紅帽認證分為RHCSA與RHCE兩場考試,分別是上午一場下午一場,考核的這些內容確實在企業中最常被用到,也很符合市場需求。
一、ROOT密碼:redhat(考試根據考試要求設置密碼)
破解密碼,並將密碼設置成redhat:
1、開機后按E ,刪除rhgb quiet,寫init=/bin/sh 在按Ctrl+x重啟
2、mount –o remount,rw /
3、echo redhat | passwd –-stdin root
4、touch /.autorelabel
5、exec /sbin/init
備注:考試時可以systemctl isolate graphical.target
二、設置IP信息
編輯網卡文本:vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
NAME=eth0
ONBOOT=yes
BOOTPROTO=none
IPADDR=192.168.122.100
NETMASK=255.255.255.0
GATEWAY=192.168.122.1
DNS1=192.168.122.10
三、設置主機名station.rhce.cc
命令:hostnamectl set-name station.rhce.cc
考題:
一、SELinux必須運行在Enforcing模式下
1、查看selinux狀態:getenforce
2、把當前狀態設置成enforcing:setenforce 1(重啟后沒有了)
3、修改配置文件:vim /etc/selinux/config 中SELINUX=Enforcing
二、配置YUM源,使用地址ftp://server.rhce.cc/dvd
cd /etc/yum.reops.d 編輯文件aa.repo
[aa]
name=aa
baseurl=ftp://server.rhce.cc/dvd
enabled=1
gpgcheck=0
配置完成后,安裝一個程序驗證是否正確(例如:yum install vsftpd)
三、調整邏輯卷VO的大小,他的文件系統大小應該為290M。確保這個文件系統的內容仍然完整。注意:分區很少能精確到和要求的大小相同,因此在范圍260M和320M之間都是可接受的。
Lvscan 查詢邏輯卷大小
擴展邏輯卷大小:lvextend –L +98M /dev/vg0/vo(根據實際情況復制邏輯卷)
查看文件系統大小:df –hT
XFS文件系擴展:xfs_growfs /dev/vg0/vo
EXT4文件系統擴展:resize2fs /dev/vg0/vo
四、創建下面的用戶、組和組成員關系:
名字為adminuser的組
用戶natasha,使用adminuser作為附屬組
用戶harry,使用adminuser作為附屬組
用戶sarah,在系統上不能訪問可交互的shell且不是adminuser成員,natasha/harry/sarah密碼都是redhat
groupadd adminuser
useradd –G adminuser natasha
useradd –G adminuser harry
useradd –s /sbin/nologin sarah
echo redhat | passwd --stdin natasha
echo redhat | passwd –-stdin harry
echo redhat | passwd –-stdin sarah
五、復制文件/etc/fstab到var/tmp/fstab。配置/var/tmp/fstab的權限如下:
文件/var/tmp/fstab所有者是root,屬於root組
文件/var/tmp/fstab不能被任何用戶執行
用戶natasha可讀和可寫/var/tmp/fstab,用戶harry既不能讀也不能寫
所有其他用戶(現在和將來)具有讀/var/tmp/fstab的能力
復制文件:cp /etc/fstab /var/tmp/fstab
setfacl –m u:natasha:rw- /var/tmp/fstab
setfacl –m u:harry:--- /var/tmp/fstab
六、用戶natasha必須配置一個cron job當地時間每天14:23運行,執行:/bin/echo hiya
crontab –e –u natasha 編輯文本: 23 14 * * * /bin/echo hiya
檢查命令:crontab –l –u natasha
七、創建一個目錄/home/admins,使之具有下面的特性:
/home/adminuser所屬組為adminuser
這個目錄對組adminuser的成員具有可讀、可寫和可執行。但是不是對其他任何用戶(root可以訪問系統上所有的文件和目錄)
在/home/admins下創建的任何文件所屬組自動設置為adminuser
mkdir /home/admins
chgrp adminuser /home/admins
chmod g+w /home/admins
chmod o-rx /home/admins/
chmod g+s /home/admins
八、從http://rhgls.rhce.cc/pub/updates安裝合適的內核更新。下面的要求必須滿足:
更新的內核作為系統啟動的默認內核
原來的內核在系統剛啟動的時候仍然可有效和可引導
firefox http://rhgls.rhce.cc/pub/updates &(SSH到考試機時一定要 –X)
rpm -ivh kernel-3.10.0-229.el7.x86_64.rpm
九、系統host.rhce.cc提供了一個LDAP驗證服務,你的系統按照下面要求綁定到這個服務:
驗證服務的基准DN是dc=rhce,dc=cc
LDAP用於提供賬號信息和驗證信息連接應該使用位於http://host.rhce.cc/pub/domain11.crt的證書加密。 當正確配置后,ldapuser11可以登錄你的系統,但是沒有家目錄,直到你完成autofs題目ldapuser11的密碼是redhat
安裝:yum install authconfig-gtk.x86_64
打開圖形化界面:authconfig-gtk &
圖形化界面選擇LDAP, 安裝提示軟件包
設置DN、服務器、下載CA證書(復制粘貼)
用id ldapuser11驗證
十、配置你的系統使它是rhgls.rhce.cc是一個NTP客戶
yum install system-config-date –y
system-config-date & 圖形化界面設置rhgls.rhce.cc 點擊確定
十一、配置autofs自動掛載LDAP用戶的家目錄,如下要求:
host.rhce.cc(192.168.122.10)使用NFS共享了/home/guest給你的系統,這個文件系統包含了預先設置好的用戶ldapuser11的家目錄 ldapuser11的家目錄是在host.rhce.cc:/home/guests/ldapuser11
ldapuser11的家目錄應該自動掛載到本地/home/guest下面的/home/guests/ldapuser11
家目錄必須對用戶具有可寫權限 ldapuser11的密碼是’redhat’
yum install autofs –y
vim /etc/auto.master中添加/home/guests /etc/auto.aa
cp /etc/auto.misc /etc/auto.aa
vim /etc/auto.aa中添加:
ldapuser11 -fstype=nfs,rw,vers=3 host.rhce.cc: /home/guests/ldapuser11
重啟服務:systemctl restart autofs
設置開機自動啟動:systemctl enable autofs
驗證題目:su – ldapuser11
十二、創建一個用戶alex, uid為3400 。這個用戶的密碼為redhat
useradd –u 3400 alex
echo redhat | passwd –-stdin alex
十三、為你的系統上額外添加一個大小為512M的交換分區,這個交換分區在系統啟動的時候應該自動掛載。不要移除和更改你系統上現存的交換分區
查看分區情況:lsblk
fdisk /dev/sda
創建一個主分區,創建擴展分區,創建交換分區(mkswap /dev/sda swapon –s /dev/sda)
刷新分區表:partprobe
設置自動掛載:vim /etc/fstab /dev/vda5 swap swap defaults 0 0
查看分區:swapon –a swapon –s
十四、找出所有所有者是ira的文件,並把它們拷貝到/root/findresults目錄
創建目錄:mkdir /root/findresults
查詢+拷貝:find / -user ira –exec cp –a {} /root/findresults/ \:
十五、在/usr/share/dict/words中找出所有包含seismic的行。復制這些行並按照原來順序放在文件/root/lines中。/root/lines應該沒有空白行,所有的行必須是/usr/share/dict/words中原行的精確復制。
grep seismic /usr/share/dict/words > /root/lines
cat /root/lines
十六、按照下面的要求創建一個新的邏輯卷:
邏輯卷命名為database,屬於卷組datastore,且大小為50個擴展,在卷組datastore的邏輯卷每個擴展的大小為16MB,使用ext3格式化這個新的邏輯卷,此邏輯卷在系統啟動的時候應該能自動掛載到/mnt/database
lsblk
fdisk /dev/vda
創建擴展分區,改成邏輯分區(8e)
pvscan
pvcreate /dev/vda6
vgcreate –s 16 datastore /dev/vda6
lvcreate -l 50 –n database datastore
mkfs.vfat /dev/datastore/database(afat格式化)
mkfs.ext4 /dev/datastore/database(ext4格式化)
mkfs.xfs /dev/datastore/database( xfs格式化)
創建目錄:/mnt/database vim /etc/fstab /dev/datastore/database /mnt/database vfat(格式根據考試要求) defaults 0 0
檢查掛載:mount –a df-hT
十七、初始化:兩台服務器設置yum源
[root@system1 ~]# vim /etc/yum.repos.d/yum.repo
[root@system1 ~]# cat /etc/yum.repos.d/yum.repo
[yum]
name=yum
baseurl=ftp://server.rhce.cc/dvd
enabled=1
gpgcheck=0
[root@system1 ~]# yum makecache
[root@system1 ~]# cd /etc/yum.repos.d/
[root@system1 yum.repos.d]# scp yum.repo system2:/etc/yum.repos.d/
十八、配置SELinux 該 SELinux必須在兩個系統system1和system2中運行於Enforcing模式
[root@system1 ~]# vim /etc/selinux/config
[root@system1 ~]# cat /etc/selinux/config
SELINUX=enforcing
SELINUXTYPE=targeted
[root@system1 ~]# scp /etc/selinux/config system2:/etc/selinux/
[root@system1 ~]# setenforce 1
十九、配置SSH訪問,按以下要求配置SSH訪問:
用戶能夠從域rhce.cc內的客戶端通過SSH遠程訪問您的兩個虛擬機系統
在域my133t.org內的客戶端不能訪問您的兩個虛擬機系統
[root@system1 ~]# host rhce.cc // 先查看本機網段
rhce.cc has address 192.168.122.0
[root@system1 ~]# vim /etc/hosts.allow
[root@system1 ~]# cat /etc/hosts.allow
sshd:192.168.122.0/255.255.255.0
[root@system1 ~]# vim /etc/hosts.deny
[root@system1 ~]# cat /etc/hosts.deny
sshd:.my133t.org
[root@system1 ~]# scp /etc/hosts.allow system2:/etc/
[root@system1 ~]# scp /etc/hosts.deny system2:/etc/
二十、自定義用戶環境
在系統system1和system2上創建自定義命令名為qstat此自定義命令將執行以下命令:
/bin/ps-Aopid,tt,user,fname,rsz 此命令對系統中所有用戶有效。
[root@system1 ~]# alias qstat='/bin/ps -ao pid,tt,user,fname,rsz'
[root@system1 ~]# qstat
PID TT USER COMMAND RSZ
2425 pts/0 root ps 1168
二十一、配置端口轉發,在系統system1配置端口轉發,要求如下:
在192.168.122.0/24網絡中的系統,訪問system1的本地端口5423將被轉發到80此設置必須永久有效
[root@system1 ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=192.168.122.0/24 forward-port port=5423 protocol=tcp to-port=80'
success
[root@system1 ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=192.168.122.0/24 forward-port port=5423 protocol=tcp to-port=80' --permanent
success
二十二、配置聚合鏈路,在system1.rhce.cc和system2.rhce.cc之間按以下要求配置一個鏈路:
此鏈路使用接口eth1和eth2,此鏈路在一個接口失效時仍然能工作
此鏈路在system1使用下面的地址172.16.11.25/255.255.255.0
此鏈路在system2使用下面的地址172.16.11.35/255.255.255.0
此鏈路在系統重啟之后依然保持正常狀態
[root@system1 ~]# cd /usr/share/doc/teamd-1.9/example_ifcfgs/1/
[root@system1 1]# cp * /etc/sysconfig/network-scripts/
[root@system1 1]# cd /etc/sysconfig/network-scripts/
[root@system1 network-scripts]# cat ifcfg-team_test0
DEVICE="team_test0"
NAME="team_test0"
DEVICETYPE="Team"
ONBOOT="yes"
BOOTPROTO=none
NETMASK=255.255.255.0
IPADDR=172.16.11.25
TEAM_CONFIG='{"runner": {"name": "activebackup"}}'
[root@system1 network-scripts]# cat ifcfg-eth1
DEVICE="eth1"
NAME="eth1"
DEVICETYPE="TeamPort"
ONBOOT="yes"
TEAM_MASTER="team_test0"
[root@system1 network-scripts]# cat ifcfg-eth2
DEVICE="eth2"
NAME="eth2"
DEVICETYPE="TeamPort"
ONBOOT="yes"
TEAM_MASTER="team_test0"
[root@system1 ~]# systemctl restart network
[root@system1 ~]# scp /etc/sysconfig/network-scripts/ifcfg-team_test0 system2:/etc/sysconfig/network-scripts/
[root@system1 ~]# scp /etc/sysconfig/network-scripts/ifcfg-eth1 system2:/etc/sysconfig/network-scripts/
[root@system1 ~]# scp /etc/sysconfig/network-scripts/ifcfg-eth2 system2:/etc/sysconfig/network-scripts/
最后修改system2:team_test文本ip,重啟服務,在用ping和ifconfig檢測結果
二十三、配置IPv6地址,在您的考試系統上配置接口eth0使用下列IPv6地址:
system1上的地址應該是200e:ac18::e0a/64 ;system2上的地址應該是200e:ac18::e14/64
兩個系統必須能與網絡200e:ac18/64內的系統通信,地址必須在重啟后依舊生效。
兩個系統必須保持當前的IPv4地址並能通信。
system1:先查看eth0設備對應連接名:nmcli connection
[root@system1 ~]# nmcli connection modify eth0 ipv6.method auto
[root@system1 ~]# nmcli connection modify eth0 ipv6.address 200e:ac18::e0a/64
[root@system1 ~]# nmcli connection modify eth0 ipv6.method manual
[root@system1 ~]# systemctl restart network
system2:先查看eth0設備對應連接名:nmcli connection
[root@system2 ~]# nmcli connection modify eth0 ipv6.method auto
[root@system2 ~]# nmcli connection modify eth0 ipv6.address 200e:ac18::e14/64
[root@system2 ~]# nmcli connection modify eth0 ipv6.method manual
[root@system2 ~]# systemctl restart network
二十四、配置本地郵件服務,在系統system1和system2上配置郵件服務,滿足以下要求:
這些系統不接收外部發送來的郵件,在這些系統上本地發送的任何郵件都會自動路由到rhgls.rhce.cc
從這些系統上發送的郵件顯示來自於rhce.cc,您可以通過發送郵件到本地用戶'dave'來測試您的配置
系統rhgls.rhce.cc已經配置把此用戶的郵件轉到下列URL http://rhgls.rhce.cc/received_mail/11
system1執行:
[root@system1 ~]# firewall-cmd --add-service=smtp
[root@system1 ~]# firewall-cmd --add-service=smtp --permanent
[root@system1 postfix]# vim /etc/postfix/main.cf
vim main.cf 中復制一行mydestination,編輯mydestination=""
vim main.cf 中復制一行relayhost,編輯relayhost=[rhgls.rhce.cc]
vim main.cf 中復制一行myorigin,編輯myorigin=rhce.cc
[root@system1 postfix]# systemctl restart postfix
[root@system1 postfix]# yum install -y mailx
[root@system1 postfix]# echo hello | mail -s "lyshark" dave
瀏覽器中打開http://rhgls.rhce.cc/received_mail/11打開郵件
發現成功以后直接拷貝到目標主機
[root@system1 postfix]# scp main.cf system2:/etc/postfix/
system2執行:
[root@system2 postfix]# yum install -y mailx
[root@system2 ~]# firewall-cmd --add-service=smtp
[root@system2 ~]# firewall-cmd --add-service=smtp --permanent
[root@system2 ~]# systemctl restart postfix
[root@system2 ~]# echo "hello" | mail -s "lyshark" dave
二十五、通過SMB共享目錄
在system1上配置SMB服務,您的SMB服務器必須是STAFF工作組的一個成員
共享/common目錄共享名必須為common,只有rhce.cc域內的客戶端可以訪問common共享
common必須是可以瀏覽的,用戶andy必須能夠讀取共享中的內容,驗證的密碼是redhat
system1執行:
[root@system1 ~]# yum install -y samba
[root@system1 ~]# vim /etc/samba//smb.conf
workgroup = STAFF
[common]
path = /common
hosts allow = 192.168.122.0/24
[root@system1 ~]# firewall-cmd --add-service=samba
[root@system1 ~]# firewall-cmd --add-service=samba --permanent
[root@system1 ~]# mkdir /common
[root@system1 ~]# chcon -R -t samba_share_t /common/
[root@system1 ~]# id andy // 查詢是否存在
[root@system1 ~]# useradd andy
[root@system1 ~]# yum whatprovides */smbpasswd
[root@system1 ~]# yum install -y samba-client
[root@system1 ~]# pdbedit -L // 創建用戶密碼
[root@system1 ~]# smbpasswd -a andy
New SMB password: redhat
[root@system1 ~]# systemctl enable smb
[root@system1 ~]# systemctl restart smb
system2測試連通性:
[root@system2 ~]# yum install -y samba-client
[root@system2 ~]# smbclient //system1/common -U andy%redhat
[root@system2 ~]# smbclient -L //system1/common -U andy%redhat
二十六、配置多用戶SMB掛載
在system1共享通過SMB目錄/miscellaneous滿足以下要求:
共享名為miscellaneous,共享目錄miscellaneous,只能被rhce.cc域中的客戶端使用
共享目錄miscellaneous必須可以被瀏覽,用戶silene必須能以讀的方式訪問此共享,訪問密碼是redhat
用戶akira必須能以讀寫的方式訪問此共享,訪問密碼是redhat,此共享永久掛載在system2.rhce.cc上的/mnt/multi目錄
並使用用戶silene作為認,證任何用戶可以通過用戶akira來臨時獲取寫的權限
system1上執行:
[root@system1 ~]# mkdir /miscellaneous
[root@system1 ~]# chcon -R -t samba_share_t /miscellaneous/
[root@system1 ~]# vim /etc/samba/smb.conf
[miscellaneous] // 追加寫入
path = /miscellaneous
hosts allow=192.168.122.0/24
writable = no
write list = akira
[root@system1 ~]# chmod o+rwx /miscellaneous/
[root@system1 ~]# useradd silene
[root@system1 ~]# useradd akira
[root@system1 ~]# smbpasswd -a silene
New SMB password: redhat
[root@system1 ~]# smbpasswd -a akira
New SMB password: redhat
[root@system1 ~]# systemctl restart smb
system2上驗證結果:
[root@system2 ~]# smbclient //system1/miscellaneous -U silene%redhat 測試讀權限
[root@system2 ~]# smbclient //system1/miscellaneous -U akira%redhat 測試寫權限
[root@system2 ~]# mkdir /mnt/multi
[root@system2 ~]# smbclient //system1/miscellaneous -U silene%redhat
[root@system2 ~]# vim /etc/fstab // 寫入開機自動掛載
//system1/miscellaneous /mnt/multi cifs defaults,username=silene,password=redhat,multiuser,sec=ntlmssp 0 0
[root@system2 ~]# yum install -y cifs-utils
[root@system2 ~]# mount -a
[root@system2 ~]# df -h
文件系統 容量 已用 可用 已用% 掛載點
//system1/miscellaneous 3.9G 1.3G 2.7G 32% /mnt/multi
創建用戶tom1 tom2 用於測試屬性分配是否正常
[root@system2 ~]# useradd tom1
[root@system2 ~]# useradd tom2
[root@system2 ~]# su - tom1
[tom1@system2 ~]$ cd /mnt/multi
[tom1@system2 multi]$ cifscreds add system1 -u silene
Password: redhat // 測試有無讀取權限
[tom1@system2 multi]$ exit
[root@system2 ~]# su - tom2
[tom2@system2 ~]$ cd /mnt/multi
[tom2@system2 multi]$ cifscreds add system1 -u akira
Password: redhat // 測試有無寫權限
[tom2@system2 multi]$ exit
二十七、配置NFS服務
在system1配置NFS服務,要求如下:
以只讀的方式共享目錄/public同時只能被rhce.cc域中的系統訪問,以讀寫的方式共享目錄/protected能被rhce.cc域中的系統訪問
訪問/protected需要通過Kerberos安全加密,您可以使用下面URL提供的密鑰 http://host.rhce.cc/materials/nfs_server.keytab
目錄/protected應該包含名為confidential擁有人為ldapuser11的子目錄,用戶ldapuser11以讀寫方式訪問/protected/confidential
system1上執行:
[root@system1 ~]# systemctl restart nfs-server
[root@system1 ~]# systemctl enable nfs-server
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=nfs accept"
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=nfs accept" --permanent
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=rpc-bind accept"
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=rpc-bind accept" --permanent
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=mountd accept"
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=mountd accept" --permanent
[root@system1 ~]# mkdir /public
[root@system1 ~]# cat /etc/exports
/public *(ro,sync) // 寫入屬性
[root@system1 ~]# exportfs -arv
exporting *:/public
在system2上測試:
[root@system2 ~]# showmount -e system1
Export list for system1:
/public *
[root@system2 ~]# mount system1:/public /mnt
確認沒問題后再卸載掉 umount /mnt
繼續共享第二個目錄 system1:
[root@system1 ~]# mkdir /protected
[root@system1 ~]# cat /etc/exports
/public *(ro,sync)
/protected *(rw,sync,sec=krb5p)
[root@system1 ~]# exportfs -arv
exporting *:/protected
exporting *:/public
下載證書並配置:
[root@system1 ~]# wget -O /etc/krb5.keytab http://host.rhce.cc/materials/nfs_server.keytab
[root@system1 ~]# cat /etc/sysconfig/nfs 找到rpcnfsdargs=”-V 4.2”
[root@system1 ~]# mkdir /protected/confidential
[root@system1 ~]# chcon -R -t public_content_t /protected/
[root@system1 ~]# chown ldapuser11 /protected/confidential
[root@system1 ~]# systemctl restart nfs-server
[root@system1 ~]# systemctl restart nfs-secure-server
二十八、掛載一個NFS共享
在system2上掛載一個來自system1.rhce.cc的NFS共享,並符合下列要求:
/public掛載在下面的目錄上/mnt/nfsmount , /protected掛載在下面的目錄上/mnt/nfssecure並使用安全的方式
密鑰下載URL如下:http://host.rhce.cc/materials/nfs_client.keytab.
用戶ldapusre11能夠在/mnt/nfssecure/confidential上創建文件,這些文件系統在系統啟動時自動掛載
[root@system2 ~]# showmount -e system1
[root@system2 ~]# mkdir /mnt/nfsmount
vim /etc/fstab 中添加system1.rhce.cc:/public /mnt/nfsmount nfs defaults 0 0
[root@system2 ~]# mount -a // 檢查是否掛載成功
[root@system2 ~]# df -h
[root@system2 ~]# mkdir /mnt/nfssecure
[root@system2 ~]# wget -O /etc/krb5.keytab http://host.rhce.cc/materials/nfs_client.keytab
[root@system2 ~]# systemctl restart nfs-secure
vim /etc/fstab 中添加 system1.rhce.cc:/protected /mnt/nfssecure nfs defaults,v4.2,sec=krb5p 0 0
[root@system2 ~]# mount -a
[root@system2 ~]# ssh ldapuser11@system1.rhce.cc 驗證
二十九、配置web站點
system1上配置一個站點http://system1.rhce.cc然后執行下述步驟:
從http://rhgls.rhce.cc/materials/station.html下載文件
並且將文件重命名為index.html不要修改此文件的內容
將文件index.html拷貝到您的web服務器的DocumentRoot目錄下
來自於rhce.cc域的客戶端可以訪問此Web服務,來自於my133t.org域的客戶端拒絕訪問此Web服務
[root@system1 ~]# yum groupinstall web* -y
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=http accept"
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=http accept" --permanent
[root@system1 ~]# vim /etc/httpd/conf/httpd.conf
ServerName system1.rhce.cc:80 取消注釋
[root@system1 ~]# vim /etc/hosts
192.168.122.100 system1.rhce.cc 寫入以下條目
[root@system1 ~]# wget -O /var/www/html/index.html http://rhgls.rhce.cc/materials/station.html
[root@system1 ~]# systemctl restart httpd
[root@system1 ~]# systemctl enable httpd
三十、配置安全web服務
為站點http://system1.rhce.cc配置TLS加密一個已簽名證書從
http://host.rhce.cc/materials/system1.crt獲取此證書的密鑰從
http://host.rhce.cc/materials/system1.key獲取此證書的簽名授權信息從
http://host.rhce.cc/materials/domain11.crt獲取
[root@system1 ~]# cd /etc/httpd/conf
[root@system1 conf]# wget http://host.rhce.cc/materials/system1.crt
[root@system1 conf]# wget http://host.rhce.cc/materials/system1.key
[root@system1 conf]# wget http://host.rhce.cc/materials/domain11.crt
[root@system1 conf]# vim /etc/httpd/conf.d/ssl.conf
依次修改配置項
SSLCertificateFile /etc/httpd/conf/system1.crt
SSLCertificateKeyFile /etc/httpd/conf/system1.key
SSLCertificateChainFile /etc/httpd/conf/domain11.crt
[root@system1 ~]# systemctl restart httpd
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=https accept"ss
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 service name=https accept" --permanent
三十一、配置虛擬主機
在system1上擴展您的web服務器,為站點http://www..rhce.cc創建一個虛擬主機,執行步驟:設置DocumentRoot為/var/www/virtual
從http://rhgls.rhce.cc/materials/www.html下載文件並重命名為index.html不要對文件index.html的內容做任何修改
將文件index.html放到虛擬主機的DocumentRoot目錄下確保andy用戶能夠在/var/www/virtual目錄下創建文件
注意:原始站點http://system1.rhce.cc必須仍然能夠訪問,名稱服務器rhce.cc提供對主機名www.rhce.cc的域名解析
[root@system1 ~]# mkdir /var/www/virtual
[root@system1 ~]# wget -O /var/www/virtual/index.html http://rhgls.rhce.cc/materials/www.html
[root@system1 ~]# setfacl -m u:andy:rwx /var/www/virtual
[root@system1 ~]# cd /etc/httpd/conf.d/ 拷貝模板文件
root@system1 conf.d]# cp -a /usr/share/doc/httpd-2.4.6/httpd-vhosts.conf vhost.conf
[root@system1 conf.d]# vim vhost.conf
<VirtualHost www.rhce.cc:80>
DocumentRoot "/var/www/virtual"
ServerName www.rhce.cc
</VirtualHost>
<VirtualHost system1.rhce.cc:80>
DocumentRoot "/var/www/html"
ServerName system1.rhce.cc
</VirtualHost>
[root@system1 conf.d]# systemctl restart httpd
# 驗證是否合格
[root@system1 conf.d]# curl system1.rhce.cc
station
[root@system1 conf.d]# curl www.rhce.cc
www
三十二、配置web內容的訪問
在您的system1上的web服務器的DocumentRoot目錄下創建一個名為secret的目錄。
要求如下:從http://rhgls.rhce.cc/materials/private.html下載一個文件副本到這個目錄並且重命名為index.html 不要對這個文件的內容做任何修改,從system1上任何人都可以瀏覽secret的內容,但是從其它系統不能訪問這個目錄的內容
[root@system1 ~]# mkdir /var/www/html/secret
[root@system1 ~]# mkdir /var/www/virtual/secret
[root@system1 ~]# wget –O /var/www/html/secret http://rhgls.rhce.cc/materials/private.html
[root@system1 ~]# wget –O /var/www/html/virtual/secret/ http://rhgls.rhce.cc/materials/private.html
[root@system1 ~]# vim /etc/httpd/conf.d/vhost.conf
<Directory "/var/www/html/secret">
allowoverride none
require local
</Directory>
<Directory "/var/www/virtual/secret">
allowoverride none
require local
</Directory>
[root@system1 ~]# systemctl restart httpd
[root@system1 secret]# curl -s www.rhce.cc/secret/private.html
private
[root@system1 secret]# curl -s system1.rhce.cc/secret/private.html
private
三十三、實現動態Web內容
在system1上配置提供動態Web內容,要求如下:
動態內容由名為dynamic.rhce.cc的虛擬主機提供,虛擬主機偵聽在端口8998
從http://rhgls.rhce.cc/materials/webapp.wsgi下載一個腳本,然后放在適當的位置。
客戶端訪問http://dynamic.rhce.cc:8998/時應該接收到動態生成的web頁面
此http://dynamic.rhce.cc:8998/必須能被rhce.cc域內的所有系統訪問
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 port port=8998 protocol=tcp accept"
[root@system1 ~]# firewall-cmd --add-rich-rule "rule family=ipv4 source address=192.168.122.0/24 port port=8998 protocol=tcp accept" --permanent
[root@system1 ~]# vim /etc/httpd/conf/httpd.conf 增加一個8998端口
Listen 80
Listen 8998
[root@system1 ~]# yum provides semanage
[root@system1 ~]# yum install -y policycoreutils-python
[root@system1 ~]# semanage port -a -t http_port_t -p tcp 8998 # 修改端口上下文
[root@system1 ~]# yum install mod_wsgi -y
[root@system1 ~]# mkdir /var/www/html/test
[root@system1 ~]# wget -P /var/www/html/test/ http://rhgls.rhce.cc/materials/webapp.wsgi
[root@system1 ~]# vim /etc/httpd/conf.d/vhost.conf
<VirtualHost dynamic.rhce.cc:8998>
DocumentRoot "/var/www/html/test"
ServerName dynamic.rhce.cc
WSGIScriptAlias / /var/www/html/test/webapp.wsgi
</VirtualHost>
[root@system1 ~]# systemctl restart httpd
[root@system1 ~]# curl dynamic.rhce.cc -P 8998
[root@system1 ~]# curl http://dynamic.rhce.cc:8998/test/webapp.wsgi
三十四、配置iSCSI服務端
配置system1提供一個iSCSI服務磁盤名為iqn.2014-09.com.example.domain11:system1,
並符合要求:服務端口為3260,使用iscsi_vol作其后端卷其大小為3G,此服務只能被system2.rhce.cc訪問
[root@system1 ~]# yum install -y target*
[root@system1 ~]# systemctl restart target
fdisk /dev/vda創建3G分區
partprobe /dev/vda
targetcli后 ls/
/backstores/block create iscsi_vol /dev/vda4
/iscsi create iqn.2014-09.com.example.domain11:system1
cd /iscsi/iqn.2014-09.com.example.domain11:system1/tpg1/
acls/ create iqn.2014-09.com.example.domain11:xx
luns/ create /backstores/block/iscsi_vol ls /
portals/ create 0.0.0.0 3260 exit
[root@system1 ~]# systemctl restart firewalld
三十五、配置iSCSI的客戶端
配置system2使其能連接在system1的上提供的iqn.2014-09.com.example.domain11:system1
並符合以下要求:
iSCSI設備在系統啟動的期間自動加載
塊設備iSCSI上包含一個大小為1700MiB的分區,並格式化為xfs
此分區掛載在/mnt/data上同時在系統啟動的期間自動掛載
yum install iscsi* -y
vim /etc/iscsi/initiatorname.iscsi中將 = 后面值修改成iqn.2014-09.com.example.domain11:xx
systemctl start iscsid
systemctl enable iscsid
iscsiadm –m discovery –t st –p system1.rhce.cc - l
創建一個1700m的分區,格式化mkfs.xfs /dev/vda?
自動掛載 vim /etc/fstab 中添加一行
/dev/sda? /mnt/data xfs defaults,_netdev 0 0
mkdir /mnt/data
mount –a檢查結果