Linux這幾年發(fā)展迅速,推出了很多版本。讓我們眼花繚亂,不過(guò)在每個(gè)Linux的發(fā)行版本中,都存在一個(gè)/proc/目錄,這就是Linux系 統(tǒng)目錄。有的也稱它為Proc文件系統(tǒng)。對(duì)于那些網(wǎng)絡(luò)管理員必須要掌握Linux系統(tǒng)目錄。
在這個(gè)目錄中,包括了一些特殊的文件,不僅能用來(lái)反映內(nèi)核的現(xiàn)行狀態(tài)和查看硬件信息,而且,有些文件還允許用戶來(lái)修改其中的內(nèi)容,以調(diào)節(jié)內(nèi)核的現(xiàn)行 工作狀態(tài),例如/proc/sys/子目錄下的文件。
與/proc/目錄中其它目錄不相同的是,/proc/sys/目錄下的文件不僅能提供系統(tǒng)的有關(guān)信息,而且還允許用戶立即停止或開(kāi)啟內(nèi)核的某些特 性及功能。在/proc/sys/目錄中的/proc/sys/net/子目錄更是與網(wǎng)絡(luò)息息相關(guān),我們可以通過(guò)設(shè)置此目錄下的某些文件來(lái)開(kāi)啟與網(wǎng)絡(luò)應(yīng)用 相關(guān)的特殊功能,同時(shí),也可以通過(guò)設(shè)置這個(gè)目錄下的某些文件來(lái)保護(hù)我們的網(wǎng)絡(luò)安全。因此,作為一名Linux下的網(wǎng)絡(luò)管理員,就很有必要詳細(xì)了解 /proc/sys/net/目錄下文件的各種功能和設(shè)置方法,讓它能更好地為我們工作。
一、/proc/sys/net/目錄說(shuō)明。
/proc/sys/net/目錄主要包括了許多網(wǎng)絡(luò)相關(guān)的主題,例如:appletalk/,ethernet/,ipv4/,ipx/,及 ipv6/。通過(guò)改變這些目錄中的文件,網(wǎng)絡(luò)管理員能夠在系統(tǒng)運(yùn)行時(shí)調(diào)整相關(guān)網(wǎng)絡(luò)參數(shù)。雖然在Linux中還有很多有關(guān)網(wǎng)絡(luò)的配置方法,但熟悉此目錄中的 相關(guān)內(nèi)容對(duì)網(wǎng)絡(luò)應(yīng)用是有很大的幫助的。
在/proc/sys/net/目錄下有兩個(gè)目錄,與現(xiàn)在的IPV4網(wǎng)絡(luò)的運(yùn)行息息相關(guān),調(diào)整這兩個(gè)目錄下的某些文件的參數(shù),能為我們的網(wǎng)絡(luò)應(yīng)用帶 到意想不到的效果,這兩個(gè)目錄就是/proc/sys/net/core/目錄和/proc/sys/net/ipv4/目錄,下面筆者將會(huì)對(duì)這兩個(gè)目錄 中的重要文件分別作一個(gè)詳細(xì)的說(shuō)明。
1、/proc/sys/net/core/目錄。
此目錄中包括許多設(shè)置用來(lái)控制Linux內(nèi)核與網(wǎng)絡(luò)層的交互,即當(dāng)網(wǎng)絡(luò)有什么動(dòng)作時(shí),內(nèi)核做出什么樣的相應(yīng)反應(yīng)。
在其中有以下的一些重要文件:
(1)、message_burst:設(shè)置每十秒寫(xiě)入多少次請(qǐng)求警告;此設(shè)置可以用來(lái)防止DOS攻擊,缺省設(shè)置為50;
(2)、message_cost:設(shè)置每一個(gè)警告的度量值,缺省為5,當(dāng)用來(lái)防止DOS攻擊時(shí)設(shè)置為0;
(3)、netdev_max_backlog:設(shè)置當(dāng)個(gè)別接口接收包的速度快于內(nèi)核處理速度時(shí)允許的最大的包序列,缺省為300;
(4)、optmem_max:設(shè)置每個(gè)socket的最大補(bǔ)助緩存大小;
(5)、rmem_default:設(shè)置接收socket的缺省緩存大小(字節(jié));
(6)、rmem_max:設(shè)置接收socket的最大緩存大小(字節(jié));
(7)、wmem_default:設(shè)置發(fā)送的socket缺省緩存大小(字節(jié));
(8)、wmem_max:設(shè)置發(fā)送的socket最大緩存大小(字節(jié))。
2、/proc/sys/net/ipv4/目錄。
此目錄中的內(nèi)容用來(lái)添加網(wǎng)絡(luò)設(shè)置,在其中的許多設(shè)置,可以用來(lái)阻止對(duì)系統(tǒng)的攻擊,或用來(lái)設(shè)置系統(tǒng)的路由功能。
其中有以下的這些重要的文件:
(1)、icmp_destunreach_rate、icmp_echoreply_rate、icmp_paramprob_rate、 icmp_timeexeed_rate:設(shè)置發(fā)送和回應(yīng)的最大icmp包的速率,最好不要為0;
(2)、icmp_echo_ignore_all和icmp_echo_ignore_broadcasts:設(shè)置內(nèi)核不應(yīng)答icmp echo包,或指定的廣播,值為0是允許回應(yīng),值為1是禁止;
(3)、ip_default_ttl:設(shè)置IP包的缺省生存時(shí)間(TTL),增加它的值能減少系統(tǒng)開(kāi)銷;
(4)、ip_forward:設(shè)置接口是否可以轉(zhuǎn)發(fā)包,缺省為0,設(shè)置為1時(shí)允許網(wǎng)絡(luò)進(jìn)行包轉(zhuǎn)發(fā);
(5)、ip_local_port_range:當(dāng)本地需要端口時(shí)指定TCP或UDP端口范圍。第一數(shù)為低端口,第二個(gè)數(shù)為高端口;
(6)、tcp_syn_retries:提供限制在建立連接時(shí)重新發(fā)送回應(yīng)的SYN包的次數(shù);
(7)、tcp_retries1:設(shè)置回應(yīng)連入重送的次數(shù),缺省為3;
(8)、tcp_retries2:設(shè)置允許重送的TCP包的次數(shù),缺省為15。
二、/proc/sys/net/目錄下文件的設(shè)置方法。
在了解了/proc/sys/net/core/目錄和/proc/sys/net/ipv4/目錄中一些重要文件的意義和作用后,下面說(shuō)說(shuō)如何設(shè) 置這兩個(gè)目錄中的這些重要文件來(lái)為我們工作的。
讀者應(yīng)該了解,在Linux系統(tǒng)中,要改變某種服務(wù)或設(shè)備的工作狀態(tài)和功能,主要是通過(guò)使用命令方式和直接修改它的配置文件方式來(lái)達(dá)到目的,對(duì)于這 兩個(gè)目錄下的文件,我們也可以通過(guò)這兩種方式來(lái)修改這些文件內(nèi)容中的值,使它們按照我們的意圖工作。
在進(jìn)行設(shè)置之前,應(yīng)當(dāng)注意的是,當(dāng)你確定要修改某個(gè)文件的當(dāng)前值時(shí),一定要保證輸入的命令格式和值的內(nèi)容都是正確的,因?yàn)槿魏蔚腻e(cuò)誤設(shè)置都會(huì)引起內(nèi) 核的不穩(wěn)定,如果你不小心造成了這種問(wèn)題,你就不得不重新引導(dǎo)系統(tǒng)了。在下面的說(shuō)明中,筆者會(huì)將注意的地方特別說(shuō)明出來(lái)的。
首先來(lái)看看如何使用命令方式來(lái)修改這兩個(gè)目錄下文件的。我們可以通過(guò)echo和sysctl這兩個(gè)命令來(lái)修改這兩個(gè)目錄中的文件,下面筆者將這兩個(gè) 命令的使用方法分別列出來(lái)。
1、sysctl命令是為設(shè)置這兩個(gè)目錄中的文件而定制的,它被默認(rèn)安裝在/sbin/目錄中, 我們可以通過(guò)使用此命令來(lái)顯示和設(shè)置/proc/sys/net/目錄下的文件內(nèi)容。例如:/sbin/sysctl -a命令用來(lái)顯示此目錄下的所有文件配置內(nèi)容;/sbin/sysctl -w命令用來(lái)修改此目錄下指定文件中的變量值,如:/sbin/sysctl -w net.ipv4.ip_forward="1"用來(lái)設(shè)置允許IP包轉(zhuǎn)發(fā)。其它的參數(shù),讀者可以通過(guò)輸入/sbin/sysctl -h命令來(lái)得到,在這里就不再具體全部列出了。要注意的是,這個(gè)命令的使用需要管理員權(quán)限的,如果用戶不是以管理員身份登錄的,在使用此命令前用SU命令 得得管理權(quán)限后再操作。
2、/proc/sys/net/目錄下的文件內(nèi)容也可以通過(guò)用echo命令來(lái)修改。例如:echo 1 > /proc/sys/net/ipv4/ip_forward用來(lái)設(shè)置允許IP包轉(zhuǎn)發(fā);echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all用來(lái)設(shè)置不回應(yīng)ICMP ECHO包。在使用echo命令時(shí),還應(yīng)特別注意此命令的輸入格式,即在echo命令和值之間,以及值與在于符號(hào)(>)之間,在于符號(hào)與要修改的文 件路徑之間都必需有一個(gè)空格。而且,在這兩個(gè)目錄中的有些文件有不上一個(gè)的值,所以,如果你想一次性傳遞多個(gè)值,那么,每一個(gè)值之間也應(yīng)保證用空格隔開(kāi)。
同時(shí)也要注意的是,用此方法修改/proc/sys/net/目錄下文件中的內(nèi)容在系統(tǒng)重新啟動(dòng)后,所設(shè)置的內(nèi)容會(huì)全部變?yōu)槟J(rèn)值,因此,如果要想 設(shè)置的值永久有效,可以直接把這個(gè)命令加入到/ect/rc.d/rc.local文件中,在這里,這個(gè)文件的路徑是指Red Hat Linux發(fā)行版本中的,其它發(fā)行版本讀者根據(jù)具體情況來(lái)定。如果命令項(xiàng)太多,也可以把這些命令項(xiàng)編寫(xiě)成一個(gè)腳本后,加上可執(zhí)行權(quán)限,再放到這個(gè)文件中, 這樣當(dāng)系統(tǒng)啟動(dòng)時(shí),就會(huì)按/etc/rc.d/rc.local中的設(shè)置自動(dòng)執(zhí)行。如果你不想修改/etc/rc.d/rc.local文件,那么筆者推 薦你使用/sbin/sysctl命令。
使用命令方式設(shè)置/proc/sys/net/目錄下的文件固然方便易行,但有一部分讀者更喜歡直接修改它們的配置文件的方式,因?yàn)檫@種方式更加直 觀,但它比較適合對(duì)系統(tǒng)了解比較深的用戶。
與其它服務(wù)或設(shè)備不同的是,Linux系統(tǒng)只為/proc/sys/net/目錄提供了一個(gè)配置文件,那就是/ect/sysctl.conf,用 戶可以通過(guò)直接編輯/ect/sysctl.conf配置文件,來(lái)修改增加相應(yīng)/proc/sys/net/目錄下文件內(nèi)容中的變量的值,這樣當(dāng)系統(tǒng)啟動(dòng) 時(shí)就會(huì)讀取此文件中的配置內(nèi)容來(lái)設(shè)置相應(yīng)的項(xiàng)。用vi來(lái)編輯此文件是非常簡(jiǎn)單的,此文件中內(nèi)容格式也非常清晰易讀,如其中有如下條 目:net.ipv4.ip_forward=0,把值修改為1后就打開(kāi)IP包轉(zhuǎn)發(fā)。其實(shí),用/sbin/sysctl命令修改和直接編輯 /etc/sysctl.conf文件內(nèi)容具有相同的效果,因此,為了安全,推薦用戶優(yōu)先使用/sbin/sysctl命令方式。
到這里,想必讀者已經(jīng)對(duì)/proc/sys/net/目錄下的/proc/sys/net/core/和/proc/sys/net/ipv4/這 兩個(gè)目錄,已經(jīng)有了一定了解了。可是,這只是筆者為了突出/proc/目錄與IPV4網(wǎng)絡(luò)的作用而特別選出來(lái)說(shuō)明,其實(shí),在/proc/目錄下,還有許多 的文件,雖然不能被用戶如上述的兩個(gè)目錄那樣可以被設(shè)置,但是,可以通過(guò)這些文件來(lái)了解系統(tǒng)詳細(xì)情況和現(xiàn)行的運(yùn)行狀態(tài),讀者可以從網(wǎng)絡(luò)上找到這個(gè)目錄的詳 細(xì)說(shuō)明。這些就是Linux系統(tǒng)目錄介紹。
