下午RHCE7 备考

下午RHCE7 备考
•   下午RHCE考试环境说明
•   题量比较大，需要将题库练熟练！
•   每人一台物理机，内建两个虚拟机
•   下午考试不需要配置主机名和IP地址，可以直接看考题
•   RHCE-Server1的IP地址是：172.24.8.11/24
•   RHCE-Server2的IP地址是：172.24.8.12/24
•   RHCE第一题：设定SELinux
在 system1 和 system2 上要求 SELinux 的工作模式为 enforcing :
 要求系统重启后依然生效。

•   第一步：读题
•   两个虚拟机上都要配置SELinux
•   步骤与上午的考试一模一样
•   第二步：【在 system1 和 system2 上】修改SELinux主配置文件，使重启有效
•   $ sed -ri 's/^(SELINUX=).*/\1enforcing/' /etc/selinux/config
•   第三步：【在 system1 和 system2 上】修改当前环境的SELinux工作模式，使当前有效
•   $ setenforce 1
•   第四步：【在 system1 和 system2 上】查看SELinux状态，验证修改操作是否成功
Current mode
Mode from config file
•   $ sestatus
•   RHCE第二题：配置防火墙
请按下列要求在 system1 和 system2 上设定防火墙系统：
 允许 group8.example.com 域的客户对 system1 和 system2 进行 ssh 访问。
 禁止 my133t.org 域的客户对 system1 和 system2 进行 ssh 访问。
 备注： my133t.org 是在 172.13.8.0/24 网络

•   第一步：读题
•   两个虚拟机上都要配置firewalld规则
•   “允许”不等于“仅允许”
•   如果选择firewalld来实现配置，则必须屏蔽iptables的服务条目（禁止iptables开机启动）
•   防火墙规则设置：允许所有的域，然后拒绝指定的域
•   第二步：【在 system1 和 system2 上】禁止iptables开机启动，并且立即屏蔽当前的iptables服务条目
•   $ systemctl mask iptables
•   $ systemctl mask ip6tables
•   $ iptables -F
•   $ iptables -X
•   $ iptables -Z
•   第三步：【在 system1 和 system2 上】设置firewalld为开机启动，并立即启动firewalld，查看firewalld是否已经存在服务条目（如果已经存在firewalld服务条目，清除它！）
•   $ systemctl enable firewalld
•   $ systemctl start firewalld
•   $ firewall-cmd --list-all
•   第四步：【在 system1 和 system2 上】添加“允许所有域对本机进行ssh访问”的防火墙规则（service规则；相当于白名单）
•   $ firewall-cmd --permanent --add-service ssh
•   第五步：【在 system1 和 system2 上】添加“拒绝 172.13.8.0/24 网段所有主机对本机进行ssh访问”的防火墙规则（rich规则；相当于黑名单）
•   $ firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.13.8.0/24 service name=ssh reject'
•   第六步：【在 system1 和 system2 上】重新载入本机firewalld服务条目，使得新配置的防火墙规则立即生效
•   $ firewall-cmd --reload
•   第七步：【在 system1 和 system2 上】查看新配置的防火墙规则是否已经生效
•   $ firewall-cmd --list-all
•   RHCE第三题：自定义用户环境
在系统system1和system2上创建自定义命令为qstat ，要求：
 此自定义命令将执行以下命令：/bin/ps -Ao pid,tt,user,fname,rsz
 此命令对系统中的所有用户有效

•   第一步：读题
•   可以使用命令别名实现
•   要使此命令别名对所有用户有效，则必须把命令别名的定义写入全局bashrc配置文件中
•   命令别名的定义建议放在bashrc文本内容的最后一行，千万不可以放在if条件判断语句中！
•   两个虚拟机上都要配置命令别名
•   第二步：【在 system1 和 system2 上】在 /etc/bashrc 全局配置文件的末尾追加一行命令别名定义
•   $ cat >> /etc/bashrc << EOF
•   alias qstat='/bin/ps -Ao pid,tt,user,fname,rsz'
•   EOF
•   第三步：【在 system1 和 system2 上】使全局配置文件对当前Bash进程立即生效
•   $ source /etc/bashrc
•   第四题：【在 system1 和 system2 上】查看新添加的命令别名配置是否生效
•   $ qstat
•   $ alias | grep qstat
•   RHCE第四题：配置端口转发
在系统 system1 设定端口转发，要求：
 在172.24.8.0/24网络中的系统，访问system1的本地端口 5423 将被转发到 80
 此设置必须永久有效

•   第一步：读题
•   本题的所有操作必须在 system1 上配置
•   “此设置必须永久有效”，必须写入配置文件
•   注意：“访问system1的本地端口 5423 将被转发到 80”，有可能是TCP通道、也有可能是UDP通道，必须考虑周全！
•   第二步：【在 system1 上】添加防火墙的rich规则，将TCP的5423和UDP的5423访问全部转发到80
•   $ firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.24.8.0/24 forward-port port=5423 protocol=tcp to-port=80'
•   $ firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.24.8.0/24 forward-port port=5423 protocol=udp to-port=80'
•   第三步：【在 system1 上】重新加载防火墙服务条目
•   $ firewall-cmd --reload
•   第四步：【在 system1 上】查看配置操作是否生效
•   $ firewall-cmd --list-all
•   效果图

•   RHCE第五题：配置链路聚合
在system1和system2之间按以下要求设定一个链路： 此链路使用接口eth1和eth2 此链路在一个接口失效时仍然能工作 此链路在system1使用下面的地址172.16.3.40/255.255.255.0 此链路在system2使用下面的地址172.16.3.45/255.255.255.0 此链路在系统重启之后依然保持正常状态
•   第一步：读题
•   两块网卡在物理层必须处于同一网络【实验中两个网卡在物理层均为“仅主机模式”】
•   第二步：【在 system1 和 system2 上】创建网卡绑定
•   $ nmcli connection add type team con-name team0 ifname team0 config '{"runner":{"name":"activebackup"}}'
•   第三步：【在 system1 上】指定IPv4地址
•   $ nmcli connection modify team0 ipv4.addresses 172.16.3.40/24 ipv4.method manual connection.autoconnect yes
•   第四步：【在 system2 上】指定IPv4地址
•   $ nmcli connection modify team0 ipv4.addresses 172.16.3.45/24 ipv4.method manual connection.autoconnect yes
•   第五步：【在 system1 和 system2 上】将两块网卡加入到网卡绑定
•   $ nmcli connection add type team-slave con-name team0-port1 ifname eth1 master team0
•   $ nmcli connection add type team-slave con-name team0-port2 ifname eth2 master team0
•   第六步：【在 system1 和 system2 上】先启动两个网络接口，然后再启动网卡绑定
•   $ { nmcli connection up team0-port1; nmcli connection up team0-port2; nmcli connection up team0; }
•   第七步：【在 system1 和 system2 上】验证网卡绑定的状态是否启用
•   $ { teamdctl team0 state; ifconfig team0; }
•   第八步：【在 system1 上】测试本机的网卡绑定能否连通另外一台虚拟机的网卡绑定
•   $ ping 172.16.3.45
•   第九步：【在 system2 上】测试本机的网卡绑定能否连通另外一台虚拟机的网卡绑定
•   $ ping 172.16.3.40
•   RHCE第六题：配置IPv6地址
在考试系统上设定接口eth0使用下列IPV6地址：
 system1上的地址应该是2003:ac18::305/64
 system2上的地址应该是2003:ac18::30a/64
 两个系统必须能与网络2003:ac18/64内的系统通信
 地址必须在重启后依然生效
 两个系统必须保持当前的IPV4地址并能通信

•   第一步：读题
•   考试的时候要看清楚是对哪一个网卡做IPv6设置！
•   注意两台虚拟机的IPv6地址要对应，不要弄错！
•   第二步：【在 system1 上】使用命令行方式配置eth0的IPv6地址
•   $ nmcli connection modify eth0 ipv6.addresses 2003:ac18::305/64 ipv6.method manual connection.autoconnect yes
•   第三步：【在 system2 上】使用命令行方式配置eth0的IPv6地址
•   $ nmcli connection modify eth0 ipv6.addresses 2003:ac18::30a/64 ipv6.method manual connection.autoconnect yes
•   第四步：【在 system1 和 system2 上】重启eth0网卡
•   $ { nmcli connection down eth0; nmcli connection up eth0; }
•   第五步：【在 system1 上】查看IPv6地址设置是否生效，然后ping 另外一台主机的IPv6地址，测试是否可以连通
•   $ ifconfig eth0
•   $ ping6 2003:ac18::30a
•   第六步：【在 system2 上】查看IPv6地址设置是否生效，然后ping 另外一台主机的IPv6地址，测试是否可以连通
•   $ ifconfig eth0
•   $ ping6 2003:ac18::305
•   RHCE第七题：配置本地邮件服务
在系统 system1 和system2 上配置邮件服务，要求：
 这些系统不接受外部发送来的邮件
 在这些系统上本地发送的任何邮件都会自动路由到 mail.group8.example.com
 从这些系统上发送的邮件显示来自于 server.group8.example.com
您可以通过发送邮件到本地用户 dave 来测试您的配置,系统 server.group8.example.com 已经配置把此用户的邮件转到URL http://server.group8.example.com/pub/received_mail/8
•   第一步：读题
•   系统默认已经安装了Postfix邮件服务器（如果没有装，手动装上即可）
•   立即启动邮件服务并使邮件服务在下一次系统重启后仍然生效
•   设置邮件服务监听在本地的25端口上，（只接收来自本地发来的邮件，不接收外部发来的邮件）
•   重写本地邮件显示的来源域，使得从本地两个虚拟机系统上发送的邮件都显示为“来自于 server.group8.example.com”
•   设置邮件中继服务器，使得从本地两个虚拟机系统上发送的任何邮件都会自动路由到 mail.group8.example.com
•   在两个虚拟机上都要做配置
•   第二步：【在 system1 和