vim /etc/selinux/config enforcing
reboot
desk server
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -s 192.168.0.0/24 -p tcp --dport 22 -j REJECT
systemtl restart firewalld
firewall-cmd --direct --get-all-rules
test:: ifconfig br0:0 192.168.0.111/24
echo "alias qstat='/bin/ps -Ao pid,tt,user,fname,rsz'" >> /etc/bashrc
source /etc/bashrc
systemctl start httpd
firewall-cmd --pernament --add-source=172.25.X.0/24 --zone=trusted
systemctl restart firewalld
firewall-cmd --list-all --zone=trusted
firewall-cmd --direct --get-all-rules
firewall-cmd --permanent --direct --add-rule ipv4 nat PREROUTING 1 -s 172.25.X.0/24 -p tcp --dport 5423 -j DNAT --to-dest :80
!when exam use VM-CONSOLE to ADD 2 NetworkNic
nmcli connection add con-name team0 ifname team0 type team config '{"runner":{"name":"activebackup"}}' ip4 172.16.0.75/24
nmcli con add con-name eth1 ifname eth1 type team-slave master team0
nmcli con add con-name eth2 ifname eth2 type team-slave master team0
ifconfig eth1 up (default up)
nmcli con modify 'System eth0' ipv6.addresses XXX/64 ipv6.method manual
nmcli con up 'System eth0'
vim /etc/postfix/main.cf
75 myhostname = desktop2.example.com
83 mydomain = example.com
99 myorigin = $mydomain
164 mydestination = clear all
317 relayhost = classroom.examcple.com
scp server vim deskdop2
systemctl enable restart postfix
server
getent passwd ldapuser1
yum install samba samba-client samba-common -y
mkdir /data /groupdir
vim /etc/samba/smb.conf
/workgroup STAFF
smbclient -L //localhost
/[public]
[common]
path = /groupdir
hosts allow = 172.25.X. 127.
browseable = yes
[data]
path = /data
hosts allow = 172.25.X. 127.
write list = wolferyne
browseable = yes
setfacl -m u:
semanage fcnotext -at samba_share_t '/groupdir(/.*)?'
semanage fcnotext -at samba_share_t '/data(/.*)?'
restorecon -RvvF /groupdir
restorecon -RvvF /data
useradd -s /sin/nologin barney
useradd -s /sin/nologin wolferyne
useradd -s /sin/nologin manager
smbpasswd -a barney
smbpasswd -a wolfernye
smbpasswd -a manager
pdbedit -L
systemctl restart enable smb nmb
desktop
yum install samba-client cifs-utils -y
smbclient -L //172.25.X.11 -U barney
smbclient //172.25.X.11/common -U barney
smbclient //172.25.X.11/data -U manager
smbclient //172.25.X.11/data -U wolferyne
vim /root/exam
username=manager
password=westos
chmod 600 /root/exam
mkdir /mnt/westos
vim /etc/fstab
//172.25.X.11/data /mnt/westos cifs defaults,credentials=/root/exam,sec=ntlmssp,multiuser 0 0
mount -a
su - student
cifscreds add -u wolferyne 172.25.X.11
server
yum install nfs-utils -y
systemctl enable nfs-server nfs-secure-server
mkdir /public
mkdir -p /protected/restricted
chmod 755 /protected/restricted
chown ldapuser1.ldapuser1 /protected/restricted
setfacl -m u:nfsnobody:rwx /protected/restricted
vim /etc/exports
/public 172.25.2.0/24(ro,async)
/protected 172.25.2.0/24(rw,async,sec=krb5p)
wget https: -O /etc/krb5.keytab
ktutil /etc/krb5.keytab
exportfs -rv
showmount -e 172.25.X.11
systemctl start nfs-server nfs-secure-server
desktop
mkdir /mnt/{nfsmount,nfssecure}
showmount -e 172.25.X.11
wget http:// -O /etc/krb5.keytab
ktutil rkt /etc/krb5.keytab
vim /etc/fstab
172.25.X.11:/public /mnt/nfsmount nfs defaults 0 0
172.25.X.11:/protected /mnt/nfssecure nfs defaults,sec=krb5p 0 0
systemctl enable nfs-secure
systemctl start nfs-secure
mount -a
su - ldapuser1
su - ldapuser1 ##twice##must enter you passwd once or ssh ldapuser1@localhost
cd /mnt/nfssecure
BOTH
vim /etc/hosts
172.25.X.11 serverX.example.com www0.example.com transitive.example.com
172.25.X.10 desktopX.example.com
server
yum install mod_ssl mod_wsgi -y
wget http: -O /var/www/html/index.html
vim /etc/httpd/conf.d/14.conf
<VirtualHost _default_:80>
DocumentRoot /var/www/html
</>
<Directory "/var/www/html">
Order Allow,Deny
Allow from All
Deny from 192.168.0.0/24
</>
<VirtualHost *:80>
ServerName www0.example.com
DocumentRoot /var/www/virtual
</>
<Directory "/var/www/virtual">
Require all granted
</>
<Directory "/var/www/html/confidential">
Order Deny,Allow #!! watch the sort
Allow from 172.25.X.11
Allow from localhost
Allow from 127.0.0.1
Deny from all
</>
<VirtualHost *:8989>
ServerName transitive.example.com
WSGIScriptAlias / /var/www/cgi-bin/17.wsgi
DocumentRoot /var/www/virtual
</>
Listen 8989
vim /etc/httpd/conf.d/ssl.conf
100
107
116
mkdir -p /var/www/virtual
setfacl -m u:barney:rwx /var/www/virtual
setfacl -m d:u:barney:rwx /var/www/virtual
wget http -O /var/www/virtual/index.html
mkdir -p /var/www/html/confidential
wget ... -O /var/www/html/confidential/index.html
wget .. -O /var/www/cgi-bin/17.wsgi
semanage port -at http_port_t -p tcp 8989
systemctl restart enable httpd
curl https://server0.example.com
vim /root/scripts.sh ;chmod +x /root/scripts.sh
#!/bin/bash
case $1 in
all)
echo none
;;
none)
echo all
;;
*)
echo "/root/scripts.sh none|all"
esac
server
yum install targetcli -y
fdisk /dev/vda
+3G t 8e wq partprobe
pvcreate /dev/vda
vgcreate exam /dev/vdb1
lvcreate -l 767 -n iscsi_data exam
lvs
targetcli
/b/b create iscsi_data /dev/exam/iscsi_data
iscsi/ create iqn.2014-11.com.example:serverX
iscsi/iqn../t/luns create /b/b/iscsi
isc/iqn/t/acls create `/etc/iscsi/ini...iscsi`
..../portals create 172.25.X.11
systemctl enable targetcli
desktop
iscsiadm -m disovery -t st -p 172.25.X.11
iscsiadm -m node -T iqn...:server -l
fdisk /dev/sda
+1900M
mkfs.xfs /dev/sda1
blkid /dev/sda1 >> /etc/fstab
vim /etc/fstab
UUID=" " /mnt/data xfs defaults,_dev 0 0
server
yum install mariadb-server -y
systemctl enable start mariadb
mysql_secure_installation
mysql -pwestos
create database Contacts;
wget http:.. -O /var/user.mdb
mysql -pwestos Contacts < /var/user.mdb
mysql -pwestos
create user Luigi@loalhost identified by 'westos';
grant select on Contacts.* to Luigi@localhost;
show grants for Luigi@localhost;
mysql -uLuigi -p westos
show databases;
use Contacts;
show tables;
select * from User_Name;
desc User_logins;
SELECT ID from User_logins WHERE User_pass='forsook';
desc User_Name
select first_name FROM User_Name where user_id='4178';
152
first poweroff desktop force
then poweroff server
題目
1.配置 selinux
Selinux 必須在兩個系統 serverx 和 desktop 中運行 Enforcing 模式
2.配置 ssh 訪問
用戶能從域 example.com 內的客戶端通過 ssh 遠程訪問您的兩個虛擬系統
在域 my133.org 內的客戶端不能訪問您的兩個虛擬機
3.自定義用戶環境
在系統 serverx 和 desktopx 上穿件自定義命令 qstat 此命令將執行一下命令
/bin/ps -Ao pid,tt,user,fname,rsz
此命令對系統中所有用戶有效
4.配置端口轉發
在系統 serverx 中配置端口轉發
在 172.25.x.0/24 網絡中的系統,訪問 server1 的本地端口 5432 將 被轉發到
80
此設定時永久生效的
5 配置鏈路聚合
在 server1.example.com 和 desktopx.example.com 之間按以下要求配置一個鏈
接
此鏈路使用 eth1 和 eth2
此鏈路在一個接口失效時扔能正常工作
此鏈路 serverx 使用地址 172.16.x.65/24
此鏈路 desktopx 使用的地址 172.16.x.75/24
此鏈路在系統重啓之後仍然保持正常狀態
6.配置 ipv6 地址
在您的考試系統上配置接口 eth0 使用下列 ipv6 地址
Serverx 上的地址 2014:ac18::10a/64
Desktopx 上的地址 2014:ac18::11b/64
兩個地址可以通信,並且在從新啓動後依然生效,兩快網卡的 ipv4 地址依然生
效
7.配置本地郵件服務
在系統 serverx 和 desktopx 上配置郵件服務
這些系統不接收外部發送來的郵件
這些系統上發送的任何郵件都會自動路由到 classroom.example.com
這些系統上發送的郵件顯示來自 example.com
您可以通過用戶 hal 來測試您的配置,訪問:
http://classroom.example.com/exam_mail/hal
8.通過 smb 共享目錄
在 serverx 上配置 smb 服務
您的 smb 服務必須時 STAFF 工作組的一個成員共享/groupdir 目錄共享名必須時 common
只有 example.com 域的客戶可以訪問 common 共享
Common 必須時可以瀏覽的
用戶 barney 必須能夠都取共享的內容,如果需要的話驗證密碼是 westos
9.Smb 多用戶掛在配置
在 serverx 共享通過 smb 目錄/data
共享名稱 data
共享目錄 data 只能被 example.com 域中的客戶使用
共享目錄 data 必須可以被瀏覽
用戶 manager 必須能一讀的方式訪問此共享,訪問密碼時 westos
用戶 wolferyne 必須能夠一讀寫的方式訪問此共享,訪問密碼時 westos
此共享永久掛在到 desktopx 主機的/mnt/westos 目錄,並使用用戶 manager 作
爲認證,任何用戶通過用戶 wolferyne 來臨時獲取寫的權限
10.配置 NFS 服務
在 serverx 配置 nfs
以只讀的方式共享目/public 能被 example.com 域中的系統訪問
以讀寫的方式共享目錄/protected 能被 example.com 域中的系統訪問
訪問/protected 需要通過 kerberos 安全加密,您可以使用下面的 url 提供的祕
鑰
http://classroom.example.com/pub/keytabs/server2.keytab
目錄/protected 應該包含名稱爲 restricted,擁有人爲 ldapuser1 的子目錄
用戶 ldapuser1 能夠使用讀寫的方式訪問/protected/restricted
11.掛在一個 nfs 共享
在 desktop1 上掛在一個來自 serverx.example.com 的 nfs 共享
/public 掛在在下面的目錄上/mnt/nfsmount
/protected 掛載在下面目錄上/mnt/nfssecure 病且使用安全方式訪問,祕鑰:
http://classroom.example.com/pub/kertabs/desktopx.keytab
用戶 ldapuser1 能夠在/mnt/nfssecure/restricted 上創建文件
這些文件系統在開機啓動時自動掛載
12.實現一個 web 服務器
在 serverx 上配置一個站點 http://serverx.exampmle.com
從 http://classroom.example.com/materials/station.html
下載文件,並且將文件重名名爲 index.html 不要修改該此文件的內容
將文件 index.html 拷貝到您的 web 服務器的 Documentroot 目錄下
來自 example.com 域的客戶可以訪問此 web 服務
來自 my133t.org 域的可以端拒絕訪問此 web
13.配置安全 web 服務站點 http://server1.example.com 配置 tls 加密一個已簽名的證書
從 http://classroom.exampel.com/pub/tls/certs/serverx.crt
從 http://classroom.example.com/pub/tls/private/serverx.key
從 http://classroom.example.com/pub/example-ca.crt
14.配置虛擬主機
在 server1 上拓展您的 web 服務器,爲站點 http://wwwx.example.com 創建一
個虛擬主機
設定默認發佈目錄爲/var/www/virtual
從 classroom.example.com/materials/www.html 下 載 文 件 並 重 命 名 爲
index.html,不要對文件 index.html 的內容做任何修改
將文件 index.html 放到默認發目錄下
確保 barney 用戶能在/var/www/virtual 目錄下創建文件
15.配置您的 serverx 上的 web 服務器
在默認發佈目錄下創建一個名爲 confidential 的目錄
從 http://classroom.example.com/materials/private.html 下載到這個目錄
中,並且重命名爲 index.html
不要修改這個文件的內容
從 serverx 上,任何人都可以瀏覽此目錄,但是其他系統不能訪問此目錄中的
內容
16.實現動態 web 內容
在 server1 上配置提供 web 內容
動態內容由名爲 transitive.example.com 的虛擬機提供
虛擬機監聽端口:8989
從 http://classroom.example.com/materials/scripts.wsgi 下載一個腳本,
然後防到合適的位置,不要修改該此文件內容
客戶訪問 http://transitive.example.com:8989 時應該生成動態的 web 頁面
此站點 必須能被 example.com 域內的所有系統訪問
17.創建一個腳本
在 serverx 上創建一個/root/scripts.sh 的腳本,讓其提供下列特性
當運行/root/scripts.sh all 輸出 none
當運行/root/scripts.sh none 輸出 all
當沒有任何參數或者參數不時 all 或 none 時,其錯誤輸出產生下列信息
/root/scripts.sh/ all|none
18.配置 iscsi 服務端
配置 serverx 提供一個 iscsi 服務磁盤名稱 iqn.2014.11.com.example:serverx
端口 3260
用 iscsi_data 作爲後端卷,大小爲 3G
此服務只能被 desktopx.example.com 訪問19.配置 iscsi 的客戶端
配置 desktopx 使其能鏈接在 server1 上提供的 iscsi
Iscsi 設備在系統啓動的期間自動加載
塊設備 iscsi 上包含一個大小爲 1900M 的分區,並格式化爲 xfs
此分區自動掛載在/mnt/data 上同時在系統啓動的期間自動掛載
20.配置一個數據庫
在 serverx 上創建一個 mariadb,名爲 Contacts
數據庫應該包含來自數據庫複製的內容。複製文件的 url
http://classroom.example.com/materials/users.mdb
數據庫只能被 localhost 訪問
除了 root 用戶,此數據庫只能被 luigi 查詢,此用戶密碼爲 westos
超級用戶密碼爲 westos,同時不允許空密碼登陸
21.查詢數據庫
在系統 serverx 上使用數據庫 contacts,並且使用相應 sql 查詢以回答下列問
題
面時 forsook 的人的名字
Brian
有多少人的姓名時 Alan 同時居住在 Cupertino