BaiduNetdiskDownload CSDN资料免费下 RHCE

RHCE7考试模拟题下午RHCE部分您在考试中将使用到两个系统的信息如下： : 作为服务器 : 作为客户端两个系统的root密码为redhat系统的IP地址有DHCP提供，您可以视为正常，或者您可以按照一下信息重新设置未静态IP： ： 1/24 ： 2/24两个系统均为DNS域的成员。除非特别指名，不然所有要求配置的网络服务都必须能被该域的系统访问。 提供了集中认证的服务器为。两个系统system1和system2都已经预先配置成此域的客户端。 提供了YUM软件仓库，URL是 /yum 。防火墙是默认打开的，在您认为适当的时候可以关闭。其他防火墙的设置可能在单独的要求中。(/24)作为不可信网络。第一题：设定SELinux在 system1 和 system2 上要求 SELinux 的工作模式为 enforcing :要求系统重启后依然生效。vim /etc/selinux/config #编辑seliunx配置文件SELINUX=enforcing #设置运行模式为强制执行setenforce 1 #设置当前模式为强制执行getenforce #查看当前selinux运行模式第二题：配置防火墙请按下列要求在 system1 和 system2 上设定防火墙系统：允许 域的客户对 system1 和 system2 进行 ssh 访问。禁止 域的客户对 system1 和 system2 进行 ssh 访问。备注： 是在 /24 网络方法1：命令行实现systemctl mask iptables #屏蔽iptables,不让它启动。systemctl mask ip6tables #屏蔽ip6tables,不让它启动。systemctl enable firewalld #设置开机自动启动firewall服务systemctl start firewalld #设置立即开启firewall服务firewall-cmd -permanent -add-service=ssh #设置永久开放ssh服务firewall-cmd -permanent -add-rich-rule=rule family=ipv4 source address=/24 service name=ssh reject #设置SSH服务拒绝某一网段的访问firewall-cmd -reload #重读配置文件firewall-cmd -list-all #防火墙规则列表方法2：用firewall-config 图形工具第三题：自定义用户环境在系统system1和system2上创建自定义命令为qstat ，要求：此自定义命令将执行以下命令：/bin/ps -Ao pid,tt,user,fname,rsz此命令对系统中的所有用户有效vim /etc/bashrc #设置为别名并且开机启动alias qstat=/bin/ps -Ao pid,tt,user,fname,rsz. /etc/bashrc #让配置文件立即生效qstat #检查第四题：配置端口转发在系统 system1 设定端口转发，要求：在/24网络中的系统，访问system1的本地端口 5423 将被转发到 80此设置必须永久有效方法1：命令行工具实现#设置TCP协议 5423端口转发80端口firewall-cmd -permanent -add-rich-rule=rule family=ipv4 source address=/24 forward-port port=5423 protocol=tcp to-port=80#设置UDP协议 5423端口转发80端口firewall-cmd -permanent -add-rich-rule=rule family=ipv4 source address=/24 forward-port port=5423 protocol=udp to-port=80#更新防火墙规则firewall-cmd -reload#查看防火墙规则列表Firewall-cmd -list-all方法2：图形工具实现运行firewall-config打开图形工具第五题：配置链路聚合 在system2和system1之间按以下要求设定一个链路：此链路使用接口eth1和eth2此链路在一个接口失效时仍然能工作此链路在system1使用下面的地址0/此链路在system2使用下面的地址5/此链路在系统重启之后依然保持正常状态1） 创建team类型的网卡，连接别名为team0,使用的模式为activebackupactivebackup 表示热备，loadbalance 表示负载均衡nmcli connection add type team con-name team0 ifname team0 config runner:name:activebackup 2）根据题目要求给team0链路接口绑定指定的IP,并且把属性改为manualnmcli connection modify team0 ipv4.addresses 0/24 ipv4.method manual connection.autoconnect yes3）将ens33以及ens37分别加入team0接口nmcli connection add type team-slave con-name team0-port1 ifname eth1 master team0nmcli connection add type team-slave con-name team0-port2 ifname eth2 master team04） 启动接口中的网卡nmcli connection up team0-port1nmcli connection up team0-port2nmcli connection up team05） 开启混杂模式1、 临时开启ifconfigeth1promisc 2、 永久开启echo “ifconfig eth0 promisc” /root/.bash_profile5)验证#查看网卡是否正常nmcli device statusteamdctl team0 state #查看聚合网卡中的主网卡6）在system2上面也按照上面的步骤操作一遍特别注释：需要启动team0-port1 up team0-port2 team0才有高可用功能。等会尝试一下将聚合网卡模式改为负载均衡第六题:配置IPV6地址在考试系统上设定接口eth0使用下列IPV6地址：system1上的地址应该是2003:ac18:305/64system2上的地址应该是2003:ac18:30a/64两个系统必须能与网络2003:ac18/64内的系统通信地址必须在重启后依然生效两个系统必须保持当前的IPV4地址并能通信方法1：命令行实现nmcli connection modify eth0 ipv6.method manual ipv6.addresses 2003:ac18:305/64 connection.autoconnect yes #设置IPV6地址 nmcli connection up eth0 #重启网卡Ifconfig #查看网卡信息ping6 2003:ac18:305 #ping server1的IPV6地址ping6 2003:ac18:30a #ping server2的IPV6地址方法2：nm-connection-editor 图形配置实验nmcli con reload #重读配置文件nmcli con down eth0 #关闭网卡nmcli con up eth0 #启用网卡ping6 2003:ac18:305 #ping server1的IPV6地址ping6 2003:ac18:30a #ping server2的IPV6地址第七题：配置本地邮件服务在系统 system2 和system1 上配置邮件服务，要求：这些系统不接受外部发送来的邮件在这些系统上本地发送的任何邮件都会自动路由到从这些系统上发送的邮件显示来自于您可以通过发送邮件到本地用户 dave 来测试您的配置,系统 已经配置把此用户的邮件转到URL /pub/received_mail/81）安装yum install postfix -y cneots6 centos7默认安装 rpm -q postfixsystemctl enable postfix cneots6 centos7默认自启 systemctl is-enabled postfix.service2） 修改配置vim /etc/postfix/main.cf #可以编辑配置文件修改，也可以使用命令修改postconf -e inet_interfaces = loopback-only #监听本地回环接口默认值，可不加postconf -e myorigin = #设置本地邮件显示来源域postconf -e relayhost = #指定中继邮件服务器postconf -e mydestination = #不接受任何邮件postconf -e local_transport = error: local delivery disabled #默认值，可不加postconf -e mynetworks = /8, :1/128 #本地网络3）修改配置就重启systemctl restart postfixpostconf #可查看设置 4）配置完成，使用mail命令发送一封邮件测试mail -s fuxk erwerwr.EOTcurl /pub/received_mail/8多试几次，可以看到邮件第八题：通过 SMB 共享目录在 system1 上配置SMB服务 ，要求：您的 SMB 服务器必须是 STAFF 工作组的一个成员共享 /common 目录，共享名必须为 common只有 域内的客户端可以访问common共享common 必须是可以浏览的用户 andy 必须能够读取共享中的内容，如果需要的话，验证密码是redhat1）安装包和准备共享目录yum -y install samba samba-client #立即启动服务systemctl start smb nmbsystemctl status smb nmb #设置开机自动启动服务systemctl enable smb nmbsystemctl is-enabled smb nmb2）设置防火墙策略 firewall-cmd -permanent -add-service=samba #允许samba服务通过防火墙firewall-cmd -reload #刷新权限Firewall-cmd -list-all #查看防火墙策略3)创建共享文件夹mkdir /common 4）设置目录权限（1）#设置ACL权限允许andy对/common目录进行读写执行权限setfacl m u:andy:rwx /common 5）设置目录的SElinux标签chcon -t samba_share_t /common 6)创建samba用户#创建andy系统用户useradd -s /sbin/nologin andy#创建samba用户smbpasswd -a andy #输入密码redhat#再次输入密码redhat6)设置samba服务配置文件 #centos6里面有很多注释 vim /etc/samba/smb.conf #centos7里面全部都是干货 workgroup = STAFF #按照题目要求修改工作组 不可省略common #共享名 不可省略path = /common #共享文件路径 不可省略comment = redhat #描述信息（可改可不改）hosts allow= 172.24.8. #允许访问的主机 不可省略write list = andy #写入权限的列表 不可省略browseable = yes #是否允许浏览 不可省略#重启服务systemctl restart smb7）测试smbclient -L 1 查看到共享 成功！touch /root/a,b touch /common/c,dsmbclient /1/common -Uandy%redhat 成功！smb: get c 成功smb: put a 成功smb: exit第九题：配置多用户SMB挂载在 system1 通过 SMB 共享目录 /devops ,并满足下列要求：共享名为 devops共享目录 devops 只能 域中的客户端使用共享目录 devops 必须可以被浏览用户 silene 必须能以读的方式访问此共享，访问密码是redhat用户 akira 必须能以读写的方式访问此共享，访问密码是redhat此共享永久挂载在 上的 /mnt/dev 目录，并使用用户 silene 作为认证任何用户，可以通过用户 akira 来临时获取写的权限1）创建共享文件夹mkdir /devops 2)设置目录的SElinux标签chcon -t samba_share_t /devops3) 设置目录权限设置ACL权限 setfacl -m u:silene:rx /devopssetfacl -m u:akira:rwx /devops4)创建samba用户#创建silene用户smbpasswd -a silene #输入密码redhat#再次输入密码redhat#创建akira用户smbpasswd -a akira #输入密码redhat#再次输入密码redhat5)设置samba服务配置文件 #centos6里面有很多注释 vim /etc/samba/smb.conf #centos7里面全部都是干货workgroup = STAFF #按照题目要求修改工作组 不可省略devops #共享名 不可省略path = /devops #共享文件路径 不可省略comment = redhat #描述信息（可改可不改）hosts allow= 172.24.8. #允许访问的主机 不可省略write list = akira #写入权限的列表 不可省略browseable = yes #是否允许浏览5) 重启服务systemctl restart smb7）测试smbclient -L 1 查看到共享 touch /root/a,b touch /common/c,dsmbclient /1/devops -Uakira%redhat smb: get c 成功smb: put a 成功smb: exitsmbclient /1/devops -Usilene%redhat smb: get d 成功smb: put b 失败smb: exit #接下来在system2上面进行操作！1） 安装包和准备挂载点#安装软件yum -y install cifs-utils yum -y install samba-client #必须安装否则显示没有smbclient命令,无法访问共享文件。#创建挂载点mkdir /mnt/dev2） 实现多用户挂载#将silene用户写入文件里面（避免在fstab里面写入明文密码）echo username=silene /root/smb-multiuser.txt#将brian用户密码写入文件里面（避免在fstab里面写入明文密码）echo password=redhat /root/smb-multiuser.txt#把挂载信息写入文件，以后开机自动挂载vim /etc/fstab/1/devops /mnt/dev cifs credentials=/root/smb-multiuser.txt,multiuser,sec=ntlmssp 0 0或者/1/devops /mnt/dev cifs defaults,multiuser,username=silene,password=redhat,sec=ntlmssp 0 0#重新加载挂载信息mount -a3）切换用户su - akira#授权cifscreds add 1#输入密码redhatecho Multiuser /mnt/dev/akira.txt 成功写入第十题：配置NFS服务在 system1 配置NFS服务，要求如下：以只读的方式共享目录 /public ，同时只能被 域中的系统访问以读写的方式共享目录 /protected ，同时只能被 域中的系统访问访问 /protected 需要通过Kerberos安全加密，您可以使用下面URL提供的密钥 /pub/keytabs/system1.keytab目录 /protected 应该包含名为 project 拥有人为 andres 的子目录用户 andres 能以读写方式访问 /protected/project yum install nfs-utils #安装软件包 实验环境中这项忽略！（已安装）systemctl start nfs-server #立即启用该服务systemctl enable nfs-server #开机启用该服务firewall-cmd -permanent -add-service=nfs #设置防火墙允许该服务firewall-cmd -permanent -add-service=rpc-bind #设置防火墙允许该服务firewall-cmd -permanent -add-service=mountd #设置防火墙允许该服务firewall-cmd reload #重读防火墙配置firewall-cmd -list-all #查看防火墙策略列表mkdir /public #创建共享文件夹mkdir /protected/project pv #创建共享文件夹chown andres /protected/project #设置该目录所有人chmod 770 /protected/project #修改该目录权限chcon -t public_content_t /public/ #设置目录的SElinux标签 这个标签为什么是chcon -t public_content_t /protected/ #设置目录的SElinux标签chcon -t public_content_t /protected/project/ #设置目录的SElinux标签wget -O /etc/krb5.keytab /pub/keytabs/system1.keytab#下载密钥文件并且重命名vim /etc/exports #修改配置文件/public *.(ro) #设置/public只读权限/protected *.(rw,sec=krb5p,sync) #设置/protected 读写权限vim /etc/sysconfig/nfs #修改配置文件# Optional arguments passed to rpc.nfsd. See rpc.nfsd(8)RPCNFSDARGS=-V 4.2#设置nfs的工作模式是4.2版本systemctl restart nfs-server nfs-secure-server #重启该服务systemctl enable nfs-server nfs-secure-server #开机启用该服务exportfs -r #生效exportfs #查看第十一题：在 system2 上挂载一个来自 的NFS共享,并符合下列要求：/public 挂载在下面的目录上 /mnt/nfsmount/protected挂载在下面的目录上 /mnt/nfssecure 并使用安全的方式，密钥下载URL如下：/pub/keytabs/system2.keytab用户 andres 能够在 /mnt/nfssecure/project 上创建文件这些文件系统在系统启动时自动挂载 如果无法解析主机名可能是nmb服务未开启！SYSTEM2：mkdir /mnt/nfsmount /mnt/nfssecure #创建挂载点wget -O /etc/krb5.keytab /pub/keytabs/system2.keytab#下载密钥并且重命名vim /etc/fstab #编辑配置文件1:/public /mnt/nfsmount nfs defaults 0 0 #填写挂载信息1:/protected /mnt/nfssecure nfs defaults,sec=krb5p,v4.2 0 0 systemctl start nfs-secure #立即启用该服务systemctl enable nfs-secure #开机启用该服务mount a #重读挂载信息验证：su andres #切换到该用户kinit #获取令牌klist #查看令牌cd /mnt/nfssecure/project #进入目录touch hello #创建一个文件第十二题：实现一个 web 服务器在 system1 上配置一个站点 /，然后执行下述步骤：从 /pub/system1.html 下载文件，并且将文件重名为 index.html 不要修改此文件的内容将文件 index.html 拷贝到您的 web 服务器的 DocumentRoot 目录下来自于 域的客户端可以访问此web服务来自于域的客户端拒绝访问此web服务1）安装包和防火墙配置yum install httpd #安装软件包systemctl enable httpd #开机启用该服务systemctl start httpd #立即启用该服务2）防火墙配置firewall-cmd -permanent -add-service=http #设置防火墙允许该服务firewall-cmd -reload #设置防火墙重读配置文件firewall-cmd -list-all #查看防火墙策略列表3） 配置httpd服务 #拷贝模版文件 cp /usr/share/doc/httpd-2.4.6/httpd-vhosts.conf /etc/httpd/conf.d/vhosts.confvim /etc/httpd/conf.d/vhosts.conf #编辑配置文件 #编辑端口 ServerName #编辑站点名 DocumentRoot /var/www/html Require all granted Require not host . #编辑拒绝的域名 wget -O /var/www/html/index.html /pub/system1.htmlsystemctl restart httpd #重启该服务SYSTEM2： #在system2主机上面操作curl #访问服务器Site: #得到提示信息#查看目录的selinux值ll -L -d /var/www/htmldrwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/第十三题：配置安全web服务为站点 配置TLS加密：一个已签名证书从 /pub/tls/certs/system1.crt 获取此证书的密钥从 /pub/tls/private/system1.key 获取此证书的签名授权信息从 /pub/tls/certs/ssl-ca.crt 获取 1）安装包yum -y install httpd mod_ssl 2）防火墙配置firewall-cmd -permanent -add-service=httpsfirewall-cmd -reload4） 下载相关证书文件wget -O /etc/pki/tls/certs/system1.crt /pub/tls/certs/system1.crtwget -O /etc/pki/tls/private/system1.key /pub/tls/private/system1.key wget -O /etc/pki/tls/certs/ssl-ca.crt /pub/tls/certs/ssl-ca.crt 5） 配置https服务cat /etc/httpd/conf.d/ssl.conf|grep -v #.* #模版文件复制这几行作为模板修改vim /etc/httpd/conf.d/vhosts.conf DocumentRoot /var/www/html ServerName :443 Require all granted Require not host . SSLEngine on SSLProtocol all -SSLv2 SSLCertificateFile /etc/pki/tls/certs/system1.crt SSLCertificateKeyFile /etc/pki/tls/private/system1.keySSLCACertificateFile /etc/pki/tls/certs/ssl-ca.crtsystemctl restart httpd #重启该服务5）测试SYSTEM2：curl -k #访问该站点Site: #显示信息第十四题：配置虚拟主机在 system1 上扩展您的web服务器，为站点 创建一个虚拟主机，然后执行下述步骤：设置 DocumentRoot 为 /var/www/virtual 从 /pub/www8.html 下载文件重名为 index.html ,不要对文件 index.html 的内容做任何修改将文件 index.html 放到虚拟主机的 DocumentRoot 目录下确保 andy 用户能够在 /var/www/virtual 目录下创建文件注意：原站点 必须仍然能够访问，名称服务器 已经提供对主机名 的域名解析1）安装包和配置防火墙yum install httpd #安装软件包systemctl enable httpd #开机启用该服务firewall-cmd -permanent -add-service=http #设置防火墙允许该服务firewall-cmd -reload #重读防火墙策略2）准备虚拟网站的目录和网页文件mkdir -p /var/www/virtual #创建虚拟机文件夹wget -O /var/www/virtual/index.html /pub/www8.html3）设置SELinuxchcon -t httpd_sys_content_t /var/www/virtual #编辑SELinux标签或者semanage fcontext -a -t httpd_sys_content_t /var/www/virtual(/.*)?restorecon -R /var/www/virtual4）实现用户的权限控制id andy #如果用户不存在就自己建立setfacl -m u:andy:rwx /var/www/virtual/ #编辑文件夹ACL权限5）配置虚拟服务器vim /etc/httpd/conf.d/vhosts.conf ServerName #编辑站点名 DocumentRoot /var/www/virtual #编辑根目录 Require all granted systemctl restart httpd6）测试SYSTEM2：curl #访问站点Site: #显示信息第十五题：配置 web 内容的访问在您的 system1 上的 web 服务器的 DocumentRoot 目录下，创建一个名为 private 的目录，要求如下：从 /pub/private.html 下载一个文件副本到这个目录，并且重命名为 index.html不要对这个文件的内容做任何修改从 system1 上，任何人都可以浏览 private 的内容，但是从其它系统不能访问这个目录的内容。备注：此题目是接着上一题，所以这里的DocumentRoot指的就是上面的/var/www/virtual/ ！1）准备相关目录和文件mkdir -p /var/www/virtual/private #创建文件夹wget -O /var/www/virtual/private/index.html #下载并重命令文件/pub/private.html2）配置httpd服务 vim /etc/httpd/conf.d/vhosts.conf #编辑配置不需要全部新加，要在原来的基础上进行修改 ！只需添加红色字 #配给端口 ServerName #编辑站点名 DocumentRoot /var/www/virtual #编辑根目录地址 Require all granted Require all denied Require local #设置只允许本机访问 3）systemctl restart httpd #重启该服务4）测试SYSTEM1测试：curl /private/This a private file,only for local access!SYSTEM1测试：curl /private/403 ForbiddenForbiddenYou dont have permission to access /private/on this server.第十六题：实现动态WEB内容在 system1 上配置提供动态web内容，要求：动态内容由名为 的虚拟主机提供虚拟主机侦听在端口 8909从 /pub/webinfo.wsgi 下载一个脚本，然后放在适当的位置，无论如何不要求修改此文件的内容客户端访问 :8909/ 时，应该接收到动态生成的web页面此 :8909/ 必须能被 域内的所有系统访问1）安装包yum -y install httpd mod_wsgi #安装软件包 systemctl is-enabled httpd | systemctl enable httpd #设置该服务开机启用2）准备httpd相关目录和文件mkdir -p /var/www/wsgi.group8 #创建文件夹wget -O /var/www/wsgi.group8/w