2023年全国职业院校技能大赛=GZ073 网络系统管理赛项赛题第2套B模块-2

2023年全国职业院校技能大赛=GZ073 网络系统管理赛项赛题第2套B模块-1

https://developer.aliyun.com/article/1501444

四、Linux初始化环境

1.默认账号及默认密码

Username: root

Password: ChinaSkill23!

Username: skills

Password: ChinaSkill23!

注：若非特别指定，所有账号的密码均为 ChinaSkill23!

2.操作系统配置

所处区域：CST + 8

系统环境语言：English US (UTF-8)

键盘：English US

注意：当任务是配置TLS，请把根证书或者自签名证书添加到受信任区。

控制台登陆后不管是网络登录还是本地登录 ，都按下方欢迎信息内容显示

*********************************

ChinaSkills 2022–CSK

Module C Linux

>>hostname<<

>>System Version<<

>> TIME <<

*********************************

五、Linux项目任务描述

你作为一个Linux的技术工程师，被指派去构建一个公司的内部网络，要为员工提供便捷、安全稳定内外网络服务。你必须在规定的时间内完成要求的任务，并进行充分的测试，确保设备和应用正常运行。任务所有规划都基于Linux操作系统，请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试，网络拓扑图和基本配置信息如下：

1.拓扑图

2.网络地址规划

服务器和客户端基本配置如下表，各虚拟机已预装系统。

ISPSRV（UOS）

完全限定域名：ispsrv

普通用户/登录密码：skills/ChinaSkill23

超级管理员/登录密码：root/ChinaSkill23

网络地址/掩码/网关：81.6.63.100/24/无

AppSrv(Centos)

完全限定域名：appsrv.chinaskills.cn

普通用户/登录密码：skills/ChinaSkill23

超级管理员/登录密码：root/ChinaSkill23

网络地址/掩码/网关：192.168.100.100/24/192.168.100.254

IOMSrv(Centos)

网络地址/掩码/网关：192.168.100.150/24/192.168.100.254

STORAGESRV(Centos)

完全限定域名：storagesrv.chinaskills.cn

普通用户/登录密码：skills/ChinaSkill23

超级管理员/登录密码：root/ChinaSkill23

网络地址/掩码/网关：192.168.100.200/24/192.168.100.254

ROUTERSRV(Centos)

完全限定域名：routersrv.chinaskills.cn

普通用户/登录密码：skills/ChinaSkill23

超级管理员/登录密码：root/ChinaSkill23

网络地址/掩码/网关：

192.168.100.254/24/无、192.168.0.254/24/无、81.6.63.254/24/无

INSIDECLI(Centos)

完全限定域名：insidecli.chinaskills.cn

普通用户/登录密码：skills/ChinaSkill23

超级管理员/登录密码：root/ChinaSkill23

网络地址/掩码/网关：DHCP From AppSrv

OUTSIDECLI（UOS）

完全限定域名：outsidecli.chinaskills.cn

普通用户/登录密码：skills/ChinaSkill23

超级管理员/登录密码：root/ChinaSkill23

网络地址/掩码/网关：DHCP From IspSrv

六、Linux项目任务清单

（一）服务器IspSrv工作任务

DHCP

为OutsideCli客户端网络分配地址，地址池范围：81.6.63.110-81.6.63.190/24；

域名解析服务器：按照实际需求配置DNS服务器地址选项；

网关：按照实际需求配置网关地址选项；

DNS

配置为DNS根域服务器；

其他未知域名解析,统一解析为该本机IP；

创建正向区域“chinaskills.cn”；

类型为Slave；

主服务器为“AppSrv”；

WEB服务

安装nginx软件包；

配置文件名为ispweb.conf，放置在/etc/nginx/conf.d/目录下；

网站根目录为/mut/crypt（目录不存在需创建）；

启用FastCGI功能，让nginx能够解析php请求；

index.php内容使用Welcome to 2022 Computer Network Application contest!

（二）服务器RouterSrv上的工作任务

DHCP RELAY

安装DHCP中继；

允许客户端通过中继服务获取网络地址；

ROUTING

开启路由转发，为当前实验环境提供路由功能。

根据题目要求，配置单臂路由实现内部客户端和服务器之间的通信。

SSH

工作端口为2021；

只允许用户user01，密码ChinaSkill21登录到router。其他用户（包括root）不能登录，创建一个新用户，新用户可以从本地登录，但不能从ssh远程登录。

通过ssh登录尝试登录到RouterSrv，一分钟内最多尝试登录的次数为3次，超过后禁止该客户端网络地址访问ssh服务。

记录用户登录的日志到/var/log/ssh.log，日志内容要包含：源地址，目标地址，协议，源端口，目标端口。

IPTABLES

添加必要的网络地址转换规则，使外部客户端能够访问到内部服务器上的dns、mail、web和ftp服务。

INPUT、OUTPUT和FOREARD链默认拒绝（DROP）所有流量通行。

配置源地址转换允许内部客户端能够访问互联网区域。

Web Proxy

安装Nginx组件；

配置文件名为proxy.conf，放置在/etc/nginx/conf.d/目录下；

为www.chinaskills.cn配置代理前端，通过HTTPS的访问后端Web服务器；

后端服务器日志内容需要记录真实客户端的IP地址。

缓存后端Web服务器上的静态页面。

创建服务监控脚本：/shells/chkWeb.sh

编写脚本监控公司的网站运行情况；

脚本可以在后台持续运行；

每隔3S检查一次网站的运行状态，如果发现异常尝试3次；

如果确定网站无法访问，则返回用户“网站正在维护中，请您稍后再试”的页面。

（三）服务器AppSrv上的工作任务

SSH

安装SSH，工作端口监听在2101。

仅允许InsideCli客户端进行ssh访问，其余所有主机的请求都应该拒绝。

在cskadmin用户环境下可以免秘钥登录，并且拥有root控制权限。

DHCP

为InsideCli客户端网络分配地址，地址池范围：192.168.0.110-192.168.0.190/24；

域名解析服务器：按照实际需求配置DNS服务器地址选项；

网关：按照实际需求配置网关地址选项；

为InsideCli分配固定地址为192.168.0.190/24。

DNS

为chinaskills.cn域提供域名解析。

为www.chinaskills.cn、download.chinaskills.cn和mail.chinaskills.cn提供解析。

启用内外网解析功能，当内网客户端请求解析的时候，解析到对应的内部服务器地址，当外部客户端请求解析的时候，请把解析结果解析到提供服务的公有地址。

请将IspSrv作为上游DNS服务器，所有未知查询都由该服务器处理。

web服务

安装web服务；

服务以用户webuser系统用户运行；

限制web服务只能使用系统500M物理内存；

全站点启用TLS访问，使用本机上的“CSK Global Root

CA”颁发机构颁发，网站证书信息如下：

C = CN

ST = China

L = BeiJing

O = skills

OU = Operations Departments

CN = *.chinaskills.com

客户端访问https时应无浏览器（含终端）安全警告信息；

当用户使用http访问时自动跳转到https安全连接；

搭建www.chinaskills.cn站点；

网页文件放在StorgeSrv服务器上；

在StorageSrv上安装MriaDB，在本机上安装PHP，发布WordPress网站；

MariaDB数据库管理员信息：User: root/ Password: Chinaskill21!。

创建网站download.chinaskills.cn站点；

仅允许ldsgp用户组访问；

网页文件存放在StorageSrv服务器上；

在该站点的根目录下创建以下文件“test.mp3, test.mp4,

test.pdf”，其中test.mp4文件的大小为100M，页面访问成功后能够列出目录所有文件。

作安全加固，在任何页面不会出现系统和WEB服务器版本信息。

Mariadb Backup Script

脚本文件：/shells/mysqlbk.sh；

备份数据到/root/mysqlbackup目录；

备份脚本每隔30分钟实现自动备份；

导出的文件名为all-databases-20210213102333, 其中20210213102333

为运行备份脚本的当前时间，精确到秒。

MAIL

安装配置postfix和dovecot，启用imaps和smtps，并创建测试用户mailuser1和mailuser2。

使用mailuser1@chinaskills.cn的邮箱向mailuser2@chinaskills.cn的邮箱发送一封测试邮件，邮件标题为“just

test mail from mailuser1”, 邮件内容为“hello , mailuser2”。

使用mailuser2@chinaskills.cn的邮箱向mailuser1@chinaskills.cn的邮箱发送一封测试邮件，邮件标题为“just

test mail from mailuser2”，邮件内容为“hello, mailuser1”。

添加广播邮箱地址all@chinaskills.cn，当该邮箱收到邮件时，所有用户都能在自己的邮箱中查看。

使用https://mail.chinaskills.cn网站测试邮件发送与接收。

CA（证书颁发机构）

CA根证书路径/csk-rootca/csk-ca.pem；

签发数字证书，颁发者信息：(仅包含如下信息)

C = CN

ST = China

L = BeiJing

O = skills

OU = Operations Departments

CN = CSK Global Root CA

（四）服务器StorageSrv上的工作任务

SSH

安装openssh组件；

创建的user01、user02用户允许访问ssh服务；

服务器本地root用户不允许访问；

修改SSH服务默认端口，启用新端口3358；

添加用户user01，user02到sudo组；用于远程接入，提权操作。

DISK

添加大小均为10G的虚拟磁盘，配置raid-5磁盘。

创建LVM命名为/dev/vg01/lv01，大小为100G，格式化为ext4，挂在到本地目录/webdata，在分区内建立测试空文件disk.txt。

NFS

共享/webdata/目录；

用于存储AppSrv主机的WEB数据；

仅允许AppSrv主机访问该共享。

SAMBA

创建samba共享，本地目录为/data/share1，要求：

共享名为share1。

仅允许zsuser用户能上传文件。

创建samba共享，本地目录为/data/public，要求：

共享名为public。

允许匿名访问。

所有用户都能上传文件。

LDAP

安装openldap，为samba服务提供账户认证；

创建chinaskills.cn目录服务，并创建用户组ldsgp，将zsuser、lsusr、wuusr。

ShellScript

编写添加用户的脚本,存储在/shells/userAdd.sh目录；

当有新员工入职时，管理员运行脚本为其创建公司账号；

自动分配客户端账号、公司邮箱、samba目录及权限、网站账号等；

以userAdd lifei的方式运行脚本，lifei为举例的员工姓名。

（五）服务器IOMSrv工作任务

图形界面登陆IOMSrv运维平台，登陆地址http://172.16.100.150；

通过Linux代理模板，添加StorageSrv、AppSrv操作系统监控对象，查看运行状态；

通过中间件Nginx模板，添加Nginx监控对象，查看运行状态；

通过中间件MySQL数据库Agent模板，添加Mariadb监控对象，查看运行状态；

通过新增WEB探测对象，监控门户网站www.chinaskills.cn，查看运行状态；

基于AppSrv上的门户网站业务，完成业务拓扑绘制，并在业务大屏上呈现。

（六）客户端OutsideCli和InsideCli工作任务

OutsideCli

作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具；

作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具；

作为SSH远程登录测试客户端，安装ssh命令行测试工具；

作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具；

作为FTP测试的客户端，安装lftp命令行工具；

作为防火墙规则效果测试客户端，安装ping命令行工具。

截图的时候请使用上述提到的工具进行功能测试。

InsideCli

作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具；

作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具；

作为SSH远程登录测试客户端，安装ssh命令行测试工具；

作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具；

作为FTP测试的客户端，安装lftp命令行工具；

作为防火墙规则效果测试客户端，安装ping命令行工具。

作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具；

作为SSH远程登录测试客户端，安装ssh命令行测试工具；

作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具；

作为FTP测试的客户端，安装lftp命令行工具；

作为防火墙规则效果测试客户端，安装ping命令行工具。

截图的时候请使用上述提到的工具进行功能测试。

InsideCli

作为DNS服务器域名解析测试的客户端，安装nslookup、dig命令行工具；

作为网站访问测试的客户端，安装firefox浏览器, curl命令行测试工具；

作为SSH远程登录测试客户端，安装ssh命令行测试工具；

作为SAMBA测试的客户端，使用图形界面文件浏览器测试, 并安装smbclient工具；

作为FTP测试的客户端，安装lftp命令行工具；

作为防火墙规则效果测试客户端，安装ping命令行工具。

截图的时候请使用上述提到的工具进行功能测试。