第六天(7月24日)
今天的主要内容是防火墙配置、破解系统密码以及考试模拟题。
一、防火墙
Linux系统的防火墙功能是由内核实现的,在2.4 版及以后的内核中,包过滤机制是netfilter,管理工具是iptables。netfilter是位于Linux内核中的包过滤防火墙功能体系,称为Linux防火墙的“内核态”。iptables位于/sbin/iptables,是用来管理防火墙的命令工具,为防火墙体系提供过滤规则/策略,称为Linux防火墙的“用户态”。习惯上,上述2种称呼都可以代表Linux防火墙。这个防火墙工作在网络层,属于包过滤防火墙。
在RHCSA考试中要求将防火墙关闭,否则配置的服务器将无法被访问。可以通过setup进行设置。
SELinux是Linux中的另一种安全机制,它通过进程进行安全设置,技术性要求比较高,据说是属于RHCA的考试内容。
Selinux三种工作模式:强制模式Enforcing、许可模式Permissive、禁用模式Disabled。
[root@server27 ~]# getenforce
#显示当前SELinux模式
Enforcing
[root@server27 ~]# setenforce 0
#将selinux设为permissive模式,不限制访问,但会将相关操作记录到日志。
[root@server27 ~]# getenforce
Permissive
[root@server27 ~]# setenforce 1
#将selinux设为Enforcing模式
[root@server27 ~]# getenforce
Enforcing
二、破解用户密码
在Linux中如何破解root用户密码?这是RHCSA考试的第一步,呵呵,如果这步做不出来,那也就不用考试了。
要破解密码必须进入单用户模式,下面是详细操作:
首先在系统启动到倒数计时那一步时按回车键出现引导菜单,选择新内核启动(如果之前没有升级过内核,这里就只有一个内核),注意这里不要按回车键,而是按“e”进入命令编辑状态。
然后进入grub启动菜单,选择“kernel… …”这一行,然后继续按e修改系统启动参数:
然后在auto rhgb quiet后面输入引导模式,这里输入1,用来告诉GRUB当启动这个操作系统时,传递1参数给操作系统,使系统在这次启动时进入单用户模式。按回车确认之后,又返回到上面的那个界面,按b重启系统即可进入单用户模式。
单用户模式不需要输入密码,只能用root用户登录,而且不加载任何服务,此时可以修改root密码。在64位系统中,要先执行setenforce 0关闭selinux,然后执行passwd root命令修改root用户密码。这时建议在单用户模式下,同时执行setup命令,将网络设置一并改完,并关闭防火墙。这样考试环境的基本配置就完成了,重启系统就可以看到RHCSA的考题。
三、考试模拟题
考试开始后首先根据题目要求配置yum源,配完之后,可以执行yum list进行测试。考试环境中很多图形界面下的软件和服务都没安装,需要自行安装。
yum install httpd vsftpd firefox system-config-lvm system-config-users gnome-disk-*
下面是一套考试的模拟题,每次考试的考题类型大都差不多,只是具体参数会有所不同。
1
、将/home
分区lvm
从190MB
缩小为100MB
。
这个操作用逻辑卷管理器很简单就可以完成,不过要事先安装好逻辑卷管理器,也就是前面yum install system-config-lvm。
修改完之后,可以用lvdisplay或df –hT命令进行验证。
2
、新建组manager
,创建两个用户natasha
、harry
,这两个用户的附属组为manager
。创建用户strlt
,这个用户不允许登录。
前面yum install gnome-disk*就是为了安装图形界面下的用户和组管理工具,其实这个题目用命令也很简单:
[root@server27 ~]# groupadd manager
[root@server27 ~]# useradd -G manager natasha
[root@server27 ~]# useradd -G manager harry
[root@server27 ~]# useradd -s /sbin/nologin strlt
3
、复制/etc/fstab
到/var/tmp/fstab ,
设置 harry
可以读写,natasha
不能做任何操作,
其他用户可读,
设置 manager
组为 fstab
所属组。
[root@server27 ~]# cp /etc/fstab /var/tmp/fstab
[root@server27 ~]# cd /var/tmp
[root@server27 tmp]# chown :manager fstab
[root@server27 tmp]# setfacl -m u:harry:6 fstab
[root@server27 tmp]# setfacl -m u:natasha:0 fstab
4
、设置crontab
,natasha
在 14:23
执行 echo
“file_world
”。
[root@server27 tmp]# crontab -e -u natasha
23 14 * * * /bin/echo "file_world"
[root@server27 tmp]# crontab -l -u natasha
#查看计划任务,进行验证。
5
、升级kernel
,默认新kernel
启动。新内核的位置在:
ftp://192.168.0.254/pub/kernel/
。
这个题目老师建议放在最后面做,因为升级内核需要重启系统。
首先需要用firefox从服务器下载内核文件,文件有2个。然后用rpm –ivh kernel-*命令将两个内核文件一次性安装即可。
6
、建一个用户susa
,指定UID
号为4000
。
[root@server27 tmp]# useradd -u 4000 susa
7
、加入ldap
服务器,dc=example,dc=com
,ldap://instructor.example.com
,用户认证方式ldap
。
这个在前面的博文中已经有过详细操作,具体可参考:
http://80821.blog.51cto.com/70821/940617。
8
、当ldap
用户登录时,自动挂载家目录/home/guests/ldapuser20
到/home/guests
目录。
这个也在前面的博文中有详细操作。不过这两个题目我都不是很熟悉,临考前应重点复习一下。
9
、设置ntp
时间同步,ntp
服务器的地址为:192.168.0.254
这是道送分题,用“系统\管理\日期和时间”设置即可。
10
、配置apache
服务器,可以在本地用域名http://serverX.example.com
访问,主页从服务器下载,下载地址
ftp://instructor.expmple.com/pub/station.html。
这个题目关键是启动httpd服务,域名的dns解析已经在服务器端设好了。
[root@server27 tmp]# service httpd start
[root@server27 tmp]# chkconfig httpd on
然后将从服务器上下载的网页文件复制到web服务器的主目录/var/www/html,并改名为index.html。
[root@server27 tmp]# cp station.html /var/www/html/index.html
11
、架设ftp
服务器,允许匿名用户下载。
这个更简单,启动服务即可。
[root@server27 ~]# service vsftpd start
[root@server27 ~]# chkconfig vsftpd on
12
、查找所有属于普通用户susa
的文件,并复制到/root/finder
目录。
[root@server27 ~]# find / -user susa -type f -exec cp {} /root/finder/ \;
上面的命令也可以不用-exec参数,手工将查找出来的结果复制到指定目录即可。
13
、查找/var/share/doc/word
中包含字符串lib
的行,并按顺序复制到/root/lines.txt
中。
[root@server27 ~]# grep lib /var/share/doc/words > /root/lines.txt
14
、设置用户natasha
对目录/home/cnrts
(自己创建)有完全控制权限,在目录中创建的文件自动继承组的权限,设置manager
组用户对目录有读写执行权限,其他人没有权限(root
除外)。
这道题目需要在第二组设置set位。
[root@server27 ~]# mkdir /home/cnrts
[root@server27 home]# chown :manager /home/cnrts
[root@server27 home]# chmod 2770 /home/cnrts
[root@server27 home]# ll
drwxrws---. 2 root
manager 4096 7月 22 05:33 cnrts
15
、增加一个256MB
的交换分区,并实现自动挂载。
首先在图形界面下创建好交换分区,然后修改/etc/fstab文件,将分区永久挂载:
[root@localhost ~]# vi /etc/fstab
/dev/sdb2
swap swap defaults 0 0
修改完之后,继续执行下面的命令:
[root@localhost ~]# swapon –a
#使交换分区生效
[root@localhost ~]# swapon –s
#查看交换分区情况
16
、创建一个VG
和LV,PE
大小8M
,LV
中PE
个数10
,自动挂载到/mnt/wshare/
,
格式化为vfat
文件系统,其中 Vg
名称为wgroup ,lv
名称为wshare
。
这个操作过程在前面也有过详细的记载,参看
http://80821.blog.51cto.com/70821/939395。需要注意的是,这个题目首先需要创建好一个分区,然后才能将其设置成逻辑卷。
四、小结
短短的6天培训到这里就全部结束了,应该说这是一次高强度的培训,从早上9点开始上课,一般到晚上7点左右才回宾馆。而且济南的夏天只可以用一个字来形容,那就是热。教室内的室温基本保持在30度,所以这几天的确比较辛苦。但是这几天同样也非常充实,白天上课,晚上整理,第二天早上再发到博客,而且还被51cto制作成了博客专题,感到很高兴。同时也要感谢我的同桌——来自柳州的美女胡老师,与你的不断交流使我把内容掌握的更加扎实,还有与我同住一个房间的来自潍坊的李老师,彼此都很愉快地在一起共同生活了六天。
今天要暂时回烟台了,31号会再来济南,准备参加8月1日上午的RHCSA考试,届时再向大家汇报考试的具体情况。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/941587
