测试项目 - 样题
第二届职业技能大赛
网络系统管理项目
模块A-Linux环境
《测试项目》简介
以下是提交的所有《测试项目》提案中必须包含的章节或信息清单。
- 目录,包括组成《测试项目》的所有文件、图纸和照片的清单
- 介绍/概述
- 项目和任务的简短描述
- 选手须知
- 完成《测试项目》所需的设备、机械、装置和材料
- 《评分方案》(包括评估标准)
- 其他
介绍
此《测试项目》由以下文档/文件组成:
- 模块A-Linux-样题.docx
随着业务的不断增长,保障应用系统的持续稳定性一直是信息技术领域面临的重大挑战。随着时代的变迁和技术的不断进步,现有系统的架构已经无法满足高性能、可扩展以及安全可靠的需求。为了解决这个问题,Delix 公司决定进行基础设施现代化改造,以强化和拓展其系统能力。作为公司雇佣的专业人员,您将承担这一重要任务,对公司的基础设施进行全方位的升级和改造,以确保系统的稳定性和可靠性。在这个过程中,您需要充分考虑系统的安全性、可扩展性和性能等方面,采用最先进的技术和工具,以确保系统的高效运行和优质服务。同时,您还需要与公司的其他部门密切合作,共同制定并执行改造计划,确保项目的进度和质量。通过您的努力和专业技能,Delix 公司将实现基础设施现代化,提升公司的竞争力和市场地位。
项目和任务的描述
所有的虚拟机都已经预安装了Debian Linux操作系统。你可以使用这些虚拟机来开发及测试你的工作。
登录所有虚拟机和设备:
用户名 : root / skills
密码: CNSkills-2023
如果以下未特别说明,账号的密码均为“CNSkills-2023”(不含引号)。
系统环境要求:
Locale: en_US.UTF-8
Keymap: us
Time zone: Asia/shanghai
System clock synchronized: yes
NTP service: active
在配置SSL或TLS时,应确保隐藏所有客户端警告。当用户访问任何网页服务时,如果连接不安全,系统应自动将其重定向至安全连接。为遵循任务要求,请勿安装或运行与要求不符的服务或程序。如未明确要求,请使用默认设置(如服务端口)。请注意,这些配置对于保护用户数据和隐私至关重要,务必谨慎处理。
出于测试目的,所有主机都应该装以下测试工具:curl, wget, lynx, nslookup, dig, ftp, lftp, showmount, smbclient, ssh, telnet, traceroute, ntpdate, lsof, nmap, mail host
选手须知
基本信息
- 所有主机按照网络表完成初始化设置
任务需求
- 路由服务
- 在Router1,Router2,Router3上启用动态路由协议实现网络通信
- 动态路由协议配置为OSPF
- 网络配置
- 在Router1上开启路由功能,配置防火墙规则
- Client通过DNAT访问内部网络对外提供的服务
- 仅允许访问对外提供的服务
- 可以ping通外部网络,但不允许被ping
- 所有防火墙的默认策略为DROP
- 无效的访问应被记录到系统日志中
- 在Router2上开启路由功能,配置防火墙规则
- Client通过DNAT访问内部网络对外提供的服务
- 仅允许访问对外提供的服务
- 使用icmp-host-prohibited响应禁用其他所有INPUT和FORWARD数据流量
- 可以ping通外部网络,但不允许被ping
- 限制ssh服务被连续访问3次不成功(每次只允许输入一次密码),则禁止访问1分钟
- 所有防火墙的默认策略为DROP
- 无效的访问应被记录到系统日志中
- 客户端通过VPN连接后可以直接访问内部服务
- 在Router3上开启路由功能,配置防火墙规则
- 仅允许Proxy网络访问App网络
- 仅允许App网络访问Storage网络
- 所有防火墙的默认策略为DROP
- 无效的访问应被记录到系统日志中
- 在Router1上开启路由功能,配置防火墙规则
- NTP服务
- 在Data上安装和配置时间同步服务器
- Router1及其内部的所有设备都应与其进行时间同步
- 在Router2上安装和配置时间同步服务器
- 以Router1作为上游时间服务器
- Router2及其内部的所有设备都应与其进行时间同步
- 在Data上安装和配置时间同步服务器
- DHCP服务
- 在Data上安装和配置DHCP服务器
- 为Client提供网络地址及其他网络信息
- 在Data上安装和配置DHCP服务器
- DNS服务
- 在Mail1和Mail2安装和配置DNS服务器
- 为外部设备提供域名解析服务
- 启用主备模式
- 查询非法域名应答状态为“NXDOMAIN”
- 非法域名如下:
- virus01.net -- virus99.net(01至99连续)
- www.xvsex.com, xvsex.com, *.xvsex.com
- soso4972.fun, soso4972.cc, soso4972.live, soso4972.art
- 非法域名如下:
- 查询其他域名应CNAME到www.delix.com
- 在Mail1和Mail2安装和配置DNS服务器
- 证书服务
- 在Data上提供权威证书签名颁发服务
- CA证书及其私钥应位于/ca-inf目录下
- CA证书cacert.pem,CA私钥cakey.pem
- 国家(C)为“CN”
- 公用名(CN)为“CN Skills CA”
- 组织(O)为“Our Encrypt”
- 组织单位(OU)为“IT department”
- 本测试项目中所有应用所需的证书均由此CA颁发
- 且颁发的证书默认有效期为730天
- 在Data上提供权威证书签名颁发服务
- 数据存储
- 在Data上安装和配置iSCSI存储
- 由5块1G的硬盘组成Raid10,其中1块为热备盘
- 使用LVM管理磁盘阵列
- 使用多路径连接保证稳定性
- 在Data上安装和配置NFS存储
- 共享/website目录
- 只允许Mail服务器访问
- 在Data上安装和配置ldap
- 启用SSL/TLS
- 存储邮件用户
- 在Data上安装和配置iSCSI存储
- 邮件服务
- 在Mail1上安装和配置SMTP服务器
- 在Mail2上安装和配置IMAP服务器
- 启用SSL/TLS,不允许非加密的连接
- delix.com后缀的邮箱
- 邮箱用户:zhangsan,lisi
- 启用邮件群发功能
- 向all@delix.com邮箱发送邮件,所有人都能收到
- 在Mail2上安装和配置WebMail
- 通过https://mail.delix.com可以使用邮箱服务
- 虚拟机
- 在Mail1,Mail2上安装和配置kvm
- 在Mail1上安装和运行虚拟机vm01,配置为使用console连接
- 在Mail1上执行vmmigrate命令,vm01可迁移到Mail2上运行;反之可迁回
- 配置客户端可通过IP(47.119.161.17)ssh访问到虚拟机
- 开发一个简易的远程管理kvm的终端命令行工具vmcli
- 支持远程启动、关闭、复原虚拟机
- 支持修改虚拟机root用户密码
- 在Mail1,Mail2上安装和配置kvm
- CDN服务
- 在Router1上安装Laod Balancer服务
- 将客户端的web服务访问请求调度至Cache服务器群
- 采用平均分配的调度策略
- 在Cache1,Cache2安装和配置Cache服务器
- Cache1,Cache2提供互相查询缓存数据
- 提供站点https://www.delix.com的静态资源缓存加速
- 在Router1上安装Laod Balancer服务
- 负载均衡服务
- 在Proxy1和Proxy2上安装和配置Laod Balancer服务
- 将客户端的请求平均分配到App服务器
- Proxy1(默认主),Proxy2(互为主备)
- 在Proxy1和Proxy2上安装和配置Laod Balancer服务
- Web服务
- 在App1,App2安装和配置Web服务器
- 仅支持https访问
- 进程用户和组为webuser
- 访问delix.com以及二级域名同样会自动跳转(301)到www.delix.com
- 禁止通过IP地址或其他域名访问(403)
- 不暴露服务器系统和应用的版本信息
- www.delix.com
- 设置网站根路径为/htdocs/html/
- 网站数据应存放在内部网络提供的存储服务中
- 支持PHP,开启OPCache缓存
- 测试页面test.php,显示<?php phpinfo(); ?>输出信息
- 安装部署wordpress
- 支持用户注册
- 发布一篇名为“第二届全国技能大赛”的文章
- 文章链接:https://delix.com/posts/2nd-cnskills.html
- 文章内容:上传一张分辨率不小于400x400的png格式的图片(指定素材:test.png)
- 记录访问日志
- /var/log/webs/www.delix.com/access.log
- 记录客户端IP,访问时间,访问资源
- 停机维护
- 如果web服务停止,用户访问则得到维护页面:
- 在App1,App2安装和配置Web服务器
“网站正在维护中,请您稍后再试”
- FTP服务
- 在App1,App2安装和配置FTP服务器
- 通过ftp.delix.com访问
- /srv作为根目录
- 启用TLS/SSL,不允许非加密的连接
- 登录用户为zhangsan,lisi
- zhangsan只能查看文件
- lisi可以查看和上传文件
- 上传的文件自动将拥有者更改为Web服务进程用户和组
- 在App1,App2安装和配置FTP服务器
- 存储服务
- 在Storage1,Storage2上安装和配置NFS作为数据存储共享服务器
- 存储delix.com的文件
- 共享/website目录
- 只允许App区域访问
- 自动挂载到网站根目录和FTP根目录
- 配置NFS为互为主备的高可用存储
- 在Storage1,Storage2上安装和配置Mariadb作为数据库服务器
- 存储delix.com的数据
- 数据库root用户仅能凭密码从本地登录
- 仅dbadmin用户凭密码可从App1和App2登录
- 配置Mariadb为互为主备的高可用数据库服务
- 编写数据库的数据备份脚本/shells/sqlbackup.sh
- 导出备份从服务器上的所有数据库的sql
- 每个数据库一个{database name}.sql文件,备份到/backup/dbs目录中,并将目录压缩打包
- 打包的文件名为dbs-2023.05.18-10_15_24.tar.gz,其中“2023.05.18-10_15_24”表示备份当前时间“yyyy.mm.dd-HH_MM_SS”
- 仅保留最新的两个备份文件
- 在Storage1,Storage2上安装和配置NFS作为数据存储共享服务器
客户端测试
-
- 自动获取IP等
- 自动与NTP服务器同步时间
- 正确解析域名
- 访问Web应用
- 访问FTP服务
- 访问邮件服务
- 使用evolution客户端
- 配置为用户zhangsan的邮箱
- 其他用户可通过Webmail登录邮箱
- 访问和控制虚拟机
- 通过ssh登录Router2
- 客户端普通用户使用ssh Router2的命令即可免密码输入登录到Router2的skills用户
- 客户端要求使用ed25529密钥对
- 登录成功后,可以使用fdisk -l的命令查看当前系统分区情况
- 若在客户端创建新的普通用户,可自动分配上述密钥对私钥,使其能登录到Router2服务器
所需的设备、机械、装置和材料
网络表
NO. | HOSTNAME | FQDN | IP ADDRESS | DESCRIPTION |
1 | Client | Client.delix.com | DHCP(47.119.161.x/28) | 客户端 |
2 | Mail1 | Mail1.delix.com | 172.16.100.101/26 | 互联网服务提供者 |
3 | Mail2 | Mail2.delix.com | 172.16.100.102/26 | 互联网服务提供者 |
4 | Data | Data.delix.com | 172.16.100.103/26 | 数据存储服务器 |
5 | Router1 | Router1.delix.com | 47.119.161.30/28 每个与它相连的网络的最后一个IP | 路由 |
6 | Cache1 | Cache1.delix.com | 172.16.100.201/26 | 缓存服务器 |
7 | Cache2 | Cache2.delix.com | 172.16.100.202/26 | 缓存服务器 |
8 | Router2 | Router2.delix.com | 每个与它相连的网络的最后一个IP | 路由 |
9 | Proxy1 | Proxy1.delix.com | 172.16.100.11/26 | 代理服务器 |
19 | Proxy2 | Proxy2.delix.com | 172.16.100.12/26 | 代理服务器 |
11 | Router3 | Router3.delix.com | 每个与它相连的网络的最后一个IP | 路由 |
12 | App1 | App1.delix.com | 172.16.100.101/26 | 应用服务器 |
13 | App2 | App2.delix.com | 172.16.100.102/26 | 应用服务器 |
14 | Storage1 | Storage1.delix.com | 172.16.100.201/26 | 数据存储服务器 |
15 | Storage2 | Storage2.delix.com | 172.16.100.202/26 | 数据存储服务器 |