2022年全国职业技能大赛 网络系统管理赛项-模块C-Linux部署

发布时间:2024年01月03日

基本信息

FQDN

hostnamectl set-hostname ispsrv    //此方法把hostnmae也修改了,适合hostname跟long hostname一样时使用   不过不看,为了速度可以使用这个方法
vim /etc/hosts
172.16.100.201 Server01.sdskills.net Server01
Vim /etc/hostname
Server01
Systemctl restart systemd-hostnamed

欢迎信息

vim /login.sh
    #!/bin/bash
    printf "****************************************\n"
    printf "%-5s ChinaSkills 2022 - CSK\n"
    printf "%-9s Module C Linux\n\n"
    printf "%-11s>>"`hostname -s`"<<\n"
    echo ">>"`cat /etc/centos-release`"<<"
    echo ">>" `date` "<<"
    printf "****************************************\n"

配置登录输出该sh

vim /root/.bash_profile
    bash /login.sh
//关闭本地控制台日志提示
touch ~/.hushlogin    //touch 一个空的hushlogin这样就不会输出
vim /etc/ssh/sshd_config
    PrintLastLog no    //关闭ssh登录日志
systemctl restart sshd

IspSrv

DNS

配置为 DNS 根域服务器

其他未知域名解析,统一解析为该本机 IP

创建正向区域“chinaskills.cn”

类型为 Slave

主服务器为“AppSrv”

启用 chroot 功能,限制 bind9 在/var/named/chroot/下运行;隐藏 bind 版本号,版本显示为“unknow”。

cd /etc/bind/
vim named.conf.default-zones   //进入默认区域修改根区域信息
	zone "." {
        type master;
        file "/etc/bind/root.zone";
	};
vim named.conf.local   //添加正向区域文件
	zone "chinaskills.cn" {
        type slave;
        file "/etc/bind/db.test.internet.com";
    	masterfile-format text;   //修改格式,不然传过来乱码
        masters { 81.6.63.254;};
	};          
cp -a db.local root.zone    //创建根区域
vim root.zone
    ;
	; BIND data file for local loopback interface
	;
	$TTL    604800
	@       IN      SOA     localhost. root.localhost. (
                              2         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
	;
	@       IN      NS      localhost.
	*       IN      A       81.6.63.100
添加version “[unknow]”
vim named.conf.options
    options {
    		version "[unknow]";    //隐藏bind版本
开启权限
vim named.conf.options
    dnssec-validation no;    //不验证
	dnssec-enable no;
	listen-on { any; };   
	allow-query { any; };  //允许所有主机访问
启用chroot功能

改变程序执行时所参考的根目录位置

vim /etc/default/bind9
    options="-u bind -t /var/named/chroot"
systemctl daemon-reload    //守护进程重新加载
启用chroot
cd /
mkdir -p /var/named/chroot/{etc,dev,run/named,/var/cache/bind} //创建运行目录
mknod /var/named/chroot/dev/null c 1 3 
mknod /var/named/chroot/dev/random c 1 8
mknod /var/named/chroot/dev/urandom c 1 9 
chmod 660 /var/named/chroot/dev/{null,random,urandom} //修改权限
cp /etc/bind /var/named/chroot/etc -r //将bind移动到chroot目录中
ln -s /var/named/chroot/etc/bind /etc/bind	//创建软连接
chown bind:bind /var/named/chroot/etc/bind/rndc.key
chown bind:bind /var/named/chroot/run/named
chmod 775 /var/named/chroot/{var/cache/bind,/run/named}
chgrp bind /var/named/chroot/{var/cache/bind,/run/named} //更改所有权
mkdir -p /var/named/chroot/usr/share/dns		 //创建目录
cp /usr/share/dns/* /var/named/chroot/usr/share/dns/ 		//复制文件
告诉rsyslog正确的监听位置绑定日志
echo "\%AddUnixListenSocket /var/named/chroot/dev/log" > /etc/rsyslog.d/bind-chroot.conf
修改/var/named/chroot权限,不然无法访问
chmod -R 777 /var/named/chroot
systemctl restart rsyslog    //重启日志服务器
systemctl restart bind9    //重启NDS服务器
路径已经改了修改配置文件需要去chroot目录下修改
rm /etc/bind -rf
vim /var/named/chroot/etc/bind/named.conf.local
ln -s /var/named/chroot/etc/bind /etc/bind
systemctl restart bind9
测试
root@ispsvr:/etc/bind# nslookup -q=txt -class=CHAOS version.bind. localhost
Server:		localhost
Address:	127.0.0.1#53

version.bind	text = "[unknow]"

WEB服务

安装 nginx 软件包

配置文件名为 ispweb.conf,放置在/etc/nginx/conf.d/目录下

网站根目录为/mut/crypt(目录不存在需创建)

启用 FastCGI 功能,让 nginx 能够解析 php 请求

ndex.php 内容使用 Welcome to 2022 Computer Network Application contest!

apt -y install nginx php php-fpm
vim /etc/nginx/conf.d/ispweb.conf
    server {
        listen 80 ;
        root /mut/crypt;
        index index.php;
        location ~ \.php$ {    
                include snippets/fastcgi-php.conf;
                fastcgi_pass unix:/run/php/php7.3-fpm.sock;   //根据php版本来
        }
	}
vim /etc/nginx/nginx.conf
    # include /etc/nginx/sites-enabled/*;    //注释62行
mkdir /mut/crypt -p
echo "Welcome to 2022 Computer Network Application contest!">/mut/crypt/index.php
systemctl restart nginx   //重启nginx
vim /etc/hosts
    81.6.63.100 ispweb.chinaskills.cn

SDN

在 IspSrv 上导入 OpenDayLight 软件包

启动 OpenDayLight 的 karaf 程序,并安装如下组件

feature:install odl-restconf

feature:install odl-l2switch-switch-ui

feature:install odl-mdsal-apidocs

feature:install odl-dluxapps-applications

使用 Mininet 和 OpenVswitch 构建拓扑,连接 ODL 的 6653 端口如下 拓扑结构

在浏览器上可以访问 ODL 管理页面查看网元拓扑结构

通过 OVS 给 S2 下发流表,使得 H2 与 H1、H3 无法互通

H1 启动 HTTP-Server 功能,WEB 端口为 8080,H3 作为 HTTP-Client, 获取 H1 的 html 网页配置文件。

apt -y install openjdk-8-jdk mininet    //安装java环境和进程虚拟化网络仿真工具
上传相关安装包
unzip -d / distribution-karaf-0.6.0-Carbon.zip   //解压在根目录
cd /distribution-karaf-0.6.0-Carbon/bin/
./start   //开启karaf程序
./client   
./karaf
feature:install odl-restconf odl-l2switch-switch-ui odl-mdsal-apidocs odl-dluxapps-applications     //安装组件

    
    
//安装完之后可以在页面上访问8080

http://ip:8080/index.html
创建拓扑
logout   //退出

mn --controller=remote,ip=81.6.63.100,port=6653 --topo=linear,31 --switch default,protocols=OpenFlow10    //mn命令要安装了mininet才有

mininet> pingall
*** Ping: testing ping reachability
h1 -> h2 h3 
h2 -> h1 h3 
h3 -> h1 h2 
*** Results: 0% dropped (6/6 received)
mininet> sh ovs-ofctl add-flow s2 in_port=1,actions=drop
mininet> pingall
*** Ping: testing ping reachability
h1 -> X h3 
h2 -> X X 
h3 -> h1 X 
*** Results: 66% dropped (2/6 received)
启动http-server功能
mininet> h1 python -m SimpleHTTPServer 8080 &
mininet> sh apt install wget -y   //安装wget
mininet> h3 wget 10.0.0.1:8080    //h3获取H1的html网页配置文件
--2022-07-20 12:52:56--  http://10.0.0.1:8080/
Connecting to 10.0.0.1:8080... connected.
HTTP request sent, awaiting response... 200 OK
Length: 1052 (1.0K) [text/html]
Saving to: ‘index.html’

index.html          100%[===================>]   1.03K  --.-KB/s    in 0s      

2022-07-20 12:52:56 (123 MB/s) - ‘index.html’ saved [1052/1052]

RouterSrv

DHCP relay

安装 DHCP 中继

允许客户端通过中继服务获取网络地址

yum -y install dhcp   //安装dhcp
cp /lib/systemd/system/dhcrelay.server  /etc/systemd/system   //复制dhcp中继文件
vim /etc/systemd/system/dhcrelay.service   //配置dhcp中继
    ExecStart=/usr/sbin/dhcrelay -d --no-pid -i ens32 -i ens33 192.168.100.100
//ens32是连接服务器的网口,ens33是下联网口  192.168.100.100 dhcp服务器ip
vim /etc/sysctl.conf
    net.ipv4.ip_forward=1    //开启IPv4转发功能
sysctl -p   //立即生效
dhcrelay 192.168.100.100    //中继指向dhcp服务器
systemctl restart dhcrelay  //重启dhcp中继服务
[root@RouterSrv ~]# netstat -anlpu |grep 67
udp        0      0 0.0.0.0:67              0.0.0.0:*                           14588/dhcrelay      
udp        0      0 0.0.0.0:67              0.0.0.0:*                           14566/dhcrelay     

SSH

工作端口为 2021

只允许用户 user01,登录到 routersrv。其他用户(包括 root)不 能登录

通过 ssh 尝试登录到 RouterSrv,一分钟内最多尝试登录的次数为 3 次,超过后禁止该客户端网络地址访问 ssh 服务

记录用户登录的日志到/var/log/ssh.log,日志内容要包含:源地址, 目标地址,协议,源端口,目标端口

vim /etc/ssh/sshd_config
    port 2021
    AllowUsers user01   //只允许user01用户登录
    loginGraceTime  1m   //限定用户认证时间为1min
    SyslogFacility local0    //配置日志
编辑日志
vim /etc/rsyslog.conf   //编辑日志服务器
    local0.*	/var/log/sshd.log   //指定日志路径
systemctl restart rsyslog   //重启日志服务器
systemctl restart sshd    //重启sshd
创建用户
useradd user01   //创建user01用户
passwd user01   //修改user01密码
cd /home/user01
vim .bash_profile
    bash /login.sh    //调用登录脚本。不然登录后没有欢迎信息
安全措施(可以不用)
vim /etc/pam.d/sshd  //最下面添加
    auth required pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=60

	//even_deny_root   也限制root用户
    //deny 设置普通用户和root用户连接错误登录最大次数,超过就会锁定该用户
    //unlock_time 设置普通用户锁定后,多少时间后解锁,单位s
    //root_unlock_time 设置root用户锁定后,多少时间后解锁,单位s

//解锁方法
pam_tally2 --user 用户名 --reset 
pam_tally2 -u root -r
超时处理(可以不用)
vim /root/cs.sh
#!/bin/sh
 while true
 do
 SCANIP=`grep "Failed" /var/log/sshd.log | awk '{print $(NF-3)}' | sort | uniq -c | awk '
{print $1"="$2;}'`
 for i in $SCANIP
 do
 NUMBER=`echo $i | awk -F= '{print $1}'`
 SCANIP=`echo $i | awk -F= '{print $2}'`
 echo "$NUMBER($SCANIP)"
 if [ $NUMBER -gt 2 ] && [ -z "`/sbin/iptables -vnL INPUT | grep $SCANIP`" ]
 then
 /sbin/iptables -I INPUT -s $SCANIP -m state --state NEW,RELATED,ESTABLISHED -j DROP
 echo "`date` $SCANIP($NUMBER)" >> /var/log/scanip.log
 fi
 done
 sleep 2s
 done

//编写超时处理脚本,超时后执行iptables命令,丢弃数据包
./cs.sh    //启用脚本文件
vim /etc/crontab
    * * * * * /bin/sh -x /root/cs.sh   //开启定时任务
取消shell脚本
ps -ef |grep cs.sh   //根据脚本名称找到脚本执行的进程
kill -9 24853   //根据进程ID干掉进程

//脚本是根据/var/log/sshd.log   来统计进来的流量的,可以清掉log来重置cs.sh计算

IPTABLES

添加必要的网络地址转换规则,使外部客户端能够访问到内部服务器 上的 dns、mail、web 和 ftp 服务

INPUT、OUTPUT 和 FOREARD 链默认拒绝(DROP)所有流量通行

配置源地址转换允许内部客户端能够访问互联网区域。

yum -y install iptables-services.x86_64  iptables
SNAT规则
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ens34 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens34 -j MASQUERADE


[root@RouterSrv ~]# iptables -t nat -nvL POSTROUTING 
Chain POSTROUTING (policy ACCEPT 395 packets, 28294 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2   114 MASQUERADE  all  --  *      ens34   192.168.0.0/24       0.0.0.0/0           
  719 50161 MASQUERADE  all  --  *      ens34   192.168.100.0/24     0.0.0.0/0   
DNAT规则
iptables -t nat -A PREROUTING -d 81.6.63.254 -p udp --dport 53 -j DNAT --to 192.168.100.100  //将192.168.100.100udp53dns映射到81.6.63.254相应端口
iptables -t nat -A PREROUTING -d 81.6.63.254 -p tcp -m multiport --dport 53,80,443,465,993 -j DNAT --to 192.168.100.100  //映射192.168.100.100的dns http https mail  到81.6.63.254相应端口
iptables -t nat -A PREROUTING -d 81.6.63.254 -p tcp -m multiport --dport 20,21,137,138,139,444,445,4500:5000 -j DNAT --to 192.168.100.200  //映射192.168.100.200 FTP,文件传输 到81.6.63.254相应端口


[root@RouterSrv ~]# iptables -t nat -nvL PREROUTING 
Chain PREROUTING (policy ACCEPT 7014 packets, 426K bytes)
 pkts bytes target     prot opt in     out     source               destination         
  229 16310 DNAT       udp  --  *      *       0.0.0.0/0            81.6.63.254          udp dpt:53 to:192.168.100.100
    6   360 DNAT       tcp  --  *      *       0.0.0.0/0            81.6.63.254          multiport dports 53,80,443,465,993 to:192.168.100.100
    0     0 DNAT       tcp  --  *      *       0.0.0.0/0            81.6.63.254          multiport dports 20,21,137,138,139,444,445,4500:5000 to:192.168.100.200
默认拒绝和放行必要流量
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 1194,2021 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 67,68 -j ACCEPT
iptables -A FORWARD -p udp -m multiport --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dport 53,80,443,465,993,21,20,137,138,139,444,445,4500:5000  -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dport 67,68 -j ACCEPT  
//这里尽量满足要求,写多不会扣分
//截完图后我会全部放行,因为目的已经达到了,没必要之后的操作浪费时间

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT


[root@RouterSrv ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 1194,2021
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 67,68

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 53,80,443,465,993,20
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 21

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 67,68

web proxy

安装 Nginx 组件

配置文件名为 proxy.conf,放置在/etc/nginx/conf.d/目录下

为 www.chinaskills.cn 配置代理前端,通过 HTTPS 的访问后端 Web 服务器

后端服务器日志内容需要记录真实客户端的 IP 地址

缓存后端 Web 服务器上的静态页面

创建服务监控脚本:/shells/chkWeb.sh

编写脚本监控公司的网站运行情况

脚本可以在后台持续运行

每隔 3S 检查一次网站的运行状态,如果发现异常尝试 3 次

如果确定网站无法访问,则返回用户“The site is being maintained”

squid
yum -y install squid   //安装代理服务
systemctl start squid   
vim /etc/sysctl.conf
    net.ipv4.ip_forward = 1
sysctl -p   //立即生效

//客户端在firefox访问192.168.100.254 3128端口,squid默认端口
证书
yum -y install openssl
mkdir /CA
cd /CA		//进入证书目录
mkdir certs
mkdir newcerts
mkdir private
touch index.txt
openssl genrsa -out nginx.key 4096     //生成密钥
openssl req -new -key nginx.key -out nginx.csr   //生成证书请求文件
openssl ca -keyfile private/cakey.pem -cert cacert.pem -in nginx.csr -out nginx.crt    //根证书服务器颁发证书(web跟根证书服务器是同一台可以直接颁发)
创建nginx配置并代理和缓存
yum -y install nginx
vim /etc/nginx/conf.d/proxy.conf 
server {
         listen 443 ssl;
         ssl_certificate "/CA/nginx.crt";
        ssl_certificate_key "/CA/nginx.key";
        server_name web.chinaskills.cn;
        location ~.*\.* {
        proxy_pass https://www.chinaskills.cn;
        proxy_set_header x-real-ip $remote_addr;  //记录真是IP

        proxy_cache proxy;
        proxy_set_header Host $host;
        proxy_cache_valid 200 301 302 5m;

}
}
vim /etc/nginx/nginx.conf  
http {
proxy_cache_path /cache levels=1:2 keys_zone=proxy:20m max_size=20m;
mkdir /cache  //创建缓存文件
apache日志
vim /etc/httpd/conf/httpd.conf 
 LogFormat "%h %{x-real-ip}i %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined          //196行
测试
要ping通www.chinaskills.cn,才可以代理
vim /etc/hosts
    192.168.100.100 www.chinaskills.cn
systemctl  restart nginx   //重启nginx服务
客户端
vim /etc/hosts
    192.168.100.254	web.chinaskills.cn

firefox访问https://web.chinaskills.cn   //就可以跳转到www.chinaskills.cn
这个时候就已经有缓存了,下次访问的时候就直接访问了,所以如果想看192.168.100.254 192.168.0.190的话要把缓存清了再访问
tail -f /etc/httpd/logs/access_log  //查看访问日志
	192.168.100.254 192.168.0.190 - - [24/Sep/2022:16:32:24 +0800] "GET / HTTP/1.0" 200 53397 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
创建服务监控脚本
mkdir /shells
vim /shells/chkweb.sh 
#!/bin/bash
url=https://www.chinaskills.cn
o=`curl -s -k $url -I |grep 'OK' |awk '{print $2}'`
while [ true ]; do
/bin/sleep 3
  if [[ $o -eq 200 ]];then
     echo "$url 正常打开 3s"
     else
        for i in 1 2 3;do
          if [[ $o -eq 200 ]];then
              echo "$url 正常打开"
          else echo "$url 异常 $i"
          fi
        done
        echo "The site is being maintained"
  fi
done
bash /shells/chkweb.sh

OPENVPN

要求服务器日志记录客户端登录时间、用户名,格式如“2022-08-10: 08:10:30 Successful authentication: username=“vpnuser1””; 日志文件存放至/var/log/openvpn.log 中

创建用户 vpnuser1,密码为 123456,使用用户名密码认证,要求只 能与 InsideCli 客户端网段通信,允许访问 StorageSrv 主机上的 SAMBA 服务

VPN 地址范围为 172.16.0.0/24,OPENVPN 使用 tcp 1194 端口号进行 工作

yum -y install epel-release   //安装epel库,如果无法安装openvpn的话
yum -y install openvpn easy-rsa    //安装openvpn和证书制造工具
证书创建
cp -r /usr/share/easy-rsa/3/* /etc/openvpn/   //将证书制作工具复制到/etc/openvpn
cd /etc/openvpn/
./easyrsa init-pki    //初始化pki
./easyrsa build-ca nopass   //生成CA证书,nopass表示不加密私钥
./easyrsa gen-dh   //生成交互密钥
./easyrsa build-server-full vpn-server nopass //生成服务端密钥
./easyrsa build-client-full vpn-client nopass //生成客户端密钥,密码认证客户端可以不需要证书密码
拷贝证书文件
cp pki/ca.crt /etc/openvpn/ca.crt
cp pki/dh.pem /etc/openvpn/dh.pem
cp pki/issued/vpn-server.crt /etc/openvpn/server.crt
cp pki/private/vpn-server.key /etc/openvpn/server.key
服务端
cp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/server.conf  /etc/openvpn/  //复制模板文件
vim /etc/openvpn/server.conf
	port 1194   //端口1194
	proto tcp    //tcp连接
	dev tun    //隧道口
	ca ca.crt   
	cert server.crt
	key server.key 
	dh dh.pem
	server 172.16.0.0 255.255.255.0   //VPN地址范围
	ifconfig-pool-persist ipp.txt
	push "route 192.168.0.0 255.255.255.0"   //允许访问192.168.0.0网段
	push "route 192.168.100.200 255.255.255.255"   //允许访问192.168.100.200
	keepalive 10 120   //活动时间,10秒ping一次,超时时间120s
    #cipher AES-256-CBC   
	max-clients 100   //允许最大连接数
	persist-key
	persist-tun
	status openvpn-status.log
	log         openvpn.log
	verb 5
	script-security 3      //最后添加以下4条使用用户和密码验证登录
	auth-user-pass-verify /etc/openvpn/auth.sh via-env 
	username-as-common-name
	client-cert-not-required
vim /etc/openvpn/auth.sh
#!/bin/sh
PASSFILE="/etc/openvpn/user"   //密码认证文件路径
LOG_FILE="/var/log/openvpn.log"    //日志文件路径
TIME_STAMP=`date "+%Y-%m-%d %T"`

if [ ! -r "${PASSFILE}" ]; then
    echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for rea
ding." >> ${LOG_FILE}
    exit 1
fi

CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`

if [ "${CORRECT_PASSWORD}" = "" ]; then
    echo "${TIME_STAMP}: User does not exist: username=\"${username}\", passw
ord=\"${password}\"." >> ${LOG_FILE}
    exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
    echo "${TIME_STAMP}: Successful authentication: username=\"${username}\".
" >> ${LOG_FILE}
    exit 0
fi

echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\
"${password}\"." >> ${LOG_FILE}
exit 1

~                                                                                 
chmod 777 /etc/openvpn/auth.sh   //给权限
vim /etc/openvpn/user   //创建用户文件
    vpnuser1 123456
chmod 777 /etc/openvpn/user   //给权限

systemctl restart openvpn@server   //启动openvpn服务端
客户端
apt-get -y install openvpn   //安装openvpn
scp /etc/openvpn/pki/ca.crt root@81.6.63.110:/etc/openvpn  //远程复制证书
scp /usr/share/doc/openvpn-2.4.12/sample/sample-config-files/client.conf root@81.6.63.110:/etc/openvpn/    //远程复制client配置文件
vim /etc/openvpn/client.conf
    client
	dev tun   //隧道口
	proto tcp    //tcp
	remote 81.6.63.254 1194
	resolv-retry infinite
	nobind
	persist-key
	persist-tun
	ca ca.crt
	# cert client.crt    //不用证书认证取消
	#key client.key
	#remote-cert-tls server
	verb 5
	auth-user-pass   //用户名,密码登录
systemctl restart openvpn@client   //重启openvpn客户端
//输入账号密码,就可以登录,客户端和服务端的时间需要同步
测试
[root@RouterSrv openvpn]# tail -f /var/log/openvpn.log
2022-09-18 16:53:51: User does not exist: username="vpnuser1", passw
ord="123456".
2022-09-18 16:55:38: User does not exist: username="vpnuser1", passw
ord="123456".
2022-09-18 16:58:00: Successful authentication: username="vpnuser1".

2022-09-18 17:14:02: Successful authentication: username="vpnuser1".

2022-09-18 17:14:09: Successful authentication: username="vpnuser1".

AppSrv

SSH

安装 SSH,工作端口监听在 2101

仅允许 InsideCli 客户端进行 ssh 访问,其余所有主机的请求都应该 拒绝

在 cskadmin 用户环境下可以免秘钥登录,并且拥有 root 控制权限

将 SSH 跟 SFTP 进行分离,要求 SFTP 监听端口为 54321,并且通过服 务的方式进行启动或停止

vim /etc/ssh/sshd.config
    port 2101     //修改ssh端口号
    pubkeyauthentication yes          //开启免密登陆
vim /etc/hosts.allow
    sshd:192.168.0.190:allow   //允许192.168.0.190主机访问
vim /etc/hosts.deny
    sshd:all    //拒绝所有主机流量
systemctl restart sshd   //重启ssh服务
免密登陆
useradd cskadmin    //创建用户
su cskadmin
ssh-keygen -t rsa    //生成密钥
ssh-copy-id root@192.168.100.100 -p 2101   //传输密钥
SFTP
cp /usr/lib/systemd/system/sshd.service  /etc/systemd/system/sftpd.service
cp /etc/pam.d/sshd  /etc/pam.d/sftpd
cp /etc/ssh/sshd_config  /etc/ssh/sftpd_config
//把sshd文件复制为sftp文件
ln -sf /usr/sbin/service /usr/sbin/rcsftpd
ln -sf /usr/sbin/sshd /usr/sbin/sftpd
cp /etc/sysconfig/sshd  /etc/sysconfig/sftp
vim /etc/systemd/system/sftpd.service   //修改文件目录变为sftp
    [Unit]
	Description=OpenSSH server daemon
	Documentation=man:sshd(8) man:sshd_config(5)
	After=network.target sshd-keygen.service
	Wants=sshd-keygen.service

	[Service]
	Type=notify
	EnvironmentFile=/etc/sysconfig/sftp
	ExecStart=/usr/sbin/sftpd -f /etc/ssh/sftpd_config
	ExecReload=/bin/kill -HUP $MAINPID
	KillMode=process
	Restart=on-failure
	RestartSec=42s

	[Install]
	WantedBy=multi-user.target
vim /etc/ssh/sftpd_config
    port 54321
systemctl restart sftpd
测试
[root@AppSrv ~]# ss -ntpl |grep sftpd
LISTEN     0      128          *:54321                    *:*                   users:(("sftpd",pid=15044,fd=3))
LISTEN     0      128       [::]:54321                 [::]:*                   users:(("sftpd",pid=15044,fd=4))
[root@AppSrv ~]# ss -ntpl |grep ssh
LISTEN     0      128          *:2101                     *:*                   users:(("sshd",pid=14787,fd=3))
LISTEN     0      128       [::]:2101                  [::]:*                   users:(("sshd",pid=14787,fd=4))

DHCP

为 InsideCli 客户端网络分配地址,地址池范围

192.168.0.110-192.168.0.190/24

域名解析服务器:按照实际需求配置 DNS 服务器地址选项

网关:按照实际需求配置网关地址选项

为 InsideCli 分配固定地址为 192.168.0.190/24

设置默认租约时间为 0.5 天,最大租约时间为 3 天

将 DHCP 服务的日志信息从系统的日志服务中分离,通过 rsyslog 自 定义消息处理,将日志信息保存至/var/log/dhcpd.log 中。

cat /usr/share/doc/dhcp*/dhcpd.conf.example >> /etc/dhcp/dhcpd.conf //模板粘贴
vim /etc/dhcp/dhcpd.conf
    default-lease-time 43200;   //设置默认租约0.5天
	max-lease-time 259200;			//设置最大租约3天
	log-facility local1;    //修改日志
	
	subnet 192.168.0.0 netmask 255.255.255.0 {   //网段
 	 range 192.168.0.110 192.168.0.190;    //范围
 	 option domain-name-servers 192.168.100.100;   //DNS
 	 option domain-name "chinaskills.cn";   //域
 	 option routers 192.168.0.254;   //网关
	}

	host insidecli {   //指定主机名
 	 hardware ethernet 00:0c:29:04:d8:95;   //指定客户端mac
 	 fixed-address 192.168.0.190;    //指定客户端IP
	}

	subnet 192.168.100.0 netmask 255.255.255.0 {
    }    //要分配个自己同网段的,不然无法启动DHCP
分离日志
vim /etc/rsyslog.conf
	local1.*                                                /var/log/dhcpd.log
systemctl start dhcpd   //启动dhcp
systemctl restart rsyslog  //重启日志服务器

DNS

为 chinaskills.cn 域提供域名解析

为 www.chinaskills.cn、download.chinaskills.cn 和 mail.chinaskills.cn 提供解析

启用内外网解析功能,当内网客户端请求解析的时候,解析到对应的 内部服务器地址,当外部客户端请求解析的时候,请把解析结果解析 到提供服务的公有地址

请将IspSrv作为上游DNS服务器,所有未知查询都由该服务器处理

DNS设置
vim /etc/named.conf
	version "[unkown]";   //隐藏版本
    listen-on port 53 { any; };   
	allow-query     { any; };
    forwarders { 81.6.63.100; };   //转发器ip
    forward first;    //全局转发
	#recursion yes;   //注释递归查询
    dnssec-enable no;    //关闭认证
    dnssec-validation no;
	
	#zone "." IN {
	#       type hint;
	#       file "named.ca";
	#};

	#include "/etc/named.rfc1912.zones";     //注释掉54-59不然无法启动,已经设置了根域了
	 
	acl "lan" { 192.168.0.0/16;    //内外网解析
	localhost;};
	view "lan" {
        	match-clients { "lan";};
        	zone "chinaskills.cn" {
                	type master;
                	file "db.chinaskills.cn";
                	masterfile-format text;
                	allow-update {81.6.63.254;};
	};
	};	
	view "wan" {
        	match-clients {"any";};
        	zone "chinaskills.cn" {
                	type master;
                	file "db.test.internet.com";
                	masterfile-format text;
                	allow-update {81.6.63.254;};
	};
	};
创建正向区域跟对外的正向区域
cd /var/named/
cp named.loopback db.chinaskills.cn    //复制模板
cp named.loopback db.test.internet.com
vim db.chinaskills.cn
    $TTL 1D
	@       IN SOA  @ rname.invalid. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
	@       IN      NS      www.chinaskills.cn.
	@       IN      MX      10      mail
	www     IN      A       192.168.100.100
	ftp     IN      A       192.168.100.200
	mail    IN      A       192.168.100.100
	download        IN      A       192.168.100.100
	smtp    IN      A       192.168.100.100
	imap    IN      A       192.168.100.100
vim vim db.test.internet.com 
    $TTL 1D
	@       IN SOA  @ rname.invalid. (
                                        0       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum
	@       IN      NS      www.chinaskills.cn.
	@       IN      MX      10      mail
	www     IN      A       81.6.63.254
	ftp     IN      A       81.6.63.254
	mail    IN      A       81.6.63.254
	download        IN      A       81.6.63.254
	smtp    IN      A       81.6.63.254
	imap    IN      A       81.6.63.254                                        
chmod 777 db.chinaskills.cn
chmod 777 db.test.internet.com
systemctl restart named
测试(iptables要先做nat)
[root@AppSrv named]# named-checkconf -z |grep china
zone chinaskills.cn/IN: loaded serial 0
zone chinaskills.cn/IN: loaded serial 0
[root@insidecli ~]# nslookup 
> any.ns.an
Server:		192.168.100.100
Address:	192.168.100.100#53

Non-authoritative answer:
Name:	any.ns.an
Address: 81.6.63.100
root@OutsideCli:/etc/openvpn# nslookup www.chinaskills.cn
Server:		81.6.63.254
Address:	81.6.63.254#53

Name:	www.chinaskills.cn
Address: 81.6.63.254
[root@insidecli ~]# nslookup -q=txt -class=CHAOS version.bind 192.168.100.100
Server:		192.168.100.100
Address:	192.168.100.100#53

version.bind	text = "[unkown]"
[root@insidecli ~]# host -t MX chinaskills.cn 192.168.100.100
Using domain server:
Name: 192.168.100.100
Address: 192.168.100.100#53
Aliases: 

chinaskills.cn mail is handled by 10 mail.chinaskills.cn.

web服务

安装 WEB 服务

服务以用户 webuser 系统用户运行

限制 web 服务只能使用系统 500M 物理内存

全站点启用 TLS 访问,使用本机上的“CSK Global Root CA”颁 发机构颁发,网站证书信息如下

C = CN

ST = China

L = BeiJing

O = skills

OU = Operations Departments

CN = *.chinaskills.cn

客户端访问 https 时应无浏览器(含终端)安全警告信息

当用户使用 http 访问时自动跳转到 https 安全连接

搭建 www.chinaskills.cn 站点

网页文件放在 StorgeSrv 服务器上

在 StorageSrv 上安装 MriaDB,在本机上安装 PHP,发布 WordPress 网站

MariaDB 数据库管理员信息:User: root/ Password: Chinaskill21!

创建网站 download.chinaskills.cn 站点

仅允许 ldsgp 用户组访问

网页文件存放在 StorageSrv 服务器上

在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”,其中 test.mp4 文件的大小为 100M,页面访问成功 后能够列出目录所有文件

安全加固,在任何页面不会出现系统和 WEB 服务器版本信息

yum install httpd mod_ssl mod_ldap php php-mbstring php-mysql -y 
修改http参数
useradd -r webuser   //创建系统用户
vim /etc/httpd/conf/httpd.conf
    User webuser
    Group webuser   //服务以用户 webuser 系统用户运行
systemctl enable httpd  //设置自动启动httpd
vim /etc/systemd/system/multi-user.target.wants/httpd.service  //需要自启后才又文件
	[service]
    memory_limit_in_bytes=500*1024*1024
systemctl daemon-reload   //重新启动
证书
vim /etc/pki/tls/openssl.cnf
    localityName            = optional  //在99行添加这个,不然证书不显示城市
openssl genrsa -out apache.key 4096     //生成密钥
openssl req -new -key apache.key -out apache.csr   //生成证书请求文件
openssl ca -keyfile private/cakey.pem -cert csk-ca.pem -in apache.csr -out apache.crt    //由于appsrv是根证书服务器所以可以直接颁发证书
上传文件
yum -y isntall lrzsz   //文件传输协议
cd /webdata/
//上传给定版本的wordpress
tar -zxf wordpress-4.9.4-zh_CN.tar.gz
chmod 777 wordpress
mkdir download  //创建download.chinaskills.cn目录,我喜欢分开,也可以不分开
cd download  
touch test.mp3
touch test.pdf
dd if=/dev/zero of=test.mp4 bs=100M count=1  //创建大小为100M的test.mp4文件
数据库
因为数据库题目说要建立在storageSrv上
yum -y install mariadb-server   //安装数据库
systemctl restart mariadb.service   //启动数据库
mysql_secure_installation   //初始化数据库
	//请输入当前root用户的密码,如果没有直接按回车,此root并非linux的root用户是mysql 的
    //是否设置root密码?
    //是否移除匿名用户?选择移除
    //禁止远程root登录?选择否
    //是否移除测试数据库?(建议先不移除)
    //是否重新加载权限表?选择y 因为刚刚更改了密码(当我们更改了mysql用户相关的信息之后建议去重载权限
mysql -u root -p  
create database wordpress;   //创建wordpress数据库
GRANT ALL PRIVILEGES ON *.* TO 'root'@'%' IDENTIFIED BY 'Chinaskill21!' WITH GRANT OPTION;   //赋予用户远程权限

grant all on *.* to 'root'@'%' identified by '123';

flush privileges;   //立即生效,可以不需要
修改wordpress默认参数
cp /webdata/wordpress/wp-config-sample.php  /webdata/wordpress/wp-config.php
vim /webdata/wordpress/wp-config.php  //修改默认数据库
    // ** MySQL 设置 - 具体信息来自您正在使用的主机 ** //
	/** WordPress数据库的名称 */
	define('DB_NAME', 'wordpress');

	/** MySQL数据库用户名 */
	define('DB_USER', 'root');

	/** MySQL数据库密码 */
	define('DB_PASSWORD', 'Chinaskill21!');

	/** MySQL主机 */
	define('DB_HOST', '192.168.100.200');     

	/** 创建数据表时默认的文字编码 */
	define('DB_CHARSET', 'utf8');

	/** 数据库整理类型。如不确定请勿更改 */
	define('DB_COLLATE', '');

配置http文件及虚拟站点
vim /etc/httpd/conf/http.conf
    ServerSignature Off  //不显示系统和web服务版本信息
	ServerTokens    Prod   //不显示系统和web服务版本信息
	<virtualhost *:80>  //重定向
        	redirect permanent / https://www.chinaskills.cn/
	</virtualhost>

	<virtualhost www.chinaskills.cn:443>
        	documentroot "/webdata/wordpress"
       		servername www.chinaskills.cn
        	sslengine on
        	sslcertificatefile /csk-rootca/apache222.crt
        	sslcertificatekeyfile /csk-rootca/apache.key
        	<directory /webdata/wordpress>
                	require all granted
        	</directory>
	</virtualhost>

	<virtualhost download.chinaskills.cn:443>
        	documentroot "/webdata/download"
        	servername download.chinaskills.cn
        	sslengine on
        	sslcertificatefile /csk-rootca/apache222.crt
        	sslcertificatekeyfile /csk-rootca/apache.key
        	<directory /webdata/download>
                	options indexes    //允许没有php或html文件时显示目录文件,不加没有权限
                	order deny,allow
                	deny from all
                	authname "ldap authentication"
                	authtype basic
                	authbasicprovider ldap
                	authldapurl ldap://192.168.100.200/ou=users,dc=chinaskills,dc=cn?uid
                	require ldap-user wuusr lsusr zsuser
                	satisfy any
        	</directory>
	</virtualhost>

rm /etc/httpd/conf.d/welcome.conf  //删除欢迎信息,不然无法显示目录文件
systemctl restart http  //重启http服务
中锐答案
<virtualhost *:80>
        servername www.chinaskills.cn
        redirect 301 / https://www.chinaskills.cn
</virtualhost>

<virtualhost *:80>
        servername download.chinaskills.cn
        redirect 301 / https://download.chinaskills.cn
</virtualhost>

<virtualhost *:443>
        servername www.chinaskills.cn
        documentroot /webdata/wordpress
        sslengine on
        sslcertificatefile /csk-rootca/mail.crt
        sslcertificatekeyfile /csk-rootca/mail.key
        <directory /webdata/wordpress>
                require all granted
        </directory>
</virtualhost>


<virtualhost *:443>
        servername download.chinaskills.cn
        documentroot /webdata/download
        sslengine on
        sslcertificatefile /csk-rootca/mail.crt
        sslcertificatekeyfile /csk-rootca/mail.key
        <directory /webdata/download>
                options indexes
                authtype basic
                authname "ldap"
                authuserfile "/etc/pw"
                require valid-user
        </directory>
</virtualhost>
测试
export CURL_CA_BUNDLE=/root/csk-ca.pem

[root@insidecli ~]# curl -I https://www.chinaskills.cn
HTTP/1.1 200 OK
Date: Wed, 21 Sep 2022 09:07:16 GMT
Server: Apache
X-Powered-By: PHP/5.4.16
Link: <https://www.chinaskills.cn/index.php?rest_route=/>; rel="https://api.w.org/"
Content-Type: text/html; charset=UTF-8

Mariadb Backup Script

脚本文件:/shells/mysqlbk.sh

备份数据到/root/mysqlbackup 目录

备份脚本每隔 30 分钟实现自动备份

导出的文件名为 all-databases-20210213102333,其中 20210213102333 为运行备份脚本的当前时间,精确到秒

yum -y install mariadb-server   //安装数据库
systemctl restart mariadb.service   //启动数据库
mysql_secure_installation   //初始化数据库
	//请输入当前root用户的密码,如果没有直接按回车,此root并非linux的root用户是mysql 的
    //是否设置root密码?
    //是否移除匿名用户?选择移除
    //禁止远程root登录?选择否
    //是否移除测试数据库?(建议先不移除)
    //是否重新加载权限表?选择y 因为刚刚更改了密码(当我们更改了mysql用户相关的信息之后建议去重载权限
创建脚本文件
mkdir /shells  //创建脚本文件目录
mkdir /root/mysqlbackup   //创建备份目录
vim /shells/mysqlbk.sh   //编写脚本
	#!/bin/bash
	mysqldump --all-databases -uroot -p123 > /root/mysqlbackup/all-database-$(date +"%Y%m%d%H%M%S")
chmod 777 /shells/mysqlbk.sh   //赋予权限不然无法执行
编写计划任务
vim /etc/crontab 
    */30 * * * * root /shells/mysqlbk.sh
测试
cd /shells/
./mysqlbk.sh

[root@AppSrv shells]# ls /root/mysqlbackup/
all-database-20220921173003  all-database-20220921173043  all-database-20220921173736

MAIL(*)这里拿了8分,失了八分

安装配置 postfix 和 dovecot,启用 imaps 和 smtps,禁止使用不安 全的 smtp 和 imap 发送和接收邮件

安装配置 postfixadmin

创建虚拟域 chinaskills.cn 以及 99 个邮件用户 mailuser1~ mailuser99.虚拟用户映射至本地用户 vmail 和用户组 vmail,UID 和 GID 均为 2000

使用 mailuser1@chinaskills.cn 的邮箱向 mailuser2@chinaskills.cn 的邮箱发送一封测试邮件,邮件标题为 “just test mail from mailuser1”, 邮件内容为“hello , mailuser2”

使用 mailuser2@chinaskills.cn 的邮箱向 mailuser1@chinaskills.cn 的邮箱发送一封测试邮件,邮件标题为 “just test mail from mailuser2”, 邮件内容为“hello , mailuser1”

添加广播邮箱地址 all@chinaskills.cn,当该邮箱收到邮件时, mailuser1 和 mailuser2 用户都能在自己的邮箱中查看;使用mailuser1@chinaskills.cn 向 all@chinaskills.cn 发送测试邮件,邮件标题为 “test all”,邮件内容为“hello ,test all”

使用 https://mail.chinaskills.cn 网站测试邮件发送与接收

postfixadmin(这4分不值得,很复杂虚拟用户映射本地用户)
cd /var/www/html  //进入postfixadmin根目录,也可以自行修改
//上传文件
tar -zxf postfixadmin-3.2.tar.gz   //解压
ln -s postfixadmin-3.2/public/  postfixadmin  
mysql -u root -p
create database postfix;   //创建postfix数据库
GRANT ALL ON *.* TO 'postfix'@'%' IDENTIFIED BY '123';  //给postfix用户赋予所有权利
flush privileges;   //立即执行
cd postfixadmin-3.2/
vim config.local.php   //编辑新文件,免得等等web要配置麻烦
    <?php
	$CONF['database_type'] = 'mysqli';
	$CONF['database_user'] = 'postfix';
	$CONF['database_password'] = '123';
	$CONF['database_name'] = 'postfix';
	$CONF['configured'] = true;
	?>
vim config.inc.php   //编辑配置文件   修改下列的参数匹配就行
    $CONF['configured'] = true;
	$CONF['default_language'] = 'cn';
	$CONF['database_type'] = 'mysqli';
	$CONF['database_host'] = 'localhost';
	$CONF['database_user'] = 'postfix';
	$CONF['database_password'] = '123';
	$CONF['database_name'] = 'postfix';
mkdir templates_c  //创建缓存目录
chown -R webuser:webuser templates_c   //更改为http的用户跟组
chown -R webuser:webuser templates   
chmod -R 777 /var/www/html/postfixadmin-3.2/
chown webuser:webuser /var/lib/php/session   //权限拉满  不然无法登录
vim /etc/httpd/conf/httpd.conf  //配置http,因为开了两个站点,这个我们开端口站点
    listen 8080  //添加
    <virtualhost 192.168.100.100:8080>   //最下面添加
        	documentroot "/var/www/html"   //根目录
        	servername 192.168.100.100:8080
	</virtualhost>
访问站点192.168.100.100:8080/postfixadmin/setup.php   //进行初始化
//上面全ok就可以创建setup密码
//生成后会形成乱码
vim config.inc.php
    $CONF['setup_password'] = '7e921c4ca321569163d9ec34469e4fe1:4a07d7535fa90c55456827b78a6363f2f05be208';  //47行更改的乱码,不然无法验证密码
mail
yum -y install openssl
mkdir /CA
cd /CA     //进入证书目录
mkdir certs
mkdir newcerts
mkdir private
touch index.txt
openssl genrsa -out mail.key 4096     //生成密钥
openssl genrsa -out dov.key 4096     //生成密钥
openssl req -new -key mail.key -out certs/mail.csr   //生成证书请求文件
openssl req -new -key dov.key -out certs/dov.csr   //生成证书请求文件
cd /CA/
openssl ca -keyfile private/cacert.pem -cert cacert.pem -in mail.csr -out mail.crt //颁发证书
openssl ca -keyfile private/cacert.pem -cert cacert.pem -in dov.csr -out dov.crt	//颁发证书
//如果出现错误编号2是因为你颁发的证书跟前面的证书的CN名字相同
rm -rf index.txt
touch index.txt    //重新编写index.txt
yum -y install dovecot    //安装邮件接收服务
vim /etc/postfix/main.cf
    myhostname = mail.sdskills.cn   //本机主机名75行
    mydomain = sdskills.cn			//服务器域名83行
	myorigin = $mydomain      //初始域名99行
    inet_interfaces = all		 //网卡选择113行
    #inet_interfaces = $myhostname, localhost    //注释掉115行
    #inet_interfaces = localhos    //注释掉116
    #mydestination = $myhostname, localhost.$mydomain, localhost   //注释掉164行
	mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain	//取消注释165行
	mynetworks = 0.0.0.0/0    //以下网段可以通过264行
    home_mailbox = Maildir/     //邮件目录,在用户家目录下419行
    //在最后一行添加启用证书认证跟指定证书文件目录
    smtpd_use_tls = yes
	smtpd_tls_cert_file = /csk-rootca/mail.crt
	smtpd_tls_key_file = /csk-rootca/mail.key

vim /etc/postfix/master.cf
     #smtp      inet  n       -       n       -       -       smtpd  //注释11行,关闭25端口
     smtps     inet  n       -       n       -       -       smtpd  //取消注释26行,开启465端口
      -o smtpd_tls_wrappermode=yes	//取消注释28行,开启证书认证
vim /etc/dovecot/dovecot.conf
    protocols = imaps    //24行,启用imaps
vim /etc/dovecot/conf.d/10-auth.conf
    disable_plaintext_auth = no    //10行,开启明文身份认证
vim /etc/dovecot/conf.d/10-mail.conf
    mail_location = maildir:~/Maildir    //24行取消注释,邮箱用户在家目录上自动创建Maildir目录
vim /etc/dovecot/conf.d/10-ssl.conf
    ssl_cert = </csk-rootca/dov.crt     //14行,指定证书文件路径
	ssl_key = </csk-rootca/dov.key   //15行,指定证书密钥路径
for i in $(seq 1 99);do useradd mailuser$i;done     //创建user(1-99)
for i in $(seq 1 99);do echo "Chinaskill22"|passwd --stdin mailuser$i;done  //为user(1-99)设置密码,密码为Chinaskill22
systemctl restart postfix.service     //重启邮件发送服务
systemctl restart dovecot			//重启邮件接收服务

CA(证书颁发机构)

CA 根证书路径/csk-rootca/csk-ca.pem

签发数字证书,颁发者信息:(仅包含如下信息)

C = CN

ST = China

L = BeiJing

O = skills

OU = Operations Departments

CN = CSK Global Root CA

yum -y install openssl
mkdir /csk-rootca
cd /csk-rootca
mkdir certs    //存放已颁发的证书
mkdir newcerts   //存放CA指令生产的新证书
mkdir private   //存放私钥
touch index.txt    //已签发证书的文本数据文件
echo "01" > serial    //证书签发时使用的序列号参考文件
vim /etc/pki/tls/openssl.conf
    dir =/csk-rootca
    certificate =$dir/csk-ca.pem
    private_key =$dir/private/cakey.pem
    
    stateorprovincename = optional
    organizationname = optional    //默认是match,严格匹配,修改为可选,不然如果不匹配不能签发
    localityName            = optional  //在87行添加这个,不然颁发的证书不显示城市
    #localityName_default           = Default City  //如果不需要默认城市请注释,138行

openssl genrsa -out private/cakey.pem 4096		//生成一个密钥长度4096
openssl req -new -x509 -key private/cakey.pem -out csk-ca.pem   //生成根证书
	Country Name (2 letter code) [XX]:CN       //国家名称
	State or Province Name (full name) []:    //州或省名称
	Locality Name (eg, city) [Default City]:   //地点名称(如城市)
	Organization Name (eg, company) [Default Company Ltd]:Inc   //组织名称(公司)
	Organizational Unit Name (eg, section) []:www.skills.com  //组织单位名称(部门)
	Common Name (eg, your name or your server's hostname) []:Skill Global Root CA   //常用名称(例如,你的名称或服务器的主机名
测试
[root@AppSrv csk-rootca]# openssl x509 -text -in csk-ca.pem -noout |grep Sub
        Subject: C=CN, ST=China, L=BeiJing, O=skills, OU=Operations Departments, CN=CSK Global Root CA
        Subject Public Key Info:
            X509v3 Subject Key Identifier:

网桥VXLAN服务

在 appsrv 和 storagesrv 上搭建 vxlan

需求如下

安装实验网桥

新建 vxlan 隧道,网桥名称为 br-vxlan,网桥的出口为 vxlan100, id 为 100

appsrv 的隧道地址为 172.16.1.1/24,storagesrv 的隧道地址为 172.16.1.2/24

测试网桥之间二层的联通性。

yum -y install bridge-utils   //安装brctl,两台都要安装
appsrv
brctl addbr br-vxlan
ip link add vxlan100 type vxlan id 100 dstport 4789 remote 192.168.100.200 local 192.168.100.100 dev ens33
brctl addif br-vxlan vxlan100
ip addr add 172.16.1.1/24 dev br-vxlan
ip link set br-vxlan up
ip link set vxlan100 up
storagesrv
brctl addbr br-vxlan
ip link add vxlan100 type vxlan id 100 dstport 4789 remote 192.168.100.100 local 192.168.100.200 dev ens33
brctl addif br-vxlan vxlan100
ip addr add 172.16.1.2/24 dev br-vxlan
ip link set br-vxlan up
ip link set vxlan100 up
测试
brctl show 
    [root@StorageSrv ~]# brctl show
	bridge name	bridge id		STP enabled	interfaces
	br-vxlan		8000.3eab90c5f73c	no		vxlan100

ping -I 172.16.1.1 172.16.1.2

StorageSrv

磁盘管理

在 storagesrv 上新加一块 10G 磁盘

创建 vdo 磁盘,并开启 vdo 磁盘的重删和压缩

名字为 vdodisk,大小为 150G,文件系统为 ext4

并设置开机自动挂载。挂载到/vdodata。

vdo(虚拟存储器)
添加10G硬盘
yum -y install vdo   //安装虚拟存储器
echo "- - -" > /sys/class/scsi_host/host0/scan   //重新扫描硬盘
echo "- - -" > /sys/class/scsi_host/host1/scan
echo "- - -" > /sys/class/scsi_host/host2/scan
lsblk		//查看分区和磁盘信息
创建vdo
vdo create -n=vdodisk --device /dev/sdb --vdoLogicalSize 150G
初始化
mkfs.ext4 -K /dev/mapper/vdodisk 
挂载
mkdir /vdodata
echo /dev/mapper/vdodisk /vdodata ext4 defaults 0 0 >> /etc/fstab   //开机自动挂载
mount -a    //重新加载
测试
[root@StorageSrv ~]# df -Th
文件系统                类型      容量  已用  可用 已用% 挂载点
devtmpfs                devtmpfs  475M     0  475M    0% /dev
tmpfs                   tmpfs     487M     0  487M    0% /dev/shm
tmpfs                   tmpfs     487M  7.6M  479M    2% /run
tmpfs                   tmpfs     487M     0  487M    0% /sys/fs/cgroup
/dev/mapper/centos-root xfs        17G  1.5G   16G    9% /
/dev/sda1               xfs      1014M  137M  878M   14% /boot
/dev/sr0                iso9660   9.5G  9.5G     0  100% /mnt
tmpfs                   tmpfs      98M     0   98M    0% /run/user/0
/dev/mapper/vdodisk     ext4      148G   61M  140G    1% /vdodata
[root@StorageSrv ~]# vdo status|grep Compression && vdo status|grep Deduplication
    Compression: enabled   //压缩启用
    Deduplication: enabled       //重复数据清除启用

SSH

安装 openssh 组件

创建的 user01、user02 用户允许访问 ssh 服务

服务器本地 root 用户不允许访问

修改 SSH 服务默认端口,启用新端口 2022

添加用户 user01、user02 到 sudo 组,用于远程接入,提权操作。

创建用户
useradd user01
useradd user02
passwd user01
passwd user02   //更改密码
修改ssh配置文件
vim /etc/ssh/sshd_config 
	port 2022  //更改端口
	AllowUsers   user01 user02  //只允许user01,user02登陆
安全措施
vim /etc/pam.d/sshd  //最下面添加
    auth required pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=60

	//even_deny_root   也限制root用户
    //deny 设置普通用户和root用户连接错误登录最大次数,超过就会锁定该用户
    //unlock_time 设置普通用户锁定后,多少时间后解锁,单位s
    //root_unlock_time 设置root用户锁定后,多少时间后解锁,单位s

//解锁方法
pam_tally2 --user 用户名 --reset 
pam_tally2 -u root -r
加入sudo组
chmod +w /etc/sudoers   //添加写权限,默认只有读权限
vim /etc/sudoers   //在root下面添加
    user01	ALL=(ALL)	ALL
    user02	ALL=(ALL)	ALL
测试
[root@StorageSrv ~]# ss -ntpl |grep ssh
LISTEN     0      128          *:2022                     *:*                   users:(("sshd",pid=26135,fd=3))
LISTEN     0      128       [::]:2022                  [::]:*                   users:(("sshd",pid=26135,fd=4))
[root@StorageSrv ~]# cat /etc/sudoers |grep user0
user01	ALL=(ALL)	ALL
user02	ALL=(ALL)	ALL

NFS

共享/webdata/目录

用于存储 AppSrv 主机的 WEB 数据

仅允许 AppSrv 主机访问该共享

考虑安全,不论登入 NFS 的使用者身份为何,都将其设置为匿名用 户访问

服务端
yum -y install nfs-utils   //安装nfs
mkdir /webdata   
chmod 777 /webdata/
vim /etc/exports
    /webdata 192.168.100.100(rw,all_squash,root_squash)
    //允许192.168.100.100访问,
    //rw读写
    //all_squash  普通用户访问映射匿名用户nfsnobody
	//root_squash  root用户访问也是nfsnobody
systemctl start rpcbind
systemctl start nfs  

 
[root@StorageSrv webdata]# showmount -e
Export list for StorageSrv:
/webdata 192.168.100.100
客户端
yum -y install nfs-utils   //安装nfs
mkdir /webdata   
systemctl start rpcbind    //启动NFS服务
mount -t nfs 192.168.100.200:/webdata /webdata   //网络挂载
vim /etc/fstab  //设置自动挂载,web有要求的
    192.168.100.200:/webdata /webdata nfs defaults 0 0

[root@AppSrv webdata]# df -Th
文件系统                 类型      容量  已用  可用 已用% 挂载点
devtmpfs                 devtmpfs  475M     0  475M    0% /dev
tmpfs                    tmpfs     487M     0  487M    0% /dev/shm
tmpfs                    tmpfs     487M   20M  467M    5% /run
tmpfs                    tmpfs     487M     0  487M    0% /sys/fs/cgroup
/dev/mapper/centos-root  xfs        17G  1.5G   16G    9% /
/dev/sda1                xfs      1014M  138M  877M   14% /boot
/dev/sr0                 iso9660   9.5G  9.5G     0  100% /mnt
tmpfs                    tmpfs      98M     0   98M    0% /run/user/0
192.168.100.200:/webdata nfs4       17G  1.5G   16G    9% /webdata

VSFTPD

禁止使用不安全的 FTP,请使用“CSK Global Root CA”证书颁发机 构,颁发的证书,启用 FTPS 服务

创建虚拟用户 webuser,登录 ftp 服务器,根目录为/webdata,上传 的文件映射为 webadmin

登录后限制在自己的根目录

允许 WEB 管理员上传和下载文件,但是禁止上传后缀名 为.doc .docx .xlsx 的文件

限制用户的下载最大速度为 100kb/s;最大同一 IP 在线人数为 2 人

通过工具或者浏览器下载的最大速度不超过 100kb/s

一个 IP 地址同时登陆的用户进程/人数不超过 2 人

采用随机端口用户客户端跟服务器的数据传输,并限制传输端口为 40000-41000 之间。

证书请求
yum install vsftpd -y   //安装vsftpd
yum -y install openssl
mkdir /CA
cd /CA   //进入证书目录
mkdir certs
mkdir newcerts
mkdir private
touch index.txt
openssl genrsa -out	ftp.key 4096     //生成密钥
openssl req -new -key ftp.key -out ftp.csr   //生成证书请求文件
openssl ca -keyfile private/cakey.pem -cert csk-ca.pem -in ftp.csr -out ftp.crt    //根证书服务器颁发证书(web跟根证书服务器是同一台可以直接颁发)
    
openssl ca -revoke /csk-rootca/newcerts/01.pem  #吊销证书
创建虚拟用户文件
vim /root/ftp_vuser
    webuser
    123
db_load -T -t hash -f /root/ftp_vuser /etc/vsftpd/ftp_vuser.db   //生成用户数据库
chmod 600 /etc/vsftpd/ftp_vuser.db    //修改文件权限为600,不修改可能报错
useradd -d /webdata -s /sbin/nologin webuser
//添加虚拟用户的映射账户,创建映射用户的宿主目录
vim /etc/pam.d/vsftpd.login  //为虚拟用户建立PAM认证文件
	auth    required        pam_userdb.so   db=/etc/vsftpd/ftp_vuser
	account required        pam_userdb.so   db=/etc/vsftpd/ftp_vuser
设置用户权限
cp /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf.bak
vim /etc/vsftpd/vsftpd.conf
	chroot_local_user=YES	//所有用户被限制在ftp目录内,不能跨出该目录,除非有例外情况
	pam_service_name=vsftpd.login //PAM认证文件
	//最下面添加
    guest_enable=YES    //启用虚拟用户
	guest_username=webadmin   //虚拟用户映射的系统账号
	user_config_dir=/etc/vsftpd //虚拟用户配置文件存放目录
	force_local_data_ssl=YES   //启用证书
	force_local_logins_ssl=YES  //启用证书登录
	ssl_enable=YES   //ssl启用
	rsa_cert_file=/CA/ftp.crt    //证书文件路径
	rsa_private_key_file=/CA/ftp.key   //密钥文件路径
	local_root=/webdata   //设置用户登录的主目录
	allow_writeable_chroot=YES   //系统用户有读写权限
	deny_file={*.doc,*.docx,*.xlsx}   //拒绝文件后缀,doc,docx,xlsx
	local_max_rate=100000   //本地用户最大传输速率
	max_per_ip=2   //每个IP同时发起最大连接数为2
	pasv_min_port=40000   //限制传输端口最小值40000
	pasv_max_port=41000   //限制传输端扣最大值41000
创建虚拟用户权限
vim /etc/vsftpd/webuser
    local_root=/webdata   //根目录为/webdata
	download_enable=YES    //允许下载
	write_enable=YES   //可写入
	anon_upload_enable=YES   //可上传
	anon_mkdir_write_enable=YES   //虚拟用户可以创建文件
	anon_other_write_enable=YES    //虚拟用户可以重命名,删除
	anon_umask=022    //虚拟用户创建文件夹的权限为755,创建文件为644
systemctl restart vsftpd   
客户端
yum -y install lftp   //安装ftp服务
vim /etc/lftp.conf    
    set ssl:verify-certificate no   //不验证证书,不然拒绝访问
touch test.doc
touch test.docx
touch test.xlsx
touch test.txt   //创建测试文件

[root@insidecli ~]# lftp -u webuser,123 ftp.chinaskills.cn
lftp webuser@ftp.chinaskills.cn:~> ls
-rw-r--r--    1 65534    65534           0 Sep 20 08:17 test.mp3

lftp webuser@ftp.chinaskills.cn:/> put test.doc   //上传拒绝的后缀文件
put: Access failed: 550 Permission denied. (test.doc)
lftp webuser@ftp.chinaskills.cn:/> put test.docx
put: Access failed: 550 Permission denied. (test.docx)
lftp webuser@ftp.chinaskills.cn:/> put test.xlsx
put: Access failed: 550 Permission denied. (test.xlsx)
lftp webuser@ftp.chinaskills.cn:/> put test.txt
lftp webuser@ftp.chinaskills.cn:/> ls
-rw-r--r--    1 65534    65534           0 Sep 20 08:17 test.mp3
-rw-------    1 1003     1003            0 Sep 20 09:09 test.txt


[root@StorageSrv ~]# ls -l /webdata/test.txt 
-rw-r--r--. 1 webadmin webadmin 0 920 17:13 /webdata/test.txt
//上传文件映射webadmin

SAMBA

创建 samba 共享,本地目录为/data/share1,要求

共享名为 share1

仅允许 zsuser 用户能上传文件

创建 samba 共享,本地目录为/data/public,要求

共享名为 public

允许匿名访问

所有用户都能上传文件

yum install samba samba-client smbldap-tools -y   //安装samba以及smbldap-tool与ldap关联必须要这个
mkdir -p /data/share1   //创建目录
mkdir -p /data/public

ldapadd -Q -Y EXTERNAL -H ldapi:/// -f /usr/share/doc/samba-4.10.16/LDAP/samba.ldif
chmod -R 777 /data/
vim /etc/samba/smb.conf
	[global]
	passdb backend = ldapsam:ldap://192.168.100.200
	ldap suffix = "dc=chinaskills,dc=cn"
	ldap admin dn = "cn=Manager,dc=chinaskills,dc=cn"
	ldap user suffix = "ou=users,dc=chinaskills,dc=cn"
	ldap group suffix = "ou=group,dc=chinaskills,dc=cn"
	ldap delete dn = no
	ldap passwd sync = yes
	ldap ssl = no
	map to guest = bad user
	workgroup = chinaskills.cn
	
    [share1]
	        path = /data/share1
	        write list = zsuser
        
	[public]
	        path = /data/public
	        guest ok = yes
	        writeable = yes
smbpasswd -w 123   //smb联动ldap   要输入ldap的密码
systemctl restart smb   //如果正常启动就没有问题
useradd zsuser   //samb需要本地用户有ID所以需要在本地创建一个本地用户
useradd lsusr
useradd wuusr
smbpasswd -a zsuser
smbpasswd -a lsuser
smbpasswd -a wuusr
测试
yum -y install samba-client  
[root@insidecli ~]# smbclient -L=192.168.100.200 -U zsuser         
Enter SAMBA\zsuser's password: 

        Sharename       Type      Comment
        ---------       ----      -------
        share1          Disk      
        public          Disk      
        IPC$            IPC       IPC Service (Samba 4.10.16)
Reconnecting with SMB1 for workgroup listing.

        Server               Comment
        ---------            -------

        Workgroup            Master

[root@insidecli ~]# smbclient //192.168.100.200/share1 -U zsuser
Enter SAMBA\zsuser's password: 
Try "help" to get a list of possible commands.
smb: \> 
smb: \> 
smb: \> ls
  .                                   D        0  Mon Nov  7 14:19:00 2022
  ..                                  D        0  Mon Nov  7 14:02:53 2022
  test.txt                            A        0  Mon Nov  7 14:19:00 2022

                17811456 blocks of size 1024. 15987884 blocks available
smb: \> put test.doc
putting file test.doc as \test.doc (0.0 kb/s) (average 0.0 kb/s)
smb: \> ls
  .                                   D        0  Mon Nov  7 14:38:48 2022
  ..                                  D        0  Mon Nov  7 14:02:53 2022
  test.txt                            A        0  Mon Nov  7 14:19:00 2022
  test.doc                            A        0  Mon Nov  7 14:38:48 2022

                17811456 blocks of size 1024. 15987884 blocks available
smb: \> 
//这效果跟我没有建立ldap是一样的,建议圆滑点,不用做ldap也能拿满分

LDAP

安装 slapd,为 samba 服务提供账户认证

创建 chinaskills.cn 目录服务,创建 users 组织单元,并创建用户 组 ldsgp ,将 zsuser、lsusr、wuusr 加入 ldsgp 组。

yum install openldap-servers openldap-clients -y
slappasswd -s 123   //设置slapd密码
{SSHA}cZXMT165vMoGShSBCrwX1lbrbrYNDBON  //加密的密码要复制
vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif
	dn: olcDatabase={2}hdb
	objectClass: olcDatabaseConfig
	objectClass: olcHdbConfig
	olcDatabase: {2}hdb
	olcDbDirectory: /var/lib/ldap
	olcSuffix: dc=chinaskills,dc=cn					//修改题目需要
	olcRootDN: cn=Manager,dc=chinaskills,dc=cn		//修改题目需要
	olcDbIndex: objectClass eq,pres
	olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
	structuralObjectClass: olcHdbConfig
	entryUUID: 1e20e918-bfaf-103c-9ba0-e91fe8f8981a
	creatorsName: cn=config
	createTimestamp: 20220903083532Z
	entryCSN: 20220903083532.329466Z#000000#000#000000
	modifiersName: cn=config
	modifyTimestamp: 20220903083532Z
	olcRootPW: {SSHA}cZXMT165vMoGShSBCrwX1lbrbrYNDBON		//OpenLDAP管理员的密码,就是我们刚刚生成
vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{1\}monitor.ldif
	dn: olcDatabase={1}monitor
	objectClass: olcDatabaseConfig
	olcDatabase: {1}monitor
	olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
	 al,cn=auth" read by dn.base="cn=Manager,dc=chinaskills,dc=cn" read by * none   	//修改题目需求
	structuralObjectClass: olcDatabaseConfig
	entryUUID: 1e20e53a-bfaf-103c-9b9f-e91fe8f8981a
	creatorsName: cn=config
	createTimestamp: 20220903083532Z
	entryCSN: 20220903083532.329367Z#000000#000#000000
	modifiersName: cn=config
	modifyTimestamp: 20220903083532Z
启动服务,并导入基本schema
systemctl start slapd
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"
导入基本数据库和用户组
vim base.ldif 
	dn: dc=chinaskills,dc=cn
	dc: chinaskills
	objectClass: top
	objectClass: domain
	objectClass: domainRelatedObject
	associatedDomain: chinaskills.cn

	dn: ou=users,dc=chinaskills,dc=cn
	objectclass: organizationalUnit
	ou: users

	dn: ou=ldsgp,dc=chinaskills,dc=cn
	objectClass: organizationalUnit
	ou: group
ldapadd -x -W -D "cn=Manager,dc=chinaskills,dc=cn" -f bash.ldif 
Enter LDAP Password: 			//刚开始设置的密码
adding new entry "dc=chinaskills,dc=cn"

adding new entry "ou=ldsgp,dc=chinaskills,dc=cn"
vim users.ldif
    dn: uid=zsuser,ou=users,dc=chinaskills,dc=cn
	objectClass: top
	objectClass: account
	objectClass: posixAccount
	objectClass: shadowAccount
	uid: zsuser
	cn: zsuser
	userPassword: ChinaSkill22
	shadowLastChange: 0
	shadowMax: 0
	shadowWarning: 0
	loginShell: /bin/bash
	uidNumber: 1008
	gidNumber: 1008
	homeDirectory: /home/zsuser
	gecos: zsuser

	dn: uid=lsusr,ou=users,dc=chinaskills,dc=cn
	objectClass: top
	objectClass: account
	objectClass: posixAccount
	objectClass: shadowAccount
	uid: lsusr
	cn: lsusr
	userPassword: ChinaSkill22
	shadowLastChange: 0
	shadowMax: 0
	shadowWarning: 0
	loginShell: /bin/bash
	uidNumber: 1009
	gidNumber: 1009
	homeDirectory: /home/lsusr
	gecos: lsusr

	dn: uid=wuusr,ou=users,dc=chinaskills,dc=cn
	objectClass: top
	objectClass: account
	objectClass: posixAccount
	objectClass: shadowAccount
	uid: wuusr
	cn: wuusr
	userPassword: ChinaSkill22
	shadowLastChange: 0
	shadowMax: 0
	shadowWarning: 0
	loginShell: /bin/bash
	uidNumber: 1010
	gidNumber: 1010
	homeDirectory: /home/wuusr
	gecos: wuusr
ldapadd -x -W -D "cn=Manager,dc=chinaskills,dc=cn" -f users.ldif 
Enter LDAP Password: 
adding new entry "uid=zsuser,ou=ldsgp,dc=chinaskills,dc=cn"

adding new entry "uid=lsusr,ou=ldsgp,dc=chinaskills,dc=cn"

adding new entry "uid=wuusr,ou=ldsgp,dc=chinaskills,dc=cn"
导入组
vim jr.ldif
    dn: cn=ldsgp,ou=users,dc=chinaskills,dc=cn
    objectclass: posixGroup
    gidNumber: 10001
	cn: ldsgp
	memberUid: zsuser
    memberUid: lsusr
	memberUid: wuusr
ldapadd -x -D "cn=admin,dc=chinaskills,dc=cn" -W -f jr.ldif  //让用户加入组中
修改配置文件
vim /etc/openldap/ldap.conf
	BASE	dc=chinaskills,dc=cn
    URI		192.168.100.200 192.168.100.200:389
测试
[root@StorageSrv yum.repos.d]# ldapsearch -x -b "dc=chinaskills,dc=cn" |grep "dn: dc"
dn: dc=chinaskills,dc=cn
[root@StorageSrv yum.repos.d]# ldapsearch -x -b "dc=chinaskills,dc=cn" |grep "dn: uid"
dn: uid=zsuser,ou=ldsgp,dc=chinaskills,dc=cn
dn: uid=lsusr,ou=ldsgp,dc=chinaskills,dc=cn
dn: uid=wuusr,ou=ldsgp,dc=chinaskills,dc=cn   //这里ou应该=users
[root@StorageSrv yum.repos.d]# ldapsearch -x -b "dc=chinaskills,dc=cn" |grep "dn: cn"
dn: cn=ldsgp,ou=users,dc=chinaskills,dc=cn
//目前无法为samba提供账号认证,有点迷,这个做的,但是不做也能拿答题卡的所有分数,这个我先不纠结了

ShellScript

编写添加用户的脚本,存储在/shells/userAdd.sh 目录

当有新员工入职时,管理员运行脚本为其创建公司账号

自动分配客户端账号、公司邮箱、samba 目录及权限、网站账号等

以 userAdd lifei 的方式运行脚本,lifei 为举例的员工姓名

yum -y install migrationtools   //安装ldap脚本工具
mkdir /shells
编写脚本
vim /shells/userADD.sh
#!/bin/bash

username=$1    
userpwd="ChinaSkill22"    

useradd -m -s /bin/bash $username   //创建用户
echo "$username:$userpwd" | chpasswd

cat /etc/passwd | tail -1 > /etc/openldap/newuser.db    //将用户信息做成信息数据库
/usr/share/migrationtools/migrate_passwd.pl /etc/openldap/newuser.db > 1.ldif   //利用模板跟信息数据库,建成ldap数据库
#/usr/share/migrationtiontools/migrate_group.pl /etc/openldap/newuser.db > newgroup.ldif
ldapadd -x -D "cn=Manager,dc=chinaskills,dc=cn" -w 123 -f 1.ldif   //添加用户信息
#ldapadd -x -D "cn=Manager,dc=chinaskills,dc=cn" -w 123 -f newgroup.ldif
#ldappasswd -H ldap://localhost -x -D "cn=Manager,dc=chinaskills,dc=cn" -w 123 -s 123 "uid=$username,ou=users,dc=chinaskills,dc=cn"

echo -e 'ChinaSkill22\nChinaSkill22\n' | smbpasswd -a $username &>/dev/null  //创建smaba用户
注释的可以全不需要,我留着只是想以后查漏补缺
修改migrationtoot脚本参数
vim /usr/share/migrationtools/migrate_common.ph 
	 $NAMINGCONTEXT{'passwd'}            = "cn=users";  //45行改为想要的用户组织单元
     $NAMINGCONTEXT{'passwd'}            = "ou=users";    //58改为users
	 $DEFAULT_MAIL_DOMAIN = "chinaskills.cn";  //71跟74改为题目的dc,dc
	 $DEFAULT_BASE = "dc=chinaskills,dc=cn";	
测试
[root@StorageSrv shells]# ./userADD.sh chen22
adding new entry "uid=chen22,ou=users,dc=chinaskills,dc=cn"
[root@StorageSrv shells]# ldapsearch -x -b "dc=chinaskills,dc=cn" |grep "dn: uid=chen22"
dn: uid=chen22,ou=users,dc=chinaskills,dc=cn
[root@StorageSrv shells]# pdbedit -L |grep chen22
chen22:1009:

Cockpit

安装 cockpit 来监测 ispsrv 服务器的状态

yum -y install cockpit 
systemctl start cockpit 

访问的时候在ip后面添加9090端口就可以访问了

//题目说要监测ispsrv的状态,但是答题卡对应的为什么是storagesrv的,以答题卡为准吧

系统优化

系统资源限制设置:设置所有用户的硬件跟软件的最大进程数、最大 文件打开数为 65535

开启 IPV4 恶意 icmp 错误消息保护

开启 SYN 洪水攻击保护

允许系统打开的端口范围为 1024-65000

vim /etc/sysctl.conf  //修改内核参数
    net.ipv4.tcp_syncookies = 1  //syn洪水攻击置位
    net.ipv4.icmp_ignore_bogus_error_responses = 1 //ipv4恶意icmp错误消息保护置位
    net.ipv4.ip_local_port_range = 1024 65000 //允许系统打开的端口范围1024-65000
    fs.file-max = 65535  //允许最大进程和最大文件打开数为65535
    
    
[root@StorageSrv shells]# sysctl -p    //立即生效
net.ipv4.tcp_syncookies = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.ip_local_port_range = 1024 65000
fs.file-max = 65535

磁盘快照

新增 15G 的磁盘,并将其做成 LVM 卷,VG 名称为 snapvg,LV 名称为 snaplv 大小为 5G,挂载至/snapdata 目录下

写入文本的文件数据至/snapdata 目录下,名称为 cs.txt,内容为 “this is test!”

对 LV 卷进行快照,要求创建的逻辑卷快照为只读,快照名称为 snapsrc

删除 cs.txt 文件,将快照挂载至/snap 目录下,进行文件数据的恢 复

添加15G的硬盘
echo "- - -" > /sys/class/scsi_host/host0/scan    //第一条一般都会出现
echo "- - -" > /sys/class/scsi_host/host1/scan
echo "- - -" > /sys/class/scsi_host/host2/scan
lsblk   //查看分区和磁盘信息
创建逻辑卷
vgcreate snapvg /dev/sdc  //编号要对应,创建卷组snapvg
lvcreate -L 5G -n snaplv snapvg //创建逻辑卷snaplv加入snapvg卷组大小为5G
mkfs.ext4 /dev/snapvg/snaplv  //格式化逻辑卷
mkdir /snapdata
mount /dev/snapvg/snaplv /snapdata/   //挂载到/snapdata目录下
[root@StorageSrv snapdata]# df -Th  //查看
文件系统                   类型      容量  已用  可用 已用% 挂载点
devtmpfs                   devtmpfs  475M     0  475M    0% /dev
tmpfs                      tmpfs     487M     0  487M    0% /dev/shm
tmpfs                      tmpfs     487M   14M  473M    3% /run
tmpfs                      tmpfs     487M     0  487M    0% /sys/fs/cgroup
/dev/mapper/centos-root    xfs        17G  1.9G   16G   11% /
/dev/sda1                  xfs      1014M  137M  878M   14% /boot
/dev/sr0                   iso9660   9.5G  9.5G     0  100% /mnt
tmpfs                      tmpfs      98M     0   98M    0% /run/user/0
/dev/mapper/vdodisk        ext4      148G   61M  140G    1% /vdodata
tmpfs                      tmpfs      98M     0   98M    0% /run/user/1001
/dev/mapper/snapvg-snaplv  ext4      4.8G   20M  4.6G    1% /snapdata
创建逻辑卷快照
echo "this is test! " >> /snapdata/cs.txt   //创建测试文件
lvcreate -L 100M -s -p r -n snapsrc /dev/snapvg/snaplv   //创建大小为100M只读的快照snapsrc
测试
mkdir /snap
rm -rf /snapdata/cs.txt   //删除测试文件
mount /dev/snapvg/snapsrc /snap   //快照挂载到snap目录下,实现数据恢复
[root@StorageSrv snapdata]# tail /snap/cs.txt 
this is test! 
文章来源:https://blog.csdn.net/qq2353177176/article/details/135362367
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。