網站伺服器建置與管理-綜合練習

網站伺服器建置與管理上課補充教材

最新消息：
- 每週都有可能會有上機實作，要等老師檢查完畢才能夠下課！否則就不算有來上課！
- 回首頁
- 舊版進度介紹

第一次綜合練習

請分別使用 Server/Client 的帳號啟動 CentOS 7 系統，然後分別進行底下的任務：

針對 Server 的設定行為
1. Server 的網路有兩段，一段對外一段對內。
  1. 針對外部的網域設定是這樣的:
    - IP 設定為 172.28.100.XX/24，其中 XX 為你上課的學號尾數。
    - Gateway 設定為 172.28.100.254
    - DNS Server 設定為 120.114.100.1 及 168.95.1.1
    - hostname 設定為 stationXX.dic.ksu
  2. 針對內部網域的設定是這樣的:
    - 這一段網域有個 IP 是這樣的 192.168.XX.98/26，你的對內網域設定需要是這段網域的最後一個可用 IP
2. 防火牆設定 (請使用 iptables 服務，不要使用 firewalld)
  1. 務必要啟動核心封包轉遞的功能(ip forward)
  2. 預設情況下，所有對本機的連線要求都是被丟棄的。
  3. 針對本機的設定要求是這樣的：(請盡量使用 iptables 不要使用 firewalld)
    - 三條基本規則 (established, icmp, lo) 務必要放行；
    - 內部網路來源 (192.168 開頭那一段) 的連線全部放行
    - 針對網卡 51:52:a1:b1:c1:d1 這個網卡進行全部放行
    - 只對外部網路 (172.28.100 開頭的那一段) 放行你的 sshd 服務
    - 針對 http, https, ftp 全部都放行
  4. 針對後端主機的設定行為
    - 讓 192.168 那一段內網可以透過你這部系統作為 NAT (SNAT) 伺服器
    - 當用戶輸入 http://172.28.100.*:543 時，該封包會轉到伺服器本機的 port 80 (redirection)
    - 當用戶端不從 192.168.*.0/24 這段來源，且連線到 789 號埠口時，會將封包轉向後端主機的 port 80
3. 系統基礎保護設定
  1. 指定崑山計中的 CentOS 7 裡面的 os 以及 updates 作為 yum 伺服器端來源
  2. 設定好之後立刻全系統更新一次，之後每天深夜 2 點進行一次全系統升級的行為
  3. 在核心參數上面定義出使用 deadline 這一個磁碟讀寫的機制 (google 關於 grub, linux kernel, elevator, deadline 參數)
  4. 除了 port 22, 25 之外，先暫時關閉所有的監聽的埠口
  5. 讓你的 SELinux 預設保持在 Enforcing 的階段
4. 簡易 FTP 服務與 SELinux 問題克服
  1. 請安裝 vsftpd 這個 FTP 軟體
  2. 這個軟體開機時會自動啟動
  3. 這個軟體提供的服務會給整個 Internet 的來源可以使用
  4. 這個服務可以讓一般用戶也能登入 FTP 取得自己家目錄的資源 (意思是，請克服 SELinux 的問題)
5. 其他應用題型
  1. 查詢目前網路環境中，那一個 172.27.0.0/24 這一段網域的那幾個 IP (一定多於一個)，將該 IP 與主機名稱對應 (使用 pc*.live.ok 對應到正確的 172.27.0.* 這樣) 寫入主機名稱與 IP 的對應檔 (/etc/hosts) 當中
  2. 有一部 Linux 主機的網路狀態是這樣的：
```
[root@localhost ~]# ifconfig eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.16.6.11  netmask 255.255.255.192  broadcast 172.16.6.63
        inet6 fe80::5054:ff:fe85:b154  prefixlen 64  scopeid 0x20
        ether 52:54:00:85:b1:54  txqueuelen 1000  (Ethernet)
        RX packets 87  bytes 9991 (9.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 79  bytes 11236 (10.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway       Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.16.6.254  0.0.0.0         UG    100    0        0 eth0
172.16.0.0      0.0.0.0       255.255.0.0     U     100    0        0 eth0
			
```
    現在這部主機無法進行網路連線，而我們確信 gateway 伺服器是正確在運作的，該伺服器提供一個 class C 的網路服務運作範圍。而且也沒有其他的用戶端電腦 (沒有任何 IP 衝突)。請問你該如何處理克服這個問題？請將你的處理步驟寫入 /root/exam5b.txt 檔案中
  3. 承上，假設你的網路環境處理妥當了，而你使用 iptables-save 會出現如下的畫面
```
# Generated by iptables-save v1.4.21 on Tue Oct 18 06:42:28 2016
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [140:16861]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 172.16.6.128/25 -j REJECT
-A INPUT -s 172.16.6.0/24 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j ACCEPT
-A INPUT ! -s 192.168.0.0/16 -p tcp --dport 222 -j ACCEPT
COMMIT 
```
    請嘗試回答下列問題：(請將答案寫入 /root/exam5c.txt 中)
    1. 這部主機能不能連線到 google？若能是依據那一條規則？若不能請寫下放行的規則設定語法
    2. 針對 172.16.6.60 這部主機，該主機能不能連上你系統的 port 22 ？請寫下是那一條規則的影響？
    3. 針對 172.16.6.254 這部主機，這部主機能不能連上你系統的 port 80？請寫下是那一條規則的影響？
    4. 針對 192.168.5.10 這部主機，該主機能不能連上你系統的 port 22 ？請寫下是那一條規則的影響？
    5. 針對 192.168.5.10 這部主機，該主機能不能連上你系統的 port 222 ？請寫下是那一條規則的影響？
針對 Client 的設定行為
1. 這部系統的網路參數應該要是這樣的：
  1. IP 設定為 192.168..XX.98/26 這個網域的第一個可用 IP，其中 XX 為你上課的學號尾數。
  2. Gateway 設定為你 server 的內部 IP
  3. DNS Server 設定為 120.114.100.1 及 168.95.1.1
  4. hostname 設定為 pcXX.dic.ksu
2. 防火牆設定 (請使用 iptables 服務，不要使用 firewalld)
  1. 預設情況下，所有對本機的連線要求都是被丟棄的。
  2. 針對本機的設定要求是這樣的：(請盡量使用 iptables 不要使用 firewalld)
    - 三條基本規則 (established, icmp, lo) 務必要放行；
    - 內部網路來源 (192.168 開頭那一段) 的連線全部放行
    - 只對外部網路 (172.28.100 開頭的那一段) 放行你的 sshd 服務
3. 系統基礎保護設定
  1. 指定崑山計中的 CentOS 7 裡面的 os 以及 updates 作為 yum 伺服器端來源
  2. 設定好之後立刻全系統更新一次，之後每天深夜 2 點進行一次全系統升級的行為
  3. 讓你的 SELinux 預設保持在 Enforcing 的階段

Top

HOME