Linux系统管理基础项目教程（CentOS Stream 9）（第2版）（微课版）-课后练习题及答案 项目7-16

项目七练习题参考答案1、选择题（1）在Linux中，创建新分区时通常使用的工具是（）。A．mkfs B．fdisk C．mount D．resize2fs参考答案：B（2）为确保分区在每次系统启动时自动挂载，需要编辑的文件是（）。A．/etc/fstab B．/etc/mtab C．/etc/hostname D．/etc/passwd参考答案：A（3）在Linux中，磁盘分区的类型标识符一般是（）。A．UUID B．LABEL C．文件系统类型 D．分区编号参考答案：A（4）在LVM中，物理卷是指（）。A．逻辑卷的镜像 B．物理磁盘或分区 C．文件系统的元数据 D．交换分区参考答案：B（5）如果需要扩展逻辑卷的大小，则应该使用的命令是（）。A．lvextend B．lvreduce C．lvremove D．lvcreate参考答案：A（6）在Linux操作系统中，逻辑卷管理的一个重要优势是（）。A．易于备份 B．支持动态调整 C．文件系统性能提升 D．数据加密支持参考答案：B2、实训题（1）对系统中第二块磁盘（设备名为/dev/sdb）进行分区操作。[root@localhost~]#fdisk/dev/sdb欢迎使用fdisk(util-linux2.37.4)。更改将停留在内存中，直到您决定将更改写入磁盘。使用写入命令前请三思。设备不包含可识别的分区表。创建了一个磁盘标识符为0x7aa8eeb7的新DOS磁盘标签。命令(输入m获取帮助)：（2）在磁盘/dev/sdb上完成以下操作：创建一个新的​​主分区​​，使用默认分区编号（1），指定分区大小为​​512MB​​，起始扇区使用默认值（2048）。命令(输入m获取帮助)：n分区类型p主分区(0primary,0extended,4free)e扩展分区(逻辑分区容器)选择(默认p)：p分区号(1-4,默认1):1第一个扇区(2048-41943039,默认2048):最后一个扇区，+/-sectors或+size{K,M,G,T,P}(2048-41943039,默认41943039):+512M创建了一个新分区1，类型为“Linux”，大小为512MiB。命令(输入m获取帮助)：（3）将新创建的分区类型更改为​​LinuxSwap​​（十六进制代码82）。设备启动起点末尾扇区大小Id类型/dev/sdb1204810506231048576512M83Linux命令(输入m获取帮助)：t已选择分区1Hex代码或别名（输入L列出所有代码）：LHex代码或别名（输入L列出所有代码）：82已将分区“Linux”的类型更改为“Linuxswap/Solaris”。（4）保存所有分区操作并退出fdisk工具。命令(输入m获取帮助)：w分区表已调整。将调用ioctl()来重新读分区表。正在同步磁盘。[root@localhost~]#（5）通知系统内核重新读取磁盘/dev/sdb的分区信息。[root@localhost~]#partprobe/dev/sdb（6）查看磁盘/dev/sdb的详细信息，确认新分区大小为​​512MB​​，类型为Linuxswap。[root@localhost~]#lsblk-f/dev/sdbNAMEFSTYPEFSVERLABELUUIDFSAVAILFSUSE%MOUNTPOINTSsdb└─sdb1[root@localhost~]#（7）为系统中的第二块磁盘（设备名为/dev/sdb）配置​​GPT分区方案​​，覆盖现有分区结构。[root@localhost~]#parted/dev/sdbmklabelgpt警告:现有/dev/sdb上的磁盘卷标将被销毁，而所有在这个磁盘上的数据将会丢失。您要继续吗？是/Yes/否/No?Yes信息:你可能需要/etc/fstab。[root@localhost~]#parted/dev/sdbprint|grep"PartitionTable"[root@localhost~]#（8）在/dev/sdb上完成以下操作：创建一个新分区，分区名称为swapspace，文件系统类型标记为linux-swap，分区起始位置为​​2048扇区​​，结束位置为​​512MB​​。[root@localhost~]#parted/dev/sdbmkpartswapspacelinux-swap2048s512MB信息:你可能需要/etc/fstab。[root@localhost~]#parted/dev/sdbprint型号：VMware,VMwareVirtualS(scsi)磁盘/dev/sdb：21.5GB扇区大小(逻辑/物理)：512B/512B分区表：gpt磁盘标志：编号起始点结束点大小文件系统名称标志11049kB512MB511MBswapspace交换[root@localhost~]#（9）以​​MiB​​为单位显示/dev/sdb的分区信息，并记录分区结束位置。[root@localhost~]#parted/dev/sdbunitMiBprint型号：VMware,VMwareVirtualS(scsi)磁盘/dev/sdb：20480MiB扇区大小(逻辑/物理)：512B/512B分区表：gpt磁盘标志：编号起始点结束点大小文件系统名称标志11.00MiB488MiB487MiBswapspace交换[root@localhost~]#（10）删除/dev/sdb上的第一个分区，确保操作后该分区不再存在。[root@localhost~]#parted/dev/sdbrm1信息:你可能需要/etc/fstab。[root@localhost~]#parted/dev/sdbprint型号：VMware,VMwareVirtualS(scsi)磁盘/dev/sdb：21.5GB扇区大小(逻辑/物理)：512B/512B分区表：gpt磁盘标志：编号起始点结束点大小文件系统名称标志[root@localhost~]#（11）在分区操作完成后，确保系统内核立即识别到/dev/sdb的分区表变更。[root@localhost~]#udevadmsettle（12）为/dev/sdb创建​​GPT分区表​​，新建一个名为data的分区，类型标记为xfs，起始位置​​1MiB​​，结束位置​​10GiB​​，以​​扇区（s）​​为单位查看分区详细信息。[root@localhost~]#parted/dev/sdbmklabelgpt警告:现有/dev/sdb上的磁盘卷标将被销毁，而所有在这个磁盘上的数据将会丢失。您要继续吗？是/Yes/否/No?Yes信息:你可能需要/etc/fstab。[root@localhost~]#parted/dev/sdbmkpartdataxfs1MiB10GiB信息:你可能需要/etc/fstab。[root@localhost~]#parted/dev/sdbunitsprint型号：VMware,VMwareVirtualS(scsi)磁盘/dev/sdb：41943040s扇区大小(逻辑/物理)：512B/512B分区表：gpt磁盘标志：编号起始点结束点大小文件系统名称标志12048s20971519s20969472sdata[root@localhost~]#（13）在磁盘/dev/sdb的第一个分区上创建​​XFS文件系统​​。[root@localhost~]#mkfs.xfs/dev/sdb1meta-data=/dev/sdb1isize=512agcount=4,agsize=655296blks=sectsz=512attr=2,projid32bit=1=crc=1finobt=1,sparse=1,rmapbt=0=reflink=1bigtime=1inobtcount=1nrext64=0data=bsize=4096blocks=2621184,imaxpct=25=sunit=0swidth=0blksnaming=version2bsize=4096ascii-ci=0,ftype=1log=internallogbsize=4096blocks=16384,version=2=sectsz=512sunit=0blks,lazy-count=1realtime=noneextsz=4096blocks=0,rtextents=0[root@localhost~]#blkid/dev/sdb1/dev/sdb1:UUID="48c7a9c4-adf0-43bf-9930-e770b6dc0437"TYPE="xfs"PARTLABEL="data"PARTUUID="2f30621c-6004-4a5b-ab60-b76642760739"[root@localhost~]#（14）将/dev/sdb1分区临时挂载到系统的/mnt目录，并验证挂载状态。[root@localhost~]#mount/dev/sdb1/mnt[root@localhost~]#mount|grep/mnt/dev/sdb1on/mnttypexfs(rw,relatime,seclabel,attr2,inode64,logbufs=8,logbsize=32k,noquota)[root@localhost~]#[root@localhost~]#（15）将/dev/sdb1分区配置为系统启动时​​自动挂载到/data​​，使用​​UUID​​标识设备。[root@localhost~]#blkid/dev/sdb1[root@localhost~]#echo"UUID=48c7a9c4-adf0-43bf-9930-e770b6dc0437/dataxfsdefaults00">>/etc/fstab[root@localhost~]#systemctldaemon-reload[root@localhost~]#mount-a（16）卸载/mnt目录下的文件系统，重启系统后检查/data是否自动挂载。[root@localhost~]#umount/mnt[root@localhost~]#reboot[root@localhost~]#mount|grep/data/dev/sdb1on/datatypexfs(rw,relatime,seclabel,attr2,inode64,logbufs=8,logbsize=32k,noquota)（17）在/dev/sdb上创建一个​​512MB的交换分区​​（假设已分区为/dev/sdb2），格式化交换分区并启用，配置系统启动时自动启用该交换空间。[root@localhost~]#mkswap/dev/sdb2正在设置交换空间版本1，大小=10GiB(10737393664个字节)无标签，UUID=b5f8336f-ea6f-4825-929f-5cda8181fafe[root@localhost~]#swapon/dev/sdb2[root@localhost~]#echo"/dev/sdb2swapswapdefaults00">>/etc/fstab[root@localhost~]#swapon--showNAMETYPESIZEUSEDPRIO/dev/dm-1partition3.9G0B-2/dev/sdb2partition10G0B-3[root@localhost~]#（18）清空/dev/sda磁盘上的所有分区，使其成为未分配状态的空白磁盘。[root@node1~]#parted/dev/sdarm1Error:/dev/sda:unrecogniseddisklabel[root@node1~]#parted/dev/sdaprintError:/dev/sda:unrecogniseddisklabelModel:VMware,VMwareVirtualS(scsi)Disk/dev/sda:21.5GBSectorsize(logical/physical):512B/512BPartitionTable:unknownDiskFlags:[root@node1~]#（19）将/dev/sda初始化为​​LVM物理卷​​。[root@node1~]#pvcreate/dev/sdaPhysicalvolume"/dev/sda"successfullycreated.[root@node1~]#pvdisplay/dev/sdaDevicesfilesys_wwideui.356a6fff2ce21bb9000c296841b4e666PVIDTYk6rflEzWzWiEhfqGmXMONvX2e72Zzulastseenon/dev/nvme0n1p3notfound."/dev/sda"isanewphysicalvolumeof"20.00GiB"NEWPhysicalvolumePVName/dev/sdaVGNamePVSize20.00GiBAllocatableNOPESize0TotalPE0FreePE0AllocatedPE0PVUUIDYjVHCQ-IW5H-aCdD-58uV-ki7o-oSB6-Mrafy3[root@node1~]#（20）将/dev/sda加入名为vg_storage的卷组。[root@node1~]#vgcreatevg_storage/dev/sdaVolumegroup"vg_storage"successfullycreated[root@node1~]#vgdisplayvg_storageDevicesfilesys_wwideui.356a6fff2ce21bb9000c296841b4e666PVIDTYk6rflEzWzWiEhfqGmXMONvX2e72Zzulastseenon/dev/nvme0n1p3notfound.VolumegroupVGNamevg_storageSystemIDFormatlvm2MetadataAreas1MetadataSequenceNo1VGAccessread/writeVGStatusresizableMAXLV0CurLV0OpenLV0MaxPV0CurPV1ActPV1VGSize<20.00GiBPESize4.00MiBTotalPE5119AllocPE/Size0/0FreePE/Size5119/<20.00GiBVGUUIDQLK9xT-6cfd-Mzld-BMIu-KZ2c-5PGq-5pxuwv[root@node1~]#（21）在vg_storage中创建名为lv_data的逻辑卷，分配​​10GiB​​空间。[root@node1~]#lvcreate-nlv_data-L10Gvg_storageLogicalvolume"lv_data"created.[root@node1~]#lvdisplay/dev/vg_storage/lv_dataDevicesfilesys_wwideui.356a6fff2ce21bb9000c296841b4e666PVIDTYk6rflEzWzWiEhfqGmXMONvX2e72Zzulastseenon/dev/nvme0n1p3notfound.LogicalvolumeLVPath/dev/vg_storage/lv_dataLVNamelv_dataVGNamevg_storageLVUUIDuva9eU-S163-qx0P-OW2v-EFQ3-pQto-PZ8EZxLVWriteAccessread/writeLVCreationhost,timenode1,2025-05-1407:20:03-0400LVStatusavailable#open0LVSize10.00GiBCurrentLE2560Segments1AllocationinheritReadaheadsectorsauto-currentlysetto256Blockdevice253:2[root@node1~]#（22）将lv_data格式化为​​XFS文件系统​​。[root@node1~]#mkfs.xfs/dev/vg_storage/lv_datameta-data=/dev/vg_storage/lv_dataisize=512agcount=4,agsize=655360blks=sectsz=512attr=2,projid32bit=1=crc=1finobt=1,sparse=1,rmapbt=0=reflink=1bigtime=1inobtcount=1nrext64=0data=bsize=4096blocks=2621440,imaxpct=25=sunit=0swidth=0blksnaming=version2bsize=4096ascii-ci=0,ftype=1log=internallogbsize=4096blocks=16384,version=2=sectsz=512sunit=0blks,lazy-count=1realtime=noneextsz=4096blocks=0,rtextents=0[root@node1~]#blkid/dev/vg_storage/lv_data/dev/vg_storage/lv_data:UUID="e2adca12-3c92-433a-8644-5e8fa7a806da"TYPE="xfs"[root@node1~]#（23）配置系统启动时自动挂载lv_data到默认目录/data，使用​​UUID​​标识设备。[root@node1~]#echo"UUID=$(blkid-sUUID-ovalue/dev/vg_storage/lv_data)/dataxfsdefaults00">>/etc/fstab[root@node1~]#systemctldaemon-reload[root@node1~]#mount-a（24）卸载并删除lv_data逻辑卷，删除vg_storage卷组和/dev/sda物理卷。[root@node1~]#umount/data[root@node1~]#lvremove/dev/vg_storage/lv_dataDoyoureallywanttoremoveactivelogicalvolumevg_storage/lv_data?[y/n]:yLogicalvolume"lv_data"successfullyremoved.[root@node1~]#vgremovevg_storageVolumegroup"vg_storage"successfullyremoved[root@node1~]#pvremove/dev/sdaLabelsonphysicalvolume"/dev/sda"successfullywiped.[root@node1~]#（25）在/dev/sda上创建新分区（假设已清空磁盘），类型为​​LinuxLVM​​，将其初始化为物理卷，并添加到现有卷组vg_storage中。[root@node1~]#parted/dev/sdamkpartprimary1MiB5GiBInformation:Youmayneedtoupdate/etc/fstab.[root@node1~]#parted/dev/sdaset1lvmonInformation:Youmayneedtoupdate/etc/fstab.[root@node1~]#pvcreate/dev/sda1Physicalvolume"/dev/sda1"successfullycreated.[root@node1~]#vgcreatevg_storage/dev/sda1Volumegroup"vg_storage"successfullycreated[root@node1~]#vgdisplayvg_storageDevicesfilesys_wwideui.356a6fff2ce21bb9000c296841b4e666PVIDTYk6rflEzWzWiEhfqGmXMONvX2e72Zzulastseenon/dev/nvme0n1p3notfound.VolumegroupVGNamevg_storageSystemIDFormatlvm2MetadataAreas1MetadataSequenceNo1VGAccessread/writeVGStatusresizableMAXLV0CurLV0OpenLV0MaxPV0CurPV1ActPV1VGSize<5.00GiBPESize4.00MiBTotalPE1279AllocPE/Size0/0FreePE/Size1279/<5.00GiBVGUUIDHEcswG-hf1v-Lvl5-YGCO-xIuP-frHE-M0c8kM（26）将逻辑卷lv_data的大小增加​​3GiB​​，使用卷组vg_storage的空闲空间。[root@node1~]#lvextend-L+3G/dev/vg_storage/lv_dataInsufficientfreespace:768extentsneeded,butonly0available[root@node1~]#lvdisplay/dev/vg_storage/lv_dataDevicesfilesys_wwideui.356a6fff2ce21bb9000c296841b4e666PVIDTYk6rflEzWzWiEhfqGmXMONvX2e72Zzulastseenon/dev/nvme0n1p3notfound.LogicalvolumeLVPath/dev/vg_storage/lv_dataLVNamelv_dataVGNamevg_storageLVUUID9h4Z6V-eDqO-VENS-1JZ2-U84s-yxrx-Ez4GAfLVWriteAccessread/writeLVCreationhost,timenode1,2025-05-1410:51:49-0400LVStatusavailable#open0LVSize<5.00GiBCurrentLE1279Segments1AllocationinheritReadaheadsectorsauto-currentlysetto256Blockdevice253:2[root@node1~]#项目八练习题参考答案1、选择题（1）在Linux操作系统中，防火墙最底层负责实际数据包过滤的组件是（）。A．iptables B．firewalld C．netfilter D．nftables参考答案：C（2）firewalld的永久生效模式需要使用的选项是（）。A．–runtime B．–permanent C．–reload D．--zone参考答案：B（3）SELinux在Linux操作系统中提供的增强安全功能主要基于（）。A．用户密码 B．网络防火墙 C．安全上下文 D．磁盘加密参考答案：C（4）SELinux中的端口标签用于（）。A．限制某些端口的访问 B．加密网络通信C．限制进程访问特定端口 D．改变端口的优先级参考答案：C（5）使用semanage命令查看HTTP服务的端口标签的命令为（）。A．semanageport-l|grephttp B．semanageport-l|grepsshC．semanagelistport|grephttp D．semanageport-shttp参考答案：A（6）使用firewalld配置NAT时，伪装功能的作用是（）。A．将外部IP地址转换为内部网络地址 B．将内部网络地址映射为公共IP地址C．显示所有连接的状态 D．定义访问控制列表参考答案：B2、实训题（1）显示当前系统中防火墙的所有配置信息，包括活跃区域、服务、端口等。[root@node1~]#firewall-cmd--list-allpublic(active)target:defaulticmp-block-inversion:nointerfaces:ens160sources:services:cockpitdhcpv6-clientsshports:protocols:forward:yesmasquerade:noforward-ports:source-ports:icmp-blocks:richrules:[root@node1~]#（2）列出防火墙支持的​​所有预定义服务名称​​（如ssh、https等）。[root@node1~]#firewall-cmd--get-servicesRH-Satellite-6RH-Satellite-6-capsuleafpamanda-clientamanda-k5-clientamqpamqpsapcupsdauditausweisapp2baculabacula-clientbbbgpbitcoinbitcoin-rpcbitcoin-testnetbitcoin-testnet-rpcbittorrent-lsdcephceph-moncfenginecheckmk-agentcockpitcollectdcondor-collectorcratedbctdbdhcpdhcpv6dhcpv6-clientdistccdnsdns-over-tlsdocker-registrydocker-swarmdropbox-lansyncelasticsearchetcd-clientetcd-serverfingerforemanforeman-proxyfreeipa-4freeipa-ldapfreeipa-ldapsfreeipa-replicationfreeipa-trustftpgaleraganglia-clientganglia-mastergitgpsdgrafanagrehigh-availabilityhttphttp3httpsidentimapimapsipfsippipp-clientipsecircircsiscsi-targetisnsjenkinskadminkdeconnectkerberoskibanakloginkpasswdkpropkshellkube-apikube-apiserverkube-control-planekube-control-plane-securekube-controller-managerkube-controller-manager-securekube-nodeport-serviceskube-schedulerkube-scheduler-securekube-workerkubeletkubelet-readonlykubelet-workerldapldapslibvirtlibvirt-tlslightning-networkllmnrllmnr-tcpllmnr-udpmanagesievematrixmdnsmemcacheminidlnamongodbmoshmountdmqttmqtt-tlsms-wbtmssqlmurmurmysqlnbdnetbios-nsnetdata-dashboardnfsnfs3nmea-0183nrpentpnutopenvpnovirt-imageioovirt-storageconsoleovirt-vmconsoleplexpmcdpmproxypmwebapipmwebapispop3pop3spostgresqlprivoxyprometheusprometheus-node-exporterproxy-dhcpps3netsrvptppulseaudiopuppetmasterquasselradiusrdpredisredis-sentinelrpc-bindrquotadrshrsyncdrtspsalt-mastersambasamba-clientsamba-dcsanesipsipsslpsmtpsmtp-submissionsmtpssnmpsnmptlssnmptls-trapsnmptrapspideroak-lansyncspotify-syncsquidssdpsshsteam-streamingsvdrpsvnsyncthingsyncthing-guisynergysyslogsyslog-tlstelnettentacletftptile38tinctor-sockstransmission-clientupnp-clientvdsmvnc-serverwbem-httpwbem-httpswireguardws-discoveryws-discovery-clientws-discovery-tcpws-discovery-udpwsmanwsmansxdmcpxmpp-boshxmpp-clientxmpp-localxmpp-serverzabbix-agentzabbix-serverzerotier[root@node1~]#（3）查看防火墙当前​​默认生效的区域名称​​。[root@node1~]#firewall-cmd--get-default-zonepublic[root@node1~]#（4）将防火墙默认区域设置为​​public​​。[root@node1~]#firewall-cmd--set-default-zone=publicsuccess[root@node1~]#firewall-cmd--get-default-zonepublic[root@node1~]#（5）在​​public区域​​中验证​​SSH服务​​是否允许通过。[root@node1~]#firewall-cmd--zone=public--query-service=sshyes[root@node1~]#（6）配置防火墙，使​​public区域​​永久允许​​HTTPS服务​​。[root@node1~]#firewall-cmd--permanent--zone=public--add-service=httpssuccess[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#firewall-cmd--zone=public--query-service=httpsyes[root@node1~]#（7）在​​public区域​​中永久开放​​TCP8899端口​​。[root@node1~]#firewall-cmd--permanent--zone=public--add-port=8899/tcpsuccess[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#firewall-cmd--zone=public--list-ports8899/tcp[root@node1~]#（8）将网卡​​ens32​​的防火墙区域永久更改为​​external​​。[root@node1~]#firewall-cmd--permanent--zone=external--change-interface=ens32success[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#firewall-cmd--get-zone-of-interface=ens32external[root@node1~]#（9）禁止来自​​/24​​网段的所有主机访问本机的​​SSH服务​​[root@node1~]#firewall-cmd--permanent--add-rich-rule='rulefamily=ipv4sourceaddress=/24servicename=sshreject'success[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#firewall-cmd--list-rich-rulesrulefamily="ipv4"sourceaddress="/24"servicename="ssh"reject[root@node1~]#（10）将​​public区域​​的​​443/TCP端口流量​​转发到​​22/TCP端口​​。[root@node1~]#firewall-cmd--permanent--zone=public--add-rich-rule='rulefamily=ipv4forward-portport=443protocol=tcpto-port=22'success[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#firewall-cmd--list-rich-rulesrulefamily="ipv4"forward-portport="443"protocol="tcp"to-port="22"rulefamily="ipv4"sourceaddress="/24"servicename="ssh"reject[root@node1~]#（11）仅允许​​/24​​网段的主机访问​​HTTP和HTTPS服务​​。[root@node1~]#firewall-cmd--permanent--add-rich-rule='rulefamily=ipv4sourceaddress=/24servicename=httpaccept'success[root@node1~]#firewall-cmd--permanent--add-rich-rule='rulefamily=ipv4sourceaddress=/24servicename=httpsaccept'success[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#（12）将SSH服务端口修改为​​2220​​，配置防火墙，仅允许​​/24​​网段通过​​2220/TCP端口​​访问SSH。[root@node1~]#sed-i's/#Port22/Port2220/'/etc/ssh/sshd_config[root@node1~]#systemctlrestartsshd[root@node1~]#firewall-cmd--permanent--add-rich-rule='rulefamily=ipv4sourceaddress=/24portport=2220protocol=tcpaccept'success[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#ss-tunlp|grep2220（13）将​​public区域​​的​​80/TCP端口流量​​转发到内部服务器​​0:8080​​。[root@node1~]#echo"net.ipv4.ip_forward=1">/etc/sysctl.d/90-ip-forward.conf[root@node1~]#sysctl-p/etc/sysctl.d/90-ip-forward.confnet.ipv4.ip_forward=1[root@node1~]#firewall-cmd--permanent--zone=public--add-forward-port=port=80:proto=tcp:toaddr=0:toport=8080success[root@node1~]#firewall-cmd--permanent--zone=public--add-forward-port=port=80:proto=tcp:toaddr=0:toport=8080Warning:ALREADY_ENABLED:80:tcp:8080:0success[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#（14）实时监控​​/var/log/secure​​文件，检查SSH登录记录。[root@node1~]#tail-f/var/log/secureMay1412:46:11node1sshd[33914]:fatal:Cannotbindanyaddress.May1412:46:54node1sshd[33926]:error:Bindtoport2220onfailed:Permissiondenied.May1412:46:54node1sshd[33926]:error:Bindtoport2220on::failed:Permissiondenied.May1412:46:54node1sshd[33926]:fatal:Cannotbindanyaddress.May1412:47:36node1sshd[33940]:error:Bindtoport2220onfailed:Permissiondenied.May1412:47:36node1sshd[33940]:error:Bindtoport2220on::failed:Permissiondenied.May1412:47:36node1sshd[33940]:fatal:Cannotbindanyaddress.May1412:48:18node1sshd[33962]:error:Bindtoport2220onfailed:Permissiondenied.May1412:48:18node1sshd[33962]:error:Bindtoport2220on::failed:Permissiondenied.May1412:48:18node1sshd[33962]:fatal:Cannotbindanyaddress.（15）查看/home目录下所有文件的安全上下文属性。[root@node2~]#ls-Z/homeunconfined_u:object_r:user_home_dir_t:s0rhcsa（16）创建一个新目录/webdata，将该目录及其内部所有文件的SELinux上下文类型设置为httpd_sys_content_t。[root@node2~]#mkdir/webdata[root@node2~]#semanagefcontext-a-thttpd_sys_content_t'/webdata(/.*)?'[root@node2~]#restorecon-Rvv/webdataRelabeled/webdatafromunconfined_u:object_r:default_t:s0tounconfined_u:object_r:httpd_sys_content_t:s0[root@node2~]#ls-Zd/webdataunconfined_u:object_r:httpd_sys_content_t:s0/webdata[root@node2~]#ls-Z/webdata（17）将/webdata目录的SELinux上下文恢复为系统默认类型。[root@node2~]#semanagefcontext-d'/webdata(/.*)?'[root@node2~]#restorecon-Rvv/webdataRelabeled/webdatafromunconfined_u:object_r:httpd_sys_content_t:s0tounconfined_u:object_r:default_t:s0[root@node2~]#ls-Zd/webdataunconfined_u:object_r:default_t:s0/webdata（18）列出系统中所有端口与SELinux类型的对应关系。[root@node2~]#semanageport-lSELinuxPortTypeProtoPortNumberafs3_callback_port_ttcp7001afs3_callback_port_tudp7001afs_bos_port_tudp7007afs_fs_port_ttcp2040afs_fs_port_tudp7000,7005afs_ka_port_tudp7004afs_pt_port_ttcp7002afs_pt_port_tudp7002afs_vl_port_tudp7003（19）允许HTTP服务使用​​8090/TCP​​端口，并验证配置。[root@node2~]#semanageport-a-thttp_port_t-ptcp8090[root@node2~]#semanageport-l|grephttp_port_thttp_port_ttcp8090,80,81,443,488,8008,8009,8443,9000pegasus_http_port_ttcp5988（20）移除​​8090/TCP​​端口的HTTP服务标签。[root@node2~]#semanageport-d-thttp_port_t-ptcp8090[root@node2~]#semanageport-l|grephttp_port_thttp_port_ttcp80,81,443,488,8008,8009,8443,9000pegasus_http_port_ttcp5988（21）将​​8090/TCP​​端口的标签修改为nfs_port_t（NFS服务）。[root@node2~]#semanageport-a-tnfs_port_t-ptcp8090[root@node2~]#semanageport-l|grepnfs_port_tnfs_port_ttcp8090,2049,20048-20049nfs_port_tudp2049,20048-20049项目九练习题参考答案1、选择题（1）若希望在vsftpd中允许本地用户在FTP上具有写权限，则应设置的参数是（）。A．write_enable=YES B．local_enable=YESC．local_umask=000 D．userlist_enable=YES参考答案：A（2）下列可以禁用匿名用户访问FTP服务的参数是（）。A．anon_upload_enable B．anonymous_enableC．userlist_deny D．anon_other_write_enable参考答案：B（3）禁止匿名用户访问FTP服务的参数配置应为（）。A．anonymous_enable=YES B．anonymous_enable=NOC．local_enable=NO D．userlist_enable=YES参考答案：B（4）本地用户在vsftpd中的登录权限由参数（）控制。A．local_umask B．local_enableC．userlist_enable D．allow_writeable_chroot参考答案：B2、实训题（1）安装vsftpd软件包，启动服务并设置为开机自启[root@node2~]#dnfinstallvsftpd-y[root@node2~]#systemctlenable--nowvsftpdCreatedsymlink/etc/systemd/system/multi-user.target.wants/vsftpd.service→/usr/lib/systemd/system/vsftpd.service.[root@node2~]#systemctlstatusvsftpd●vsftpd.service-VsftpdftpdaemonLoaded:loaded(/usr/lib/systemd/system/vsftpd.service;enabled;preset:disabled)Active:active(running)sinceThu2025-05-1505:15:42EDT;5sagoProcess:19899ExecStart=/usr/sbin/vsftpd/etc/vsftpd/vsftpd.conf(code=exited,status=0/SUCCESS)MainPID:19901(vsftpd)Tasks:1(limit:10760)Memory:720.0KCPU:3msCGroup:/system.slice/vsftpd.service└─19901/usr/sbin/vsftpd/etc/vsftpd/vsftpd.confMay1505:15:42node2systemd[1]:StartingVsftpdftpdaemon...May1505:15:42node2systemd[1]:StartedVsftpdftpdaemon.[root@node2~]#[root@node2~]#（2）设置SELinux规则，允许FTP服务完全访问系统[root@node2~]#setsebool-Pftpd_full_accesson[root@node2~]#getseboolftpd_full_accessftpd_full_access-->on[root@node2~]#（3）在防火墙中永久允许ftp服务流量。[root@node2~]#firewall-cmd--add-service=ftp--permanentsuccess[root@node2~]#firewall-cmd--reloadsuccess[root@node2~]#firewall-cmd--list-services|grepftpcockpitdhcpv6-clientftpssh（4）修改/etc/vsftpd/vsftpd.conf配置文件：禁用匿名用户登录，启用本地用户登录，允许本地用户写入操作，将本地用户禁锢在其主目录。[root@node2~]#sed-i's/^anonymous_enable=YES/anonymous_enable=NO/'/etc/vsftpd/vsftpd.conf[root@node2~]#sed-i's/^#local_enable=YES/local_enable=YES/'/etc/vsftpd/vsftpd.conf[root@node2~]#sed-i's/^#write_enable=YES/write_enable=YES/'/etc/vsftpd/vsftpd.conf[root@node2~]#echo"chroot_local_user=YES">>/etc/vsftpd/vsftpd.conf[root@node2~]#echo"allow_writeable_chroot=YES">>/etc/vsftpd/vsftpd.conf[root@node2~]#grep-E"anonymous_enable|local_enable|write_enable|chroot"/etc/vsftpd/vsftpd.confanonymous_enable=NOlocal_enable=YESwrite_enable=YES#anon_mkdir_write_enable=YES#Youmayspecifyanexplicitlistoflocaluserstochroot()totheirhome#directory.Ifchroot_local_userisYES,thenthislistbecomesalistof#userstoNOTchroot().#(Warning!chroot'ingcanbeverydangerous.Ifusingchroot,makesurethat#chroot)#chroot_local_user=YES#chroot_list_enable=YES#chroot_list_file=/etc/vsftpd/chroot_listchroot_local_user=YESallow_writeable_chroot=YES[root@node2~]#（5）启用user_list用户列表文件，仅允许列表中的用户登录，将用户user1和user2添加到/etc/vsftpd/user_list。[root@node2~]#echo"userlist_enable=YES">>/etc/vsftpd/vsftpd.conf[root@node2~]#echo"userlist_deny=NO">>/etc/vsftpd/vsftpd.conf[root@node2~]#echo"user1">/etc/vsftpd/user_list[root@node2~]#echo"user2">>/etc/vsftpd/user_list[root@node2~]#systemctlrestartvsftpd[root@node2~]#cat/etc/vsftpd/user_listuser1user2[root@node2~]#（6）创建用户user1和user2，密码均设为redhat。[root@node2~]#useradduser1&&echo"redhat"|passwd--stdinuser1Changingpasswordforuseruser1.passwd:allauthenticationtokensupdatedsuccessfully.[root@node2~]#useradduser2&&echo"redhat"|passwd--stdinuser2Changingpasswordforuseruser2.passwd:allauthenticationtokensupdatedsuccessfully.[root@node2~]#（7）使用user1登录FTP服务器，执行以下操作：创建目录test_dir，退出登录后，验证目录是否存在于用户主目录。[root@node2~]#ftp-nlocalhost<<EOF>useruser1redhat>mkdirtest_dir>ls>quit>EOFTrying::1...drwxr-xr-x2100110016May1509:21test_dir[root@node2~]#ls/home/user1test_dir[root@node2~]#（8）创建明文文件/etc/vsftpd/vuser.list，包含两个虚拟用户ftpuser1和ftpuser2，密码均为redhat，使用散列算法将明文文件转换为数据库文件vuser.db，并删除明文文件。[root@node2~]#echo-e"ftpuser1\nredhat\nftpuser2\nredhat">/etc/vsftpd/vuser.list[root@node2~]#db_load-T-thash-f/etc/vsftpd/vuser.list/etc/vsftpd/vuser.db[root@node2~]#chmod600/etc/vsftpd/vuser.db[root@node2~]#rm-f/etc/vsftpd/vuser.list[root@node2~]#ls-l/etc/vsftpd/vuser.db-rw.1rootroot12288May1505:34/etc/vsftpd/vuser.db（9）创建本地用户virtual，其主目录为/var/ftproot，禁止登录系统，设置/var/ftproot目录权限为755。[root@node2~]#useradd-d/var/ftproot-s/sbin/nologinvirtual[root@node2~]#chmod755/var/ftproot[root@node2~]#ls-ld/var/ftprootdrwxr-xr-x.3virtualvirtual78May1505:35/var/ftproot（10）创建PAM认证文件/etc/pam.d/vsftpd.vu，指定使用/etc/vsftpd/vuser数据库文件验证虚拟用户。[root@node2~]#echo-e"authrequiredpam_userdb.sodb=/etc/vsftpd/vuser\naccountrequiredpam_userdb.sodb=/etc/vsftpd/vuser">/etc/pam.d/vsftpd.vu[root@node2~]#cat/etc/pam.d/vsftpd.vuauthrequiredpam_userdb.sodb=/etc/vsftpd/vuseraccountrequiredpam_userdb.sodb=/etc/vsftpd/vuser（11）修改/etc/vsftpd/vsftpd.conf文件，启用以下配置：禁止匿名登录，允许虚拟用户登录并映射到本地用户virtual，指定用户独立配置文件目录为/etc/vsftpd/vusers_dir。[root@node2~]#sed-i's/^anonymous_enable=YES/anonymous_enable=NO/'/etc/vsftpd/vsftpd.conf[root@node2~]#echo"guest_enable=YES">>/etc/vsftpd/vsftpd.conf[root@node2~]#echo"guest_username=virtual">>/etc/vsftpd/vsftpd.conf[root@node2~]#echo"user_config_dir=/etc/vsftpd/vusers_dir">>/etc/vsftpd