成人AV在线无码|婷婷五月激情色,|伊人加勒比二三四区|国产一区激情都市|亚洲AV无码电影|日av韩av无码|天堂在线亚洲Av|无码一区二区影院|成人无码毛片AV|超碰在线看中文字幕

RHCE考試

第(1)題 修改SELinux 狀態(tài)(RHCE考試第1題)SELinux 是linux 中的另一種對(duì)資源訪問權(quán)限的安全機(jī)制。請(qǐng)將selinux 狀態(tài)設(shè)置為enforcing 狀態(tài)實(shí)現(xiàn)步驟: #vim

第(1)題 修改SELinux 狀態(tài)(RHCE考試第1題)

SELinux 是linux 中的另一種對(duì)資源訪問權(quán)限的安全機(jī)制。

請(qǐng)將selinux 狀態(tài)設(shè)置為enforcing 狀態(tài)

實(shí)現(xiàn)步驟: #vim /etc/sysconfig/selinux

然后將修改如下行,實(shí)現(xiàn)不同的狀態(tài)(配置文件中有單詞):

SELINUX=enforcing

SELINUX= permissive

SELINUX= disable //關(guān)閉狀態(tài),停止安全檢查,全部許可 //強(qiáng)制模式,檢查安全狀態(tài)并拒絕不許可的訪問 //許可模式,檢查安全狀態(tài)并許可訪問但記錄訪

或者通過如下命令

#setenforce 1

#setenforce 0 //強(qiáng)制模式 //許可模式

說明:disable 模式只能通過修改/etc/selinux/config文件實(shí)現(xiàn)。如果不是修改為disable ,則不用重啟(注意,最好別在disable 和enforce 模式間切換,啟動(dòng)過程較慢)。

,

第(2)題 啟用路由轉(zhuǎn)發(fā)功能

請(qǐng)將ip_forward路由轉(zhuǎn)發(fā)功能打開,并永久生效。(即使的linux 可以當(dāng)路由器

使)

實(shí)現(xiàn)步驟:

#vim /etc/sysctl.conf

找到如下行,設(shè)置為1表示開啟,設(shè)置為0表示禁止路由轉(zhuǎn)發(fā):

net.ipv4.ip_forward = 0 ——>改為1

#sysctl -p //使配置文件生效

其它說明:查看所有配置項(xiàng):#sysctl -a

第(3)題 配置SSHD 服務(wù),實(shí)現(xiàn)遠(yuǎn)程登錄支持

配置sshd 服務(wù),允許本地用戶harry 可以登錄,但拒絕t3gg.com 域的用戶訪問該

服務(wù)。

說明:sshd 是一種遠(yuǎn)程登錄服務(wù),是linux 下允許從其它計(jì)算機(jī)登錄到本地進(jìn)行遠(yuǎn)程管理的一種服務(wù)。它的服務(wù)軟件是sshd 。端口號(hào)是22。

實(shí)現(xiàn)步驟:

1) 檢查是否已經(jīng)安裝ssh 的服務(wù)

#rpm -qa|grep ssh

可能輸出如下類似的內(nèi)容,表示軟件包已經(jīng)安裝。(注意黃色部分,表示軟件包的名字前面帶open ,表示開源,紅色的部分表示ssh 的客戶端和服務(wù)器端,一般都要安裝) : openssh-askpass-5.3p1-20.el6.x86_64

openssh-clients-5.3p1-20.el6.x86_64

,

openssh-5.3p1-20.el6.x86_64

openssh-server-5.3p1-20.el6.x86_64

libssh2-1.2.2-7.el6.x86_64

2) 如果沒有安裝,通過如下命令進(jìn)行安裝

#yum -y install openssh-clients openssh-server

3) 安裝后,重新啟動(dòng)服務(wù)

#service sshd restart

4) 確保sshd 服務(wù)站開機(jī)后自動(dòng)啟動(dòng)

#chkconfig sshd on

5) 檢查sshd 服務(wù)是否可以通過tcp_wrappers設(shè)置安全訪問權(quán)限。如果不支持就比

較麻煩

#ldd `which sshd` |grep wrap

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fe2ec7c3000) //支持基于TCP_Wrappers安全設(shè)置。兩撇為反斜撇

6) 修改TCP_Wrappers的配置文件/etc/host.deny,禁止來自172.16.0.0/24網(wǎng)絡(luò)主機(jī)

的訪問:

#vim /etc/hosts.deny

根據(jù)RHCE 考試開始的說明,t3gg.com 對(duì)應(yīng)的網(wǎng)絡(luò)是172.16.0.0/24網(wǎng)絡(luò),所以要加入如下部分,表示禁止172.16.0.0/24網(wǎng)絡(luò)用戶的訪問。

sshd:172.16.0.0/255.255.255.0

7) 設(shè)置防火墻,開放來自172.16.0.0/16網(wǎng)絡(luò)(本地主機(jī)所在地網(wǎng)絡(luò),也即harry 所

在的主機(jī)的網(wǎng)絡(luò)) 對(duì)sshd 服務(wù)服務(wù)的訪問,即開放本地的22號(hào)端口。

#iptables -I INPUT -s 172.16.0.0/16 -p tcp --dport 22 -j REJECT 上面命令的說明:

? -I INPUT 表示在輸入鏈中插入一條防火墻記錄

? -s 172.16.0.0/16 表示來自172.16.0.0/16網(wǎng)絡(luò)的主機(jī)。即網(wǎng)絡(luò)通信數(shù)據(jù)

包的源地址是該網(wǎng)絡(luò)的。如果是去向。。。網(wǎng)絡(luò),則用-d XXX ,要根據(jù)實(shí)際選擇。

? -p tcp 表示要過濾的網(wǎng)絡(luò)協(xié)議。這里是TCP 協(xié)議,因?yàn)閟shd

服務(wù)使用

,

該協(xié)議

? --dport 是指通信數(shù)據(jù)包中的目標(biāo)端口,當(dāng)然也有源端口,用--sport 表示。

注意前面有倆—

? -j ACCEPT 表示允許 ,如果要禁止(丟棄包并反饋信息給訪問端)為 –j

REJECT ,要丟棄包(拒絕但不反饋信息給客戶端)用-j DROP

? -i eth0 表示正對(duì)某個(gè)網(wǎng)卡的設(shè)置

#service iptables save

次即可)

其它說明:

/etc/ssh/sshd_config包含sshd 服務(wù)端端口號(hào),監(jiān)聽地址等等配置,一般無需修改。 第(4)題 配置VsFTPd 服務(wù),實(shí)現(xiàn)匿名下載并拒絕某些主機(jī)

//保存防火墻 #chkconfig iptables on //使得防火墻服務(wù)隨計(jì)算機(jī)啟動(dòng)(考試時(shí)候做一配置ftp 允許本地匿名用戶從/var/ftp/pub目錄中下載,允許

172.12.40.0/255.255.255.0網(wǎng)絡(luò)主機(jī)對(duì)vsftpd 服務(wù)的訪問

實(shí)現(xiàn)步驟:

1) 檢查是否已經(jīng)安裝vsFTPd 服務(wù)

#rpm -qa|grep vsftpd

可能輸出如下類似的內(nèi)容,表示軟件包已經(jīng)安裝。(黃色部分表示軟件包的名字) : vsftpd-2.2.2-6.el6.x86_64

2) 如果沒有安裝,通過如下命令進(jìn)行安裝

#yum -y install vsftpd

3) 安裝后,重新啟動(dòng)服務(wù)

#service vsftpd restart

4) 確保sshd 服務(wù)站開機(jī)后自動(dòng)啟動(dòng)

#chkconfig vsftpd on

5) 檢查vsftpd 服務(wù)是否支持基于TCP_wrappers的安全機(jī)制,如果不支持,就比較

麻煩 #ldd `which vsftpd`|grep wrap

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f40547da000) //表示支持

6) 通過TCP_wrappers的配置文件/etc/hosts.deny設(shè)置對(duì)主機(jī)的限制

#vim /etc/hosts.deny

加入黃色的部分:

vsftpd:ALL EXCEPT 127.0.0.1 //

除本地,禁止所有主機(jī)訪問 //設(shè)置禁止訪問的主機(jī)規(guī)則

,

#vim /etc/hosts.allow

加入如下內(nèi)容

//設(shè)置允許訪問的主機(jī)規(guī)則 vsftpd:172.12.40.0/255.255.255.0 //允許訪問的網(wǎng)絡(luò)

上面的設(shè)置需要重新啟動(dòng),負(fù)責(zé)比較慢才能有效,目前不知道原因。

也可以通過設(shè)置防火墻策略,進(jìn)行控制 #iptables -I INPUT ! -s 172.12.40.0/24 -p tcp --dport 21 -j REJECT #iptables -I INPUT -s 127.0.0.1 -j ACCEPT

#service iptables save

#chkconfig iptables on

第(5)題 配置啟動(dòng)掛載服務(wù)(三種掛載模式:啟動(dòng)掛載,自動(dòng)掛載,手動(dòng)掛載之一)

將/root/cdrom.iso掛載到/opt/data下,并設(shè)置為開機(jī)自動(dòng)掛載

實(shí)現(xiàn)步驟:

所謂啟動(dòng)掛載,就是將某個(gè)設(shè)備在啟動(dòng)的時(shí)候自動(dòng)掛載到指定的文件夾下。一般是在/etc/fstab文件中進(jìn)行掛載配置即可。做題時(shí),可以在windows 下利用ultraISO 軟件制作一個(gè)小iso 文件,復(fù)制到linux 下。然后測(cè)試。

#vim /etc/fstab

loop //打開啟動(dòng)掛載的配置文件 //注意/root/cdrom.iso /opt/data iso9660 defaults,loop 0 0

#moutn -a //重新fstab 文件,否則只能重啟后才能查看到掛載信息 第(6)題 配置基本web 服務(wù)器

配置web 服務(wù),使之能被http://station.domain40.example.com訪問(即通過本地

主機(jī)名訪問)

實(shí)現(xiàn)步驟:

1) 檢查是否已經(jīng)安裝了httpd 服務(wù)

#rpm -qa|grep httpd

出現(xiàn)上面的內(nèi)容表示已經(jīng)安裝。

2) 如果沒有安裝,則執(zhí)行如下命令安裝

#yum -y install httpd

3) 啟動(dòng)httpd 服務(wù)

#service httpd start

4) 設(shè)置使的httpd 服務(wù)開機(jī)自動(dòng)運(yùn)行

#chkconfig httpd on

因?yàn)閟tation.domain40.example.com 代表本地的主機(jī)名,所以如果設(shè)置了本地主機(jī)名,默認(rèn)可以直接訪問了,因?yàn)榉?wù)器端(考試服務(wù)器)已經(jīng)幫你做好了DNS 解析。

5) 確保防火墻已經(jīng)開啟對(duì)80號(hào)端口開放

6) #iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT

,

#iptables --list INPUT -n|grep 80

輸出如下的結(jié)果,表示基于TCP 協(xié)議的80號(hào)端口,到本地的httpd 服務(wù)是完全開放的

target prot opt source destination

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

7) 如果防火墻沒有開放80號(hào)端口,則需要在防火墻添加對(duì)80號(hào)端口的開放 首先,如果自己不知道httpd 服務(wù)的端口號(hào),可以用如下命令查找:

#cat /etc/services |grep ^http|grep " 80" //80前面有個(gè)空格

從如下結(jié)果可以看出http 的端口和協(xié)議。

#service iptables save //保存

#chkconfig iptables on //服務(wù)隨機(jī)器啟動(dòng)

第(7)題 配置虛擬主機(jī)

實(shí)現(xiàn)虛擬主機(jī)。通過主機(jī)名http://www.domain40.example.com能訪問到

/www/virtual目錄下的頁面,頁面從http://ip/dir/example.html(考試提供,做題時(shí)候自行創(chuàng)建一個(gè)

index.html

的文檔即可)下載或者自行創(chuàng)建。并保證,http://station.domain40.example.com同樣能被訪問到之前(上一題的內(nèi)容,即默認(rèn)網(wǎng)站的訪問)的內(nèi)容。

實(shí)現(xiàn)步驟:

根據(jù)本題目的意思,實(shí)際上是要建立兩個(gè)基于虛擬主機(jī)的網(wǎng)站;一個(gè)是以域名

,

station.domain40.example.com 進(jìn)行訪問的虛擬主機(jī),另一個(gè)是以域名www.domain40.example.com 進(jìn)行訪問的虛擬主機(jī),這里的域名在服務(wù)器已經(jīng)被建立好,我們無須考慮。具體如下:

1) 檢查確保已經(jīng)安裝了httpd 服務(wù),如果沒安裝,就按照httpd 服務(wù),并確保啟隨

機(jī)器啟動(dòng)。

#rpm -qa |grep httpd

…如果沒有查到結(jié)果,則

#yum -y install httpd

配置服務(wù),使得其隨機(jī)器啟動(dòng)。

#chkconfig httpd on

2) 開啟虛擬主機(jī)功能

所謂虛擬主機(jī),就是把一臺(tái)物理主機(jī),當(dāng)作多個(gè)主機(jī)使用。和虛擬機(jī)類似。服務(wù)器中的虛擬主機(jī),就是讓只有一個(gè)IP 地址的服務(wù)器,可以提供多個(gè)相對(duì)獨(dú)立的網(wǎng)站服務(wù)功能。網(wǎng)站的虛擬主機(jī)技術(shù)是通過IP 地址(如果有多個(gè))、端口號(hào)(一般內(nèi)外使用80以外的,外網(wǎng)均使用80)和主機(jī)名(常說的域名)的組合實(shí)現(xiàn)虛擬主機(jī)。也就是它們?nèi)齻€(gè)只要有一個(gè)不同,就可以構(gòu)成一個(gè)虛擬主機(jī)。更一般的情況是利用DNS 技術(shù),給同一個(gè)IP 地址分配很多個(gè)域名,通過不同的域名區(qū)分不同的虛擬主機(jī)。

具體做法是,打開/etc/httpd/conf/httpd.conf文件,然后在最后輸入如下內(nèi)容(//及本行后的不輸人!) :

NameVirtualHost *:80

#=====虛擬主機(jī)之一

//指定虛擬主機(jī)的端口號(hào) //網(wǎng)站在服務(wù)器上的文件夾位置

//網(wǎng)站的主機(jī)名(域名) Documentroot /www/virtual

#=========虛擬主機(jī)之二

//端口號(hào) //網(wǎng)站在服務(wù)器上的文件夾位置

//網(wǎng)站的主機(jī)名 Documentroot /var/www/html //虛擬主機(jī)開啟標(biāo)志 Servername www.domain40.exaple.com Servername station.domain40.exaple.com

輸入完成后,保存退出。其實(shí),上面的內(nèi)容輸入,可以在原文件末尾看到類似的內(nèi)容,去掉左側(cè)注釋,并稍做修改,然后復(fù)制另一段并修改即可。

3) 創(chuàng)建第一個(gè)虛擬主機(jī)的文件夾

#mkdir -p /www/virtual

4) 下載網(wǎng)站文件 #cd /www/virtual

#wget //IP 是考試時(shí)候的真實(shí)IP 這里,可以利用vi 命令創(chuàng)建一個(gè)文件,隨便輸入內(nèi)容。

5) 修改剛才創(chuàng)建網(wǎng)站文件的安全上下文,否則訪問將被拒絕

,

#chcon --reference /var/www /www -R

設(shè)置 //這里是參考/var/www的

特別說明,在/etc/selinux/targeted/contexts/files/file_contexts中,存放著系統(tǒng)中所有目錄的安全上下文。注意,如果chcon 命令不存在,請(qǐng)自行安裝。(rpm -qf `which chcon`)可以獲得包名

6) 重新啟動(dòng)服務(wù)器

#service httpd restart

另外,要確保防火墻對(duì)80號(hào)端口開放,否則可能依然無法訪問。

虛擬機(jī)下:成功

配置DNS :

1) 安裝DNS 服務(wù)器 #rpm -qa |grep bind

如果沒有則下載安裝DNS

Wget ftp://10.8.31.246/Packages/bind-9.7.0-5.P2.el6.i686.rpm

# rpm -ivh bind-9.7.0-5.P2.el6.i686.rpm

2) 配置DNS 客戶端

# vim /etc/resolv.conf

,

3) 配置DNS 服務(wù)端

a) #vim /etc/named.conf

,

b) # vim named.rfc1912.zones

添加如圖所示:

反解析:

c) # cd /var/named/

d) Ls

e) #cp named.localhost syd168.com.zone f) # vim syd168.com.zone

g) #vim

/var/named/syd168.com.arpa

標(biāo)簽: