2021年山東省職業(yè)院校技能大賽：網(wǎng)絡(luò)系統(tǒng)管理項(xiàng)目-模塊A-樣題

2021年山東省職業(yè)院校技能大賽網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)模塊A：Linux環(huán)境競賽簡介請認(rèn)真閱讀以下指引！比賽共4個(gè)小時(shí)，你必須自行決定如何分配你的時(shí)間。當(dāng)比賽結(jié)束時(shí)，離開時(shí)請不要關(guān)機(jī)您的虛擬機(jī)。如果沒有明確要求，請使用“Chinaskills21”作為默認(rèn)密碼。本模塊所有的系統(tǒng)為已經(jīng)安裝的最基本的系統(tǒng)狀態(tài)，客戶端帶桌面。競賽注意事項(xiàng)競賽所需的硬件、軟件和輔助工具由組委會統(tǒng)一布置，選手不得私自攜帶任何軟件、移動(dòng)存儲、輔助工具、移動(dòng)通信等進(jìn)入賽場。請根據(jù)大賽所提供的比賽環(huán)境，檢查所列的硬件設(shè)備、軟件清單、材料清單是否齊全，計(jì)算機(jī)設(shè)備是否能正常使用。操作過程中，需要及時(shí)保存設(shè)備配置。比賽結(jié)束后，所有設(shè)備保持運(yùn)行狀態(tài)，不要拆動(dòng)硬件連接。比賽完成后，比賽設(shè)備、軟件和賽題請保留在座位上，禁止將比賽所用的所有物品（包括試卷和草紙）帶離賽場。裁判以各參賽隊(duì)提交的競賽結(jié)果文檔為主要評分依據(jù)。所有提交的文檔必須按照賽題所規(guī)定的命名規(guī)則命名，不得以任何形式體現(xiàn)參賽院校、工位號等信息。競賽結(jié)果文件的提交按照題目要求，提交符合模板的WORD文件以及對應(yīng)的PDF文件（利用OfficeWord另存為pdf文件方式生成pdf文件），所有截圖建議除了配置文件截圖外，還需要截功能測試的圖，能在終端上測試的就一定要在終端上測試并截圖，否則功能測試部分不得分。初始化環(huán)境1.默認(rèn)賬號及默認(rèn)密碼Username:rootPassword:ChinaSkill21!Username:skillsPassword:ChinaSkill21!注：若非特別指定，所有賬號的密碼均為ChinaSkill21!2.操作系統(tǒng)配置所處區(qū)域：CST+8系統(tǒng)環(huán)境語言：EnglishUS(UTF-8)鍵盤：EnglishUS注意：當(dāng)任務(wù)是配置TLS，請把根證書或者自簽名證書添加到受信任區(qū)?？刂婆_登陸后不管是網(wǎng)絡(luò)登錄還是本地登錄，都按下方歡迎信息內(nèi)容顯示*********************************ChinaSkills2020–JiangsuModuleALinuxlnxserver1選手姓名拼音全拼>>hostname<<>>DebianVersion<<>>TIME<<*********************************項(xiàng)目任務(wù)描述你作為一個(gè)Linux的技術(shù)工程師，被指派去構(gòu)建一個(gè)公司的內(nèi)部網(wǎng)絡(luò)，要為員工提供便捷、安全穩(wěn)定內(nèi)外網(wǎng)絡(luò)服務(wù)。你必須在規(guī)定的時(shí)間內(nèi)完成要求的任務(wù)，并進(jìn)行充分的測試，確保設(shè)備和應(yīng)用正常運(yùn)行。任務(wù)所有規(guī)劃都基于Linux操作系統(tǒng)，請根據(jù)網(wǎng)絡(luò)拓?fù)?、基本配置信息和服?wù)需求完成網(wǎng)絡(luò)服務(wù)安裝與測試，網(wǎng)絡(luò)拓?fù)鋱D和基本配置信息如下：1.拓?fù)鋱D2.網(wǎng)絡(luò)地址規(guī)劃服務(wù)器和客戶端基本配置如下表：ISPSRV完全限定域名：ispsrv普通用戶/登錄密碼：skills/ChinaSkill21超級管理員/登錄密碼：root/ChinaSkill21網(wǎng)絡(luò)地址/掩碼/網(wǎng)關(guān)：00/24/無AppSrv完全限定域名：普通用戶/登錄密碼：skills/ChinaSkill21超級管理員/登錄密碼：root/ChinaSkill21網(wǎng)絡(luò)地址/掩碼/網(wǎng)關(guān)：00/24/54STORAGESRV完全限定域名：普通用戶/登錄密碼：skills/ChinaSkill21超級管理員/登錄密碼：root/ChinaSkill21網(wǎng)絡(luò)地址/掩碼/網(wǎng)關(guān)：00/24/54ROUTERSRV完全限定域名：普通用戶/登錄密碼：skills/ChinaSkill21超級管理員/登錄密碼：root/ChinaSkill21網(wǎng)絡(luò)地址/掩碼/網(wǎng)關(guān)：54/24/無、54/24/無、54/24/無INSIDECLI完全限定域名：普通用戶/登錄密碼：skills/ChinaSkill21超級管理員/登錄密碼：root/ChinaSkill21網(wǎng)絡(luò)地址/掩碼/網(wǎng)關(guān)：DHCPFromAppSrvOUTSIDECLI完全限定域名：普通用戶/登錄密碼：skills/ChinaSkill21超級管理員/登錄密碼：root/ChinaSkill21網(wǎng)絡(luò)地址/掩碼/網(wǎng)關(guān)：DHCPFromIspSrv項(xiàng)目任務(wù)清單服務(wù)器IspSrv工作任務(wù)DHCP為OutsideCli客戶端網(wǎng)絡(luò)分配地址，地址池范圍：10-90/24；域名解析服務(wù)器：按照實(shí)際需求配置DNS服務(wù)器地址選項(xiàng)；網(wǎng)關(guān)：按照實(shí)際需求配置網(wǎng)關(guān)地址選項(xiàng)；DNS安裝BIND9；配置為DNS根域服務(wù)器；其他未知域名解析,統(tǒng)一解析為該本機(jī)IP；創(chuàng)建正向區(qū)域“”；類型為Slave；主服務(wù)器為“AppSrv”；CHRONY安裝chrony，提供時(shí)間同步。每一臺設(shè)備添加一個(gè)系統(tǒng)計(jì)劃任務(wù)，每天凌晨3點(diǎn)進(jìn)行一次時(shí)間同步（除了服務(wù)器自己）WEB服務(wù)安裝nginx軟件包；配置文件名為ispweb.conf，放置在/etc/nginx/conf.d/目錄下；網(wǎng)站根目錄為/mut/crypt（目錄不存在需創(chuàng)建）；啟用FastCGI功能，讓nginx能夠解析php請求；index.php內(nèi)容使用Welcometo2020ComputerNetworkApplicationcontest!服務(wù)器RouterSrv上的工作任務(wù)DHCPRELAY安裝DHCP中繼；允許客戶端通過中繼服務(wù)獲取網(wǎng)絡(luò)地址；ROUTING開啟路由轉(zhuǎn)發(fā)，為當(dāng)前實(shí)驗(yàn)環(huán)境提供路由功能。根據(jù)題目要求，配置單臂路由實(shí)現(xiàn)內(nèi)部客戶端和服務(wù)器之間的通信。SSH工作端口為2021；只允許用戶user01，密碼ChinaSkill21登錄到router。其他用戶（包括root）不能登錄，創(chuàng)建一個(gè)新用戶，新用戶可以從本地登錄，但不能從ssh遠(yuǎn)程登錄。通過ssh登錄嘗試登錄到RouterSrv，一分鐘內(nèi)最多嘗試登錄的次數(shù)為3次，超過后禁止該客戶端網(wǎng)絡(luò)地址訪問ssh服務(wù)。記錄用戶登錄的日志到/var/log/ssh.log，日志內(nèi)容要包含：源地址，目標(biāo)地址，協(xié)議，源端口，目標(biāo)端口。OPENVPNVPN客戶端只能與InsideCli客戶端網(wǎng)段通信，以及允許訪問StorageSrv主機(jī)上的SAMBA服務(wù)；VPN客戶端可使用的地址范圍是00-20/24。允許在OutsideCli客戶端上使用systemctlstartopenvpn@csk進(jìn)行連接。IPTABLES添加必要的網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則，使外部客戶端能夠訪問到內(nèi)部服務(wù)器上的dns、mail、web和ftp服務(wù)。INPUT、OUTPUT和FOREARD鏈默認(rèn)拒絕（DROP）所有流量通行。配置源地址轉(zhuǎn)換允許內(nèi)部客戶端能夠訪問互聯(lián)網(wǎng)區(qū)域。WebProxy安裝Nginx組件；配置文件名為proxy.conf，放置在/etc/nginx/conf.d/目錄下；為配置代理前端，通過HTTPS的訪問后端Web服務(wù)器；后端服務(wù)器日志內(nèi)容需要記錄真實(shí)客戶端的IP地址。緩存后端Web服務(wù)器上的靜態(tài)頁面。創(chuàng)建服務(wù)監(jiān)控腳本：/shells/chkWeb.sh編寫腳本監(jiān)控公司的網(wǎng)站運(yùn)行情況；腳本可以在后臺持續(xù)運(yùn)行；每隔3S檢查一次網(wǎng)站的運(yùn)行狀態(tài)，如果發(fā)現(xiàn)異常嘗試3次；如果確定網(wǎng)站無法訪問，則返回用戶“網(wǎng)站正在維護(hù)中，請您稍后再試”的頁面。服務(wù)器AppSrv上的工作任務(wù)SSH安裝SSH，工作端口監(jiān)聽在192101。僅允許InsideCli客戶端進(jìn)行ssh訪問，其余所有主機(jī)的請求都應(yīng)該拒絕。在cskadmin用戶環(huán)境下可以免秘鑰登錄，并且擁有root控制權(quán)限。DHCP為InsideCli客戶端網(wǎng)絡(luò)分配地址，地址池范圍：10-90/24；域名解析服務(wù)器：按照實(shí)際需求配置DNS服務(wù)器地址選項(xiàng)；網(wǎng)關(guān)：按照實(shí)際需求配置網(wǎng)關(guān)地址選項(xiàng)；為InsideCli分配固定地址為90/24。DNS（BIND）為域提供域名解析。為、和提供解析。啟用內(nèi)外網(wǎng)解析功能，當(dāng)內(nèi)網(wǎng)客戶端請求解析的時(shí)候，解析到對應(yīng)的內(nèi)部服務(wù)器地址，當(dāng)外部客戶端請求解析的時(shí)候，請把解析結(jié)果解析到提供服務(wù)的公有地址。請將IspSrv作為上游DNS服務(wù)器，所有未知查詢都由該服務(wù)器處理。APACHE2安裝apache服務(wù)；服務(wù)以用戶webuser系統(tǒng)用戶運(yùn)行；限制web服務(wù)只能使用系統(tǒng)500M物理內(nèi)存；全站點(diǎn)啟用TLS訪問，使用本機(jī)上的“CSKGlobalRootCA”頒發(fā)機(jī)構(gòu)頒發(fā)，網(wǎng)站證書信息如下：C=CNST=ChinaL=BeiJingO=skillsOU=OperationsDepartmentsCN=*.客戶端訪問https時(shí)應(yīng)無瀏覽器（含終端）安全警告信息；當(dāng)用戶使用http訪問時(shí)自動(dòng)跳轉(zhuǎn)到https安全連接；搭建站點(diǎn)；網(wǎng)頁文件放在StorgeSrv服務(wù)器上；在StorageSrv上安裝MriaDB，在本機(jī)上安裝PHP，發(fā)布WordPress網(wǎng)站；MariaDB數(shù)據(jù)庫管理員信息：User:root/Password:Chinaskill21!。創(chuàng)建網(wǎng)站站點(diǎn);僅允許ldsgp用戶組訪問；網(wǎng)頁文件存放在StorageSrv服務(wù)器上；在該站點(diǎn)的根目錄下創(chuàng)建以下文件“test.mp3,test.mp4,test.pdf”，其中test.mp4文件的大小為100M，頁面訪問成功后能夠列出目錄所有文件。作安全加固，在任何頁面不會出現(xiàn)系統(tǒng)和WEB服務(wù)器版本信息。MariadbBackupScript腳本文件：/shells/mysqlbk.sh；備份數(shù)據(jù)到/root/mysqlbackup目錄；備份腳本每隔30分鐘實(shí)現(xiàn)自動(dòng)備份；導(dǎo)出的文件名為all-databases-20210213102333,其中20210213102333為運(yùn)行備份腳本的當(dāng)前時(shí)間，精確到秒。MAIL（POSTFIX-SMTPS&DOVECOT-IMAPS）安裝配置postfix和dovecot，啟用imaps和smtps，并創(chuàng)建測試用戶mailuser1和mailuser2。使用mailuser1@的郵箱向mailuser2@的郵箱發(fā)送一封測試郵件，郵件標(biāo)題為“justtestmailfrommailuser1”,郵件內(nèi)容為“hello,mailuser2”。使用mailuser2@的郵箱向mailuser1@的郵箱發(fā)送一封測試郵件，郵件標(biāo)題為“justtestmailfrommailuser2”,郵件內(nèi)容為“hello,mailuser1”。添加廣播郵箱地址all@，當(dāng)該郵箱收到郵件時(shí)，所有用戶都能在自己的郵箱中查看。使用網(wǎng)站測試郵件發(fā)送與接收。CA（證書頒發(fā)機(jī)構(gòu)）CA根證書路徑/csk-rootca/csk-ca.pem；簽發(fā)數(shù)字證書，頒發(fā)者信息：(僅包含如下信息)C=CNST=ChinaL=BeiJingO=skillsOU=OperationsDepartmentsCN=CSKGlobalRootCA服務(wù)器StorageSrv上的工作任務(wù)SSH安裝openssh組件；創(chuàng)建的user01、user02用戶允許訪問ssh服務(wù)；服務(wù)器本地root用戶不允許訪問；修改SSH服務(wù)默認(rèn)端口，啟用新端口3358；添加用戶user01user02到sudo組；用于遠(yuǎn)程接入，提權(quán)操作。DISK添加大小均為10G的虛擬磁盤，配置raid-5磁盤。創(chuàng)建LVM命名為/dev/vg01/lv01，大小為100G，格式化為ext4，掛在到本地目錄/webdata，在分區(qū)內(nèi)建立測試空文件disk.txt。NFS共享/webdata/目錄；用于存儲AppSrv主機(jī)的WEB數(shù)據(jù)；僅允許AppSrv主機(jī)訪問該共享。VSFTPD禁止使用不安全的FTP，請使用“CSKGlobalRootCA”證書頒發(fā)機(jī)構(gòu)，頒發(fā)的證書，啟用FTPS服務(wù)；用戶webadmin，登錄ftp服務(wù)器，根目錄為/webdata/；登錄后限制在自己的根目錄;允許WEB管理員上傳和下載文件，但是禁止上傳后綴名為.doc.docx.xlsx的文件。限制用戶的下載最大速度為100kb/s；最大同一IP在線人數(shù)為2人；用于通過工具或者瀏覽器下載的最大速度不超過100kb/s一個(gè)IP地址同時(shí)登陸的用戶進(jìn)程/人數(shù)不超過2人。SAMBA創(chuàng)建samba共享，本地目錄為/data/share1，要求：共享名為share1。僅允許zsuser用戶能上傳文件。創(chuàng)建samba共享，本地目錄為/data/public，要求：共享名為public。允許匿名訪問。所有用戶都能上傳文件。LDAP安裝slapd,為samba服務(wù)提供賬戶認(rèn)證；創(chuàng)建目錄服務(wù)，并創(chuàng)建用戶組ldsgp,將zsuser、lsusr、wuusr。ShellScript編寫添加用戶的腳本,存儲在/shells/userAdd.sh目錄；當(dāng)有新員工入職時(shí)，管理員運(yùn)行腳本為其創(chuàng)建公司賬號;自動(dòng)分配客戶端賬號、公司郵箱、samba目錄及權(quán)限、網(wǎng)站賬號等;以userAddlifei的方式運(yùn)行腳本，lifei為舉例的員工姓名?？蛻舳薕utsideCli和InsideCli工作任務(wù)OutsideCli作為DNS服務(wù)器域名解析測試的客戶端，安裝nslookup、dig命令行工具;作為網(wǎng)站訪問測試的客戶端，安裝firefox瀏覽器,curl命令行測試工具;作為SSH遠(yuǎn)程登錄測試客戶端，安裝ssh命令行測試工具;作為SAMBA測試的客戶端，使用圖形界面文件瀏覽器測試,并安裝smbclient工具;作為FTP測試的客戶端，安裝lftp命令行工具；作為防火墻規(guī)則效果測試客戶端，安裝ping命令行工具。截圖的時(shí)候請使用上述提到的工具進(jìn)行功能測試。InsideCli作為DNS服務(wù)器域名解析測試的客戶端，安裝nslookup、dig命令行工具;作為網(wǎng)站訪問測試的客戶端，安裝firefox瀏覽器,curl命令行測試工具;作為SSH遠(yuǎn)程登錄測試客戶端，安裝ssh命令行測試工具;作為SAMBA測試的客戶端，使用圖形界面文件瀏覽器測試,并安裝smbclient工具;作為FTP測試的客戶端，安裝lftp命令行工具；作為防火墻規(guī)則效果測試客戶端，安裝ping命令行工具。截圖的時(shí)候請使用上述提到的工具進(jìn)行功能測試。目錄TOC\o"1-3"\h\u一、 競賽簡介 -3-二、 競賽注意事項(xiàng) -3-三、 競賽結(jié)果文件的提交 -3-四、 初始化環(huán)境 -3-1.默認(rèn)賬號及默認(rèn)密碼 -3-2.操作系統(tǒng)配置 -4-五、 項(xiàng)目任務(wù)描述 -4-1.拓?fù)鋱D -4-2.網(wǎng)絡(luò)地址規(guī)劃 -4-ISPSRV -4-AppSrv -5-STORAGESR -5-ROUTERSRV -5-INSIDECLI -5-OUTSIDECLI -5-六、 項(xiàng)目任務(wù)清單 -6-服務(wù)器IspSrv工作任務(wù) -6-1. DHCP -6-2. DNS -6-服務(wù)器RouterSrv上的工作任務(wù) -6-1. DHCPRELAY -6-2. ROUTING -6-3. SSH -6-4. NTP -7-5. OPENVPN -7-6. IPTABLES -7-服務(wù)器AppSrv上的工作任務(wù) -8-3. SSH -8-4. DHCP -8-5. DNS（BIND） -8-6. APACHE2 -8-7. MAIL（POSTFIX-SMTPS&DOVECOT-IMAPS） -9-8. CA（證書頒發(fā)機(jī)構(gòu)） -9-服務(wù)器StorageSrv上的工作任務(wù) -10-1. DISK -10-2. NFS -10-3. VSFTPD -10-4. SAMBA -10-客戶端OutsideCli和InsideCli工作任務(wù) -11-1. OutsideCli -11-2. InsideCli -11-

目錄TOC\o"1-3"\h\u一、 競賽簡介 -3-二、 競賽注意事項(xiàng) -3-三、 競賽結(jié)果文件的提交 -3-