Linux系統(tǒng)管理基礎(chǔ)項(xiàng)目教程（CentOS Stream 9）（第2版）（微課版）-課后練習(xí)題及答案 項(xiàng)目7-16

項(xiàng)目七練習(xí)題參考答案1、選擇題（1）在Linux中，創(chuàng)建新分區(qū)時通常使用的工具是（）。A．mkfs B．fdisk C．mount D．resize2fs參考答案：B（2）為確保分區(qū)在每次系統(tǒng)啟動時自動掛載，需要編輯的文件是（）。A．/etc/fstab B．/etc/mtab C．/etc/hostname D．/etc/passwd參考答案：A（3）在Linux中，磁盤分區(qū)的類型標(biāo)識符一般是（）。A．UUID B．LABEL C．文件系統(tǒng)類型 D．分區(qū)編號參考答案：A（4）在LVM中，物理卷是指（）。A．邏輯卷的鏡像 B．物理磁盤或分區(qū) C．文件系統(tǒng)的元數(shù)據(jù) D．交換分區(qū)參考答案：B（5）如果需要擴(kuò)展邏輯卷的大小，則應(yīng)該使用的命令是（）。A．lvextend B．lvreduce C．lvremove D．lvcreate參考答案：A（6）在Linux操作系統(tǒng)中，邏輯卷管理的一個重要優(yōu)勢是（）。A．易于備份 B．支持動態(tài)調(diào)整 C．文件系統(tǒng)性能提升 D．?dāng)?shù)據(jù)加密支持參考答案：B2、實(shí)訓(xùn)題（1）對系統(tǒng)中第二塊磁盤（設(shè)備名為/dev/sdb）進(jìn)行分區(qū)操作。[root@localhost~]#fdisk/dev/sdb歡迎使用fdisk(util-linux2.37.4)。更改將停留在內(nèi)存中，直到您決定將更改寫入磁盤。使用寫入命令前請三思。設(shè)備不包含可識別的分區(qū)表。創(chuàng)建了一個磁盤標(biāo)識符為0x7aa8eeb7的新DOS磁盤標(biāo)簽。命令(輸入m獲取幫助)：（2）在磁盤/dev/sdb上完成以下操作：創(chuàng)建一個新的??主分區(qū)??，使用默認(rèn)分區(qū)編號（1），指定分區(qū)大小為??512MB??，起始扇區(qū)使用默認(rèn)值（2048）。命令(輸入m獲取幫助)：n分區(qū)類型p主分區(qū)(0primary,0extended,4free)e擴(kuò)展分區(qū)(邏輯分區(qū)容器)選擇(默認(rèn)p)：p分區(qū)號(1-4,默認(rèn)1):1第一個扇區(qū)(2048-41943039,默認(rèn)2048):最后一個扇區(qū)，+/-sectors或+size{K,M,G,T,P}(2048-41943039,默認(rèn)41943039):+512M創(chuàng)建了一個新分區(qū)1，類型為“Linux”，大小為512MiB。命令(輸入m獲取幫助)：（3）將新創(chuàng)建的分區(qū)類型更改為??LinuxSwap??（十六進(jìn)制代碼82）。設(shè)備啟動起點(diǎn)末尾扇區(qū)大小Id類型/dev/sdb1204810506231048576512M83Linux命令(輸入m獲取幫助)：t已選擇分區(qū)1Hex代碼或別名（輸入L列出所有代碼）：LHex代碼或別名（輸入L列出所有代碼）：82已將分區(qū)“Linux”的類型更改為“Linuxswap/Solaris”。（4）保存所有分區(qū)操作并退出fdisk工具。命令(輸入m獲取幫助)：w分區(qū)表已調(diào)整。將調(diào)用ioctl()來重新讀分區(qū)表。正在同步磁盤。[root@localhost~]#（5）通知系統(tǒng)內(nèi)核重新讀取磁盤/dev/sdb的分區(qū)信息。[root@localhost~]#partprobe/dev/sdb（6）查看磁盤/dev/sdb的詳細(xì)信息，確認(rèn)新分區(qū)大小為??512MB??，類型為Linuxswap。[root@localhost~]#lsblk-f/dev/sdbNAMEFSTYPEFSVERLABELUUIDFSAVAILFSUSE%MOUNTPOINTSsdb└─sdb1[root@localhost~]#（7）為系統(tǒng)中的第二塊磁盤（設(shè)備名為/dev/sdb）配置??GPT分區(qū)方案??，覆蓋現(xiàn)有分區(qū)結(jié)構(gòu)。[root@localhost~]#parted/dev/sdbmklabelgpt警告:現(xiàn)有/dev/sdb上的磁盤卷標(biāo)將被銷毀，而所有在這個磁盤上的數(shù)據(jù)將會丟失。您要繼續(xù)嗎？是/Yes/否/No?Yes信息:你可能需要/etc/fstab。[root@localhost~]#parted/dev/sdbprint|grep"PartitionTable"[root@localhost~]#（8）在/dev/sdb上完成以下操作：創(chuàng)建一個新分區(qū)，分區(qū)名稱為swapspace，文件系統(tǒng)類型標(biāo)記為linux-swap，分區(qū)起始位置為??2048扇區(qū)??，結(jié)束位置為??512MB??。[root@localhost~]#parted/dev/sdbmkpartswapspacelinux-swap2048s512MB信息:你可能需要/etc/fstab。[root@localhost~]#parted/dev/sdbprint型號：VMware,VMwareVirtualS(scsi)磁盤/dev/sdb：21.5GB扇區(qū)大小(邏輯/物理)：512B/512B分區(qū)表：gpt磁盤標(biāo)志：編號起始點(diǎn)結(jié)束點(diǎn)大小文件系統(tǒng)名稱標(biāo)志11049kB512MB511MBswapspace交換[root@localhost~]#（9）以??MiB??為單位顯示/dev/sdb的分區(qū)信息，并記錄分區(qū)結(jié)束位置。[root@localhost~]#parted/dev/sdbunitMiBprint型號：VMware,VMwareVirtualS(scsi)磁盤/dev/sdb：20480MiB扇區(qū)大小(邏輯/物理)：512B/512B分區(qū)表：gpt磁盤標(biāo)志：編號起始點(diǎn)結(jié)束點(diǎn)大小文件系統(tǒng)名稱標(biāo)志11.00MiB488MiB487MiBswapspace交換[root@localhost~]#（10）刪除/dev/sdb上的第一個分區(qū)，確保操作后該分區(qū)不再存在。[root@localhost~]#parted/dev/sdbrm1信息:你可能需要/etc/fstab。[root@localhost~]#parted/dev/sdbprint型號：VMware,VMwareVirtualS(scsi)磁盤/dev/sdb：21.5GB扇區(qū)大小(邏輯/物理)：512B/512B分區(qū)表：gpt磁盤標(biāo)志：編號起始點(diǎn)結(jié)束點(diǎn)大小文件系統(tǒng)名稱標(biāo)志[root@localhost~]#（11）在分區(qū)操作完成后，確保系統(tǒng)內(nèi)核立即識別到/dev/sdb的分區(qū)表變更。[root@localhost~]#udevadmsettle（12）為/dev/sdb創(chuàng)建??GPT分區(qū)表??，新建一個名為data的分區(qū)，類型標(biāo)記為xfs，起始位置??1MiB??，結(jié)束位置??10GiB??，以??扇區(qū)（s）??為單位查看分區(qū)詳細(xì)信息。[root@localhost~]#parted/dev/sdbmklabelgpt警告:現(xiàn)有/dev/sdb上的磁盤卷標(biāo)將被銷毀，而所有在這個磁盤上的數(shù)據(jù)將會丟失。您要繼續(xù)嗎？是/Yes/否/No?Yes信息:你可能需要/etc/fstab。[root@localhost~]#parted/dev/sdbmkpartdataxfs1MiB10GiB信息:你可能需要/etc/fstab。[root@localhost~]#parted/dev/sdbunitsprint型號：VMware,VMwareVirtualS(scsi)磁盤/dev/sdb：41943040s扇區(qū)大小(邏輯/物理)：512B/512B分區(qū)表：gpt磁盤標(biāo)志：編號起始點(diǎn)結(jié)束點(diǎn)大小文件系統(tǒng)名稱標(biāo)志12048s20971519s20969472sdata[root@localhost~]#（13）在磁盤/dev/sdb的第一個分區(qū)上創(chuàng)建??XFS文件系統(tǒng)??。[root@localhost~]#mkfs.xfs/dev/sdb1meta-data=/dev/sdb1isize=512agcount=4,agsize=655296blks=sectsz=512attr=2,projid32bit=1=crc=1finobt=1,sparse=1,rmapbt=0=reflink=1bigtime=1inobtcount=1nrext64=0data=bsize=4096blocks=2621184,imaxpct=25=sunit=0swidth=0blksnaming=version2bsize=4096ascii-ci=0,ftype=1log=internallogbsize=4096blocks=16384,version=2=sectsz=512sunit=0blks,lazy-count=1realtime=noneextsz=4096blocks=0,rtextents=0[root@localhost~]#blkid/dev/sdb1/dev/sdb1:UUID="48c7a9c4-adf0-43bf-9930-e770b6dc0437"TYPE="xfs"PARTLABEL="data"PARTUUID="2f30621c-6004-4a5b-ab60-b76642760739"[root@localhost~]#（14）將/dev/sdb1分區(qū)臨時掛載到系統(tǒng)的/mnt目錄，并驗(yàn)證掛載狀態(tài)。[root@localhost~]#mount/dev/sdb1/mnt[root@localhost~]#mount|grep/mnt/dev/sdb1on/mnttypexfs(rw,relatime,seclabel,attr2,inode64,logbufs=8,logbsize=32k,noquota)[root@localhost~]#[root@localhost~]#（15）將/dev/sdb1分區(qū)配置為系統(tǒng)啟動時??自動掛載到/data??，使用??UUID??標(biāo)識設(shè)備。[root@localhost~]#blkid/dev/sdb1[root@localhost~]#echo"UUID=48c7a9c4-adf0-43bf-9930-e770b6dc0437/dataxfsdefaults00">>/etc/fstab[root@localhost~]#systemctldaemon-reload[root@localhost~]#mount-a（16）卸載/mnt目錄下的文件系統(tǒng)，重啟系統(tǒng)后檢查/data是否自動掛載。[root@localhost~]#umount/mnt[root@localhost~]#reboot[root@localhost~]#mount|grep/data/dev/sdb1on/datatypexfs(rw,relatime,seclabel,attr2,inode64,logbufs=8,logbsize=32k,noquota)（17）在/dev/sdb上創(chuàng)建一個??512MB的交換分區(qū)??（假設(shè)已分區(qū)為/dev/sdb2），格式化交換分區(qū)并啟用，配置系統(tǒng)啟動時自動啟用該交換空間。[root@localhost~]#mkswap/dev/sdb2正在設(shè)置交換空間版本1，大小=10GiB(10737393664個字節(jié))無標(biāo)簽，UUID=b5f8336f-ea6f-4825-929f-5cda8181fafe[root@localhost~]#swapon/dev/sdb2[root@localhost~]#echo"/dev/sdb2swapswapdefaults00">>/etc/fstab[root@localhost~]#swapon--showNAMETYPESIZEUSEDPRIO/dev/dm-1partition3.9G0B-2/dev/sdb2partition10G0B-3[root@localhost~]#（18）清空/dev/sda磁盤上的所有分區(qū)，使其成為未分配狀態(tài)的空白磁盤。[root@node1~]#parted/dev/sdarm1Error:/dev/sda:unrecogniseddisklabel[root@node1~]#parted/dev/sdaprintError:/dev/sda:unrecogniseddisklabelModel:VMware,VMwareVirtualS(scsi)Disk/dev/sda:21.5GBSectorsize(logical/physical):512B/512BPartitionTable:unknownDiskFlags:[root@node1~]#（19）將/dev/sda初始化為??LVM物理卷??。[root@node1~]#pvcreate/dev/sdaPhysicalvolume"/dev/sda"successfullycreated.[root@node1~]#pvdisplay/dev/sdaDevicesfilesys_wwideui.356a6fff2ce21bb9000c296841b4e666PVIDTYk6rflEzWzWiEhfqGmXMONvX2e72Zzulastseenon/dev/nvme0n1p3notfound."/dev/sda"isanewphysicalvolumeof"20.00GiB"NEWPhysicalvolumePVName/dev/sdaVGNamePVSize20.00GiBAllocatableNOPESize0TotalPE0FreePE0AllocatedPE0PVUUIDYjVHCQ-IW5H-aCdD-58uV-ki7o-oSB6-Mrafy3[root@node1~]#（20）將/dev/sda加入名為vg_storage的卷組。[root@node1~]#vgcreatevg_storage/dev/sdaVolumegroup"vg_storage"successfullycreated[root@node1~]#vgdisplayvg_storageDevicesfilesys_wwideui.356a6fff2ce21bb9000c296841b4e666PVIDTYk6rflEzWzWiEhfqGmXMONvX2e72Zzulastseenon/dev/nvme0n1p3notfound.VolumegroupVGNamevg_storageSystemIDFormatlvm2MetadataAreas1MetadataSequenceNo1VGAccessread/writeVGStatusresizableMAXLV0CurLV0OpenLV0MaxPV0CurPV1ActPV1VGSize<20.00GiBPESize4.00MiBTotalPE5119AllocPE/Size0/0FreePE/Size5119/<20.00GiBVGUUIDQLK9xT-6cfd-Mzld-BMIu-KZ2c-5PGq-5pxuwv[root@node1~]#（21）在vg_storage中創(chuàng)建名為lv_data的邏輯卷，分配??10GiB??空間。[root@node1~]#lvcreate-nlv_data-L10Gvg_storageLogicalvolume"lv_data"created.[root@node1~]#lvdisplay/dev/vg_storage/lv_dataDevicesfilesys_wwideui.356a6fff2ce21bb9000c296841b4e666PVIDTYk6rflEzWzWiEhfqGmXMONvX2e72Zzulastseenon/dev/nvme0n1p3notfound.LogicalvolumeLVPath/dev/vg_storage/lv_dataLVNamelv_dataVGNamevg_storageLVUUIDuva9eU-S163-qx0P-OW2v-EFQ3-pQto-PZ8EZxLVWriteAccessread/writeLVCreationhost,timenode1,2025-05-1407:20:03-0400LVStatusavailable#open0LVSize10.00GiBCurrentLE2560Segments1AllocationinheritReadaheadsectorsauto-currentlysetto256Blockdevice253:2[root@node1~]#（22）將lv_data格式化為??XFS文件系統(tǒng)??。[root@node1~]#mkfs.xfs/dev/vg_storage/lv_datameta-data=/dev/vg_storage/lv_dataisize=512agcount=4,agsize=655360blks=sectsz=512attr=2,projid32bit=1=crc=1finobt=1,sparse=1,rmapbt=0=reflink=1bigtime=1inobtcount=1nrext64=0data=bsize=4096blocks=2621440,imaxpct=25=sunit=0swidth=0blksnaming=version2bsize=4096ascii-ci=0,ftype=1log=internallogbsize=4096blocks=16384,version=2=sectsz=512sunit=0blks,lazy-count=1realtime=noneextsz=4096blocks=0,rtextents=0[root@node1~]#blkid/dev/vg_storage/lv_data/dev/vg_storage/lv_data:UUID="e2adca12-3c92-433a-8644-5e8fa7a806da"TYPE="xfs"[root@node1~]#（23）配置系統(tǒng)啟動時自動掛載lv_data到默認(rèn)目錄/data，使用??UUID??標(biāo)識設(shè)備。[root@node1~]#echo"UUID=$(blkid-sUUID-ovalue/dev/vg_storage/lv_data)/dataxfsdefaults00">>/etc/fstab[root@node1~]#systemctldaemon-reload[root@node1~]#mount-a（24）卸載并刪除lv_data邏輯卷，刪除vg_storage卷組和/dev/sda物理卷。[root@node1~]#umount/data[root@node1~]#lvremove/dev/vg_storage/lv_dataDoyoureallywanttoremoveactivelogicalvolumevg_storage/lv_data?[y/n]:yLogicalvolume"lv_data"successfullyremoved.[root@node1~]#vgremovevg_storageVolumegroup"vg_storage"successfullyremoved[root@node1~]#pvremove/dev/sdaLabelsonphysicalvolume"/dev/sda"successfullywiped.[root@node1~]#（25）在/dev/sda上創(chuàng)建新分區(qū)（假設(shè)已清空磁盤），類型為??LinuxLVM??，將其初始化為物理卷，并添加到現(xiàn)有卷組vg_storage中。[root@node1~]#parted/dev/sdamkpartprimary1MiB5GiBInformation:Youmayneedtoupdate/etc/fstab.[root@node1~]#parted/dev/sdaset1lvmonInformation:Youmayneedtoupdate/etc/fstab.[root@node1~]#pvcreate/dev/sda1Physicalvolume"/dev/sda1"successfullycreated.[root@node1~]#vgcreatevg_storage/dev/sda1Volumegroup"vg_storage"successfullycreated[root@node1~]#vgdisplayvg_storageDevicesfilesys_wwideui.356a6fff2ce21bb9000c296841b4e666PVIDTYk6rflEzWzWiEhfqGmXMONvX2e72Zzulastseenon/dev/nvme0n1p3notfound.VolumegroupVGNamevg_storageSystemIDFormatlvm2MetadataAreas1MetadataSequenceNo1VGAccessread/writeVGStatusresizableMAXLV0CurLV0OpenLV0MaxPV0CurPV1ActPV1VGSize<5.00GiBPESize4.00MiBTotalPE1279AllocPE/Size0/0FreePE/Size1279/<5.00GiBVGUUIDHEcswG-hf1v-Lvl5-YGCO-xIuP-frHE-M0c8kM（26）將邏輯卷lv_data的大小增加??3GiB??，使用卷組vg_storage的空閑空間。[root@node1~]#lvextend-L+3G/dev/vg_storage/lv_dataInsufficientfreespace:768extentsneeded,butonly0available[root@node1~]#lvdisplay/dev/vg_storage/lv_dataDevicesfilesys_wwideui.356a6fff2ce21bb9000c296841b4e666PVIDTYk6rflEzWzWiEhfqGmXMONvX2e72Zzulastseenon/dev/nvme0n1p3notfound.LogicalvolumeLVPath/dev/vg_storage/lv_dataLVNamelv_dataVGNamevg_storageLVUUID9h4Z6V-eDqO-VENS-1JZ2-U84s-yxrx-Ez4GAfLVWriteAccessread/writeLVCreationhost,timenode1,2025-05-1410:51:49-0400LVStatusavailable#open0LVSize<5.00GiBCurrentLE1279Segments1AllocationinheritReadaheadsectorsauto-currentlysetto256Blockdevice253:2[root@node1~]#項(xiàng)目八練習(xí)題參考答案1、選擇題（1）在Linux操作系統(tǒng)中，防火墻最底層負(fù)責(zé)實(shí)際數(shù)據(jù)包過濾的組件是（）。A．iptables B．firewalld C．netfilter D．nftables參考答案：C（2）firewalld的永久生效模式需要使用的選項(xiàng)是（）。A．–runtime B．–permanent C．–reload D．--zone參考答案：B（3）SELinux在Linux操作系統(tǒng)中提供的增強(qiáng)安全功能主要基于（）。A．用戶密碼 B．網(wǎng)絡(luò)防火墻 C．安全上下文 D．磁盤加密參考答案：C（4）SELinux中的端口標(biāo)簽用于（）。A．限制某些端口的訪問 B．加密網(wǎng)絡(luò)通信C．限制進(jìn)程訪問特定端口 D．改變端口的優(yōu)先級參考答案：C（5）使用semanage命令查看HTTP服務(wù)的端口標(biāo)簽的命令為（）。A．semanageport-l|grephttp B．semanageport-l|grepsshC．semanagelistport|grephttp D．semanageport-shttp參考答案：A（6）使用firewalld配置NAT時，偽裝功能的作用是（）。A．將外部IP地址轉(zhuǎn)換為內(nèi)部網(wǎng)絡(luò)地址 B．將內(nèi)部網(wǎng)絡(luò)地址映射為公共IP地址C．顯示所有連接的狀態(tài) D．定義訪問控制列表參考答案：B2、實(shí)訓(xùn)題（1）顯示當(dāng)前系統(tǒng)中防火墻的所有配置信息，包括活躍區(qū)域、服務(wù)、端口等。[root@node1~]#firewall-cmd--list-allpublic(active)target:defaulticmp-block-inversion:nointerfaces:ens160sources:services:cockpitdhcpv6-clientsshports:protocols:forward:yesmasquerade:noforward-ports:source-ports:icmp-blocks:richrules:[root@node1~]#（2）列出防火墻支持的??所有預(yù)定義服務(wù)名稱??（如ssh、https等）。[root@node1~]#firewall-cmd--get-servicesRH-Satellite-6RH-Satellite-6-capsuleafpamanda-clientamanda-k5-clientamqpamqpsapcupsdauditausweisapp2baculabacula-clientbbbgpbitcoinbitcoin-rpcbitcoin-testnetbitcoin-testnet-rpcbittorrent-lsdcephceph-moncfenginecheckmk-agentcockpitcollectdcondor-collectorcratedbctdbdhcpdhcpv6dhcpv6-clientdistccdnsdns-over-tlsdocker-registrydocker-swarmdropbox-lansyncelasticsearchetcd-clientetcd-serverfingerforemanforeman-proxyfreeipa-4freeipa-ldapfreeipa-ldapsfreeipa-replicationfreeipa-trustftpgaleraganglia-clientganglia-mastergitgpsdgrafanagrehigh-availabilityhttphttp3httpsidentimapimapsipfsippipp-clientipsecircircsiscsi-targetisnsjenkinskadminkdeconnectkerberoskibanakloginkpasswdkpropkshellkube-apikube-apiserverkube-control-planekube-control-plane-securekube-controller-managerkube-controller-manager-securekube-nodeport-serviceskube-schedulerkube-scheduler-securekube-workerkubeletkubelet-readonlykubelet-workerldapldapslibvirtlibvirt-tlslightning-networkllmnrllmnr-tcpllmnr-udpmanagesievematrixmdnsmemcacheminidlnamongodbmoshmountdmqttmqtt-tlsms-wbtmssqlmurmurmysqlnbdnetbios-nsnetdata-dashboardnfsnfs3nmea-0183nrpentpnutopenvpnovirt-imageioovirt-storageconsoleovirt-vmconsoleplexpmcdpmproxypmwebapipmwebapispop3pop3spostgresqlprivoxyprometheusprometheus-node-exporterproxy-dhcpps3netsrvptppulseaudiopuppetmasterquasselradiusrdpredisredis-sentinelrpc-bindrquotadrshrsyncdrtspsalt-mastersambasamba-clientsamba-dcsanesipsipsslpsmtpsmtp-submissionsmtpssnmpsnmptlssnmptls-trapsnmptrapspideroak-lansyncspotify-syncsquidssdpsshsteam-streamingsvdrpsvnsyncthingsyncthing-guisynergysyslogsyslog-tlstelnettentacletftptile38tinctor-sockstransmission-clientupnp-clientvdsmvnc-serverwbem-httpwbem-httpswireguardws-discoveryws-discovery-clientws-discovery-tcpws-discovery-udpwsmanwsmansxdmcpxmpp-boshxmpp-clientxmpp-localxmpp-serverzabbix-agentzabbix-serverzerotier[root@node1~]#（3）查看防火墻當(dāng)前??默認(rèn)生效的區(qū)域名稱??。[root@node1~]#firewall-cmd--get-default-zonepublic[root@node1~]#（4）將防火墻默認(rèn)區(qū)域設(shè)置為??public??。[root@node1~]#firewall-cmd--set-default-zone=publicsuccess[root@node1~]#firewall-cmd--get-default-zonepublic[root@node1~]#（5）在??public區(qū)域??中驗(yàn)證??SSH服務(wù)??是否允許通過。[root@node1~]#firewall-cmd--zone=public--query-service=sshyes[root@node1~]#（6）配置防火墻，使??public區(qū)域??永久允許??HTTPS服務(wù)??。[root@node1~]#firewall-cmd--permanent--zone=public--add-service=httpssuccess[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#firewall-cmd--zone=public--query-service=httpsyes[root@node1~]#（7）在??public區(qū)域??中永久開放??TCP8899端口??。[root@node1~]#firewall-cmd--permanent--zone=public--add-port=8899/tcpsuccess[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#firewall-cmd--zone=public--list-ports8899/tcp[root@node1~]#（8）將網(wǎng)卡??ens32??的防火墻區(qū)域永久更改為??external??。[root@node1~]#firewall-cmd--permanent--zone=external--change-interface=ens32success[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#firewall-cmd--get-zone-of-interface=ens32external[root@node1~]#（9）禁止來自??/24??網(wǎng)段的所有主機(jī)訪問本機(jī)的??SSH服務(wù)??[root@node1~]#firewall-cmd--permanent--add-rich-rule='rulefamily=ipv4sourceaddress=/24servicename=sshreject'success[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#firewall-cmd--list-rich-rulesrulefamily="ipv4"sourceaddress="/24"servicename="ssh"reject[root@node1~]#（10）將??public區(qū)域??的??443/TCP端口流量??轉(zhuǎn)發(fā)到??22/TCP端口??。[root@node1~]#firewall-cmd--permanent--zone=public--add-rich-rule='rulefamily=ipv4forward-portport=443protocol=tcpto-port=22'success[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#firewall-cmd--list-rich-rulesrulefamily="ipv4"forward-portport="443"protocol="tcp"to-port="22"rulefamily="ipv4"sourceaddress="/24"servicename="ssh"reject[root@node1~]#（11）僅允許??/24??網(wǎng)段的主機(jī)訪問??HTTP和HTTPS服務(wù)??。[root@node1~]#firewall-cmd--permanent--add-rich-rule='rulefamily=ipv4sourceaddress=/24servicename=httpaccept'success[root@node1~]#firewall-cmd--permanent--add-rich-rule='rulefamily=ipv4sourceaddress=/24servicename=httpsaccept'success[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#（12）將SSH服務(wù)端口修改為??2220??，配置防火墻，僅允許??/24??網(wǎng)段通過??2220/TCP端口??訪問SSH。[root@node1~]#sed-i's/#Port22/Port2220/'/etc/ssh/sshd_config[root@node1~]#systemctlrestartsshd[root@node1~]#firewall-cmd--permanent--add-rich-rule='rulefamily=ipv4sourceaddress=/24portport=2220protocol=tcpaccept'success[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#ss-tunlp|grep2220（13）將??public區(qū)域??的??80/TCP端口流量??轉(zhuǎn)發(fā)到內(nèi)部服務(wù)器??0:8080??。[root@node1~]#echo"net.ipv4.ip_forward=1">/etc/sysctl.d/90-ip-forward.conf[root@node1~]#sysctl-p/etc/sysctl.d/90-ip-forward.confnet.ipv4.ip_forward=1[root@node1~]#firewall-cmd--permanent--zone=public--add-forward-port=port=80:proto=tcp:toaddr=0:toport=8080success[root@node1~]#firewall-cmd--permanent--zone=public--add-forward-port=port=80:proto=tcp:toaddr=0:toport=8080Warning:ALREADY_ENABLED:80:tcp:8080:0success[root@node1~]#firewall-cmd--reloadsuccess[root@node1~]#（14）實(shí)時監(jiān)控??/var/log/secure??文件，檢查SSH登錄記錄。[root@node1~]#tail-f/var/log/secureMay1412:46:11node1sshd[33914]:fatal:Cannotbindanyaddress.May1412:46:54node1sshd[33926]:error:Bindtoport2220onfailed:Permissiondenied.May1412:46:54node1sshd[33926]:error:Bindtoport2220on::failed:Permissiondenied.May1412:46:54node1sshd[33926]:fatal:Cannotbindanyaddress.May1412:47:36node1sshd[33940]:error:Bindtoport2220onfailed:Permissiondenied.May1412:47:36node1sshd[33940]:error:Bindtoport2220on::failed:Permissiondenied.May1412:47:36node1sshd[33940]:fatal:Cannotbindanyaddress.May1412:48:18node1sshd[33962]:error:Bindtoport2220onfailed:Permissiondenied.May1412:48:18node1sshd[33962]:error:Bindtoport2220on::failed:Permissiondenied.May1412:48:18node1sshd[33962]:fatal:Cannotbindanyaddress.（15）查看/home目錄下所有文件的安全上下文屬性。[root@node2~]#ls-Z/homeunconfined_u:object_r:user_home_dir_t:s0rhcsa（16）創(chuàng)建一個新目錄/webdata，將該目錄及其內(nèi)部所有文件的SELinux上下文類型設(shè)置為httpd_sys_content_t。[root@node2~]#mkdir/webdata[root@node2~]#semanagefcontext-a-thttpd_sys_content_t'/webdata(/.*)?'[root@node2~]#restorecon-Rvv/webdataRelabeled/webdatafromunconfined_u:object_r:default_t:s0tounconfined_u:object_r:httpd_sys_content_t:s0[root@node2~]#ls-Zd/webdataunconfined_u:object_r:httpd_sys_content_t:s0/webdata[root@node2~]#ls-Z/webdata（17）將/webdata目錄的SELinux上下文恢復(fù)為系統(tǒng)默認(rèn)類型。[root@node2~]#semanagefcontext-d'/webdata(/.*)?'[root@node2~]#restorecon-Rvv/webdataRelabeled/webdatafromunconfined_u:object_r:httpd_sys_content_t:s0tounconfined_u:object_r:default_t:s0[root@node2~]#ls-Zd/webdataunconfined_u:object_r:default_t:s0/webdata（18）列出系統(tǒng)中所有端口與SELinux類型的對應(yīng)關(guān)系。[root@node2~]#semanageport-lSELinuxPortTypeProtoPortNumberafs3_callback_port_ttcp7001afs3_callback_port_tudp7001afs_bos_port_tudp7007afs_fs_port_ttcp2040afs_fs_port_tudp7000,7005afs_ka_port_tudp7004afs_pt_port_ttcp7002afs_pt_port_tudp7002afs_vl_port_tudp7003（19）允許HTTP服務(wù)使用??8090/TCP??端口，并驗(yàn)證配置。[root@node2~]#semanageport-a-thttp_port_t-ptcp8090[root@node2~]#semanageport-l|grephttp_port_thttp_port_ttcp8090,80,81,443,488,8008,8009,8443,9000pegasus_http_port_ttcp5988（20）移除??8090/TCP??端口的HTTP服務(wù)標(biāo)簽。[root@node2~]#semanageport-d-thttp_port_t-ptcp8090[root@node2~]#semanageport-l|grephttp_port_thttp_port_ttcp80,81,443,488,8008,8009,8443,9000pegasus_http_port_ttcp5988（21）將??8090/TCP??端口的標(biāo)簽修改為nfs_port_t（NFS服務(wù)）。[root@node2~]#semanageport-a-tnfs_port_t-ptcp8090[root@node2~]#semanageport-l|grepnfs_port_tnfs_port_ttcp8090,2049,20048-20049nfs_port_tudp2049,20048-20049項(xiàng)目九練習(xí)題參考答案1、選擇題（1）若希望在vsftpd中允許本地用戶在FTP上具有寫權(quán)限，則應(yīng)設(shè)置的參數(shù)是（）。A．write_enable=YES B．local_enable=YESC．local_umask=000 D．userlist_enable=YES參考答案：A（2）下列可以禁用匿名用戶訪問FTP服務(wù)的參數(shù)是（）。A．a(chǎn)non_upload_enable B．a(chǎn)nonymous_enableC．userlist_deny D．a(chǎn)non_other_write_enable參考答案：B（3）禁止匿名用戶訪問FTP服務(wù)的參數(shù)配置應(yīng)為（）。A．a(chǎn)nonymous_enable=YES B．a(chǎn)nonymous_enable=NOC．local_enable=NO D．userlist_enable=YES參考答案：B（4）本地用戶在vsftpd中的登錄權(quán)限由參數(shù)（）控制。A．local_umask B．local_enableC．userlist_enable D．a(chǎn)llow_writeable_chroot參考答案：B2、實(shí)訓(xùn)題（1）安裝vsftpd軟件包，啟動服務(wù)并設(shè)置為開機(jī)自啟[root@node2~]#dnfinstallvsftpd-y[root@node2~]#systemctlenable--nowvsftpdCreatedsymlink/etc/systemd/system/multi-user.target.wants/vsftpd.service→/usr/lib/systemd/system/vsftpd.service.[root@node2~]#systemctlstatusvsftpd●vsftpd.service-VsftpdftpdaemonLoaded:loaded(/usr/lib/systemd/system/vsftpd.service;enabled;preset:disabled)Active:active(running)sinceThu2025-05-1505:15:42EDT;5sagoProcess:19899ExecStart=/usr/sbin/vsftpd/etc/vsftpd/vsftpd.conf(code=exited,status=0/SUCCESS)MainPID:19901(vsftpd)Tasks:1(limit:10760)Memory:720.0KCPU:3msCGroup:/system.slice/vsftpd.service└─19901/usr/sbin/vsftpd/etc/vsftpd/vsftpd.confMay1505:15:42node2systemd[1]:StartingVsftpdftpdaemon...May1505:15:42node2systemd[1]:StartedVsftpdftpdaemon.[root@node2~]#[root@node2~]#（2）設(shè)置SELinux規(guī)則，允許FTP服務(wù)完全訪問系統(tǒng)[root@node2~]#setsebool-Pftpd_full_accesson[root@node2~]#getseboolftpd_full_accessftpd_full_access-->on[root@node2~]#（3）在防火墻中永久允許ftp服務(wù)流量。[root@node2~]#firewall-cmd--add-service=ftp--permanentsuccess[root@node2~]#firewall-cmd--reloadsuccess[root@node2~]#firewall-cmd--list-services|grepftpcockpitdhcpv6-clientftpssh（4）修改/etc/vsftpd/vsftpd.conf配置文件：禁用匿名用戶登錄，啟用本地用戶登錄，允許本地用戶寫入操作，將本地用戶禁錮在其主目錄。[root@node2~]#sed-i's/^anonymous_enable=YES/anonymous_enable=NO/'/etc/vsftpd/vsftpd.conf[root@node2~]#sed-i's/^#local_enable=YES/local_enable=YES/'/etc/vsftpd/vsftpd.conf[root@node2~]#sed-i's/^#write_enable=YES/write_enable=YES/'/etc/vsftpd/vsftpd.conf[root@node2~]#echo"chroot_local_user=YES">>/etc/vsftpd/vsftpd.conf[root@node2~]#echo"allow_writeable_chroot=YES">>/etc/vsftpd/vsftpd.conf[root@node2~]#grep-E"anonymous_enable|local_enable|write_enable|chroot"/etc/vsftpd/vsftpd.confanonymous_enable=NOlocal_enable=YESwrite_enable=YES#anon_mkdir_write_enable=YES#Youmayspecifyanexplicitlistoflocaluserstochroot()totheirhome#directory.Ifchroot_local_userisYES,thenthislistbecomesalistof#userstoNOTchroot().#(Warning!chroot'ingcanbeverydangerous.Ifusingchroot,makesurethat#chroot)#chroot_local_user=YES#chroot_list_enable=YES#chroot_list_file=/etc/vsftpd/chroot_listchroot_local_user=YESallow_writeable_chroot=YES[root@node2~]#（5）啟用user_list用戶列表文件，僅允許列表中的用戶登錄，將用戶user1和user2添加到/etc/vsftpd/user_list。[root@node2~]#echo"userlist_enable=YES">>/etc/vsftpd/vsftpd.conf[root@node2~]#echo"userlist_deny=NO">>/etc/vsftpd/vsftpd.conf[root@node2~]#echo"user1">/etc/vsftpd/user_list[root@node2~]#echo"user2">>/etc/vsftpd/user_list[root@node2~]#systemctlrestartvsftpd[root@node2~]#cat/etc/vsftpd/user_listuser1user2[root@node2~]#（6）創(chuàng)建用戶user1和user2，密碼均設(shè)為redhat。[root@node2~]#useradduser1&&echo"redhat"|passwd--stdinuser1Changingpasswordforuseruser1.passwd:allauthenticationtokensupdatedsuccessfully.[root@node2~]#useradduser2&&echo"redhat"|passwd--stdinuser2Changingpasswordforuseruser2.passwd:allauthenticationtokensupdatedsuccessfully.[root@node2~]#（7）使用user1登錄FTP服務(wù)器，執(zhí)行以下操作：創(chuàng)建目錄test_dir，退出登錄后，驗(yàn)證目錄是否存在于用戶主目錄。[root@node2~]#ftp-nlocalhost<<EOF>useruser1redhat>mkdirtest_dir>ls>quit>EOFTrying::1...drwxr-xr-x2100110016May1509:21test_dir[root@node2~]#ls/home/user1test_dir[root@node2~]#（8）創(chuàng)建明文文件/etc/vsftpd/vuser.list，包含兩個虛擬用戶ftpuser1和ftpuser2，密碼均為redhat，使用散列算法將明文文件轉(zhuǎn)換為數(shù)據(jù)庫文件vuser.db，并刪除明文文件。[root@node2~]#echo-e"ftpuser1\nredhat\nftpuser2\nredhat">/etc/vsftpd/vuser.list[root@node2~]#db_load-T-thash-f/etc/vsftpd/vuser.list/etc/vsftpd/vuser.db[root@node2~]#chmod600/etc/vsftpd/vuser.db[root@node2~]#rm-f/etc/vsftpd/vuser.list[root@node2~]#ls-l/etc/vsftpd/vuser.db-rw.1rootroot12288May1505:34/etc/vsftpd/vuser.db（9）創(chuàng)建本地用戶virtual，其主目錄為/var/ftproot，禁止登錄系統(tǒng)，設(shè)置/var/ftproot目錄權(quán)限為755。[root@node2~]#useradd-d/var/ftproot-s/sbin/nologinvirtual[root@node2~]#chmod755/var/ftproot[root@node2~]#ls-ld/var/ftprootdrwxr-xr-x.3virtualvirtual78May1505:35/var/ftproot（10）創(chuàng)建PAM認(rèn)證文件/etc/pam.d/vsftpd.vu，指定使用/etc/vsftpd/vuser數(shù)據(jù)庫文件驗(yàn)證虛擬用戶。[root@node2~]#echo-e"authrequiredpam_userdb.sodb=/etc/vsftpd/vuser\naccountrequiredpam_userdb.sodb=/etc/vsftpd/vuser">/etc/pam.d/vsftpd.vu[root@node2~]#cat/etc/pam.d/vsftpd.vuauthrequiredpam_userdb.sodb=/etc/vsftpd/vuseraccountrequiredpam_userdb.sodb=/etc/vsftpd/vuser（11）修改/etc/vsftpd/vsftpd.conf文件，啟用以下配置：禁止匿名登錄，允許虛擬用戶登錄并映射到本地用戶virtual，指定用戶獨(dú)立配置文件目錄為/etc/vsftpd/vusers_dir。[root@node2~]#sed-i's/^anonymous_enable=YES/anonymous_enable=NO/'/etc/vsftpd/vsftpd.conf[root@node2~]#echo"guest_enable=YES">>/etc/vsftpd/vsftpd.conf[root@node2~]#echo"guest_username=virtual">>/etc/vsftpd/vsftpd.conf[root@node2~]#echo"user_config_dir=/etc/vsftpd/vusers_dir">>/etc/vsftpd