2022網(wǎng)絡(luò)系統(tǒng)管理賽題及評(píng)分標(biāo)準(zhǔn)網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)-模塊C-Linux部署-02卷-2022年全國(guó)職業(yè)院校技能大賽賽項(xiàng)正式賽卷

2022年全國(guó)職業(yè)院校技能大賽網(wǎng)絡(luò)系統(tǒng)管理賽項(xiàng)模塊C：Linux部署卷nChinaSkillsTOC\o"1-5"\h\z\o"CurrentDocument"一、競(jìng)賽說(shuō)明 4\o"CurrentDocument"二、初始化環(huán)境 4\o"CurrentDocument"（一）默認(rèn)賬號(hào)及默認(rèn)密碼 4\o"CurrentDocument"（二）操作系統(tǒng)配置 4\o"CurrentDocument"三、項(xiàng)目任務(wù)描述 5（-*）拓?fù)鋱D 5（二）網(wǎng)絡(luò)地址規(guī)劃 5\o"CurrentDocument"四、項(xiàng)目任務(wù)清單 6\o"CurrentDocument"（一）服務(wù)器IspSrv工作任務(wù) 6\o"CurrentDocument".DNS 6\o"CurrentDocument".WEB服務(wù) 6\o"CurrentDocument".SDN 6\o"CurrentDocument"（二）服務(wù)器RouterSrv上的工作任務(wù) 7\o"CurrentDocument"DHCPRELAY 7\o"CurrentDocument"ROUTING 7\o"CurrentDocument"SSH 7\o"CurrentDocument"IPTABLES 8\o"CurrentDocument"WebProxy 8\o"CurrentDocument"OPENVPN 8\o"CurrentDocument"（三）服務(wù)器AppSrv上的工作任務(wù) 8\o"CurrentDocument"l.SSH 8\o"CurrentDocument"DHCP 9\o"CurrentDocument"DNS 9\o"CurrentDocument"web月艮務(wù) 9\o"CurrentDocument"MariadbBackupScript 10\o"CurrentDocument"MAIL 10\o"CurrentDocument"CA（證書(shū)頒發(fā)機(jī)構(gòu)） 11\o"CurrentDocument"網(wǎng)橋VXLAN服務(wù) 11\o"CurrentDocument"（四）服務(wù)器StorageSrv上的工作任務(wù) 11\o"CurrentDocument"磁盤(pán)管理 11\o"CurrentDocument"SSH 11\o"CurrentDocument"NFS 12\o"CurrentDocument"VSFTPD 12\o"CurrentDocument"SAMBA 12\o"CurrentDocument"LDAP 12\o"CurrentDocument"ShellScript 13\o"CurrentDocument"Cockpit 13\o"CurrentDocument"系統(tǒng)優(yōu)化 13\o"CurrentDocument"磁盤(pán)快照 13\o"CurrentDocument"（五）客戶端OutsideCli和InsideCli工作任務(wù) 13\o"CurrentDocument"OutsideCli 13\o"CurrentDocument"InsideCli 14一、競(jìng)賽說(shuō)明.競(jìng)賽環(huán)境確認(rèn)：選手入場(chǎng)后請(qǐng)根據(jù)競(jìng)賽所提供的《競(jìng)賽環(huán)境確認(rèn)單》，依次檢查所列的硬件設(shè)備、軟件、材料、U盤(pán)內(nèi)競(jìng)賽答題卡等是否齊全，軟硬件設(shè)備是否能正常使用，檢查完畢后在《競(jìng)賽環(huán)境確認(rèn)單》上簽字并上交。.試卷確認(rèn)：競(jìng)賽分發(fā)試題后請(qǐng)檢查試題名稱是否與當(dāng)前考核模塊相符，試題內(nèi)容無(wú)缺頁(yè)、模糊問(wèn)題。.安全操作：競(jìng)賽過(guò)程安全操作，注意賽位電源線位置，操作時(shí)不要碰到，及時(shí)進(jìn)行設(shè)備配置保存，以防誤碰電纜導(dǎo)致設(shè)備斷電配置丟失情況。.競(jìng)賽成果物提交確認(rèn)：評(píng)分將以各參賽隊(duì)提交的競(jìng)賽提交物為主要評(píng)分依據(jù)。請(qǐng)按照U盤(pán)中答題卡要求創(chuàng)建和編輯競(jìng)賽成果物，確保答題卡截圖信息清晰完整，并在競(jìng)賽結(jié)束時(shí)提交，所有提交的內(nèi)容必須按照“競(jìng)賽成果物提交要求”進(jìn)行命名并簽署《競(jìng)賽成果提交確認(rèn)單》。.離場(chǎng)要求：競(jìng)賽結(jié)束時(shí)，所有設(shè)備保持運(yùn)行狀態(tài)，不要拆掉網(wǎng)絡(luò)連接。禁止將競(jìng)賽用的所有物品（包括試卷和草紙）帶離賽場(chǎng)。.競(jìng)賽成果提交物：請(qǐng)?jiān)赨盤(pán)根目錄建立“競(jìng)賽成果物”文件夾，文件夾中包含以下內(nèi)容：?Linux部署答題卡.pdf二、初始化環(huán)境（一）默認(rèn)賬號(hào)及默認(rèn)密碼Username：rootPassword：ChinaSki11!Username：skillsPassword：ChinaSkill!注：若非特別指定，所有賬號(hào)的密碼均為ChinaSkill!（二）操作系統(tǒng)配置所處區(qū)域：CST+8系統(tǒng)環(huán)境語(yǔ)言：EnglishUS（UTF-8）鍵盤(pán):EnglishUS注意：當(dāng)任務(wù)是配置TLS,請(qǐng)把根證書(shū)或者自簽名證書(shū)添加到受信任區(qū)?？刂婆_(tái)登陸后不管是網(wǎng)絡(luò)登錄還是本地登錄，都按下方歡迎信息內(nèi)容顯示。ChinaSkills2022-CSKModuleCLinux>>hostname?>>0SVersion<<?TIME?三、項(xiàng)目任務(wù)描述你作為一個(gè)Linux的技術(shù)工程師，被指派去構(gòu)建一個(gè)公司的內(nèi)部網(wǎng)絡(luò)，要為員工提供便捷、安全穩(wěn)定內(nèi)外網(wǎng)絡(luò)服務(wù)。你必須在規(guī)定的時(shí)間內(nèi)完成要求的任務(wù),并進(jìn)行充分的測(cè)試，確保設(shè)備和應(yīng)用正常運(yùn)行。任務(wù)所有規(guī)劃都基于Linux操作系統(tǒng)，請(qǐng)根據(jù)網(wǎng)絡(luò)拓?fù)?、基本配置信息和服?wù)需求完成網(wǎng)絡(luò)服務(wù)安裝與測(cè)試。網(wǎng)絡(luò)拓?fù)鋱D和基本配置信息如下：(-)拓?fù)鋱DAppSrv司 >>■■■■ trIspSrvSI 酬StrorageSrvb g ?InsideCli RouterSrvOutsideCli(二)網(wǎng)絡(luò)地址規(guī)劃服務(wù)器和客戶端基本配置如下表，各虛擬機(jī)已預(yù)裝系統(tǒng)。DeviceSystemFQDNIP/Mask/GatewayIspSrvUOSispsrv00/24/無(wú)OutsideCliUOSoutsidecli.10/24/無(wú)AppSrvCentosappsrv.chinaskills,cn00/24/54StorageSrvCentosstoragesrv.chinaskills,cn00/24/54RouterSrvCentosroutersrv.chinaskills,cn54/24/無(wú)、54/24/無(wú)、54/24/無(wú)InsideCliCentosinsidecli.chinaskills,cnDHCPFromAppSrv四、項(xiàng)目任務(wù)清單（一）服務(wù)器IspSrv工作任務(wù).DNS?配置為DNS根域服務(wù)器；,其他未知域名解析,統(tǒng)一解析為該本機(jī)IP;?創(chuàng)建正向區(qū)域“chinaskills,cn”；?類型為Slave；?主服務(wù)器為"AppSrv"；?啟用chroot功能，限制bind9在/var/named/chroot/下運(yùn)行；隱藏bind版本號(hào),版本顯示為“unknow”。WEB服務(wù)安裝nginx軟件包；配置文件名為ispweb.conf,放置在/etc/nginx/conf.d/目錄下；網(wǎng)站根目錄為/mut/ciypt（目錄不存在需創(chuàng)建）；啟用FastCGI功能，讓nginx能夠解析php請(qǐng)求；index,php內(nèi)容使用Welcometo2022ComputerNetworkApplicationcontest!SDN在IspSrv上導(dǎo)入OpenDayLight軟件包；啟動(dòng)OpenDayLight的karaf程序，并安裝如下組件：feature：installodl-restconffeature：installodl-12switch-switch-uifeature：installod1-mdsa1-apidocsfeature：installod1-d1uxapps-app1ications使用Mininet和OpenVswitch構(gòu)建拓?fù)?，連接ODL的6653端口如下拓?fù)浣Y(jié)構(gòu)：在瀏覽器上可以訪問(wèn)ODL管理頁(yè)面查看網(wǎng)元拓?fù)浣Y(jié)構(gòu)；通過(guò)OVS給S2下發(fā)流表，使得H2與Hl、H3無(wú)法互通；H1啟動(dòng)HTTP-Server功能，WEB端口為8080,H3作為HTTP-Client,獲取H1的html網(wǎng)頁(yè)配置文件。（二）服務(wù)器RouterSrv上的工作任務(wù)l.DHCPRELAY安裝DHCP中繼；允許客戶端通過(guò)中繼服務(wù)獲取網(wǎng)絡(luò)地址。.ROUTING?根據(jù)題目要求，開(kāi)啟路由轉(zhuǎn)發(fā)，為當(dāng)前實(shí)驗(yàn)環(huán)境提供路由功能。.SSH?工作端口為2021；,只允許用戶userOl,登錄到routersrv。其他用戶（包括root）不能登錄；,通過(guò)ssh嘗試登錄到RouterSrv,一分鐘內(nèi)最多嘗試登錄的次數(shù)為3次，超過(guò)后禁止該客戶端網(wǎng)絡(luò)地址訪問(wèn)ssh服務(wù)；,記錄用戶登錄的日志到/var/log/ssh.log,日志內(nèi)容要包含:源地址,目標(biāo)地址，協(xié)議，源端口，目標(biāo)端口。PTABLES添加必要的網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則，使外部客戶端能夠訪問(wèn)到內(nèi)部服務(wù)器上的dns、mail、web和ftp服務(wù)；INPUT、OUTPUT和FOREARD鏈默認(rèn)拒絕(DROP)所有流量通行；配置源地址轉(zhuǎn)換允許內(nèi)部客戶端能夠訪問(wèn)互聯(lián)網(wǎng)區(qū)域。WebProxy?安裝Nginx組件；配置文件名為proxy,conf,放置在/etc/nginx/conf.d/目錄下；為www.chinaskills,cn配置代理前端，通過(guò)HTTPS的訪問(wèn)后端Web服務(wù)器；后端服務(wù)器日志內(nèi)容需要記錄真實(shí)客戶端的IP地址；緩存后端Web服務(wù)器上的靜態(tài)頁(yè)面；,創(chuàng)建服務(wù)監(jiān)控腳本：/shells/chkWeb.sh；編寫(xiě)腳本監(jiān)控公司的網(wǎng)站運(yùn)行情況；腳本可以在后臺(tái)持續(xù)運(yùn)行；每隔3s檢查一次網(wǎng)站的運(yùn)行狀態(tài)，如果發(fā)現(xiàn)異常嘗試3次；如果確定網(wǎng)站無(wú)法訪問(wèn)，則返回用戶"Thesiteisbeingmaintained”o6.OPENVPN要求服務(wù)器日志記錄客戶端登錄時(shí)間、用戶名，格式如“2022-08T0:08:10:30Successfulauthentication:username="vpnuserl"”;日志文件存放至/var/log/openvpn.log中；創(chuàng)建用戶vpnuserl,密碼為123456,使用用戶名密碼認(rèn)證，要求只能與InsideCli客戶端網(wǎng)段通信，允許訪問(wèn)StorageSrv主機(jī)上的SAMBA服務(wù)；VPN地址范圍為/24,OPENVPN使用tcp1194端口號(hào)進(jìn)行工作。(三)服務(wù)器AppSrv上的工作任務(wù)1.SSH安裝SSH,工作端口監(jiān)聽(tīng)在2101；,僅允許InsideCli客戶端進(jìn)行ssh訪問(wèn)，其余所有主機(jī)的請(qǐng)求都應(yīng)該拒絕；在cskadmin用戶環(huán)境下可以免秘鑰登錄，并且擁有root控制權(quán)限。將SSH跟SFTP進(jìn)行分離，要求SFTP監(jiān)聽(tīng)端口為54321,并且通過(guò)服務(wù)的方式進(jìn)行啟動(dòng)或停止。DHCP為InsideCli客戶端網(wǎng)絡(luò)分配地址，地址池范圍：10-90/24；域名解析服務(wù)器：按照實(shí)際需求配置DNS服務(wù)器地址選項(xiàng)；網(wǎng)關(guān)：按照實(shí)際需求配置網(wǎng)關(guān)地址選項(xiàng)；為InsideCli分配固定地址為90/24；設(shè)置默認(rèn)租約時(shí)間為0.5天，最大租約時(shí)間為3天；將DHCP服務(wù)的日志信息從系統(tǒng)的日志服務(wù)中分離，通過(guò)rsyslog自定義消息處理，將日志信息保存至/var/log/dhcpd.log中。DNS,為域提供域名解析；,為www.chinaskills,cn、download,chinaskills,cn和mail,chinaskills,cn提供解析；?啟用內(nèi)外網(wǎng)解析功能，當(dāng)內(nèi)網(wǎng)客戶端請(qǐng)求解析的時(shí)候，解析到對(duì)應(yīng)的內(nèi)部服務(wù)器地址，當(dāng)外部客戶端請(qǐng)求解析的時(shí)候，請(qǐng)把解析結(jié)果解析到提供服務(wù)的公有地址；?請(qǐng)將IspSrv作為上游DNS服務(wù)器，所有未知查詢都由該服務(wù)器處理。web服務(wù)?安裝WEB服務(wù)；,服務(wù)以用戶webuser系統(tǒng)用戶運(yùn)行；限制web服務(wù)只能使用系統(tǒng)500M物理內(nèi)存；全站點(diǎn)啟用TLS訪問(wèn)，使用本機(jī)上的“CSKGlobalRootCA”頒發(fā)機(jī)構(gòu)頒發(fā)，網(wǎng)站證書(shū)信息如下：C=CNST=ChinaL=Beijing0=skills0U=OperationsDepartmentsCN=*.chinaskills,cn客戶端訪問(wèn)https時(shí)應(yīng)無(wú)瀏覽器（含終端）安全警告信息；,當(dāng)用戶使用http訪問(wèn)時(shí)自動(dòng)跳轉(zhuǎn)到https安全連接；,搭建www.chinaskills,cn站點(diǎn)；網(wǎng)頁(yè)文件放在StorgeSrv服務(wù)器上；在StorageSrv上安裝MriaDB,在本機(jī)上安裝PHP,發(fā)布WordPress網(wǎng)站；MariaDB數(shù)據(jù)庫(kù)管理員信息：User:root/Password:Chinaskill21!?創(chuàng)建網(wǎng)站download,chinaskills,cn站點(diǎn)；,僅允許1dsgp用戶組訪問(wèn)；,網(wǎng)頁(yè)文件存放在StorageSrv服務(wù)器上；,在該站點(diǎn)的根目錄下創(chuàng)建以下文件“test,mp3,test,mp4,test.pdfH,其中test,mp4文件的大小為100M,頁(yè)面訪問(wèn)成功后能夠列出目錄所有文件；?安全加固，在任何頁(yè)面不會(huì)出現(xiàn)系統(tǒng)和WEB服務(wù)器版本信息。.MariadbBackupScript腳本文件：/shells/mysqlbk.sh；,備份數(shù)據(jù)到/root/mysqlbackup目錄；備份腳本每隔30分鐘實(shí)現(xiàn)自動(dòng)備份；導(dǎo)出的文件名為all-databases-20210213102333,其中20210213102333為運(yùn)行備份腳本的當(dāng)前時(shí)間，精確到秒。.MAIL,安裝配置postfix和dovecot,啟用imaps和smtps,禁止使用不安全的smtp和imap發(fā)送和接收郵件；安裝配置postfixadmin；創(chuàng)建虛擬域chinaskills,cn以及99個(gè)郵件用戶mailuseri?mailuser99.虛擬用戶映射至本地用戶vmail和用戶組vmail,UID和GID均為2000；使用mailuserl@的郵箱向mailuser2@的郵箱發(fā)送一封測(cè)試郵件，郵件標(biāo)題為ujusttestmai1frommailuseriw,郵件內(nèi)容為"hello,mailuser2"o使用mailuser2@的郵箱向mailuserl@的郵箱發(fā)送一封測(cè)試郵件，郵件標(biāo)題為ujusttestmai1frommailuser2",郵件內(nèi)容為"hello,mailuseri"；添加廣播郵箱地址all@,當(dāng)該郵箱收到郵件時(shí)，mailuseri和mailuser2用戶都能在自己的郵箱中查看；使用mailuserl@向all@發(fā)送測(cè)試郵件，郵件標(biāo)題為“testall”，郵件內(nèi)容為"hello,testall”；使用網(wǎng)站測(cè)試郵件發(fā)送與接收。.CA（證書(shū)頒發(fā)機(jī)構(gòu)）,CA根證書(shū)路徑/csk-rootca/csk-ca.pem；?簽發(fā)數(shù)字證書(shū)，頒發(fā)者信息：（僅包含如下信息）C=CNST=ChinaL=Beijing0=skillsOU=OperationsDepartmentsCN=CSKGlobalRootCA.網(wǎng)橋VXLAN服務(wù),在appsrv和storagesrv上搭建vxlan。需求如下，?安裝實(shí)驗(yàn)網(wǎng)橋,新建vxlan隧道，網(wǎng)橋名稱為br-vxlan,網(wǎng)橋的出口為vxIanlOO,id為100.,appsrv的隧道地址為/24,storagesrv的隧道地址為/24.?測(cè)試網(wǎng)橋之間二層的聯(lián)通性。（四）服務(wù)器StorageSrv上的工作任務(wù)磁盤(pán)管理?在storagesrv上新加一塊10G磁盤(pán)；?創(chuàng)建vdo磁盤(pán)，并開(kāi)啟vdo磁盤(pán)的重刪和壓縮；,名字為vdodisk,大小為150G,文件系統(tǒng)為ext4；,并設(shè)置開(kāi)機(jī)自動(dòng)掛載。掛載到/vdodata。SSH安裝openssh組件；,創(chuàng)建的userOl、user02用戶允許訪問(wèn)ssh服務(wù);服務(wù)器本地root用戶不允許訪問(wèn)；修改SSH服務(wù)默認(rèn)端口，啟用新端口2022；,添加用戶userOl、user02到sudo組，用于遠(yuǎn)程接入，提權(quán)操作。NFS,共享/webdata/目錄；,用于存儲(chǔ)AppSrv主機(jī)的WEB數(shù)據(jù)；,僅允許AppSrv主機(jī)訪問(wèn)該共享；?考慮安全，不論登入NFS的使用者身份為何，都將其設(shè)置為匿名用戶訪問(wèn)。VSFTPD禁止使用不安全的FTP,請(qǐng)使用“CSKGlobalRootCA”證書(shū)頒發(fā)機(jī)構(gòu)，頒發(fā)的證書(shū)，啟用FTPS服務(wù)；,創(chuàng)建虛擬用戶webuser,登錄ftp服務(wù)器，根目錄為/webdata,上傳的文件映射為webadmin；登錄后限制在自己的根目錄；允許WEB管理員上傳和下載文件，但是禁止上傳后綴名為.doc.docx.xlsx的文件；限制用戶的下載最大速度為100kb/S；最大同一IP在線人數(shù)為2人；通過(guò)工具或者瀏覽器下載的最大速度不超過(guò)lOOkb/s；一個(gè)IP地址同時(shí)登陸的用戶進(jìn)程/人數(shù)不超過(guò)2人；采用隨機(jī)端口用戶客戶端跟服務(wù)器的數(shù)據(jù)傳輸,并限制傳輸端口為40000-41000之間。SAMBA?創(chuàng)建samba共享，本地目錄為/data/sharel,要求：,共享名為sharel；,僅允許zsuser用戶能上傳文件；?創(chuàng)建samba共享，本地目錄為/data/public,要求：,共享名為public。,允許匿名訪問(wèn)。?所有用戶都能上傳文件。LDAP?安裝slapd,為samba服務(wù)提供賬戶認(rèn)證；?創(chuàng)建chinaskills,cn目錄服務(wù)，創(chuàng)建users組織單元，并創(chuàng)建用戶組Idsgp，將zsuser、lsusr>wuusr力口入Idsgp組。7.Shell