EXAM6

执行lab-resetvm还原虚拟机，以下所有操作均在虚拟机上完成：

1>编写防火墙脚本，并实现开机自动生效，要求如下：

1）允许来自回环接口的所有封包

2）允许所有ESTABLISHED，RELATED封包

3）拒绝所有非192.168.0.0/24网络的ping

4) 只允许192.168.0.0/24网络访问sshd、httpd、vsftpd服务

5）拒绝所有未允许的封包

# vim test.sh

#!/bin/bash

modprobe nf_conntrack_ftp

iptables -F

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -s 192.168.0.0/24 -p icmp -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state NEW -s 192.168.0.0/24 -p tcp –-dport 21 -j ACCEPT

iptables -A INPUT -m state --state NEW -s 192.168.0.0/24 -p tcp –-dport 22 -j ACCEPT

iptables -A INPUT -m state --state NEW -s 192.168.0.0/24 -p tcp –-dport 80 -j ACCEPT

iptables -A INPUT -j REJECT

chmod +x test.sh

2>配置rsyslog，将serverX上所有*.info日志消息以UDP发送到desktopX上，确认desktopX可以接收。

[root@desktop11~]# vim /etc/rsyslog.conf

#ModLoad imudp.so

#UDPServerRun 514.............把这两行的注释符【#】去掉,意为接受UDP 包

[root@desktop11~]#/etc/init.d rsyslog restart

[root@server11~]# vim /etcrsyslog.conf

在local7.* /var/log/boot.log 行下添加以下行

*.info @192.168.0.11

[root@server11~]# /etc/init.d/rsyslog restart

[root@server11~]# logger “hello”

[root@desktop11~]# tail /var/log/message

3.配置iscsi，目标ip：192.168.0.254目标：iqn.-.example:rdisks.serverX,分区格式化并永久挂载到/iscsi。

# iscsiadm -m discovery -t st -p 192.168.0.254

# iscsiadm -m node -T iqn.-.example:rdisks.server11 -p 192.168.0.254 -l

# ll /dev/sda.................................此时会发现新设备 /dev/sda

# fdisk /dev/sda

此时，可以把该分区当作本地分区使用

# vim /etc/fstab............................使用UUID而非 /dev/sda1

UUID=“...” /iscsi ext4 _netdev 0 0

若创建该分区为加密分区，则使用/dev/mapper/iscsi,因UUID会发生变化

若取消该分区使用：

# iscsiadm -m node -T iqn.-.example:rdisks.server11 -p 192.168.0.254 -u

# iscsiadm -m node -T iqn.-.example:rdisks.server11 -p 192.168.0.254 -o delete

# vim /etc/fstab........去掉之前添加的内容即可

服务端创建网络硬盘：

# yum install -y scsi*

# vim /etc/tgt/targets.conf

<target iqn.-.example:server.target1>

backing-store /dev/vda3

</target>

4.配置https，自签名证书，要求如下：

密钥为1024位，无需密钥短语

国家/地区代码：CN

州/省/自治区/直辖市: Shaanxi

所在地：Xi'an

单位：Westos

通用名称：

# yum install -y crypto-utils mod_ssl

# genkey --days 365

按提示添加题中内容

# openssl x509 -text < /etc/pki/tls/certs/.crt ...............查看证书

# /etc/init.d/httpd restart

打开浏览器，输入网址，https://192.168.0.111查看验证信息

5.部署两个虚拟主机，要求如下：

1）虚拟主机1：, 发布目录：/var/www/virtual

2）虚拟主机2：，发布目录：/www/virtual

3）其中/www/virtual/private是受保护区域，需要用户验证，用户名：wxh 密码：westos

4）下载CGI文件ftp：//instructor/pub/gls/special.cgi，并将其安装为/cgi-bin/special.cgi

# mkdir /var/www/virtual -p

# echo this is server11 > /var/www/virtual/index.html

# mkdir /www/virtual -p

# echo this is www11 > /www/virtual/index.html

# vim /etc/httpd/conf/httpd.conf

NameVirtualHost *:80 .........取消改行前面的注释【#】

<VirtualHost *:80>

DocumentRoot /var/www/virtual

ServerName

</VirtualHost>

<VirtualHost *:80>

DocumentRoot /www/virtual

ServerName

</VirtualHost>

# /etc/init.d/httpd restart

此时，在浏览器地址栏输入 看到【this is server11】

在浏览器地址栏输入 看到【this is www11】

3）

# useradd wxh

# useradd leo

# htpasswd -cm /etc/httpd/.htpasswd wxh...........将该用户密码保存该文件下

# htpasswd -m /etc/httpd/.htpasswd leo...............第二次时【-m】

# mkdir -p /www/virtual/private

# echo wo ai ni > /www/virtual/private/index.html

# vim /etc/httpd/conf/httpd.conf

NameVirtualHost *:80 .........取消改行前面的注释【#】

<VirtualHost *:80>

DocumentRoot /www/virtual

ServerName

<directory /www/virtual/private>.........................指定保密的目录

authname “secret page”

authtype basic

authuserfile /etc/httpd/.htpasswd.................指定密码

require user wxh 【若允许所有用户，则为 valid-user】

</directory>

</VirtualHost>

# /etc/init.d/httpd restart

此时，打开浏览器输入

提示输入用户和密码即可

4）

# wget ftp://192.168.0.254/pub/gls/special.cgi -P /www/cgi-bin

# chmod +x /www/cgi-bin/special.cgi

# chcon --reference=/var/www/cgi-bin /www/cgi-bin -R

【注意:默认情况下: SELinux 限制 CGI 脚本工作,只有以下目录默认是允许执行 CGI 脚本的 : /var/www/cgi-bin; /var/www/*/cgi-bin/; /var/www/html/*/cgi-bin/

其他位置需要手动添加,并标记为类型: httpd_sys_script_exec_t 】

# vim /etc/httpd/conf/httpd.conf

NameVirtualHost *:80 .........取消改行前面的注释【#】

<VirtualHost *:80>

DocumentRoot /www/virtual

ServerName

ScriptsAlias /cgi-bin/ “/www/cgi-bin/”

</VirtualHost>

# /etc/init.d/httpd restart

此时打开浏览器，地址栏输入 /cgi-bin/special.cgi

输出为Hello World

注：3）为Apache 无格式文件用户身份验证

以下为Apache LDAP 用户身份验证

1. 配置客户端 LDAP 身份验证,将 用作 LDAP 服务器, dc=example,dc=com

并使用在 ftp:///pub/example-ca.crt 上的证书 , 选择 LDAP 密码。

2. 下载 LDAP 证书 ftp:///pub/example-ca.crt ,并将其复制到 /etc/httpd

[root@sevrerX ~]# wget ftp:///pub/example-ca.crt -P /etc/httpd

3.图形下配置ldap

4. 假设之前定义 VirtualHost 块,请将诸如以下内容添加至 VirtualHost 块:

# vim /etc/httpd.conf/httpd.conf

NameVirtualHost *:80 .........取消改行前面的注释【#】

LDAPTrustedGlobalCert CA_BASE64 /etc/httpd/example-ca.crt

<VirtualHost *:80>

DocumentRoot /www/virtual

ServerName

<Directory /www11/virtual> 。。。。该处指定目录为DocumentRoot指定目录或其子目录

AuthName “secret page”

AuthType basic

AuthBasicProvider ldap

AuthLDAPUrl “ldap:///dc=example,dc=com” TLS

Require valid-user

</Directory>

</VirtualHost>

5. 重启 apache 服务,并使用 Web 浏览器测试访问,以用户 ldapuser1 和密码 password 登录。