linuxnat配置

A. 紅帽子linux中，要用雙網卡實現nat功能，是不是只要配置好這兩個網卡ip地址和網關就可以實現nat功能了

理論上確實只要設置ip_forward=yes就行了，應該在/etc/network/下子文件夾中的某個配置文件，但是事實上，因為linux有防火牆，所以事實上需要在防火牆的forward鏈上做轉發，因為數據包是先碰到防火牆過濾後才進入內核空間，如果在防火牆轉發，那個設置內核的埠轉發就沒什麼意義了。

補充回答：
聲明：本人主要使用的是debian系統，對於紅帽不是非常熟悉，所以在配置文件的路徑及命名上和你的實際情況會有出入，請酌情更改！！

首先，你需要更改/etc/sysctl.conf這個文件，找到如下行：
net.ipv4.ip_forward = 0
把0改成1打開內核轉發，然後用source命令重讀該配置文件。

然後你需要用以下命令打開forward鏈上所有的轉發，這里只給你簡單的實現forward，並沒實現保護LAN的防火牆功能，請參閱參考資料獲得iptables的詳細配置方法！
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT
service iptables save
service iptables restart

附註：
man iptables
命令格式：

# iptables [-t 表名] 命令 [鏈] [規則號] [條件] [規則]

說明：⑴ -t 表名 指定規則所在的表。表名可以是 filter ,nat ,mangle (小寫)

⑵ 命令 （iptables的子命令）

-A 在指定鏈中添加規則

-D 在指定鏈中刪除指定規則

-R 修改指定鏈中指定規則

-I 在指定規則前插入規則

-L 顯示鏈中的規則

-N 建立用戶鏈

-F 清空鏈中的規則

-X 刪除用戶自定義鏈

-P 設置鏈的默認規則

-C 用具體的規則鏈來檢查在規則中的數據包

-h 顯示幫助

⑶ 條件

–i 介面名 指定接收數據包介面

-o 介面名 指定發送數據包介面

-p [!]協議名 指定匹配的協議 (tcp , udp , icmp , all )

-s [!]ip地址 [/mask] 指定匹配的源地址

--sport [!]埠號 [：埠號] 指定匹配的源埠或范圍

-d [!]ip地址 [/mask] 指定匹配的目標地址

--dport [!]埠號 [：埠號] 指定匹配的目標埠或范圍

--icmp –type [!]類型號/類型名 指定icmp包的類型

註：8 表示request 0 表示relay （應答）

-m port --multiport 指定多個匹配埠

limit --limit 指定傳輸速度

mac --mac-source 指定匹配MAC地址

sate --state NEW,ESTABLISHED,RELATED,INVALID 指定包的狀態

註：以上選項用於定義擴展規則

-j 規則 指定規則的處理方法

⑷ 規則

ACCEPT ：接受匹配條件的數據包（應用於I NPUT ,OUTPUT ,FORWARD ）

DROP ：丟棄匹配的數據包（應用於INPUT ,OUTPUT ,FORWARD ）

REJECT ：丟棄匹配的數據包且返回確認的數據包

MASQUERADE ：偽裝數據包的源地址（應用於POSTROUTING且外網地址

為動態地址，作用於NAT ）

REDIRECT ：包重定向 （作用於NAT表中PREROUTING ,OUTPUT,使用要加上--to-port 埠號 ）

TOS ： 設置數據包的TOS欄位（應用於MANGLE,要加上--set-tos 值）

SNAT ： 偽裝數據包的源地址（應用於NAT表中POSTROUTING鏈，要加上--to-source ip地址 [ip地址] ）

DNAT ： 偽裝數據包的目標地址（應用於NAT表中PREROUTING鏈，要加上--to-destination ip地址 ）

LOG ：使用syslog記錄的日誌

RETURN ：直接跳出當前規則鏈

3． iptables子命令的使用實例

⑴ 添加規則

#iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.3 –j DROP

(拒絕192.168.0.3主機發送icmp請求)

# iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.0/24 –j DROP

(拒絕192.168.0.0網段ping 防火牆主機，但允許防火牆主機ping 其他主機)

# iptables –A OUTPUT –p icmp –-icmp-type 0 –d 192.168.0.0/24 –j DROP

(拒絕防火牆主機向192.168.0.0網段發送icmp應答，等同於上一條指令)

# iptables –A FORWARD –d www.sina.com -j DROP

(拒絕轉發數據包到www.sina.com,前提是www.sina.com必須被解析)

# iptables –t nat –A POSTROUTING –s 192.168.0.0/24 –j SNAT –-to-source 211.162.11.1

(NAT，偽裝內網192.168.0.0網段的的主機地址為外網211.162.11.1,這個公有地址，使內網通過NAT上網，前提是啟用了路由轉發)

# iptables –t nat –A PREROUTING –p tcp --dport 80 –d 211.162.11.1 –j DNAT -–to-destination 192.168.0.5
(把internet上通過80埠訪問211.168.11.1的請求偽裝到內網192.168.0.5這台WEB伺服器，即在iptables中發布WEB伺服器，前提是啟用路由轉發)

# iptables –A FORWARD –s 192.168.0.4 –m mac --mac-source 00:E0:4C:45:3A:38 –j ACCEPT
(保留IP地址，綁定 IP地址與MAC地址)

⑵刪除規則
# iptables –D INPUT 3
# iptables –t nat –D OUTPUT –d 192.168.0.3 –j ACCEPT
⑶插入規則
# iptables –I FORWARD 3 –s 192.168.0.3 –j DROP
# iptables –t nat –I POSTROUTING 2 –s 192.168.0.0/24 –j DROP
⑷修改規則
# iptables –R INPUT 1 –s 192.168.0.2 –j DROP
⑸顯示規則
# iptables –L (默認表中的所有規則)
# iptables –t nat –L POSTROUTING
⑹清空規則
# iptables –F
# iptables –t nat –F PREROUTING
⑺設置默認規則
# iptables –P INPUT ACCEPT
# iptables –t nat –P OUTPUT DROP
(註：默認規則可以設置為拒絕所有數據包通過，然後通過規則使允許的數據包通過，這種防火牆稱為堡壘防火牆，它安全級別高，但不容易實現；也可以把默認規則設置為允許所有數據包通過，即魚網防火牆，它的安全級別低，實用性較差。）
⑻建立自定義鏈
# iptables –N wangkai
⑼刪除自定義鏈
# iptables –X wangkai
⑽應用自定義鏈
# iptables –A wangkai –s 192.168.0.8 –j DROP
# iptables –A INPUT –j wangkai
(註：要刪除自定義鏈，必須要確保該鏈不被引用,而且該鏈必須為空，如要刪除上例定義的自定義鏈方法為：
# iptables –D INPUT –j wangkai
# iptables -F wangkai
# iptables -X wangkai

B. Linux如何配置內核支持NAT轉發UDP

iptables -t nat -A PREROUTING -p tcp ! -d 192.168.1.1 --dport 80 -j ACCEPT --to-ports 8080 當目的地址不是192.168.1.1時，將對TCP 80的訪問轉發到8080埠。

C. linux nat模式怎麼上網

1.首先將linux虛擬機的網卡配製成NAT模式
2.查看真機的網關 此時為192.168.1.1 （查看網關有很多種方法這只是其中比較常用的一種）
3.將虛擬機里網卡的配置文件改為dhcp模式 網關寫真機的網關

4.在虛擬機里做一個真機的DNS解析

5。重啟一下網路 然後ping .com

ping通以後你就可以用linux虛擬機上網了

關於更多Linux的學習，請查閱書籍《linux就該這么學》。

D. 虛擬機 Linux 網路下面網路如何配置

可以通過橋接網路：在這種模式下，VMWare虛擬出來的操作系統就像是區域網中的一台獨立的主機，它可以訪問網內任何一台機器。

步驟如下：

1、首先看一下虛擬機的網路狀態，顯示網線斷開。

E. Linux裡面網卡配置僅主機模式是什麼意思

Linux虛擬網路：
NAT：虛機連接vnet8連接路由器連接物理網卡；
橋接：虛機連接vnet0連接物理網卡；
僅主機：虛機連接vnet1，不連接真實的物理網卡；
僅主機模式：真實環境和虛擬環境是隔離開的；在這種模式下，所有的虛擬系統是可以相互通信的，但虛擬系統和真實的網路是被隔離開。（虛擬系統和宿主機器系統是可以相互通信的，相當於這兩台機器通過雙絞線互連。）和nat唯一的不同的是，此種方式下，沒有地址轉換服務，因此，默認情況下，虛擬機只能到主機訪問。-------與宿主主機可以ping通，無法上網；
橋接模式：在橋接模式下，VMWare虛擬出來的操作系統就像是區域網中的一台獨立的主機（主機和虛擬機處於對等地位），它可以訪問網內任何一台機器。我們往往需要為虛擬主機配置IP地址、子網掩碼等（注意虛擬主機的ip地址要和主機ip地址在同一網段）。這樣，虛擬機就可以和主機之間獨立的通信（當然，只要在同一個區域網中都可和虛擬機通信），同時，配置好網關和DNS的地址後，以實現通過區域網的網關或路由器訪問互聯網。。------與宿主主機可以ping通，可以上網；
NAT模式：就是讓虛擬系統藉助NAT(網路地址轉換)功能，通過宿主機器所在的網路來訪問公網。使用NAT模式可以實現在虛擬系統里訪問互聯網。簡單講就是宿主機器再構建一個區域網，然後，區域網內只有一台機器，就是虛擬機。NAT模式下的虛擬系統的TCP/IP配置信息是由VMnet8(NAT)虛擬網路的DHCP伺服器提供的，無法進行手工修改，因此虛擬系統也就無法和本區域網中的其他真實主機進行通訊。採用NAT模式最大的優勢是虛擬系統接入互聯網非常簡單，只需要宿主機器能訪問互聯網，你不需要配置IP地址，子網掩碼，網關，但是DNS地址還是要根據實際情況填的。--------與宿主主機不可以ping通，可以上網；
nat模式可以上網但是不能和宿主計算機通信，理論上是更安全的，無論虛擬的系統做任何破壞，都不會影響宿主計算機。橋接模式相當於是交換機上又接了個獨立主機，一般是作為子網中提供服務用的。

F. Linux NAT 配置

Linux安全配置步驟簡述

一、磁碟分區

1、如果是新安裝系統，對磁碟分區應考慮安全性：
1）根目錄（/）、用戶目錄（/home）、臨時目錄（/tmp）和/var目錄應分開到不同的磁碟分區；
2）以上各目錄所在分區的磁碟空間大小應充分考慮，避免因某些原因造成分區空間用完而導致系統崩潰；

2、對於/tmp和/var目錄所在分區，大多數情況下不需要有suid屬性的程序，所以應為這些分區添加nosuid屬性；
方法一：修改/etc/fstab文件，添加nosuid屬性字。例如：

/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0
^^^^^^
方法二：如果對/etc/fstab文件操作不熟，建議通過linuxconf程序來修改。

＊ 運行linuxconf程序；
＊ 選擇"File systems"下的"Access local drive"；
＊ 選擇需要修改屬性的磁碟分區；
＊ 選擇"No setuid programs allowed"選項；
＊ 根據需要選擇其它可選項；
＊ 正常退出。（一般會提示重新mount該分區）

二、安裝

1、對於非測試主機，不應安裝過多的軟體包。這樣可以降低因軟體包而導致出現安全漏洞的可能性。
2、對於非測試主機，在選擇主機啟動服務時不應選擇非必需的服務。例如routed、ypbind等。

三、安全配置與增強

內核升級。起碼要升級至2.2.16以上版本。
GNU libc共享庫升級。（警告：如果沒有經驗，不可輕易嘗試。可暫緩。）
關閉危險的網路服務。echo、chargen、shell、login、finger、NFS、RPC等
關閉非必需的網路服務。talk、ntalk、pop-2等
常見網路服務安全配置與升級
確保網路服務所使用版本為當前最新和最安全的版本。
取消匿名ftp訪問
去除非必需的suid程序
使用tcpwrapper
使用ipchains防火牆
日誌系統syslogd

一些細節：

1.操作系統內部的log file是檢測是否有網路入侵的重要線索，當然這個假定你的logfile不被侵入者所破壞，如果你有台伺服器用專線直接連到Internet上，這意味著你的IP地址是永久固定的地址，你會發現有很多人對你的系統做telnet/ftp登錄嘗試，試著運行#more /var/log/secure | grep refused 去檢查。

2. 限制具有SUID許可權標志的程序數量，具有該許可權標志的程序以root身份運行，是一個潛在的安全漏洞，當然，有些程序是必須要具有該標志的，象passwd程序。

3.BIOS安全。設置BIOS密碼且修改引導次序禁止從軟盤啟動系統。

4. 用戶口令。用戶口令是Linux安全的一個最基本的起點，很多人使用的用戶口令就是簡單的『password'，這等於給侵入者敞開了大門，雖然從理論上說沒有不能確解的用戶口令，只要有足夠的時間和資源可以利用。比較好的用戶口令是那些只有他自己能夠容易記得並理解的一串字元，並且絕對不要在任何地方寫出來。

5./etc/exports 文件。如果你使用NFS網路文件系統服務，那麼確保你的/etc/exports具有最嚴格的存取許可權設置，不意味著不要使用任何通配符，不允許root寫許可權，mount成只讀文件系統。編輯文件/etc/exports並且加：例如：

/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)

/dir/to/export 是你想輸出的目錄，host.mydomain.com是登錄這個目錄的機器名，
ro意味著mount成只讀系統，root_squash禁止root寫入該目錄。
為了讓上面的改變生效，運行/usr/sbin/exportfs -a

6.確信/etc/inetd.conf的所有者是root，且文件許可權設置為600 。
[root@deep]# chmod 600 /etc/inetd.conf
ENSURE that the owner is root.
[root@deep]# stat /etc/inetd.conf
File: "/etc/inetd.conf"
Size: 2869 Filetype: Regular File
Mode: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)
Device: 8,6 Inode: 18219 Links: 1
Access: Wed Sep 22 16:24:16 1999(00000.00:10:44)
Modify: Mon Sep 20 10:22:44 1999(00002.06:12:16)
Change:Mon Sep 20 10:22:44 1999(00002.06:12:16)

編輯/etc/inetd.conf禁止以下服務：
ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger,
auth, etc. 除非你真的想用它。
特別是禁止那些r命令.如果你用ssh/scp，那麼你也可以禁止掉telnet/ftp。

為了使改變生效，運行#killall -HUP inetd
你也可以運行#chattr +i /etc/inetd.conf使該文件具有不可更改屬性。
只有root才能解開，用命令
#chattr -i /etc/inetd.conf

7. TCP_WRAPPERS
默認地，Redhat Linux允許所有的請求,用TCP_WRAPPERS增強你的站點的安全性是舉手
之勞，你可以放入
「ALL: ALL」到/etc/hosts.deny中禁止所有的請求，然後放那些明確允許的請求到
/etc/hosts.allow中，如:
sshd: 192.168.1.10/255.255.255.0 gate.openarch.com
對IP地址192.168.1.10和主機名gate.openarch.com，允許通過ssh連接。
配置完了之後，用tcpdchk檢查

[root@deep]# tcpdchk
tcpchk是TCP_Wrapper配置檢查工具，
它檢查你的tcp wrapper配置並報告所有發現的潛在/存在的問題。

8. 別名文件aliases
編輯別名文件/etc/aliases（也可能是/etc/mail/aliases)，移走/注釋掉下面的行。

# Basic system aliases -- these MUST be present.
MAILER-DAEMON: postmaster
postmaster: root
# General redirections for pseudo accounts.
bin: root
daemon: root
#games: root ?remove or comment out.
#ingres: root ?remove or comment out.
nobody: root
#system: root ?remove or comment out.
#toor: root ?remove or comment out.
#uucp: root ?remove or comment out.
# Well-known aliases.
#manager: root ?remove or comment out.
#mper: root ?remove or comment out.
#operator: root ?remove or comment out.
# trap decode to catch security attacks
#decode: root
# Person who should get root's mail
#root: marc
最後更新後不要忘記運行/usr/bin/newaliases，使改變生效。

9.阻止你的系統響應任何從外部/內部來的ping請求。
既然沒有人能ping通你的機器並收到響應，你可以大大增強你的站點的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次啟動後自動運行。

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

10. 不要顯示出操作系統和版本信息。
如果你希望某個人遠程登錄到你的伺服器時不要顯示操作系統和版本信息，你能改變
/etc/inetd.conf中的一行象下面這樣：

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

加-h標志在最後使得telnet後台不要顯示系統信息，而僅僅顯示login:

11.The /etc/host.conf file
編輯host.conf文件(vi /etc/host.conf)且加下面的行：

# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We don't have machines with multiple IP addresses on the same card
(like virtual server,IP Aliasing).
multi off
# Check for IP address spoofing.
nospoof on
IP Spoofing: IP-Spoofing is a security exploit that works by tricking
computers in a trust relationship that you are someone that you really aren't.

12. The /etc/securetty file
該文件指定了允許root登錄的tty設備，/etc/securetty被/bin/login程序讀取,它的
格式是一行一個被允許的名字列表，如你可以編輯/etc/securetty且注釋出下面的行。
tty1
#tty2
#tty3
#tty4
#tty5
#tty6
#tty7
#tty8
-意味著root僅僅被允許在tty1終端登錄。

13. 特別的帳號
禁止所有默認的被操作系統本身啟動的且不需要的帳號，當你第一次裝上系統時就應該做此檢查，Linux提供了各種帳號，你可能不需要，如果你不需要這個帳號，就移走它，你有的帳號越多，就越容易受到攻擊。
為刪除你系統上的用戶，用下面的命令：
[root@deep]# userdel username
為刪除你系統上的組用戶帳號，用下面的命令：
[root@deep]# groupdel username
在終端上打入下面的命令刪掉下面的用戶。
[root@deep]# userdel adm
[root@deep]# userdel lp
[root@deep]# userdel sync
[root@deep]# userdel shutdown
[root@deep]# userdel halt
[root@deep]# userdel mail
如果你不用sendmail伺服器，procmail.mailx,就刪除這個帳號。
[root@deep]# userdel news
[root@deep]# userdel uucp
[root@deep]# userdel operator
[root@deep]# userdel games
如果你不用X windows 伺服器，就刪掉這個帳號。
[root@deep]# userdel gopher
[root@deep]# userdel ftp
如果你不允許匿名FTP，就刪掉這個用戶帳號。
===
打入下面的命令刪除組帳號
[root@deep]# groupdel adm
[root@deep]# groupdel lp
[root@deep]# groupdel mail
如不用Sendmail伺服器，刪除這個組帳號
[root@deep]# groupdel news
[root@deep]# groupdel uucp
[root@deep]# groupdel games
如你不用X Windows，刪除這個組帳號
[root@deep]# groupdel dip
[root@deep]# groupdel pppusers
[root@deep]# groupdel popusers
如果你不用POP伺服器，刪除這個組帳號
[root@deep]# groupdel slipusers
====
用下面的命令加需要的用戶帳號
[root@deep]# useradd username
用下面的命令改變用戶口令
[root@deep]# passwd username

用chattr命令給下面的文件加上不可更改屬性。
[root@deep]# chattr +i /etc/passwd
[root@deep]# chattr +i /etc/shadow
[root@deep]# chattr +i /etc/group
[root@deep]# chattr +i /etc/gshadow

14. 阻止任何人su作為root.
如果你不想任何人能夠su作為root,你能編輯/etc/pam.d/su加下面的行：

auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd

意味著僅僅isd組的用戶可以su作為root.
然後，如果你希望用戶admin能su作為root.就運行下面的命令。

[root@deep]# usermod -G10 admin

16. 資源限制
對你的系統上所有的用戶設置資源限制可以防止DoS類型攻擊（denial of service attacks）
如最大進程數，內存數量等。例如，對所有用戶的限制象下面這樣：
編輯/etc/security/limits.con加：

* hard core 0
* hard rss 5000
* hard nproc 20
你也必須編輯/etc/pam.d/login文件加/檢查這一行的存在。

session required /lib/security/pam_limits.so

上面的命令禁止core files「core 0」，限制進程數為「nproc 50「，且限制內存使用
為5M「rss 5000」。
17. The /etc/lilo.conf file

a) Add: restricted
加這一行到每一個引導映像下面，就這表明如果你引導時用(linux single),則需要一個password.

b) Add: password=some_password
當與restricted聯合用，且正常引導時，需要用戶輸入密碼，你也要確保lilo.conf
文件不能被不屬於root的用戶可讀，也免看到密碼明文。下面是例子：
編輯/etc/lilo.conf加：
====
boot=/dev/sda
map=/boot/map
install=/boot/boot.b
prompt
timeout=50
Default=linux
restricted ?add this line.
password=some_password ?add this line.
image=/boot/vmlinuz-2.2.12-20
label=linux
initrd=/boot/initrd-2.2.12-10.img
root=/dev/sda6
read-only
[root@deep]# chmod 600 /etc/lilo.conf (不再能被其他用戶可讀).
[root@deep]# /sbin/lilo -v (更新lilo配置).
[root@deep]# chattr +i /etc/lilo.conf（阻止該文件被修改）

18. 禁止 Control-Alt-Delete 重啟動機器命令

[root@deep]# vi /etc/inittab
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
To
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
[root@deep]# /sbin/init q

19. 重新設置/etc/rc.d/init.d/目錄下所有文件的許可許可權
[root@deep]# chmod -R 700 /etc/rc.d/init.d/*
僅僅root可以讀，寫，執行上述所有script file.

20. The /etc/rc.d/rc.local file
默認地，當你login到linux server時，它告訴你linux版本名，內核版本名和伺服器
主機名。它給了你太多的信息，如果你就希望得到提示login: ,編輯
/etc/rc.d/rc.local放#在下面的行前面：
--
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue
--
然後，做下面的事情:
[root@deep]# rm -f /etc/issue
[root@deep]# rm -f /etc/issue.net
[root@deep]# touch /etc/issue
[root@deep]# touch /etc/issue.net

21. 被root擁有的程序的位。
移走那些被root擁有程序的s位標志，當然有些程序需要這個，用命令『chmod a-s』完成這個。
註：前面帶（*）號的那些程序一般不需要擁有s位標志。

[root@deep]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls –lg {} \;
-rwsr-xr-x 1 root root 33120 Mar 21 1999 /usr/bin/at
*-rwsr-xr-x 1 root root 30560 Apr 15 20:03 /usr/bin/chage
*-rwsr-xr-x 1 root root 29492 Apr 15 20:03 /usr/bin/gpasswd
-rwsr-xr-x 1 root root 3208 Mar 22 1999 /usr/bin/disable-paste
-rwxr-sr-x 1 root man 32320 Apr 9 1999 /usr/bin/man
-r-s--x--x 1 root root 10704 Apr 14 17:21 /usr/bin/passwd
-rws--x--x 2 root root 517916 Apr 6 1999 /usr/bin/suidperl
-rws--x--x 2 root root 517916 Apr 6 1999 /usr/bin/sperl5.00503
-rwxr-sr-x 1 root mail 11432 Apr 6 1999 /usr/bin/lockfile
-rwsr-sr-x 1 root mail 64468 Apr 6 1999 /usr/bin/procmail
-rwsr-xr-x 1 root root 21848 Aug 27 11:06 /usr/bin/crontab
-rwxr-sr-x 1 root slocate 15032 Apr 19 14:55 /usr/bin/slocate
*-r-xr-sr-x 1 root tty 6212 Apr 17 11:29 /usr/bin/wall
*-rws--x--x 1 root root 14088 Apr 17 12:57 /usr/bin/chfn
*-rws--x--x 1 root root 13800 Apr 17 12:57 /usr/bin/chsh
*-rws--x--x 1 root root 5576 Apr 17 12:57 /usr/bin/newgrp
*-rwxr-sr-x 1 root tty 8392 Apr 17 12:57 /usr/bin/write
-rwsr-x--- 1 root squid 14076 Oct 7 14:48 /usr/lib/squid/pinger
-rwxr-sr-x 1 root utmp 15587 Jun 9 09:30 /usr/sbin/utempter
*-rwsr-xr-x 1 root root 5736 Apr 19 15:39 /usr/sbin/usernetctl
*-rwsr-xr-x 1 root bin 16488 Jul 6 09:35 /usr/sbin/traceroute
-rwsr-sr-x 1 root root 299364 Apr 19 16:38 /usr/sbin/sendmail
-rwsr-xr-x 1 root root 34131 Apr 16 18:49 /usr/libexec/pt_chown
-rwsr-xr-x 1 root root 13208 Apr 13 14:58 /bin/su
*-rwsr-xr-x 1 root root 52788 Apr 17 15:16 /bin/mount
*-rwsr-xr-x 1 root root 26508 Apr 17 20:26 /bin/umount
*-rwsr-xr-x 1 root root 17652 Jul 6 09:33 /bin/ping
-rwsr-xr-x 1 root root 20164 Apr 17 12:57 /bin/login
*-rwxr-sr-x 1 root root 3860 Apr 19 15:39 /sbin/netreport
-r-sr-xr-x 1 root root 46472 Apr 17 16:26 /sbin/pwdb_chkpwd
[root@deep]# chmod a-s /usr/bin/chage
[root@deep]# chmod a-s /usr/bin/gpasswd
[root@deep]# chmod a-s /usr/bin/wall
[root@deep]# chmod a-s /usr/bin/chfn
[root@deep]# chmod a-s /usr/bin/chsh
[root@deep]# chmod a-s /usr/bin/newgrp
[root@deep]# chmod a-s /usr/bin/write
[root@deep]# chmod a-s /usr/sbin/usernetctl
[root@deep]# chmod a-s /usr/sbin/traceroute
[root@deep]# chmod a-s /bin/mount
[root@deep]# chmod a-s /bin/umount
[root@deep]# chmod a-s /bin/ping
[root@deep]# chmod a-s /sbin/netreport

你可以用下面的命令查找所有帶s位標志的程序：
[root@deep]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;
> suid-sgid-results
把結果輸出到文件suid-sgid-results中。

為了查找所有可寫的文件和目錄，用下面的命令：
[root@deep]# find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; > ww-files-results
[root@deep]# find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \; > ww-directories-results

用下面的命令查找沒有擁有者的文件：
[root@deep]# find / -nouser -o -nogroup > unowed-results

用下面的命令查找所有的.rhosts文件：
[root@deep]# find /home -name .rhosts > rhost-results

建議替換的常見網路服務應用程序

WuFTPD
WuFTD從1994年就開始就不斷地出現安全漏洞，黑客很容易就可以獲得遠程root訪問（Remote Root Access）的許可權，而且很多安全漏洞甚至不需要在FTP伺服器上有一個有效的帳號。最近，WuFTP也是頻頻出現安全漏洞。
它的最好的替代程序是ProFTPD。ProFTPD很容易配置，在多數情況下速度也比較快，而且它的源代碼也比較干凈（緩沖溢出的錯誤比較少）。有許多重要的站點使用ProFTPD。sourceforge.net就是一個很好的例子（這個站點共有3,000個開放源代碼的項目，其負荷並不小啊！）。一些Linux的發行商在它們的主FTP站點上使用的也是ProFTPD，只有兩個主要Linux的發行商（SuSE和Caldera）使用WuFTPD。
ProFTPD的另一個優點就是既可以從inetd運行又可以作為單獨的daemon運行。這樣就可以很容易解決inetd帶來的一些問題，如：拒絕服務的攻擊（denial of service attack），等等。系統越簡單，就越容易保證系統的安全。WuFTPD要麼重新審核一遍全部的源代碼（非常困難），要麼完全重寫一遍代碼，否則WuFTPD必然要被ProFTPD代替。

Telnet
Telnet是非常非常不安全的，它用明文來傳送密碼。它的安全的替代程序是OpenSSH。
OpenSSH在Linux上已經非常成熟和穩定了，而且在Windows平台上也有很多免費的客戶端軟體。Linux的發行商應該採用OpenBSD的策略：安裝OpenSSH並把它設置為默認的，安裝Telnet但是不把它設置成默認的。對於不在美國的Linux發行商，很容易就可以在Linux的發行版中加上OpenSSH。美國的Linux發行商就要想一些別的辦法了（例如：Red Hat在德國的FTP伺服器上（ftp.redhat.de）就有最新的OpenSSH的rpm軟體包）。
Telnet是無可救葯的程序。要保證系統的安全必須用OpenSSH這樣的軟體來替代它。

Sendmail
最近這些年，Sendmail的安全性已經提高很多了（以前它通常是黑客重點攻擊的程序）。然而，Sendmail還是有一個很嚴重的問題。一旦出現了安全漏洞（例如：最近出現的Linux內核錯誤），Sendmail就是被黑客重點攻擊的程序，因為Sendmail是以root許可權運行而且代碼很龐大容易出問題。
幾乎所有的Linux發行商都把Sendmail作為默認的配置，只有少數幾個把Postfix或Qmail作為可選的軟體包。但是，很少有Linux的發行商在自己的郵件伺服器上使用Sendmail。SuSE和Red Hat都使用基於Qmail的系統。
Sendmail並不一定會被別的程序完全替代。但是它的兩個替代程序Qmail和Postfix都比它安全、速度快，而且特別是Postfix比它容易配置和維護。

su
su是用來改變當前用戶的ID，轉換成別的用戶。你可以以普通用戶登錄，當需要以root身份做一些事的時候，只要執行「su」命令，然後輸入root的密碼。su本身是沒有問題的，但是它會讓人養成不好的習慣。如果一個系統有多個管理員，必須都給他們root的口令。
su的一個替代程序是sudo。Red Hat 6.2中包含這個軟體。sudo允許你設置哪個用戶哪個組可以以root身份執行哪些程序。你還可以根據用戶登錄的位置對他們加以限制（如果有人「破」了一個用戶的口令，並用這個帳號從遠程計算機登錄，你可以限制他使用sudo）。Debian也有一個類似的程序叫super，與sudo比較各有優缺點。
讓用戶養成良好的習慣。使用root帳號並讓多個人知道root的密碼並不是一個好的習慣。這就是www.apache.org被入侵的原因，因為它有多個系統管理員他們都有root的特權。一個亂成一團的系統是很容易被入侵的。

named
大部分Linux的發行商都解決了這個問題。named以前是以root運行的，因此當named出現新的漏洞的時候，很容易就可以入侵一些很重要的計算機並獲得root許可權。現在只要用命令行的一些參數就能讓named以非root的用戶運行。而且，現在絕大多數Linux的發行商都讓named以普通用戶的許可權運行。命令格式通常為：named -u <user name> -g <group name>

INN
在INN的文檔中已經明確地指出：「禁止這項功能（verifycancels），這項功能是沒有用的而且將被除掉」。大約在一個月前，一個黑客發布了當「verifycancels」生效的時候入侵INN的方法。Red Hat是把「verifycancels」設為有效的。任何setuid/setgid的程序或網路服務程序都要正確地安裝並且進行檢查以保證盡量沒有安全漏洞。

安全守則

1. 廢除系統所有默認的帳號和密碼。
2. 在用戶合法性得到驗證前不要顯示公司題頭、在線幫助以及其它信息。
3. 廢除「黑客」可以攻擊系統的網路服務。
4. 使用6到8位的字母數字式密碼。
5. 限制用戶嘗試登錄到系統的次數。
6. 記錄違反安全性的情況並對安全記錄進行復查。
7. 對於重要信息，上網傳輸前要先進行加密。
8. 重視專家提出的建議，安裝他們推薦的系統「補丁」。
9. 限制不需密碼即可訪問的主機文件。
10.修改網路配置文件，以便將來自外部的TCP連接限制到最少數量的埠。不允許諸如tftp,sunrpc,printer,rlogin或rexec之類的協議。
11.用upas代替sendmail。sendmail有太多已知漏洞，很難修補完全。
12.去掉對操作並非至關重要又極少使用的程序。
13.使用chmod將所有系統目錄變更為711模式。這樣，攻擊者們將無法看到它們當中有什麼東西，而用戶仍可執行。
14.只要可能，就將磁碟安裝為只讀模式。其實，僅有少數目錄需讀寫狀態。
15.將系統軟體升級為最新版本。老版本可能已被研究並被成功攻擊，最新版本一般包括了這些問題的補救。

G. SUSE linux配置NAT的問題

基本上是:
root@localhost#
echo
1
>
/proc/sys/net/ipv4/ip_forward
root@localhost#
iptables
-t
nat
-A
POSTROUTING
-j
SNAT
--to-source
you_ip
具體看需求啦

H. linux mint 如何做nat

配置NAT要打開Linux內核iptables的NAT功能，而且還要配置文件，你這個情況可能是網關或者路由沒配置好，當有Windows時，路由可定不是往外網去的，可定是走的是內部網，所以去掉Windows就好了。看看配置文件對不對，路由的，還有Linux的NAT的都看看

I. 如何設置Linux作為網關伺服器（NAT轉換）

1.兩個網路介面、一個內，一個外 2.NAT轉換（內）操作步驟： 1.設置Linux內核支持ip數據包的轉發： echo "1" > /proc/sys/net/ipv4/ip_forward 2.載入實現NAT功能必要的內核模塊： modprobe ip_tables modprobe ip_nat_ftp modprobe ip_nat_irc modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_conntrack_irc 3.對iptables中的規則表進行初始化： iptables -F iptables -X iptables -Z iptables -F -t nat iptables -X -t nat iptables -Z -t nat 4.設置規則鏈的默認策略：