拨号服务器维护经验谈
作者:李炳胜
如需转载请联系赛迪网
拨号服务器的维护和管理是关乎服务器端和客户端、涉及软件与硬件的较繁杂的工作。它要求管理员多实践,且善于归纳和总结,只有这样,才能形成一套自已的行之有效的管理经验和方法。
一、检查物理线路
当客户端无法拨入时,在服务器端首先要检查物理线路是否通畅,即检查调制解调器与服务器串口的连接情况。外置调制解调器和服务器串口(COM1或COM2)连接通常采用标准的RS-232C连接线缆。使用minicom可以很轻松地检测出该线缆的连通情况。minicom是可以运行在Linux系统上的一种实用工具,主要用来实现系统与调制解调器的通信及对调制解调器的控制。在Linux终端状态下输入命令:minicom,屏幕上显示初始化调制解调器,接着在显示欢迎等信息后显示"OK",表明系统与调制解调器连通顺畅,否则得检查线缆接头有没有松动。有时,线缆接头的稍许松动是看不出来的,这时使用minicom将会得心应手。事实上,在解决一般网络故障时,我们都是从首先检查物理线路连通情况开始的。
二、检查/var/lock/LCK..ttySx设备锁定文件
由于调制解调器是独占性的资源,即当一个用户使用该资源时,其它用户便无法使用它,直到前一个用户释放该资源为止,Linux系统使用设备锁定文件来控制该设备的使用。设备锁定文件主要存在以下两种情况:
当服务器端的调制解调器电源关闭时,该设备与计算机处于断开状态,系统自动在/var/lock/目录下产生设备锁定文件,表明该设备当前不可用,此时客户无法拨入进来,针对具体的串行口,产生如LCK..ttyS0或LCK..ttyS1的文件;而当调制解调器电源打开时,锁定文件在数秒后自动消失,设备回到接受拨入的状态。
拨号用户成功拨入后,在/var/lock/目录下也会产生针对具体串口的设备锁定文件,该锁定文件表明已有用户正在使用该独占设备,其它用户此时无法再使用该设备。拨入用户断开连接后,锁定文件将很快自动释放,等待拨入的用户这时可以拨入进来了。检查锁定文件的主要目的是检查服务器端调制解调器电源是否打开。
三、检查IP转发功能
当用户通过拨入服务器连上Internet时,服务器的内核必须支持IP转发功能且允许IP转发,否则会发生拨通后从客户机只能ping到拨号服务器而无法ping到其它服务器或本地网关的情形。检查当前系统的IP转发功能有没有打开使用命令:
cat /proc/sys/net/ipv4/ip_forward
如果输出为1,表示IP转发功能是打开的,如果输出为0,表示该项功能是关闭的,可以使用命令"echo 1 > /proc/sys/net/ipv4/ip_forward"来打开该项功能,不过这种打开不是永久的,当你重启系统后,将恢复为原先设置的值。为了开启这项功能并使之一直有效,最简单的办法是以root身份修改/etc/sysclt.conf文件,在该文件找到:net.ipv4.ip_forward = 0,将其中的"0"改为"1",重启系统后即可生效。
四、检查pppd的setuid位
如果拨号用户在调制解调器连通后弹出的终端窗口中输入用户名和口令后,接着出现了如下信息:
-pppd:must be root to run -pppd,since it is not setuid -root
这是由于基于安全性的考虑,pppd只能由root或具有root权限的用户来运行,而系统已创建的拨号用户没有权限运行pppd的缘故。可以通过在pppd上设置setuid位来解决这个问题。在某个可执行二进制文件上设置setuid,可以使得其它用户以该文件所有者的身份来运行该程序。输入如下命令来设置pppd的setuid位:
chmod 4755 /usr/sbin/pppd
因pppd文件所有者为root,这样普通用户(如已创建的拨号用户)就可以以root用户身份执行该程序了。另外,运行linuxconf程序时,因其要对文件系统安全性进行检查,有时会删除pppd的setuid位,所以,运行过linuxconf后,要注意检查pppd的属性设置。
发布人:netbull 来自:赛迪网