RHCE22个考点
=======================
1.配置selinux
考点:rhcsa考过的不重复考试时也就是要求会操作
-----操作步骤如下------
*先setenforce1再vim/etc/sysconfig/selinux下enforcing
补充说明:
permissive就是Selinux中有效,而且就算你违背了策略的话它让你继续操作,并且把你的违背的内容记录出来
enforcing就是违背了策略,你就难以继续操作下去
disable取消、关闭selinux
=========================
2.添加服务ssh
考点:1.systemctlenablefirewalld2.关键一步firewall-cmd--permanent--add-serivce=ssh3.firewall-cmdreload
考试时都会要求设定某个Ip容许ssh访问。
----------操作步骤如下---------
systemctlenablefirewalld
firewall-cmd--permanent--add-service=ssh
firewall-cmd--permanent-add-rich-rule'rulefamily="ipv4'sourceaddress="IP"servicename=sshaccept'
==================
3.自定义用户环境
考点:vim/etc/bashrcaliasqstat='’考试没有变动,熟练就行。
(知识点:aliasqstat='/bin/ps-Aopid,tt,user,fname,rsz'bash)
/etc/profile:此文件为系统的每位用户设置环境信息,当用户第一次登陆时,该文件被执行.并从/etc/profile.d目录的配置文件中搜集shell的设置.
/etc/bashrc:为每一个运行bashshell的用户执行此文件.当bashshell被打开时,该文件被读取.
~/.bash_profile:每位用户都可使用该文件输入专用于自己使用的shell信息,当用户登入时,该文件仅仅执行一次!默认情况下,他设置一些环境变量,执行用户的.bashrc文件.
~/.bashrc:该文件包含专用于你的bashshell的bash信息,当登陆时以及每次打开新的shell时,该文件被读取.(每位用户都有一个.bashrc文件,在用户目录下)
~/.bash_logout:当每次退出系统(退出bashshell)时,执行该文件.
~/.bash_profile是交互式、login形式步入bash运行的;
~/.bashrc是交互式non-login形式步入bash运行的;
====================
4.配置端口转发
考点:熟记firewall-cmd相关命令
-------操作步骤如下-----------
firewall-cmd--permanent--add-rich-rule'rulefamily="ipv4"sourceaddress="172.24.8.0/24"forward-portport="5423"protocol="tcp"to-port="80"'
firewall-cmd--reload
===================
5.配置链路聚合
考点:考试熟记下边的命令,注意考试时两台机器给的Ip不一样。
----------操作步骤如下-------------
nmcliconnectionaddcon-nameteam0ifnameteam0typeteamconfig'{"runner":{"name":"activebackup"}}'
nmcliconnectionmodifyteam0ipv4.addresses"172.16.3.40/24"connection.autoconnectyesipv4.methodmanual
nmcliconnectionaddcon-nameteam0-slave1ifnameeth1typeteam-slavemasterteam0
nmcliconnectionaddcon-nameteam0-slave2ifnameeth2typeteam-slavemasterteam0
nmcliconnectionupteam0
teamdctlteam0state
====================
6.配置IPV6
考点:会用nmcli配置Ipv6,宋体字部分手工设置要加上。
----------操作步骤如下-----------
nmcliconnectionmodifyeth0ipv6.addressses"2003:ac18::305/64"ipv6.methodmanualconnection.autoconnectyes
nmcliconnectionreload
nmcliconnectiondowneth0
nmcliconnectionupeth0
=====================
7.配置本地电邮服务
考点:postconf-e设置内容跟随要求来,
1.本地发送的任何电邮手动路由到某个域名(看题目要求)
2.从本地系统上发送的短信都显示来自于固定某个地址(看题目要求)
3.可能会添加一条要求设置信任网路:mynetworks=
-----------操作步骤如下----------
考试熟记命令
只在本地还回插口接受短信:postconf-einet_interfaces=loopback-only也就是说不接受外部发送的电邮
把接受到的任何短信都当成外部电邮postconf-emydestindation=
严禁本地分发电邮到本地用户邮箱postconf-elocal_transport=error:err
设定中心短信服务器postconf-erelayhost=[]
设定发信人的域postconf-emyorigin=
*postconf-emynetworks=172.0.0.0/8[;:1]/128信任网路*
systemctlenablepostfix
systemctlrestartpostfix
echo"hello"|mail-stestmaildave
验证:curl
====================
8.SMB共享目录
考点:1.firewall添加samba服务
2/etc/samba/smb.conf配置一般设置固定顾客端能否访问,浏览和写权限(hostsallow,browseable,writable);
3.安全上下文semanagefcontext“samba_share_t”
4.设置samba账号smbpasswd-a
5.顾客端验证sambaclient-L//ip-U
-----------操作步骤如下------------
yuminstallsambasamb-client-y--nogpgcheck
systemctlenbalesmb.servicenmb.service
设定防火墙
firewall-cmd--permanent--add-service=samba
firewall-cmd--reload
配置文件
[global]
workgroup=STAFF
workgroup=
说明:设定SambaServer所要加入的工作组或则域。(下边会集中描述)
[common]
path=/common
hostsallow=172.24.8.容许指定域的顾客端可以使用
browseable=yes容许被浏览
创建目录设定安全上下文(所有关于安全上下文参考笔记RHCSA2笔记7.27.3)
mkdir
semanagefcontext-a-t"samba_share_t"'/common(/.*)?'
restore-Rv/common/
smbpasswd-aandy
systemctlrestartsmbnmb
验证系统2上
yuminstallsamba-cilent-y--nogpgcheck
smbclient-L//172.24.8.11/-Uandy
--------------
补充相关配置说明
serverstring=SambaServerVersion%v
说明:设定SambaServer的注释,可以是任何字符串,也可以不填。宏%v表示显示Samba的版本号。
netbiosname=smbserver
说明:设置SambaServer的NetBIOS名称。倘若不填,则默认会使用该服务器的DNS名称的第一部份。netbiosname和workgroup名子不要设置成一样了。
interfaces=loeth0192.168.12.2/24192.168.13.2/24
说明:设置SambaServer窃听什么网卡,可以写网卡名,也可以写该网卡的IP地址。
hostsallow=127.192.168.1.192.168.10.1
说明:表示准许联接到SambaServer的顾客端,多个参数以空格隔开。可以用一个IP表示,也可以用一个网关表示。hostsdeny与hostsallow正好相反。
比如:hostsallow=172.17.2.EXCEPT172.17.2.50
表示允许来自172.17.2.*.*的主机联接,但排除172.17.2.50
hostsallow=172.17.2.0/255.255.0.0
表示允许来自172.17.2.0/255.255.0.0子网中的所有主机联接
[共享名]
comment=任意字符串
说明:comment是对该共享的描述,可以是任意字符串。
path=共享目录路径
说明:path拿来指定共享目录的路径。可以用%u、%m这样的宏来取代路径里的unix用户和顾客机的Netbios名,用宏表示主要用于[homes]共享域。诸如:假如我们不准备用home段做为顾客的共享,而是在/home/share/下为每位Linux用户以他的用户名建个目录,作为他的共享目录,这样path就可以写成:path=/home/share/%u;。用户在联接到这共享时具体的路径会被他的用户名取代,要注意这个用户名路径一定要存在,否则嵌入式linux驱动程序设计从入门到精通,顾客机在访问时会找不到网路路径。同样,假如我们不是以用户来界定目录,而是以顾客机来界定目录,为网路上每台可以访问samba的机器都各自建个以它的netbios名的路径,作为不同机器的共享资源,就可以这样写:path=/home/share/%m。
browseable=yes/no
说明:browseable拿来指定该共享是否可以浏览。
writable=yes/no
说明:writable拿来指定该共享路径是否可写。
available=yes/no
说明:available拿来指定该共享资源是否可用。
adminusers=该共享的管理者
说明:adminusers拿来指定该共享的管理员(对该共享具有完全控制权限)。在samba3.0中,假如用户验证方法设置成“security=share”时,此项无效。
比如:adminusers=bobyuan,jane(多个用户中间用冒号隔开)。
validusers=准许访问该共享的用户
说明:validusers拿来指定准许访问该共享资源的用户。
比如:validusers=bobyuan,@bob,@tech(多个用户或则组中间用冒号隔开,假如要加入一个组就用“@+组名”表示。)
invalidusers=严禁访问该共享的用户
说明:invalidusers拿来指定不准许访问该共享资源的用户。
比如:invalidusers=root,@bob(多个用户或则组中间用冒号隔开。)
writelist=容许写入该共享的用户
说明:writelist拿来指定可以在该共享下写入文件的用户。
比如:writelist=bobyuan,@bob
public=yes/no
说明:public拿来指定该共享是否容许guest帐户访问。
guestok=yes/no
说明:意义同“public”。
==============================
9.配置多用户SMB挂载
为什么samb中配置指定/devops/不容许有写权限(writable),而须要setfacl来设置用户对指定目录有读写rwx权限??
考点:
1./etc/samba/smb.conf配置一般设置固定顾客端能否访问,浏览和写权限(hostsallow,browseable,writable);
2..安全上下文semanagefcontext“samba_share_t”
3..设置samba账号smbpasswd-a
4..顾客端验证sambaclient-L//ip-U
-------操作步骤如下-----------
vim/etc/samba/smb.conf
[devops]
path=/devops
hostsallow=172.24.8.容许指定域的顾客端可以使用
browseable=yes容许被浏览
writable=no不容许写权限
writelist=akirawritelist拿来指定可以在该共享下写入文件的用户
设定目录
mkdir/devops
semanagefcontext-a-t"samba_share_t"'/devops(/.*)?'
restorecon-Rv/devops
setfacl-mu:akira:rwx/devops/设置akira对指定目录下的文件/devops/有读写权限
构建samba帐户
smbpasswd-asilene
密码:redhat
smbpasswd-aakira
密码redhat
重启服务systemctlrestartsmbnmb
系统2
安装软件yuminstallcifs-utils-y--nogpgcheck
构建挂载点mkdir/mnt/dev
查看共享smbclient-L//172.24.8.11/-Usilene
挂载vim/etc/fstab
//172.24.8.11/devops/mnt/devcifsdefaults,multiuser,username=silene,password=redhat,sec=ntlmssp00
mount-a
df-h
验证su-silene
cd/mnt/dev
cifscredsadd172.24.8.11
touchtestfile结果被否
su-akir
cd/mnt/dev
cifscredsadd172.24.8.11
touchtestfile
===============================
10.配置NFS服务
考点:1.防火墙firewall添加服务nfs,rpc-bind,mountd,nfs服务依赖这两个rpc-bind,mountd.
2安全上下文semanagepublic_content_t
3.在/etc/exports下配置指定系统1共享目录
4在/etc/sysconfig/nfs下更改nfs启动参数linux rpc服务,并重启服务restartnfs-servernfs-secure
注意:nfs的主要配置文件是/etc/exports,辅助配置文件是/etc/sysconfig/nfs
简单说一下rpc,rpc服务的主要功能就是指定每位nfs功能所对应的端标语,并通知给顾客端,让顾客端联接正确的端标语,由于nfs启动时端标语不固定,nfs服务启动时会随机选择一个可用的端口linux rpc服务,之后向rpc服务报告,说明nfs服务如今所占用的端口linux系统安装,所以,rpc必须在nfs启动前启动,没有rpc,nfs服务难以正常使用
------操作步骤如下----------
yuminstallnfs-utils-y--nogpgcheck
服务开机启动systemctlenablenfs-servernfs-sercure-server
设定防火墙规则
firewall-cmd--permanent--add-service=nfs
firewall-cmd--permanent--add-service=rpc-bind
firewall-cmd--permanent--add-service=mountd
firewall-cmd--reload
设定目录及安全上下文
mkdir-p/public/protected/project
chownandres/protected/project
semanagefcontext-a-t"public_content_t"'/protected(/.*)?'
semanagefcontext-a-t"public_content_rw_t"'/protected/project(/.*)?'
restore-Rv/protected/
vim/etc/exports
/public*.(ro,sec=sys,sync)
/protected*.(rw,sec=krb5p,sync)
ro:该主机对该共享目录有只读权限
rw:该主机对该共享目录有读写权限
sync:资料同步写入到显存与硬碟中
vim/etc/sysconfig/nfs
RPCNFSDARGS="-v4.2"
systemctlrestartnfs-server.servicenfs-secure-server.service
刷新并导入资源
exportfs-ra
exportfs
===========================
11.挂载1个NFS共享
考点:
1./etcfstab的共享目录挂载
2.验证挂载成功
3.顾客端:在挂载时申明版本:v4.2
---------操作步骤如下-------------
系统2上
mkdir/mnt/nfsmount/mnt/nfssecure
下载用于认证的keytab,并将秘钥存入/etc/krb5.keytab
wget-o/etc/krb5.keytab
vim/etc/fstab
system1:/public/mnt/nfsmountnfsdefaults,sec=sys00
system1:/protected/mnt/nfssecurenfsdefaults,sec=krb5p,v4.200
测试:
mount-a
df-h
su-andres
kinit
cd/mnt/nfssecure/project/
touchtestfile
ls-l
====================
12.实习1个web服务
考点:
1.apache的默认目录/var/www/html相关配置
2.wget-O/var/www/html/index.html
3.下的配置要求,指域名下的顾客端可访问web,拒绝某域的访问Requirenothosts
-------操作步骤如下-----------
yuminstallhttpd-y--nogpgcheck