13.08-.-Lab Questions

jinyuliang

       
       
实战演练

实验1
1、你的公司最近收购了大洋彼岸的另外一个竞争对手，此时新的公司应用程序正在向各处部署，所以你也给他们发送了这些程序。他们为这个应用程序在他们的网络上使用了一台Unix主机。为了在你部署的这个新系统应用中进行维护，你需要可以安全地连接到这台主机。两个网络都已经接入了因特网。
你会怎么做？
答案
1、如果现在需要远程连接，并且两个系统都已经连接到了因特网，为了安全的通信，你可以安装SSH。如果另一个网络还没有安装SSH，可以要求远程系统的管理员下载并安装它，最后还要为你创建一个用户。
这里描述的基本步骤可能因远程网络使用的Unix主机版本不同而不同。如果它是一台红帽企业版Linux系统，你需要的只是本章中描述的SSH软件包，但是你可能并没有这样的奢侈品。
下载OpenSSH的源代码包，放在一个专门的目录里。（这里假定你的Unix版本不能处理RPM包，因此你需要解压一个tar包。）然后你可以解压tar包里的文件，并且使用解压出的目录中的文件编译和配置一个SSH服务器。一旦配置完成，你还可以选择设置公钥和私钥。
如果你不需要马上进行连接，另一个选择是，你去配置一台含有SSH服务的红帽企业版Linux系统。把这台电脑送到远程Unix网络的管理员那里。让管理员把它增加到他（或她）的网络中去，你就可以安全地从你的位置检查疑难问题了。那个应用程序可以在你送去的Linux计算机上运行。（另一个选择是，你可以送去一台装有OpenSSH的Microsoft Windows机器，我们在本章的前面描述了这个情形。）
实验2
2、在这个实验中，你仍然需要两台Linux计算机：一台DHCP服务器，一台DHCP客户端。使用本章前面创建的DHCP服务器，为你的计算机设置一个静态的IP地址。你将会想要为这台服务器指定一个特定的名称precious.example.com，并且为其指定10.11.12.0网络上的IP地址10.11.12.13。同时还假定你还为网络example.com设置了合适的DNS服务器。
答案
2、假定你已经阅读了本章的内容，已经看过了dhcpd.conf.sample配置文件中设置静态IP地址的模板：
host ns {
next-server marvin.redhat.com
hardware ethernet 12:34:56:78:AB:CD;
fixed-address 207.175.42.254;
}
正如本章描述的那样，next-server指令是和这台计算机的启动服务器关联的，既然这里没有提及启动服务器，那么你就不需要这个指令。为了配置DHCP服务器，按照下面的步骤做：
1、在DHCP服务器计算机上，打开文件/etc/dhcpd.conf。如果这个文件不存在，说明你还没有在这台计算机创建好DHCP服务。
2、在DHCP配置文件中设立一个新的主机名：
host precious {
3、在DHCP客户机上，运行ifconfig命令，找出这台计算机的以太网网卡的物理地址。为了这个练习的需要，我们在下面的命令行中使用AB:CD:EF:12:34:56来代替你的网卡的物理地址：
hardware ethernet AB:CD:EF:12:34:56
4、最后，你可以通过设置你想要指派给DHCP客户机的静态IP地址来完成这一行的配置：
fixed-address 10.11.12.13
}
5、把你的改动保存到配置文件/etc/dhcpd.conf中去。用下面命令重启DHCP服务守护进程：
#service dhcpd restart
6、现在，转到DHCP客户端去，就是precious.example.com这台计算机。你可以使用下面命令为任意一个DHCP客户端释放所有IP：
#dhclient –r
7、最后，你可以看看DHCP客户端是否确实接受了来自DHCP服务器的静态IP地址，执行下面命令：
#dhclient
#ifconfig
实验3
3、为了做这个实验，你需要一个搭档的帮助。让他（或她）按照下面这个实验答案中的步骤设立你的系统。这个实验的目的是帮助你提高红帽考试中“发现并修理故障和系统维护”部分的能力。
答案
3、实验3第一部分：
你现在要为你的搭档设立这个实验系统（我把这些答案按照不同的次序排列了，首先是实验环境的建立，这是为了防止提前看到真正的答案），按照下面的步骤做：

确保你的系统支持并且已经激活了SSH服务，而且你的系统中包含有你搭档的用户名和密码。如果他的密码是不公开的，可以让他来输入密码。

现在，接管你搭档的红帽系统，确保你们的计算机之间有连接。

按照这一章的描述来配置SSH服务。如果你的系统中配置了一个防火墙，确保要打开端口22来放行本地的SSH服务通信。这里你可以使用第15章描述的红帽安全级别配置工具（Red Hat Security Level configuration tool ）。

修改你的SSH服务器配置文件，使其允许其他用户使用，但是不包括你搭档的用户名。就像本描述的那样，这需要修改文件/etc/ssh/sshd_config中的AllowUsers参数。

不要忘记让sshd服务重新加载配置文件，可以使用这个命令：service sshd reload。

把你的搭档的系统交还给他（或她）。实验3第二部分是给你搭档的指导。
实验3第二部分：

从你的搭档手中接管你的系统，以一个常规用户身份登录。使用你的用户名，通过ssh命令登录到你的搭档的系统中去。重复这个过程再来登录到你自己的系统中去。发生了什么？

回到你的系统，分析日志文件。你看到了什么？文件/var/log/secure中有什么特别的地方吗？

实验4
4、这个实验对于你的搭档来说有一个和实验3相似的情节。参考实验答案部分去找到你需要配置的东西。
答案
4、实验4第一部分：

确保你的系统支持并且已经激活了SSH服务，而且你的系统中包含有你搭档的用户名和密码。如果他的密码是不公开的，可以让他来输入密码。

接管你搭档的红帽系统，确保你们的计算机之间有连接。

按照这一章的描述来配置SSH服务。如果你的系统中配置了一个防火墙，确保要打开端口22来放行本地的SSH服务通信。这里你可以使用第15章描述的红帽安全级别配置工具（Red Hat Security Level configuration tool ）。

修改SSH服务的配置文件，禁止root用户的登录。就像本描述的那样，这需要修改文件/etc/ssh/sshd_config中的PermitRootLogin no参数。

把系统交还给你的搭档。实验4第二部分是给你搭档的指导。
实验4 第二部分：

从你的搭档手中接管你的系统，以一个常规用户身份登录。使用root用户，通过ssh命令登录到你的搭档的系统中去。重复这个过程再来登录到你自己的系统中去。发生了什么？

回到你的系统，分析日志文件。你看到了什么？文件/var/log/secure中有什么特别的地方吗？


实验5
5、这个实验要求两台你能支配的系统，或者至少你可以把另一台机器配置成为一台NTP客户端。配置红帽企业版Linux系统成为一台NTP服务器，对你的IP地址段所在的本地子网放行使用授权。确保服务已经开启了，并且在下次重启Linux的时候会自动启动。
答案
5、在配置一个NTP服务器系统之前，你首先应改把它配置成一个客户机。最简单的办法是使用时间和日期配置工具（Date/Time Configuration tool,），可以在图形用户界面下使用命令system-config-date来启动它。
一旦客户机配置好了，要确保NTP服务已经运行，并且设置好了开机自启动。最简单的办法是使用下面的命令，如果你在红帽系统中配置过其他的服务，这些你会非常熟悉：
#chkconfig ntpd on
#service ntpd start
打开NTP配置文件/etc/ntpd.conf。增加合适的restrict参数来打开其他系统的使用权。下面的例子是文件中的注释，它适合于网络192.168.1.0。
# restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
如果你的局域网使用的是不同的网络地址和子网掩码，用相应的地址代替上面例子中的参数。如果是一个IPv6网络，需要用restrict-6这个参数。保存了更改以后，使用下面命令是NTP服务重新加载新的配置文件：
#service ntpd reload
现在你可以回到第二个系统中去，配置客户端连接到你刚刚创建的本地NTP服务器上。如果在第二台机器上有时间和日期配置工具（Date/Time Configuration tool），最简单的办法是使用system-config-date命令打开它，然后在其中配置上你刚刚创建的NTP服务器的域名或者IP地址。
Copyleft © 2008 All Rights Released


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/68417/showart_1278135.html