RHCE考題解析

您有三台主機，分别為實體機foudation0.example.com，及兩台kvm虛拟機分别為desktop0.example.com（172.25.0.10/24）及system0.example.com（172.25.0.11/24）。兩台虛拟機網路和主機名已經配置好，均位于foudation0.example.com（172.25.0.0./24）域中。您的所有題目要求都将在兩台虛拟機上完成。您可以通過實體機ssh登入到兩台虛拟機上進行操作。您沒有實體機的root使用者的任何權限，請不要修改任何實體機上的檔案和配置，實體機為普通使用者自動登入。

考試伺服器為classroom.example.com（172.25.254.254/16），考試環境網絡為example.com，所屬網段172.25.0.0/16，還有一個mytest.domain.com域，所屬網段172.17.10.0/24，此網段為拒絕通路網段。

注意：

在伺服器和用戶端上，執行下面劃紅線的幾個指令，可以正常顯示server0和desktop0的ip位址，測試到網關和相應的classroom主機是通的即可，這樣就沒必要進到server0或者desktop0裡重新設定ip位址

1、在Desktop0和Server0主機上預設的root密碼為redhat，請将其改為togogo。

在Server0和Desktop0上分别執行下圖劃紅線處的指令

2、在Desktop0和Server0上selinux狀态未知，請将其設定為enforcing狀态。

在Server0和Desktop0上執行vim /etc/selinux/config指令，把SELIUNX的狀态改為enforcing，如下圖所示：

3、在Desktop0和Server0上分别設定防火牆規則，針對SSH：

a)允許example.com的域對Desktop0和Server0進行SSH

這裡就以Server0為例，Desktop0上操作的方式是一樣的，具體的指令和添加後的效果如下圖紅框所示：

配置完重新加載下防火牆

b)禁止mytest.domain.com的域對Desktop0和Server0進行SSH

檢查下配置的防火牆規則是否生效

可以看到端口轉發規則已經生效

4、在Desktop0和Server0上設定端口轉發，将從foundation0.example.com域（172.25.0.0/24）發來的對本機3410端口的通路請求轉發到本地80端口

5、在Desktop0上給ens7設定靜态ipv4和ipv6位址：

a) ipv4 address : 192.168.0.100/24

b) ipv6 address :fddb:fe2a:ab1e::c0a8:65/64 gateway: fddb:fe2a:ab1e::c0a8:00fe/64

6、在Server0上做端口綁定，使用team0将ens7和ens8接口綁定

a)要求在任意一個成員接口down的情況下team0口保持正常使用。

b)ipv4和ipv6位址配置如下

ipv4 address : 192.168.0.101/24

ipv6 address : fddb:fe2a:ab1e::c0a8:65/64 gateway : fddb:fe2a:ab1e::c0a8:00fe/64

注意：因為5、6兩題的環境都是差不多的，是以我這裡隻做第6題了。

先執行lab teambridge setup指令安裝兩塊網卡，然後檢視裝置狀态，可以看到新安裝的兩塊網卡，eno1和eno2

執行nm-connection-editor指令，打開網卡編輯頁面，添加方框裡所示的幾項

添加team0上的兩塊網卡，并做team的政策

、

配置IPV4

配置IPV6

檢視配置的team0

ping檢測IPV4和IPV6都是通的，說明配置正常

7、在Server0上自定義一個指令，要求開機所有使用者登陸後執行show等同于執行”ls -al;pwd;echo ok”

8、在Server0上建立一個null client的電子郵件服務，要求将收到的郵件路由到smtp0.example.com上。隻處理Server0本地使用者的郵件，所有發送的郵件發送方的字尾皆為desktop0.example.com。給Sderver0本地使用者student發送郵件後，在Desktop0主機上測試student使用者是否收到郵件。

參考下面的該檔案

9、在Server0上建立samba共享

a)要求在工作組STAFF中，

b)本地 /common目錄設定為common共享，該共享為可浏覽，要求所有人可見。

c)建立一個samba使用者bob，samba密碼為postroll

d)建立一個samba使用者alice, samba密碼為postroll

e)本地/practice 目錄設定為practice共享，隻允許example.com的域内使用者通路， 要求bob使用者以隻讀的方式通路該目錄，alice可以用讀寫的方式來通路該目錄。

useradd bob

useradd alice

semanage fcontext -a -t samba_share_t '/practice(/.*)?'

restorecon -vvFR /practice/

browseable = yes

cifscreds  add  -u alice   172.25.0.11

10、Samba多使用者設定

a)在Desktop0上，要求通過smb多使用者的方式将共享目錄practice挂載到/mnt/practice上。要求在對該共享目錄挂載時，以alice的身份進行操作，密碼為postroll。要求每次開機該共享目錄可以自動挂載

11、配置NFS導出共享目錄

a)在Server0上，要求共享目錄/nfstest，僅允許example.com域主機能以隻讀的方式通路目标伺服器

b)在Server0上，共享目錄/nfsprivate，僅允許example.com域可以通路，域内主機擁有讀寫功能，并且使用Kerboers安全認證。驗證所有檔案使用

http://classroom.example.com/pub/keytabs/server0.keytab。

server0:

desktop0:

12、NFS Kerberos安全挂接

a)Desktop0上使用krb5p來對Server0上NFS共享/nfsprivate目錄的共享進行安全認證，驗證所有檔案使用http://classroom.example.com/pub/keytabs/desktopX.keytab。

b)要求每次開機都能自動挂載。

13、NFS用戶端挂載

a)在Desktop0上，要求将Serber0上共享的/nfstest目錄挂接在本地/nfstest

desktop0：

14、配置Web服務提供使用者通路

a)請在Server0上搭建一個域名為server0.example.com的web伺服器其主目錄位置随意，下載下傳http://classroom.example.com/pub/html/server0.html到網站的家目錄，并更改命名為index.html，請勿修改網頁内容。

把appche配置檔案改成如下所示：

15、配置基于SSL的WEB加密通路伺服器

a)請在Server0上針對server0.example.com網站開啟ssl功能，請從http://classroom.example.com/pub/tls/處下載下傳server0.crt、example-ca.crt、server0.key三個證書檔案到你本地的合适的目錄下。

注：修改配置檔案如下，也就是加入紅線所示的那段内容

#下載下傳這幾個密鑰檔案到相應的目錄

16、配置WEB虛拟主機

a)請在Server0上搭建一台虛拟主機使用域名www0.example.com（域名解析已由classroom.example.com上做好）該伺服器的家目錄在/var/www/html/virtual。頁面檔案從http://classroom.example.com/pub/html/www0.html下載下傳到/var/www/html/virtual下，更名為index.html，網頁内容請勿修改，要求原實體主機可以繼續通路。

17、配置WEB動态服務

a)針對www0.example.com監聽8119端口開啟動态頁面的通路功能，從http://classroom.example.com/pub/處下載下傳webapp.wsgi進行使用。

18、配置WEB通路權限

在www0.example.com網站的根目錄建立restricted目錄。下載下傳http://classroom.example.com/pub/html/restricted.html到restricted目錄，改為index.html，請不要修改檔案的内容。要求僅desktop0主機才能通路該頁面。其它主機拒絕通路。

<Directory /var/www/html/virtual/restricted>

   Require ip 172.25.0.10

</Directory>

19、按要求在Server0上編寫腳本

a)腳本1

編寫一個位于/root/program的shell腳本，按照以下要求：

當執行/root/program kernel時，終端顯示user。

當執行/root/program user時，終端顯示kernel。

當僅執行/root/program 而不加參數，或加入其他非kernel或user的參數時，終端顯示出标準的錯誤輸出stderr:

/root/program kernel|user

b)腳本2

編寫一個位于/root/createuser的建立使用者的腳本，要求如下：

該腳本要求制定一個參數檔案，以向腳本提供所需建立的使用者名單。參數檔案範例在http://classroom.example.com/pub/scriptfile.txt

如腳本運作時未制定參數,則顯示Usage:/root/createuser。

如參數檔案存在，将依照其内部批量建立使用者，要求通過該腳本所建立的使用者的shell為/bin/false。使用者密碼設定為thuctive。

#！/bin/bash

file="scriptfile.txt"

if [ $# -eq 0];then

   echo "Usage:/root/createuser"

   exit

fi

if [ $1 == $file ];then

                for i in $(cat $file)

                   do

                        id $i &>/dev/null

                        if [ $? -ne 0 ];then

                             useradd $i -s /bin/false

                             echo "thuctive"|passwd --stdin $i

                         else

                             echo "$i is exist!"

                        fi

                  done

else

            echo "$file is not exist!"

20、配置塊裝置ISCSI存儲導出服務

a)請在server0主機上搭建一個名為iqn.2014-09.com.example.serverX:rhel7的iscsi共享，将500M的邏輯卷rhel7ce使用iscsi共享出去，要求僅desktopX主機通路該共享。

systemctl  enable  target.service

systemctl   start  target.service

21、配置塊裝置ISCSI客戶挂接

a)在desktop0主機上連接配接并登陸該共享，之後對導入的共享iscsi磁盤建立一個300M的分區，格式化為xfs檔案系統。并将其挂載到本機的/iscsitest目錄。該挂載在下次啟動計算機時自動生效。

22、在Server0上配置資料庫MariaDB服務

a)搭建MariaDB要求僅localhost使用者可以登入mariadb并通路服務。

b)MariaDB使用者root設定其密碼為UpLookissingwolf。将http://classroom.example.com/pub/mariadb.dmp檔案下載下傳将并恢複legacy庫

c)按以下要求設定資料庫通路使用者

使用者名

密碼

權限

mary

mary_password

對legacy資料庫所有資料有選擇操作權限

legacy

legacy_password 

對legacy資料庫所有表有選擇、插入、更新和删除操作權限

report

report_password

systemctl enable mariadb.service

systemctl start mariadb.service