網管的工作日誌範本

6網路監控和警備原則(設備﹑手段﹑要求程度﹑人員﹑預警臨界界定﹑上報渠道﹑等等)
由於弟對公司網路架構不熟﹐而且說老實﹐也未能勝任技術要求﹐尤其是伺服器﹑路由設備
和網路監測等方面。所以﹐以上第 7 點的內容我想最後還是請您撰寫。

8)
根據目前所草擬之《網路安全原則》﹐我們會對遠端訪問服務加以限制。但弟不是很清楚公
司目前或將來會否提供遠端訪問。以及它的安全要求是什麼﹖請作出指引。

9)
根據目前所草擬之《網路安全原則》﹐公司也會監管網際網路的訪問﹐其中會包括站台過濾
和 anit-spam
機製。不知道是否可行﹖如果有此需要﹐其設定指南也應該包括在《網路服務管理指南》
中。

10)
根據目前所草擬之《網路安全原則》﹐公司會要求所有工作站安裝放病毒軟體﹐不知道公司
對此的規定如何﹖

11)
基於前述﹐弟對許多規定還相當模糊﹐目前在《網路安全原則》所提議的﹐大部份為“杜
撰”﹐實在不知道其必要性和可行性。如果您覺得有探討的餘地﹐請給予指示。


~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * http://www.it55.com/

下面為當周日誌﹕

~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ * ~ *


----------
2000/06/09


1)10:30am

問題﹕
根據文彬之報告﹐他的主機不能用 smtp.xxx.com 主機寄信給非本公司的地址﹐同樣用
smtp.ks.xxx.com 主機也不能。均遇到 "not relaying" 的問題。

測試步驟﹕
1﹐到文彬的電腦輸入 hostname 得到其主機名稱為﹕conquer.xxx.com﹐ ifconfig |grep
addr 得到它的 IP 為 192.168.20.128
2﹐檢查文彬的郵件軟體(netscape, linux version)之sender address 為
conquer@xxx.com﹐將之加進 "reply to" 也同樣遇到相同問題
3﹐telnet 至 smtp.ks.xxx.com (211.xx.xx.76)﹐查看 /var/log/maillog 發現關於
conquer 這個 sender 有這樣的敘述﹕"relay=IDENT:conquer@[192.168.20.128]"

推測﹕
看情形似乎是 sendmail 不能夠反查詢文彬的主機。
在 sendmail 8.9.x 已經不開放任意 relay 的情形下﹐sendmail 要接收一封轉寄郵件的時
候﹐必須反查詢 sender 的主機地址。這動作可以經由 hosts 檔或 DNS。

修正步驟﹕
1﹐cat /etc/host.conf 確定其order是 hosts,bind
2﹐cat /etc/hosts | grep 192.168.20 並沒有發現任何記錄
3﹐nslookup 查詢 conquer.xxx.com 並沒有結果﹐set q=ptr 後查詢 192.168.20.128 也
沒結果。
4﹐至此應該確定是反查詢的問題了。解決方法有三﹕
4.1 為192.168.20 建立反解 DNS﹐同時更新 xxx.com 的正解以將 R/D 的主機加進去。但
考慮到 DNS
的對外開放性。在這台允許直接外部連線之 DNS 主機上透露過多內的部網路資訊﹐實在是
非常不明智的行為，不應該考慮﹐除非在內部網路建立獨立的 DNS 主機。但這樣牽涉到目
前的網路架構問題。相信目前是難以實現的﹐就算必須這樣做﹐也應該向上頭申請獲批准方
可實行。
4.2 將文彬電腦用 hosts 靜態對應。但這樣做的話﹐其他在 192.168.20 下面的主機也要
這樣做﹐實在太麻煩了。
4.3 修改 /etc/mail/access 檔﹐將文彬主機的 IP 加入。但和前一個理由一樣﹐這樣做必
須為每一台主機建立
RELAY﹐有點麻煩。倒不如將整個 192.168.20 網加入﹐不過考慮到其他的本地網路﹐或許
他們將來也會用到本機器做 mail relay
﹐所以決定將整組 192.168 加入。雖然範圍過大了﹐不過“相信”這個 reserved private
IP 網路應該不至於讓目前 server 成為 ineternet 上面的 spam 基地吧。
5﹐最後 su 為 root ﹐修改 /etc/mail/access ﹐將 "192.168 RELAY" 加入
6﹐重新啟動 sendmail ﹕ /etc/rc.d/init.d/sendmail restart﹐確定有兩個 'OK'

結果﹕
對外郵件傳送成功。


2) 11:10am

問題﹕
接到(某某上司)來電﹐得知 Jenifer 之電腦無法使用郵件。

檢測步驟﹕
1﹐嘗試下載郵件﹐或得 " can not connect to server" 的回應
2﹐在 command prompt 輸入 'winipcfg' 竟然沒有此命令﹐原來這是 windows 2000 的機
器﹐改為輸入 ipconfig /all
。發現這台主機竟然使用從一台 IP 為 192.168.23.48 的DHCP server 分配下來的
IP﹕192.168.23.101 ﹐而它目前並沒有獲得 DNS 的設定。
3﹐輸入 ipconfig release 後接 ipconfig renew ﹐IP 並沒有改變。

推測﹕
可能在同一物理網路上有其他主角正扮演著 DHCP 角色﹐這應該和目前的網路設計有所出
入。更糟糕的是﹕這台 DH IT资讯之家 www.it55.com

（编辑：IT资讯之家 www.it55.com）

共4页: 上一页 [1] 2 [3] [4] 下一页