RHCE考试题及讲解（二）

10.配置 NFS 服务
在 serverx 配置 nfs
以只读的方式共享目/public 能被 example.com 域中的系统访问
以读写的方式共享目录/protected 能被 example.com 域中的系统访问
访问/protected 需要通过 kerberos 安全加密,您可以使用下面的 url 提
供的秘钥
http://classroom.example.com/pub/keytabs/serverx.keytab
目录/protected 应该包含名称为 restricted,拥有人为 ldapuser1 的子
目录
用户 ldapuser1 能够使用读写的方式访问/protected/restricted
练习中配置（在考试中不要做，做了就挂了）：
在 server0，desktop 上:
先做好 ldap 的 kerberos 认证，（考试的时候是不需要的，练习的时候需要）

getent passwd 用户名	##使用它查看
yum install authconfig-gtk sssd –y		
authconfig-gtk
getent passwd 用户名	##使用它查看
ssh 用户名@localhost
用户密码是kerberos

（1）配置
server

mkdir /public
mkdir /protected
mkdir /protected/restricted
chown ldapuser1 /protected/restricted
vim /etc/exports
/public	172.25.0.0/24(ro,sync)	##数据同步
/protected	172.25.0.0/24(rw,sync,sec=krb5p)		##读写挂载，sec表示认证
exportfs –rv	#让其生效
wget		http://classroom.example.com/pub/keytabs/server0.keytab -O /etc/krb5.keytab
	##下载一个证书（注意证书需要修改），-O表示下载到哪个路径下
yum whatprovides */ktutil
yum install krb5-workstation-1.11.3-49.e17.x86_64 -y
ktutil	rkt /etc/krb5.keytab
list	

看到的是自己的主机名称证明下的是对的

Systemctl enable nfs-server nfs-secure-server.service
Systemctl restart nfs-server nfs-secure-server.service
Systemctl status nfs-secure-server.service

对共享上了一个锁（keytab），只有通过文件认证才可以

11.挂在一个 nfs 共享（最麻烦的题）
在 desktop1 上挂在一个来自 serverx.example.com 的 nfs 共享
/public 挂在在下面的目录上/mnt/nfsmount
/protected 挂载在下面目录上/mnt/nfssecure 病且使用安全方式访问,
秘钥:
http://classroom.example.com/pub/keytabs/desktopx.keytab
用户 ldapuser1 能够在/mnt/nfssecure/restricted 上创建文件
这些文件系统在开机启动时自动挂载
在 dekstop0 上:

yum install krb5-workstation-1.11.3-49.e17.x86_64 -y
wget http://classroom.example.com/pub/keytabs/desktop0.keytab -O /etc/krb5.keytab
ktutil	
rkt /etc/krb5.keytab
list	
Systemctl restart nfs-secure
Systemctl enable nfs-secure	##客户端不带-server
showmount –e 172.25.0.11	##查看他的对象
mkdir /mnt/nfsmount
mkdir /mnt/nfssecure
vim /etc/fstab
172.25.0.11:/public /mnt/nfsmount nfs defaults 0 0
172.25.0.11:/protected /mnt/nfssecure nfs defaults,sec=krb5p 0 0	## sec=krb5p表示加密
mount –a
df

（2）测试

su - student
cd /mnt/nfssecure
被拒绝
<1)su - ldapuser1 -------->kerberos
klist
cd /mnt/nfssecure/ restricted
touch /mnt/nfssecure/restricted/westos
<2>或者也可以用以下命令
ssh ldapuser1@localhost
cd /mnt/nfssecure/restricted
ls
touch westos
ll
rm –rf westos	##一定要注意不要删除根

注意：如果确认正确，则两边的系统重启（先把desktop关掉，再关掉server，开的话，先开服务端，再开客户端，一定注意）*

12.实现一个 web 服务器
在 serverx 上配置一个站点 http://serverx.exampmle.com
从 http://classroom.example.com/materials/station.html
下载文件,并且将文件重名名为 index.html 不要修改该此文件的内容
将文件 index.html 拷贝到您的 web 服务器的 Documentroot 目录下
来自 example.com 域的客户可以访问此 web 服务
来自 my133t.org 域的可以端拒绝访问此 web（应该是拒绝80端口的限制）
在 server0 上:

yum install httpd –
systemctl start httpd
systemctl enable httpd	##一定要设置开机启动
wget http://classroom.example.com/pub/materials/station.html -O /var/www/html/index.html
测试：
firefox	##输入172.25.0.11发现有内容（server也可以）

13.配置安全 web 服务
站点 https://server0.example.com 配置 tls 加密一个已签名的证书
从 http://classroom.exampel.com/pub/tls/certs/westos.crt
从 http://classroom.example.com/pub/tls/private/westos.key
从 http://classroom.example.com/pub/example-ca.crt
在 server 上:

cd /etc/httpd
wget http://classroom.example.com/pub/example-ca.crt
wget http://classroom.example.com/pub/tls/private/westos.key
wget http://classroom.example.com/pub/tls/certs/westos.crt
yum install mod_ssl –y
vim /etc/httpd/conf.d/ssl.conf
100 SSLcertificateFile /etc/httpd/ westos.crt
107 SSLcertificatekeyFile /etc/httpd/westos.key
122 SSLCAcertfiicateFile /etc/httpd/example-ca.crt
systemctl restart httpd
firefox 	##输入https://172.25.0.11获取证书并查看锁的信息

14.配置虚拟主机
在 server1 上 拓 展 您 的 web 服 务 器 , 为 站 点
http://wwwx.example.com 创建一个虚拟主机（虚拟主机的名字是wwwx.example.com）
设定默认发布目录为/var/www/virtual
从 classroom.example.com/materials/www.html 下 载 文 件 并 重 命
名为 index.html,不要对文件 index.html 的内容做任何修改
将文件 index.html 放到默认发目录下
确保 barney 用户能在/var/www/virtual 目录下创建文件
在 server0 上:

mkdir –p /var/www/virtual
wget http://classroom.example.com/pub/materials/www.html -O /var/www/virtual/index.html
setfacl -m u:barney:rwx /var/www/virtual
vim /etc/httpd/conf.d/default.conf

DocumentRoot /var/www/html
 
vim www0.conf

DocumentRoot /var/www/virtual
ServerName www0.example.com

	##授权
	Require all granted

systemctl restart httpd

（2）测试
desktop

vim /etc/hosts
172.25.0.11 www0.example.com
firefox	#输入172.25.0.11访问的是server，输入www0.example.com显示的是www0的内容，不同的看到的是不同的

15.配置您的 serverx 上的 web 服务器
在默认发布目录下创建一个名为 confidential 的目录
从 http://classroom.example.com/materials/private.html 下 载
到这个目录中,并且重命名为 index.html
不要修改这个文件的内容
从 serverx 上,任何人都可以浏览此目录,但是其他系统不能访问此目录
中的内容
在 server0 上:

mkdir /var/www/html/confidential -p
wget http://classroom.example.com/pub/materials/private.html -O /var/www/html/confidential/index.html
vim /etc/httpd/vhosts.conf	##考的是访问控制

Order Deny,Allow
Deny form ALL
Allow from 127.0.0.1
Allow from 172.25.0.11
Allow from server0.example.com
Allow from localhost

systemctl restart httpd
firefox	#在server上可以访问172.25.0.11/confidential，在desktop上无法访问

16.实现动态 web 内容
在 server1 上配置提供 web 内容
动态内容由名为 transitive.example.com 的虚拟机提供
虚拟机监听端口:8989
从 http://classroom.example.com/materials/scripts.wsgi 下载一
个脚本,然后防到合适的位置,不要修改该此文件内容
客 户 访 问 http://transitive.example.com:8989 时 应 该 生 成 动 态 的
web 页面
此站点 必须能被 example.com 域内的所有系统访问
在 server0 上:

semanage port –l | grep http	##查看http_port_t中是否有8989端口
semanage port -a -t http_port_t -p tcp 8989
yum install mod_wsgi.x86_64 -y
vim /etc/httpd/conf.d/transitive.conf

WSGIScriptAlias / /var/www/cgi-bin/scripts.wsgi		##下载的哪个文件，放在cgi-bin下才可以执行文件
ServerName transitive.example.com

Listen 8989	##必须放，如果不放，无法监听
systemctl restart httpd
wget		http://classroom.example.com/pub/materials/script.wsgi	-O /var/www/cgi-bin/ scripts.wsgi

desktop

vim /etc/hosts
172.25.0.11 transitive.example.com
firefox 	##输入transitive.example.com:8989

17.创建一个脚本
在 serverx 上创建一个/root/scripts.sh 的脚本,让其提供下列特性
当运行/root/scripts.sh all 输出 none
当运行/root/scripts.sh none 输出 all
当没有任何参数或者参数不时 all 或 none 时,其错误输出产生下列信息
/root/scripts.sh/ all|none
/root/scripts.sh/ all|none
server

vim /root/scripts.sh
#!/bin/bash
case $1 in
all)
echo none
;;
none)
echo all
;;
*)
echo “/root/scripts.sh all|none”
esac
chmod +x /root/scripts.sh

测试：

/root/scripts.sh all
/root/scripts.sh none
/root/scripts.sh 

建立一个文件（文件中有内容）中的用户

vim /root/makeusers
#!/bin/bash
if
[ ! “$#” -eq “1” ]	##如果脚本后跟的字符个数不等于1
then
echo “Usage:/root/makeusers”;
exit 1
elif
[ ! -f $1 ]	##判断是不是文件
then
echo “Input file not found”;
exit 2
else
for USER in `cat $1`
do
useradd -s /bin/false $USER
done
fi

18.配置 iscsi 服务端
配 置 serverx 提 供 一 个 iscsi 服 务 磁 盘 名 称 iqn.2014-
11.com.example:serverx
端口 3260
用 iscsi_data 作为后端卷,大小为 3G
此服务只能被 desktopx.example.com 访问
在 server0 上:

yum install targetcli -y
fdisk ----> 3G disk（8e）
partprobe 
pvcreate /dev/vdb1
vgcreate vg0 /dev/vdb1	
lvcreate -l 767 -n iscsi_data vg0	##可以用vgdisplay查看total pe的大小
targetcli
ls
/backstores/block create iscsi_data /dev/vg0/iscsi_data
/iscsi create iqn.2014-11.com.example:server0
/iscsi/iqn.2014-11.com.example:server0/tpg1/acls create
户端 iqn（vim /etc/iscsi/initiatorname.iscsi中将其复制）
/iscsi/iqn.2014-11.com.example:server0/tpgl/luns create /backstores/block/iscsi_data
/iscsi/iqn.2014-11.com.example:server0/tpg1/portals create 172.25.0.11
exit
systemctl enable target.service

19.配置 iscsi 的客户端
配置 desktopx 使其能链接在 server1 上提供的 iscsi
Iscsi 设备在系统启动的期间自动加载
块设备 iscsi 上包含一个大小为 1900M 的分区,并格式化为 xfs
此分区自动挂载在/mnt/data 上同时在系统启动的期间自动挂载
在 desktop0 上:

mkdir /mnt/data
iscsiadm -m discovery -t st -p 172.25.0.11
客iscsiadm -m node -T iqn.2014.11.com.example:server0 –p 172.25.0.11 –l
fdisk –l	##查看一下是否存在
yum install tree
tree -C /var/lib/iscsi
fdisk /dev/sda
1900M
mkfs.xfs /dev/sda1
blkid
vim /etc/fstab
uuid /mnt/data xfs defaults_netdev 0 0		##设备在开机时，名称可能会发生变化，叫做设备的漂移，所以建议使用设备的uid进行挂载，id肯定不会变，因为其是网络设备
注意：一定要注意要写netdev，不然系统会无法启动
mount –a
df

20.配置一个数据库
在 serverx 上创建一个 mariadb,名为 Contacts
数据库应该包含来自数据库复制的内容。复制文件的 url
http://classroom.example.com/materials/users.mdb
数据库只能被 localhost 访问
除了 root 用户,此数据库只能被 Luigi 查询,此用户密码为 westos
超级用户密码为 westos,同时不允许空密码登陆
在 server0 上

yum install mariadb-server -y
systemctl start mariadb
systemctl enable mariadb
mysql_secure_installation	##安全初始化。输入密码westos，回车即可
systemctl restart mariadb
mysql -uroot -p
create database Contacts;
CREATE USER Luigi@localhost identified by ‘westos’;
GRANT SELECT ON Contacts .* to Luigi@localhost;
quit
wget http://classroom.example.com/pub/materials/users.mdb
vim users.db
Use Contacts;
mysql -uroot -p 

21.查询数据库
在系统 serverx 上使用数据库 contacts,并且使用相应 sql 查询以回答
下列问题 密码 forsook 的人的名字
Brian
select id from User_logins where User_pass = ‘forsook’
select first_name from User_Names where user_id = ‘4178’
有多少人的姓名时 Alan 同时居住在 Cupertino
152