RHCE模拟

£可爱£侵袭症+ 提交于 2020-03-14 12:13:23
  1. 两个虚拟机上都要配置SELinux(在system1和system2都要进行配置)

2.请按下列要求在 system1 和 system2 上设定防火墙系统:

 允许 group8.example.com 域的客户对 system1 和 system2 进行 ssh 访问。

 禁止 my133t.org 域的客户对 system1 和 system2 进行 ssh 访问。

 备注: my133t.org 是在 172.13.8.0/24 网络

3.自定义用户环境

在系统system1和system2上创建自定义命令为qstat ,要求:

 此自定义命令将执行以下命令:/bin/ps -Ao pid,tt,user,fname,rsz

 此命令对系统中的所有用户有效

4.配置链路聚合

在system2和system1之间按以下要求设定一个链路:

 此链路使用接口eth1和eth2

 此链路在一个接口失效时仍然能工作

 此链路在system1使用下面的地址172.16.3.40/255.255.255.0

 此链路在system2使用下面的地址172.16.3.45/255.255.255.0

 此链路在系统重启之后依然保持正常状态

RHCSA模拟题中
第五题 group id 判分脚本为40000
第15题 添加swap分区,在分区时,将分区格式设置为linux swap


RHCE
1.配置邮件服务
不接受外部发送来的邮件
local_transport=error:local
inet_interfaces=loopback-only
2.配置samba服务
yum install -y samba samba-client

systemctl restart smb nmb#nmb为域名服务,否则只能使用IP地址

systemctl enable smb nmb#开机自启
#编辑配置文件
/etc/samba/smb.conf
[common]#共享名称
path = /common  # 路径
browseable= yes # 是否可以浏览
hosts allow = 172.24.8.0/24 #允许访问的地址段,可以写成172.24.8.
writable=no#共享目录不可写,只读

设置防火墙
firewall-cmd --permanent --add-service=samba
firewall-cmd --reload
firewall-cmd --list-all

设置安全上下文

semanger fcontext -a -t samba_share_t '/common(/.*)?'

restorecon -Rv /common/
#查看设置的安全上下文
ls -dZ /common

创建用于访问的共享用户,并设置共享访问密码

smbpasswd -a andy #添加andy用户

redhat#密码(键入2次)
#再次重启服务
systemctl restart smb nmb

在system2上安装共享服务客户端工具,
yum install -y samba-client cifs*

smbclient -L //172.24.8.1 #列出共享目录

smbclient //172.24.8.1/common -U andy#以andy用户访问共享目录

3.配置多用户共享服务
创建共享目录
mkdir /devops
chmod o+w /devops #在system2 挂载时报错Refer to the mount.cifs(8) manual page (e.g. man mount.cifs),授予目录执行权限
配置samba配置文件
/etc/samba/smb.conf
[devops]
path=/devops
hosts allow=172.24.8.
browseable=yes
writable=no
write list=akira

设置selinux 安全上下文
semanage fcontext -a -t samba_share_t '/devops(/.*)?'

restorecon -Rv /devops

ls -ldZ /devops

将用户silene akira 加入共享
smbpasswd -a akira
redhat#键入密码redhat(2次)
smbpasswd -a silene
redhat#键入密码redhat(2次)


重启服务并设置开机启动
systemctl restart smb nmb
systemctl enable smb nmb


在system2上安装cifs 和samba-client

yum install -y samba-client cifs*

在system2上测试
smbclient -L //172.24.8.11/devops -U akira

smbclient //172.24.8.11/devops -U silene

创建挂载目录
mkdir /mnt/dev
编辑开机自动挂载配置文件
vim /etc/fstab
//172.24.8.11/devops /mnt/dev cifs defaults,multiuser,username=akira,password=redhat,sec=ntlmssp 0 0
mount -a#在system2 挂载时报错Refer to the mount.cifs(8) manual page (e.g. man mount.cifs),授予目录/devops执行权限

【在 system2 上】测试 akira 用户对挂载的共享目录是否具有可读可写权限
?   $ su - akira
?   $ cd /mnt/dev/
?   $ cifscreds add 172.24.8.11 # 必须先通过服务器的授权验证


4,配置NFS服务
根据题目要求创建共享目录
mkdir /public
mkdir -p /protected/project
chown andres /protected/project##project的拥有者为andres

安装nfs包
yum install -y nfs*

#编辑配置文件
/etc/sysconfig/nfs##启动参数

RPCNFSDARGS="-V4.2"

/etc/exports  ###资源导出配置文件

/public 172.24.8.0/24(ro,sync)
/protected 172.24.8.0/24(rw,sec=krb5p,sync)###Kerberos安全加密就是sec=krb5p

#设置共享目录安全上下文

semanger fcontext -a -t 'public_content_t' '/public(/.*)?'
semanger fcontext -a -t 'public_content_t' '/protected(/.*)?'
semanger fcontext -a -t 'public_content_t' '/protected/project(/.*)?'
ex
restore -Rv /public /protected /protected/project

ls -ldZ /public
ls -ldZ /protected 
ls -ldZ /protected/project####检查目录的安全上下文

#设置防火墙规则
firewall-cmd --permanent --add-service=nfs

firewall-cmd --permanent --add-service=rpc-bind

firewall-cmd --permanent --add-service=mountd

firewall-cmd --reload

firewall-cmd --list-all

#下载kerberos密钥并放到/etc目录下
wget -O /etc/krb5.keytab  http://server.group8.example.com/pub/keytabs/system1.keytab

重启服务,并设置开机自启动
systemctl restart nfs-sever nfs-secure-server


systemctl enable nfs-sever nfs-secure-server

#刷新并验证nfs
exportfs -ra
exportfs

#在system2上配置挂载nfs共享目录


#在 system2 上手动同步时间两次!
 ntpdate server.group8.example.com 
 ntpdate server.group8.example.com 

#检查nfs共享目录

showmount -e 172.24.8.11

#创建挂载目录
mkdir /mnt/nfsmount
mkdir /mnt/nfssecure
#下载安全密钥,并放置在/etc目录下,并进行重命名为krb5.keytab
wget -O /etc/krb5.keytab http://server.group8.example.com/pub/keytabs/system2.keytab

ls -l /etc/krb5.keytab

#编辑开机自动挂载配置文件
vim /etc/fstab

172.24.8.11:/public /mnt/nfsmount nfs defaults  0 0
172.24.8.11:/protected  /mnt/nfssecure nfs defaults,sec=krb5p,v4.2 0 0

#重启nfs-secure服务并设置开机自启

systemctl restart nfs-secure
systemctl enable nfs-secure

#进行目录挂载
mount -a
df -h
#验证andres用户能否写入文件
su - andres

# 获取票
kinit

# 输入验证密码
redhat

# 查看获取到的票
klist

cd /mnt/nfssecure/project/
touch hello
ls -l
exit

5.实现一个web服务器

安装httpd包
yum install -y httpd

cp /usr/share/doc/httpd-2.4.6/httpd-vhosts.conf /etc/httpd/conf.d/

cd /var/www/html/

wget http://server.group8.example.com/pub/system1.html

mv system1.html index.html

[root@system1 html]# cat >>/etc/httpd/conf.d/httpd-vhosts.conf <<EOF
> <VirtualHost *:80>
> ServerName system1.group8.example.com
> DocumentRoot /var/www/html
> </VirtualHost>
> EOF
[root@system1 html]# ls -lZd /var/www/html/
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

配置防火墙
[root@system1 html]# firewall-cmd --permanent --add-service=http
success
[root@system1 html]# firewall-cmd --permanent --add-service=https
success
[root@system1 html]# firewall-cmd --reload 
success
[root@system1 html]# firewall-config(配置富规则,拒绝my133t.org域的客户端访问)
重启服务并设置开机自启动
[root@system1 html]# systemctl restart httpd
[root@system1 html]# systemctl enable httpd.service

6.配置安全web服务
#安装mod_ssl包
[root@system1 html]# yum install -y mod_ssl.x86_64 
[root@system1 html]# cd /var/www/html/
[root@system1 html]# pwd
/var/www/html
#下载已签名证书
[root@system1 html]# wget http://server.group8.example.com/pub/tls/certs/system1.crt
#下载已签名证书的密钥
[root@system1 html]# wget http://server.group8.example.com/pub/tls/private/system1.key
#下载已签名证书的授权信息
[root@system1 html]# wget http://server.group8.example.com/pub/tls/certs/ssl-ca.crt

#参考ssl配置文件,对httpd的配置文件进行编辑
[root@system1 conf.d]# cat /etc/httpd/conf.d/ssl.conf 
<VirtualHost *:443>
ServerName system1.group8.example.com
DocumentRoot /var/www/html
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLHonorCipherOrder on
SSLCertificateFile  /etc/pki/tls/certs/system1.crt
SSLCertificateKeyFile /etc/pki/tls/private/system1.key
SSLCACertificateFile /etc/pki/tls/certs/ssl-ca.crt
</VirtualHost>tl
[root@system1 ~]# setsebool -P httpd_read_user_content off##关键
重启服务
[root@system1 ~]# systemctl restart httpd

7.配置虚拟主机

mkdir /var/www/virtual

ls -ldZ /var/www/virtual

cd /var/www/virtual

wget http://server.group8.example.com/pub/www8.html

mv www.html index.html

setfacl -m u:andy:rwx /var/www/virtual

vim /etc/httpd/conf.d/http.conf

<VirtualHost * :80>
DocumentRoot /var/www/virtual
ServerName www8.group8.example.com
</VirtualHost>

systemctl restart httpd

8.配置web内容的访问

mkdir /var/www/html/private

ls -ldZ /var/www/html/private

wget -O /var/www/html/private/index.html http://server.group8.example.com/pub/private.html


vim /etc/httpd/conf.d/httpd.conf
<Directory "/var/www/html/private">
AllowOverride None
Require all denied
Require local
</Directory>

systemctl restart httpd


9.实现动态web内容
yum install -y mod_wsgi

mkdir /var/www/wsgi

cd /var/www/wsgi

wget http://server.group8.example.com/pub/webinfo.wsgi

vim /etc/httpd/conf.d/http.conf
listen 8909
<VirtualHost *:8909>
ServerName wsgi.group8.example.com
WSGIScriptAlias / /var/www/wsgi(可以参考/usr/share/doc/mod_wsgi-3.4/README文档)
</VirtualHost>

semanage port -a -t http_port_t -p tcp 8909

firewall-cmd --permanent --add-port=8909/tcp 
firewall-cmd --reload

systemctr restart httpd

 

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!