RHCE试题

RHCE 试题

RHCE

【系统安装，网络安装】
NFS Server: 192.168.0.254
Dir: /var/ftp/pub

跳过安装号，使用默认语言和键盘布局

分区如下：
/boot 100M
/usr 2048M
Swap RAMx1.5
/home 512M (/dev/vg01/lvhome逻辑卷)
/ 4096M
/var 3072M

选择默认引导程序和合适的时区（开启UTC）
NTP Server: server1.example.com
确认SELinux设置成Enforcing模式
确认firewall设置成Disable
---------------------------------------------------------------------------------------------------------
【磁盘管理】

新建500M的分区，格式化为ext3，挂载到 /storage目录，要求每次开机都生效（添加到 /etc/fstab）

新建一个1024M的RAID0，格式化成ext3，并挂载到 /data目录，要求每次开机都生效(两个512M合并成一个1024M的 RAID0，并添加到 /etc/fstab中)

将 /home分区在线增加到720M，（在670M－750M之间）（1、lvextend 2、resize2fs）
将 /home分区减小至610M ，且不能损坏数据（坏掉数据则系统挂掉， 0、umount 1、resize2fs 2、lvreduce）
将SWAP扩大512M (fidsk dd mkswap swapon swapoff /etc/fstab )

disk1用户尝试拟行以下命令：
dd if=/dev/zero of=/home/disk1/test bs=1024 count=30
是成功的，当执行以下命令则失败
dd if=/dev/zero of=/home/disk1/test bs=1024 count=70
((mount –o remount,usrquota,grpquota /home)
/etc/fstab
(quotacheck –cugm /home)
quotaon
edquota )
---------------------------------------------------------------------------------------------------------
【排错】

1、破密码（init=/bin/bash 1 s）
2、/etc/fstab
3、/boot/grub/grub.conf
4、/boot分区
---------------------------------------------------------------------------------------------------------
【综合练习】

1、升级内核，保证重启后以新内核启动
http://server1.example.com/pub/Server/kernerl-PAE-2.6.18.53.el5.i386.rpm （rpm –ivh ）

2
192.168.0.0/24在一个网络中有300台计算机，分为2个网段，分别为192.168.0.0/24和192.168.1.0/24 ，要让两个网段中的计算机能ping通，具体连接如下：(ip转发)

eth0:0.x PC eth1:1.x

PC

192.168.0.0/24

(Vim /etc/sysctl.conf ip_forword = 1
Sysctp -p)

3、要求每天下午2点到5点，每隔10分钟显示一次“Hello World”
Crontab –e
*/10 14-17 * * * /bin/echo “Hello World”

4、将本地所有日志输出到192.168.0.254
(Server 上的 /etc/sysconfig/syslog 加上 -r)
本机 /etc/syslob.conf
*.* @192.168.0.254

5、关闭 /storage 目录所在分区的时间更新和执行功能
/ect/fstab default,noexec,noatime

6、IP.DNS.GATEWAY.设备激活 (setup)
/etc/sysconfig/network <注意ONBOOT=yes>
/etc/sysconfig/network-scripts/ifcfg-eth0
/etc/hosts
/etc/resolv.conf
模板文件：/usr/share/doc/initscriptc-xxx/sysconfig.txt

7.example.com域能通过ssh登录本机，而cracker.org 不能通过ssh登录到本机
Iptables –A INPUT –s 192.168.0.0/255.255.255.0 –p tcp –dport 22 –j ACCEPT
Iptables –A INPUT -s 192.168.1.0/255.255.255.0 –p tcp –dport 22 –j REJECT
Service iptables save
---------------------------------------------------------------------------------------------------------
【用户权限管理】

新建 user1 usre2 user3 密码 passwd 设置user3用户不能交互式登录 < usermod –s /sbin/nologin user3 >
设置user1用户能/data目录有完整的权限，user2能该目录仅有只读权限
/etc/fstab default,acl
mount –o remount,acl /data
setfacl –m u:user1:rwx /data
setfacl -m u:user2:r-x /data
getfacl /data
设置该目录拥有组为user2、任何人在该目录中创建文件的组自动属于user2
chgrp user2 /data
chmod u+s /data

设置任何人在此目录中创建的文件/目录，仅该用户和root才能删除该文件

chmod o+t /data

设置user1对该目录下的子目录均自动拥有完整的权限
Setfacl –m d:u:user1:rwx /data

设置用户user1有新建用户、删除用户的权限，其它用户不允许执行该操作
Visudo < user1 ALL=/usr/sbin/useradd,/usr/sbin/userdel>
设置user1帐号在20天后过期，提前5天警告用户
Chage user1

---------------------------------------------------------------------------------------------------------
【服务】

① VSFTP

建立FTP服务器，拒绝匿名用户访问
anonymous_enable=NO

该FTPserver仅允许user1 user2 user3 登录
/etc/vsftpd/vsftpd.conf <userlist_deny=NO>
/etc/vsftpd/user_list <user1 user2 user3>
将用户锁定在自己的户目录中，且允许上传文件
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
/etc/vsftpd/chroot_list < user1 user2 user3 >

SELinux
该FTP仅允许通过example.com域访问 (iptables –A INPUT –s 192.168.0.0/255.255.255.0 –p tcp –dport 21(20) –j ACCEPT
Iptables –A INPUT –s 192.168.1.0/255.255.255.0 –p tcp –dport 21(20) –j REJECT )
Service vsftpd restart
Chkconfig vsftpd on


② NFS
共享/storage目录，允许example.com域成员有读写权限，cracker.org仅有只读权限
/etc/exports < /storage 192.168.0.0/24(rw,sync)>
Chkconfig nfs on


③ SAMBA
建立一个文件服务器，要求如下:
该计算机的工作组为workgroup
Workgroup = workgroup
共享/storage目录，网络中计算机通过访问rhce即可访问该共享目录
仅允许user1 user2 对该目录有写权限，其它用户均为只读，且仅在example.com中才能访问此目录
拒绝匿名用户访问，允许所有人均可浏览该目录

[rhce]
path = /storage
writable = no
write list = user1,user2
public = no
browsebale = yes
hosts allow = 192.168.0.0/255.255.255.0
hosts deny = 192.168.1.0/255.255.255.0


④ APACHE

新建一个Webserver ，要求如下：
从http://server1.example.com/pub/certs/下载station.html并改名为index.html。作为该web默认站点，使用http://stationx.example.com可访问到该站点，并要求该站点仅允许example.com域计算机可以访问，并关闭该站点的Indexes和FollowSymlink功能，以提升安全

从http://server1.example.com/pub/certs/下载www.html并更名为index.html。使用http://wwwx.example.com可访问，该站点需要身份认证，仅允许alice和bob用户访问，密码为redhat

NameVirtualHost 192.168.0.x:80

<VirtualHost 192.168.0.x:80>
# ServerAdmin [email protected]

DocumentRoot /var/www/html
ServerName statinx.example.com
# ErrorLog logs/dummy-host.example.com-error_log
# CustomLog logs/dummy-host.example.com-access_log common
<Directory /var/www/html>
Options -FollowSymLinks -Indexes
AllowOverride None
</Directory>

</VirtualHost>

<VirtualHost 192.168.0.x:80>
# ServerAdmin [email protected]
DocumentRoot /var/www/virt
ServerName wwwx.example.com
# ErrorLog logs/dummy-host.example.com-error_log
# CustomLog logs/dummy-host.example.com-access_log common

<Directory /var/www/virt>
Options -FollowSymLinks -Indexes
AllowOverride Authconf
authname "please auth:"
authtype basic
authuserfile /etc/httpd/.htpasswd
require valid-user <require user alice bob>

</Directory>

</VirtualHost>

创建用户帐号信息:(此帐号与系统帐号无关)
htpasswd -cm /etc/httpd/.htpasswd alice
htpasswd -m /etc/httpd/.htpasswd bob
-c create -m md5


⑤ SQUID
使用squid实现代理和访问控制，要求如下：
设置代理端口为8080
http_port 8080
仅允许example.com域在每周一至周五的9：00-17：00通过代理服务器，且拒绝下载mp3和wav文件
拒绝所有其它域（cracker.org）内所有计算机通过squid

Acl mydomain src 192.168.0.0/255.255.255.0
Acl all src 0.0.0.0/0.0.0.0
Acl allowtime time MTWHF 09:00-17:00
Acl down urlpath_regex –i \.mp3$ \.wav$
http_access deny down
http_access allow mydomain allowtime
http_access deny all

⑥ MAIL
在企业中搭建邮件服务器，要求如下：
允许example.com域通过本服务器中继，拒绝cracker.org中继
/etc/mail/access
<Connect:192.168.0.0/255.255.255.0 RELAY>
<From:192.168.1.0/255.255.255.0 REJECT>
所有发给user5的邮件将发送到user1用户
/etc/aliases <user5: user1>
确认/var/spool/mail/user2存在
(给user2发一封邮件则此文件就存在：mail user2)
仅允许user1用户在example.com域接收邮件，拒绝在cracker.org域中使用POP3协议接收邮件
Ipatables –A INPUT –s 192.168.0.0/255.255.255.0 –p tcp –-dport 110 –j ACCEPT
Iptables –A INPUT –s 192.168.1.0/255.255.255.0 –p tcp –dport 110 –j REJECT
确认用户可以在接收邮件时使用SSL对邮件内容进行加密，证书内容如下：（……）
Make –C /etc/pki/tls/certs dovecot.pem
用此生成的.pem替换掉/etc/dovecot.conf中定义的.pem
邮件服务器允许localhost和远程访问（侦听0.0.0.0.）
DAEMON_OPTIONS(`Port=smtp,Addr=0.0.0.0, Name=MTA')dnl
Chkconfig sendmail on
Chkconfig dovecot on
Service iptables save

⑦ PRINTER
设置一台默认的本地打印机，将打印机的队列使用IPP协议发送到http://server1.example.com/stationx (x是本地机器NUM)

配置打印机：
Generic-text only
提示：可以使用http://server1.example.com/printers/stationx访问打印机队列内容
System-config-printer
New printer �D�D(当前页面内容可自定义，与题义无关)�D�Dipp < server1.example.com statinonx>�D�DGeneric �D�Dtext only printer—OK


⑧ NIS

NIS Server
NISX （X是机器NUM）
建立用户guest2001-2005、uid、gid为2001-2005、用户户目录为/home/guest/guestx
NIS Client
当client用户使用NIS 用户登录时自动从Server挂载用户户目录，并要求有写入权限

Server:
安装ypserv包
/etc/sysconfig 中加上NISDOMAIN=NSIX
Useradd user
Service ypserv start
Chkconfig ypserv on
/usr/lib/yp/ypinit –m
Nisdomain (检查nisdomain是否生效)
NFS /etc/exports < /home/guest *(ro,sync) >
Service nfs restart
Chkocnfig nfs on

Client:
a.Getent passwd (ypcat passwd)
b./etc/auto.master < /home /etc/auto.master >
c./etc/auto.nis < * 192.168.0.0:/home/& >
e.Chkconfig ypbind on
---------------------------------------------------------------------------------------------------------
注意：
example.com 192.168.0.0/255.255.255.0
cracker.org 192.168.1.0/255.255.255.0

iptables 最好是Disable 有利于写策略

SELinux 一定要Enforcing
Chkconfig service on
Service iptablce save

Service port:
FTP: 20cmd 21data
NFS: 2049nfsd
Portmap: 111
Samba: 445 137 138 139
Apache: 80，443
Squid: 3128 改为 8080
Sendmail: 25
telnet: 23
ssh: 22
---------------------------------------------------------------------------------------------------------
原文：http://blog.chinaunix.net/u3/108430/showart.php?id=2125416