EXAM6
?
執行lab-resetvm還原虛擬機,以下所有操作均在虛擬機上完成:
1> 編寫防火墻腳本,并實現開機自動生效,要求如下:
1)允許來自回環接口的所有封包
2)允許所有ESTABLISHED,RELATED封包
3)拒絕所有非192.168.0.0/24網絡的ping
4) 只允許192.168.0.0/24網絡訪問sshd、httpd、vsftpd服務
5)拒絕所有未允許的封包
# vim test.sh
#!/bin/bash
modprobe nf_conntrack_ftp
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -p icmp -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -s 192.168.0.0/24 -p tcp –-dport 21 -j ACCEPT
iptables -A INPUT -m state --state NEW -s 192.168.0.0/24 -p tcp –-dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW -s 192.168.0.0/24 -p tcp –-dport 80 -j ACCEPT
iptables -A INPUT -j REJECT
chmod +x test.sh
2> 配置rsyslog,將serverX上所有*.info日志消息以UDP發送到desktopX上,確認desktopX可以接收。
[root@desktop11~]# vim /etc/rsyslog.conf
#ModLoad imudp.so
#UDPServerRun 514.............把這兩行的注釋符【#】去掉,意為接受UDP 包
[root@desktop11~]#/etc/init.d rsyslog restart
[root@server11~]# vim /etcrsyslog.conf
在local7.* /var/log/boot.log 行下添加以下行
*.info @192.168.0.11
[root@server11~]# /etc/init.d/rsyslog restart
[root@server11~]# logger “hello”
[root@desktop11~]# tail /var/log/message
?
3. 配置iscsi,目標ip:192.168.0.254 目標:iqn.2010-09.com.example:rdisks.serverX, 分區格式化并永久掛載到/iscsi。
# iscsiadm -m discovery -t st -p 192.168.0.254
# iscsiadm -m node -T iqn.2010-09.com.example:rdisks.server11 -p 192.168.0.254 -l
# ll /dev/sda.................................此時會發現新設備 /dev/sda
# fdisk /dev/sda
此時,可以把該分區當作本地分區使用
# vim /etc/fstab............................使用UUID而非 /dev/sda1
UUID=“...” /iscsi ext4 _netdev 0 0
?
若創建該分區為加密分區,則使用/dev/mapper/iscsi,因UUID會發生變化
?
若取消該分區使用:
# iscsiadm -m node -T iqn.2010-09.com.example:rdisks.server11 -p 192.168.0.254 -u
# iscsiadm -m node -T iqn.2010-09.com.example:rdisks.server11 -p 192.168.0.254 -o delete
# vim /etc/fstab........去掉之前添加的內容即可
?
服務端創建網絡硬盤:
# yum install -y scsi*
# vim /etc/tgt/targets.conf
<target iqn.2008-09.com.example:server.target1>
backing-store /dev/vda3
</target>
?
?
4. 配置https,自簽名證書,要求如下:
密鑰為1024位,無需密鑰短語
國家/地區代碼:CN
州/省/自治區/直轄市: Shaanxi
所在地:Xi'an
單位:Westos
通用名稱:serverX.example.com
# yum install -y crypto-utils mod_ssl
# genkey --days 365 server11.example.com
按提示添加題中內容
# openssl x509 -text < /etc/pki/tls/certs/server11.example.com.crt ...............查看證書
# /etc/init.d/httpd restart
打開瀏覽器,輸入網址,https://192.168.0.111 查看驗證信息
?
?
5. 部署兩個虛擬主機,要求如下:
1)虛擬主機1:http://serverX.example.com, 發布目錄:/var/www/virtual
2)虛擬主機2:http://wwwX.example.com,發布目錄:/www/virtual
3)其中/www/virtual/private是受保護區域,需要用戶驗證,用戶名:wxh 密碼:westos
4)下載CGI文件ftp://instructor/pub/gls/special.cgi,并將其安裝為http://wwwX.example.com/cgi-bin/special.cgi
?
# mkdir /var/www/virtual -p
# echo this is server11 > /var/www/virtual/index.html
# mkdir /www/virtual -p
# echo this is www11 > /www/virtual/index.html
# vim /etc/httpd/conf/httpd.conf
NameVirtualHost *:80 .........取消改行前面的注釋【#】
<VirtualHost *:80>
DocumentRoot /var/www/virtual
ServerName server11.example.com
</VirtualHost>
<VirtualHost *:80>
DocumentRoot /www/virtual
ServerName www11.example.com
</VirtualHost>
# /etc/init.d/httpd restart
此時,在瀏覽器地址欄輸入 http://server11.example.com 看到【this is server11】
在瀏覽器地址欄輸入 http://www11.example.com 看到【this is www11】
3)
# useradd wxh
# useradd leo
# htpasswd -cm /etc/httpd/.htpasswd wxh...........將該用戶密碼保存該文件下
# htpasswd -m /etc/httpd/.htpasswd leo...............第二次時【-m】
# mkdir -p /www/virtual/private
# echo wo ai ni > /www/virtual/private/index.html
# vim /etc/httpd/conf/httpd.conf
NameVirtualHost *:80 .........取消改行前面的注釋【#】
<VirtualHost *:80>
DocumentRoot /www/virtual
ServerName www11.example.com
<directory /www/virtual/private>.........................指定保密的目錄
authname “secret page”
authtype basic
authuserfile /etc/httpd/.htpasswd.................指定密碼
require user wxh 【若允許所有用戶,則為 valid-user】
</directory>
</VirtualHost>
# /etc/init.d/httpd restart
此時,打開瀏覽器輸入 http://www11.example.com
提示輸入用戶和密碼即可
?
4)
# wget ftp://192.168.0.254/pub/gls/special.cgi -P /www/cgi-bin
# chmod +x /www/cgi-bin/special.cgi
# chcon --reference=/var/www/cgi-bin /www/cgi-bin -R
【注意:默認情況下: SELinux 限制 CGI 腳本工作,只有以下目錄默認是允許執行 CGI 腳本的 : /var/www/cgi-bin; /var/www/*/cgi-bin/; /var/www/html/*/cgi-bin/
其他位置需要手動添加,并標記為類型: httpd_sys_script_exec_t 】
# vim /etc/httpd/conf/httpd.conf
NameVirtualHost *:80 .........取消改行前面的注釋【#】
<VirtualHost *:80>
DocumentRoot /www/virtual
ServerName www11.example.com
ScriptsAlias /cgi-bin/ “/www/cgi-bin/”
</VirtualHost>
# /etc/init.d/httpd restart
此時打開瀏覽器,地址欄輸入 http://www11.example.com/cgi-bin/special.cgi
輸出為 Hello World
?
?
注:3)為Apache 無格式文件用戶身份驗證
以下為Apache LDAP 用戶身份驗證
1. 配置客戶端 LDAP 身份驗證,將 instructor.example.com 用作 LDAP 服務器, dc=example,dc=com
并使用在 ftp://instructor.example.com/pub/example-ca.crt 上的證書 , 選擇 LDAP 密碼。
?
2. 下載 LDAP 證書 ftp://instructor.example.com/pub/example-ca.crt ,并將其復制到 /etc/httpd
[root@sevrerX ~]# wget ftp://instructor.example.com/pub/example-ca.crt -P /etc/httpd
3.圖形下配置ldap
4. 假設之前定義 VirtualHost 塊,請將諸如以下內容添加至 VirtualHost 塊:
# vim /etc/httpd.conf/httpd.conf
NameVirtualHost *:80 .........取消改行前面的注釋【#】
LDAPTrustedGlobalCert CA_BASE64 /etc/httpd/example-ca.crt
<VirtualHost *:80>
DocumentRoot /www/virtual
ServerName www11.example.com
<Directory /www11/virtual> 。。。。該處指定目錄為DocumentRoot指定目錄或其子目錄
AuthName “secret page”
AuthType basic
AuthBasicProvider ldap
AuthLDAPUrl “ldap://instructor.example.com/dc=example,dc=com” TLS
Require valid-user
</Directory>
</VirtualHost>
5. 重啟 apache 服務,并使用 Web 瀏覽器測試訪問,以用戶 ldapuser1 和密碼 password 登錄。
轉載于:https://blog.51cto.com/3404903/660815
總結
- 上一篇: silverlight 学习笔记 (五)
- 下一篇: 简单的JNI调用