本文详细介绍了RHCE认证中涉及的SELinux配置,包括设置其工作模式,以及SSH访问控制。同时,讲解了如何自定义用户环境,如设置别名,并配置防火墙,包括端口转发和链路聚合。此外,还涉及了邮件服务、Samba文件服务器的配置,以及NFS和Web服务器的搭建。最后,文章涵盖了ISCSI网络磁盘的发布与访问,以及数据库的备份与导入导出操作。
- 配置SELinux
1.SELinux总开关(关闭,宽松,强制)
2.管理SELinux 策略(查看,调整)
enforcing 强制
permissive 宽松
disable 强制
setenforce 0 宽松模式
setenforce 1 强制模式
2.配置SSH访问(+防火墙)
配置文件 /etc/ssh/sssd_config
访问控制的设置
AllowUsers 用户名1 用户名2@主机地址 允许用户
DenyUsers 用户名1 用户名2@主机地址 拒绝用户
vim /etc/sss/sssd_config
DenyUsers *@my133t.org
3.自定义用户环境(别名设置)
Linux指令来源: /bin/bash
用户初始化文件:
/etc/bashrc
alias 简单别名=‘实际执行的复杂的命令行’
unalias 别名 取消别名
source /etc/bashrc 刷新别名
4.配置防火墙端口转发
内核机制:netfilter
系统服务:iptables >> firewalld
管理工具:iptables>> firewall-cmd ,firewall-config
预设了一些保护区域
Public:只允许sshd等个别服务,拒绝其他所有访问
block阻止所有的访问
drop丢弃所有的访问
trusted 新人网络,允许所有的访问。
永久配置–permanent
运行时配置:runtime
如何查看规则
firewall-cmd --get-zones
firewall-cmd --get-default-zone
firewall-cmd --list-all --zone public
如何设置默认
firewall-cmd --get-default-zone
firewall-cmd --set-default-zone=trusted
如何添加规则
firewall-cmd --add-service=应用协议名
firewall-cmd --add-port=端口名
firewall-cmd --reload
5.配置链路聚合
聚合连接:网络连接的捆绑,组团(多个连接合成一个连接)
聚合连接的作用–
热备份 activebackup
轮询负载均衡 roundrobin
定义聚合连接的类型时,采用的JSON语法标记–
JavaScript Object Notation
标记一个对象–{对象}
每一个对象–名称:值
每一个字符串–“字符串”
创建聚合连接的思路
1.创建新的聚合连接
2.为聚合连接指定成员网卡
3.为聚合连接配置IP地址,聚合类型
4.激活聚合连接,激活成员网卡
6.系统服务:network—>> NetworkManager
nmcli命令行工具
nm-connection-editor 图像配置工具
两个概念:
连接名称–逻辑上软件定义的一个名称
接口名称–物理上硬件设备的一个名称。
图形配置
[root@server0 ~]# lab teambridge setup 初始化,出现两个网卡
[root@server0 ~]# ifconfig -a | grep en 查看网卡
[root@server0 ~]# nm-connection-editor 使用图形工具
team0-p1
team0-p2 配置完后
{“runner”:{“name”:“activebackup”}}
[root@server0 ~]# nmcli connection up team0
[root@server0 ~]# nmcli connection down team0-p2 关闭
[root@server0 ~]# nmcli connection up team0-p2 开启
[root@server0 ~]# teamdctl team0 state
[root@server0 ~]# ping 172.16.3.20 验证
7.配置本地邮件服务:
电子邮件服务器:为用户提供发送/接收电子邮件的功能。
发信服务(postifix): SMTP
收信服务(dovecot):POP3,IMAP
电子邮件客户端:
mail命令
图形客户软件(Outlook,Thunderbird ,Foxmail)
nullclient邮件服务器:只发邮件,不存储邮件
运行架构:nullclient邮件服务器(A) --正常邮件服务器(B)
[root@desktop0 ~]# lab smtp-nullclient setup 刷新
8.配置文件服务器/客户端
通过Samba发布共享目录
用途:为客户机提供共享文件夹,共享打印机资源
软件包(s):samba
软件包(c):samba-client cifs-utils
协议和端口:
CIFS,Common Internet File System 通用网际文件系统
TCP 445
SMB,Server Message Block,服务消息块
TCP 139
系统服务Smb
配置文件:/etc/samba/smb.conf
基本配置格式:
【共享名】 【global,homes,printers]
配置参数=值
系统账号;Linux本机能够登录的用户账号
共享账号:专门用来访问Samba共享资源的用户账号
账号建立的规则:
1.共享账号与系统账号同名
2.共享账号使用独立的密码
useradd 用户名
pdbedit -a 用户名
pdbedit -x 用户名
pdbedit -L 用户名
【commom]
path=/common //共享目录的路径
browseable=yes //可浏览
valid users =harry //授权指定用户
read only =yes //只读
SELinux对SMB共享的保护
getsebool查看SELinux开关
getsebool -a | grep samba_export
samba_export_all_ro --off
samba_export_all_rw --off 是否允许可读写共享
setsebool 控制SELinux开关
需要加- p选项才能实现永久设置
setsebool -P samba_export_all_rw=on
getsebool -a | grep samba_export
amba_export_all-rw --on 确认已打开
修改配置
vim /etc/samba/smb.conf
共享名
配置参数=值
[common]
path=/common //共享目录的路径
browseable=yes //可浏览
valid users = harry //授权指定用户
read only = yes //只读
write list = 用户名 指定有写入权限的用户
客户机如何访问samba共享资源
查看目标主机提供了哪些共享:
smbclient -L 服务器地址:
访问目标主机的共享文件夹:
smbclient -U 用户名 //服务器地址/共享名
mount -o username=用户名,password=密码 //服务器地址/共享名 本地挂载点
9.配置多用户Samba挂载
multiuser__ 客户机访问共享资源的时候,以与服务器共享账号同名的客户端用户登录,添加密码凭据,来获得新得共享权限
挂载参数:multiuser,sec=ntlmssp,_netdev
添加认证凭据:
cifscreads add 目标主机地址
10.配置NFS共享;
Network File System 网络文件系统
用途:为客户机提供共享使用得文件夹
协议:NFS(TCP/UDP 2049),RPC(TCP/UDP 111)
所需软件包:nfs-utils
系统服务:nfs-server
mkdir /public
echo hehelele > /public/nsd.txt
vim /etc/exports
/public 172.25.0.0/24(ro)
/abc 172.25.0.0/24(rw,no_root_squash) 不压榨客户端root权限
systemctl restart nfs-server
systemctl enable nfs-server
showmount -e
客户机
[root@desktop0 ~]# showmount -e server0
mkdir /mnt/nfsmount
mount server0:/public /mnt/nfsmount/
df -h /mnt/nfsmount/
cat /mnt/nfsmount/pub.txt
touch /mnt/nfsmount/2.txt
vim /etc/fstab
server0:/public /mnt/nfsmount nfs _netdev 0 0
mount -a
ls /mnt/nfsmount
df -h
kerberos 认证机制:
lab nfskrb5 setup
id ldapuser0
authconfig-tuiwget
wget http://网站 -O /etc/krb5.keytab
[root@server0 ~]# wget http://classroom/pub/keytabs/server0.keytab -O /etc/krb5.keytab
[root@server0 ~]# mkdir /protected
[root@server0 ~]# mkdir /protected/project
[root@server0 ~]# chown ldapuser0 /protected/project/
[root@server0 ~]# ls -ld /protected/project/
drwxr-xr-x. 2 ldapuser0 root 6 May 12 20:55 /protected/project/
[root@server0 ~]# vim /etc/sysconfig/nfs
RPCNFSDARGS="-V 4"
[root@server0 ~]# vim /etc/exports
/public 172.25.0.0/24(ro)
/protected 172.25.0.0/24(rw,sec=krb5p)
[root@server0 ~]# systemctl start nfs-secure-server
12 .配置Web服务器
yum -y install httpd
配置文件:
vim /etc/httpd/conf/httpd.conf
vim /etc/httpd/conf.d/*.conf
Listen 监听地址端口(80)
ServerName:本站点注册的DNS名称(空缺)
DocumentRoot网页根目录(/var/www/html)
DirectoryIndex:起始页/首页文件名(index.html)
配置一个虚拟主机
<VirtualHost *:80>
ServerName server0.example.com
DocumentRoot /var/www/html
:wq
httpd -t 验证测试成功不
获取httpd配置手册
yum -y install httpd-manual
systemctl restart httpd
firefox http://server0/manual/
客户机:
yum -y install elinks
elinks -dump http://server
13.CA:第三方得证书颁发机构(数字证书中心)
实现HTTPS加密通信需要得素材:
服务器得电子证书(cert):服务器基本信息,颁发机构,有效期,加密用得公钥。。。。颁发机构得签名
服务器私钥(key):用来解密,包括服务器得信息,解密素材
根证书(CA):第三方机构得证书。
14题;
测试 [root@localhost ~]# elinks -dump http://www0.example.com
15
16.实现动态网站 WEB内容
静态网站:服务端的原始网页=浏览器访问到的网页
由WEB服务软件处理所有请求
文本(txt/html)图片(jpg/png)等静态资源
动态网站的原始网页 不等于 浏览器访问到的网页
由WEB服务软件接受请求,动态程序转后端模块处理
PHP网页,Python网页,JSP网页
semanage port -l | grep http 查看允许的端口
semanage port -a -t http_port_t -p tcp 8909
19: ISCSI,网络磁盘
软件包(s): targetcli
软件包(C):iscsi-initiator-utils
后端存储backstore: 服务端实际提供得存储设备(磁盘,分区,文件)
ISCSI存储对象:
软件逻辑上定义得一个网络磁盘target
LUN逻辑单元:
软件逻辑上定义得到后端存储得一个映射
IQN名称(ISCSI Qualified Name):
iqn.yyyy-mm反序区域名:自定义标记。
如何发布一个ISCSI磁盘
1.定义一个后端存储设备
2.创建一个ISCSI对象 (IQN名称)
3.为ISCSI对象添加LUN对应到后端存储
4.为ISCSI对象指定允许访问得客户机标识 (IQN名称)
5.为ISCSI对象指定监听得地址,端口
root@server0 ~]# yum -y install iscsi-initiator-utils.i686
[root@server0 ~]# parted /dev/vdb
(parted) mktable gpt
(parted) mkpart primary ext4 0 3G
Ignore/Cancel? I
[root@server0 ~]# yum -y install targetcli.noarch
[root@server0 ~]# targetcli
/> /backstores/block create iscsi_store /dev/vdb1
/> /iscsi create iqn.2016-02.com.example:server0
/> /iscsi/iqn.2016-02.com.example:server0/tpg1/acls create iqn.2016-02.com.example:desktop0
/> iscsi/iqn.2016-02.com.example:server0/tpg1/luns create /backstores/block/iscsi_store
/> iscsi/iqn.2016-02.com.example:server0/tpg1/portals create 172.25.0.11
[root@server0 ~]# systemctl restart target
[root@server0 ~]# systemctl enable target.service
root@desktop0 ~]# yum -y install iscsi-initiator-utils.i686
如何访问一个ISCSI磁盘
1.准备工作(初始化,引爆)
2.为客户机标识IQN名称
[root@server0 ~]# vim /etc/iscsi/initiatorname.iscsi
InitiatorName=iqn.2016-02.com.example:desktop0
[root@server0 ~]# systemctl restart iscsi
[root@desktop0 ~]# systemctl enable iscsi
3.查找ISCSI磁盘
iscsiadm -m discovery -t st -p 服务器地址
[root@desktop0 ~]# iscsiadm -m discovery -t st -p server0
[root@desktop0 ~]# iscsiadm -m discovery -t st -p 172.25.0.11
连接ISCSI磁盘
[root@desktop0 ~]# iscsiadm -m node -T iqn.2016-02.com.example:server0 -l
4.使用磁盘
识别,分区,格式化,挂载
[root@desktop0 ~]# lsblk
[root@desktop0 ~]# parted /dev/sda
(parted) mktable gpt
(parted) mkpart primary ext4 0 2100MiB
[root@desktop0 ~]# partprobe /dev/sda
[root@desktop0 ~]# mkfs.ext4 /dev/sda1
[root@desktop0 ~]# mkdir /mnt/data
[root@desktop0 ~]# vim /etc/fstab
/dev/sda1 /mnt/data ext4 defaults_netdev 0 0
[root@desktop0 ~]# mount -a
[root@desktop0 ~]# df -h
LUN逻辑单元
软件逻辑上定义得到后端存储得一个映射
IQN名称(ISCSI Qualified Name):
iqn.yyyy-mm.反序区域名:自定义标记
21yum -y install mariadb-server
systemctl start mariadb
netstat -antpu | grep maria
netstat -antpu | grep mys
设置密码
[root@server0 ~]# mysqladmin -u root password ‘atenorth’
数据库的导入,导出–
导出 mysqldump -u 用户名 -p 数据库名 > 备份.sql
导入 mysql -u root -p密码 数据库名 < 备份.sql
统计查询结果的数量
select count(*)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
