Lin系统基础教程 答案 -_第1页
Lin系统基础教程 答案 -_第2页
Lin系统基础教程 答案 -_第3页
Lin系统基础教程 答案 -_第4页
Lin系统基础教程 答案 -_第5页
已阅读5页,还剩105页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

Linux系统管理基础项目教程(openEuler)|课后习题参考答案汇编第1页教学配套资源·参考手册课后习题参考答案项目1—项目16《Linux系统管理基础项目教程(openEuler)(AI助学)(微课版)》适用环境:openEuler24.03LTS2026年6月

目录单击项目名称可跳转到对应参考答案。每个项目均从新页开始。项目1课后习题参考答案项目2课后习题参考答案项目3课后习题参考答案项目4课后习题参考答案项目5课后习题参考答案项目6课后习题参考答案项目7课后习题参考答案项目8课后习题参考答案项目9课后习题参考答案项目10课后习题参考答案项目11课后习题参考答案项目12课后习题参考答案项目13课后习题参考答案项目14课后习题参考答案项目15课后习题参考答案项目16课后习题参考答案

项目1课后习题参考答案教材依据:《Linux系统管理基础项目教程(openEuler)(AI助学)(微课版)》项目1题目来源:08-课后练习题参考答案/课后练习题.docx实训环境:VMwareWorkstationPro17、openEuler24.03LTS一、客观题1.Linux的内核最早由()开发。参考答案:C.莱纳斯·托瓦尔兹说明:1991年,莱纳斯·托瓦尔兹发布了Linux内核的第一个版本。理查德·斯托曼是GNU项目和自由软件运动的重要发起人,但不是Linux内核的最初开发者。2.下列选项中,()不是Linux的主流发行版。参考答案:C.Windows、WindowsServer、macOS说明:Windows、WindowsServer和macOS是其他操作系统家族的产品,不属于Linux发行版;其他选项中列出的Debian、Ubuntu、openSUSE、RHEL、Fedora、RockyLinux、CentOSStream、openEuler和麒麟等均属于Linux生态。3.Linux中根目录的标识符是()。参考答案:D./说明:/是Linux目录树的起点。/bin、/root和/home都是根目录下的子目录。4.Linux操作系统中,超级用户root的主目录是()。参考答案:C./root说明:root用户的默认主目录是/root;普通用户的主目录通常位于/home/用户名。5.Linux操作系统中,/boot目录的主要作用是()。参考答案:C.存放启动相关文件说明:/boot通常保存Linux内核、initramfs、GRUB相关文件等系统启动所需内容。6.下列选项中,()是基于openEuler发布的Linux发行版。参考答案:C.麒麟V10说明:按本教材题库的产品分类口径,麒麟V10属于基于openEuler生态发布的国产Linux发行版。RHEL、Ubuntu和WindowsServer不属于基于openEuler发布的产品。7.openEulerLTS版本的生命周期和发布周期通常是()。参考答案:B.4年、2年说明:openEulerLTS版本通常提供4年社区支持,新一代LTS版本的发布间隔为2年。题干的顺序是“生命周期、发布周期”,因此应选“4年、2年”。8.openEuler创新版本的发布周期和生命周期分别是()。参考答案:B.6个月、6个月说明:openEuler社区创新版本每隔6个月发布一次,并提供6个月的社区支持,适合体验新特性和用于开发测试。二、操作题9.在VMwareWorkstation中安装openEuler24.03操作系统参考答案:9.1准备环境准备与物理机架构匹配的openEuler24.03LTSISO镜像。在物理机BIOS/UEFI中启用IntelVT-x或AMD-V等CPU虚拟化功能。安装并启动VMwareWorkstationPro17。9.2创建和配置虚拟机选择“文件”→“新建虚拟机”,选择“自定义(高级)”和“稍后安装操作系统”。客户机操作系统选择“Linux”,版本可选择“其他Linux6.x内核64位”。设置虚拟机名称和存储位置,配置至少4GB内存和120GB虚拟磁盘。网络模式选择NAT,以便虚拟机通过物理机访问外部网络。在“自定义硬件”中打开处理器虚拟化引擎,并为CD/DVD设备挂载openEuler24.03LTSISO镜像。9.3安装openEuler启动虚拟机,在安装引导菜单中选择“InstallopenEuler24.03-LTS”,然后进入安装信息摘要界面。在“RootPassword”中启用root账户,并按题目要求将密码设为openEuler@2403。在“UserCreation”中创建普通用户opencloud,并将其密码设为openEuler@2403。在“InstallationDestination”中选择120GB虚拟磁盘,保持自动分区。在“Network&HostName”中打开网卡连接,确认界面显示已获取的IP地址、默认路由和DNS服务器。根据所在地区设置时区,例如选择Asia/Shanghai,然后开始安装。安装完成后重启虚拟机,必要时断开ISO镜像,使系统从虚拟磁盘启动。说明:题目指定的密码仅适用于隔离的教学实验环境。生产环境不应使用公开的统一密码。9.4安装GNOME图形化组件使用root用户登录系统,确认虚拟机可以访问软件仓库,然后执行:dnf-yupdatednf-yinstalldejavu-fontsliberation-fontsgnu-*-fontsgoogle-*-fontsdnf-yinstallxorg-*dnf-yinstallgnome-shellgdmgnome-sessiongnome-terminalnautilus\gnome-control-centerfirefoxgnome-softwaredevhelpsystemctlenablegdm--nowsystemctlset-defaultgraphical.targetreboot重启后应出现GNOME图形登录界面。9.5验证安装结果在终端中执行:cat/etc/os-releasefree-hlsblkip-briefaddresssystemctlget-defaultsystemctlis-enabledgdm应确认系统版本为openEuler24.03LTS,虚拟机内存和磁盘容量符合题目要求,网卡已获取IP地址,默认启动目标为graphical.target,且GDM已启用。10.重置openEuler24.03操作系统root用户密码参考答案:注意:此操作会获得本地root权限,只能在本人所有或已获授权的教学虚拟机上进行。建议操作前创建虚拟机快照。10.1进入维护环境重启虚拟机,在GRUB启动菜单出现时,选中当前默认内核项。按E键进入编辑模式。如GRUB已配置密码保护,应输入有权编辑启动项的GRUB账户凭据,该凭据与操作系统root登录密码不是同一概念。找到以linux开头的内核启动参数行,在行末添加:`textrwinit=/bin/`按Ctrl+X使用修改后的参数启动,进入维护环境。10.2重置密码并触发SELinux重新标记执行以下命令:passwdroottouch/.autorelabelsyncpasswdroot会提示连续输入两次新密码。出现allauthenticationtokensupdatedsuccessfully类似信息时,表示密码已成功更新。/.autorelabel会使系统在下次正常启动时按SELinux策略重新标记文件。10.3恢复正常启动并验证执行:exec/sbin/init系统继续完整启动,SELinux重新标记可能需要一段时间,期间不要强制关机。进入登录界面后,使用root用户和新密码登录,然后执行:whoamiidgetenforcewhoami应输出root,id应显示uid=0(root),getenforce应返回系统当前的SELinux模式。

项目2课后习题参考答案教材依据:《Linux系统管理基础项目教程(openEuler)(AI助学)(微课版)》项目2题目来源:08-课后练习题参考答案/课后练习题.docx实训环境:openEuler24.03LTS一、客观题1.Linux命令通常包括()。参考答案:B.命令、选项、参数说明:Shell命令的常见语法结构为命令[选项][参数],各部分通常使用空格分隔。2.()命令用于列出当前目录中的文件和子目录。参考答案:A.ls说明:ls用于列出目录内容;cd用于切换目录,mkdir用于创建目录,touch常用于创建空文件或更新时间戳。3.Vim编辑器主要用于进行()操作。参考答案:B.文件编辑说明:Vim是一款多模式文本编辑器,可用于创建、修改、查找、替换和保存文本文件。4.()命令用于创建新目录。参考答案:B.mkdir说明:mkdir用于创建目录,使用-p选项时还可一并创建缺失的上级目录。5.()命令用于删除文件。参考答案:A.rm说明:rm用于删除文件;删除包含内容的目录时通常需要使用-r选项。6.()命令可以将文件从一个目录移动到另一个目录。参考答案:B.mv说明:mv源文件目标目录可移动文件,mv也可用于重命名文件或目录。7.()命令用于查看系统中正在运行的进程。参考答案:A.top说明:top可动态显示进程及CPU、内存等资源使用情况。find用于查找文件,kill用于向进程发送信号,因此“以上都是”不正确。8.()命令用于强制终止一个进程。参考答案:A.kill说明:kill用于向进程发送信号。不指定信号时默认发送SIGTERM;如果需要强制终止且常规终止无效,可使用kill-9PID发送SIGKILL。9.以下选项中,()用于解压缩名为archive.tar.gz的文件。参考答案:D.tar-zxvfarchive.tar.gz说明:-z表示使用gzip处理,-x表示从归档中提取文件,-v显示过程,-f指定归档文件名。10.在crontab中,代表“每天晚上11:30”执行任务的是()。参考答案:A.3023***说明:crontab的前5个时间字段依次为“分钟、小时、日期、月份、星期”。晚上11点为24小时制的23点,因此应写为3023***。11.要在每个星期六凌晨3:00自动运行backup.sh脚本,应设置crontab时间为()。参考答案:B.0003**6说明:00表示第0分钟,03表示凌晨3点,星期字段中的6表示星期六。完整任务可写为0003**6/path/to/backup.sh。二、操作题12.在Linux操作系统中使用命令管理目录和文件参考答案:12.1查看当前目录和/var目录内容pwdcd/varls-lpwd的输出即为执行命令时的当前工作目录。ls-l会显示/var中各项的类型与权限、链接数、所有者、所属组、大小、修改时间和名称。12.2创建目录和文件cd~mkdir-ptestdir/subdircdtestdir/subdirtouchfile1.txtecho"Hello,World!">file1.txtcatfile1.txtcatfile1.txt应输出Hello,World!。12.3删除测试目录并验证cd~rm-r--testdirtest!-etestdir&&echo"testdirhasbeenremoved"注意:rm-r会递归删除目录及其全部内容,执行前应先用pwd和ls确认当前位置及目标目录。13.在Linux操作系统中使用命令查找并归档文件参考答案:13.1创建测试目录和文件cd~mkdir-pbackup_testtouchbackup_test/file1.txtbackup_test/file2.txtbackup_test/file2.logprintf'firsttextfile\n'>backup_test/file1.txtprintf'secondtextfile\n'>backup_test/file2.txtprintf'logfile\n'>backup_test/file2.log13.2查找所有.txt文件find"$HOME/backup_test"-maxdepth1-typef-name'*.txt'-print预期可看到file1.txt和file2.txt的完整路径,不会列出file2.log。13.3只归档并压缩.txt文件(cd"$HOME/backup_test"||exit1tar-zcvf"$HOME/backup.tar.gz"--*.txt)tar-tzvf"$HOME/backup.tar.gz"在子Shell中进入backup_test目录后再归档,可使归档成员保持为file1.txt、file2.txt这样的相对名称,避免解压时再生成一层重复目录。13.4删除原.txt文件后还原并验证find"$HOME/backup_test"-maxdepth1-typef-name'*.txt'-deletefind"$HOME/backup_test"-maxdepth1-typef-name'*.txt'-printtar-zxvf"$HOME/backup.tar.gz"-C"$HOME/backup_test"find"$HOME/backup_test"-maxdepth1-typef-name'*.txt'-printcat"$HOME/backup_test/file1.txt""$HOME/backup_test/file2.txt"解压前的find命令不应输出.txt文件;解压后应重新看到file1.txt和file2.txt,且文件内容与归档前一致。14.在Linux操作系统中创建每天执行的备份计划任务参考答案:14.1检查源目录和备份目录test-d/home/userdata&&echo"/home/userdataexists"sudomkdir-p/backupsudochown"$USER":"$(id-gn)"/backuptest-w/backup&&echo"/backupiswritable"题目要求使用当前用户的crontab,因此该用户必须对/home/userdata具有读取权限,并对/backup具有写入权限。14.2手动测试备份命令/usr/bin/tar-czf"/backup/userdata_$(/usr/bin/date+%Y%m%d).tar.gz"\-C/homeuserdatals-lh/backup/userdata_*.tar.gz确认手动执行可以正常生成带当天日期的备份文件后,再创建计划任务。14.3创建crontab计划任务执行:crontab-e在编辑器中加入以下一行:CRON306***/usr/bin/tar-czf/backup/userdata_$(/usr/bin/date+\%Y\%m\%d).tar.gz-C/homeuserdata该任务每天上午6:30执行。crontab会对命令部分中未转义的%进行特殊处理,因此date的格式字符必须写为\%Y\%m\%d。14.4验证计划任务crontab-lsystemctlis-activecrondtimedatectl应在crontab-l输出中看到刚创建的计划任务,crond服务应为active,系统时间和时区应正确。任务到时执行后,可使用以下命令查看结果:ls-lh/backup/userdata_*.tar.gz生成的文件名应类似userdata_20260623.tar.gz。

项目3课后习题参考答案教材依据:《Linux系统管理基础项目教程(openEuler)(AI助学)(微课版)》项目3题目来源:08-课后练习题参考答案/课后练习题.docx实训环境:openEuler24.03LTS一、客观题1.在openEuler操作系统中,与网络配置相关的脚本和配置文件通常存储在()目录下。参考答案:B./etc/sysconfig/network-scripts/说明:按本教材采用的ifcfg网络配置方式,网络接口配置文件保存在/etc/sysconfig/network-scripts/目录中。2.在openEuler操作系统中,网络配置文件名通常以()开头。参考答案:D.ifcfg说明:网络接口配置文件通常以ifcfg-开头,并在后面加上网络接口名或连接名,例如ifcfg-ens33。3.在DNS配置中,指定系统使用的DNS服务器的文件是()。参考答案:B./etc/resolv.conf说明:/etc/resolv.conf是系统DNS解析配置文件,其nameserver条目用于指定DNS服务器的IP地址。/etc/hosts主要用于本地静态主机名解析。4.在openEuler操作系统中,要显示所有网络设备的详细信息,包括每台设备的硬件地址、IP地址配置,可以使用命令()。参考答案:C.nmclidevshow说明:nmclidevshow用于显示NetworkManager管理的各网络设备详细信息,包括硬件地址、IPv4/IPv6地址、网关和DNS等。5.查看所有网络设备状态的正确命令是()。参考答案:B.nmclidevstatus说明:nmclidevstatus以表格形式显示设备名称、类型、当前状态及其使用的连接。nmcliconshow显示的则是网络连接配置。6.启用指定的网络连接的命令是()。参考答案:B.nmcliconup说明:执行nmcliconup连接名可启用指定连接,例如nmcliconupmy-network。nmclidevdis用于断开网络设备。二、操作题7.在Linux操作系统中配置网络参数参考答案:7.1准备环境并识别新网卡在虚拟化平台中给openEuler虚拟机添加一块以太网网卡,并将其连接到能使用作为网关和DNS服务器的虚拟网络。进入虚拟机控制台,使用root用户或具有sudo权限的用户执行操作。查看系统识别到的网络设备:`nmclidevstatusip-brieflink`根据设备类型和状态确定新网卡的设备名。下文以ens37为例;如实际名称为ens36、enp2s0等,应将命令中的ens37全部替换为实际设备名。7.2创建并配置my-network连接使用nmcliconadd为新网卡创建Ethernet类型的静态IPv4连接:sudonmcliconaddtypeethernet\con-namemy-network\ifnameens37\ipv4.methodmanual\ipv4.addresses0/24\ipv4.gateway\ipv4.dns\connection.autoconnectyes执行成功后,NetworkManager应提示已成功添加my-network连接。也可以使用教材中的ip4和gw4简写参数创建静态连接,然后使用nmcliconmodmy-networkipv4.dns设置DNS。7.3启用网络连接sudonmcliconupmy-networkifnameens37应出现连接已成功激活的提示。如新网卡上存在NetworkManager自动创建的其他连接,启用my-network时NetworkManager会将该网卡切换到新连接。7.4验证配置结果按题目要求查看设备状态:`nmclidevstatus`新网卡对应行的STATE应为connected,CONNECTION应为my-network,例如:`textDEVICETYPESTATECONNECTIONens37ethernetconnectedmy-network`查看连接中保存的IPv4参数:`nmcli-fconnection.id,erface-name,ipv4.method,ipv4.addresses,ipv4.gateway,ipv4.dnsconshowmy-network`应确认连接名为my-network、绑定设备为新网卡、IPv4方式为manual,并显示地址0/24、网关和DNS服务器。查看已生效的地址、路由和DNS信息:`ip-4addressshowdevens37iproutenmcli-fGENERAL.DEVICE,GENERAL.STATE,IP4.ADDRESS,IP4.GATEWAY,IP4.DNSdevshowens37`ip-4address的输出中应包含0/24;nmclidevshow应显示相应的IPv4地址、网关和DNS服务器。如虚拟网络中的已正常提供网关服务,还可执行以下命令测试连通性:`ping-c4`注意:请勿把示例中的ens37直接套用到所有虚拟机。网卡名由虚拟硬件和系统命名规则决定,必须以nmclidevstatus的实际输出为准。

项目4课后习题参考答案作答依据:用户本次提供的项目4题目;网络配置技术内容对应教材项目3题目来源:08-课后练习题参考答案/课后练习题.docx项目4核对说明:本组题目与题库原稿中的项目4一致,但与教材项目4正文末尾的用户和权限管理练习题不一致,且与项目3题目重复。本文件按用户本次提供的版本作答。实训环境:openEuler24.03LTS一、客观题1.在openEuler操作系统中,与网络配置相关的脚本和配置文件通常存储在()目录下。参考答案:B./etc/sysconfig/network-scripts/说明:按本教材采用的ifcfg网络配置方式,网络接口配置文件保存在/etc/sysconfig/network-scripts/目录中。2.在openEuler操作系统中,网络配置文件名通常以()开头。参考答案:D.ifcfg说明:网络接口配置文件通常以ifcfg-开头,并在后面加上网络接口名或连接名,例如ifcfg-ens33。3.在DNS配置中,指定系统使用的DNS服务器的文件是()。参考答案:B./etc/resolv.conf说明:/etc/resolv.conf是系统DNS解析配置文件,其nameserver条目用于指定DNS服务器的IP地址。/etc/hosts主要用于本地静态主机名解析。4.在openEuler操作系统中,要显示所有网络设备的详细信息,包括每台设备的硬件地址、IP地址配置,可以使用命令()。参考答案:C.nmclidevshow说明:nmclidevshow用于显示NetworkManager管理的各网络设备详细信息,包括硬件地址、IPv4/IPv6地址、网关和DNS等。5.查看所有网络设备状态的正确命令是()。参考答案:B.nmclidevstatus说明:nmclidevstatus以表格形式显示设备名称、类型、当前状态及其使用的连接。nmcliconshow显示的则是网络连接配置。6.启用指定的网络连接的命令是()。参考答案:B.nmcliconup说明:执行nmcliconup连接名可启用指定连接,例如nmcliconupmy-network。nmclidevdis用于断开网络设备。二、操作题7.在Linux操作系统中配置网络参数参考答案:7.1准备环境并识别新网卡在虚拟化平台中给openEuler虚拟机添加一块以太网网卡,并将其连接到能使用作为网关和DNS服务器的虚拟网络。进入虚拟机控制台,使用root用户或具有sudo权限的用户执行操作。查看系统识别到的网络设备:`nmclidevstatusip-brieflink`根据设备类型和状态确定新网卡的设备名。下文以ens37为例;如实际名称为ens36、enp2s0等,应将命令中的ens37全部替换为实际设备名。7.2创建并配置my-network连接使用nmcliconadd为新网卡创建Ethernet类型的静态IPv4连接:sudonmcliconaddtypeethernet\con-namemy-network\ifnameens37\ipv4.methodmanual\ipv4.addresses0/24\ipv4.gateway\ipv4.dns\connection.autoconnectyes执行成功后,NetworkManager应提示已成功添加my-network连接。也可以使用教材中的ip4和gw4简写参数创建静态连接,然后使用nmcliconmodmy-networkipv4.dns设置DNS。7.3启用网络连接sudonmcliconupmy-networkifnameens37应出现连接已成功激活的提示。如新网卡上存在NetworkManager自动创建的其他连接,启用my-network时NetworkManager会将该网卡切换到新连接。7.4验证配置结果按题目要求查看设备状态:`nmclidevstatus`新网卡对应行的STATE应为connected,CONNECTION应为my-network,例如:`textDEVICETYPESTATECONNECTIONens37ethernetconnectedmy-network`查看连接中保存的IPv4参数:`nmcli-fconnection.id,erface-name,ipv4.method,ipv4.addresses,ipv4.gateway,ipv4.dnsconshowmy-network`应确认连接名为my-network、绑定设备为新网卡、IPv4方式为manual,并显示地址0/24、网关和DNS服务器。查看已生效的地址、路由和DNS信息:`ip-4addressshowdevens37iproutenmcli-fGENERAL.DEVICE,GENERAL.STATE,IP4.ADDRESS,IP4.GATEWAY,IP4.DNSdevshowens37`ip-4address的输出中应包含0/24;nmclidevshow应显示相应的IPv4地址、网关和DNS服务器。如虚拟网络中的已正常提供网关服务,还可执行以下命令测试连通性:`ping-c4`注意:请勿把示例中的ens37直接套用到所有虚拟机。网卡名由虚拟硬件和系统命名规则决定,必须以nmclidevstatus的实际输出为准。

项目5课后习题参考答案教材依据:《Linux系统管理基础项目教程(openEuler)(AI助学)(微课版)》项目5题目来源:08-课后练习题参考答案/课后练习题.docx实训环境:openEuler24.03LTS一、客观题1.在rpm命令中,用于安装指定的软件包的选项是()。参考答案:B.-i说明:rpm-i软件包文件用于安装新的RPM软件包。-e用于卸载,-U用于升级或安装,-q用于查询。2.若要使用rpm命令查询系统中安装的所有软件包,应使用选项()。参考答案:A.-qa说明:-q表示查询,-a表示全部,因此rpm-qa会列出RPM数据库中记录的所有已安装软件包。3.使用rpm命令时,选项-F的作用是()。参考答案:C.仅升级旧版本的软件包说明:-F(--freshen)只对系统中已安装且存在较新版本的软件包执行升级;如果该软件包尚未安装,则不会安装它。4.RPM的组件()用于验证软件包的完整性。参考答案:C.GPG签名说明:GPG签名可与软件包摘要一起用于验证软件包的来源和完整性。payload是待安装的文件数据,标头保存元数据,SPEC文件用于构建RPM软件包。5.在openEuler操作系统中,()命令用于列出系统中启用的所有软件仓库。参考答案:A.dnfrepolist说明:dnfrepolist默认列出已启用的DNF/YUM软件仓库,包括仓库ID和仓库名称。6.()命令用于搜索包含特定关键词的软件包。参考答案:C.dnfsearch说明:dnfsearch关键词会在软件包名称和摘要等信息中搜索指定关键词。7.在openEuler操作系统中,执行yumprovidesnetstat命令的主要作用是()。参考答案:C.查询哪个软件包提供了netstat命令说明:yumprovides或dnfprovides用于根据文件名或功能查询对应的软件包。为避免模糊匹配,实际排查时也可执行dnfprovides'*/netstat'。8.在rpm命令中,用于列出某个已安装软件包包含的所有文件的选项是()。参考答案:B.-ql说明:rpm-ql软件包名用于列出已安装软件包中包含的文件。-qc只列出其配置文件。9.使用rpm命令查询某个文件属于哪个软件包,应使用的选项是()。参考答案:C.-qf说明:rpm-qf文件的完整路径会查询该文件所属的已安装软件包,例如rpm-qf/usr/bin/ls。10.使用DNF安装example.rpm软件包,正确命令是()。参考答案:C.dnfinstallexample.rpm说明:dnfinstall可安装本地RPM文件并尝试从已配置仓库解决依赖。实际操作时建议显式写为dnfinstall./example.rpm,以表明安装当前目录中的文件。二、操作题11.在Linux操作系统中配置本地软件仓库参考答案:11.1准备光盘和挂载目录在虚拟机设置中将openEuler24.03LTS安装ISO连接到虚拟CD/DVD设备。使用root用户或具有sudo权限的用户执行:`sudomkdir-p/mntsudomount/dev/cdrom/mntfindmnt/mnttest-d/mnt/repodata&&echo"repositorymetadatafound"`findmnt应显示光盘已挂载到/mnt,且/mnt/repodata目录应存在。如系统没有/dev/cdrom链接,可执行lsblk-f查找实际光驱设备(通常为/dev/sr0)后替换设备路径。11.2创建本地仓库配置文件仓库ID和name均按题目要求设为openeulerlocalrepo:if[-e/etc/yum.repos.d/localrepo.repo];thensudocp-a/etc/yum.repos.d/localrepo.repo\/etc/yum.repos.d/localrepo.repo.bakfisudotee/etc/yum.repos.d/localrepo.repo>/dev/null<<'EOF'[openeulerlocalrepo]name=openeulerlocalrepobaseurl=file:///mntenabled=1gpgcheck=0EOFbaseurl=file:///mnt指向光盘挂载点。enabled=1启用仓库,gpgcheck=0按题目要求禁用GPG签名检查。安全提示:禁用GPG签名验证会降低供应链安全性,仅应在来源可信、受控的教学光盘环境中使用。11.3清理缓存并验证仓库sudodnfcleanallsudodnf--disablerepo='*'\--enablerepo=openeulerlocalrepomakecachednfrepolist--enableddnfrepolist--enabled的输出中应包含openeulerlocalrepo。如提示找不到repodata/repomd.xml,应确认挂载的是完整安装ISO,并根据repodata的实际位置调整baseurl。11.4从本地仓库安装软件包先查看可安装的软件包,再仅启用本地仓库进行安装。以tree为例:dnf--disablerepo='*'\--enablerepo=openeulerlocalrepolistavailablesudodnf-y--disablerepo='*'\--enablerepo=openeulerlocalrepoinstalltreerpm-qtreednfinfotreerpm-qtree应输出已安装的软件包版本。如当前ISO不包含tree,可从前一条listavailable命令的输出中选择另一个未安装软件包进行验证。12.在Linux操作系统中使用华为云软件仓库安装docker-ce参考答案:12.1检查环境并安装仓库管理插件使用root用户或具有sudo权限的用户执行。确认系统架构和已启用仓库:uname-mcat/etc/os-releasednfrepolist--enabled如执行dnfconfig-manager--help提示没有config-manager子命令,先安装提供该功能的插件:sudodnf-yinstalldnf-plugins-core12.2添加题目指定的DockerCE仓库题目中因排版而换行的URL在命令中必须保持为完整的一行:sudodnfconfig-manager--add-repo=/docker-ce/linux/centos/docker-ce.repols-l/etc/yum.repos.d/docker-ce.repo截至2026年6月,从该地址下载的docker-ce.repo仍使用作为baseurl和gpgkey主机,并在路径中使用CentOS的$releasever。为使后续命令真正访问华为云镜像,并避免openEuler24.03LTS的版本号与CentOS仓库目录不匹配,在本教学环境中将主机地址改为华为云镜像,并将$releasever固定为9:sudocp-a/etc/yum.repos.d/docker-ce.repo\/etc/yum.repos.d/docker-ce.repo.baksudosed-i\-e's##/docker-ce#g'\-e's#\$releasever#9#g'\/etc/yum.repos.d/docker-ce.repocat/etc/yum.repos.d/docker-ce.repobaseurl应变为/docker-ce/linux/centos/9/$basearch/stable,gpgkey应变为/docker-ce/linux/centos/gpg。兼容性提示:DockerCE的CentOS仓库是第三方兼容仓库,并非openEuler24.03LTS原生仓库。将releasever固定为9适合本题的隔离教学实验;生产环境应先完成组织的兼容性、安全性和支持策略评估。12.3清理缓存并安装docker-cesudodnfcleanallsudodnfmakecache--refreshdnfrepolist--enableddnflistavailabledocker-cesudodnf-yinstalldocker-cednfrepolist--enabled的输出中应包含docker-ce-stable,dnflistavailabledocker-ce应能查到可安装版本。安装过程中应保留GPG签名检查;如签名或依赖解析失败,应停止安装并检查仓库配置,不应通过--nogpgcheck强行绕过。12.4启动并验证Docker服务sudosystemctlenable--nowdockersystemctlis-enableddockersystemctlis-activedockerdocker--versionsudodockerinfosystemctlis-enableddocker应输出enabled,systemctlis-activedocker应输出active,docker--version应显示已安装的Docker版本。如服务启动失败,可执行journalctl-udocker-b--nor查看本次启动日志。

项目6课后习题参考答案作答依据:用户本次提供的项目6题目;防火墙和SELinux技术内容对应教材项目7题目来源:08-课后练习题参考答案/课后练习题.docx项目6核对说明:本组题目与题库原稿中的项目6一致,但在教材分项目正文中位于项目7《防火墙配置与管理》。本文件按用户和题库的项目6编号保存。实训环境:openEuler24.03LTS一、客观题1.在Linux操作系统中,防火墙最底层负责实际数据包过滤的组件是()。参考答案:C.netfilter说明:netfilter是Linux内核中处理数据包过滤、网络地址转换等功能的底层框架。firewalld是动态防火墙管理服务,iptables和nftables是配置内核包处理规则的工具或框架。2.firewalld的永久生效模式对应的选项是()。参考答案:B.--permanent说明:--permanent用于修改firewalld的永久配置。永久规则不会立即影响当前运行时配置,通常需要再执行firewall-cmd--reload载入。3.SELinux在Linux操作系统中提供的增强安全功能主要基于()。参考答案:C.安全上下文说明:SELinux为进程、文件、目录和端口等对象分配安全上下文,并根据安全策略实施强制访问控制。4.SELinux中的端口标签用于()。参考答案:C.限制进程访问特定端口说明:SELinux端口类型与策略共同决定哪些进程域可以绑定或使用特定协议和端口,它不负责加密通信或改变端口优先级。5.使用semanage命令查看HTTP服务的端口标签的命令为()。参考答案:A.semanageport-l|grephttp说明:semanageport-l列出SELinux端口类型与协议、端口号的映射,管道后的grephttp用于筛选http_port_t等HTTP相关条目。6.使用firewalld配置NAT时,伪装功能的作用是()。参考答案:B.将内部网络的私有IP地址映射为公共IP地址说明:伪装(masquerade)是一种源地址转换,将内部主机发往外部网络的数据包源地址替换为出口接口的地址,使内部主机可共享外部地址访问网络。7.关于firewalld富规则的描述,以下说法正确的是()。参考答案:C.富规则支持基于多条件组合定义复杂的防火墙策略说明:富规则可组合地址族、源地址、目标地址、服务、端口、日志、限速和处置动作等条件,可通过firewall-cmd--add-rich-rule配置,不必手工编辑XML文件。8.在SELinux中,若某个进程试图访问一个未被允许访问的文件,SELinux默认会()。参考答案:B.阻止进程访问该文件说明:在SELinux已启用且处于Enforcing模式时,不符合策略的访问会被拒绝并通常记录AVC日志。在Permissive模式下只记录而不实际拦截。二、操作题9.使用firewalld配置防火墙规则参考答案:9.1操作前提和安全检查以root用户或具有sudo权限的用户操作,建议通过虚拟机控制台执行,并事先创建快照。确认firewalld运行状态、活动区域及接口归属:`sudosystemctlenable--nowfirewalldsudofirewall-cmd--statesudofirewall-cmd--get-active-zonessudofirewall-cmd--zone=public--list-all`下文按题目要求将规则加入public区域。必须先确认接收客户端流量的网卡属于该区域;如实际使用其他区域,应将后续命令的public替换为该区域名。风险提示:防火墙规则可能中断当前SSH会话。添加拒绝或丢弃规则前,应确认管理端地址不在/24或/24中,并保留虚拟机控制台作为恢复通道。9.2开放80/TCP和1001/TCP端口sudofirewall-cmd--permanent--zone=public--add-port=80/tcpsudofirewall-cmd--permanent--zone=public--add-port=1001/tcp这两条规则允许进入public区域的客户端访问本机80/TCP和1001/TCP。开放端口不会自动启动应用服务,相应服务仍必须在该端口上监听。9.3禁止指定网段的访问拒绝/24网段访问本机22/TCP端口:`sudofirewall-cmd--permanent--zone=public\--add-rich-rule='rulepriority="-100"family="ipv4"sourceaddress="/24"portport="22"protocol="tcp"reject'`丢弃/24网段访问本机的所有IPv4流量:`sudofirewall-cmd--permanent--zone=public\--add-rich-rule='rulepriority="-100"family="ipv4"sourceaddress="/24"drop'`priority="-100"使这两条禁止规则以较高优先级进行匹配,避免被宽泛的允许规则抢先接受。reject会返回拒绝信息,drop则静默丢弃数据包。9.4配置仅限指定源网段的80/TCP到8080/TCP转发sudofirewall-cmd--permanent--zone=public\--add-rich-rule='rulefamily="ipv4"sourceaddress="/24"forward-portport="80"protocol="tcp"to-port="8080"'该富规则只匹配来自/24的IPv4流量,并将访问本机80/TCP的请求重定向到本机8080/TCP。因未指定to-addr,目标是本机端口,不是另一台主机。9.5检查配置、重载并验证sudofirewall-cmd--check-configsudofirewall-cmd--reloadsudofirewall-cmd--zone=public--list-portssudofirewall-cmd--zone=public--list-rich-rulessudofirewall-cmd--zone=public--list-forward-portsss-lntp应确认:端口列表包含80/tcp和1001/tcp。富规则中包含两条禁止规则和一条源地址限定的端口转发规则。由于转发通过富规则实现,--list-forward-ports可能为空,应以--list-rich-rules的输出为准。Web服务、1001/TCP对应服务及8080/TCP后端确已监听。可分别从相应网段的客户端进行测试:curl-Ihttp://服务器IP/nc-vz服务器IP1001ssh用户名@服务器IP预期结果为:普通客户端可访问80/TCP和1001/TCP;/24中的客户端无法通过22/TCP建立SSH连接;/24的客户端对本机的所有IPv4访问均超时;/24中的客户端访问80/TCP时由本机8080/TCP后端响应。说明:上述客户端测试命令中的“服务器IP”和“用户名”是说明性占位文本,执行时必须替换为实际值。10.使用SELinux配置上下文标签和端口标签参考答案:10.1检查SELinux状态和工具getenforcesestatusrpm-qpolicycoreutils-python-utils||\sudodnf-yinstallpolicycoreutils-python-utilsSELinux应处于Enforcing模式。如为Disabled,仅执行标签命令不能实现题目要求,应先按系统变更流程启用SELinux并重启;不应为了规避拒绝而直接关闭SELinux。10.2为/var/www/myapp持久设置HTTP内容标签sudomkdir-p/var/www/myappsudosemanagefcontext-a-thttpd_sys_content_t\'/var/www/myapp(/.*)?'sudorestorecon-Rv/var/www/myappsemanagefcontext将持久的路径与类型映射写入SELinux本地策略,restorecon-R再将该类型递归应用到目录及其内容。如此路径规则已存在,-a会提示记录重复,此时应改用:sudosemanagefcontext-m-thttpd_sys_content_t\'/var/www/myapp(/.*)?'sudorestorecon-Rv/var/www/myapp验证配置:sudosemanagefcontext-l|grep-F'/var/www/myapp'ls-Zd/var/www/myappfind/var/www/myapp-maxdepth2-execls-Zd{}+目录和所检查的子目录、文件上下文中应包含httpd_sys_content_t。该类型适用于HTTP服务只读内容;如应用确实需要写入某个目录,应对最小必要范围使用httpd_sys_rw_content_t,不应将整个站点无差别设为可写。10.3确认2049/TCP的NFS端口标签先查看现有端口映射:sudosemanageport-l|grep'^nfs_port_t'sudosemanageport-l|grep-E'(^|[,])2049([,-]|$)'在openEuler的常见SELinuxtargeted策略中,2049/TCP通常已属于nfs_port_t。如第一条命令的TCP端口列表已包含2049,则题目要求已满足,不应再重复添加。只有在2049/TCP尚未存在任何端口类型映射时,才执行:sudosemanageport-a-tnfs_port_t-ptcp2049如2049/TCP已被映射到其他端口类型,则一个端口不能再重复添加,应先评估现有服务的影响,确认需要更改后执行:sudosemanageport-m-tnfs_port_t-ptcp2049最后验证:sudosemanageport-l|grep'^nfs_port_t'sudoss-lntp|grep':2049'nfs_port_t的TCP端口列表应包含2049。ss仅在NFS服务已启动并监听2049/TCP时才会显示监听结果;SELinux端口标签本身不会启动NFS服务。

项目7课后习题参考答案教材依据:《Linux系统管理基础项目教程(openEuler)(AI助学)(微课版)》项目7题目来源:08-课后练习题参考答案/课后练习题.docx项目7核对说明:本组题目与题库原稿中的项目7及教材项目7正文一致,但与题库项目6题目重复。本文件按用户本次提供的项目7版本作答。实训环境:openEuler24.03LTS一、客观题1.在Linux操作系统中,防火墙最底层负责实际数据包过滤的组件是()。参考答案:C.netfilter说明:netfilter是Linux内核中处理数据包过滤、网络地址转换等功能的底层框架。firewalld是动态防火墙管理服务,iptables和nftables是配置内核包处理规则的工具或框架。2.firewalld的永久生效模式对应的选项是()。参考答案:B.--permanent说明:--permanent用于修改firewalld的永久配置。永久规则不会立即影响当前运行时配置,通常需要再执行firewall-cmd--reload载入。3.SELinux在Linux操作系统中提供的增强安全功能主要基于()。参考答案:C.安全上下文说明:SELinux为进程、文件、目录和端口等对象分配安全上下文,并根据安全策略实施强制访问控制。4.SELinux中的端口标签用于()。参考答案:C.限制进程访问特定端口说明:SELinux端口类型与策略共同决定哪些进程域可以绑定或使用特定协议和端口,它不负责加密通信或改变端口优先级。5.使用semanage命令查看HTTP服务的端口标签的命令为()。参考答案:A.semanageport-l|grephttp说明:semanageport-l列出SELinux端口类型与协议、端口号的映射,管道后的grephttp用于筛选http_port_t等HTTP相关条目。6.使用firewalld配置NAT时,伪装功能的作用是()。参考答案:B.将内部网络的私有IP地址映射为公共IP地址说明:伪装(masquerade)是一种源地址转换,将内部主机发往外部网络的数据包源地址替换为出口接口的地址,使内部主机可共享外部地址访问网络。7.关于firewalld富规则的描述,以下说法正确的是()。参考答案:C.富规则支持基于多条件组合定义复杂的防火墙策略说明:富规则可组合地址族、源地址、目标地址、服务、端口、日志、限速和处置动作等条件,可通过firewall-cmd--add-rich-rule配置,不必手工编辑XML文件。8.在SELinux中,若某个进程试图访问一个未被允许访问的文件,SELinux默认会()。参考答案:B.阻止进程访问该文件说明:在SELinux已启用且处于Enforcing模式时,不符合策略的访问会被拒绝并通常记录AVC日志。在Permissive模式下只记录而不实际拦截。二、操作题9.使用firewalld配置防火墙规则参考答案:9.1操作前提和安全检查以root用户或具有sudo权限的用户操作,建议通过虚拟机控制台执行,并事先创建快照。确认firewalld运行状态、活动区域及接口归属:`sudosystemctlenable--nowfirewalldsudofirewall-cmd--statesudofirewall-cmd--get-active-zonessudofirewall-cmd--zone=public--list-all`下文按题目要求将规则加入public区域。必须先确认接收客户端流量的网卡属于该区域;如实际使用其他区域,应将后续命令的public替换为该区域名。风险提示:防火墙规则可能中断当前SSH会话。添加拒绝或丢弃规则前,应确认管理端地址不在/24或/24中,并保留虚拟机控制台作为恢复通道。9.2开放80/TCP和1001/TCP端口sudofirewall-cmd--permanent--zone=public--add-port=80/tcpsudofirewall-cmd--permanent--zone=public--add-port=1001/tcp这两条规则允许进入public区域的客户端访问本机80/TCP和1001/TCP。开放端口不会自动启动应用服务,相应服务仍必须在该端口上监听。9.3禁止指定网段的访问拒绝/24网段访问本机22/TCP端口:`sudofirewall-cmd--permanent--zone=public\--add-rich-rule='rulepriority="-100"family="ipv4"sourceaddress="/24"portport="22"protocol="tcp"reject'`丢弃/24网段访问本机的所有IPv4流量:`sudofirewall-cmd--permanent--zone=public\--add-rich-rule='rulepriority="-100"family="ipv4"sourceaddress="/24"drop'`priority="-100"使这两条禁止规则以较高优先级进行匹配,避免被宽泛的允许规则抢先接受。reject会返回拒绝信息,drop则静默丢弃数据包。9.4配置仅限指定源网段的80/TCP到8080/TCP转发sudofirewall-cmd--permanent--zone=public\--add-rich-rule='rulefamily="ipv4"sourceaddress="/24"forward-portport="80"protocol="tcp"to-port="8080"'该富规则只匹配来自/24的IPv4流量,并将访问本机80/TCP的请求重定向到本机8080/TCP。因未指定to-addr,目标是本机端口,不是另一台主机。9.5检查配置、重载并验证sudofirewall-cmd--check-configsudofirewall-cmd--reloadsudofirewall-cmd--zone=public--list-portssudofirewall-cmd--zone=public--list-rich-rulessudofirewall-cmd--zone=public--list-forward-portsss-lntp应确认:端口列表包含80/tcp和1001/tcp。富规则中包含两条禁止规则和一条源地址限定的端口转发规则。由于转发通过富规则实现,--list-forward-ports可能为空,应以--list-rich-rules的输出为准。Web服务、1001/TCP对应服务及8080/TCP后端确已监听。可分别从相应网段的客户端进行测试:curl-Ihttp://服务器IP/nc-vz服务器IP1001ssh用户名@服务器IP预期结果为:普通客户端可访问80/TCP和1001/TCP;/24中的客户端无法通过22/TCP建立SSH连接;/24的客户端对本机的所有IPv4访问均超时;/24中的客户端访问80/TCP时由本机8080/TCP后端响应。说明:上述客户端测试命令中的“服务器IP”和“用户名”是说明性占位文本,执行时必须替换为实际值。10.使用SELinux配置上下文标签和端口标签参考答案:10.1检查SELinux状态和工具getenforcesestatusrpm-qpolicycoreutils-python-utils||\sudodnf-yinstallpolicycoreutils-python-utilsSELinux应处于Enforcing模式。如为Disabled,仅执行标签命令不能实现题目要求,应先按系统变更流程启用SELinux并重启;不应为了规避拒绝而直接关闭SELinux。10.2为/var/www/myapp持久设置HTTP内容标签sudomkdir-p/var/www/myappsudosemanagefcontext-a-thttpd_sys_content_t\'/var/www/myapp(/.*)?'sudorestorecon-Rv/var/www/myappsemanagefcontext将持久的路径与类型映射写入SELinux本地策略,restorecon-R再将该类型递归应用到目录及其内容。如此路径规则已存在,-a会提示记录重复,此时应改用:sudosemanagefcontext-m-thttpd_sys_content_t\'/var/www/myapp(/.*)?'sudorestorecon-Rv/var/www/myapp验证配置:sudosemanagefcontext-l|grep-F'/var/www/myapp'ls-Zd/var/www/myappfind/var/www/myapp-maxdepth2-execls-Zd{}+目录和所检查的子目录、文件上下文中应包含httpd_sys_content_t。该类型适用于HTTP服务只读内容;如应用确实需要写入某个目录,应对最小必要范围使用httpd_sys_rw_content_t,不应将整个站点无差别设为可写。10.3确认2049/TCP的NFS端口标签先查看现有端口映射:sudosemanageport-l|grep'^nfs_port_t'sudosemanageport-l|grep-E'(^|[,])2049([,-]|$)'在openEuler的常见SELinuxtargeted策略中,2049/TCP通常已属于nfs_port_t。如第一条命令的TCP端口列表已包含2049,则题目要求已满足,不应再重复添加。只有在2049/TCP尚未存在任何端口类型映射时,才执行:sudosemanageport-a-tnfs_port_t-ptcp2049如2049/TCP已被映射到其他端口类型,则一个端口不能再重复添加,应先评估现有服务的影响,确认需要更改后执行:sudosemanageport-m-tnfs_port_t-ptcp2049最后验证:sudosemanageport-l|grep'^nfs_port_t'sudoss-lntp|grep':2049'nfs_port_t的TCP端口列表应包含2049。ss仅在NFS服务已启动并监听2049/TCP时才会显示监听结果;SELinux端口标签本身不会启动NFS服务。

项目8课后习题参考答案教材依据:《Linux系统管理基础项目教程(openEuler)(AI助学)(微课版)》项目8题目来源:08-课后练习题参考答案/课后练习题.docx实训环境:openEuler24.03LTS、vsftpd一、客观题1.在配置vsftpd时,允许本地用户登录FTP服务器后具备文件写入权限的参数配置是()。参考答案:A.write_enable=YES说明:write_enable=YES允许vsftpd执行上传、删除、重命名和创建目录等会改变文件系统的FTP命令。用户是否真正能写入还受Linux文件权限和SELinux策略约束。2.禁止匿名用户访问FTP服务可以设置参数()。参考答案:B.anonymous_enable说明:anonymous_enable控制是否允许匿名FTP登录。anon_upload_enable和anon_other_write_enable只在匿名用户已被允许登录时控制其部分写操作。3.禁止匿名用户访问FTP服务的参数配置应为()。参考答案:B.anonymous_enable=NO说明:将anonymous_enable设为NO后,vsftpd不接受匿名用户登录。4.本地用户在vsftpd中的登录权限由参数()控制。参考答案:B.local_enable说明:local_enable=YES允许系统本地用户通过PAM认证登录FTP服务。userlist_enable用于启用用户列表的附加访问控制,不代替local_enable。二、操作题5.部署FTP服务并配置本地用户访问权限参考答案:5.1安装并备份配置使用root用户或具有sudo权限的用户执行:sudodnf-yinstallvsftpdsudocp-a/etc/vsftpd/vsftpd.conf\/etc/vsftpd/vsftpd.conf.local-users.baksudosystemctlenablevsftpd安全提示:普通FTP会明文传输认证信息和数据。本答案适用于隔离教学网络;生产环境应优先使用SFTP或正确配置证书的FTPS。5.2创建本地用户和白名单idtom>/dev/null2>&1||sudouseradd-mtomidjerry>/dev/null2>&1||sudouseradd-mjerrysudopasswdtomsudopasswdjerrypasswd会交互式要求输入密码,应为两个账户分别设置强密码,不应把明文密码写入命令历史。备份并重建白名单:sudocp-a/etc/vsftpd/user_list\/etc/vsftpd/user_list.bakprintf'tom\njerry\n'|sudotee/etc/vsftpd/user_list>/dev/nullsudochmod600/etc/vsftpd/user_list同时检查tom和jerry不在黑名单/etc/vsftpd/ftpusers中:grep-E'^(tom|jerry)$'/etc/vsftpd/ftpusers正常情况下该命令不应输出内容。如有输出,应先评估原有安全配置,确认这两个教学账户可以使用FTP后再从该黑名单移除相应条目。5.3配置/etc/vsftpd/vsftpd.conf编辑主配置文件,确保下列参数各只有一个未注释的有效值:sudovi/etc/vsftpd/vsftpd.confINIanonymous_enable=NOlocal_enable=YESwrite_enable=YESlocal_umask=022chroot_local_user=YESallow_writeable_chroot=YESuserlist_enable=YESuserlist_deny=NOuserlist_file=/etc/vsftpd/user_listmax_per_ip=5local_max_rate=1048576xferlog_enable=YESxferlog_std_format=YESxferlog_file=/var/log/xferlogpasv_enable=YESpasv_min_port=30000pasv_max_port=31000userlist_deny=NO使user_list成为白名单,只有文件中的tom和je

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论