(一)时区、chrony 、SSH、SUDO、密码等服务
【任务描述】为保障企业提供的网络服务具有加密功能,提供证书服务,配置 CA
服务器, 为模拟相关功能,请使用 Linux-1、Linux-2、Linux-3 模拟完成相关功
能配置及实际测试。
1.修改所有 Linux-1~Linux-7 主机的主机名为“服务器 IP 地址分配表”中 标注的合格域名。
vim /etc/hosts
linux-1.skills.com 10.20.60.101
linux-2.skills.com 10.20.60.102
linux-3.skills.com 10.20.60.103
linux-4.skills.com 10.20.60.104
linux-5.skills.com 10.20.60.105
linux-6.skills.com 10.20</
2.设置所有 Linux 服务器的时区设为“上海”,本地时间调整为实际时间。
timedatectl set-timezone Asia/Shanghai
3.利用 chrony 配置 Linux1 为其他 Linux 主机提供 NTP 服务。
yum install -y chrony*
Linux-1
vim /etc/chrony.conf
pool 2.rocky.pool.ntp.org iburst
=>server 10.20.60.101 iburst
#allow 192.168.0.0/16
=>allow 10.20.60.0/24
#local stratum 10 去掉#
其他
vim /etc/chrony.conf
pool 2.rocky.pool.ntp.org iburst
=>server 10.20.60.101 iburst
#allow 192.168.0.0/16
=>allow 10.20.60.0/24
4.Linux-1、Linux-2、Linux-3 主机之间 root 用户使用完全合格域名免密 码 ssh 登录彼此。
Linux-1
ssh-keygen -t rsa
ssh-copy-id root@10.20.60.101
ssh-copy-id root@10.20.60.102
ssh-copy-id root@10.20.60.103
Linux-2
ssh-copy-id root@10.20.60.101
ssh-copy-id root@10.20.60.102
ssh-copy-id root@10.20.60.103
Linux-2
ssh-copy-id root@10.20.60.101
ssh-copy-id root@10.20.60.102
ssh-copy-id root@10.20.60.103
5.在 Linux-2 配置 sudo,使得 nic 能通过任何主机以系统中任何其它类型 的用户身份运行任何命令,accounts 组中的任何成员都能通过任何主机以 root 身份运行/usr/bin 下的 useradd、userdel 和 usermod 命令。
sudo
groupadd accounts
useradd nic -g accounts
vim /etc/sudoers
在root ALL=(ALL) ALL下添加
nic ALL=(ALL) ALL
在%weel ALL=(ALL) ALL 下添加
%accounts ALL=(root) /usr/bin/useradd,/usr/bin/usermod,/usr/bin/userdel
6.请使用 openssl 命令行工具,解密使用 DES3 加密的 d:/soft 中的加密文 件 skills.enc,将解密出的文件内容存放到 Linux-1 的/root/skills.dec 中, 其他细节为:加密之后对数据进行 BASE64 编码,加密时使用了随机产生的 salt, 对加密密码 1qaz 使用 PBKDF2 算法进行了 5 次迭代。
openssl enc -d -des3 -pbkdf2 -base64 -slat -iter 5 -in skills.enc -out /root/skills.dec
密码 1qaz
7.把 Linux-1 配置为 CA 服务器,CA 的私钥 cakey.pem 使用 2048 位,私钥文 件存放于/etc/pki/CA/private 目录,只有拥有者可读写,CA 证书使用系统默名:/etc/pki/CA/cacert.pem, 可以签发“省、市/县”名称不同的主机、web 服务等证书,有效期 20 年,CA 颁发证书有效期 10 年,证书其他信息: (1) 国 家=“CN” (2) 省=“Jiangsu”(3) 市/县=“CZ”(4) 组织=“skills”(5) 组织单位=“JSLGJ”。
yum install -y openssl* httpd* mod_ssl
cd /etc/pki/CA/
touch index.txt
echo 01 > serial
openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
CN
Jiangsu
CZ
skills
JSLGJ
Linux-1.skills.com
8.在 PC2 上安装虚拟机“Linux-6”,要求为:内存 2G,硬盘 100GB,引导分 区和根分区的文件系统采用 xfs 格式;
9.在 PC2 上安装虚拟机“Linux-7”,要求为:内存 4G,硬盘 100GB,引导分 区和根分区的文件系统采用 xfs 格式;
正常安装即可