2022網(wǎng)絡(luò)系統(tǒng)管理賽題及評分標準網(wǎng)絡(luò)系統(tǒng)管理賽項-模塊C-Linux部署-02卷-2022年全國職業(yè)院校技能大賽賽項正式賽卷

2022年全國職業(yè)院校技能大賽網(wǎng)絡(luò)系統(tǒng)管理賽項模塊C：Linux部署卷nChinaSkillsTOC\o"1-5"\h\z\o"CurrentDocument"一、競賽說明 4\o"CurrentDocument"二、初始化環(huán)境 4\o"CurrentDocument"（一）默認賬號及默認密碼 4\o"CurrentDocument"（二）操作系統(tǒng)配置 4\o"CurrentDocument"三、項目任務(wù)描述 5（-*）拓撲圖 5（二）網(wǎng)絡(luò)地址規(guī)劃 5\o"CurrentDocument"四、項目任務(wù)清單 6\o"CurrentDocument"（一）服務(wù)器IspSrv工作任務(wù) 6\o"CurrentDocument".DNS 6\o"CurrentDocument".WEB服務(wù) 6\o"CurrentDocument".SDN 6\o"CurrentDocument"（二）服務(wù)器RouterSrv上的工作任務(wù) 7\o"CurrentDocument"DHCPRELAY 7\o"CurrentDocument"ROUTING 7\o"CurrentDocument"SSH 7\o"CurrentDocument"IPTABLES 8\o"CurrentDocument"WebProxy 8\o"CurrentDocument"OPENVPN 8\o"CurrentDocument"（三）服務(wù)器AppSrv上的工作任務(wù) 8\o"CurrentDocument"l.SSH 8\o"CurrentDocument"DHCP 9\o"CurrentDocument"DNS 9\o"CurrentDocument"web月艮務(wù) 9\o"CurrentDocument"MariadbBackupScript 10\o"CurrentDocument"MAIL 10\o"CurrentDocument"CA（證書頒發(fā)機構(gòu)） 11\o"CurrentDocument"網(wǎng)橋VXLAN服務(wù) 11\o"CurrentDocument"（四）服務(wù)器StorageSrv上的工作任務(wù) 11\o"CurrentDocument"磁盤管理 11\o"CurrentDocument"SSH 11\o"CurrentDocument"NFS 12\o"CurrentDocument"VSFTPD 12\o"CurrentDocument"SAMBA 12\o"CurrentDocument"LDAP 12\o"CurrentDocument"ShellScript 13\o"CurrentDocument"Cockpit 13\o"CurrentDocument"系統(tǒng)優(yōu)化 13\o"CurrentDocument"磁盤快照 13\o"CurrentDocument"（五）客戶端OutsideCli和InsideCli工作任務(wù) 13\o"CurrentDocument"OutsideCli 13\o"CurrentDocument"InsideCli 14一、競賽說明.競賽環(huán)境確認：選手入場后請根據(jù)競賽所提供的《競賽環(huán)境確認單》，依次檢查所列的硬件設(shè)備、軟件、材料、U盤內(nèi)競賽答題卡等是否齊全，軟硬件設(shè)備是否能正常使用，檢查完畢后在《競賽環(huán)境確認單》上簽字并上交。.試卷確認：競賽分發(fā)試題后請檢查試題名稱是否與當前考核模塊相符，試題內(nèi)容無缺頁、模糊問題。.安全操作：競賽過程安全操作，注意賽位電源線位置，操作時不要碰到，及時進行設(shè)備配置保存，以防誤碰電纜導(dǎo)致設(shè)備斷電配置丟失情況。.競賽成果物提交確認：評分將以各參賽隊提交的競賽提交物為主要評分依據(jù)。請按照U盤中答題卡要求創(chuàng)建和編輯競賽成果物，確保答題卡截圖信息清晰完整，并在競賽結(jié)束時提交，所有提交的內(nèi)容必須按照“競賽成果物提交要求”進行命名并簽署《競賽成果提交確認單》。.離場要求：競賽結(jié)束時，所有設(shè)備保持運行狀態(tài)，不要拆掉網(wǎng)絡(luò)連接。禁止將競賽用的所有物品（包括試卷和草紙）帶離賽場。.競賽成果提交物：請在U盤根目錄建立“競賽成果物”文件夾，文件夾中包含以下內(nèi)容：?Linux部署答題卡.pdf二、初始化環(huán)境（一）默認賬號及默認密碼Username：rootPassword：ChinaSki11!Username：skillsPassword：ChinaSkill!注：若非特別指定，所有賬號的密碼均為ChinaSkill!（二）操作系統(tǒng)配置所處區(qū)域：CST+8系統(tǒng)環(huán)境語言：EnglishUS（UTF-8）鍵盤:EnglishUS注意：當任務(wù)是配置TLS,請把根證書或者自簽名證書添加到受信任區(qū)?？刂婆_登陸后不管是網(wǎng)絡(luò)登錄還是本地登錄，都按下方歡迎信息內(nèi)容顯示。ChinaSkills2022-CSKModuleCLinux>>hostname?>>0SVersion<<?TIME?三、項目任務(wù)描述你作為一個Linux的技術(shù)工程師，被指派去構(gòu)建一個公司的內(nèi)部網(wǎng)絡(luò)，要為員工提供便捷、安全穩(wěn)定內(nèi)外網(wǎng)絡(luò)服務(wù)。你必須在規(guī)定的時間內(nèi)完成要求的任務(wù),并進行充分的測試，確保設(shè)備和應(yīng)用正常運行。任務(wù)所有規(guī)劃都基于Linux操作系統(tǒng)，請根據(jù)網(wǎng)絡(luò)拓撲、基本配置信息和服務(wù)需求完成網(wǎng)絡(luò)服務(wù)安裝與測試。網(wǎng)絡(luò)拓撲圖和基本配置信息如下：(-)拓撲圖AppSrv司 >>■■■■ trIspSrvSI 酬StrorageSrvb g ?InsideCli RouterSrvOutsideCli(二)網(wǎng)絡(luò)地址規(guī)劃服務(wù)器和客戶端基本配置如下表，各虛擬機已預(yù)裝系統(tǒng)。DeviceSystemFQDNIP/Mask/GatewayIspSrvUOSispsrv00/24/無OutsideCliUOSoutsidecli.10/24/無AppSrvCentosappsrv.chinaskills,cn00/24/54StorageSrvCentosstoragesrv.chinaskills,cn00/24/54RouterSrvCentosroutersrv.chinaskills,cn54/24/無、54/24/無、54/24/無InsideCliCentosinsidecli.chinaskills,cnDHCPFromAppSrv四、項目任務(wù)清單（一）服務(wù)器IspSrv工作任務(wù).DNS?配置為DNS根域服務(wù)器；,其他未知域名解析,統(tǒng)一解析為該本機IP;?創(chuàng)建正向區(qū)域“chinaskills,cn”；?類型為Slave；?主服務(wù)器為"AppSrv"；?啟用chroot功能，限制bind9在/var/named/chroot/下運行；隱藏bind版本號,版本顯示為“unknow”。WEB服務(wù)安裝nginx軟件包；配置文件名為ispweb.conf,放置在/etc/nginx/conf.d/目錄下；網(wǎng)站根目錄為/mut/ciypt（目錄不存在需創(chuàng)建）；啟用FastCGI功能，讓nginx能夠解析php請求；index,php內(nèi)容使用Welcometo2022ComputerNetworkApplicationcontest!SDN在IspSrv上導(dǎo)入OpenDayLight軟件包；啟動OpenDayLight的karaf程序，并安裝如下組件：feature：installodl-restconffeature：installodl-12switch-switch-uifeature：installod1-mdsa1-apidocsfeature：installod1-d1uxapps-app1ications使用Mininet和OpenVswitch構(gòu)建拓撲，連接ODL的6653端口如下拓撲結(jié)構(gòu)：在瀏覽器上可以訪問ODL管理頁面查看網(wǎng)元拓撲結(jié)構(gòu)；通過OVS給S2下發(fā)流表，使得H2與Hl、H3無法互通；H1啟動HTTP-Server功能，WEB端口為8080,H3作為HTTP-Client,獲取H1的html網(wǎng)頁配置文件。（二）服務(wù)器RouterSrv上的工作任務(wù)l.DHCPRELAY安裝DHCP中繼；允許客戶端通過中繼服務(wù)獲取網(wǎng)絡(luò)地址。.ROUTING?根據(jù)題目要求，開啟路由轉(zhuǎn)發(fā)，為當前實驗環(huán)境提供路由功能。.SSH?工作端口為2021；,只允許用戶userOl,登錄到routersrv。其他用戶（包括root）不能登錄；,通過ssh嘗試登錄到RouterSrv,一分鐘內(nèi)最多嘗試登錄的次數(shù)為3次，超過后禁止該客戶端網(wǎng)絡(luò)地址訪問ssh服務(wù)；,記錄用戶登錄的日志到/var/log/ssh.log,日志內(nèi)容要包含:源地址,目標地址，協(xié)議，源端口，目標端口。PTABLES添加必要的網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則，使外部客戶端能夠訪問到內(nèi)部服務(wù)器上的dns、mail、web和ftp服務(wù)；INPUT、OUTPUT和FOREARD鏈默認拒絕(DROP)所有流量通行；配置源地址轉(zhuǎn)換允許內(nèi)部客戶端能夠訪問互聯(lián)網(wǎng)區(qū)域。WebProxy?安裝Nginx組件；配置文件名為proxy,conf,放置在/etc/nginx/conf.d/目錄下；為www.chinaskills,cn配置代理前端，通過HTTPS的訪問后端Web服務(wù)器；后端服務(wù)器日志內(nèi)容需要記錄真實客戶端的IP地址；緩存后端Web服務(wù)器上的靜態(tài)頁面；,創(chuàng)建服務(wù)監(jiān)控腳本：/shells/chkWeb.sh；編寫腳本監(jiān)控公司的網(wǎng)站運行情況；腳本可以在后臺持續(xù)運行；每隔3s檢查一次網(wǎng)站的運行狀態(tài)，如果發(fā)現(xiàn)異常嘗試3次；如果確定網(wǎng)站無法訪問，則返回用戶"Thesiteisbeingmaintained”o6.OPENVPN要求服務(wù)器日志記錄客戶端登錄時間、用戶名，格式如“2022-08T0:08:10:30Successfulauthentication:username="vpnuserl"”;日志文件存放至/var/log/openvpn.log中；創(chuàng)建用戶vpnuserl,密碼為123456,使用用戶名密碼認證，要求只能與InsideCli客戶端網(wǎng)段通信，允許訪問StorageSrv主機上的SAMBA服務(wù)；VPN地址范圍為/24,OPENVPN使用tcp1194端口號進行工作。(三)服務(wù)器AppSrv上的工作任務(wù)1.SSH安裝SSH,工作端口監(jiān)聽在2101；,僅允許InsideCli客戶端進行ssh訪問，其余所有主機的請求都應(yīng)該拒絕；在cskadmin用戶環(huán)境下可以免秘鑰登錄，并且擁有root控制權(quán)限。將SSH跟SFTP進行分離，要求SFTP監(jiān)聽端口為54321,并且通過服務(wù)的方式進行啟動或停止。DHCP為InsideCli客戶端網(wǎng)絡(luò)分配地址，地址池范圍：10-90/24；域名解析服務(wù)器：按照實際需求配置DNS服務(wù)器地址選項；網(wǎng)關(guān)：按照實際需求配置網(wǎng)關(guān)地址選項；為InsideCli分配固定地址為90/24；設(shè)置默認租約時間為0.5天，最大租約時間為3天；將DHCP服務(wù)的日志信息從系統(tǒng)的日志服務(wù)中分離，通過rsyslog自定義消息處理，將日志信息保存至/var/log/dhcpd.log中。DNS,為域提供域名解析；,為www.chinaskills,cn、download,chinaskills,cn和mail,chinaskills,cn提供解析；?啟用內(nèi)外網(wǎng)解析功能，當內(nèi)網(wǎng)客戶端請求解析的時候，解析到對應(yīng)的內(nèi)部服務(wù)器地址，當外部客戶端請求解析的時候，請把解析結(jié)果解析到提供服務(wù)的公有地址；?請將IspSrv作為上游DNS服務(wù)器，所有未知查詢都由該服務(wù)器處理。web服務(wù)?安裝WEB服務(wù)；,服務(wù)以用戶webuser系統(tǒng)用戶運行；限制web服務(wù)只能使用系統(tǒng)500M物理內(nèi)存；全站點啟用TLS訪問，使用本機上的“CSKGlobalRootCA”頒發(fā)機構(gòu)頒發(fā)，網(wǎng)站證書信息如下：C=CNST=ChinaL=Beijing0=skills0U=OperationsDepartmentsCN=*.chinaskills,cn客戶端訪問https時應(yīng)無瀏覽器（含終端）安全警告信息；,當用戶使用http訪問時自動跳轉(zhuǎn)到https安全連接；,搭建www.chinaskills,cn站點；網(wǎng)頁文件放在StorgeSrv服務(wù)器上；在StorageSrv上安裝MriaDB,在本機上安裝PHP,發(fā)布WordPress網(wǎng)站；MariaDB數(shù)據(jù)庫管理員信息：User:root/Password:Chinaskill21!?創(chuàng)建網(wǎng)站download,chinaskills,cn站點；,僅允許1dsgp用戶組訪問；,網(wǎng)頁文件存放在StorageSrv服務(wù)器上；,在該站點的根目錄下創(chuàng)建以下文件“test,mp3,test,mp4,test.pdfH,其中test,mp4文件的大小為100M,頁面訪問成功后能夠列出目錄所有文件；?安全加固，在任何頁面不會出現(xiàn)系統(tǒng)和WEB服務(wù)器版本信息。.MariadbBackupScript腳本文件：/shells/mysqlbk.sh；,備份數(shù)據(jù)到/root/mysqlbackup目錄；備份腳本每隔30分鐘實現(xiàn)自動備份；導(dǎo)出的文件名為all-databases-20210213102333,其中20210213102333為運行備份腳本的當前時間，精確到秒。.MAIL,安裝配置postfix和dovecot,啟用imaps和smtps,禁止使用不安全的smtp和imap發(fā)送和接收郵件；安裝配置postfixadmin；創(chuàng)建虛擬域chinaskills,cn以及99個郵件用戶mailuseri?mailuser99.虛擬用戶映射至本地用戶vmail和用戶組vmail,UID和GID均為2000；使用mailuserl@的郵箱向mailuser2@的郵箱發(fā)送一封測試郵件，郵件標題為ujusttestmai1frommailuseriw,郵件內(nèi)容為"hello,mailuser2"o使用mailuser2@的郵箱向mailuserl@的郵箱發(fā)送一封測試郵件，郵件標題為ujusttestmai1frommailuser2",郵件內(nèi)容為"hello,mailuseri"；添加廣播郵箱地址all@,當該郵箱收到郵件時，mailuseri和mailuser2用戶都能在自己的郵箱中查看；使用mailuserl@向all@發(fā)送測試郵件，郵件標題為“testall”，郵件內(nèi)容為"hello,testall”；使用網(wǎng)站測試郵件發(fā)送與接收。.CA（證書頒發(fā)機構(gòu)）,CA根證書路徑/csk-rootca/csk-ca.pem；?簽發(fā)數(shù)字證書，頒發(fā)者信息：（僅包含如下信息）C=CNST=ChinaL=Beijing0=skillsOU=OperationsDepartmentsCN=CSKGlobalRootCA.網(wǎng)橋VXLAN服務(wù),在appsrv和storagesrv上搭建vxlan。需求如下，?安裝實驗網(wǎng)橋,新建vxlan隧道，網(wǎng)橋名稱為br-vxlan,網(wǎng)橋的出口為vxIanlOO,id為100.,appsrv的隧道地址為/24,storagesrv的隧道地址為/24.?測試網(wǎng)橋之間二層的聯(lián)通性。（四）服務(wù)器StorageSrv上的工作任務(wù)磁盤管理?在storagesrv上新加一塊10G磁盤；?創(chuàng)建vdo磁盤，并開啟vdo磁盤的重刪和壓縮；,名字為vdodisk,大小為150G,文件系統(tǒng)為ext4；,并設(shè)置開機自動掛載。掛載到/vdodata。SSH安裝openssh組件；,創(chuàng)建的userOl、user02用戶允許訪問ssh服務(wù);服務(wù)器本地root用戶不允許訪問；修改SSH服務(wù)默認端口，啟用新端口2022；,添加用戶userOl、user02到sudo組，用于遠程接入，提權(quán)操作。NFS,共享/webdata/目錄；,用于存儲AppSrv主機的WEB數(shù)據(jù)；,僅允許AppSrv主機訪問該共享；?考慮安全，不論登入NFS的使用者身份為何，都將其設(shè)置為匿名用戶訪問。VSFTPD禁止使用不安全的FTP,請使用“CSKGlobalRootCA”證書頒發(fā)機構(gòu)，頒發(fā)的證書，啟用FTPS服務(wù)；,創(chuàng)建虛擬用戶webuser,登錄ftp服務(wù)器，根目錄為/webdata,上傳的文件映射為webadmin；登錄后限制在自己的根目錄；允許WEB管理員上傳和下載文件，但是禁止上傳后綴名為.doc.docx.xlsx的文件；限制用戶的下載最大速度為100kb/S；最大同一IP在線人數(shù)為2人；通過工具或者瀏覽器下載的最大速度不超過lOOkb/s；一個IP地址同時登陸的用戶進程/人數(shù)不超過2人；采用隨機端口用戶客戶端跟服務(wù)器的數(shù)據(jù)傳輸,并限制傳輸端口為40000-41000之間。SAMBA?創(chuàng)建samba共享，本地目錄為/data/sharel,要求：,共享名為sharel；,僅允許zsuser用戶能上傳文件；?創(chuàng)建samba共享，本地目錄為/data/public,要求：,共享名為public。,允許匿名訪問。?所有用戶都能上傳文件。LDAP?安裝slapd,為samba服務(wù)提供賬戶認證；?創(chuàng)建chinaskills,cn目錄服務(wù)，創(chuàng)建users組織單元，并創(chuàng)建用戶組Idsgp，將zsuser、lsusr>wuusr力口入Idsgp組。7.Shell