过last命令查看该程序的log，管理员可以获知谁曾经或者企图连接你的系统。

在/etc目录下，有两个文件：hostsdenyhostsallow通过配置这两个文件，你可以指定哪些机器可以使用这些服务，哪些不可以使用这些服务。

当服务请求到达服务器时，TCPwrapper就按照下列顺序查询这两个文件，直到遇到一个匹配为止：

1当在/etc/hostsallow里面有一项与请求服务的主机地址项匹配，那么就允许该主机获取该服务

2否则，如果在/etc/hostsdeny里面有一项与请求服务的主机地址项匹配，就禁止该主机使用该项服务。

3如果相应的配置文件不存在，访问控制软件就认为是一个空文件，所以可以通过删除或者移走配置文件实现对清除所有设置。在文件中，空白行或者以#开头的行被忽略，你可以通过在行前加#实现注释功能。

配置这两个文件是通过一种简单的访问控制语言来实现的，访问控制语句的基本格式为：

程序名列表:主机名/IP地址列表。

程序名列表指定一个或者多个提供相应服务的程序的名字，名字之间用逗号或者空格分割，可以在inetdconf文件里查看提供相应服务的程序名：如上面的文件示例中，telent所在行的最后一项就是所需的程序名：intelnetd。

主机名/IP地址列表指定允许或者禁止使用该服务的一个或者多个主机的标识，主机名之间用逗号或空格分隔。程序名和主机地址都可以使用通配符，实现方便的指定多项服务和多个主机。

Linux提供了下面灵活的方式指定进程或者主机列表:

1一个以""起始的域名串，如ammsaccn那么wwwammsaccn就和这一项匹配

2以""结尾的IP串如20237152那么IP地址包括20237152的主机都与这一项匹配。

3格式为nnnn/mmmm表示网络/掩码，如果请求服务的主机的IP地址与掩码的位与的结果等于nnnn那么该主机与该项匹配。

4ALL表示匹配所有可能性

5EXPECT表示除去后面所定义的主机。如:list_1EXCEPTlist_2表示list_1主机列表中除去List_2所列出的主机

6LOCAL表示匹配所有主机名中不包含""的主机

上面的几种方式只是Linux提供的方式中的几种，但是对于我们的一般应用来说是足够了。我们通过举几个例子来说明这个问题：

例一：我们只希望允许同一个局域网的机器使用服务器的ftp功能，而禁止广域网上面的ftp服务请求，本地局域网由20239154、20239153和20239152三个网段组成。

在hostsdeny文件中，我们定义禁止所有机器请求所有服务：

ALL:ALL

在hostsallow文件中，我们定义只允许局域网访问ftp功能：

inftpd-l–a:202391542023915320239152

这样，当非局域网的机器请求ftp服务时，就会被拒绝。而局域网的机器可以使用ftp服务。此外，应该定期检查/var/log目录下的纪录文件，发现对系统安全有威胁的登录事件。last命令可以有效的查看系统登录事件，发现问题所在。

最后tcpdchk是检查TCP_WAPPERS配置的程序。它检查TCP_WAPPERS的配置，并报告它可以发现的问题或潜在的问题。在所有的配置都完成了之后，请运行tcpdchk程序：

[root@deep]#tcpdchk

/etc/services文件

端口号和标准服务之间的对应关系在RFC1700“AssignedNumbers”中有详细的定义。“/etc/services”文件使得服务器和客户端的程序能够把服务的名字转成端口号，这张表在每一台主机上都存在，其文件名是“/etc/services”。只有“root”用户才有权限修改这个文件，而且在通常情况下这个文件是没有必要修改的，因为这个文件中已经包含了常用的服务所对应的端口号。为了提高安全性，我们可以给这个文件加上保护以避免没有经过授权的删除和改变。为了保护这个文件可以用下面的命令：

[root@deep]#chattr+i/etc/services

/etc/securetty文件

“/etc/securetty”文件允许你规定“root”用户可以从那个TTY设备登录。登录程序（通常是“/bin/login”）需要读取“/etc/securetty”文件。它的格式是：列出来的tty设备都是允许登录的，注释掉或是在这个文件中不存在的都是不允许root登录的。

注释掉（在这一行的开头加上＃号）所有你想不让root登录的tty设备。

编辑securetty文件（vi/etc/securetty）象下面一样，注释掉一些行：

tty1

#tty2

#tty3

#tty4

#tty5

#tty6

#tty7

#tty8

使Control-Alt-Delete关机键无效

把“/etc/inittab”文件中的一行注释掉可以禁止用Control-Alt-Delete关闭计算机。如果服务器不是放在一个安全的地方，这非常重要。

编辑inittab文件（vi/etc/inittab）把这一行：

ca::ctrlaltdel:/sbin/shutdown-t3-rnow

改为：

#ca::ctrlaltdel:/sbin/shutdown-t3-rnow

用下面的命令使改变生效：

[root@deep]#/sbin/initq

改变“/etc/rcd/initd/”目录下的脚本文件的访问许可

/etc/rcd/initd/下的脚本主要包含了启动服务的脚本程序。一般用户没有什么必要知道脚本文件的内容。所以应该改变这些脚本文件的权限。

[root@deep]#chmod-R700/etc/rcd/initd/

这样只有root可以读、写和执行这个目录下的脚本。

/etc/rcd/rclocal文件

在默认情况下，当登录装有Linux系统的计算机时，系统会告诉你Linux发行版的名字、版本号、内核版本和服务器名称。这泄露了太多的系统信息。最好只显示一个“Login:”的提示信息。

第一步：

编辑“/ect/rcd/rclocal”文件，在下面这些行的前面加上“#”：

--

#Thiswilloverwrite/etc/issueateverybootSo,makeanychangesyou

#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot

#echo"">/etc/issue

#echo"$R">>/etc/issue

#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue

#

#cp-f/etc/issue/etc/issuenet

#echo>>/etc/issue

--

第二步：

删除“/etc”目录下的“issuenet”和“issue”文件：

[root@deep]#rm-f/etc/issue

[root@deep]#rm-f/etc/issuenet

注意：“/etc/issuenet”文件是用户从网络登录计算机时（例如：telnet、SSH），看到的登录提示。同样在“”目录下还有一个“issue”文件，是用户从本地登录时看到的提示。这两个文件都是文本文件，可以根据需要改变。但是，如果想删掉这两个文件，必须向上面介绍的那样把“/etc/rcd/rclocal”脚本中的那些行注释掉，否则每次重新启动的时候，系统又会重新创建这两个文件。

你已经作对了啊，就是做A记录指到你的IP就行了。

只是生效需要一段时间而已。

刚Ping了一下，wwwfeelworldcom指向的IP是829886175，你的IP应该是173231689，那把这个A记录的IP改一下就行了