第二届职业技能大赛网络系统管理项目模块A-Linux环境

旺仔Sec

已于 2024-01-17 17:22:11 修改

阅读量1k

点赞数 16

分类专栏：各类系统知识&竞赛任务书文章标签： php 服务器 linux

于 2024-01-17 17:21:30 首次发布

本文链接：https://blog.csdn.net/qq_50377269/article/details/135655844

版权

各类系统知识&竞赛任务书专栏收录该内容

43 篇文章 13 订阅

订阅专栏

测试项目 - 样题

第二届职业技能大赛

网络系统管理项目

*模块A**-Linux*环境

《测试项目》简介

以下是提交的所有《测试项目》提案中必须包含的章节或信息清单。

目录，包括组成《测试项目》的所有文件、图纸和照片的清单
介绍/概述
项目和任务的简短描述
选手须知
完成《测试项目》所需的设备、机械、装置和材料
《评分方案》（包括评估标准）
其他

随着业务的不断增长，保障应用系统的持续稳定性一直是信息技术领域面临的重大挑战。随着时代的变迁和技术的不断进步，现有系统的架构已经无法满足高性能、可扩展以及安全可靠的需求。为了解决这个问题，Delix 公司决定进行基础设施现代化改造，以强化和拓展其系统能力。作为公司雇佣的专业人员，您将承担这一重要任务，对公司的基础设施进行全方位的升级和改造，以确保系统的稳定性和可靠性。在这个过程中，您需要充分考虑系统的安全性、可扩展性和性能等方面，采用最先进的技术和工具，以确保系统的高效运行和优质服务。同时，您还需要与公司的其他部门密切合作，共同制定并执行改造计划，确保项目的进度和质量。通过您的努力和专业技能，Delix 公司将实现基础设施现代化，提升公司的竞争力和市场地位。

项目和任务的描述

所有的虚拟机都已经预安装了Debian Linux操作系统。你可以使用这些虚拟机来开发及测试你的工作。

登录所有虚拟机和设备：

用户名 : root / skills

密码: CNSkills-2023

如果以下未特别说明，账号的密码均为“CNSkills-2023”（不含引号）。

系统环境要求：

Locale: en_US.UTF-8

Keymap: us

Time zone: Asia/shanghai

System clock synchronized: yes

NTP service: active

在配置SSL或TLS时，应确保隐藏所有客户端警告。当用户访问任何网页服务时，如果连接不安全，系统应自动将其重定向至安全连接。为遵循任务要求，请勿安装或运行与要求不符的服务或程序。如未明确要求，请使用默认设置（如服务端口）。请注意，这些配置对于保护用户数据和隐私至关重要，务必谨慎处理。

出于测试目的，所有主机都应该装以下测试工具：curl, wget, lynx, nslookup, dig, ftp, lftp, showmount, smbclient, ssh, telnet, traceroute, ntpdate, lsof, nmap, mail host

选手须知

基本信息

所有主机按照网络表完成初始化设置

任务需求

路由服务
- 在Router1,Router2,Router3上启用动态路由协议实现网络通信
- 动态路由协议配置为OSPF
网络配置
- 在Router1上开启路由功能，配置防火墙规则
  - Client通过DNAT访问内部网络对外提供的服务
  - 仅允许访问对外提供的服务
  - 可以ping通外部网络，但不允许被ping
  - 所有防火墙的默认策略为DROP
  - 无效的访问应被记录到系统日志中
- 在Router2上开启路由功能，配置防火墙规则
  - Client通过DNAT访问内部网络对外提供的服务
  - 仅允许访问对外提供的服务
  - 使用icmp-host-prohibited响应禁用其他所有INPUT和FORWARD数据流量
  - 可以ping通外部网络，但不允许被ping
  - 限制ssh服务被连续访问3次不成功（每次只允许输入一次密码），则禁止访问1分钟
  - 所有防火墙的默认策略为DROP
  - 无效的访问应被记录到系统日志中
  - 客户端通过VPN连接后可以直接访问内部服务
- 在Router3上开启路由功能，配置防火墙规则
  - 仅允许Proxy网络访问App网络
  - 仅允许App网络访问Storage网络
  - 所有防火墙的默认策略为DROP
  - 无效的访问应被记录到系统日志中
NTP服务
- 在Data上安装和配置时间同步服务器
  - Router1及其内部的所有设备都应与其进行时间同步
- 在Router2上安装和配置时间同步服务器
  - 以Router1作为上游时间服务器
  - Router2及其内部的所有设备都应与其进行时间同步
DHCP服务
- 在Data上安装和配置DHCP服务器
  - 为Client提供网络地址及其他网络信息
DNS服务
- 在Mail1和Mail2安装和配置DNS服务器
  - 为外部设备提供域名解析服务
  - 启用主备模式
  - 查询非法域名应答状态为“NXDOMAIN”
    - 非法域名如下：
      - virus01.net -- virus99.net(01至99连续)
      - www.xvsex.com, xvsex.com, *.xvsex.com
      - soso4972.fun, soso4972.cc, soso4972.live, soso4972.art
  - 查询其他域名应CNAME到www.delix.com
证书服务
- 在Data上提供权威证书签名颁发服务
  - CA证书及其私钥应位于/ca-inf目录下
  - CA证书cacert.pem，CA私钥cakey.pem
  - 国家(C)为“CN”
  - 公用名(CN)为“CN Skills CA”
  - 组织(O)为“Our Encrypt”
  - 组织单位(OU)为“IT department”
  - 本测试项目中所有应用所需的证书均由此CA颁发
    - 且颁发的证书默认有效期为730天
数据存储
- 在Data上安装和配置iSCSI存储
  - 由5块1G的硬盘组成Raid10，其中1块为热备盘
  - 使用LVM管理磁盘阵列
  - 使用多路径连接保证稳定性
- 在Data上安装和配置NFS存储
  - 共享/website目录
  - 只允许Mail服务器访问
- 在Data上安装和配置ldap
  - 启用SSL/TLS
  - 存储邮件用户
邮件服务
- 在Mail1上安装和配置SMTP服务器
- 在Mail2上安装和配置IMAP服务器
  - 启用SSL/TLS，不允许非加密的连接
  - delix.com后缀的邮箱
    - 邮箱用户:zhangsan，lisi
  - 启用邮件群发功能
    - 向all@delix.com邮箱发送邮件，所有人都能收到
- 在Mail2上安装和配置WebMail
  - 通过https://mail.delix.com可以使用邮箱服务
虚拟机
- 在Mail1,Mail2上安装和配置kvm
  - 在Mail1上安装和运行虚拟机vm01，配置为使用console连接
  - 在Mail1上执行vmmigrate命令，vm01可迁移到Mail2上运行；反之可迁回
  - 配置客户端可通过IP(47.119.161.17)ssh访问到虚拟机
  - 开发一个简易的远程管理kvm的终端命令行工具vmcli
    - 支持远程启动、关闭、复原虚拟机
    - 支持修改虚拟机root用户密码
CDN服务
- 在Router1上安装Laod Balancer服务
  - 将客户端的web服务访问请求调度至Cache服务器群
  - 采用平均分配的调度策略
- 在Cache1,Cache2安装和配置Cache服务器
  - Cache1，Cache2提供互相查询缓存数据
  - 提供站点https://www.delix.com的静态资源缓存加速
负载均衡服务
- 在Proxy1和Proxy2上安装和配置Laod Balancer服务
  - 将客户端的请求平均分配到App服务器
  - Proxy1(默认主),Proxy2(互为主备)
Web服务
- 在App1，App2安装和配置Web服务器
  - 仅支持https访问
  - 进程用户和组为webuser
  - 访问delix.com以及二级域名同样会自动跳转(301)到www.delix.com
  - 禁止通过IP地址或其他域名访问(403)
  - 不暴露服务器系统和应用的版本信息
- www.delix.com
  - 设置网站根路径为/htdocs/html/
  - 网站数据应存放在内部网络提供的存储服务中
  - 支持PHP，开启OPCache缓存
  - 测试页面test.php,显示<?php phpinfo(); ?>输出信息
  - 安装部署wordpress
    - 支持用户注册
    - 发布一篇名为“第二届全国技能大赛”的文章
      - 文章链接:https://delix.com/posts/2nd-cnskills.html
    - 文章内容：上传一张分辨率不小于400x400的png格式的图片（指定素材:test.png）
  - 记录访问日志
    - /var/log/webs/www.delix.com/access.log
    - 记录客户端IP，访问时间，访问资源
  - 停机维护
    - 如果web服务停止，用户访问则得到维护页面：

“网站正在维护中，请您稍后再试”

FTP服务
- 在App1，App2安装和配置FTP服务器
  - 通过ftp.delix.com访问
  - /srv作为根目录
  - 启用TLS/SSL,不允许非加密的连接
  - 登录用户为zhangsan,lisi
    - zhangsan只能查看文件
    - lisi可以查看和上传文件
  - 上传的文件自动将拥有者更改为Web服务进程用户和组
存储服务
- 在Storage1,Storage2上安装和配置NFS作为数据存储共享服务器
  - 存储delix.com的文件
  - 共享/website目录
    - 只允许App区域访问
    - 自动挂载到网站根目录和FTP根目录
  - 配置NFS为互为主备的高可用存储
- 在Storage1,Storage2上安装和配置Mariadb作为数据库服务器
  - 存储delix.com的数据
  - 数据库root用户仅能凭密码从本地登录
  - 仅dbadmin用户凭密码可从App1和App2登录
  - 配置Mariadb为互为主备的高可用数据库服务
  - 编写数据库的数据备份脚本/shells/sqlbackup.sh
    - 导出备份从服务器上的所有数据库的sql
    - 每个数据库一个{database name}.sql文件，备份到/backup/dbs目录中，并将目录压缩打包
    - 打包的文件名为dbs-2023.05.18-10_15_24.tar.gz,其中“2023.05.18-10_15_24”表示备份当前时间“yyyy.mm.dd-HH_MM_SS”
    - 仅保留最新的两个备份文件

客户端测试

- 自动获取IP等
- 自动与NTP服务器同步时间
- 正确解析域名
- 访问Web应用
- 访问FTP服务
- 访问邮件服务
  - 使用evolution客户端
  - 配置为用户zhangsan的邮箱
  - 其他用户可通过Webmail登录邮箱
- 访问和控制虚拟机
- 通过ssh登录Router2
  - 客户端普通用户使用ssh Router2的命令即可免密码输入登录到Router2的skills用户
  - 客户端要求使用ed25529密钥对
  - 登录成功后，可以使用fdisk -l的命令查看当前系统分区情况
  - 若在客户端创建新的普通用户，可自动分配上述密钥对私钥，使其能登录到Router2服务器

所需的设备、机械、装置和材料

网络表

NO.	HOSTNAME	FQDN	IP ADDRESS	DESCRIPTION
1	Client	Client.delix.com	DHCP(47.119.161.x/28)	客户端
2	Mail1	Mail1.delix.com	172.16.100.101/26	互联网服务提供者
3	Mail2	Mail2.delix.com	172.16.100.102/26	互联网服务提供者
4	Data	Data.delix.com	172.16.100.103/26	数据存储服务器
5	Router1	Router1.delix.com	47.119.161.30/28 每个与它相连的网络的最后一个IP	路由
6	Cache1	Cache1.delix.com	172.16.100.201/26	缓存服务器
7	Cache2	Cache2.delix.com	172.16.100.202/26	缓存服务器
8	Router2	Router2.delix.com	每个与它相连的网络的最后一个IP	路由
9	Proxy1	Proxy1.delix.com	172.16.100.11/26	代理服务器
19	Proxy2	Proxy2.delix.com	172.16.100.12/26	代理服务器
11	Router3	Router3.delix.com	每个与它相连的网络的最后一个IP	路由
12	App1	App1.delix.com	172.16.100.101/26	应用服务器
13	App2	App2.delix.com	172.16.100.102/26	应用服务器
14	Storage1	Storage1.delix.com	172.16.100.201/26	数据存储服务器
15	Storage2	Storage2.delix.com	172.16.100.202/26	数据存储服务器