2023年6月25日发(作者：)

RHCSA Part

1. 配置软件仓库

#vim /etc/.d/

[Updates]

name=Instructor updates Repository

baseurl=ftp:///pub/rhel6/Errata

gpgcheck=0

2. 将/home分区拉伸至512M, 在490M-510M之间是允许的

#lvextend –L 512M /dev/vgsrv/home

#resize2fs /dev/vgsrv/home

3. 将/home分区减小至320M, 在290M-320M之间是允许的

#umount /home

#e2fsck –f /dev/vgsrv/home

#resize2fs /dev/vgsrv/home 320M

#lvreduce –L 320M /dev/vgsrv/home

#mount -a

4. 创建一个512M的分区, 格式化为ext4, 挂载为/data, 要求每次开机自动挂载

#fdisk /dev/vda

#4 /dev/vdaX

#blkid /dev/vdaX

#vim /etc/fstab

UUID=XXX /data ext4 defaults 0 0

#mount –a

5. 创建一个名为vg0的卷组PE大小为16M在该卷组中分配10个PE的lv名为lv01格式化为ext3挂载至/storage每次开机生效

#fdisk /dev/vda

分区后指定类型为8e

#pvcreate /dev/vdaX

#vgcreate –s 16M /dev/vdaX vg0

#lvcreate –n –l 10 lv01 vg0

#3 /dev/vg0/lv01

#blkid /dev/vg0/lv01

#vim /etc/fstab

#UUID=XXX /storage ext3 defaults 0 0

#mount –a

6. 将swap分区扩展至1024M

#dd if=/dev/zero of=/tmp/swapfile bs=1M count=512

#mkswap /tmp/swapfile

#swapon /tmp/swapfile

#blkid /tmp/swapfile

#vim /etc/fstab UUID=XXX swap swap defaults 0 0

7. 修改root密码为redhat20011

#passwd

8. 升级内核至2.6.32-71.71确认新内核作为默认启动项

#yum –y update kernel

#vim /boot/grub/

确认新内核是default的启动项

9. 将ftp://192.168.0.254/pub/下载至/data目录并挂载至/media/cdrom要求每次开机生效

#vim /etc/fstab

#/root/ /mnt/cdrom iso9660 defaults,loop 0 0

10. 调整内核参数开启IP转发忽略icmp请求要求每次开机都生效

#vim /etc/

Ip_forward

11. 添加内核参数设置kmctl的值为5在/proc/cmdline中可以验证

#vim /boot/grub/

…rgqb quiet kmctl=5

重启后

#cat /proc/cmdline

12. 将本地时钟设置为NTP, NTPserver是

使用图形界面修改

13. 创建一个计划任务要求每周一至周五下午2点至5点每隔10分钟执行echo “Hello, world”,

仅允许root用户创建计划任务

#crontab –e

*/10 14-17 * * 1-5 /bin/echo “Hello, world”

#vim /etc/

root

14. 新建admin组设置gid为600

新建user1用户指定uid为601密码为redhat不允许该用户交互式登录

建立user2user3用户密码均为redhat将这两个用户加入admin组中

设置user1用户的密码在30天后过期

User3有添加删除用户的权限

#groupadd –g 600 admin

#useradd –u 601 –s /sbin/nologin user1

#useradd user2

#useradd user3

#usermod –aG admin user2

#usermod –aG admin user3

#chage user1

Max Password Age: 30

#visudo

user3 = /usr/sbin/useradd, /usr/sbin/userdel

#chage user3

15. 文件权限 1） 设置/data目录的拥有者为user2任何人在该目录下创建的文件的拥有者自动为user2

#chown user2 /data

#chmod g+s /data

2） 设置user3用户对/data及以下目录有完全控制权限

#setfacl -m u:user3:rwx /data

3） 设置user1用户对/data无任何权限

#sefacl –m u:user1: - /data

4） 设置/data分区的卷标为/data

#e2label /dev/vdaX /data

16. 将/home目录下拥有人和拥有组均为user2的文件备份至/root/backup下并保留权限

#find /home –user user2 –group user2 –exec cp –p -r {} /root/backup ;

17. 下载192.168.0.254/pub/文件将该文件中以YES或yes结尾的行(不包括以#开始的行和空行)导出至/root/backup/中不改变行的顺序

#grep –v ^# | grep [^[]:space:] | grep –i ‘yes’ >/root/backup/

18. 将系统中cpu使用率最高的5个进程及进程的拥有人内存的信息导出至/root/backup/中

#ps axo %cpu,%mem,pid,comm | sort –r | head –n 5

#ps axo “%C %p %U %c” –sort -%cpu | head –n 5

19. 访问iscsi存储服务器的地址为192.168.0.254将存储创建为一个30M的分区格式化为ext3挂载为/mnt/storage每次开机生效

#iscsiadm –m discovery –t st–p 192.168.0.254

#iscsiadm –m node –T e: –p 192.168.0.254:3260 –l

#fdsisk –l

#fdisk /dev/sda

#3 /dev/sda1

#blkid /dev/sda1

#vim /etc/fstab

UUID=XXX /mnt/storage ext3 defaults,_netdev 0 0

#mount –a

20. 配置主机使用LDAP认证并使用TLS认证证书从192.168.0.254/pub/EXAMPLE-CA-CERT下载所有LDAP用户密码均为password

LDAP server:

Base DN: dc=example,dc=com

#yum –y groupinstall “Directory Client”

首先设置连接NTP服务器

#ntpdate –u 192.168.0.254 同步时间后再下载TLS证书

#cd /etc/openldap/cacerts

#lftp 192.168.0.254:/pub

get EXAMPLE-CA-CERT

#authconfig-tui 设置LDAP认证

#vim /etc/sssd/

enumerate = true

#service sssd restart #getent passwd

21. 使用LDAP用户登录后要求自动将用户的家目录并挂载

#vim /etc/

/home/guests /etc/

#vim

* 192.168.0.254:/home/guests/&

#service autofs stop

#service autofs start

#su – ldapuser7

22. 写一个脚本/root/当给脚本输入参数kernel时会显示user当给脚本输入参数user时会显示kernel当输入其他参数时则使用标准错误输出”usage user | kernel, please”

#vim /root/

#!/bin/bash

If [ “$1” == “kernel” ]

then echo “user”

elif [“$1” == ”user”]

then echo “kernel”

else echo “usage user | kernel, please”

exit 1

fi

23. 搭建FTP服务器允许匿名用户可以下载和上传

#yum –y install vsftpd

#vim /etc/vsftpd/

访问

anonymous_enabel=YES

#service vsftpd restart

#chkconfig vsftpd on

上传

write_enable=YES

anon_mkdir_write_enable=YES

anon_upload_enable=YES

#setsebool -P allow_ftpd_anon_write=1

#chcon –R –t /var/ftp public_content_rw_t

#chmod 777 /var/ftp/pub

24. 搭建HTTP服务器允许所有人可以访问下载192.168.0.254/pub/改名为

注意: 确保软件仓库可以使用, 网络主机名DNS正常查看是否有防火墙阻挡

#yum –y install httpd

#cd /var/www/html

#lftp 192.168.0.254:/pub

>get

#mv

#service httpd restart

#chkconfig httpd on RHCE Part

1. 将SELinux的状态设置为enforcing模式

#setenforce=1

/etc/

2. 仅允许域的用户可以访问SSH

#iptables –A INPUT –s 192.168.0.0/24 –p tcp –dport 22 –j ACCEPT

#iptables –A INPUT –s 192.168.1.0/24 –p tcp –dport 22 –j REJECT

#service iptables save

192.168.0.0/24为域网段, 192.168.1.0/24为其他域网段

3. 建立/redhat目录, 仅允许域对该目录有读写权限, 域仅有只读权限

#yum –y install nfs-utils

#vim /etc/exports

/redhat *.(rw,sync,no_root_squash)

/redhat *.(ro)

#service nfs restart

#showmount –e HostIP

如果RPC服务未启动，则运行

#/etc/init.d/rpcbind restart

4. 配置samba，要求如下

1） 工作组为RHCE

2） 共享/mnt/storage目录, 共享名为/share

3） 仅允许域的用户可以访问

4） 仅允许user1, user2用户有写权限, 其他用户均不能访问

5） 允许所有人浏览, 拒绝匿名访问

#service smb start

#service nmb start

#vim /etc/samba/

[global]

workgroup=RHCE

[share]

comment = share test

path = /mnt/storage

browserable = yes

writable = no

write list = user1, user2

hosts allow = 192.168.0.0/24

public = no

valid user = user1,user2

#smbpasswd –a user1

#smbpasswd –a user2

#chcon –R –t samba_share_t /mnt/storage #smbpasswd –a user1

#smbpasswd –a user2

#testparm /etc/samba/ Host HostIP

#service smb restart

#smbclient –L //192.168.0.107

#smbclient //192.168.0.107/share –U user1

#mount –t cifs //192.168.0.107/share /test –o username=user1

5. 搭建http server, 需求如下

1） 下载192.168.0.254/pub/文件, 放置在默认站点内, 当用户输入可以访问该文件中内容, 在站点内建立redhat目录, 该目录仅允许本机可以访问

2） 下载192.168.0.254/pub/文件, 放置在/var/www/virt1目录下, 当用户输入可以访问该文件中内容, 该站点需要身份验证, 仅允许alice和bob可以访问,密码为redhat

3） 站点需要身份验证，使本机的所有用户均可以访问，不要改变用户密码

Solution:

前提条件：先确定DNS能解析serverX和wwwX到192.168.0.100+X

1)

#vim /etc/httpd/conf/

NameVirtualHost 192.168.0.107:80

DocumentRoot /var/www/html

ServerName

Options Indexes

Order deny,allow

deny from all

allow from 192.168.0.107

ErrorLog logs/_error_log

CustmLog logs/_access_log common

2)

DocumentRoot /var/www/virt1

ServerName

Options Indexes

AuthName test

AuthType basic

Auth UserFile /etc/httpd/conf/.htpasswd

Require user alice bob

ErrorLog logs/_error_log

CustmLog logs/_access_log common

#htpasswd –cm /etc/httpd/conf/.htpasswd alice

#htpasswd –m /etc/httpd/conf/.htpasswd bob

3）

AuthName test

AuthType basic

Auth UserFile /etc/httpd/conf/.htpasswd

require valid-user

#cut /etc/shadow –d: f1-2 >/etc/httpd/conf/.htpasswd

6. 新建FTP server, 要求如下

1） 仅允许用户在域访问该FTP

2） 仅允许user1, user2用户可以访问, 且不能跳出家目录

3） 限制user1用户下载速率为51200bytes/s, user2用户下载速率为102400bytes/s

解决方案：

1）#vim /etc/

ftp: .

#vim /etc/

ftp: ALL

#iptables –A INPUT –s 192.168.1.0/24 –p tcp --dport 21 –j REJECT

2）#vim /etc/vsftpd/

userlist_enable=YES

userlist_deny=NO

userlist_file=/etc/vsftpd/user_list

编辑文件/etc/vsftpd/user_list，添加user1, user2

Chroot_local_user=YES

Chroot_list_enable=yes

Chroot_list_file=/etc/vsftpd/chroot_list

新建空文件/etc/vsftpd/chroot_list禁止所有人跳出家目录

# setsebool –P ftp_home_dir=1

3）#vim /etc/vsftpd/

user_config_dir=/etc/vsftpd/user_file

#cat /etc/vsftpd/ > user1

#cat /etc/vsftpd/ > user2

分别添加一行local_max_rate=51200/102400

7. 搭建邮件服务器, 要求如下

1） 允许localhost和远程主机均能访问该邮件服务器

2） 所有发送给user3的邮件将发送给user1

3） 仅允许域的计算机中继

4） 仅允许用户在域中使用pop3接收邮件

解决方案：

1）#vim /etc/postfix/

注释掉行inet_interfaces = localhost

默认情况是inet_interfaces = all

#postconf –d 查看默认设置 2）#vim /etc/aliases

user3: user1,user3

#newaliases 使别名生效

编写邮件测试是否成功

4） postconf –d | grep relay_domains

relay_domains = $mydestinations 默认情况

5） #yum –y install dovecot

#chkconfig dovecot on

#iptables –A INPUT –s 192.168.1.0/24 –p tcp –dport 110 –j REJECT

#service iptables save