紅帽 rhce認證考試題庫.doc

不用破解system1,system2密碼 注意看網絡信息 考前題目1.配置 SELinuxSELinux 必須在兩個系統(tǒng) system1 和 system2 中運行于 Enforcing 模式-1) getenforcerootsystem1 # getenforceEnforcing2) setenforce 1rootsystem1 # setenforce -helpusage: setenforce Enforcing | Permissive | 1 | 0 rootsystem1 # setenforce 13) vi /etc/selinux/config將SELINUX=permissive 改成 SELINUX=enforcing同樣地在system2上執(zhí)行同樣操作。2.配置 SSH 訪問按以下要求配置 SSH 訪問:用戶能夠從域 rhce.cc 內的客戶端通過 SSH 遠程訪問您的兩個虛擬機系統(tǒng)在域 內的客戶端不能訪問您的兩個虛擬機系統(tǒng)-1)查看當前域rhce.cc的網段：rootsystem1 # host system1.rhce.ccsystem1.rhce.cc has address 00可知網段為2)vi /etc/hosts.allow添加如下內容：#sshd : /3)vi/etc/hosts.deny#sshd : .4)scp /etc/hosts.allow /etc/hosts.deny system2.rhce.cc:/etc/3.自定義用戶環(huán)境在系統(tǒng) system1 和 system2 上創(chuàng)建自定義命令名為 qstat 此自定義命令將執(zhí)行以下命令:/bin/ps -Ao pid,tt,user,fname,rsz此命令對系統(tǒng)中所有用戶有效。-1)vim/etc/bashrc unset -f pathmungefi# vim:ts=4:sw=4alias qstat=/bin/ps -Ao pid,tt,user,fname,rsz /最后一行2)source /etc/bashrc3) qstat2301 ? root kworker/ 0 2315 ? root kworker/ 0 2333 ? root anacron 748 2344 ? root kworker/ 0 2346 pts/1 root ps 12644)scp /etc/bashrc system2:/etc5)在system2上執(zhí)行source /etc/bashrc4.配置端口轉發(fā)在系統(tǒng) system1 配置端口轉發(fā)， 要求如下：在 /24 網絡中的系統(tǒng)， 訪問 system1 的本地端口 5423 將被轉發(fā)到 80此設置必須永久有效-1) 在system1上添加富規(guī)則firewall-cmd -add-rich-rule rule family=ipv4 source address=00/24 forward-port port=5423 protocol=tcp to-port=80 2) 在system1上添加永久性富規(guī)則rootsystem1 # firewall-cmd -add-rich-rule rule family=ipv4 source address=00/24 forward-port port=5423 protocol=tcp to-port=80 -permanentsuccess3) 查看當前富規(guī)則：firewall-cmd -list-rich-rulesrootsystem1 # firewall-cmd -list-rich-rules rule family=ipv4 source address=/24 forward-port port=5423 protocol=tcp to-port=805.配置聚合鏈路在 system1.rhce.cc 和 system2.rhce.cc 之間按以下要求配置一個鏈路：此鏈路使用接口 eth1 和 eth2此鏈路在一個接口失效時仍然能工作此鏈路在 system1 使用下面的地址 5/此鏈路在 system2 使用下面的地址 5/此鏈路在系統(tǒng)重啟之后依然保持正常狀態(tài)-1) 配置system1上的team0文件nmcli connection add type team con-name team0 ifname team0 config runner:name:activebackup2) 為team0配置IP地址nmcli connection modify team0 ipv4.addresses 5/243) 為team0設置手動管理nmcli connection modify team0 ipv4.method manual 4) 添加一個類型為team-slave的從設備，連接名為team0-1 接口為eth1， master 為team0nmcli connection add type team-slave con-name team0-1 ifname eth1 master team05) 添加一個類型為team-slave的從設備，連接名為team0-2 接口為eth1， master 為team0nmcli connection add type team-slave con-name team0-2 ifname eth2 master team0 cd /etc/sysconfig/network-scripts/vi ifcfg-team0 檢查onboot是否=yesvi ifcfg-team0 檢查onboot是否=yessystemctl restart networkssh 遠程到另一臺主機 00 復制如上命令，重復執(zhí)行如下命令nmcli connection add type team con-name team0 ifname team0 config runner:name:activebackupnmcli connection modify team0 ipv4.addresses 5/24 /ip要更換nmcli connection modify team0 ipv4.method manual nmcli connection add type team-slave con-name team0-1 ifname eth1 master team0nmcli connection add type team-slave con-name team0-2 ifname eth2 master team0 systemctl restart networkping 5 或者 5teamdctl team0 state 查看狀態(tài)6.配置 IPv6 地址在您的考試系統(tǒng)上配置接口 eth0 使用下列 IPv6 地址：system1 上的地址應該是 200e:ac18:e0a/64system2 上的地址應該是 200e:ac18:e14/64兩個系統(tǒng)必須能與網絡 200e:ac18/64 內的系統(tǒng)通信。地址必須在重啟后依舊生效。兩個系統(tǒng)必須保持當前的 IPv4 地址并能通信。-1) 在system1上修改管理方式為autonmcli connection modify eth0 ipv6.method auto2) 在system1上修改eth0網卡的mac地址nmcli connection modify eth0 ipv6.addresses 200e:ac18:e0a/643) 在system1上修改管理方式為manualnmcli connection modify eth0 ipv6.method manualnmcli connection show eth0|grep ipv6 /可以檢查如下值是否為 auto，如果不為auto則會無法成功配置mac地址。ipv6.method: auto4) 重啟網絡服務systemctl restart network在system2上再執(zhí)行一次：1) 在system2上修改管理方式為autonmcli connection modify eth0 ipv6.method auto2) 在system2上修改eth0網卡的mac地址nmcli connection modify eth0 ipv6.addresses 200e:ac18:e14/643) 在system2上修改管理方式為manualnmcli connection modify eth0 ipv6.method manual4) 重啟網絡服務systemctl restart network5) 最后在system1使用如下命令測試網絡連通性：ping6 200e:ac18:e147.配置本地郵件服務老段工作室 www.rhce.cc在系統(tǒng) system1 和 system2 上 配置郵件服務， 滿足以下要求：這些系統(tǒng)不接收外部發(fā)送來的郵件在這些系統(tǒng)上本地發(fā)送的任何郵件都會自動路由到 rhgls.rhce.cc從這些系統(tǒng)上發(fā)送的郵件顯示來自于 rhce.cc您可以通過發(fā)送郵件到本地用戶 dave 來測試您的配置， 系統(tǒng) rhgls.rhce.cc 已經配置把此用戶的郵件轉到下列 URL http:/rhgls.rhce.cc/received_mail/11-本地系統(tǒng)不接受外部發(fā)來的郵件：分別在system1，2上開啟smtp富規(guī)則：firewall-cmd -add-service=smtpfirewall-cmd -add-service=smtp -permanent1) 編輯郵件配置文件：vim /etc/postfix/main.cf2) 查找mydestination#mydestination = $myhostname, localhost.$mydomain, localhost/注釋該行mydestination = /取消下一行注釋，并刪除=號后面內容將本地發(fā)送的郵件自動路由到rhgls.rhce.cc1) 查找relayhost#relayhost = an.ip.add.ress /在該行下新起一行relayhost = rhgls.rhce.cc /修改成rhgls.rhce.cc從這些系統(tǒng)上發(fā)送的郵件顯示來自于 rhce.cc 1) 查找myorigin#myorigin = $mydomain /在該行下新起一行myorigin = rhce.cc /修改成rhgls.rhce.cc2) 重啟system1郵件服務systemctl restart postfixrootlocalhost # vi /etc/resolv.conf rootlocalhost # systemctl restart networkrootlocalhost # host system1.rhce.ccsystem1.rhce.cc has address 001) 拷貝system1郵件服務配置文件到system2上scp /etc/postfix/main.cf system2.rhce.cc:/etc/postfix/main.cf2) 重啟郵件服務systemctl restart postfixyum y install mailxecho aaa |mail -s system1 dave8.通過 SMB 共享目錄在 system1 上配置 SMB 服務您的 SMB 服務器必須是 STAFF 工作組的一個成員共享 /common 目錄 共享名必須為 common只有 rhce.cc 域內的客戶端可以訪問 common 共享common 必須是可以瀏覽的用戶 andy 必須能夠讀取共享中的內容， 如果需要的話， 驗證的密碼是 redhat-您的 SMB 服務器必須是 STAFF 工作組的一個成員yum - y install samba1) 編輯sbm.conf配置文件vim /etc/samba/smb.conf查找workgroupworkgroup = STAFFserver string = Samba Server Version %v共享 /common 目錄 共享名必須為 common1) 創(chuàng)建共享目錄mkdir /common2) 編輯sbm.conf配置文件vim /etc/samba/smb.conf切到最后一行，添加commonpath = /commonhosts allow = /24 /只有 rhce.cc 域內的客戶端可以訪問 common 共享，而rhce.cc的網段為/243) 更改上下文chcon R t samba_share_t /common用戶 andy 必須能夠讀取共享中的內容， 如果需要的話， 驗證的密碼是 redhatuseradd andypdbedit L 查看samba用戶列表yum whatprovides */smbpasswd 查看smbpasswd命令由哪個包提供Repo : aaMatched from:Filename : /etc/raddb/mods-available/smbpasswdsamba-client-4.1.1-31.el7.x86_64 : Samba client programsRepo : aaMatched from:Filename : /usr/bin/smbpasswdsmbpasswd a andy 為andy設置密碼firewall-cmd -add-service=samba 添加samba服務富規(guī)則firewall-cmd -add-service=samba -permanent 永久添加samba服務富規(guī)則systemctl restart smb systemctl enable smb在system2上測試yum y install cifs* samba-client*smbclient L /system1.rhce.cc U andy%redhat /測試第八題有沒有問題9.配置多用戶 SMB 掛載在 system1 共享通過 SMB 目錄 /miscellaneous 滿足以下要求：共享名為 miscellaneous共享目錄 miscellaneous 只能被 rhce.cc 域中的客戶端使用共享目錄 miscellaneous 必須可以被瀏覽用戶 silene 必須能以讀的方式訪問此共享， 訪問密碼是 redhat用戶 akira 必須能以讀寫的方式訪問此共享， 訪問密碼是 redhat此共享永久掛載在 system2.rhce.cc 上的 /mnt/multi 目錄, 并使用用戶 silene 作為認證 任何用戶可以通過用戶 akira 來臨時獲取寫的權限-在system1下執(zhí)行：mkdir /miscellaneousvim /etc/samba/smb.confmiscellaneouspath=/miscellaneoushosts allow = /24writable= no /用戶 silene 必須能以讀的方式訪問此共享，write list = akira / 用戶 akira 必須能以讀寫的方式訪問此共享，id sileneid akira 查看用戶是否存在useradd sileneuseradd akirasmbpasswd a akira /訪問密碼是 redhatsmbpasswd a silene /訪問密碼是 redhatsystemctl restart smbsystemctl enable smb共享目錄 miscellaneous 只能被 rhce.cc 域中的客戶端使用chcon -R -t samba_share_t /miscellaneous/改變selinux上下文chmod o+w /miscellaneous /用戶 akira 必須能以讀寫的方式訪問此共享，在system2上mkdir /mnt/multiyum y install cifs* samba-client*smbclient L /system1.rhce.cc U andy%redhat /測試第八題有沒有問題mount -o multiuser,sec=ntlmssp,username=silene,password=redhat /system1.rhce.cc/miscellaneous /mnt/multi/ useradd tom1su - tom1cd /mnt/multi 此時應該會提示權限不足任何用戶可以通過用戶 akira 來臨時獲取寫的權限cifscreds add system1.rhce.cc -u akira /輸入密碼后應該可以進入/mnt/multi目錄，寫目錄 如果權限不夠，檢查/mnt/multi權限，重啟smb服務 systemctl restart smb檢查/etc/samba/smb.conf 的write list還有檢查system1的selinux上下文是否更改。chcon -R -t samba_share_t /miscellaneous以上檢查完后umount /mnt/multi然后在mount -o multiuser,sec=ntlmssp,username=silene,password=redhat /system1.rhce.cc/miscellaneous /mnt/multivi /etc/fstab加入如下內容：/system1.rhce.cc/miscellaneous /mnt/multi cifs defaults, multiuser,sec=ntlmssp,username=silene,password=redhat 0 010.配置 NFS 服務在 system1 配置 NFS 服務， 要求如下:以只讀的方式共享目錄 /public 同時只能被 rhce.cc 域中的系統(tǒng)訪問以讀寫的方式共享目錄 /protected 能被 rhce.cc 域中的系統(tǒng)訪問訪問 /protected 需要通過 Kerberos 安全加密， 您可以使用下面 URL 提供的密鑰http:/host.rhce.cc/materials/nfs_server.keytab.目錄 /protected 應該包含名為 confidential 擁有人為 ldapuser11 的子目錄用戶 ldapuser11 能以讀寫方式訪問 /protected/confidential-firewall-cmd -get-services |grep nfs 查看服務firewall-cmd -add-rich-rule rule family=ipv4 source address=/24 service name=nfs acceptfirewall-cmd -add-rich-rule rule family=ipv4 source address=/24 service name=rpc-bind acceptfirewall-cmd -add-rich-rule rule family=ipv4 source address=/24 service name=mountd accept firewall-cmd -add-rich-rule rule family=ipv4 source address=/24 service name=nfs accept -permanentfirewall-cmd -add-rich-rule rule family=ipv4 source address=/24 service name=rpc-bind accept -permanentfirewall-cmd -add-rich-rule rule family=ipv4 source address=/24 service name=mountd accept -permanentmkdir /publicmkdir /protectedvim /etc/exports添加如下內容：/public *(ro,sync)/protected * (rw,sync,sec=krb5p)重新加載/etc/exports中的設置，并同步更新/var/lib/nfs/etab中的內容：exportfs -r或者/public /24(ro,sync)/protected /24(rw,sync,sec=krb5p)wget -O /etc/krb5.keytab http:/host.rhce.cc/materials/nfs_server.keytab /大寫的Ovim /etc/sysconfig/nfs查找RPCNFSDARGS編輯RPCNFSDARGS=-V 4.2mkdir /protected/confidentialchown ldapuser11 /protected/confidentialchcon -R -t public_content_t /protected/confidentialsystemctl start nfs-serversystemctl start nfssystemctl start nfs-secure-serversystemctl enable nfs-secure-serversystemctl enable nfs-server11. 掛載一個 NFS 共享在 system2 上掛載一個來自 system1.rhce.cc 的 NFS 共享， 并符合下列要求：/public 掛載在下面的目錄上 /mnt/nfsmount/protected 掛載在下面的目錄上 /mnt/nfssecure 并使用安全的方式， 密鑰下載 URL 如下： http:/host.rhce.cc/materials/nfs_client.keytab.用戶 ldapusre11 能夠在 /mnt/nfssecure/confidential 上創(chuàng)建文件老段工作室 www.rhce.cc這些文件系統(tǒng)在系統(tǒng)啟動時自動掛載-在system2上執(zhí)行showmount -e system1.rhce.ccmkdir /mnt/nfsmountmkdir /mnt/nfssecurevi /etc/fstab 添加如下內容：system1.rhce.cc:/public /mnt/nfsmount nfs defaults 0 0mount -a wget -O /etc/krb5.keytab http:/host.rhce.cc/materials/nfs_server.keytabwget -O /etc/krb5.keytab http:/host.rhce.cc/materials/nfs_client.keytabsystemctl start nfs-securesystemctl enable nfs-securevi /etc/fstab 添加如下內容：system1.rhce.cc:/protected /mnt/nfssecure nfs defaults,sec=krb5p,v4.2 0 0mount -adf -HT如果不正常 檢查host、system1 system2時間是否一致在system1上 ssh ldapuser11system2.rhce.cccd /mnt/nfssecure touch ldapuser1111測試使用ldapuser11是否能創(chuàng)建文件12. 配置 web 站點system1 上配置一個站點 http:/system1.rhce.cc 然后執(zhí)行下述步驟：從 http:/rhgls.rhce.cc/materials/station.html下載文件， 并且將文件重命名為 index.html 不要修改此文件的內容將文件 index.html 拷貝到您的 web 服務器的 DocumentRoot 目錄下來自于 rhce.cc 域的客戶端可以訪問此 Web 服務來自于 域的客戶端拒絕訪問此 Web 服務-yum -y groupinstall web* -y vim /etc/httpd/conf/http.conf查找關鍵字ServerNameServerName system1.rhce.cc:80wget -O /var/www/html/index.html http:/rhgls.rhce.cc/materials/station.htmlfirewall-cmd-add-rich-rule rule family=ipv4 source address=/24 service name=http acceptfirewall-cmd-add-rich-rule rule family=ipv4 source address=/24 service name=http accept -permanentsystemctl start httpd systemctl enable httpd注：模擬考試環(huán)境的物理機環(huán)境還需要配置/etc/resolv.confnameserver 0systemctl restart network 生效物理機訪問 http/:system1.rhce.cc13. 配置安全 web 服務為 站 點 http:/system1.rhce.cc 配 置 TLS 加 密 一 個 已 簽 名 證 書 從http:/host.rhce.cc/materials/system1.crt 獲 取 此 證 書 的 密 鑰 從http:/host.rhce.cc/materials/system1.key 獲 取 此 證 書 的 簽 名 授 權 信 息 從http:/host.rhce.cc/materials/domain11.crt 獲取cp /usr/share/doc/httpd-2.4.6/httpd-vhosts.conf /etc/httpd/conf.d/vhost.confvim /etc/httpd/conf.d/vhost.conf刪除掉文件內容，編輯成如下內容光標在第一行 4yy 復制4行內容按p粘貼先保存退出在物理機重新遠程system1rootlocalhost # ssh rootsystem1.rhce.ccrootsystem1 # cd /etc/httpd/conf.d/查找ssl.conf文件rootsystem1 conf.d# lsautoindex.conf manual.conf ssl.conf vhost.conffcgid.conf README userdir.conf welcome.confrootsystem1 conf.d# vim ssl.conf把SSLEngine on 改為SSLEngine off然后復制SSLEngine off到原來的終端 的/etc/httpd/conf.d/vhost.conf內容中并把SSLEngine off改成SSLEngine on 端口改成443繼續(xù)在ssl.conf中查找SSLCertificateFileSSLCertificateFile /etc/pki/tls/certs/localhost.crtSSLCertificateKeyFile /etc/pki/tls/private/localhost.keySSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt復制到/etc/httpd/conf.d/vhost.conf中在host上：準備拿題目中的KEY但是因為環(huán)境問題需要進入host改權限cd /var/www/html/materialsls lchmod 644 domain11.crt system1.*在system1上：mkdir /cacd /ca 進到CA目錄 并下載證書文件wget http:/host.rhce.cc/materials/system1.crtwget http:/host.rhce.cc/materials/system1.keywget http:/host.rhce.cc/materials/domain11.crt編輯虛擬機證書文件：vim /etc/httpd/conf.d/vhost.conf更改證書路徑：SSLCertificateFile /ca/system1.crt SSLCertificateKeyFile /ca/system1.key SSLCertificateChainFile /ca/domain11.crt更改上下文：chcon R reference=/var/www/html /ca添加防火墻富規(guī)則：firewall-cmd -add-rich-rule rule family=ipv4 source address=/24 service name=https acceptfirewall-cmd -add-rich-rule rule family=ipv4 source address=/24 service name=https accept -permanent重啟httpd服務systemctl restart httpd物理機訪問https:/system1.rhce.cc注：restorecon -R /var/www/html可以恢復SELINUX的安全上下文14. 配置虛擬主機在 system1 上擴展您的 web 服務器， 為站點 http:/www.rhce.cc 創(chuàng)建一個虛擬主機， 然后執(zhí)行下述步驟：設置 DocumentRoot 為 /var/www/virtual從 http:/rhgls.rhce.cc/materials/www.html下載文件并重命名為 index.html 不要對文件 index.html 的內容做任何修改將文件 index.html 放到虛擬主機的 DocumentRoot 目錄下確保 andy 用戶能夠在 /var/www/virtual 目錄下創(chuàng)建文件注意： 原始站點 http:/system1.rhce.cc 必須仍然能夠訪問， 名稱服務器 rhce.cc 提供對主機名 www.rhce.cc 的域名解析-mkdir /var/www/virtualwget -O /var/www/virtual/index.html http:/rhgls.rhce.cc/materials/www.htmlls -ldZ /var/www/virtual 查看上下文是否正確restorecon -R /var/www/virtualvim /etc/httpd/conf.d/vhost.conf 新增如下一段因為新建了一個根目錄需要修改權限從 /etc/httpd/conf/httpd.conf 找到granted，并復制如下一段，再回到vim /etc/httpd/conf.d/vhost.conf中 粘貼，并修改虛擬主機目錄路徑保存退出。systemctl restart httpd測試http:/system1.rhce.cchttps:/system1.rhce.ccwww.rhce.cc確保 andy 用戶能夠在 /var/www/virtual 目錄下創(chuàng)建文件setfacl -m u:andy:rwx /var/www/virtual測試andy是否能讀寫cd /var/www/virtual/touch aa15. 配置 web 內容的訪問在您的 system1 上的 web 服務器的 DocumentRoot 目錄下 創(chuàng)建一個名為 secret 的目錄，要求如下：從 http:/rhgls.rhce.cc/materials/private.html 下載一個文件副本到這個目錄， 并且重命名為 index.html。不要對這個文件的內容做任何修改。從 system1 上， 任何人都可以瀏覽 secret 的內容， 但是從其它系統(tǒng)不能訪問這個目錄的內容-主機DocumentRoot目錄創(chuàng)建一個mkdir /var/www/html/secret虛擬主機DocumentRoot目錄創(chuàng)建一個mkdir /var/www/virtual/secretwget O /var/www/html/secret/index.html http:/rhgls.rhce.cc/materials/private.htmlwget O /var/www/virtual/secret/index.html http:/rhgls.rhce.cc/materials/private.html從 system1 上， 任何人都可以瀏覽 secret 的內容， 但是從其它系統(tǒng)不能訪問這個目錄的內容編輯vim /etc/httpd/conf.d/vhost.conf復制權限一段 4yy，再粘貼，修改目錄路徑，修改require 為localsystemctl restart httpd在system1測試curl -s http:/system1.rhce.cc/secret/index.htmlcurl -s http:/system1.rhce.cc/secret/index.htmlcurl -s http:/www.rhce.cc/secret/index.html是否為private在system2測試 應該顯示403 Forbiddencurl -s http:/system1.rhce.cc/secret/index.htmlcurl -s http:/system1.rhce.cc/secret/index.html16. 實現(xiàn)動態(tài) Web 內容在 system1 上配置提供動態(tài) Web 內容， 要求如下：老段工作室 www.rhce.cc動態(tài)內容由名為 dynamic.rhce.cc 的虛擬主機提供虛擬主機偵聽在端口 8998從 http:/rhgls.rhce.cc/materials/webapp.wsgi 下載一個腳本， 然后放在適當?shù)奈恢茫?無論如何不要求修改此文件的內容客戶端訪問 http:/dynamic.rhce.cc:8998/ 時 應該接收到動態(tài)生成的 web 頁面此 http:/dynamic.rhce.cc:8998/ 必須能被 rhce.cc 域內的所