DNS
所有linux 主机启用防火墙,防火墙区域为public,在防火墙中放 行对应服务端口。
[root@linux1 ~]# firewall-cmd --zone=public --permanent --add-service={dns,ntp}
(2)所有linux 主机之间(包含本主机)root 用户实现密钥ssh 认证, 禁用密码认证,登录时禁用连接提示,关闭TCPKeepAlive功能,客户端不活跃超时设置为60秒,Shell超过10分钟不响应则断开连接。
for i in {1..9}; do
ssh root@10.1.220.10$i ssh-keygen -t rsa
ssh-copy-id root@10.1.220.10$i
scp /root/.ssh/* root@10.1.220.10$i:/root/.ssh
done
禁用密码认证
65 PasswordAuthentication no
登录时禁用连接提示 120 Banner no
关闭TCPKeepAlive功能 TcpKeepAlive on
客户端不活跃超时设置为60秒 ClientAliveInterval 60
Shell超过10分钟不响应则断开连接 ClientAliveCountMax 10
(3)利用chrony,配置linux1 为其他linux 主机提供NTP 服务。
(4)利用 bind,配置 linux1 为主 DNS 服务器,linux2 为备用 DNS 服务器,为所有 linux 主机提供冗余 DNS 正反向解析服务。正向区域 文件均 为 /var/named/named.hbds , 反 向 区 域 文 件 均 为 /var/named/named.40。所有linux主机对应的域名格式为:主机 名.China_hbds.cn。
Openssl证书服务
(1)配置 linux1 为 CA 服务器, 使用4096位密钥和SHA256算法,为 linux 主机颁发证书。
openssl genrsa -out /etc/pki/CA/private/Ca_key.pem 4096
(2)证书颁发机构有效期 10 年,公用名为 linux1.China_hbds.cn。 私钥文件存放于/etc/pki/CA/private目录,CA私钥文件名为Ca_key.pem; CA根证书使用系统默认路径及文件名:/etc/pki/CA/Ca_crt.pem。
openssl req -new -x509 -key /etc/pki/CA/private/Ca_key.pem -days 3650 -out /etc/pki/CA/cacert.pem
(3)申请并颁发一张供 linux服务器使用的证书为2023China.crt,私 钥为2023China.key,存放在/etc/pki/tls 目录,证书信息:有效期=5 年,公用名= China-hbds.cn,国家=CN,省=XX,城市=XX,组织=hbds, 组织单位=system,使用者可选名称=*.China_hbds.cn 和 China_hbds.cn。要求浏览器访问https 网站时,不出现证书警告信息
openssl genrsa -out /etc/pki/tls/2023China.key 4096 openssl req -new -key /etc/pki/tls/2023China.key -out /etc/pki/tls/2023China.csr openssl ca -in /etc/pki/tls/2023China.csr -out /etc/pki/tls/2023China.crt -days 1825 -extfile /etc/pki/CA/sign.cnf -keyfile /etc/pki/CA/private/Ca_key.pem -cert /etc/pki/CA/cacert.pem
cd /etc/pki/tls/CA touch idnex.txt echo 00 > serial vi sign.cnf subjectAltName=DNS:China_hbds.cn,DNS:*.China_hbds.cn openssl genrsa -out /etc/pki/CA/private/Ca_key.pem 4096 openssl req -new -x509 -key /etc/pki/CA/private/Ca_key.pem -days 3650 -out /etc/pki/CA/cacert.pem openssl genrsa -out /etc/pki/tls/2023China.key 4096 openssl req -new -key /etc/pki/tls/2023China.key -out /etc/pki/tls/2023China.csr openssl ca -in /etc/pki/tls/2023China.csr -out /etc/pki/tls/2023China.crt -days 1825 -extfile /etc/pki/CA/sign.cnf -keyfile /etc/pki/CA/private/Ca_key.pem -cert /etc/pki/CA/cacert.pem
(4)在linux1中安装配置Apache服务,搭建Web网站,首页文档为 index.html,目录为/var/www/CA/,域名为ca.China_hbds.cn。为确保 证书安全传输,CA服务器启用HTTPS服务,CA的签发证书全部要用CURL命 令工具安全下载,存放在需要证书的云主机的/etc/ssl目录下,HTTP和 HTTPS站点均指向同一主页index.html,内容为“欢迎使用证书服务器下
mount /mnt/Rocky-9.2-aarch64-dvd.iso /mnt/cdrom/
yum install httpd* -y
mkdir -p /var/www/CA
echo "123" >> /var/www/CA/index.html
yum install mod_ssl* -y
openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/ca.China.hbds.cn.key
systemctl enable httpd
systemctl restart httpd
curl --cacert /etc/ssl/ca.China.hbds.cn.key https://ca.China_hbds.cn -o /etc/ssl/ca_
curl http://linux1.skills.lan
ss -tunlp|grep httpd
vim /var/named/named.skills
vim /var/named/named.10
systemctl restart named httpd
curl http://ca.China_hbds.cn
curl --cacert /etc/ssl/ca.China_hbds.cn https://127.0.0.1 -o /etc/ssl/ca.China.hbds.cn.key
curl -k --cacert /etc/ssl/ca.China_hbds.cn https://127.0.0.1 -o /etc/ssl/ca.China.hbds.cn.key
ansible服务
任务描述:请采用ansible,实现自动化运维。
(1)在linux1 上安装系统自带的ansible-core,作为ansible 控制节 点。linux2-linux6 作为 ansible 的受控节点。
(2)编写/root/host.yml 剧本,实现在所有linux主机的/root 目录下 创建一个host.txt 文件,文件内容为:“ansible脚本测试,主机名为: hostname”,hostname为各对应主机的FQDN全名。
详细资料请查看 2025年河南省职业院校技能大赛网络建设与运维赛项赛题-墨北的博客
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
