RHCE 考试题.docx
《RHCE 考试题.docx》由会员分享,可在线阅读,更多相关《RHCE 考试题.docx(22页珍藏版)》请在冰豆网上搜索。
RHCE考试题
YUM配置:
yum-config-manager–add-repo=”yum地址”
yumrepolist验证
1、配置SeLinux
在system1和system2上要求SeLinux的状态为enforcing。
要求系统重启后依然生效。
(两台机器上都要配置)
#vim/etc/selinux/config
SELINUX=enforceing
#setenforce1
#getenforce
2、配置防火墙对SSH的限制(两台机器上都要配置)
在server0和desktop0上设置防火墙,对SSH实现访问限制:
允许域的客户对server0和desktop0进行ssh访问。
禁止my133t.org域的客户对server0和desktop0进行ssh访问。
备注:
my133t.org是在网络。
(根据考试实际提供的网段配置)
#systemctlmaskiptables
#systemctlmaskip6tables
#systemctlmaskebtables.service
#systemctlenablefirewalld
#systemctlstartfirewalld
#firewall-cmd--permanent--add-service=ssh
#firewall-cmd–petmanent--add-rich-rul=sshreject’
#firewall-cmd–reload
3、配置IPv6地址(两台都配置)
在你的考试系统上配置接口eth0使用以下IPv6地址:
server0上的地址应该是fddb:
fe2a:
ab1e:
:
c0a8:
1/64(根据考试实际提供的地址配置)
desktop0上的地址应该是fddb:
fe2a:
ab1e:
:
c0a8:
2/64
两个系统必须能够与网络fddb:
fe2a:
ab1e/64内的系统通信。
地址必须在重启后依旧生效。
两个系统必须保持当前的IPv4地址并能通信
解法1:
命令行
#nmcliconnectionmodifyeth0ipv6.addressesXXXXXX/64/配置IPV6IP地址
#nmcliconnectionmodifyeth0ipv6.methodmanual
解法2:
图形化
#nm-connection-editor/启用图形化
#nmcliconnetionreload
#nmcliconnectiondowneth0
#nmcliconnectionupeth0
4、配置链路聚合(两台都配置)
在server0和desktop0之间按一下要求配置:
此链路使用接口eth1和eth2
此链路在一个接口失效时仍然能工作
此链路在server0使用下面的地址
此链路在desktop0使用下面的地址
此链路在系统重启之后依然保持正常状态
创建team类型的网卡,连接别名为team0,使用的模式为activebackup
#nmcliconnectionaddtypeteamcon-nameteam0ifnameteam0config‘{“runner”:
{“name”:
“activebackup”}}’
根据题目要求给team0网卡绑定指定的IP
#nmcliconnectionmodify
#nmcliconnectionmodifyteam0ipv4.methodmanual
给team0网卡指定从接口
#nmcliconnectionaddtypeteam-slavecon-nameteam0-port1ifnameeth1masterteam0
#nmcliconnectionaddtypeteam-slavecon-nameteam0-port2ifnameeth2masterteam0
5、自定义用户环境(两台都配置)
在系统server0和desktop0上创建自定义命令为qstat,此自定义命令将执行以下命令:
/bin/ps–Aopid,tt,user,fname,rsz
此命令对系统中的所有用户有效
#vim/etc/bashrc
aliasqstat=”/bin/ps–Aopid,tt,user,fname,rsz”
#source/etc/profile
6、配置本地邮件服务(两台都配置)
在系统server0和desktop0上配置邮件服务,满足以下要求:
这些系统不接收外部发送来的邮件
这些系统上本地发送的任何邮件都会自动路由到
从这些系统上发送的邮件都显示来自
你可以通过发送邮件到本地用户student来测试你的配置,已经配置好。
把此用户的邮件转到下列
#yuminstallpostfix-y
#systemctlenablepostfix
#postconf-e"inet_interfaces=loopback-only"/修改配置
#postconf-e"myorigin="
#postconf-e"relayhost中心邮件服务器
#postconf-e"mydestination="
#postconf-e"local_transport=error:
localdeliverydisabled"
#postconf-e"mynetworks
#systemctlrestartpostfix/修改了配置就重启
#mail-s"server0nullclient"/发送测试邮件
nullclienttest
.
7、配置端口转发
在server0上配置端口转发,要求如下:
在网络中的系统,访问server0的本地端口5423将被转发到端口80
此设置必须永久有效。
解法1:
命令行
#firewall-cmd--permanent--tcpto-port=80'
#firewall-cmd--permanent--udpto-port=80'
#firewall-cmd--reload
解法2:
图形化
#firewall-config/启用图形化配置界面,在richrules下设置端口转发
#firewall-cmd–reload/配置完毕后需要重新加载防火墙
8、通过SMB共享目录
在server0上配置SMB服务
您的SMB服务器必须是STAFF工作组的一个成员
共享/common目录,共享名必须为common
只有域内的客户端可以访问common共享
Common必须是可以浏览的
用户rob,samba密码为redhat,只读权限访问common共享。
用户brian,samba密码为redhat,读写权限访问common共享。
备注:
考试的时候,用户和密码请根据题目实际情况进行设定,有的时候,题目简单一些,测试用户早已建立,有的时候,题目较难一些,用户和密码都必须自己设定。
#yuminstallsambasamba-client-y
#mkdir-p/common
#useradd-s/sbin/nologinbrian
#smbpasswd-abrian输入密码redhat
#useradd-s/sbin/nologinrob
#smbpasswd-arob输入密码redhat
#chgrpbrain/common<---如果题目并没有要求让brain用户读写,则不需要修改组
#chmod2775/common<---确保brain用户对目录可读写
#semanagefcontext-a-tsamba_share_t'/common(/.*)?
'
#restorecon-vFR/common
#vim/etc/samba/smb.conf
[global]
...
workgroup=STAFF#注意按照题目要求修改工作组
...
security=user#确定是user
passdbbackend=tdbsam
[common]
path=/common
writelist=brain
#systemctlenablesmbnmb
#systemctlstartsmbnmb
#firewall-cmd--permanent--add-service=samba
#firewall-cmd--reload
9、配置多用户SMB挂载
在desktop0上完成以下要求的配置:
desktop0把server0的common共享通过多用户的方式挂载到本地的/mnt/multiuser(实际的共享和挂载点请根据考试题目设定)
用户rob,samba密码为redhat,只读权限访问common共享。
用户brain,samba密码为redhat,读写权限访问common共享。
该共享要求在系统启动时自动挂载。
#yum-yinstallcifs-utils
#mkdir/mnt/multiuser
#echo'username=brian'>/root/smb-multiuser.txt
#echo'password=redhat'>>/root/smb-multiuser.txt
#vim/etc/fstab
...
//server0/common/mnt/multiusercifscredentials=/root/smb-multiuser.txt,multiuser,sec=ntlmssp00
#mount/mnt/multiuser
验证:
#su-brian
$cifscredsaddserver0输入密码redhat
$echo"Multiuser">/mnt/multiuser/brian.txt成功写入
$exit
#su-rob
$cifscredsaddserver0
$echo"Multiuser">/mnt/multiuser/rob.txt写入失败
$cat/mnt/multiuser/brian.txt读取成功
$exit
10、配置NFS服务
在server0配置NFS服务,要求如下:
以只读的形式共享目录/public同时只能被域中的系统访问。
以读写的形式共享目录/protected同时只能被域中的系统访问。
访问/protected需要通过Kerberos安全加密,您可以使用下面提供的密钥:
目录/protected应该包含名为project拥有人为ldapuser0的子目录
用户ldapuser0能以读写形式访问/protected/project
在server0(system1)上完成
#yuminstallnfs-utils-y
设定开机启动,并且马上启动
#systemctlenablenfs-server
#systemctlstartnfs-server
#mkdir/public
#chownnfsnobody/public
#vim/etc/exports
/public*(ro)
#exportfs-r重载nfs设定,让新添加的共享马上生效
设置防火墙
#firewall-cmd--permanent--add-service=nfs
#firewall-cmd--reload
下载kerberos的服务端密钥文件(考试的时候会提示你在哪里下载该文件)
#wget-O/etc
设定nfs的工作模式是4.2版本
作用:
实现安全上下文的继承(服务端决定安全上下文,服务器和客户端是一致的上下文)
#vim/etc/sysconfig/nfs
RPCNFSDARGS="-V4.2"
设定服务开机启动
#systemctlenablenfs-secure-server
#systemctlstartnfs-secure-server<---注意:
服务名字已经更改
准备好共享的目录
#mkdir-p/protected/project
#chownldapuser0:
ldapuser0/protected/project
设定配置文件
#vim/etc/exports
/protected*(sec=krb5p,rw)
资源使用kerberos验证
#exportfs-r
#exportfs
/protected*
设定防火墙,允许nfs的数据流入本机
#firewall-cmd--permanent--add-service=nfs
#firewall-cmd–reload
11、挂载一个NFS共享
在desktop0上挂载一个来自server0上的NFS共享,并符合下列要求:
/pulbic共享挂载到本地的/mnt/nfsmount。
/protected挂载到本地的/mnt/nfssecure,并使用安全的方式,密钥下载地址:
用户ldapuser0能够在/mnt/nfssecure/project上创建文件。
这些文件系统在系统启动时自动挂载。
在desktop0(system2)上完成
1)访问基于系统验证的nfs共享
#mkdir/mnt/nfsmount
#vim/etc/fstab
...
public/mnt/nfsmountnfsdefaults00
#mount-a
2)访问基于kerberos验证的nfs共享
下载kerberos密钥文件
#wget-O/etc
开启nfs-secure服务
作用:
该服务是实现kerberos验证的客户端功能
#systemctlenablenfs-secure
#systemctlstartnfs-secure
建立本地目录挂载
#mkdir/mnt/nfssecure
#vim/etc/fstab
...
mnt/nfssecurenfsdefaults,sec=krb5p00
#mount-a
#df-h|grepnfs
...
10G3.1G7.0G31%/mnt/nfssecure
验证:
#sshldapuser0@localhost<--密码kerberos
$echo"newdata">>/mnt/nfssecure/project/testfile.txt
12、实现一个web服务器
在server0上配置一个站点,然后执行以下步骤:
从下载文件,并且将文件重命名为index.html,绝对不能修改此文件的内容。
将index.html拷贝到你的web服务器的DocumentRoot目录下。
来自域的客户端可以访问此web站点。
来自my133t.org域的客户端拒绝访问此web站点。
备注:
网站的DocumentRoot如果题目没有指定,那么随意。
#yuminstallhttpd-y
#firewall-cmd--permanent--add-service=http
#firewall-cmd--reload
#vim/etc/httpd/conf.d/vhost-server0.conf
80>
ServerName
DocumentRoot"/var/www/html"
CustomLog"logs/server0_vhost_log"combined
Requireallgranted
Requirenothost
#wget-O/var
#systemctlenablehttpd
#systemctlstarthttpd
13、配置安全web服务
站点配置TLS加密。
一个已经签名证书从获取
此证书的密钥从获取
此证书的授权信息从获取
#yuminstallhttpdmod_ssl-y
#firewall-cmd--permanent--add-service=https
#firewall-cmd--reload
#wget-O/etc/pki/tls/certs/server0.crt
#wget-O/etc/pki/tls/private/server0.key
#wget-O/etc/pki/tls
#vim/etc/httpd/conf.d/ssl.conf
443>
DocumentRoot"/var/www/html"自己添加
ServerName自己添加
找个空白处添加以下内容
Requireallgranted
Requirenothost
SSLCertificateFile/etc/pki/tls/certs/server0.crt修改为指定下载的证书
SSLCertificateKeyFile/etc/pki/tls/private/server0.key修改为指定下载的密钥
SSLCACertificateFile/etc/pki/tls/certs/example-ca.crt修改为指定的根证书
#systemctlenablehttpd
#systemctlrestarthttpd
14、配置虚拟主机
在server0上扩展你的web服务器,为站点创建一个虚拟主机,然后执行以下步骤:
设置DocumentRoot为/var/www/virtual
从下载文件并重命名为index.html,不要对文件index.html内容做任何修改。
将index.htm文件放到虚拟主机的DocumentRoot目录下
确保floyd用户能够在/var/www/virtual目录下创建文件
注意:
原始站点必须仍然能够访问。
站点的所用的域名网络中已有DNS服务器解析。
#yuminstallhttpd-y
#firewall-cmd--permanent--add-service=http
#firewall-cmd--reload
#vim/etc/httpd/conf.d/vhost-www0.conf
80>
ServerName
DocumentRoot"/var/www/virtual"
CustomLog"logs/www0_vhost_log"combined
Requireallgranted
#mkdir-p/var/www/virtual
#wget-O/var
#semanagefcontext-a-thttpd_sys_content_t'/var/www/virtual(/.*)?
'
#restorecon-R/var/www/virtual
#useraddfloyd如果用户不存在就自己建立
#setfacl-muser:
floyd:
rwx/var/www/virtual/
#systemctlenablehttpd
#systemctlrestarthttpd
15、配置web内容的访问
在你的server0上的web服务器的DocumentRoot目录下创建一个名为private的目录,要求如下:
从下载一个文件副本到这个目录,并且重命名为index.html。
不要对这个文件的内容作任何修改。
从system1上,任何人都可以浏览private的内容,但是从其他系统就不能访问这个目录的内容。
(注意题目要求谁可以访问,灵活变化)
备注:
此题目是接着上一题,所以这里的DocumentRoot指的就是上面的/var/www/virtual/。
#mkdir-p/var/www/virtual/private
#wget–O/var/www/virtual/private/index.html
#vim/etc/httpd/conf.d/vhost-www0.conf
80>
ServerName
DocumentRoot"/var/www/virtual"
CustomLog"logs/www0_vhost_log"combined
Requireallgranted
增加一段访问控制
Requirealldenied
Requirelocal
#systemctlrestarthttpd
16、实现动态Web内容[新版题库已经没有这题]
在server0上配置提供动态web内容,要求如下:
动态内容由名为的虚拟主机提供
虚拟主机监听在端口8908
从下载一个脚本,然后放在适当的位置,无论如何不要修改此文件的内容。
客户端访问时应该接收到动态生成的web页面。
此站点。
必须能够被域内的所有系统访问。
#yuminstallmod_wsgi-y
#mkdir-p/var/www/webapp
#wget–O/var/www/webapp/webinfo.wsgi
#semanageport-a-thttp_port_t-ptcp8908
#semanagefcontext-a-thttpd_sys_content_t'/var/www/webapp(/.*)?
'
#restorecon-R/var/www/webapp
#vim/etc/httpd/conf.d/vhost-webapp0.conf
Lis
升级会员 