红帽rhce认证考试题库

不用破解system1,system2密码注意看网络信息考前题目

1.配备SELinux

SELinux必须在两个系统system1和system2中运营于Enforcing模式

-------------------------------------------------------------------------------------getenforce

[root@system1~]#getenforceEnforcingsetenforce1[root@system1~]#setenforce--helpusage:setenforce[Enforcing|Permissive|1|0][root@system1~]#setenforce1vi/etc/selinux/config将SELINUX=permissive改成SELINUX=enforcing同样地在system2上执行同样操作。2.配备SSH访问

按如下规定配备SSH访问:

顾客可以从域内的客户端通过SSH远程访问您的两个虚拟机系统

在域内的客户端不能访问您的两个虚拟机系统

-----------------------------------------------------------------------------------------

1) 查看目前域的网段：[root@system1~]#hosthasaddress可知网段为2) vi /etc/添加如下内容：##sshd:/3) vi /etc/#sshd:.4) scp/etc//etc/自定义顾客环境

在系统system1和system2上创立自定义命令名为qstat此自定义命令将执行如下命令:

/bin/ps-Aopid,tt,user,fname,rsz

此命令对系统中所有顾客有效。

-------------------------------------------------------------------------------------------1) vim /etc/bashrcunset-fpathmungefi#vim:ts=4:sw=4aliasqstat='/bin/ps-Aopid,tt,user,fname,rsz'置端口转发

在系统system1配备端口转发，规定如下：

在/24网络中的系统，访问system1的本地端口5423将被转发到80

此设立必须永久有效

---------------------------------------------------------------------------------------------在system1上添加富规则firewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24forward-portport=5423protocol=tcpto-port=80'在system1上添加永久性富规则[root@system1~]#firewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24forward-portport=5423protocol=tcpto-port=80'--permanentsuccess查看目前富规则 ：firewall-cmd--list-rich-rules[root@system1~]#firewall-cmd--list-rich-rulesrulefamily="ipv4"sourceaddress="/24"forward-portport="5423"protocol="tcp"to-port="80"5.配备聚合链路

在和之间按如下规定配备一种链路：

此链路使用接口eth1和eth2

此链路在一种接口失效时仍然能工作

此链路在system1使用下面的地址/

此链路在system2使用下面的地址/

此链路在系统重启之后仍然保持正常状态

---------------------------------------------------------------------------------------------配备system1上的team0文献nmcliconnectionaddtypeteamcon-nameteam0ifnameteam0config'{"runner":{"name":"activebackup"}}'为team0配备IP地址nmcliconnectionmodifyteam0/24为team0设立手动管理nmcliconnectionmodifyteam0manual添加一种类型为team-slave的从设备，连接名为team0-1接口为eth1，master为team0nmcliconnectionaddtypeteam-slavecon-nameteam0-1ifnameeth1masterteam0添加一种类型为team-slave的从设备，连接名为team0-2接口为eth1，master为team0nmcliconnectionaddtypeteam-slavecon-nameteam0-2ifnameeth2masterteam0cd/etc/sysconfig/network-scripts/viifcfg-team0检查onboot与否=yesviifcfg-team0检查onboot与否=yessystemctlrestartnetworkssh远程到另一台主机复制如上命令，反复执行如下命令nmcliconnectionaddtypeteamcon-nameteam0ifnameteam0config'{"runner":{"name":"activebackup"}}'nmcliconnectionmodifyteam0/24置IPv6地址

在您的考试系统上配备接口eth0使用下列IPv6地址：

system1上的地址应当是200e:ac18::e0a/64

system2上的地址应当是200e:ac18::e14/64

两个系统必须能与网络200e:ac18/64内的系统通信。

地址必须在重启后仍旧生效。

两个系统必须保持目前的IPv4地址并能通信。

--------------------------------------------------------------------------------------------在system1上修改管理方式为autonmcliconnectionmodifyeth0auto在system1上修改eth0网卡的mac地址nmcliconnectionmodifyeth0"200e:ac18::e0a/64"在system1上修改管理方式为manualnmcliconnectionmodifyeth0manualnmcliconnectionshoweth0|grepipv6置本地邮件服务

老段工作室

在系统system1和system2上配备邮件服务，满足如下规定：

这些系统不接受外部发送来的邮件

在这些系统上本地发送的任何邮件都会自动路由到

从这些系统上发送的邮件显示来自于

您可以通过发送邮件到本地顾客'dave'来测试您的配备，系统已经配备把此

顾客的邮件转到下列URL

-----------------------------------------------------------------------------------------本地系统不接受外部发来的邮件：分别在system1，2上启动smtp富规则：firewall-cmd--add-service=smtpfirewall-cmd--add-service=smtp--permanent编辑邮件配备文献：vim/etc/postfix/查找mydestination#mydestination=$myhostname,localhost.$mydomain,localhost过SMB共享目录

在system1上配备SMB服务

您的SMB服务器必须是STAFF工作组的一种成员

共享/common目录共享名必须为common

只有域内的客户端可以访问common共享

common必须是可以浏览的

顾客andy必须可以读取共享中的内容，如果需要的话，验证的密码是redhat

----------------------------------------------------------------------------------------------您的SMB服务器必须是STAFF工作组的一种成员yum-yinstallsamba编辑配备文献vim/etc/samba/查找workgroupworkgroup=STAFFserverstring=SambaServerVersion%v 共享/common目录共享名必须为common创立共享目录mkdir/common编辑配备文献vim/etc/samba/切到最后一行，添加[common]path=/commonhostsallow=/24置多顾客SMB挂载

在system1共享通过SMB目录/miscellaneous满足如下规定：

共享名为miscellaneous

共享目录miscellaneous只能被域中的客户端使用

共享目录miscellaneous必须可以被浏览

顾客silene必须能以读的方式访问此共享，访问密码是redhat

顾客akira必须能以读写的方式访问此共享，访问密码是redhat

此共享永久挂载在上的/mnt/multi目录,并使用顾客silene作为认证任何顾客可以通过顾客akira来临时获取写的权限

-------------------------------------------------------------------------------------------------在system1下执行：mkdir/miscellaneousvim/etc/samba/[miscellaneous]path=/miscellaneoushostsallow=/24writable=no置NFS服务

在system1配备NFS服务，规定如下:

以只读的方式共享目录/public同步只能被域中的系统访问

以读写的方式共享目录/protected能被域中的系统访问

访问/protected需要通过Kerberos安全加密，您可以使用下面URL提供的密钥

.

目录/protected应当涉及名为confidential拥有人为ldapuser11的子目录

顾客ldapuser11能以读写方式访问/protected/confidential

--------------------------------------------------------------------------------------------------------firewall-cmd--get-services|grepnfs查看服务firewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24servicename=nfsaccept'firewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24servicename=rpc-bindaccept'firewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24servicename=mountdaccept'firewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24servicename=nfsaccept'--permanentfirewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24servicename=rpc-bindaccept'--permanentfirewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24servicename=mountdaccept'--permanentmkdir/publicmkdir/protectedvim/etc/exports添加如下内容：/public*(ro,sync)/protected*(rw,sync,sec=krb5p)重新加载/etc/exports中的设立，并同步更新/var/lib/nfs/etab中的内容：

exportfs-r或者/public/24(ro,sync)/protected/24(rw,sync,sec=krb5p)wget-O/etc/挂载一种NFS共享

在system2上挂载一种来自的NFS共享，并符合下列规定：

/public挂载在下面的目录上/mnt/nfsmount

/protected挂载在下面的目录上/mnt/nfssecure并使用安全的方式，密钥下载URL如

下：.

顾客ldapusre11可以在/mnt/nfssecure/confidential上创立文献

老段工作室

这些文献系统在系统启动时自动挂载

---------------------------------------------------------------------------------------------------------在system2上执行showmount-e/mnt/nfsmountmkdir/mnt/nfssecurevi/etc/fstab添加如下内容：/mnt/nfsmountnfsdefaults00mount-awget-O/etc/wget-O/etc/systemctlstartnfs-securesystemctlenablenfs-securevi/etc/fstab添加如下内容：/mnt/nfssecurenfsdefaults,sec=krb5p,00mount-adf-HT如果不正常检查host、system1system2时间与否一致在system1上sshcd/mnt/nfssecuretouchldapuser1111测试使用ldapuser11与否能创立文献12.配备web站点

system1上配备一种站点然后执行下述环节：

从

下载文献，并且将文献重命名为不要修改此文献的内容

将文献拷贝到您的web服务器的DocumentRoot目录下

来自于域的客户端可以访问此Web服务

来自于域的客户端回绝访问此Web服务

-----------------------------------------------------------------------------------------------------------yum-ygroupinstallweb*-yvim/etc/httpd/conf/查找核心字ServerNameServerName-O/var/firewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24servicename=httpaccept'firewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24servicename=httpaccept'--permanentsystemctlstarthttpdsystemctlenablehttpd注：模拟考试环境的物理机环境还需要配备/etc/nameserversystemctlrestartnetwork生效物理机访问配备安全web服务

为站点配置TLS加密一个已签名证书从

获取此证书的密钥从

获取此证书的签名授权信息从

获取

cp/usr/share/doc//etc/httpd/vim/etc/httpd/删除掉文献内容，编辑成如下内容光标在第一行4yy复制4行内容按p粘贴先保存退出在物理机重新远程system1[root@localhost~]#ssh [root@system1~]#cd/etc/httpd/查找文献[root@system1]#lsREADME[root@system1]#vim把SSLEngineon改为SSLEngineoff然后复制SSLEngineoff到本来的终端的/etc/httpd/内容中并把SSLEngineoff改成SSLEngineon端口改成443继续在中查找SSLCertificateFile复制到/etc/httpd/中在host上：准备拿题目中的KEY但是由于环境问题需要进入host改权限cd/var在system1上：mkdir/cacd/ca进到CA目录并下载证书文献wgetwgetwget编辑虚拟机证书文献：vim/etc/httpd/更改证书途径：SSLCertificateSSLCertificateKeySSLCertificateChain更改上下文：chcon–R–reference=/var//ca添加防火墙富规则：firewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24servicename=httpsaccept'firewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24servicename=httpsaccept'--permanent重启httpd服务systemctlrestarthttpd物理机访问注：restorecon-R/var/可以恢复SELINUX的安全上下文14.配备虚拟主机

在system1上扩展您的web服务器，为站点创立一种虚拟主机，然后

执行下述环节：

设立DocumentRoot为/var/

从

下载文献并重命名为不要对文献的内容做任何修改

将文献放到虚拟主机的DocumentRoot目录下

保证andy顾客可以在/var/目录下创立文献

注意：原始站点必须仍然可以访问，名称服务器提供对主

机名的域名解析

--------------------------------------------------------------------------------------------------------------mkdir/var/wget-O/var/al/ls-ldZ/var/查看上下文与否对的restorecon-R/var/vim/etc/httpd/新增如下一段由于新建了一种根目录需要修改权限从/etc/httpd/conf/找到granted，并复制如下一段，再回到vim/etc/httpd/中粘贴，并修改虚拟主机目录途径保存退出。systemctlrestarthttpd测试保证andy顾客可以在/var/目录下创立文献

setfacl-mu:andy:rwx/var/测试andy与否能读写cd/var/touchaa15.配备web内容的访问

在您的system1上的web服务器的DocumentRoot目录下创立一种名为secret的目录，

规定如下：

从下载一种文献副本到这个目录，并且重命名

为。

不要对这个文献的内容做任何修改。

从system1上，任何人都可以浏览secret的内容，但是从其他系统不能访问这个目录的内容

------------------------------------------------------------------------------------------------------------------主机DocumentRoot目录创立一种mkdir/var/虚拟主机DocumentRoot目录创立一种mkdir/var/wget–O/var/wget–O/var/从system1上，任何人都可以浏览secret的内容，但是从其他系统不能访问这个目录的内容编辑vim/etc/httpd/复制权限一段4yy，再粘贴，修改目录途径，修改require为localsystemctlrestarthttpd在system1测试curl-scurl-scurl-s与否为private在system2测试应当显示403Forbiddencurl-scurl-s16.实现动态Web内容

在system1上配备提供动态Web内容，规定如下：

老段工作室

动态内容由名为的虚拟主机提供

虚拟主机侦听在端口8998

从下载一种脚本，然后放在合适的位置，无论如何不规定修改此文献的内容

客户端访问时应当接受到动态生成的web页面

此必须能被域内的所有系统访问

--------------------------------------------------------------------------------------------------------------在/etc/httpd/中4yy复制粘贴并修改成如下内容vim/etc/httpd/conf/添加一种监听端口8998Listen8998添加一种服务名可以不用ServerName修改上下文vim/etc/ssh/sshd_config查找semanage查找例子semanageport-a-tssh_port_t-ptcp并执行semanageport-a-thttp_port_t-ptcp8998yumwhatprovidessemanageyum-yinstallport-a-thttp_port_t-ptcp8998yum-yinstallmod_wsgi–ycd/var/wgetvim/etc/httpd/WSGIScriptAlias//var/firewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24portport=8998protocol=tcpaccept'firewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=/24portport=8998protocol=tcpaccept'--permanentsystemctlrestarthttpd在物理机上测试17.创立一种脚本

在system1上创立一种名为/root/script的脚本，让其提供下列特性：

当运营/root/scriptfoo，输出为bar

当运营/root/scriptbar，输出为foo

当没有任何参数或者参数不是foo或者bar时，其错误输出产生如下的信息：

/root/scriptfoo|bar

-----------------------------------------------------------------------------------------------------------vim/root/script#!/bin/bashcase$1infoo)echo'bar';;bar)echo'foo';;*)echo'/root/scriptfoo|bar'exit1esacchmod+xscript./scriptfoo测试与否为bar./scriptbar测试与否为foo./script234测试与否为/root/scriptfoo|bar18.创立一种添加顾客的脚本

在system1上创立一种脚本，名为/root/mkusers,此脚本能实现为系统system1创立本地

顾客,并且这些顾客的顾客名来自一种涉及顾客名列表的文献。同步满足下列规定：

此脚本规定提供一种参数，此参数就是涉及顾客名列表的文献

如果没有提供参数，此脚本应当给出下面的提示信息Usage:/root/mkusers然后退出并

返回相应的值

如果提供一种不存在的文献名，此脚本应当给出下面的提示信息Inputfound然

后退出并返回相应的值

创立的顾客登录shell为/bin/false

此脚本不需要为顾客设立密码

您可以从下面的URL获取顾客名列表作为测试用

-------------------------------------------------------------------------------------------------------------------#!/bin/bashif[$#-eq0];thenecho'Usage:/root/mkusers'exit1fiif[!-e$1];thenecho'Inputfound'exit1fiwhilereadlinedouseradd-s/bin/false$linedone<$1chmod+xmkusers./mkusers测试与否为Usage:/root/mkusers./mkusersuserlistxxxx测试与否为Inputfound./mkusersuserlistidlisiidwangw查看与否创立相应顾客wgetcatuserlist19.配备iSCSI服务端

配备system1提供一种iSCSI服务磁盘名为，

并符合下列规定：

服务端口为3260

使用iscsi_vol作其后端卷其大小为3G

此服务只能被访问

-----------------------------------------------------------------------------------------------------------------yum–yinstalltarget*systemctlstarttargetsystemctlenabletargetsystemctlstarttargetdsystemctlenabledtargetdfirewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=portport=3260protocol=tcpaccept'firewall-cmd--add-rich-rule'rulefamily=ipv4sourceaddress=portport=3260protocol=tcpaccept'–permanentfdisk/dev/vda先创立一种扩展分区再创立一种3G的逻辑分区partprobe/dev/vdatargetcli/>lso-/...................................................................................[...]o-backstores........................................................................[...]|o-block............................................................[StorageObjects:0]|o-fileio...........................................................[StorageObjects:0]|o-pscsi............................................................[StorageObjects:0]|o-ramdisk..........................................................[StorageObjects:0]o-iscsi......................................................................[Targets:0]o-loopback...................................................................[Targets:0]/>/backstores/blockcreateiscsi_vol/dev/vda5Createdblockstorageobjectiscsi_volusing/dev/vda5.如果建错，则使用delete删除/backstores/blockdeleteiscsi_vol/dev/vda5/iscsicreate用tab键补全进入如下目录cdiscsi/createcreate/backstores/block/iscsi_volportals/create3260systemctlrestarttargetnetstat-ntlp|grep326020.配备iSCSI的客户端

配备system2使其能连接在system1的上提供的

并符合如下规定：

iSCSI设备在系统启动的期间自动加载

块设备iSCSI上涉及一种大小为1700MiB的分区，并格式化为xfs

此分区挂载在/mnt/data上同步在系统启动的期间自动挂载

老段工作室

--------------------------------------------------------------------------------------------------------------------在system2上yum–yinstalliscsi*vim/etc/iscsi/修改成InitiatorName=可以在system1上使用targetcli命令查询systemctlrestartiscsidsystemctlenablediscsidiscsiadm-mdiscovery-tst-p-l如果连接不成功检查system1防火墙：firewall-cmd--list-all如果错误则删除：firewall-cmd--remove-rich-rule'rulefamily="ipv4"sourceaddress="/24"servicename="https"accept'firewall-cmd--remove-rich-rule'rulefamily="ipv4"sourceaddress="/24"servicename="https"accept'--permanentcat/proc/partitions会有一种sdafdisk-l/dev/sda创立一种1700MB的主分区partprobe/dev/sda1mkdir/mnt/datavi/etc/fstab/dev/sda1/mnt/dataxfsdefaults,_netdev0021.配备一种数据库

在system1上创立一种MariaDB数据库,名为Contacts，并符合如下条件：

数据库应该包含来自数据库复制的内容，复制文件的URL为

。

数据库只能被localhost访问。

除了root顾客,此数据库只能被顾客Luigi查询。此顾客密码为redhat。

root顾客的密码为redhat，同步不容许空密码登录。

--------------------------------------------------------------------------------------------------------------yum-yinstallmariadb-servermariadbsystemctlstartmariadbsystemctlenablemariadbmysqlcreatedatabaseContacts;useContacts;打开另一种system1窗口[root@system1~]#wget再回来MariaDB[Contacts]>source/root/grantselectonContacts.*toLuigi@'localhost'identifiedby'redhat';setpassword=password('redhat'); quit重新登录mysql应当无法直接登录mysql-uroot-predhat应能登录22.数据库查询

在系统system1上使用数据库Contacts，并使用相应的SQL查询以回答问题：

密码是tangerine的人的名字(考试时可以转换成英文查看是firstname还是lastname)

有多少人的姓名是John同步居住在SantaClaramysql-uroot-predhatuseContacts;[root@system1~]#mysql-uroot-predhatWelcometotheMariaDBmonitor.Commandsendwith;or\g.YourMariaDBconnectionidis7Serverversion:MariaDBServerCopyright(c),,Oracle,MontyProgramAbandothers.Type'help;'or'\h'forhelp.Type'\c'toclearthecurrentinputstatement.MariaDB[(none)]>showtables;ERROR1046(3D000):NodatabaseselectedMariaDB[(none)]>useContacts;ReadingtableinformationforcompletionoftableandcolumnnamesYoucanturnoffthisfeaturetogetaquickerstartupwith-ADatabasechangedMariaDB[Contacts]>showtables;+--------------------+|Tables_in_Contacts|+--------------------+|loc||name||pass|+--------------------+3rowsinsetsec)MariaDB[Contacts]>descname;+-----------+-------------+------+-----+---------+-------+|Field|Type|Null|Key|Default|Extra|+-----------+-------------+------+-----+---------+-------+|aid|int(11)|YES||NULL|||firstname|varchar(10)|YES||NULL|||lastname|varchar(10)|YES||NULL||+-----------+-------------+------+-----+---------+-------+3rowsinse