《RHCE7考试题(13页).doc》由会员分享,可在线阅读,更多相关《RHCE7考试题(13页).doc(13页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、-RHCE7考试题-第 13 页YUM配置:yum-config-manager add-repo=”yum地址”yum repolist 验证1、配置SeLinux在system1和system2上要求SeLinux的状态为enforcing。要求系统重启后依然生效。(两台机器上都要配置)#vim /etc/selinux/configSELINUX=enforceing#setenforce 1#getenforce2、配置防火墙对SSH的限制(两台机器上都要配置)在server0和desktop0上设置防火墙,对SSH实现访问限制:允许域的客户对server0和desktop0进行ssh
2、访问。禁止my133t.org域的客户对server0和desktop0进行ssh访问。备注:my133t.org是在172.17.10.0/24网络。(根据考试实际提供的网段配置)#systemctl mask iptables#systemctl mask ip6tables#systemctl mask ebtables.service#systemctl enable firewalld#systemctl start firewalld#firewall-cmd -permanent -add-service=ssh#firewall-cmd petmanent -add-rich-
3、rul=rule family=ipv4 source address=172.17.10.0/24 service name=ssh reject#firewall-cmd reload3、配置IPv6地址(两台都配置)在你的考试系统上配置接口eth0使用以下IPv6地址:server0 上的地址应该是fddb:fe2a:ab1e:c0a8:1/64 (根据考试实际提供的地址配置)desktop0 上的地址应该是fddb:fe2a:ab1e:c0a8:2/64两个系统必须能够与网络fddb:fe2a:ab1e/64内的系统通信。地址必须在重启后依旧生效。两个系统必须保持当前的IPv4地址并能
4、通信解法1:命令行#nmcli connection modify eth0 ipv6.addresses XXXXXX/64 /配置IPV6IP地址#nmcli connection modify eth0 ipv6.method manual 解法2:图形化#nm-connection-editor /启用图形化#nmcli connetion reload#nmcli connection down eth0#nmcli connection up eth04、配置链路聚合(两台都配置)在server0和desktop0之间按一下要求配置:此链路使用接口eth1和eth2此链路在一个接口
5、失效时仍然能工作此链路在server0使用下面的地址192.168.0.101/255.255.255.0此链路在desktop0使用下面的地址192.168.0.102/255.255.255.0此链路在系统重启之后依然保持正常状态创建team类型的网卡,连接别名为team0,使用的模式为activebackup#nmcli connection add type team con-name team0 ifname team0 config “runner” : “name” : “activebackup”根据题目要求给team0网卡绑定指定的IP# nmcli connection m
6、odify team0 ipv4.addresses 192.168.0.101/24# nmcli connection modify team0 ipv4.method manual给team0网卡指定从接口# nmcli connection add type team-slave con-name team0-port1 ifname eth1 master team0# nmcli connection add type team-slave con-name team0-port2 ifname eth2 master team05、自定义用户环境(两台都配置)在系统server0
7、和desktop0上创建自定义命令为qstat ,此自定义命令将执行以下命令:/bin/ps Ao pid,tt,user,fname,rsz此命令对系统中的所有用户有效#vim /etc/bashrcalias qstat=” /bin/ps Ao pid,tt,user,fname,rsz”#source /etc/profile6、配置本地邮件服务(两台都配置)在系统server0和desktop0上配置邮件服务,满足以下要求:这些系统不接收外部发送来的邮件这些系统上本地发送的任何邮件都会自动路由到从这些系统上发送的邮件都显示来自你可以通过发送邮件到本地用户student来测试你的配置,
8、已经配置好。把此用户的邮件转到下列URL # yum install postfix -y# systemctl enable postfix# postconf -e inet_interfaces = loopback-only /修改配置# postconf -e myorigin = # postconf -e relayhost = -中心邮件服务器# postconf -e mydestination = # postconf -e local_transport = error: local delivery disabled# postconf -e mynetworks =
9、127.0.0.0/8, :1/128# systemctl restart postfix /修改了配置就重启# mail -s server0 null client student /发送测试邮件null client test7、配置端口转发在server0上配置端口转发,要求如下:在172.25.0.0/24网络中的系统,访问server0的本地端口5423将被转发到端口80此设置必须永久有效。解法1:命令行#firewall-cmd -permanent -add-rich-rule=rule family=ipv4 source address=172.25.0.0/24 for
10、ward-port port=5423 protocol=tcp to-port=80#firewall-cmd -permanent -add-rich-rule=rule family=ipv4 source address=172.25.0.0/24 forward-port port=5423 protocol=udp to-port=80#firewall-cmd -reload解法2:图形化#firewall-config /启用图形化配置界面,在rich rules下设置端口转发#firewall-cmd reload /配置完毕后需要重新加载防火墙 8、通过SMB共享目录在se
11、rver0上配置SMB服务您的SMB服务器必须是STAFF工作组的一个成员共享/common目录,共享名必须为common只有域内的客户端可以访问common共享Common必须是可以浏览的用户rob,samba密码为redhat , 只读权限访问common共享。用户brian,samba密码为redhat ,读写权限访问common共享。备注:考试的时候,用户和密码请根据题目实际情况进行设定,有的时候,题目简单一些,测试用户早已建立,有的时候,题目较难一些,用户和密码都必须自己设定。# yum install samba samba-client -y# mkdir -p /common#
12、 useradd -s /sbin/nologin brian# smbpasswd -a brian 输入密码redhat# useradd -s /sbin/nologin rob# smbpasswd -a rob 输入密码redhat# chgrp brain /common -如果题目并没有要求让brain用户读写,则不需要修改组# chmod 2775 /common /root/smb-multiuser.txt# echo password=redhat /root/smb-multiuser.txt# vim /etc/fstab/server0/common /mnt/mu
13、ltiuser cifs credentials=/root/smb-multiuser.txt,multiuser,sec=ntlmssp 0 0# mount /mnt/multiuser验证:# su - brian$ cifscreds add server0 输入密码redhat$ echo Multiuser /mnt/multiuser/brian.txt 成功写入$ exit# su - rob$ cifscreds add server0$ echo Multiuser /mnt/multiuser/rob.txt 写入失败$ cat /mnt/multiuser/brian
14、.txt 读取成功$ exit10、配置NFS服务在server0配置NFS服务,要求如下:以只读的形式共享目录/public同时只能被域中的系统访问。以读写的形式共享目录/protected同时只能被域中的系统访问。访问/protected需要通过Kerberos安全加密,您可以使用下面提供的密钥:目录/protected应该包含名为project拥有人为ldapuser0的子目录用户ldapuser0能以读写形式访问/protected/project在server0(system1)上完成# yum install nfs-utils -y设定开机启动,并且马上启动# systemctl
15、 enable nfs-server# systemctl start nfs-server# mkdir /public# chown nfsnobody /public # vim /etc/exports/public *(ro)# exportfs -r 重载nfs设定,让新添加的共享马上生效设置防火墙# firewall-cmd -permanent -add-service=nfs# firewall-cmd -reload下载kerberos的服务端密钥文件(考试的时候会提示你在哪里下载该文件)# wget -O /etc/krb5.keytab 设定nfs的工作模式是4.2版本
16、作用:实现安全上下文的继承(服务端决定安全上下文,服务器和客户端是一致的上下文)# vim /etc/sysconfig/nfsRPCNFSDARGS=-V 4.2设定服务开机启动# systemctl enable nfs-secure-server# systemctl start nfs-secure-server -注意:服务名字已经更改准备好共享的目录# mkdir -p /protected/project# chown ldapuser0:ldapuser0 /protected/project设定配置文件# vim /etc/exports/protected *(sec=kr
17、b5p,rw)资源使用kerberos验证# exportfs -r# exportfs /protected *设定防火墙,允许nfs的数据流入本机# firewall-cmd -permanent -add-service=nfs# firewall-cmd reload11、挂载一个NFS共享在desktop0上挂载一个来自server0上的NFS共享,并符合下列要求:/pulbic共享挂载到本地的/mnt/nfsmount。/protected挂载到本地的/mnt/nfssecure,并使用安全的方式,密钥下载地址:用户ldapuser0能够在/mnt/nfssecure/projec
18、t上创建文件。这些文件系统在系统启动时自动挂载。在desktop0(system2)上完成1)访问基于系统验证的nfs共享# mkdir /mnt/nfsmount# vim /etc/fstab:/public /mnt/nfsmount nfs defaults 0 0# mount -a2)访问基于kerberos验证的nfs共享下载kerberos密钥文件# wget -O /etc/krb5.keytab 开启nfs-secure服务作用: 该服务是实现kerberos验证的客户端功能# systemctl enable nfs-secure# systemctl start nfs
19、-secure建立本地目录挂载# mkdir /mnt/nfssecure# vim /etc/fstab:/protected /mnt/nfssecure nfs defaults,sec=krb5p 0 0# mount -a# df -h | grep nfs:/protected 10G 3.1G 7.0G 31% /mnt/nfssecure验证:# ssh ldapuser0localhost /mnt/nfssecure/project/testfile.txt12、实现一个web服务器在server0上配置一个站点,然后执行以下步骤:从将index.html拷贝到你的web服
20、务器的DocumentRoot目录下。来自域的客户端可以访问此web站点。来自my133t.org域的客户端拒绝访问此web站点。备注:网站的DocumentRoot如果题目没有指定,那么随意。# yum install httpd -y# firewall-cmd -permanent -add-service=http# firewall-cmd -reload# vim /etc/httpd/conf.d/vhost-server0.conf ServerName DocumentRoot /var/www/html CustomLog logs/server0_vhost_log co
21、mbined Require all granted Require not host # wget -O /var/www/html/index.html # systemctl enable httpd# systemctl start httpd13、配置安全web服务站点配置TLS加密。一个已经签名证书从此证书的密钥从此证书的授权信息从# yum install httpd mod_ssl -y# firewall-cmd -permanent -add-service=https# firewall-cmd -reload# wget -O /etc/pki/tls/certs/se
22、rver0.crt # wget -O /etc/pki/tls/private/server0.key # wget -O /etc/pki/tls/certs/example-ca.crt #vim /etc/httpd/conf.d/ssl.confDocumentRoot /var/www/html 自己添加ServerName :443 自己添加找个空白处添加以下内容 Require all granted Require not host SSLCertificateFile /etc/pki/tls/certs/server0.crt 修改为指定下载的证书SSLCertifica
23、teKeyFile /etc/pki/tls/private/server0.key 修改为指定下载的密钥SSLCACertificateFile /etc/pki/tls/certs/example-ca.crt 修改为指定的根证书# systemctl enable httpd# systemctl restart httpd14、配置虚拟主机在server0上扩展你的web服务器,为站点创建一个虚拟主机,然后执行以下步骤:设置DocumentRoot为/var/www/virtual从将index.htm文件放到虚拟主机的DocumentRoot目录下确保floyd用户能够在/var/w
24、ww/virtual目录下创建文件注意:原始站点必须仍然能够访问。站点的所用的域名网络中已有DNS服务器解析。# yum install httpd -y# firewall-cmd -permanent -add-service=http# firewall-cmd -reload# vim /etc/httpd/conf.d/vhost-www0.conf ServerName DocumentRoot /var/www/virtual CustomLog logs/www0_vhost_log combined Require all granted # mkdir -p /var/ww
25、w/virtual# wget -O /var/www/virtual/index.html # semanage fcontext -a -t httpd_sys_content_t /var/www/virtual(/.*)?# restorecon -R /var/www/virtual# useradd floyd 如果用户不存在就自己建立# setfacl -m user:floyd:rwx /var/www/virtual/# systemctl enable httpd# systemctl restart httpd15、配置web内容的访问在你的server0上的web服务器
26、的DocumentRoot目录下创建一个名为private的目录,要求如下:从不要对这个文件的内容作任何修改。从system1上,任何人都可以浏览private的内容,但是从其他系统就不能访问这个目录的内容。(注意题目要求谁可以访问,灵活变化)备注:此题目是接着上一题,所以这里的DocumentRoot指的就是上面的/var/www/virtual/。# mkdir -p /var/www/virtual/private#wget O /var/www/virtual/private/index.html# vim /etc/httpd/conf.d/vhost-www0.conf Serve
27、rName DocumentRoot /var/www/virtual CustomLog logs/www0_vhost_log combined Require all granted 增加一段访问控制 Require all deniedRequire local # systemctl restart httpd16、实现动态Web内容新版题库已经没有这题在server0上配置提供动态web内容,要求如下:动态内容由名为的虚拟主机提供虚拟主机监听在端口8908从客户端访问:8908/时应该接收到动态生成的web页面。此站点:8908/。必须能够被域内的所有系统访问。# yum inst
28、all mod_wsgi -y# mkdir -p /var/www/webapp#wget O /var/www/webapp/webinfo.wsgi # semanage port -a -t http_port_t -p tcp 8908# semanage fcontext -a -t httpd_sys_content_t /var/www/webapp(/.*)?# restorecon -R /var/www/webapp# vim /etc/httpd/conf.d/vhost-webapp0.confListen 8908 ServerName DocumentRoot /
29、var/www/webapp CustomLog logs/www0_vhost_log combined Require all granted WSGIScriptAlias / /var/www/webapp/webinfo.wsgi# systemctl restart httpd# firewall-cmd -permanent -add-rich-rule=rule family=ipv4 source address=172.25.0.0/24 port port=8908 protocol=tcp accept# firewall-cmd reload17、创建一个脚本在ser
30、ver0上创建一个名为/root/foo.sh的脚本,让其提供下列特性:当运行/root/foo.sh redhat,输出fedora当运行/root/foo.sh fedora,输出redhat当没有任何参数或者参数不是redhat或者fedora时,其错误输出产生以下的信息:/root/foo.sh redhat|fedorashell vim /root/foo.sh#!/bin/bashcase $1 in redhat)echo fedora fedora)echo redhatecho /root/foo.sh redhat|fedoraesacshell chmod 755 /r
31、oot/foo.sh18、创建一个添加用户的脚本在server0上创建一个名为/root/batchusers,此脚本能够实现为系统system1创建本地用户,并且这些用户的用户名来自一个包含用户名列表的文件,同时满足下列要求:此脚本要求提供一个参数,此参数就是包含用户名列表的文件如果没有提供参数,此脚本应该给出下面的提示信息Usage: /root/batusers userfile ,并且退出返回相应的值如果提供一个不存在的文件名,此脚本应该给出下面的提示信息Input file not found然后退出并返回相应的值创建的用户登录shell为/bin/false此脚本不需要为用户设置密
32、码(注意:有得时候需要设置统一密码为redhat)您可以从下面的URL获取用户列表作为测试用shell vim /root/batchusers#!/bin/bashif $# -eq 1 ;then if -f $1 ;then while read username ;do useradd -s /bin/false $username &/dev/null done chmod 755 /root/batchusersshell wget -O /root/userlist 测试# /root/batchusers userlist19、配置iSCSI服务端配置server0提供一个iS
33、CSI服务磁盘名为iqn.2014-.example:server0,并符合下列要求:服务端口为3260使用iscsi_store作为其后端卷,其大小为3G(题意含糊,其实iscsi_store是一个逻辑卷,需要自己建立)此服务只能被访问。# yum install targetcli -y# systemctl enable target# systemctl start target# firewall-cmd -permanent -add-port=3260/tcp# firewall-cmd -reload# fdisk /dev/vdb cd iscsi/iscsi create
34、iqn.2014-.example:server0 定义了一个iscsi(target)/iscsi iqn.2014-.example:server0/tpg1/portals create 172.25.0.11 3260定义target的入口(客户使用什么IP和端口访问)iscsi cd / backstores/block create name=server0.iscsi_store dev=/dev/iSCSI_vg/iscsi_store 定义了一个本地的块设备/ iscsi/iqn.2014-.example:server0/tpg1/luns create /backstores/block/server0.iscsi_store把定义好了的块设备通过该target共享出去/ iscsi/iqn.2014-.example:server0/tpg1/acls create iqn.2014-.example:desktop