第(1)題 修改SELinux 狀態(tài)(RHCE考試第1題)SELinux 是linux 中的另一種對資源訪問權限的安全機制。請將selinux 狀態(tài)設置為enforcing 狀態(tài)實現(xiàn)步驟： #vim

第(1)題 修改SELinux 狀態(tài)(RHCE考試第1題)

SELinux 是linux 中的另一種對資源訪問權限的安全機制。

請將selinux 狀態(tài)設置為enforcing 狀態(tài)

實現(xiàn)步驟： #vim /etc/sysconfig/selinux

然后將修改如下行，實現(xiàn)不同的狀態(tài)（配置文件中有單詞）：

SELINUX=enforcing

SELINUX= permissive

問

SELINUX= disable //關閉狀態(tài)，停止安全檢查，全部許可 //強制模式，檢查安全狀態(tài)并拒絕不許可的訪問 //許可模式，檢查安全狀態(tài)并許可訪問但記錄訪

或者通過如下命令

#setenforce 1

#setenforce 0 //強制模式 //許可模式

說明：disable 模式只能通過修改/etc/selinux/config文件實現(xiàn)。如果不是修改為disable ，則不用重啟（注意，最好別在disable 和enforce 模式間切換，啟動過程較慢）。

第(2)題 啟用路由轉(zhuǎn)發(fā)功能

請將ip_forward路由轉(zhuǎn)發(fā)功能打開，并永久生效。（即使的linux 可以當路由器

使）

實現(xiàn)步驟：

#vim /etc/sysctl.conf

找到如下行，設置為1表示開啟，設置為0表示禁止路由轉(zhuǎn)發(fā)：

net.ipv4.ip_forward = 0 ——>改為1

#sysctl -p //使配置文件生效

其它說明：查看所有配置項：#sysctl -a

第(3)題 配置SSHD 服務，實現(xiàn)遠程登錄支持

配置sshd 服務，允許本地用戶harry 可以登錄，但拒絕t3gg.com 域的用戶訪問該

服務。

說明：sshd 是一種遠程登錄服務，是linux 下允許從其它計算機登錄到本地進行遠程管理的一種服務。它的服務軟件是sshd 。端口號是22。

實現(xiàn)步驟：

1) 檢查是否已經(jīng)安裝ssh 的服務

#rpm -qa|grep ssh

可能輸出如下類似的內(nèi)容，表示軟件包已經(jīng)安裝。(注意黃色部分，表示軟件包的名字前面帶open ，表示開源，紅色的部分表示ssh 的客戶端和服務器端，一般都要安裝) ： openssh-askpass-5.3p1-20.el6.x86_64

openssh-clients-5.3p1-20.el6.x86_64

openssh-5.3p1-20.el6.x86_64

openssh-server-5.3p1-20.el6.x86_64

libssh2-1.2.2-7.el6.x86_64

2) 如果沒有安裝，通過如下命令進行安裝

#yum -y install openssh-clients openssh-server

3) 安裝后，重新啟動服務

#service sshd restart

4) 確保sshd 服務站開機后自動啟動

#chkconfig sshd on

5) 檢查sshd 服務是否可以通過tcp_wrappers設置安全訪問權限。如果不支持就比

較麻煩

#ldd `which sshd` |grep wrap

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007fe2ec7c3000) //支持基于TCP_Wrappers安全設置。兩撇為反斜撇

6) 修改TCP_Wrappers的配置文件/etc/host.deny，禁止來自172.16.0.0/24網(wǎng)絡主機

的訪問：

#vim /etc/hosts.deny

根據(jù)RHCE 考試開始的說明，t3gg.com 對應的網(wǎng)絡是172.16.0.0/24網(wǎng)絡，所以要加入如下部分，表示禁止172.16.0.0/24網(wǎng)絡用戶的訪問。

sshd:172.16.0.0/255.255.255.0

7) 設置防火墻，開放來自172.16.0.0/16網(wǎng)絡(本地主機所在地網(wǎng)絡，也即harry 所

在的主機的網(wǎng)絡) 對sshd 服務服務的訪問，即開放本地的22號端口。

#iptables -I INPUT -s 172.16.0.0/16 -p tcp --dport 22 -j REJECT 上面命令的說明：

? -I INPUT 表示在輸入鏈中插入一條防火墻記錄

? -s 172.16.0.0/16 表示來自172.16.0.0/16網(wǎng)絡的主機。即網(wǎng)絡通信數(shù)據(jù)

包的源地址是該網(wǎng)絡的。如果是去向。。。網(wǎng)絡，則用-d XXX ，要根據(jù)實際選擇。

? -p tcp 表示要過濾的網(wǎng)絡協(xié)議。這里是TCP 協(xié)議，因為sshd

服務使用

該協(xié)議

? --dport 是指通信數(shù)據(jù)包中的目標端口，當然也有源端口，用--sport 表示。

注意前面有倆—

? -j ACCEPT 表示允許 ，如果要禁止（丟棄包并反饋信息給訪問端）為 –j

REJECT ，要丟棄包（拒絕但不反饋信息給客戶端）用-j DROP

? -i eth0 表示正對某個網(wǎng)卡的設置

#service iptables save

次即可）

其它說明：

/etc/ssh/sshd_config包含sshd 服務端端口號，監(jiān)聽地址等等配置，一般無需修改。 第(4)題 配置VsFTPd 服務，實現(xiàn)匿名下載并拒絕某些主機

//保存防火墻 #chkconfig iptables on //使得防火墻服務隨計算機啟動（考試時候做一配置ftp 允許本地匿名用戶從/var/ftp/pub目錄中下載，允許

172.12.40.0/255.255.255.0網(wǎng)絡主機對vsftpd 服務的訪問

實現(xiàn)步驟：

1) 檢查是否已經(jīng)安裝vsFTPd 服務

#rpm -qa|grep vsftpd

可能輸出如下類似的內(nèi)容，表示軟件包已經(jīng)安裝。(黃色部分表示軟件包的名字) ： vsftpd-2.2.2-6.el6.x86_64

2) 如果沒有安裝，通過如下命令進行安裝

#yum -y install vsftpd

3) 安裝后，重新啟動服務

#service vsftpd restart

4) 確保sshd 服務站開機后自動啟動

#chkconfig vsftpd on

5) 檢查vsftpd 服務是否支持基于TCP_wrappers的安全機制，如果不支持，就比較

麻煩 #ldd `which vsftpd`|grep wrap

libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f40547da000) //表示支持

6) 通過TCP_wrappers的配置文件/etc/hosts.deny設置對主機的限制

#vim /etc/hosts.deny

加入黃色的部分：

vsftpd:ALL EXCEPT 127.0.0.1 //

除本地，禁止所有主機訪問 //設置禁止訪問的主機規(guī)則

#vim /etc/hosts.allow

加入如下內(nèi)容

//設置允許訪問的主機規(guī)則 vsftpd:172.12.40.0/255.255.255.0 //允許訪問的網(wǎng)絡

上面的設置需要重新啟動，負責比較慢才能有效，目前不知道原因。

也可以通過設置防火墻策略，進行控制 #iptables -I INPUT ! -s 172.12.40.0/24 -p tcp --dport 21 -j REJECT #iptables -I INPUT -s 127.0.0.1 -j ACCEPT

#service iptables save

#chkconfig iptables on

第(5)題 配置啟動掛載服務（三種掛載模式：啟動掛載，自動掛載，手動掛載之一）

將/root/cdrom.iso掛載到/opt/data下，并設置為開機自動掛載

實現(xiàn)步驟：

所謂啟動掛載，就是將某個設備在啟動的時候自動掛載到指定的文件夾下。一般是在/etc/fstab文件中進行掛載配置即可。做題時，可以在windows 下利用ultraISO 軟件制作一個小iso 文件，復制到linux 下。然后測試。

#vim /etc/fstab

loop //打開啟動掛載的配置文件 //注意/root/cdrom.iso /opt/data iso9660 defaults,loop 0 0

#moutn -a //重新fstab 文件，否則只能重啟后才能查看到掛載信息 第(6)題 配置基本web 服務器

配置web 服務，使之能被http://station.domain40.example.com訪問（即通過本地

主機名訪問）

實現(xiàn)步驟：

1) 檢查是否已經(jīng)安裝了httpd 服務

#rpm -qa|grep httpd

出現(xiàn)上面的內(nèi)容表示已經(jīng)安裝。

2) 如果沒有安裝，則執(zhí)行如下命令安裝

#yum -y install httpd

3) 啟動httpd 服務

#service httpd start

4) 設置使的httpd 服務開機自動運行

#chkconfig httpd on

因為station.domain40.example.com 代表本地的主機名，所以如果設置了本地主機名，默認可以直接訪問了，因為服務器端（考試服務器）已經(jīng)幫你做好了DNS 解析。

5) 確保防火墻已經(jīng)開啟對80號端口開放

6) #iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT

#iptables --list INPUT -n|grep 80

輸出如下的結(jié)果，表示基于TCP 協(xié)議的80號端口，到本地的httpd 服務是完全開放的

target prot opt source destination

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80

7) 如果防火墻沒有開放80號端口，則需要在防火墻添加對80號端口的開放 首先，如果自己不知道httpd 服務的端口號，可以用如下命令查找：

#cat /etc/services |grep ^http|grep " 80" //80前面有個空格

從如下結(jié)果可以看出http 的端口和協(xié)議。

#service iptables save //保存

#chkconfig iptables on //服務隨機器啟動

第(7)題 配置虛擬主機

實現(xiàn)虛擬主機。通過主機名http://www.domain40.example.com能訪問到

/www/virtual目錄下的頁面，頁面從http://ip/dir/example.html（考試提供，做題時候自行創(chuàng)建一個

index.html

的文檔即可）下載或者自行創(chuàng)建。并保證，http://station.domain40.example.com同樣能被訪問到之前（上一題的內(nèi)容，即默認網(wǎng)站的訪問）的內(nèi)容。

實現(xiàn)步驟：

根據(jù)本題目的意思，實際上是要建立兩個基于虛擬主機的網(wǎng)站；一個是以域名

station.domain40.example.com 進行訪問的虛擬主機，另一個是以域名www.domain40.example.com 進行訪問的虛擬主機，這里的域名在服務器已經(jīng)被建立好，我們無須考慮。具體如下：

1) 檢查確保已經(jīng)安裝了httpd 服務，如果沒安裝，就按照httpd 服務，并確保啟隨

機器啟動。

#rpm -qa |grep httpd

…如果沒有查到結(jié)果，則

#yum -y install httpd

配置服務，使得其隨機器啟動。

#chkconfig httpd on

2) 開啟虛擬主機功能

所謂虛擬主機，就是把一臺物理主機，當作多個主機使用。和虛擬機類似。服務器中的虛擬主機，就是讓只有一個IP 地址的服務器，可以提供多個相對獨立的網(wǎng)站服務功能。網(wǎng)站的虛擬主機技術是通過IP 地址（如果有多個）、端口號（一般內(nèi)外使用80以外的，外網(wǎng)均使用80）和主機名（常說的域名）的組合實現(xiàn)虛擬主機。也就是它們?nèi)齻€只要有一個不同，就可以構成一個虛擬主機。更一般的情況是利用DNS 技術，給同一個IP 地址分配很多個域名，通過不同的域名區(qū)分不同的虛擬主機。

具體做法是，打開/etc/httpd/conf/httpd.conf文件，然后在最后輸入如下內(nèi)容(//及本行后的不輸人！) ：

NameVirtualHost *：80

#=====虛擬主機之一

//指定虛擬主機的端口號 //網(wǎng)站在服務器上的文件夾位置

//網(wǎng)站的主機名（域名） Documentroot /www/virtual

#=========虛擬主機之二

//端口號 //網(wǎng)站在服務器上的文件夾位置

//網(wǎng)站的主機名 Documentroot /var/www/html //虛擬主機開啟標志 Servername www.domain40.exaple.com Servername station.domain40.exaple.com

輸入完成后，保存退出。其實，上面的內(nèi)容輸入，可以在原文件末尾看到類似的內(nèi)容，去掉左側(cè)注釋，并稍做修改，然后復制另一段并修改即可。

3) 創(chuàng)建第一個虛擬主機的文件夾

#mkdir -p /www/virtual

4) 下載網(wǎng)站文件 #cd /www/virtual

#wget //IP 是考試時候的真實IP 這里，可以利用vi 命令創(chuàng)建一個文件，隨便輸入內(nèi)容。

5) 修改剛才創(chuàng)建網(wǎng)站文件的安全上下文，否則訪問將被拒絕

#chcon --reference /var/www /www -R

設置 //這里是參考/var/www的

特別說明，在/etc/selinux/targeted/contexts/files/file_contexts中，存放著系統(tǒng)中所有目錄的安全上下文。注意，如果chcon 命令不存在，請自行安裝。(rpm -qf `which chcon`)可以獲得包名

6) 重新啟動服務器

#service httpd restart

另外，要確保防火墻對80號端口開放，否則可能依然無法訪問。

虛擬機下：成功

配置DNS ：

1) 安裝DNS 服務器 #rpm -qa |grep bind

如果沒有則下載安裝DNS

Wget ftp://10.8.31.246/Packages/bind-9.7.0-5.P2.el6.i686.rpm

# rpm -ivh bind-9.7.0-5.P2.el6.i686.rpm

2) 配置DNS 客戶端

# vim /etc/resolv.conf

3) 配置DNS 服務端

a) #vim /etc/named.conf

b) # vim named.rfc1912.zones

添加如圖所示：

反解析：

c) # cd /var/named/

d) Ls

e) #cp named.localhost syd168.com.zone f) # vim syd168.com.zone

g) #vim

/var/named/syd168.com.arpa