RHCE7考试题.pdf

YUMYUM配置：配置：yum-config-manager add-repo=”yum地址”yum repolist验证1 1、配置、配置SeLinuxSeLinux在在system1system1和和system2system2上要求上要求SeLinuxSeLinux的状态为的状态为enforcingenforcing。要求系统重启后依然生效。要求系统重启后依然生效。(两台机器上都要配置两台机器上都要配置)#vim/etc/selinux/configSELINUX=enforceing#setenforce 1#getenforce2 2、配置防火墙对、配置防火墙对 SSHSSH 的限制的限制(两台机器上都要配置两台机器上都要配置)在在 server0server0 和和 desktop0desktop0 上设置防火墙上设置防火墙,对对 SSHSSH 实现访问限制：实现访问限制：允许域的客户对允许域的客户对 server0server0 和和 desktop0desktop0 进行进行 sshssh 访问。访问。禁止域的客户对禁止域的客户对 server0server0 和和 desktop0desktop0 进行进行 sshssh 访问。访问。备注：是在网络。备注：是在网络。（根据考试实际提供的网段配置）（根据考试实际提供的网段配置）#systemctl mask iptables#systemctl mask ip6tables#systemctl mask#systemctl enable firewalld#systemctl start firewalld#firewall-cmd-permanent-add-service=ssh#firewall-cmd petmanent-add-rich-rul=rule family=ipv4 source address=service name=sshreject#firewall-cmd reload3 3、配置、配置 IPv6IPv6 地址地址(两台都配置两台都配置)在你的考试系统上配置接口在你的考试系统上配置接口 eth0eth0 使用以下使用以下 IPv6IPv6 地址：地址：server0server0 上的地址应该是上的地址应该是 fddb:fe2a:ab1e:c0a8:1/64(fddb:fe2a:ab1e:c0a8:1/64(根据考试实际提供的地址配置根据考试实际提供的地址配置)desktop0desktop0 上的地址应该是上的地址应该是 fddb:fe2a:ab1e:c0a8:2/64fddb:fe2a:ab1e:c0a8:2/64两个系统必须能够与网络两个系统必须能够与网络 fddb:fe2a:ab1e/64fddb:fe2a:ab1e/64 内的系统通信。内的系统通信。地址必须在重启后依旧生效。地址必须在重启后依旧生效。两个系统必须保持当前的两个系统必须保持当前的 IPv4IPv4 地址并能通信地址并能通信解法 1：命令行#nmcli connection modify eth0XXXXXX/64/配置 IPV6IP 地址#nmcli connection modify eth0manual解法 2：图形化#nm-connection-editor/启用图形化#nmcli connetion reload#nmcli connection down eth0#nmcli connection up eth04 4、配置链路聚合（两台都配置）、配置链路聚合（两台都配置）在在 server0server0和和 desktop0desktop0之间按一下要求配置：之间按一下要求配置：此链路使用接口此链路使用接口 eth1eth1和和 eth2eth2此链路在一个接口失效时仍然能工作此链路在一个接口失效时仍然能工作此链路在此链路在 server0server0使用下面的地址此链路在使用下面的地址此链路在 desktop0desktop0使用下面的地址此链路在系统重启之使用下面的地址此链路在系统重启之后依然保持正常状态后依然保持正常状态创建 team 类型的网卡，连接别名为team0,使用的模式为 activebackup#nmcli connection add type team con-name team0 ifname team0 config“runner”:“name”:“activebackup”根据题目要求给 team0 网卡绑定指定的 IP#nmcli connection modify team0#nmcli connection modify team0manual给 team0 网卡指定从接口#nmcli connection add type team-slave con-name team0-port1 ifname eth1 master team0#nmcli connection add type team-slave con-name team0-port2 ifname eth2 master team05 5、自定义用户环境、自定义用户环境(两台都配置两台都配置)在系统在系统 server0server0和和 desktop0desktop0上创建自定义命令为上创建自定义命令为 qstatqstat，此自定义命令将执行以下命令：，此自定义命令将执行以下命令：/bin/ps Ao pid,tt,user,fname,rsz/bin/ps Ao pid,tt,user,fname,rsz此命令对系统中的所有用户有效此命令对系统中的所有用户有效#vim/etc/bashrcalias qstat=”/bin/ps Ao pid,tt,user,fname,rsz/bin/ps Ao pid,tt,user,fname,rsz”#source/etc/profile6 6、配置本地邮件服务（两台都配置）、配置本地邮件服务（两台都配置）在系统在系统 server0server0和和 desktop0desktop0上配置邮件服务，满足以下要求：上配置邮件服务，满足以下要求：这些系统不接收外部发送来的邮件这些系统不接收外部发送来的邮件这些系统上本地发送的任何邮件都会自动路由到从这些系统上发送的邮件都显示来自这些系统上本地发送的任何邮件都会自动路由到从这些系统上发送的邮件都显示来自你可以通过发送邮件到本地用户你可以通过发送邮件到本地用户 studentstudent来测试你的配置，来测试你的配置，已经配置好。已经配置好。把此用户的邮件转把此用户的邮件转到下列到下列 URLURLyum install postfix-y#systemctl enable postfix#postconf-e inet_interfaces=loopback-only/修改配置#postconf-e myorigin=#postconf-e relayhost=-中心邮件服务器#postconf-e mydestination=#postconf-e local_transport=error:local delivery disabled#postconf-e mynetworks=:1/128#systemctl restart postfix/修改了配置就重启#mail-s server0 null client/发送测试邮件null client test.7 7、配置端口转发、配置端口转发在在 server0server0上配置端口转发，要求如下：上配置端口转发，要求如下：在网络中的系统，访问在网络中的系统，访问 server0server0的本地端口的本地端口 54235423 将被转发到端口将被转发到端口 8080此设置必须永久有效。此设置必须永久有效。解法 1：命令行#firewall-cmd-permanent-add-rich-rule=rule family=ipv4 source address=forward-portport=5423 protocol=tcp to-port=80#firewall-cmd-permanent-add-rich-rule=rule family=ipv4 source address=forward-portport=5423 protocol=udp to-port=80#firewall-cmd-reload解法 2：图形化#firewall-config/启用图形化配置界面，在rich rules 下设置端口转发#firewall-cmd reload/配置完毕后需要重新加载防火墙8 8、通过、通过 SMBSMB 共享目录共享目录在在 server0server0 上配置上配置 SMBSMB 服务服务您的您的 SMBSMB 服务器必须是服务器必须是 STAFFSTAFF工作组的一个成员工作组的一个成员共享共享/common/common 目录，共享名必须为目录，共享名必须为 commoncommon只有域内的客户端可以访问只有域内的客户端可以访问 commoncommon 共享共享CommonCommon 必须是可以浏览的必须是可以浏览的用户用户 robrob，sambasamba 密码为密码为 redhat,redhat,只读权限访问只读权限访问 commoncommon 共享。共享。用户用户 brianbrian，sambasamba 密码为密码为 redhat,redhat,读写权限访问读写权限访问 commoncommon 共享。共享。备注：备注：考试的时候，考试的时候，用户和密码请根据题目实际情况进行设定，用户和密码请根据题目实际情况进行设定，有的时候，有的时候，题目简单一些，题目简单一些，测试用户早已建立，有的时候，题目较难一些，用户和密码都必须自己设定。测试用户早已建立，有的时候，题目较难一些，用户和密码都必须自己设定。#yum install samba samba-client-y#mkdir-p/common#useradd-s/sbin/nologinbrian#smbpasswd-a brian 输入密码 redhat#useradd-s/sbin/nologin rob#smbpasswd-a rob 输入密码 redhat#chgrp brain/common-如果题目并没有要求让 brain 用户读写,则不需要修改组#chmod 2775/common/root/#echo password=redhat/root/#vim/etc/fstab.ro)#exportfs-r重载 nfs 设定,让新添加的共享马上生效设置防火墙#firewall-cmd-permanent-add-service=nfs#firewall-cmd-reload下载 kerberos的服务端密钥文件(考试的时候会提示你在哪里下载该文件)#wget-O/etc/设定 nfs 的工作模式是版本作用:实现安全上下文的继承(服务端决定安全上下文,服务器和客户端是一致的上下文)#vim/etc/sysconfig/nfsRPCNFSDARGS=-V 设定服务开机启动#systemctl enable nfs-secure-server#systemctl start nfs-secure-server-注意:服务名字已经更改准备好共享的目录#mkdir-p/protected/project#chown ldapuser0:ldapuser0/protected/project设定配置文件#vim/etc/exports/protected*.(sec=krb5p,rw)资源使用 kerberos验证#exportfs-r#exportfs/protected*.设定防火墙,允许 nfs 的数据流入本机#firewall-cmd-permanent-add-service=nfs#firewall-cmd reload1111、挂载一个、挂载一个 NFSNFS 共享共享在在 desktop0desktop0 上挂载一个来自上挂载一个来自 server0server0 上的上的 NFSNFS 共享，并符合下列要求：共享，并符合下列要求：/pulbic/pulbic 共享挂载到本地的共享挂载到本地的/mnt/nfsmount/mnt/nfsmount。/protected/protected挂载到本地的挂载到本地的/mnt/nfssecure,/mnt/nfssecure,并使用安全的方式，密钥下载地址：并使用安全的方式，密钥下载地址：用户用户 ldapuser0ldapuser0 能够在能够在/mnt/nfssecure/project/mnt/nfssecure/project上创建文件。上创建文件。这些文件系统在系统启动时自动挂载。这些文件系统在系统启动时自动挂载。在 desktop0(system2)上完成1）访问基于系统验证的nfs 共享#mkdir/mnt/nfsmount#vim/etc/fstab./mnt/nfsmount nfs defaults 0 0#mount-a2）访问基于 kerberos验证的 nfs 共享下载 kerberos密钥文件#wget-O/etc/开启 nfs-secure服务作用:该服务是实现 kerberos验证的客户端功能#systemctl enable nfs-secure#systemctlstart nfs-secure建立本地目录挂载#mkdir/mnt/nfssecure#vim/etc/fstab./mnt/nfssecurenfsdefaults,sec=krb5p0 0#mount-a#df-h|grep nfs.10G31%/mnt/nfssecure验证：#ssh ldapuser0localhost /mnt/nfssecure/project/1212、实现一个、实现一个 webweb 服务器服务器在在 server0server0 上配置一个站点，然后执行以下步骤：上配置一个站点，然后执行以下步骤：从下载文件，并且将文件重命名为从下载文件，并且将文件重命名为,绝对不能修改此文件的内容。绝对不能修改此文件的内容。将拷贝到你的将拷贝到你的 webweb 服务器的服务器的 DocumentRootDocumentRoot目录下。目录下。来自域的客户端可以访问此来自域的客户端可以访问此 webweb 站点。站点。来自域的客户端拒绝访问此来自域的客户端拒绝访问此 webweb 站点。站点。备注：网站的备注：网站的 DocumentRootDocumentRoot如果题目没有指定，那么随意。如果题目没有指定，那么随意。#yum install httpd-y#firewall-cmd-permanent-add-service=http#firewall-cmd-reload#vim/etc/httpd/ServerNameDocumentRoot/var/www/htmlCustomLog logs/server0_vhost_log combinedRequire all grantedRequirenot host.#wget-O/var/www/html/systemctl enable httpd#systemctl start httpd1313、配置安全、配置安全 webweb 服务服务站点配置站点配置 TLSTLS 加密。加密。一个已经签名证书从获取一个已经签名证书从获取此证书的密钥从获取此证书的密钥从获取此证书的授权信息从获取此证书的授权信息从获取#yum install httpd mod_ssl-y#firewall-cmd-permanent-add-service=https#firewall-cmd-reload#wget-O/etc/pki/tls/certs/wget-O/etc/pki/tls/private/#wget-O/etc/pki/tls/certs/etc/httpd/DocumentRoot/var/www/html自己添加ServerName自己添加找个空白处添加以下内容Require all grantedRequirenot host.SSLCertificateFile/etc/pki/tls/certs/修改为指定下载的证书SSLCertificateKeyFile/etc/pki/tls/private/修改为指定下载的密钥SSLCACertificateFile/etc/pki/tls/certs/修改为指定的根证书#systemctl enable httpd#systemctl restart httpd1414、配置虚拟主机、配置虚拟主机在在 server0server0 上扩展你的上扩展你的 webweb 服务器，为站点创建一个虚拟主机，然后执行以下步骤：服务器，为站点创建一个虚拟主机，然后执行以下步骤：设置设置 DocumentRootDocumentRoot为为/var/www/virtual/var/www/virtual从下载文件并重命名为，不要对文件内容做任何修改。从下载文件并重命名为，不要对文件内容做任何修改。将文件放到虚拟主机的将文件放到虚拟主机的 DocumentRootDocumentRoot目录下目录下确保确保 floydfloyd 用户能够在用户能够在/var/www/virtual/var/www/virtual 目录下创建文件目录下创建文件注意：原始站点必须仍然能够访问。站点的所用的域名网络中已有注意：原始站点必须仍然能够访问。站点的所用的域名网络中已有 DNSDNS 服务器解析。服务器解析。#yum install httpd-y#firewall-cmd-permanent-add-service=http#firewall-cmd-reload#vim/etc/httpd/ServerNameDocumentRoot/var/www/virtualCustomLog logs/www0_vhost_log combinedRequire all granted#mkdir-p/var/www/virtual#wget-O/var/www/virtual/semanagefcontext-a-thttpd_sys_content_t/var/www/virtual(/.*)?#restorecon-R/var/www/virtual#useradd floyd如果用户不存在就自己建立#setfacl-m user:floyd:rwx/var/www/virtual/#systemctl enable httpd#systemctl restart httpd1515、配置、配置 webweb 内容的访问内容的访问在你的在你的 server0server0 上的上的 webweb 服务器的服务器的 DocumentRootDocumentRoot 目录下创建一个名为目录下创建一个名为 privateprivate 的目录，要的目录，要求如下：求如下：从下载一个文件副本到这个目录，并且重命名为。从下载一个文件副本到这个目录，并且重命名为。不要对这个文件的内容作任何修改。不要对这个文件的内容作任何修改。从从 system1system1 上，任何人都可以浏览上，任何人都可以浏览 privateprivate 的内容，但是从其他系统就不能访问这个目录的的内容，但是从其他系统就不能访问这个目录的内容。内容。（注意题目要求谁可以访问，灵活变化）（注意题目要求谁可以访问，灵活变化）备注：备注：此题目是接着上一题，此题目是接着上一题，所以这里的所以这里的 DocumentRootDocumentRoot指的就是上面的指的就是上面的/var/www/virtual/var/www/virtual/。#mkdir-p/var/www/virtual/private#wget O/var/www/virtual/private/vim/etc/httpd/ServerNameDocumentRoot/var/www/virtualCustomLog logs/www0_vhost_log combinedRequire all granted增加一段访问控制Require all deniedRequire local#systemctl restart httpd1616、实现动态、实现动态 WebWeb内容内容 新版题库已经没有这题新版题库已经没有这题 在在 server0server0 上配置提供动态上配置提供动态 webweb 内容，要求如下：内容，要求如下：动态内容由名为的虚拟主机提供动态内容由名为的虚拟主机提供虚拟主机监听在端口虚拟主机监听在端口 89088908从下载一个脚本，然后放在适当的位置，无论如何不要修改此文件的内容。从下载一个脚本，然后放在适当的位置，无论如何不要修改此文件的内容。客户端访问时应该接收到动态生成的客户端访问时应该接收到动态生成的 webweb 页面。页面。此站点。必须能够被域内的所有系统访问。此站点。必须能够被域内的所有系统访问。#yum install mod_wsgi-y#mkdir-p/var/www/webapp#wget O/var/www/webapp/semanage port-a-t http_port_t-p tcp 8908#semanage fcontext-a-t httpd_sys_content_t/var/www/webapp(/.*)?#restorecon-R/var/www/webapp#vim/etc/httpd/Listen 8908ServerNameDocumentRoot/var/www/webappCustomLog logs/www0_vhost_log combinedRequire all grantedWSGIScriptAlias/var/www/webapp/#systemctl restart httpd#firewall-cmd-permanent-add-rich-rule=rule family=ipv4 source address=port port=8908protocol=tcp accept#firewall-cmd reload1717、创建一个脚本、创建一个脚本在在 server0server0 上创建一个名为上创建一个名为/root/root/的脚本，让其提供下列特性：的脚本，让其提供下列特性：当运行当运行/root/redhat/root/redhat，输出，输出 fedorafedora当运行当运行/root/fedora/root/fedora，输出，输出 redhatredhat当没有任何参数或者参数不是当没有任何参数或者参数不是 redhatredhat或者或者 fedorafedora时，其错误输出产生以下的信息：时，其错误输出产生以下的信息：/root/redhat|fedora/root/redhat|fedorashell vim/root/#!/bin/bashcase$1 inredhat)echo fedora;fedora)echo redhat;*)echo/root/redhat|fedora;esacshell chmod 755/root/1818、创建一个添加用户的脚本、创建一个添加用户的脚本在在 server0server0 上创建一个名为上创建一个名为/root/batchusers,/root/batchusers,此脚本能够实现为系统此脚本能够实现为系统 system1system1创建本地用户，创建本地用户，并且这些用户的用户名来自一个包含用户名列表的文件，同时满足下列要求并且这些用户的用户名来自一个包含用户名列表的文件，同时满足下列要求:此脚本要求提供一个参数，此参数就是包含用户名列表的文件此脚本要求提供一个参数，此参数就是包含用户名列表的文件如果没有提供参数，此脚本应该给出下面的提示信息如果没有提供参数，此脚本应该给出下面的提示信息 Usage:/root/batusers userfile,Usage:/root/batusers userfile,并且退并且退出返回相应的值出返回相应的值如果提供一个不存在的文件名，此脚本应该给出下面的提示信息如果提供一个不存在的文件名，此脚本应该给出下面的提示信息 Input file not foundInput file not found然后退然后退出并返回相应的值出并返回相应的值创建的用户登录创建的用户登录 shellshell 为为/bin/false/bin/false此脚本不需要为用户设置密码此脚本不需要为用户设置密码(注意：有得时候需要设置统一密码为注意：有得时候需要设置统一密码为 redhat)redhat)您可以从下面的您可以从下面的 URLURL 获取用户列表作为测试用获取用户列表作为测试用 vim/root/batchusers#!/bin/bashif$#-eq 1;thenif -f$1;thenwhile read username;douseradd-s/bin/false$username&/dev/nulldone chmod 755/root/batchusersshell wget-O/root/userlist 测试#/root/batchusers userlist1919、配置、配置 iSCSIiSCSI 服务端服务端配置配置 server0server0 提供一个提供一个 iSCSIiSCSI 服务磁盘名为并符合下列要求服务磁盘名为并符合下列要求:服务端口为服务端口为 32603260使用使用 iscsi_storeiscsi_store 作为其后端卷，其大小为作为其后端卷，其大小为 3G3G（题意含糊，其实（题意含糊，其实 iscsi_storeiscsi_store 是一个逻辑卷是一个逻辑卷,需需要自己建立）要自己建立）此服务只能被访问。此服务只能被访问。#yum install targetcli-y#systemctl enable target#systemctl start target#firewall-cmd-permanent-add-port=3260/tcp#firewall-cmd-reload#fdisk/dev/vdb cd iscsi/iscsi create定义了一个 iscsi(target)/iscsicreate3260定义 target的入口(客户使用什么 IP 和端口访问)iscsi cd/backstores/block create name=dev=/dev/iSCSI_vg/iscsi_store定义了一个本地的块设备/iscsi/create/backstores/block/把定义好了的块设备通过该target共享出去/iscsi/create创建基于 iqn 的 acl:允许该名字的客户端访问本iscsi 的 tagert/iscsi/set attribute authentication=0该 tgp 关闭帐号验证/iscsi/set attribute generate_node_acls=0该 tgp 使用自定义的 acl 实现节点访问限制/saveconfig保存设置/exit2020、配置、配置 iSCSIiSCSI 的客户端的客户端配置配置 desktop0desktop0 使其能连接在使其能连接在 server0server0 上提供的并符合以下要求：上提供的并符合以下要求：iSCSIiSCSI 设备在系统启动的时候自动加载设备在系统启动的时候自动加载块设备块设备 iSCSIiSCSI 上包含一个大小为上包含一个大小为 2100 MiB2100 MiB 的分区，并格式化为的分区，并格式化为 ext4ext4。此分区挂载在此分区挂载在/mnt/data/mnt/data上同时在系统启动的期间自动挂载。上同时在系统启动的期间自动挂载。1)安装客户端软件包#yum install iscsi-initiator-utils-y2)配置 iscsi 客户端的名字，根据题目要求修改#vim/etc/iscsi/InitiatorName=设定服务开机启动和马上启动#systemctl enable iscsi#systemctl start iscsi4)发现 target#iscsiadm-m discovery-t st-p登陆 target#iscsiadm-m node-l#lsblkNAMEMAJ:MIN RMSIZE RO TYPE MOUNTPOINTsda8:003G0 disk create database legacy;MariaDB legacy use legacy;MariaDB legacy source/root/MariaDB(none)grant select on legacy.*to marylocalhost identified by mary_password;MariaDB(none)grant select,insert,update,delete on legacy.*to legacylocalhost identified bylegacy_password;MariaDB(none)grant select on legacy.*to reportlocalhost identified by report_password;MariaDB(none)quit2222、数据查询填空、数据查询填空在在 server0server0 上登陆数据库，查看上登陆数据库，查看 XXXXXX 库进行查询，并将结果填入相应的框格中。库进行查询，并将结果填入相应的框格中。Q1Q1 在在 productproduct 表中，查询表中，查询 RT-AC68URT-AC68U的产品的产品 id()id()Q2Q2 查询类别为查询类别为 ServersServers 的产品的数量的产品的数量()()模拟考环境请在提交模拟考环境请在提交登陆数据库：#mysql-uroot-proot_passwordMariaDB(none)use legacy/使用 legacy 用户查询MariaDB legacydesc product;/查询数据库表结构MariaDB legacy select id from product where name=RT-AC68U;+-+|id|+-+|3|+-+MariaDB legacy select count from category,product where=Servers and=;+-+|count|+-+|2|+-+