RHCE模拟

最新推荐文章于 2023-03-12 18:37:32 发布

weixin-sjk6070

最新推荐文章于 2023-03-12 18:37:32 发布

阅读量299

点赞数

分类专栏：前端

本文链接：https://blog.csdn.net/chunzhenwang/article/details/104858095

版权

前端专栏收录该内容

43 篇文章 0 订阅

订阅专栏

两个虚拟机上都要配置SELinux（在system1和system2都要进行配置）

2.请按下列要求在 system1 和 system2 上设定防火墙系统：
允许 group8.example.com 域的客户对 system1 和 system2 进行 ssh 访问。

禁止 my133t.org 域的客户对 system1 和 system2 进行 ssh 访问。

备注： my133t.org 是在 172.13.8.0/24 网络

3.自定义用户环境
在系统system1和system2上创建自定义命令为qstat ，要求：

此自定义命令将执行以下命令：/bin/ps -Ao pid,tt,user,fname,rsz

此命令对系统中的所有用户有效

4.配置链路聚合
在system2和system1之间按以下要求设定一个链路：

此链路使用接口eth1和eth2

此链路在一个接口失效时仍然能工作

此链路在system1使用下面的地址172.16.3.40/255.255.255.0

此链路在system2使用下面的地址172.16.3.45/255.255.255.0

此链路在系统重启之后依然保持正常状态

RHCSA模拟题中
第五题 group id 判分脚本为40000
第15题添加swap分区，在分区时，将分区格式设置为linux swap

RHCE
1.配置邮件服务
不接受外部发送来的邮件
local_transport=error:local
inet_interfaces=loopback-only
2.配置samba服务
yum install -y samba samba-client

systemctl restart smb nmb#nmb为域名服务，否则只能使用IP地址

systemctl enable smb nmb#开机自启
#编辑配置文件
/etc/samba/smb.conf
[common]#共享名称
path = /common # 路径
browseable= yes # 是否可以浏览
hosts allow = 172.24.8.0/24 #允许访问的地址段,可以写成172.24.8.
writable=no#共享目录不可写，只读

设置防火墙
firewall-cmd --permanent --add-service=samba
firewall-cmd --reload
firewall-cmd --list-all

设置安全上下文

semanger fcontext -a -t samba_share_t ‘/common(/.*)?’

restorecon -Rv /common/
#查看设置的安全上下文
ls -dZ /common

创建用于访问的共享用户，并设置共享访问密码

smbpasswd -a andy #添加andy用户

redhat#密码（键入2次）
#再次重启服务
systemctl restart smb nmb

在system2上安装共享服务客户端工具，
yum install -y samba-client cifs*

smbclient -L //172.24.8.1 #列出共享目录

smbclient //172.24.8.1/common -U andy#以andy用户访问共享目录

3.配置多用户共享服务
创建共享目录
mkdir /devops
chmod o+w /devops #在system2 挂载时报错Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)，授予目录执行权限
配置samba配置文件
/etc/samba/smb.conf
[devops]
path=/devops
hosts allow=172.24.8.
browseable=yes
writable=no
write list=akira

设置selinux 安全上下文
semanage fcontext -a -t samba_share_t ‘/devops(/.*)?’

restorecon -Rv /devops

ls -ldZ /devops

将用户silene akira 加入共享
smbpasswd -a akira
redhat#键入密码redhat（2次）
smbpasswd -a silene
redhat#键入密码redhat（2次）

重启服务并设置开机启动
systemctl restart smb nmb
systemctl enable smb nmb

在system2上安装cifs 和samba-client

yum install -y samba-client cifs*

在system2上测试
smbclient -L //172.24.8.11/devops -U akira

smbclient //172.24.8.11/devops -U silene

创建挂载目录
mkdir /mnt/dev
编辑开机自动挂载配置文件
vim /etc/fstab
//172.24.8.11/devops /mnt/dev cifs defaults,multiuser,username=akira,password=redhat,sec=ntlmssp 0 0
mount -a#在system2 挂载时报错Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)，授予目录/devops执行权限

【在 system2 上】测试 akira 用户对挂载的共享目录是否具有可读可写权限
? $ su - akira
? $ cd /mnt/dev/
? $ cifscreds add 172.24.8.11 # 必须先通过服务器的授权验证

4，配置NFS服务
根据题目要求创建共享目录
mkdir /public
mkdir -p /protected/project
chown andres /protected/project##project的拥有者为andres

安装nfs包
yum install -y nfs*

#编辑配置文件
/etc/sysconfig/nfs##启动参数

RPCNFSDARGS="-V4.2"

/etc/exports ###资源导出配置文件

/public 172.24.8.0/24(ro,sync)
/protected 172.24.8.0/24(rw,sec=krb5p,sync)###Kerberos安全加密就是sec=krb5p

#设置共享目录安全上下文

semanger fcontext -a -t ‘public_content_t’ ‘/public(/.)?’
semanger fcontext -a -t ‘public_content_t’ '/protected(/.)?’
semanger fcontext -a -t ‘public_content_t’ ‘/protected/project(/.*)?’
ex
restore -Rv /public /protected /protected/project

ls -ldZ /public
ls -ldZ /protected
ls -ldZ /protected/project####检查目录的安全上下文

#设置防火墙规则
firewall-cmd --permanent --add-service=nfs

firewall-cmd --permanent --add-service=rpc-bind

firewall-cmd --permanent --add-service=mountd

firewall-cmd --reload

firewall-cmd --list-all

#下载kerberos密钥并放到/etc目录下
wget -O /etc/krb5.keytab http://server.group8.example.com/pub/keytabs/system1.keytab

重启服务，并设置开机自启动
systemctl restart nfs-sever nfs-secure-server

systemctl enable nfs-sever nfs-secure-server

#刷新并验证nfs
exportfs -ra
exportfs

#在system2上配置挂载nfs共享目录

#在 system2 上手动同步时间两次！
ntpdate server.group8.example.com
ntpdate server.group8.example.com

#检查nfs共享目录

showmount -e 172.24.8.11

#创建挂载目录
mkdir /mnt/nfsmount
mkdir /mnt/nfssecure
#下载安全密钥，并放置在/etc目录下，并进行重命名为krb5.keytab
wget -O /etc/krb5.keytab http://server.group8.example.com/pub/keytabs/system2.keytab

ls -l /etc/krb5.keytab

#编辑开机自动挂载配置文件
vim /etc/fstab

172.24.8.11:/public /mnt/nfsmount nfs defaults 0 0
172.24.8.11:/protected /mnt/nfssecure nfs defaults,sec=krb5p,v4.2 0 0

#重启nfs-secure服务并设置开机自启

systemctl restart nfs-secure
systemctl enable nfs-secure

#进行目录挂载
mount -a
df -h
#验证andres用户能否写入文件
su - andres

获取票

kinit

输入验证密码

redhat

查看获取到的票

klist

cd /mnt/nfssecure/project/
touch hello
ls -l
exit

5.实现一个web服务器

安装httpd包
yum install -y httpd

cp /usr/share/doc/httpd-2.4.6/httpd-vhosts.conf /etc/httpd/conf.d/

cd /var/www/html/

wget http://server.group8.example.com/pub/system1.html

mv system1.html index.html

[root@system1 html]# cat >>/etc/httpd/conf.d/httpd-vhosts.conf <<EOF

<VirtualHost *:80>
ServerName system1.group8.example.com
DocumentRoot /var/www/html

EOF
[root@system1 html]# ls -lZd /var/www/html/
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/

配置防火墙
[root@system1 html]# firewall-cmd --permanent --add-service=http
success
[root@system1 html]# firewall-cmd --permanent --add-service=https
success
[root@system1 html]# firewall-cmd --reload
success
[root@system1 html]# firewall-config（配置富规则，拒绝my133t.org域的客户端访问）
重启服务并设置开机自启动
[root@system1 html]# systemctl restart httpd
[root@system1 html]# systemctl enable httpd.service

6.配置安全web服务
#安装mod_ssl包
[root@system1 html]# yum install -y mod_ssl.x86_64
[root@system1 html]# cd /var/www/html/
[root@system1 html]# pwd
/var/www/html
#下载已签名证书
[root@system1 html]# wget http://server.group8.example.com/pub/tls/certs/system1.crt
#下载已签名证书的密钥
[root@system1 html]# wget http://server.group8.example.com/pub/tls/private/system1.key
#下载已签名证书的授权信息
[root@system1 html]# wget http://server.group8.example.com/pub/tls/certs/ssl-ca.crt

#参考ssl配置文件，对httpd的配置文件进行编辑
[root@system1 conf.d]# cat /etc/httpd/conf.d/ssl.conf
<VirtualHost *:443>
ServerName system1.group8.example.com
DocumentRoot /var/www/html
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLHonorCipherOrder on
SSLCertificateFile /etc/pki/tls/certs/system1.crt
SSLCertificateKeyFile /etc/pki/tls/private/system1.key
SSLCACertificateFile /etc/pki/tls/certs/ssl-ca.crt
tl
[root@system1 ~]# setsebool -P httpd_read_user_content off##关键
重启服务
[root@system1 ~]# systemctl restart httpd

7.配置虚拟主机

mkdir /var/www/virtual

ls -ldZ /var/www/virtual

cd /var/www/virtual

wget http://server.group8.example.com/pub/www8.html

mv www.html index.html

setfacl -m u:andy:rwx /var/www/virtual

vim /etc/httpd/conf.d/http.conf

<VirtualHost * ：80>
DocumentRoot /var/www/virtual
ServerName www8.group8.example.com

systemctl restart httpd

8.配置web内容的访问

mkdir /var/www/html/private

ls -ldZ /var/www/html/private

wget -O /var/www/html/private/index.html http://server.group8.example.com/pub/private.html

vim /etc/httpd/conf.d/httpd.conf
<Directory “/var/www/html/private”>
AllowOverride None
Require all denied
Require local

systemctl restart httpd

9.实现动态web内容
yum install -y mod_wsgi

mkdir /var/www/wsgi

cd /var/www/wsgi

wget http://server.group8.example.com/pub/webinfo.wsgi

vim /etc/httpd/conf.d/http.conf
listen 8909
<VirtualHost *:8909>
ServerName wsgi.group8.example.com
WSGIScriptAlias / /var/www/wsgi(可以参考/usr/share/doc/mod_wsgi-3.4/README文档）

更多配置参考：

https://blog.csdn.net/a59612/article/details/104848310
https://blog.csdn.net/a59612/article/details/104848303
https://blog.csdn.net/a59612/article/details/104837031
https://blog.csdn.net/a59612/article/details/104836988
https://blog.csdn.net/a59612/article/details/104836960
https://blog.csdn.net/a59612/article/details/104858045
https://blog.csdn.net/a59612/article/details/104858020

semanage port -a -t http_port_t -p tcp 8909

firewall-cmd --permanent --add-port=8909/tcp
firewall-cmd --reload

systemctr restart httpd

weixin-sjk6070

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
RHCE模拟

两个虚拟机上都要配置SELinux（在system1和system2都要进行配置）2.请按下列要求在 system1 和 system2 上设定防火墙系统：允许 group8.example.com 域的客户对 system1 和 system2 进行 ssh 访问。禁止 my133t.org 域的客户对 system1 和 system2 进行 ssh 访问。备注： my133t.org...
复制链接

扫一扫