ce

vim /etc/selinux/config   enforcing
reboot

  desk  server
firewall-cmd --permanent  --direct  --add-rule ipv4 filter  INPUT 1 -s 192.168.0.0/24 -p tcp --dport 22 -j REJECT
systemtl restart firewalld
firewall-cmd --direct --get-all-rules
test::    ifconfig br0:0 192.168.0.111/24

echo  "alias qstat='/bin/ps -Ao pid,tt,user,fname,rsz'" >> /etc/bashrc
source /etc/bashrc

systemctl start httpd

firewall-cmd --pernament --add-source=172.25.X.0/24  --zone=trusted
systemctl restart firewalld

firewall-cmd --list-all --zone=trusted
firewall-cmd --direct --get-all-rules

firewall-cmd --permanent --direct --add-rule ipv4 nat PREROUTING 1 -s 172.25.X.0/24 -p tcp --dport 5423 -j DNAT --to-dest :80

!when exam  use  VM-CONSOLE  to ADD 2 NetworkNic

nmcli connection add con-name team0 ifname team0 type team config '{"runner":{"name":"activebackup"}}'  ip4 172.16.0.75/24
nmcli con add con-name eth1 ifname eth1 type team-slave master team0
nmcli con add con-name eth2 ifname eth2 type team-slave master team0

ifconfig eth1 up (default up)

nmcli con modify 'System eth0' ipv6.addresses  XXX/64  ipv6.method manual
nmcli con up 'System eth0'

 

vim /etc/postfix/main.cf
75 myhostname = desktop2.example.com
83 mydomain = example.com
99 myorigin = $mydomain
164 mydestination = clear all
317 relayhost = classroom.examcple.com

scp server    vim deskdop2
systemctl enable restart postfix

server
getent passwd ldapuser1
yum  install samba samba-client samba-common -y
mkdir /data /groupdir
vim /etc/samba/smb.conf
/workgroup  STAFF
smbclient -L //localhost
/[public]
[common]
path = /groupdir
hosts allow = 172.25.X. 127.
browseable = yes
[data]
path = /data
hosts allow = 172.25.X. 127.
write list = wolferyne
browseable = yes

setfacl -m u:
semanage fcnotext -at samba_share_t '/groupdir(/.*)?'
semanage fcnotext -at samba_share_t '/data(/.*)?'
restorecon -RvvF /groupdir
restorecon -RvvF /data
useradd -s /sin/nologin barney
useradd -s /sin/nologin wolferyne
useradd -s /sin/nologin manager
smbpasswd -a barney
smbpasswd -a wolfernye
smbpasswd -a manager
pdbedit -L
systemctl restart enable smb nmb

 

desktop
yum install samba-client  cifs-utils -y

smbclient -L //172.25.X.11 -U barney
smbclient //172.25.X.11/common -U barney
smbclient //172.25.X.11/data -U manager
smbclient //172.25.X.11/data -U wolferyne
vim  /root/exam
username=manager
password=westos
chmod 600 /root/exam
mkdir /mnt/westos
vim /etc/fstab
//172.25.X.11/data /mnt/westos cifs defaults,credentials=/root/exam,sec=ntlmssp,multiuser 0 0
mount -a
su - student
cifscreds add -u wolferyne 172.25.X.11

server
yum install nfs-utils -y
systemctl  enable nfs-server nfs-secure-server
mkdir  /public
mkdir -p /protected/restricted
chmod 755 /protected/restricted
chown ldapuser1.ldapuser1  /protected/restricted
setfacl -m u:nfsnobody:rwx /protected/restricted
vim /etc/exports
/public 172.25.2.0/24(ro,async)
/protected  172.25.2.0/24(rw,async,sec=krb5p)
wget https:  -O /etc/krb5.keytab
ktutil   /etc/krb5.keytab
exportfs -rv
showmount -e 172.25.X.11
systemctl  start nfs-server nfs-secure-server

desktop
mkdir /mnt/{nfsmount,nfssecure}
showmount -e 172.25.X.11
wget http:// -O /etc/krb5.keytab
ktutil rkt /etc/krb5.keytab
vim /etc/fstab
172.25.X.11:/public /mnt/nfsmount  nfs defaults 0 0
172.25.X.11:/protected /mnt/nfssecure nfs defaults,sec=krb5p 0 0
systemctl enable nfs-secure  
systemctl start nfs-secure
mount -a

su - ldapuser1
su - ldapuser1  ##twice##must enter you passwd once  or ssh ldapuser1@localhost
cd /mnt/nfssecure

BOTH
vim /etc/hosts
172.25.X.11 serverX.example.com  www0.example.com  transitive.example.com
172.25.X.10 desktopX.example.com

server
yum install mod_ssl mod_wsgi -y
wget http:  -O  /var/www/html/index.html
vim  /etc/httpd/conf.d/14.conf
<VirtualHost _default_:80>
DocumentRoot /var/www/html
</>
<Directory "/var/www/html">
Order Allow,Deny
Allow from All
Deny from 192.168.0.0/24
</>
<VirtualHost *:80>
ServerName www0.example.com
DocumentRoot /var/www/virtual
</>
<Directory "/var/www/virtual">
Require all granted
</>
<Directory "/var/www/html/confidential">
Order Deny,Allow      #!! watch the sort
Allow from 172.25.X.11
Allow from localhost
Allow from 127.0.0.1
Deny from all
</>
<VirtualHost *:8989>
ServerName transitive.example.com
WSGIScriptAlias / /var/www/cgi-bin/17.wsgi
DocumentRoot /var/www/virtual
</>
Listen 8989

vim /etc/httpd/conf.d/ssl.conf
100
107
116

mkdir -p /var/www/virtual
setfacl -m u:barney:rwx /var/www/virtual
setfacl -m d:u:barney:rwx /var/www/virtual
wget http  -O /var/www/virtual/index.html
mkdir -p /var/www/html/confidential
wget  ... -O  /var/www/html/confidential/index.html
wget .. -O /var/www/cgi-bin/17.wsgi

semanage port -at http_port_t -p tcp 8989
systemctl restart enable httpd
curl https://server0.example.com

vim /root/scripts.sh ;chmod +x /root/scripts.sh
#!/bin/bash
case $1 in
    all)
    echo none
    ;;
    none)
    echo all
    ;;
    *)
    echo "/root/scripts.sh none|all"
esac

server
yum install targetcli -y
fdisk /dev/vda
+3G t 8e wq  partprobe
pvcreate  /dev/vda
vgcreate exam /dev/vdb1
lvcreate -l 767 -n iscsi_data exam
lvs
targetcli
/b/b create iscsi_data /dev/exam/iscsi_data
iscsi/ create iqn.2014-11.com.example:serverX
iscsi/iqn../t/luns create /b/b/iscsi
isc/iqn/t/acls create   `/etc/iscsi/ini...iscsi`
..../portals create 172.25.X.11
systemctl  enable targetcli

desktop
iscsiadm -m disovery -t st -p 172.25.X.11
iscsiadm -m node -T iqn...:server   -l

fdisk /dev/sda  
+1900M  
mkfs.xfs /dev/sda1
blkid   /dev/sda1 >> /etc/fstab     
vim /etc/fstab
UUID="  "  /mnt/data  xfs defaults,_dev 0 0

server
yum install mariadb-server -y
systemctl enable start mariadb
mysql_secure_installation
mysql -pwestos
create database Contacts;

wget  http:..    -O  /var/user.mdb
mysql -pwestos  Contacts < /var/user.mdb
mysql -pwestos
create user Luigi@loalhost identified by 'westos';
grant select on Contacts.* to Luigi@localhost;
show grants for  Luigi@localhost;
mysql -uLuigi -p westos
show databases;
use Contacts;
show tables;
select * from User_Name;
desc User_logins;
SELECT ID from User_logins WHERE User_pass='forsook';
desc User_Name
select first_name FROM User_Name where user_id='4178';
152

first poweroff desktop  force
then poweroff server

 

題目
1.配置 selinux
Selinux 必須在兩個系統 serverx 和 desktop 中運行 Enforcing 模式
2.配置 ssh 訪問
用戶能從域 example.com 內的客戶端通過 ssh 遠程訪問您的兩個虛擬系統
在域 my133.org 內的客戶端不能訪問您的兩個虛擬機
3.自定義用戶環境
在系統 serverx 和 desktopx 上穿件自定義命令 qstat 此命令將執行一下命令
/bin/ps -Ao pid,tt,user,fname,rsz
此命令對系統中所有用戶有效
4.配置端口轉發
在系統 serverx 中配置端口轉發
在 172.25.x.0/24 網絡中的系統,訪問 server1 的本地端口 5432 將 被轉發到
80
此設定時永久生效的
5 配置鏈路聚合
在 server1.example.com 和 desktopx.example.com 之間按以下要求配置一個鏈
接
此鏈路使用 eth1 和 eth2
此鏈路在一個接口失效時扔能正常工作
此鏈路 serverx 使用地址 172.16.x.65/24
此鏈路 desktopx 使用的地址 172.16.x.75/24
此鏈路在系統重啓之後仍然保持正常狀態
6.配置 ipv6 地址
在您的考試系統上配置接口 eth0 使用下列 ipv6 地址
Serverx 上的地址 2014:ac18::10a/64
Desktopx 上的地址 2014:ac18::11b/64
兩個地址可以通信,並且在從新啓動後依然生效,兩快網卡的 ipv4 地址依然生
效
7.配置本地郵件服務
在系統 serverx 和 desktopx 上配置郵件服務
這些系統不接收外部發送來的郵件
這些系統上發送的任何郵件都會自動路由到 classroom.example.com
這些系統上發送的郵件顯示來自 example.com
您可以通過用戶 hal 來測試您的配置,訪問:
http://classroom.example.com/exam_mail/hal
8.通過 smb 共享目錄
在 serverx 上配置 smb 服務
您的 smb 服務必須時 STAFF 工作組的一個成員共享/groupdir 目錄共享名必須時 common
只有 example.com 域的客戶可以訪問 common 共享
Common 必須時可以瀏覽的
用戶 barney 必須能夠都取共享的內容,如果需要的話驗證密碼是 westos
9.Smb 多用戶掛在配置
在 serverx 共享通過 smb 目錄/data
共享名稱 data
共享目錄 data 只能被 example.com 域中的客戶使用
共享目錄 data 必須可以被瀏覽
用戶 manager 必須能一讀的方式訪問此共享,訪問密碼時 westos
用戶 wolferyne 必須能夠一讀寫的方式訪問此共享,訪問密碼時 westos
此共享永久掛在到 desktopx 主機的/mnt/westos 目錄,並使用用戶 manager 作
爲認證,任何用戶通過用戶 wolferyne 來臨時獲取寫的權限
10.配置 NFS 服務
在 serverx 配置 nfs
以只讀的方式共享目/public 能被 example.com 域中的系統訪問
以讀寫的方式共享目錄/protected 能被 example.com 域中的系統訪問
訪問/protected 需要通過 kerberos 安全加密,您可以使用下面的 url 提供的祕
鑰
http://classroom.example.com/pub/keytabs/server2.keytab
目錄/protected 應該包含名稱爲 restricted,擁有人爲 ldapuser1 的子目錄
用戶 ldapuser1 能夠使用讀寫的方式訪問/protected/restricted
11.掛在一個 nfs 共享
在 desktop1 上掛在一個來自 serverx.example.com 的 nfs 共享
/public 掛在在下面的目錄上/mnt/nfsmount
/protected 掛載在下面目錄上/mnt/nfssecure 病且使用安全方式訪問,祕鑰:
http://classroom.example.com/pub/kertabs/desktopx.keytab
用戶 ldapuser1 能夠在/mnt/nfssecure/restricted 上創建文件
這些文件系統在開機啓動時自動掛載
12.實現一個 web 服務器
在 serverx 上配置一個站點 http://serverx.exampmle.com
從 http://classroom.example.com/materials/station.html
下載文件,並且將文件重名名爲 index.html 不要修改該此文件的內容
將文件 index.html 拷貝到您的 web 服務器的 Documentroot 目錄下
來自 example.com 域的客戶可以訪問此 web 服務
來自 my133t.org 域的可以端拒絕訪問此 web
13.配置安全 web 服務站點 http://server1.example.com 配置 tls 加密一個已簽名的證書
從 http://classroom.exampel.com/pub/tls/certs/serverx.crt
從 http://classroom.example.com/pub/tls/private/serverx.key
從 http://classroom.example.com/pub/example-ca.crt
14.配置虛擬主機
在 server1 上拓展您的 web 服務器,爲站點 http://wwwx.example.com 創建一
個虛擬主機
設定默認發佈目錄爲/var/www/virtual
從 classroom.example.com/materials/www.html 下 載 文 件 並 重 命 名 爲
index.html,不要對文件 index.html 的內容做任何修改
將文件 index.html 放到默認發目錄下
確保 barney 用戶能在/var/www/virtual 目錄下創建文件
15.配置您的 serverx 上的 web 服務器
在默認發佈目錄下創建一個名爲 confidential 的目錄
從 http://classroom.example.com/materials/private.html 下載到這個目錄
中,並且重命名爲 index.html
不要修改這個文件的內容
從 serverx 上,任何人都可以瀏覽此目錄,但是其他系統不能訪問此目錄中的
內容
16.實現動態 web 內容
在 server1 上配置提供 web 內容
動態內容由名爲 transitive.example.com 的虛擬機提供
虛擬機監聽端口:8989
從 http://classroom.example.com/materials/scripts.wsgi 下載一個腳本,
然後防到合適的位置,不要修改該此文件內容
客戶訪問 http://transitive.example.com:8989 時應該生成動態的 web 頁面
此站點 必須能被 example.com 域內的所有系統訪問
17.創建一個腳本
在 serverx 上創建一個/root/scripts.sh 的腳本,讓其提供下列特性
當運行/root/scripts.sh all 輸出 none
當運行/root/scripts.sh none 輸出 all
當沒有任何參數或者參數不時 all 或 none 時,其錯誤輸出產生下列信息
/root/scripts.sh/ all|none
18.配置 iscsi 服務端
配置 serverx 提供一個 iscsi 服務磁盤名稱 iqn.2014.11.com.example:serverx
端口 3260
用 iscsi_data 作爲後端卷,大小爲 3G
此服務只能被 desktopx.example.com 訪問19.配置 iscsi 的客戶端
配置 desktopx 使其能鏈接在 server1 上提供的 iscsi
Iscsi 設備在系統啓動的期間自動加載
塊設備 iscsi 上包含一個大小爲 1900M 的分區,並格式化爲 xfs
此分區自動掛載在/mnt/data 上同時在系統啓動的期間自動掛載
20.配置一個數據庫
在 serverx 上創建一個 mariadb,名爲 Contacts
數據庫應該包含來自數據庫複製的內容。複製文件的 url
http://classroom.example.com/materials/users.mdb
數據庫只能被 localhost 訪問
除了 root 用戶,此數據庫只能被 luigi 查詢,此用戶密碼爲 westos
超級用戶密碼爲 westos,同時不允許空密碼登陸
21.查詢數據庫
在系統 serverx 上使用數據庫 contacts,並且使用相應 sql 查詢以回答下列問
題
面時 forsook 的人的名字
Brian
有多少人的姓名時 Alan 同時居住在 Cupertino