RHCE7题库-EX300

1、RHCET题目解析EX300James整理版权所有YAOXINLIVE.CN说说我RHCE7.0勺考试经历我是9月份报的培训班，实际上老师是第一次教 RHCE7.0的课程，变化还是很大，以至 于老师在讲勺时候有些地方也不是很了解。大约在10月底中旬课程就结束了， 接下来就看自己的了。 RHCE7.0下午的题量比较大， 有 22道题， 如果在考试的时候做得不顺利， 就需要花时间去排错， 4 个小时也是很紧张的。 所以平常自己的练习是非常重要的。现在说说如何练习吧。首先， 模拟考试的环境，下午的题目是两台虚拟机， 还要用到域环境， 所以我建立了两 台虚拟机（systeml和system2），因为我

2、对 OPENLDAP不太熟悉，所以我使用微软的AD来模拟考试的域环境（ ），把下午题目中需要用到的主机 A 记录都加进 去（比如 system1 、system2、www 、alt 等）。还有就是将下午的题目中所有涉及到的本地账 号都先在对应的系统中创建完毕。第二点很重要，使用虚拟机（我用的是微软的 HYPER-V虚拟化环境）的快照功能对安装 好的虚拟机做一次快照，这样，下次再重新开始练习的时候就不用重新安装虚拟机了。第三、 就是多练习了，一定要多练习，要对命令和参数都了然于心。我前后练习了不下10 次，刚开始每次要大约 4 小时， 到最后顺利的话， 2 小时左右就可以做完上下午所有的配 置。

3、11 月 24 号考试，我在周六（ 11 月 22 日）的时候完整的练习了一遍上下午的考试，周 日休息，然后周一请假去考试。上午的考试自己太轻视了，50 分钟就做完了题目，也没检查，也没重启机器，低分通过。下午的题目终于见识到 RHCE7的难度，做的过程中，WEB的 题目浪费了我很多时间， 最后不得不放弃排错， 先继续完成后面的题目， 当做完后面的题目 后，发现时间只有 50分钟了，而我所有的 WEB题目都没做，赶紧重新做 WEB的题目。好 在这次很顺利，一次搞定。最后还剩 10 分钟左右的时间，大致检查了一下。结果也不出意 外，顺利通过。据了解，本次RHCE升级后，各培训机构的通过率都很低，

4、我参加的培训机构通过率为 25%，其他省份的通过率均很低，相信随着大家经验帖的分享，通过率会逐步提高。下面的 题目是我在备考过程中手动敲出来的，可能有少量的命令拼写有误，或者省略了一些步骤， 大家在看的时候要仔细判断，不能全部 copy 题目中的命令。当然，绝大部分应该是没有问 题的。LDAP的外总结：就是要多练习，使用我上述的练习环境，可能有几题无法练习（配置 部认证，AUTOFS挂载、NFS的加密挂载、和 WEB的SSL配置），这些是因为没有证书，没有相关的环境。但是只要弄清楚原理和配置方法也是没有问题的。最后预祝大家顺利通过。Write by： James 2014/11/27版权所有

5、JamesRHCE考试配置须知您在考试中将使用两个系统的信息如下：: 是一个主要的服务器。: 主要用作客户端两个系统的 root 密码为 atenorth系统的IP地址由DHCP提供，您可以视其正常，或者您可以按以下信息重新设置为静态IP: : 0子网掩码为 您的系统是 DNS域 的成员。所有在 DNS域 中的系统都在子网 / 中，同样在这个子网中的系统都在 DNS域中，除非特别指明，所有要求配置的网络服务都必须能被group3域中的系统访问。 提供了集中认证的服务域 GROUP3.

6、EXAMPLE.COM,两个系统 systeml和system2已经预先配置成此域的客户端，此域提供了下列用户账号：krish na （密码： ate north）sergio （密码：ate north）kaito （密码：ate north）防火墙默认是打开的，在您认为适当的时候可以关闭，其他关于防火墙的设置可能在 单独的要求中 .在评分之前您的系统会被重新启动，所以请您确保您所做的所有修改和服务配置在重新启动之后仍然能够生效，而无需人工干预，所有考试用的虚拟机实例必须能重启之后进 入正确的多用户级别，而无需人工协助，如果考试用的虚拟机系统不能启动或不能正常启 动，将被评零分。您在考试中使

7、用的 Red Hat Enterprise Linux操作系统版本对应的分布包可以通过YUM在下面的链接中找到： 一部分要求包含了主机安全，确保您的对主机安全的限制没有阻挡要求允许的主机或网络，虽然您正确配置了网络服务但本来允许访问的主机或网络被阻挡，这样也不会得分您将会注意到一些要求明确不允许服务被域 访问，这个域中的系统在/ 子网中，并且这些子网中系统属于域 .注意一些考试题目可能依赖于其他考试题目，比如说，在考试题目中可能要求您针对哪些还一个用户执行一系列的限制，但是这个用户的创建可能是在其他题目中要

8、求的。为了方便您的标识。每个考试题目都有一些单选按钮以协助您去标识哪个题目您已经完成，没有，当然，如果您觉得用不着，您也可以不去理会这些按钮，除#版权所有 James1、配置 SELinuxSElinux 必须在两个系统中运行 Enfocing 模式vim /etc/selinux/config设置 SELINUX=enforcingsetenforce 1 / 立即生效2、配置SSH访问按以下要求配置SSF访问A用户能够从域内的客户端通过SSH远程访问您的两个虚拟机系统B 在域 内的客户端不能访问您的两个虚拟机系统在 system1 上做 vim /etc/hosts.

9、allow添加sshd : 172.25.3. /注意sshd后面的冒号需要前后有空格vim /etc/hosts.deny添加 ssdh : 172.25.1.在 system2 上重复上面的操作 3、自定义用户环境在系统system1和system2上创建自定义命名为qstat此自定义命令将执行以下命令：A /bin/ps -o pid,tt,user,fname,rszB 此命令对系统中所有用户有效。需要分别在两台 system 上做vim /etc/profile在最后一行添加alias qstat=' /bin/ps Ao -d,tt,user,fname,rsz'保

10、存退出后执行如下命令. /etc/profileqstat / 查看结果4、端口转发在系统 ststeml 配置端口转发，要求如下 :A 在/24 网络中的系统，访问 system1 的本地端口 5423将被转发到 80B 此设置必须永久有效使用图形化界面做，运行 firewall-config 添加本地转发，添加端口5、配置聚合链路在 和 之间按以下要求配置一个链 路：A 此链路使用接口 eth1 和 eth2B 此链路在一个接口失败时仍然能工作C 此链路在 system1 使用下面的地址 0/D 此链路在 system2 使

11、用下面的地址 5/E 此链路在系统重启之后依然保持正常状态在 system1 上做 configconfignmcli con add type team con-name team1 ifname team1 “ runner: “name”: ” activebackup ”'nmcli con mod team1 ipv4.addresses16.3.201/7224. 'nmcli con mod team1 ipv4.method manualnmcli con add type team-slave con-name t

12、eam1-port1 ifname eth1 master team1nmcli con add type team-slave con-name team1-port2 ifname eth1 master team1 nmcli con down team1nmcli con up team1teamdctl team1 statenmcli dev dis eth1在 system2 上做nmcli con add type team con-name team1 ifname team1 “ runner: “name”: ” activebackup ”'nmcli con

13、mod team1 ipv4.addresses 5/24 'nmcli con mod team1 ipv4.method manualnmcli con add type team-slave con-name team1-port1 ifname eth1 master team1nmcli con add type team-slave con-name team1-port2 ifname eth1 master team1 nmcli con down team1nmcli con up team1teamdctl team1 statenmcli de

14、v dis eth16、配置 ipv6 地址在您的考试系统上配置接口 A system1 上的地址应该是 B system2 上的地址应该是 C 两个系统必须能与网络eth0 使用下列 Ipv6 地址：2003:ac18:305/642003:ac18:30a/642003:ac18/64 内的系统通信D地址必须在重启后依旧生效E两个系统必须保持当前的Ipv4地址并能通信。在systeml上做nmcli con add con-n ame ethl type etnern et ifname eth0nmcli con mod ethl ipv6.address 2003:acl8:305/6

15、4 'nmcli con mod eth1 ipv6.method manualnmcli con dow n eth1nmcli con up eth1ping6 2003:ac18:30a在system2上做nmcli con add con-n ame eth1 type etnern et ifname ethOnmcli con mod eth1 ipv6.address 2003:ac18:30a/64nmcli con mod eth1 ipv6.method manualnmcli con dow n eth1nmcli con up eth1ping6 2003:ac

16、18:3057、配置本地邮件服务在系统system1和system2上配置邮件服务，满足以下要求：A这些系统不接收外部发送来的邮件B在这些系统上本地发送的任何邮件都会自动路由到C在这些系统上发送的邮件显示来自于您可以通过发送邮件到本地用户arthur '来测试您的配置，系统已经配置把此用户的邮件转到下列URL /received_mail/3在system1上做查看监听的端口netstat -ntulp | grep :25/查看哪些接口监听了 25端口查看配置参数postconf | grep local_transport/如果记不住可用这个命令来查询配置文件是：/etc/post

17、fix/mai n.cfpostconf -e "inet_interfaces=loopback-only ”实际上是用默认的inet_interfaces 就可以了postconf -e “ local_transport=error: local delivery disabled”postconf -e “ relayhost=”postconf -e “ myorigin=”systemctl restart postfixsystemctl en able postfixfirewall-cmd -perma nent -add-services=smtpfirewall

18、-cmd -roadmail - smail -u arthur “ teestthur查看邮件是否接收到。登录 /received_mail/3在 system2 上做postconf -e "inet_interfaces=loopbackonly "II 实际上是用默认的inet_interfaces 就可以了postconf -e “ local_transport=error: local delivery disabled”postc onf- e “ relayhost=”postconf -e “ myorigin=”systemctl restart po

19、stfixsystemctl en able postfixfirewall-cmd -perma nent -add-services=smtpfirewall-cmd -oadmail -j arthurmail - s “ teestthur登录 /received_mail/3查看邮件是否接收到。&通过SMB共享目录在systeml上配置SMB服务您的SMB服务器必须是STAF工作组的一个成员共享/common目录共享名必须为 com mon只有 doma in4 域内的客户端可以访问 com mon共享Common必须是可以浏览的用户andy必须能够读取共享中的内容，如果需要

20、的话，验证的密码是redhat在systeml上做yum in stall samba samba-clie ntmkdir /com monchc on -R -t samba_share_t /com monvim /etc/samba/smb.c onf修改global下面的workgroup = STAFF在share下添加com monpath = /com monhosts all = 172.24.3.browseable = yes:wqsmbasswd -a andysystemctl start smb nmbsystemctl en able smb nmbfirewal

21、l-cmd -perment -add-service=sambafirewall-cmd -perment -add-service=mountdfirewall-cmd -eload在system2上测试yum -y in stall samba-clie nt cifs-utilssmbclient -_ /common -U andy / 查看是否共享成功smbclient //common-U andy / 登录测试9、配置多用户 SMB 挂载在system1共享通过SMB目录/devops满足以下要求A 共享名为 devopsB共享目录dev

22、ops只能被域中的客户端使用C共享目录devops必须可以被浏览D用户kenji必须能以读的方式访问此共享，访问密码是ate northE用户chihiro必须能以读写的方式访问此共享，访问密码是ate north此共享永久挂载在 上的 /mnt/dev 目录，并使用用户 认证任何用户可以通过用户 chihiro 来临时获取写的权限在 system1 上做 mkdir /devopschcon -t samba_share_t /devopsvim /etc/samba/smb.conf在 share 下添加devopspath = /devopshosts all = 172.24.3.br

23、owseable = yeswritable = nowrite list = chihiro:wqchmod o+w /devopssmbpwsswd -a kenjismbpasswd -a chihirosystemctl restart smb nmb在 system2 上做 yum -y install cifs-*mkdir /mnt/devsmbclient -_ // -U kenji /测试下vim /etc/fstab/system1/devops/mnt/devdefaults,multiuser,username=kenji,password=ate

24、north,sec=ntlmssp 0 0 su -chihirocifscreds add system1su -kenjikenji 作为cifscifscreds add system1 -u chihiro10、配置NFS服务在 system1 配置 NFS 服务，要求如下：A 以只读的方式共享目录 /public 同时只能被 域中的系统访问B 以读写的方式共享目录 /protected 能被 域中的系统访问C 访问 /protected 需要通过 kerberos 安全加密，您可以使用下面的URL 提供的密钥D 目录 /protected 应该包含名为 project 拥有人为 kr

25、ishna 的子目录E 用户 krishna 能以读写方式访问 /protected/project在 system1 上做 mkdir /publicmkdir -p /protected/projectchc on - public_c ontent_t /protected/projectwget -O /etc/krb5.keytab vim /etc/sysconfig/nfs设置 RPCNFSDARGS”=-V 4.2 ”vim /etc/exports/public /(ro,sync)/protected /25

26、(sec=krb5p,rw):wqchown krishna /protected/projectsystemctl start nfs-server nfs-secure-serversystemctl enable nfs-server nfs-secure-serverfirewall-cmd -perment -add-service=nfsfirewall-cmd -perment -add-service=rpc-bindfirewall-cmd -reloadexportfs -rshowmount -e 11、挂载一个 NFS共享在sys

27、tem2上挂载一个来自的NF洪享，并符合下列要求：A /public 挂载在下面的目录上 /mnt/nfsmountB /protected挂载在下面的目录上 /mnt/nfssecure并使用安全的方式。密钥下载URL如下:C krishna能够在 /mnt/nfssecure/project 上创建文件D 这些文件系统在系统启动时自动挂载在 system2 上做showmount -e system1systemctl start nfs-secure-serversystemctl enable nfs-secure-serverwget -O /etc/krb5.keytab mkdi

28、r /mnt/nfsmountmkdir /mnt/nfssecurevim /etc/fstabcat /var/lib/nfs/etabsystem1:/public /mnt/nfsmount nfs defaults 0 0system1:/protected /mnt/nfssecure nfs defaults,sec=krb5p,v4.2 0 0:wqmount -a12、配置 web 站点System1上配置一个站点http:/system1. 然后执行下述步骤：从 http:/rhgls. n.html下载文件，并且将文件重命名index,html 不要修改此文件的内容将文件

29、index.html拷贝到您的web服务器的documentroot目录下来自于域的客户端可以访问此 Web服务来自于 域的客户端拒绝访问此 Web 服务在 system1 上做 yum grouplist web* / 查询是否安装yum -y groupinstall web*systemctl start httpdsystemctl enable httpdvim /etc/httpd/conf/httpd.conf找到 ServerName 这行，取消注释，修改为 wget -O /var/www/html/index.html http:/rhgls. fir

30、ewall-cmd -permanent -add-rich-rule='rule family=ipv4 source address=/24 service name="http" log level=notice reject'firewall-cmd -permanent -add-rich-rule='rule family=ipv4 source address=/24 service name="http" log level=notice accept'firewal

31、l-cmd -perment -add-service=httpfirewall-cme -reload在 system2 上打开 firefox 查看 13、配置安全 web 服务为 站 点 配 置 TLS 加 密 一 个 已 签 名 证 书 从 获 取 ， 此 证 书 的 密 钥 从 获取， 此证书的签名授权信息从 获取在 system1 上做yum in stall mod_sslcp /usr/share/doc/httpd-2.4.6/httpd-vhosts.c onf /etc/httpd/c on f.d/vhosts.c onfcd /var/www/html/wget wg

32、et wget chmod 0600 system1.keyvim / etc/httpd/c on f.d/vhosts.c onf<VirtualHost *:443>SSLE ngi ne onSSLProtocol all -SSLv2£SLv3SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5SSLHo norCipherOrder onSSLCertificateFile /var/www/html/system.crtSSLCertificateKeyFile /var/www/html/system.keySSLCACertifi

33、cateFile /var/www/html/group3.crtDocume ntRoot /var/www/htmlServerName </VirtualHost>firewall-cmd -perment -add-service=http -add-service=httpsfirewall-cmd -reload在 system2 上打开 firefox 查看结果14、配置虚拟主机在system1上扩展您的 web服务器，为站点 创建一个虚拟主 机，然后执行下述步骤：A 设置 DocumentRoot 为/var/www/virtualB 从 下载文件并重命名为 in

34、dex.html不要对文件index.html的内容做任何修改C将文件index.html放到虚拟主机的 DocumentRoot目录下D确保floyd用户能够在/var/www/virtual目录下创建文件注意：原始站点 必须仍然能够访问，名称服务器 提供对主机名 的域名解析在system1上做mkdir /var/www/virtualsetfacl -m u:Floyd:rwx /var/www/virtualvim / etc/httpd/c on f.d/vhosts.c onf<VirtualHost *:80>Docume ntRoot /var/www/virtua

35、lServerName </VirtualHost>题目中说了 必须能访问， 所以， 我们必须得将 12 题 配置一个虚拟主机<VirtualHost *:80>DocumentRoot /var/www/htmlServerName </VirtualHost><Directory "/var/www/virutal">AllowOverride NoneRequire all granted</Directory>systemctl restart httpd在 system2 上打开 firefox 查看结果

36、15、配置 web 内容的访问在您的systeml上的web服务器的DocumentRoot目录下创建一个名为 private的目录，要求如 下A 从下载一个文件副本到这个目录，并且重命名为 index.htmlB 不要对这个文件的内容做任何修改C 在 system1 上，任何人都可以浏览 private 的内容，但是从其他系统不能访问这个目录的内 容在 system1 上做备注：因为之前我们做了两个vhost，题目不太确定说是在哪个站点下作，所以我们做两个。mkdir /var/www/html/privatemkdir /vat/www/virtual/privatevim /etc/ht

37、tpd/conf.d/vhost.conf<VirtualHost *:80>DocumentRoot /var/www/html/privateServerName </VirtualHost><VirtualHost *:80>DocumentRoot /var/www/virtual/privateServerName </VirtualHost>vim /etc/httpd/conf/http.conf<Directory "/var/www/virtual/private">AllowOverride N

38、oneRequire all deniedRequire local</Directory><Directory "/var/www/html/private">AllowOverride NoneRequire all deniedRequire local</Directory>分别在 system1 和 system2 上打开 firefox 测试。 效果为：在 system1 可以访问；在 system2 上不可以访问16、实现动态 WEB 内容在systeml上配置提供动态 Web内容，要求如下：A 动态内容名为 的虚拟主机提供

39、B 虚拟主机侦听在端口 8909C 从 下载一个脚本，然后放在适 当的位置，无论如何都不要求修改此文件的内容D 客户端访问 :8909/ 时应该接收到动态生成的 web 页面E 此 :8909/ 必须被 域内的所有系统访问在 system1 上做 yum in stall mod_wsgimkdir /var/www/altcd /var/www/altwget vim / etc/httpd/conf.d/vhosts.conflisten 8909<VirtualHost *:8909>ServerName WSGIScriptAlias / /var/www/alt/webi

40、nfo.wsgi</VirtualHost>semanage port -a -http_port_t -p tcp 8909 /这步非常重要，如果不加入，httpd是起不来的systemctl restart httpd还需要添加两个域的rich rule。根据端口来添加。可以根据图形界面做，此处我省略了 firewall-cmd -permanent -add-port=8909/tcpfirewall-cmd -reload在 system2 上打开 firefox 查看 17、创建一个脚本在system1上创建一个名为/root/foo.sh 的脚本，让其提供下列特征A 当

41、运行 /root/foo.sh redhat ， 输出为 fedoraB 当运行 /root/foo.sh fedora ，输出为 redhatC当没有任何参数或者参数不是redhat或者fedora时，其错误输出产生以下的信息：在 system1 上做/root/foo.sh redhat|fedora#!/bin/bashcase $1 inredhat)echo fedoraJ Jfedora)echo redhatJ J*)echo /root/foo.sh redhat|fedora 'J Jesacchmod +x /root/foo.sh18、创建一个添加用户的脚本在 s

42、ystem1 上创建一个脚本， 名为 /root/batchusers, 此脚本能实现为系统 system1 创建本地用 户，并且这些用户的用户名来自一个包含用户名列表的文件。同时满足下列要求：A 此脚本要求提供一个参数，此参数就是包含用户名列表的文件B 如果没有提供参数，此脚本应该给出下面的提示信息 Usage: /root/batchusers 然后退出并 返回相应的值C 如果提供一个不存在的文件名， 此脚本应该给出下面的提示信息 input file not found 然后 退出并返回相应的值D 创建的用户登录 shell 为 /bin/falseE 此脚本不需要为用户设置密码你 可

43、以 从 下 面 的 URL 获 取 用 户 名 列 表 作 为 测 试 用 在 system1 上做 cd /rootwget vim /root/batchusersif $# -eq 0 ;thenecho Usage: /root/batchusers 'exit 1fiif ! - $1;thenecho Input file not found 'exit 1fiwhile read linedouseradd -s /bi n/false $li nedone < $1chmod +x /root/batchusers19、配置iSCSI服务端配置 syste

44、ml提供一个 iSCSI 服务磁盘名为 iqn.2014-.example.group3:system1 并符合下 列要求A 服务端口为 3260B使用iscsistore作其后端卷其大小为3GC 从服务只能被 访问在 system1 上做 yum in stall targetclisystemctl enable targetsystemctl start target先分一个 3G 的盘出来，此处我省略了。targetcli/backstores/block create block1 /dev/vda3 / 此处的 vda3 是我在上面分出来的，实际上根据自 己分的盘来设置/iscsi create iqn.2014-.example.group3:system1 /iscsi/iqn.2014-.example.group3:system1/tpg1/acls/createiqn.2014-.example.group3:system2/iscsi/iqn.2014-.example.group3:system1/tpg1/luns create /backstores/block/block1 /is