-
两个虚拟机上都要配置SELinux(在system1和system2都要进行配置)
2.请按下列要求在 system1 和 system2 上设定防火墙系统:
允许 group8.example.com 域的客户对 system1 和 system2 进行 ssh 访问。
禁止 my133t.org 域的客户对 system1 和 system2 进行 ssh 访问。
备注: my133t.org 是在 172.13.8.0/24 网络
3.自定义用户环境
在系统system1和system2上创建自定义命令为qstat ,要求:
此自定义命令将执行以下命令:/bin/ps -Ao pid,tt,user,fname,rsz
此命令对系统中的所有用户有效
4.配置链路聚合
在system2和system1之间按以下要求设定一个链路:
此链路使用接口eth1和eth2
此链路在一个接口失效时仍然能工作
此链路在system1使用下面的地址172.16.3.40/255.255.255.0
此链路在system2使用下面的地址172.16.3.45/255.255.255.0
此链路在系统重启之后依然保持正常状态
RHCSA模拟题中
第五题 group id 判分脚本为40000
第15题 添加swap分区,在分区时,将分区格式设置为linux swap
RHCE
1.配置邮件服务
不接受外部发送来的邮件
local_transport=error:local
inet_interfaces=loopback-only
2.配置samba服务
yum install -y samba samba-client
systemctl restart smb nmb#nmb为域名服务,否则只能使用IP地址
systemctl enable smb nmb#开机自启
#编辑配置文件
/etc/samba/smb.conf
[common]#共享名称
path = /common # 路径
browseable= yes # 是否可以浏览
hosts allow = 172.24.8.0/24 #允许访问的地址段,可以写成172.24.8.
writable=no#共享目录不可写,只读
设置防火墙
firewall-cmd --permanent --add-service=samba
firewall-cmd --reload
firewall-cmd --list-all
设置安全上下文
semanger fcontext -a -t samba_share_t '/common(/.*)?'
restorecon -Rv /common/
#查看设置的安全上下文
ls -dZ /common
创建用于访问的共享用户,并设置共享访问密码
smbpasswd -a andy #添加andy用户
redhat#密码(键入2次)
#再次重启服务
systemctl restart smb nmb
在system2上安装共享服务客户端工具,
yum install -y samba-client cifs*
smbclient -L //172.24.8.1 #列出共享目录
smbclient //172.24.8.1/common -U andy#以andy用户访问共享目录
3.配置多用户共享服务
创建共享目录
mkdir /devops
chmod o+w /devops #在system2 挂载时报错Refer to the mount.cifs(8) manual page (e.g. man mount.cifs),授予目录执行权限
配置samba配置文件
/etc/samba/smb.conf
[devops]
path=/devops
hosts allow=172.24.8.
browseable=yes
writable=no
write list=akira
设置selinux 安全上下文
semanage fcontext -a -t samba_share_t '/devops(/.*)?'
restorecon -Rv /devops
ls -ldZ /devops
将用户silene akira 加入共享
smbpasswd -a akira
redhat#键入密码redhat(2次)
smbpasswd -a silene
redhat#键入密码redhat(2次)
重启服务并设置开机启动
systemctl restart smb nmb
systemctl enable smb nmb
在system2上安装cifs 和samba-client
yum install -y samba-client cifs*
在system2上测试
smbclient -L //172.24.8.11/devops -U akira
smbclient //172.24.8.11/devops -U silene
创建挂载目录
mkdir /mnt/dev
编辑开机自动挂载配置文件
vim /etc/fstab
//172.24.8.11/devops /mnt/dev cifs defaults,multiuser,username=akira,password=redhat,sec=ntlmssp 0 0
mount -a#在system2 挂载时报错Refer to the mount.cifs(8) manual page (e.g. man mount.cifs),授予目录/devops执行权限
【在 system2 上】测试 akira 用户对挂载的共享目录是否具有可读可写权限
? $ su - akira
? $ cd /mnt/dev/
? $ cifscreds add 172.24.8.11 # 必须先通过服务器的授权验证
4,配置NFS服务
根据题目要求创建共享目录
mkdir /public
mkdir -p /protected/project
chown andres /protected/project##project的拥有者为andres
安装nfs包
yum install -y nfs*
#编辑配置文件
/etc/sysconfig/nfs##启动参数
RPCNFSDARGS="-V4.2"
/etc/exports ###资源导出配置文件
/public 172.24.8.0/24(ro,sync)
/protected 172.24.8.0/24(rw,sec=krb5p,sync)###Kerberos安全加密就是sec=krb5p
#设置共享目录安全上下文
semanger fcontext -a -t 'public_content_t' '/public(/.*)?'
semanger fcontext -a -t 'public_content_t' '/protected(/.*)?'
semanger fcontext -a -t 'public_content_t' '/protected/project(/.*)?'
ex
restore -Rv /public /protected /protected/project
ls -ldZ /public
ls -ldZ /protected
ls -ldZ /protected/project####检查目录的安全上下文
#设置防火墙规则
firewall-cmd --permanent --add-service=nfs
firewall-cmd --permanent --add-service=rpc-bind
firewall-cmd --permanent --add-service=mountd
firewall-cmd --reload
firewall-cmd --list-all
#下载kerberos密钥并放到/etc目录下
wget -O /etc/krb5.keytab http://server.group8.example.com/pub/keytabs/system1.keytab
重启服务,并设置开机自启动
systemctl restart nfs-sever nfs-secure-server
systemctl enable nfs-sever nfs-secure-server
#刷新并验证nfs
exportfs -ra
exportfs
#在system2上配置挂载nfs共享目录
#在 system2 上手动同步时间两次!
ntpdate server.group8.example.com
ntpdate server.group8.example.com
#检查nfs共享目录
showmount -e 172.24.8.11
#创建挂载目录
mkdir /mnt/nfsmount
mkdir /mnt/nfssecure
#下载安全密钥,并放置在/etc目录下,并进行重命名为krb5.keytab
wget -O /etc/krb5.keytab http://server.group8.example.com/pub/keytabs/system2.keytab
ls -l /etc/krb5.keytab
#编辑开机自动挂载配置文件
vim /etc/fstab
172.24.8.11:/public /mnt/nfsmount nfs defaults 0 0
172.24.8.11:/protected /mnt/nfssecure nfs defaults,sec=krb5p,v4.2 0 0
#重启nfs-secure服务并设置开机自启
systemctl restart nfs-secure
systemctl enable nfs-secure
#进行目录挂载
mount -a
df -h
#验证andres用户能否写入文件
su - andres
# 获取票
kinit
# 输入验证密码
redhat
# 查看获取到的票
klist
cd /mnt/nfssecure/project/
touch hello
ls -l
exit
5.实现一个web服务器
安装httpd包
yum install -y httpd
cp /usr/share/doc/httpd-2.4.6/httpd-vhosts.conf /etc/httpd/conf.d/
cd /var/www/html/
wget http://server.group8.example.com/pub/system1.html
mv system1.html index.html
[root@system1 html]# cat >>/etc/httpd/conf.d/httpd-vhosts.conf <<EOF
> <VirtualHost *:80>
> ServerName system1.group8.example.com
> DocumentRoot /var/www/html
> </VirtualHost>
> EOF
[root@system1 html]# ls -lZd /var/www/html/
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
配置防火墙
[root@system1 html]# firewall-cmd --permanent --add-service=http
success
[root@system1 html]# firewall-cmd --permanent --add-service=https
success
[root@system1 html]# firewall-cmd --reload
success
[root@system1 html]# firewall-config(配置富规则,拒绝my133t.org域的客户端访问)
重启服务并设置开机自启动
[root@system1 html]# systemctl restart httpd
[root@system1 html]# systemctl enable httpd.service
6.配置安全web服务
#安装mod_ssl包
[root@system1 html]# yum install -y mod_ssl.x86_64
[root@system1 html]# cd /var/www/html/
[root@system1 html]# pwd
/var/www/html
#下载已签名证书
[root@system1 html]# wget http://server.group8.example.com/pub/tls/certs/system1.crt
#下载已签名证书的密钥
[root@system1 html]# wget http://server.group8.example.com/pub/tls/private/system1.key
#下载已签名证书的授权信息
[root@system1 html]# wget http://server.group8.example.com/pub/tls/certs/ssl-ca.crt
#参考ssl配置文件,对httpd的配置文件进行编辑
[root@system1 conf.d]# cat /etc/httpd/conf.d/ssl.conf
<VirtualHost *:443>
ServerName system1.group8.example.com
DocumentRoot /var/www/html
SSLEngine on
SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5
SSLHonorCipherOrder on
SSLCertificateFile /etc/pki/tls/certs/system1.crt
SSLCertificateKeyFile /etc/pki/tls/private/system1.key
SSLCACertificateFile /etc/pki/tls/certs/ssl-ca.crt
</VirtualHost>tl
[root@system1 ~]# setsebool -P httpd_read_user_content off##关键
重启服务
[root@system1 ~]# systemctl restart httpd
7.配置虚拟主机
mkdir /var/www/virtual
ls -ldZ /var/www/virtual
cd /var/www/virtual
wget http://server.group8.example.com/pub/www8.html
mv www.html index.html
setfacl -m u:andy:rwx /var/www/virtual
vim /etc/httpd/conf.d/http.conf
<VirtualHost * :80>
DocumentRoot /var/www/virtual
ServerName www8.group8.example.com
</VirtualHost>
systemctl restart httpd
8.配置web内容的访问
mkdir /var/www/html/private
ls -ldZ /var/www/html/private
wget -O /var/www/html/private/index.html http://server.group8.example.com/pub/private.html
vim /etc/httpd/conf.d/httpd.conf
<Directory "/var/www/html/private">
AllowOverride None
Require all denied
Require local
</Directory>
systemctl restart httpd
9.实现动态web内容
yum install -y mod_wsgi
mkdir /var/www/wsgi
cd /var/www/wsgi
wget http://server.group8.example.com/pub/webinfo.wsgi
vim /etc/httpd/conf.d/http.conf
listen 8909
<VirtualHost *:8909>
ServerName wsgi.group8.example.com
WSGIScriptAlias / /var/www/wsgi(可以参考/usr/share/doc/mod_wsgi-3.4/README文档)
</VirtualHost>
semanage port -a -t http_port_t -p tcp 8909
firewall-cmd --permanent --add-port=8909/tcp
firewall-cmd --reload
systemctr restart httpd
来源:oschina
链接:https://my.oschina.net/u/4312865/blog/3194745