SCOUNIX基础讲座

huashi3483

<>第十一讲：TCP/IP　管理</P><>IP（Internet　Protocol）地址是　TCP/IP　网上为主机之间数据
: l$ b* ~' m' I$ t, p选择路径（交换）的基础，但是，用户通常不甚喜欢使用由数字
组成的　IP　地址，而比较喜欢使用多由英文字母组成的主机名字－－
$ w# f" C! X2 M& [+ W: qURL（Uniform　Resource　Location）。

不过，主机名字必需映像到　IP　地址，而方法就是通过　/etc/hosts
( ~, A; A" G2 \) _/ a5 o5 ?文件完成。
( E! l8 w7 g0 ~9 i
配置　/etc/hosts

/etc/hosts　的格式是：地址－－名字－－别名。
8 O4 M5 i+ }- Y1 I" K% ]
例如:

% K) M1 w5 s& V+ g127.0.0.1　localhost　localhost

132.147.18.1　vision　vision.sco.com
9 P7 d+ [2 l( R& i& w  \
IP　地址必需是一行上的第一项，在它前面不应有任何字符，例如
空格符或制表符；名字是简单的主机名字；别名则在很多情况下
( \7 b0 {" f- s" A都不需要，但是，全限主机名字、简单主机名字和辖区名字都归
, _+ N5 C/ v4 \8 ~* j' @: O: i入别名之列。

6 n* w0 }. L. j, j# s7 E! j检测　TCP/IP　配置

TCP/IP　协议的软件部份包括　TCP/IP　协议层架的顶三级，即
+ ^0 e, Z, ]4 |) I/ l# b6 a# _/ E! s9 S应用级（Application　Protocol）、传送级（Transport　Protocol）
* {. N  W4 a5 g' l$ z和网际网级（Internet　Protocol）。特定的主机名字”Localhost”
. }0 [" M" [2 C& t是特殊网络”loopback”上的本地主机的别名。
2 E, p. w: v( p8 s( A
要检测　TCP/IP　协议层架的软件部份，使用　ping　指令：
  |9 D3 B1 N7 o& v: R) h4 Z
* {( `1 X2 U7 |& k6 _" ^#ping　localhost

7 I5 l/ F1 p4 r8 o% _如果　Ping　localhost　失败，则使用　netstat　-i[n]，检查网络接
1 O) h+ r; d9 A, s0 o口的状况，显示网络接口上分组传输的统计讯息，指令如下：
! n1 s2 k; F9 n% B5 e# M
#netstat　-i[n]
8 H! l  D( B9 h, U! I
n　选项强行显示编号，而不是名字。netstat　查看自环驱动器　lo0　，
# m# L, g) Y! i* W( l: _4 W, O如果　lo0　失败，则在　/etc/tcp　中”ifconfig　lo0”行指示坏了或
; H& t' G6 T! u/ j9 {有错误。
; P4 Z/ g: @  V7 W% e
( c) y5 }% L9 ^3 y2 b4 A检测　TCP/IP　硬件

审核引导过程中，会对所职别的网络接口产生的配置报告，而
# S( R8 e0 B7 ~$ e/ q3 B; nTCP/IP　协议的硬件部分包括　TCP/IP　协议层架的底两级，即
网络接口级和物理／硬件级。
1 u6 i* |7 \9 T4 G& j' s' f. _
! O0 u* E3 j5 {7 Y2 A对网上另一主机的任何通讯都是在「物理」网络接口上传输，并
* l$ U) ~8 b4 \. ^% d* b9 J: D' I: i不会引起数据传输到「自环」网络上。
: l7 V6 x6 O3 @
! x/ I; o/ I* A使用　ping　指令检测　TCP/IP　协议层架的硬件部份。

$ b4 D% F1 R8 T6 P) k0 r#ping　hostname
: L% D+ [" A+ \4 l
或

# n$ l' K" U. z; R#ping　IP-address

如果　ping　指令失败，则改用　netstat　-i[n]　审核网络接口。

了解　netstat　-i　的输出
. U9 \0 @2 j  [
如果远地主机上使用　ping　之後，Opkts　和　Ipkts　仍然是零，那麽，
网络接口大概使用了不同的中断（Interrupt），而不是它的设备
驱动程序。

! f0 J9 n+ g# P) S3 B7 j如果　Ipkts　不是零，而　Opkts　等於　Oerrs，那麽，网卡的　I/O　地址
可能不正确。如果　Ipkts　是零，而　Opkts　等於　Oerrs　，那麽，可
, `' ?) p1 f* @) }; A7 ]1 p能是网络电缆连接的不合格。

通过用　Opkts　除　Cloois　，再用　100　乘所得的结果，计算冲突的百
) ]% X/ T. a, f) n6 B. p: M2 G) F' h份比。如果冲突的百份比少於百份之五到十，那麽，所有网络接
- o5 j0 H$ v/ B+ ?口是有效运行。
9 J0 ]1 R& z1 G3 J7 M: v4 K0 p
如果　ping　失败，并查出网络接口有问题，那麽，就该验证网络介
质操作。
* I/ g: g/ [9 Q
+ L6 {3 C$ e* U2 O$ y调整　TCP/IP　的核心参数
! Q9 _. q7 l& ?: z& T
没有足够的流资源（Stream　Parameter），网络程序是不能进行
通讯；流资源不充份的话，经常会导致较慢的吞吐率。
7 C* x" n1 Q# S5 m) G8 D
1 E) |$ ]1 ^: k# g8 A要核查流资源，使用　netstat　-m　；也可以使用　crash　指令考察流
资源，在出现　crash　发出的提示符’&gt;”时，打入”strstat”。
4 s+ G0 M* |: p6 |3 k
/ D$ r8 a$ D! d& u. h* o9 T2 Z如果在　FAIL　列的下面有不等於零的项目，那麽，同一行中的
ITEM　的项目可能需要调整。如果　FAIL　列下的数目大於或等於
TOTAL　列中数目的百份之十，该资源每次应增加一或二，但不
: G( k: t' M( h% \能将该数目加倍。
* B# }" J9 @7 B8 C- v5 U
由於流资源使用　RAM，当增加流资源时，应加倍小心。用户亦可
以使用　configure　或　sysadmsh　增加特定的流资源，重新连接核心
或重新引导。

限制通过　ftp　访问系统的权限

对於不想令其使用　ftp　跨网访问系统的人，可以通过建立
/etc/ftpusers　文件和设立系统帐户名字的方法，阻止他获得利
1 O5 @1 L; o0 I8 k8 j: Y用　ftp　访问系统的权限。
. l! m! a: I. a" ?8 b
如果　/etc/ftpusers　不存在的话，先要建立。在单独的行上，加
上系统帐户的名字，表明不能从网中其它系统使用　ftp　访问该系
统，在安全系统中，不允许　ftp　访问用户权和　uucp　，列出任何其
限制使用　ftp　的用户名字。
0 r/ r2 A  O1 P

</P>

huashi3483

<>第十二讲：使用　TCP/IP</P><>向远地注册的能力非常有用，它让我们不用到远地系统所在处，
9 z6 a. H3 ?4 t& {2 G4 D: M' f& B就能运行远地主机上的程序，执行远地系统管理，有两道指令可
7 C5 U  Q4 c7 f/ i  N+ r. O- D- U用於远地主机注册，就是　rlogin　和　telnet。
: a6 T5 \+ b* }5 S7 A8 C. B
使用　rlogin　向远地主机注册
, u6 q# N$ }8 G- U1 R% A
rlogin　允许向具有　UNIX　作业系统和　TCP/IP　协议的任何系统
% X* E9 Q" Q3 X# a- e7 L注册，而　rlogin　只能注册到　UNIX　作业系统环境，指令如下：

, d- |: X& K8 s3 x1 h7 Q$rlogin　remot-host-name

9 d+ u) |2 s3 L* G要避免　rlogin　因没有提供远地主机上的同名帐户，可以使用下述
) @6 P( s. c* a+ R! Z0 ^# ?指令：

$rolgin　remote-host-name　-1　remote-user-name

-1　选项用於指出远地用户帐户。
# q! k( F( Y" h, X2 J1 u
要中止　rlogin　，则要打入　~.，并按　Enter/Return&gt;键；亦可使用
logout　或　exit　指令。
( k$ F+ M+ Z# y9 I
* R- U  Y( e/ `2 p/ M0 ^( ?使用　Telnet　向远地主机注册

' V1 F2 L) p: W6 C& G! {不管其作业系统类型，只要能支援　TCP/IP　协议，都可以使用
Telnet　指令，允许注册。
: \/ e# q! M" \& c+ ^6 S+ e( c7 e: L
$telnet　hostname

或
, M+ O/ g6 G2 H+ s: e/ J. @: z2 M
: |# i5 z& S3 [6 c$telnet　ip-address
! S% m- |" g" s' F
: @9 M$ R3 s' ~! o使用　ftp　复制或传送文件
/ [: w  m$ ?/ u
ftp（File　Transfer　Protocol）允许用户对远地主机复制文件，
* \0 F( U; @  `: K) D7 a用户毋须考虑作业系统类型，即能向或从任何具有　TCP/IP　的系
统复制文件。

ftp指令允许复制目录中的一个文件或所有文件，但不能复制多层
次目录。使用　ftp时，必需在远地主机上设有帐户。

1 w7 |$ Y! c+ r" p5 ]9 G. r当　ftp　注册到远地系统时，并未得到　shell　，而是通过　ftp　指令
4 u+ h! j  a  M  ^% o2 c$ D解释程序同远地主机进行通讯。

$ftp　remote-host-name

" n$ l( U( [3 z# `. a$ M& G' f或

$ftp　remote-host-ip-address

" B2 h6 X$ z! ^( t一旦注册成功，就会出现　ftp　指令解释程序的提示。

ftp&gt;

用户可以在此，使用打开指令连接主机。

ftp&gt;open　remote-host-name
1 g9 m. D7 v* r) D
复制某一文件回自己的系统中，则用：

ftp&gt;get　filename

如果只想传送某一文件往远地主机，则用：

ftp&gt;put　filename

需要复制远地主机的全部文件进入自己的系统内，可以使用如下
) f3 z: ~# B3 i指令：
4 m1 a( s  n8 u* I% n
1 T% N2 o! B  v% Z6 M7 K# X1 o0 Yftp&gt;mget　*

相反，如果想传送自己的文件往远地主机，则使用如下指令：

ftp&gt;mput　*
/ |; Q) Z% q1 b$ t" u- i
5 ?  e0 b+ @2 ?2 w% x$ y- Ircmd

( y: V" Z4 G! V$ Ircmd　允许用户不必向远地主机注册，而直接运行该主机上的指令，
, H( g4 J- [" n0 P  t实际上，也要进行注册，只不过用户毋须作其它操作。当使用　rcmd
1 h  a4 v6 E3 n+ t* e7 l在远地主机上运行任何指令时，其输出的默认设备就会被更改为
终端。

$rcmd　remote-host-name　man　sh
5 a/ ]9 \. ~: o0 k
请求特殊终端处理的指令，将不含设备自身的功能，因为对远地
指令没有定义终端的类型，要求在远地主机上配置受托访问。

- F3 F7 o1 H5 j5 {' C. |/ V要列表输出远地主机上磁盘的利用情况，则使用下述指令：

$rcmd　remote-host-name　df
" _+ p- o, z- U$ E
6 _/ o. I( h' x9 ]' t: S+ o" s; k$ z要列表输出远地主机上的目录，使用如下指令：

$rcmd　remote-host-name　ls　/usr/games

: m: d/ ], w1 e$ P1 s要把远地主机上的文件备份到远地主机上的袖珍磁带内时，指令
如下：

# \4 i9 \2 e. K- D- o#rcmd　remote-host-name　tar　cvf　/dev/rct0/usr
% V4 a% U" |  j
或

( F" I6 _3 `( U+ x7 v9 f5 s" c#rcmd　remote-host-name　"find　/usr　-depth　-print|cpio　-oc
4 |5 f! _4 i( z; Z( U7 l- g&gt;　/dev/rct0

要把本地系统上的文件备份到远地主机上的袖珍磁带内时，使用
下述指令：

#tar　cvf　-/usr|rcmd　remote-host-name　dd　of=/dev/rct0
# h: U! T+ V6 [
5 y; V2 d! ]* F! b或

#find　/usr　-depth　-print|cpio　-oc|rcmd　remote-host-name
dd　of=/dev/rct0

3 F# o- Y9 Z7 Q另一方面，如果要把远地主机上的文件备份到本地系统上的袖珍
" A6 f0 ?+ J; o6 w& i! l磁带内时，可以使用如下指令：

#rcmd　remote-host-name　"tar　cvf　-/usr"　&gt;　/dev/rct0

4 w! Y. `  V8 C. z* S6 v; x或
! k) w- V# z  ?- M, Y- x6 f- ]
#rcmd　remote-host-name　"find　/usr　-depth　-print|cpio　-oc"
3 d2 N$ f5 _) b&gt;　/dev/rct0</P>