RHCE7考试题.doc

YUM配置：yum-config-manager add-repo=”yum地址”yum repolist 验证1、配置SeLinux在system1和system2上要求SeLinux的状态为enforcing。要求系统重启后依然生效。(两台机器上都要配置)#vim /etc/selinux/configSELINUX=enforceing#setenforce 1#getenforce2、配置防火墙对SSH的限制(两台机器上都要配置)在server0和desktop0上设置防火墙,对SSH实现访问限制：允许域的客户对server0和desktop0进行ssh访问。禁止域的客户对server0和desktop0进行ssh访问。备注：是在/24网络。（根据考试实际提供的网段配置）#systemctl mask iptables#systemctl mask ip6tables#systemctl mask ebtables.service#systemctl enable firewalld#systemctl start firewalld#firewall-cmd -permanent -add-service=ssh#firewall-cmd petmanent -add-rich-rul=rule family=ipv4 source address=/24 service name=ssh reject#firewall-cmd reload3、配置IPv6地址(两台都配置)在你的考试系统上配置接口eth0使用以下IPv6地址：server0 上的地址应该是fddb:fe2a:ab1e:c0a8:1/64 (根据考试实际提供的地址配置)desktop0 上的地址应该是fddb:fe2a:ab1e:c0a8:2/64两个系统必须能够与网络fddb:fe2a:ab1e/64内的系统通信。地址必须在重启后依旧生效。两个系统必须保持当前的IPv4地址并能通信解法1：命令行#nmcli connection modify eth0 ipv6.addresses XXXXXX/64 /配置IPV6IP地址#nmcli connection modify eth0 ipv6.method manual 解法2：图形化#nm-connection-editor /启用图形化#nmcli connetion reload#nmcli connection down eth0#nmcli connection up eth04、配置链路聚合（两台都配置）在server0和desktop0之间按一下要求配置：此链路使用接口eth1和eth2此链路在一个接口失效时仍然能工作此链路在server0使用下面的地址01/此链路在desktop0使用下面的地址02/此链路在系统重启之后依然保持正常状态创建team类型的网卡，连接别名为team0,使用的模式为activebackup#nmcli connection add type team con-name team0 ifname team0 config “runner” : “name” : “activebackup”根据题目要求给team0网卡绑定指定的IP# nmcli connection modify team0 ipv4.addresses 01/24# nmcli connection modify team0 ipv4.method manual给team0网卡指定从接口# nmcli connection add type team-slave con-name team0-port1 ifname eth1 master team0# nmcli connection add type team-slave con-name team0-port2 ifname eth2 master team05、自定义用户环境(两台都配置)在系统server0和desktop0上创建自定义命令为qstat ，此自定义命令将执行以下命令：/bin/ps Ao pid,tt,user,fname,rsz此命令对系统中的所有用户有效#vim /etc/bashrcalias qstat=” /bin/ps Ao pid,tt,user,fname,rsz”#source /etc/profile6、配置本地邮件服务（两台都配置）在系统server0和desktop0上配置邮件服务，满足以下要求：这些系统不接收外部发送来的邮件这些系统上本地发送的任何邮件都会自动路由到从这些系统上发送的邮件都显示来自你可以通过发送邮件到本地用户student来测试你的配置，已经配置好。把此用户的邮件转到下列URL /cgi-bin/recevied_mail# yum install postfix -y# systemctl enable postfix# postconf -e inet_interfaces = loopback-only /修改配置# postconf -e myorigin = # postconf -e relayhost = -中心邮件服务器# postconf -e mydestination = # postconf -e local_transport = error: local delivery disabled# postconf -e mynetworks = /8, :1/128# systemctl restart postfix /修改了配置就重启# mail -s server0 null client /发送测试邮件null client test.7、配置端口转发在server0上配置端口转发，要求如下：在/24网络中的系统，访问server0的本地端口5423将被转发到端口80此设置必须永久有效。解法1：命令行#firewall-cmd -permanent -add-rich-rule=rule family=ipv4 source address=/24 forward-port port=5423 protocol=tcp to-port=80#firewall-cmd -permanent -add-rich-rule=rule family=ipv4 source address=/24 forward-port port=5423 protocol=udp to-port=80#firewall-cmd -reload解法2：图形化#firewall-config /启用图形化配置界面，在rich rules下设置端口转发#firewall-cmd reload /配置完毕后需要重新加载防火墙 8、通过SMB共享目录在server0上配置SMB服务您的SMB服务器必须是STAFF工作组的一个成员共享/common目录，共享名必须为common只有域内的客户端可以访问common共享Common必须是可以浏览的用户rob，samba密码为redhat , 只读权限访问common共享。用户brian，samba密码为redhat ,读写权限访问common共享。备注：考试的时候，用户和密码请根据题目实际情况进行设定，有的时候，题目简单一些，测试用户早已建立，有的时候，题目较难一些，用户和密码都必须自己设定。# yum install samba samba-client -y# mkdir -p /common# useradd -s /sbin/nologin brian# smbpasswd -a brian 输入密码redhat# useradd -s /sbin/nologin rob# smbpasswd -a rob 输入密码redhat# chgrp brain /common -如果题目并没有要求让brain用户读写,则不需要修改组# chmod 2775 /common /root/smb-multiuser.txt# echo password=redhat /root/smb-multiuser.txt# vim /etc/fstab./server0/common /mnt/multiuser cifs credentials=/root/smb-multiuser.txt,multiuser,sec=ntlmssp 0 0# mount /mnt/multiuser验证：# su - brian$ cifscreds add server0 输入密码redhat$ echo Multiuser /mnt/multiuser/brian.txt 成功写入$ exit# su - rob$ cifscreds add server0$ echo Multiuser /mnt/multiuser/rob.txt 写入失败$ cat /mnt/multiuser/brian.txt 读取成功$ exit10、配置NFS服务在server0配置NFS服务，要求如下：以只读的形式共享目录/public同时只能被域中的系统访问。以读写的形式共享目录/protected同时只能被域中的系统访问。访问/protected需要通过Kerberos安全加密，您可以使用下面提供的密钥：/pub/keytabs/server0.keytab目录/protected应该包含名为project拥有人为ldapuser0的子目录用户ldapuser0能以读写形式访问/protected/project在server0(system1)上完成# yum install nfs-utils -y设定开机启动,并且马上启动# systemctl enable nfs-server# systemctl start nfs-server# mkdir /public# chown nfsnobody /public # vim /etc/exports/public *.(ro)# exportfs -r 重载nfs设定,让新添加的共享马上生效设置防火墙# firewall-cmd -permanent -add-service=nfs# firewall-cmd -reload下载kerberos的服务端密钥文件(考试的时候会提示你在哪里下载该文件)# wget -O /etc/krb5.keytab /pub/keytabs/server0.keytab设定nfs的工作模式是4.2版本作用:实现安全上下文的继承(服务端决定安全上下文,服务器和客户端是一致的上下文)# vim /etc/sysconfig/nfsRPCNFSDARGS=-V 4.2设定服务开机启动# systemctl enable nfs-secure-server# systemctl start nfs-secure-server -注意:服务名字已经更改准备好共享的目录# mkdir -p /protected/project# chown ldapuser0:ldapuser0 /protected/project设定配置文件# vim /etc/exports/protected *.(sec=krb5p,rw)资源使用kerberos验证# exportfs -r# exportfs /protected *.设定防火墙,允许nfs的数据流入本机# firewall-cmd -permanent -add-service=nfs# firewall-cmd reload11、挂载一个NFS共享在desktop0上挂载一个来自server0上的NFS共享，并符合下列要求：/pulbic共享挂载到本地的/mnt/nfsmount。/protected挂载到本地的/mnt/nfssecure,并使用安全的方式，密钥下载地址：/pub/keytabs/desktop0.keytab用户ldapuser0能够在/mnt/nfssecure/project上创建文件。这些文件系统在系统启动时自动挂载。在desktop0(system2)上完成1）访问基于系统验证的nfs共享# mkdir /mnt/nfsmount# vim /etc/:/public /mnt/nfsmount nfs defaults 0 0# mount -a2）访问基于kerberos验证的nfs共享下载kerberos密钥文件# wget -O /etc/krb5.keytab /pub/keytabs/desktop0.keytab开启nfs-secure服务作用: 该服务是实现kerberos验证的客户端功能# systemctl enable nfs-secure# systemctl start nfs-secure建立本地目录挂载# mkdir /mnt/nfssecure# vim /etc/:/protected /mnt/nfssecure nfs defaults,sec=krb5p 0 0# mount -a# df -h | grep :/protected 10G 3.1G 7.0G 31% /mnt/nfssecure验证：# ssh ldapuser0localhost /mnt/nfssecure/project/testfile.txt12、实现一个web服务器在server0上配置一个站点，然后执行以下步骤：从/materials/station.html下载文件，并且将文件重命名为index.html,绝对不能修改此文件的内容。将index.html拷贝到你的web服务器的DocumentRoot目录下。来自域的客户端可以访问此web站点。来自域的客户端拒绝访问此web站点。备注：网站的DocumentRoot如果题目没有指定，那么随意。# yum install httpd -y# firewall-cmd -permanent -add-service=http# firewall-cmd -reload# vim /etc/httpd/conf.d/vhost-server0.conf ServerName DocumentRoot /var/www/html CustomLog logs/server0_vhost_log combined Require all granted Require not host . # wget -O /var/www/html/index.html /materials/station.html# systemctl enable httpd# systemctl start httpd13、配置安全web服务站点配置TLS加密。一个已经签名证书从/pub/tls/certs/server0.crt获取此证书的密钥从/pub/tls/private/server0.key获取此证书的授权信息从/pub/example-ca.crt获取# yum install httpd mod_ssl -y# firewall-cmd -permanent -add-service=https# firewall-cmd -reload# wget -O /etc/pki/tls/certs/server0.crt /pub/tls/certs/server0.crt# wget -O /etc/pki/tls/private/server0.key /pub/tls/private/server0.key # wget -O /etc/pki/tls/certs/example-ca.crt /pub/example-ca.crt#vim /etc/httpd/conf.d/ssl.confDocumentRoot /var/www/html 自己添加ServerName :443 自己添加找个空白处添加以下内容 Require all granted Require not host . SSLCertificateFile /etc/pki/tls/certs/server0.crt 修改为指定下载的证书SSLCertificateKeyFile /etc/pki/tls/private/server0.key 修改为指定下载的密钥SSLCACertificateFile /etc/pki/tls/certs/example-ca.crt 修改为指定的根证书# systemctl enable httpd# systemctl restart httpd14、配置虚拟主机在server0上扩展你的web服务器，为站点创建一个虚拟主机，然后执行以下步骤：设置DocumentRoot为/var/www/virtual从/materials/www.html下载文件并重命名为index.html，不要对文件index.html内容做任何修改。将index.htm文件放到虚拟主机的DocumentRoot目录下确保floyd用户能够在/var/www/virtual目录下创建文件注意：原始站点必须仍然能够访问。站点的所用的域名网络中已有DNS服务器解析。# yum install httpd -y# firewall-cmd -permanent -add-service=http# firewall-cmd -reload# vim /etc/httpd/conf.d/vhost-www0.conf ServerName DocumentRoot /var/www/virtual CustomLog logs/www0_vhost_log combined Require all granted # mkdir -p /var/www/virtual# wget -O /var/www/virtual/index.html /materials/www.html# semanage fcontext -a -t httpd_sys_content_t /var/www/virtual(/.*)?# restorecon -R /var/www/virtual# useradd floyd 如果用户不存在就自己建立# setfacl -m user:floyd:rwx /var/www/virtual/# systemctl enable httpd# systemctl restart httpd15、配置web内容的访问在你的server0上的web服务器的DocumentRoot目录下创建一个名为private的目录，要求如下：从/materials/private.html下载一个文件副本到这个目录，并且重命名为index.html。不要对这个文件的内容作任何修改。从system1上，任何人都可以浏览private的内容，但是从其他系统就不能访问这个目录的内容。（注意题目要求谁可以访问，灵活变化）备注：此题目是接着上一题，所以这里的DocumentRoot指的就是上面的/var/www/virtual/。# mkdir -p /var/www/virtual/private#wget O /var/www/virtual/private/index.html/materials/private.html# vim /etc/httpd/conf.d/vhost-www0.conf ServerName DocumentRoot /var/www/virtual CustomLog logs/www0_vhost_log combined Require all granted 增加一段访问控制 Require all deniedRequire local # systemctl restart httpd16、实现动态Web内容新版题库已经没有这题在server0上配置提供动态web内容，要求如下：动态内容由名为的虚拟主机提供虚拟主机监听在端口8908从/materials/webinfo.wsgi下载一个脚本，然后放在适当的位置，无论如何不要修改此文件的内容。客户端访问:8908/时应该接收到动态生成的web页面。此站点:8908/。必须能够被域内的所有系统访问。# yum install mod_wsgi -y# mkdir -p /var/www/webapp#wget O /var/www/webapp/webinfo.wsgi /materials/webinfo.wsgi# semanage port -a -t http_port_t -p tcp 8908# semanage fcontext -a -t httpd_sys_content_t /var/www/webapp(/.*)?# restorecon -R /var/www/webapp# vim /etc/httpd/conf.d/vhost-webapp0.confListen 8908 ServerName DocumentRoot /var/www/webapp CustomLog logs/www0_vhost_log combined Require all granted WSGIScriptAlias / /var/www/webapp/webinfo.wsgi# systemctl restart httpd# firewall-cmd -permanent -add-rich-rule=rule family=ipv4 source address=/24 port port=8908 protocol=tcp accept# firewall-cmd reload17、创建一个脚本在server0上创建一个名为/root/foo.sh的脚本，让其提供下列特性：当运行/root/foo.sh redhat，输出fedora当运行/root/foo.sh fedora，输出redhat当没有任何参数或者参数不是redhat或者fedora时，其错误输出产生以下的信息：/root/foo.sh redhat|fedorashell vim /root/foo.sh#!/bin/bashcase $1 in redhat)echo fedora ; fedora)echo redhat ; *)echo /root/foo.sh redhat|fedora ;esacshell chmod 755 /root/foo.sh18、创建一个添加用户的脚本在server0上创建一个名为/root/batchusers,此脚本能够实现为系统system1创建本地用户，并且这些用户的用户名来自一个包含用户名列表的文件，同时满足下列要求:此脚本要求提供一个参数，此参数就是包含用户名列表的文件如果没有提供参数，此脚本应该给出下面的提示信息Usage: /root/batusers userfile ,并且退出返回相应的值如果提供一个不存在的文件名，此脚本应该给出下面的提示信息Input file not found然后退出并返回相应的值创建的用户登录shell为/bin/false此脚本不需要为用户设置密码(注意：有得时候需要设置统一密码为redhat)您可以从下面的URL获取用户列表作为测试用/materials/userlistshell vim /root/batchusers#!/bin/bashif $# -eq 1 ;then if -f $1 ;then while read username ;do useradd -s /bin/false $username &/dev/null done chmod 755 /root/batchusersshell wget -O /root/userlist /materials/userlist测试# /root/batchusers userlist19、配置iSCSI服务端配置server0提供一个iSCSI服务磁盘名为.example:server0,并符合下列要求:服务端口为3260使用iscsi_store作为其后端卷，其大小为3G（题意含糊，其实iscsi_store是一个逻辑卷,需要自己建立）此服务只能被访问。# yum install targetcli -y# systemctl enable target# systemctl start target# firewall-cmd -permanent -add-port=3260/tcp# firewall-cmd -reload# fdisk /dev/vdb cd iscsi/iscsi create .example:server0 定义了一个iscsi(target)/iscsi .example:server0/tpg1/portals create 1 3260定义target的入口(客户使用什么IP和端口访问)iscsi cd / backstores/block create name=server0.iscsi_store dev=/dev/iSCSI_vg/iscsi_store 定义了一个本地的块设备/ iscsi/.example:server0/tpg1/luns create /backstores/block/server0.iscsi_store把定义好了的块设备通过该target共享出去/ iscsi/.example:server0/tpg1/acls create .example:desktop0创建基于iqn的acl:允许该名字的客户端访问本iscsi的tagert/ iscsi/.example:server0/tpg1/ set attribute authentication=0该tgp关闭帐号验证/ iscsi/.example:server0/tpg1/ set attribute generate_node_acls=0该tgp使用自定义的acl实现节点访问限制/ saveconfig 保存设置/ exit20、配置iSCSI的客户端配置desktop0使其能连接在server0上提供的.example:server0并符合以下要求：iSCSI设备在系统启