RHCE考试.docx
- 文档编号:7233425
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:26
- 大小:1.27MB
RHCE考试.docx
《RHCE考试.docx》由会员分享,可在线阅读,更多相关《RHCE考试.docx(26页珍藏版)》请在冰豆网上搜索。
RHCE考试
第
(1)题修改SELinux状态(RHCE考试第1题)
SELinux是linux中的另一种对资源访问权限的安全机制。
请将selinux状态设置为enforcing状态
z实现步骤:
#vim/etc/sysconfig/selinux
然后将修改如下行,实现不同的状态(配置文件中有单词):
SELINUX=enforcing//强制模式,检查安全状态并拒绝不许可的访问
SELINUX=permissive//许可模式,检查安全状态并许可访问但记录访问
SELINUX=disable//关闭状态,停止安全检查,全部许可
或者通过如下命令
#setenforce1//强制模式
#setenforce0//许可模式
说明:
disable模式只能通过修改/etc/selinux/config文件实现。
如果不是修改为disable,则不用重启(注意,最好别在disable和enforce模式间切换,启动过程较慢)。
第
(2)题启用路由转发功能
请将ip_forward路由转发功能打开,并永久生效。
(即使的linux可以当路由器使)
z实现步骤:
#vim/etc/sysctl.conf
找到如下行,设置为1表示开启,设置为0表示禁止路由转发:
net.ipv4.ip_forward=0——>改为1
#sysctl-p//使配置文件生效
其它说明:
查看所有配置项:
#sysctl-a
第(3)题配置SSHD服务,实现远程登录支持
配置sshd服务,允许本地用户harry可以登录,但拒绝域的用户访问该服务。
说明:
sshd是一种远程登录服务,是linux下允许从其它计算机登录到本地进行远程管理的一种服务。
它的服务软件是sshd。
端口号是22。
z实现步骤:
1)检查是否已经安装ssh的服务
#rpm-qa|grepssh
可能输出如下类似的内容,表示软件包已经安装。
(注意黄色部分,表示软件包的名字前面带open,表示开源,红色的部分表示ssh的客户端和服务器端,一般都要安装):
openssh-askpass-5.3p1-20.el6.x86_64
openssh-clients-5.3p1-20.el6.x86_64
openssh-5.3p1-20.el6.x86_64
openssh-server-5.3p1-20.el6.x86_64
libssh2-1.2.2-7.el6.x86_64
2)如果没有安装,通过如下命令进行安装
#yum-yinstallopenssh-clientsopenssh-server
3)安装后,重新启动服务
#servicesshdrestart
4)确保sshd服务站开机后自动启动
#chkconfigsshdon
5)检查sshd服务是否可以通过tcp_wrappers设置安全访问权限。
如果不支持就比较麻烦
#ldd`whichsshd`|grepwrap
libwrap.so.0=>/lib64/libwrap.so.0(0x00007fe2ec7c3000)//支持基于TCP_Wrappers安全设置。
两撇为反斜撇
6)修改TCP_Wrappers的配置文件/etc/host.deny,禁止来自172.16.0.0/24网络主机的访问:
#vim/etc/hosts.deny
根据RHCE考试开始的说明,对应的网络是172.16.0.0/24网络,所以要加入如下部分,表示禁止172.16.0.0/24网络用户的访问。
sshd:
172.16.0.0/255.255.255.0
7)设置防火墙,开放来自172.16.0.0/16网络(本地主机所在地网络,也即harry所在的主机的网络)对sshd服务服务的访问,即开放本地的22号端口。
#iptables-IINPUT-s172.16.0.0/16-ptcp--dport22-jREJECT
上面命令的说明:
⏹-IINPUT表示在输入链中插入一条防火墙记录
⏹-s172.16.0.0/16表示来自172.16.0.0/16网络的主机。
即网络通信数据包的源地址是该网络的。
如果是去向。
。
。
网络,则用-dXXX,要根据实际选择。
⏹-ptcp表示要过滤的网络协议。
这里是TCP协议,因为sshd服务使用该协议
⏹--dport是指通信数据包中的目标端口,当然也有源端口,用--sport表示。
注意前面有俩—
⏹-jACCEPT表示允许,如果要禁止(丢弃包并反馈信息给访问端)为–jREJECT,要丢弃包(拒绝但不反馈信息给客户端)用-jDROP
⏹-ieth0表示正对某个网卡的设置
#serviceiptablessave//保存防火墙
#chkconfigiptableson//使得防火墙服务随计算机启动(考试时候做一次即可)
其它说明:
/etc/ssh/sshd_config包含sshd服务端端口号,监听地址等等配置,一般无需修改。
第(4)题配置VsFTPd服务,实现匿名下载并拒绝某些主机
配置ftp允许本地匿名用户从/var/ftp/pub目录中下载,允许172.12.40.0/255.255.255.0网络主机对vsftpd服务的访问
z实现步骤:
1)检查是否已经安装vsFTPd服务
#rpm-qa|grepvsftpd
可能输出如下类似的内容,表示软件包已经安装。
(黄色部分表示软件包的名字):
vsftpd-2.2.2-6.el6.x86_64
2)如果没有安装,通过如下命令进行安装
#yum-yinstallvsftpd
3)安装后,重新启动服务
#servicevsftpdrestart
4)确保sshd服务站开机后自动启动
#chkconfigvsftpdon
5)检查vsftpd服务是否支持基于TCP_wrappers的安全机制,如果不支持,就比较麻烦
#ldd`whichvsftpd`|grepwrap
libwrap.so.0=>/lib64/libwrap.so.0(0x00007f40547da000)//表示支持
6)通过TCP_wrappers的配置文件/etc/hosts.deny设置对主机的限制
#vim/etc/hosts.deny//设置禁止访问的主机规则
加入黄色的部分:
vsftpd:
ALLEXCEPT127.0.0.1//除本地,禁止所有主机访问
#vim/etc/hosts.allow//设置允许访问的主机规则
加入如下内容
vsftpd:
172.12.40.0/255.255.255.0//允许访问的网络
上面的设置需要重新启动,负责比较慢才能有效,目前不知道原因。
也可以通过设置防火墙策略,进行控制
#iptables-IINPUT!
-s172.12.40.0/24-ptcp--dport21-jREJECT
#iptables-IINPUT-s127.0.0.1-jACCEPT
#serviceiptablessave
#chkconfigiptableson
第(5)题配置启动挂载服务(三种挂载模式:
启动挂载,自动挂载,手动挂载之一)
将/root/cdrom.iso挂载到/opt/data下,并设置为开机自动挂载
z实现步骤:
所谓启动挂载,就是将某个设备在启动的时候自动挂载到指定的文件夹下。
一般是在/etc/fstab文件中进行挂载配置即可。
做题时,可以在windows下利用ultraISO软件制作一个小iso文件,复制到linux下。
然后测试。
#vim/etc/fstab//打开启动挂载的配置文件
/root/cdrom.iso/opt/dataiso9660defaults,loop00//注意loop
#moutn-a//重新fstab文件,否则只能重启后才能查看到挂载信息
第(6)题配置基本web服务器
配置web服务,使之能被访问(即通过本地主机名访问)
z实现步骤:
1)检查是否已经安装了httpd服务
#rpm-qa|grephttpd
httpd-2.2.15-5.el6.x86_64
httpd-tools-2.2.15-5.el6.x86_64
出现上面的内容表示已经安装。
2)如果没有安装,则执行如下命令安装
#yum-yinstallhttpd
3)启动httpd服务
#servicehttpdstart
4)设置使的httpd服务开机自动运行
#chkconfighttpdon
因为代表本地的主机名,所以如果设置了本地主机名,默认可以直接访问了,因为服务器端(考试服务器)已经帮你做好了DNS解析。
5)确保防火墙已经开启对80号端口开放
6)#iptables-IINPUT-ptcp-mtcp--dport80-jACCEPT
#iptables--listINPUT-n|grep80
输出如下的结果,表示基于TCP协议的80号端口,到本地的httpd服务是完全开放的
targetprotoptsourcedestination
ACCEPTtcp--0.0.0.0/00.0.0.0/0tcpdpt:
80
7)如果防火墙没有开放80号端口,则需要在防火墙添加对80号端口的开放
首先,如果自己不知道httpd服务的端口号,可以用如下命令查找:
#cat/etc/services|grep^http|grep"80"//80前面有个空格
从如下结果可以看出http的端口和协议。
http80/tcpwwwwww-http#WorldWideWebHTTP
http80/udpwwwwww-http#HyperTextTransferProtocol
http80/sctp#HyperTextTransferProtocol
接着,使用如下命令,开放80号端口。
#iptables-IINPUT-ttcp--dport80-jACCEPT
#serviceiptablessave//保存
#chkconfigiptableson//服务随机器启动
第(7)题配置虚拟主机
实现虚拟主机。
通过主机名能访问到/www/virtual目录下的页面,页面从http:
//ip/dir/example.html(考试提供,做题时候自行创建一个index.html的文档即可)下载或者自行创建。
并保证,同样能被访问到之前(上一题的内容,即默认网站的访问)的内容。
z实现步骤:
根据本题目的意思,实际上是要建立两个基于虚拟主机的网站;一个是以域名进行访问的虚拟主机,另一个是以域名进行访问的虚拟主机,这里的域名在服务器已经被建立好,我们无须考虑。
具体如下:
1)检查确保已经安装了httpd服务,如果没安装,就按照httpd服务,并确保启随机器启动。
#rpm-qa|grephttpd
…如果没有查到结果,则
#yum-yinstallhttpd
配置服务,使得其随机器启动。
#chkconfighttpdon
2)开启虚拟主机功能
所谓虚拟主机,就是把一台物理主机,当作多个主机使用。
和虚拟机类似。
服务器中的虚拟主机,就是让只有一个IP地址的服务器,可以提供多个相对独立的网站服务功能。
网站的虚拟主机技术是通过IP地址(如果有多个)、端口号(一般内外使用80以外的,外网均使用80)和主机名(常说的域名)的组合实现虚拟主机。
也就是它们三个只要有一个不同,就可以构成一个虚拟主机。
更一般的情况是利用DNS技术,给同一个IP地址分配很多个域名,通过不同的域名区分不同的虚拟主机。
具体做法是,打开/etc/httpd/conf/httpd.conf文件,然后在最后输入如下内容(//及本行后的不输人!
):
NameVirtualHost*:
80//虚拟主机开启标志
#=====虚拟主机之一
80>//指定虚拟主机的端口号 Documentroot/www/virtual//网站在服务器上的文件夹位置 Servername//网站的主机名(域名)
#=========虚拟主机之二
80>//端口号 Documentroot/var/www/html//网站在服务器上的文件夹位置 Servername//网站的主机名
输入完成后,保存退出。
其实,上面的内容输入,可以在原文件末尾看到类似的内容,去掉左侧注释,并稍做修改,然后复制另一段并修改即可。
3)创建第一个虚拟主机的文件夹
#mkdir-p/www/virtual
4)下载网站文件
#cd/www/virtual
#wgethttp:
//ip/dir/example.html//IP是考试时候的真实IP
这里,可以利用vi命令创建一个文件,随便输入内容。
5)修改刚才创建网站文件的安全上下文,否则访问将被拒绝
#chcon--reference/var/www/www-R//这里是参考/var/www的设置
特别说明,在/etc/selinux/targeted/contexts/files/file_contexts中,存放着系统中所有目录的安全上下文。
注意,如果chcon命令不存在,请自行安装。
(rpm-qf`whichchcon`)可以获得包名
6)重新启动服务器
#servicehttpdrestart
另外,要确保防火墙对80号端口开放,否则可能依然无法访问。
虚拟机下:
成功
配置DNS:
1)安装DNS服务器
#rpm-qa|grepbind
如果没有则下载安装DNS
Wgetftp:
//10.8.31.246/Packages/bind-9.7.0-5.P2.el6.i686.rpm
#rpm-ivhbind-9.7.0-5.P2.el6.i686.rpm
2)配置DNS客户端
#vim/etc/resolv.conf
3)配置DNS服务端
a)#vim/etc/named.conf
b)#vimnamed.rfc1912.zones
添加如图所示:
反解析:
c)#cd/var/named/
d)Ls
e)#cpnamed.localhost.zone
f)#vim.zone
g)#vim/var/named/.arpa
h)给#chmod755.zone
#chmod755.arpa添加权限
i)重启服务servicenamedrestart
j)检测
#nslookup
>
Server:
172.16.0.6
Address:
172.16.0.6#53
Name:
Address:
172.16.0.6
k)
第(8)题配置web服务的主机访问控制
配置web服务器,使得可以通过
z实现步骤:
根据题目的意思,是设置一个网站的访问限制,使得一些内容能被一部主机访问,而不能被另外一部分主机访问。
其实,就是设置在虚拟主机设置代码中,添加具有特殊要求的文件夹的访问权限。
具体做法是:
1)准备特殊访问限制的网站文件夹和文件
#mkdir/var/www/html/restircted/
#cdrestircted
#wgethttp:
//ip/dir/resticted.html//文件可以可以自行创建文件
#mvresticted.htnlindex.html
2)设置访问上下文规则
#chcon--reference/var/www/var/www/html-R
3)修改虚拟主机的配置部分,设置刚才创建文件夹的访问规则
#=========虚拟主机之二
80>//端口号 Documentroot/var/www/html//网站在服务器上的文件夹位置 Servername//网站的主机名 Orderallow,deny//注意,要先匹配deny,在匹配allow Allowfromall Denyfrom172.25.0.0/16
4)重新启动httpd服务
#servicehttpdrestart
5)命令行下测试网页的访问限制
#elinks--dump
Orderdeny,allow
Deny172.24.0.0/16
第(9)题配置nfs服务器
将/common目录共享给域,并允许客户端以root用户访问时,也拥有root用户权限。
z实现步骤:
Nfs服务是用于linux/linux和linux/unix系统之间的文件共享服务,使用的是nfs协议。
该服务的端口号是2049。
类似于windows系下的共享。
1)检查是否已经安装了nfs服务,如果没有安装则需要安装
#rpm-qa|grepnfs
如果输出类似如下内容,表示已经安装。
nfs-utils-lib-1.1.5-1.el6.x86_64
nfs4-acl-tools-0.3.3-5.el6.x86_64
nfs-utils-1.2.2-7.el6.x86_64
安装的命令是:
#yum-yinstallnfs*
2)创建待共享文件夹
#mkdir/common
3)配置nfs,共享文件夹
打开/etc/exports配置文件,并加入如下黄色部分
#vim/etc/exports
/common172.24.40.0/24(rw,no_root_squash)//客户端以root身份访问。
单词记不住,可以通过man手册找到。
4)启动nfs服务,并设置为随系统启动
#servicenfsstart
#servicerpcbindrestart//一种地址转换服务
#chkconfigrpcbindon
#chkconfignfson
5)本地测试nfs服务是否正常
a)检查共享输出状态
#showmount-elocalhost
Exportlistforlocalhost:
/common172.24.40.0/24(rw,no_root_squash)//输出这个结果就对了
可能报错:
clnt_create:
RPC:
Unknownhost
解决办法:
#/etc/init.d/rpcsvcgssdstart
rpc.svrgssdisstopped
#/etc/init.d/rpcsvcgssdstart
#servicenfsrestart
#showmount-elocalhost成功
b)尝试挂载
#mkdir/root/tmp
#mount-tnfs127.0.0.1:
/common/root/tmp
第(10)题配置samba服务器
将/common文件夹共享,使之能被匿名浏览到。
用户harry对此共享只读,如果需要,harry用户密码为harry。
z实现步骤:
Samba共享同上面的nfs都是实现的是系统间的资源共享,但samba也支持winows/linux之间的共享。
使用的是smb协议。
1)检查samba服务是否安装
#rpm-qa|grepsamba
输出如下信息,表示samba已经安装。
samba-winbind-clients-3.5.4-68.el6.x86_64
samba-common-3.5.4-68.el6.x86_64
samba-client-3.5.4-68.el6.x86_64
#rpm-qa|grepsmb
libsmbclient-3.5.4-68.el6.x86_64
gvfs-smb-1.4.3-9.el6.x86_64
gnome-vfs2-smb-2.24.2-6.el6.x86_64
如果检查结果不正确,则可以安装软件包:
#yum-yinstallsamba
2)启动samba服务smb
#servicesmbrestart
#chkconfigsmbon
3)创建用户harry并分配密码(如果已经创建过就不用创建了)
4)创建共享的文件夹(考试时候不需要创建)
#mkdir/common//最好给里面放几个文件,并设置权限为755
5)修改配置文件
打开配置文件/etc/smb.conf,在最后输入如下内容,黄色部分:
#vim/etc/samba/smb.conf
[common]
path=/common//设置共享路径
browseable=yes//设置可浏
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- RHCE 考试