全国职业院校技能大赛网络建设与运维赛题(一)模块三:服务搭建与运维_创建目录 d:\share\work,共享名为 work,仅 manager 组和 administ
赞
踩
模块三:服务搭建与运维
任务描述:
随着信息技术的快速发展,集团计划2023年把部分业务由原有的X86架构服务器上迁移到ARM架构服务器上,同时根据目前的部分业务需求进行了部分调整和优化。
一、X86架构计算机操作系统安装与管理
1.PC1系统为ubuntu-desktop-amd64系统(已安装,语言为英文),登录用户为xiao,密码为Key-1122。启用root用户,密码为Key-1122。
2.安装remmina,用该软件连接Server1上的虚拟机,并配置虚拟机上的相应服务。
3.安装qemu和virtinst。
4.创建Windows Server 2022虚拟机,虚拟机信息如下:
| 虚拟机名称 | vcpu | 内存 | 硬盘 | IPv4地址 | 完全合格域名 |
| windows8 | 2 | 4096MB | 40GB | 10.1.11.101/24 | windows8.skills.lan |
| windows9 | 2 | 4096MB | 40GB | 10.1.11.102/24 | windows9.skills.lan |
5.安装windows8,系统为Windows Server 2022 Datacenter Desktop,网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动并加入到Windows AD中。
6.安装windows9,系统为Windows Server 2022 Datacenter Desktop,网络模式为桥接模式,网卡、硬盘、显示驱动均为virtio,安装网卡、硬盘、显示驱动并加入到Windows AD中。在windows9中添加3块5GB的硬盘(硬盘驱动为virtio),初始化为GPT,配置为raid5。驱动器盘符为D。
二、ARM架构计算机操作系统安装与管理
1.从U盘启动PC2,安装kylin-desktop-arm64(安装语言为英文),安装时创建用户为xiao,密码为Key-1122。启用root用户,密码为Key-1122。
2.配置minicom,用该软件连接网络设备,并对网络设备进行配置。
三、Windows云服务配置
1.创建实例
(1)网络信息表
| 网络名称 | vlan | 子网名称 | 网关 | IPv4地址池 |
| network210 | 210 | subnet210 | 10.1.210.1/24 | 10.1.210.100-10.1.210.109 |
| network211 | 211 | subnet211 | 10.1.211.1/24 | 10.1.211.100-10.1.211.109 |
| network212 | 212 | subnet212 | 10.1.212.1/24 | 10.1.212.100-10.1.212.109 |
(2)实例类型信息表
| 名称 | id | vcpu | 内存 | 硬盘 | 实例名称 | 镜像 |
| skills | 1 | 4 | 4GB | 40GB | windows1-windows7 | windows2022 |
(3)实例信息表
| 实例名称 | IPv4地址 | 完全合格域名 |
| windows1 | 10.1.210.101 | windows1.skills.lan |
| windows2 | 10.1.210.102 | windows2.skills.lan |
| windows3 | 10.1.210.103 | windows3.skills.lan |
| windows4 | 10.1.210.104 | windows4.skills.lan |
| windows5 | 10.1.210.105 10.1.211.105 | windows5.skills.lan |
| windows6 | 10.1.210.106 10.1.211.106 10.1.212.106 | windows6.skills.lan |
| windows7 | 10.1.210.107 10.1.211.107 10.1.212.107 | windows7.skills.lan |
2.域服务
任务描述:请采用域环境,管理企业网络资源。
(1)配置windows2为skills.lan域控制器;安装dns服务,dns正反向区域在active directory中存储,负责该域的正反向域名解析。
(2)把skills.lan域服务迁移到windows1;安装dns服务,dns正反向区域在active directory中存储,负责该域的正反向域名解析。
(3)把其他windows主机加入到skills.lan域。所有windows主机(含域控制器)用skills\Administrator身份登陆。
(4)在windows1上安装证书服务,为windows主机颁发证书,证书颁发机构有效期为10年,证书颁发机构的公用名为windows1.skills.lan。复制“计算机”证书模板,名称为“计算机副本”,申请并颁发一张供windows服务器使用的证书,证书友好名称为pc,(将证书导入到需要证书的windows服务器),证书信息:证书有效期=5年,公用名=skills.lan,国家=CN,省=Beijing,城市=Beijing,组织=skills,组织单位=system,使用者可选名称=*.skills.lan和skills.lan。浏览器访问https网站时,不出现证书警告信息。
(5)在windows2上安装从属证书服务,证书颁发机构的公用名为windows2.skills.lan。
(6)启用所有windows服务器的防火墙。
(7)在windows1上新建名称为manager、dev、sale的3个组织单元;每个组织单元内新建与组织单元同名的全局安全组;每个组内新建20个用户:行政部manager00-manager19、开发部dev00-dev19、营销部sale00-sale19,不能修改其口令,密码永不过期。manager00拥有域管理员权限。
3.组策略
任务描述:请采用组策略,实现软件、计算机和用户的策略设置。
(1)添加防火墙入站规则,名称为icmpv4,启用任意IP地址的icmpv4回显请求。
(2)域中主机自动申请“ipsec”模板证书。自动注册“工作站身份验证”模板证书,该模板可用作“服务器身份验证”,有效期5年。
(3)windows3和windows4之间通信采用ipsec安全连接,采用windows1颁发的计算机证书验证。
(4)允许manager组本地登录域控制器,允许manager00用户远程登录到域控制器;拒绝dev组从网络访问域控制器。
(5)登录时不显示上次登录,不显示用户名,无须按ctrl+alt+del。
(6)登录计算机时,在桌面新建名称为chinaskills的快捷方式,目标为https://www.chinaskills-jsw.org,快捷键为ctrl+shift+f6。
(7)为正在登录此计算机的所有用户设置漫游配置文件路径为windows1的C:\profiles,每个用户提供单独的配置文件文件夹。
4.文件共享
任务描述:请采用文件共享,实现共享资源的安全访问。
(1)在windows1的C分区划分2GB的空间,创建NTFS分区,驱动器号为d;创建用户主目录共享文件夹:本地目录为D:\share\home,共享名为home,允许所有域用户完全控制。在本目录下为所有用户添加一个以用户名命名的文件夹,该文件夹将设置为所有域用户的home目录,用户登录计算机成功后,自动映射挂载到h卷。禁止用户在该共享文件中创建“*.exe”文件,文件组名和模板名为my。
(2)创建目录D:\share\work,共享名为work,仅manager组和Administrator组有完全控制的安全权限和共享权限,其他认证用户有读取执行的安全权限和共享权限。在AD DS中发布该共享。
5.DFS服务
任务描述:请采用DFS,实现集中管理共享文件。
(1)在windows3-windows5的C分区分别划分2GB的空间,创建NTFS主分区,驱动器号为D。
(2)配置windows3为DFS服务器,命名空间为dfsroot,文件夹为pictures,存储在D:\dfs;实现windows4的D:\pics和windows5的D:\images同步。
(3)配置windows4的dfs IPv4使用34567端口;限制所有服务的IPv4动态rpc端口从8000开始,共1000个端口号。
6.ASP服务
任务描述:请采用IIS搭建web服务,创建安全动态网站,。
(1)把windows3配置为ASP网站,网站仅支持dotnet clr v4.0,站点名称为asp。
(2)http和https绑定本机与外部通信的IP地址,仅允许使用域名访问(使用“计算机副本”证书模板)。客户端访问时,必需有ssl证书(浏览器证书模板为“管理员”)。
(3)网站目录为C:\iis\contents,默认文档index.aspx内容为"Helloaspx"。
(4)使用windows5测试。
7.NLB服务
任务描述:请采用NLB,实现负载平衡。
(1)配置windows5和windows6为NLB服务器。
(2)windows5群集优先级为5,windows6群集优先级为6,群集IPv4地址为10.1.210.60/24,群集名称为www1.skills.lan,采用多播方式。
(3)配置windows5为web服务器,站点名称为www1.skills.lan,网站的最大连接数为10000,网站连接超时为60s,网站的带宽为100Mbps。
(4)共享网页文件、共享网站配置文件和网站日志文件分别存储到windows1的D:\FilesWeb\Contents、D:\FilesWeb\Configs和D:\FilesWeb\Logs。网站主页index.html内容为"HelloNLB"。
(5)使用W3C记录日志,每天创建一个新的日志文件,日志只允许记录日期、时间、客户端IP地址、用户名、服务器IP地址、服务器端口号。
(6)网站仅绑定https,IP地址为群集地址,仅允许使用域名加密访问,证书通用名称为www1.skills.lan,证书路径为windows1的D:\FilesWeb\Configs\www.cer。
(7)配置windows6为web服务器,要求采用共享windows5配置的方式;导入windows5证书,证书路径为windows1的D:\FilesWeb\Configs\www.pfx。
8.powershell脚本
任务描述:请采用powershell脚本,实现快速批量的操作。
(1)在windows7上编写C:\createfile.ps1的powershell脚本,创建20个文件C:\file\file00.txt至C:\file\file19.txt,如果文件存在,则删除后,再创建;每个文件的内容同主文件名,如file00.txt文件的内容为“file00”。
四、Linux云服务配置
1.系统安装
(1)通过PC1 web连接Server2,给Server2安装rocky-arm64 CLI系统(语言为英文)。
(2)配置Server2的IPv4地址为10.1.220.100/24。
(3)安装qemu和virt-install。
(4)创建rocky-arm64虚拟机,虚拟机硬盘文件保存在默认目录,名称为linuxN.qcow2(N表示虚拟机编号1-9,如虚拟机linux1的硬盘文件为linux1.qcow2,虚拟机linux2的硬盘文件为linux2.qcow2),虚拟机信息如下:
| 虚拟机名称 | vcpu | 内存 | 硬盘 | IPv4地址 | 完全合格域名 |
| linux1 | 2 | 4096MB | 40GB | 10.1.220.101/24 | linux1.skills.lan |
| linux2 | 2 | 4096MB | 40GB | 10.1.220.102/24 | linux2.skills.lan |
| linux3 | 2 | 4096MB | 40GB | 10.1.220.103/24 | linux3.skills.lan |
| linux4 | 2 | 4096MB | 40GB | 10.1.220.104/24 | linux4.skills.lan |
| linux5 | 2 | 4096MB | 40GB | 10.1.220.105/24 | linux5.skills.lan |
| linux6 | 2 | 4096MB | 40GB | 10.1.220.106/24 | linux6.skills.lan |
| linux7 | 2 | 4096MB | 40GB | 10.1.220.107/24 | linux7.skills.lan |
| linux8 | 2 | 4096MB | 40GB | 10.1.220.108/24 | linux8.skills.lan |
| linux9 | 2 | 4096MB | 40GB | 10.1.220.109/24 | linux9.skills.lan |
(5)安装linux1,系统为rocky-arm64 CLI,网卡、硬盘、显示驱动均为virtio,网络模式为桥接模式。
(6)关闭linux1,给linux1创建快照,快照名称为linux-snapshot。
(7)根据linux1克隆虚拟机linux2-linux9。
2.dns服务
任务描述:创建DNS服务器,实现企业域名访问。
(1)所有linux主机启用防火墙,防火墙区域为public,在防火墙中放行对应服务端口。
(2)利用chrony,配置linux1为其他linux主机提供NTP服务。
(3)所有linux主机之间(包含本主机)root用户实现密钥ssh认证,禁用密码认证。
(4)利用bind,配置linux1为主DNS服务器,linux2为备用DNS服务器。为所有linux主机提供冗余DNS正反向解析服务。
(5)配置linux1为CA服务器,为linux主机颁发证书。证书颁发机构有效期10年,公用名为linux1.skills.lan。申请并颁发一张供linux服务器使用的证书,证书信息:有效期=5年,公用名=skills.lan,国家=CN,省=Beijing,城市=Beijing,组织=skills,组织单位=system,使用者可选名称=*.skills.lan和skills.lan。将证书skills.crt和私钥skills.key复制到需要证书的linux服务器/etc/ssl目录。浏览器访问https网站时,不出现证书警告信息。
3.ansible服务
任务描述:请采用ansible,实现自动化运维。
(1)在linux1上安装ansible,作为ansible的控制节点。linux2-linux9作为ansible的受控节点。
4.apache2服务
任务描述:请采用Apache搭建企业网站。
(1)配置linux1为Apache2服务器,使用skills.lan或any.skills.lan(any代表任意网址前缀,用linux1.skills.lan和web.skills.lan测试)访问时,自动跳转到www.skills.lan。禁止使用IP地址访问,默认首页文档/var/www/html/index.html的内容为"apache"。
(2)把/etc/ssl/skills.crt证书文件和/etc/ssl/skills.key私钥文件转换成含有证书和私钥的/etc/ssl/skills.pfx文件;然后把/etc/ssl/skills.pfx转换为含有证书和私钥的/etc/ssl/skills.pem文件,再从/etc/ssl/skills.pem文件中提取证书和私钥分别到/etc/ssl/apache.crt和/etc/ssl/apache.key。
(3)客户端访问Apache服务时,必需有ssl证书。
5.tomcat服务
任务描述:采用Tomcat搭建动态网站。
(1)配置linux2为nginx服务器,默认文档index.html的内容为“hellonginx”;仅允许使用域名访问,http访问自动跳转到https。
(2)利用nginx反向代理,实现linux3和linux4的tomcat负载均衡,通过https://tomcat.skills.lan加密访问Tomcat,http访问通过301自动跳转到https。
(3)配置linux3和linux4为tomcat服务器,网站默认首页内容分别为“tomcatA”和“tomcatB”,仅使用域名访问80端口http和443端口https;证书路径均为/etc/ssl/skills.jks。
6.samba服务
任务描述:请采用samba服务,实现资源共享。
(1)在linux3上创建user00-user19等20个用户;user00和user01添加到manager组,user02和user03添加到dev组。把用户user00-user03添加到samba用户。
(2)配置linux3为samba服务器,建立共享目录/srv/sharesmb,共享名与目录名相同。manager组用户对sharesmb共享有读写权限,dev组对sharesmb共享有只读权限;用户对自己新建的文件有完全权限,对其他用户的文件只有读权限,且不能删除别人的文件。在本机用smbclient命令测试。
(3)在linux4修改/etc/fstab,使用用户user00实现自动挂载linux3的sharesmb共享到/sharesmb。
7.nfs服务
任务描述:请采用nfs,实现共享资源的安全访问。
(1)配置linux2为kdc服务器,负责linux3和linux4的验证。
(2)在linux3上,创建用户,用户名为xiao,uid=222,gid=222,家目录为/home/xiaodir。
(3)配置linux3为nfs服务器,目录/srv/sharenfs的共享要求为:linux服务器所在网络用户有读写权限,所有用户映射为xiao,kdc加密方式为krb5p。
(4)配置linux4为nfs客户端,利用autofs按需挂载linux3上的/srv/sharenfs到/sharenfs目录,挂载成功后在该目录创建test目录。
8.kubernetes服务
任务描述:请采用kubernetes和containerd,管理容器。
(1)在linux5-linux7上安装containerd和kubernetes,linux6作为master node,linux6和linux7作为work node;使用containerd.sock作为容器runtime-endpoint。导入nginx镜像,主页内容为“HelloKubernetes”。
(2)master节点配置calico,作为网络组件。
(3)创建一个deployment,名称为web,副本数为2;创建一个服务,类型为nodeport,名称为web,映射本机80端口和443端口分别到容器的80端口和443端口。
9.ftp服务
任务描述:请采用FTP服务器,实现文件安全传输。
(1)配置linux2为FTP服务器,安装vsftpd,新建本地用户test,本地用户登陆ftp后的目录为/var/ftp/pub,可以上传下载。
(2)配置ftp虚拟用户认证模式,虚拟用户ftp1和ftp2映射为ftp,ftp1登录ftp后的目录为/var/ftp/vdir/ftp1,可以上传下载,禁止上传后缀名为.docx的文件;ftp2登录ftp后的目录为/var/ftp/vdir/ftp2,仅有下载权限。
(3)使用ftp命令在本机验证。
10.iscsi服务
任务描述:请采用iscsi,搭建存储服务。
(1)为linux8添加4块硬盘,每块硬盘大小为5G,创建lvm卷,卷组名为vg1,逻辑卷名为lv1,容量为全部空间,格式化为ext4格式。使用/dev/vg1/lv1配置为iSCSI目标服务器,为linux9提供iSCSI服务。iSCSI目标端的wwn为iqn.2023-08.lan.skills:server, iSCSI发起端的wwn为iqn.2023-08.lan.skills:client。
(2)配置linux9为iSCSI客户端,实现discovery chap和session chap双向认证,Target认证用户名为IncomingUser,密码为IncomingPass;Initiator认证用户名为OutgoingUser,密码为OutgoingPass。修改/etc/rc.d/rc.local文件开机自动挂载iscsi硬盘到/iscsi目录。
11.mysql服务
任务描述:请安装mysql服务,建立数据表。
(1)配置linux2为mysql服务器,创建数据库用户xiao,在任意机器上对所有数据库有完全权限。
(2)创建数据库userdb;在库中创建表userinfo,表结构如下:
| 字段名 | 数据类型 | 主键 | 自增 |
| id | int | 是 | 是 |
| name | varchar(10) | 否 | 否 |
| birthday | datetime | 否 | 否 |
| sex | varchar(5) | 否 | 否 |
| password | varchar(200) | 否 | 否 |
(3)在表中插入2条记录,分别为(1,user1,1999-07-01,男),(2,user2,1999-07-02,女),password与name相同,password字段用password函数加密。
(4)修改表userinfo的结构,在name字段后添加新字段height(数据类型为float),更新user1和user2的height字段内容为1.61和1.62。
(5)新建/var/mysqlbak/userinfo.txt文件,文件内容如下,然后将文件内容导入到userinfo表中,password字段用password函数加密。
3,user3,1.63,1999-07-03,女,user3
4,user4,1.64,1999-07-04,男,user4
5,user5,1.65,1999-07-05,男,user5
6,user6,1.66,1999-07-06,女,user6
7,user7,1.67,1999-07-07,女,user7
8,user8,1.68,1999-07-08,男,user8
9,user9,1.69,1999-07-09,女,user9
(6)将表userinfo的记录导出,存放到/var/databak/mysql.sql,字段之间用','分隔。
(7)每周五凌晨1:00以root用户身份备份数据库userdb到/var/databak/userdb.sql(含创建数据库命令)。
12.docker服务
任务描述:请采用podman,实现有守护程序的容器应用。
(1)在linux2上安装docker-ce,导入rocky镜像。
(2)创建名称为skills的容器,映射本机的8000端口到容器的80端口,在容器内安装apache2,默认网页内容为“HelloDocker”。
(3)配置docker私有仓库。
13.shell脚本
任务描述:请采用shell脚本,实现快速批量的操作。
(1)在linux4上编写/root/createfile.sh的shell脚本,创建20个文件/root/shell/file00至/root/shell/file19,如果文件存在,则删除再创建;每个文件的内容同文件名,如file00文件的内容为“file00”。用/root/createfile.sh命令测试。
五、网络运维
某单位网络拓扑架构如下,交换机连接两台服务器,其中Server1服务器是数字取证服务器,Server2服务器是应急响应服务器,通过交换设备相连,通过路由设备连接到安全设备防火墙,单位的网络拓扑结构如下图所示。
表1.网络设备IP地址分配表
| 设备 | 设备名称 | 设备接口 | IP地址 |
| 服务器 | Server1 | Eth0 | 192.168.1.10/24 |
| Server2 | Eth0 | 192.168.2.10/24 | |
| 三层 交换机 | L3_SW1 | e0/0 | 192.168.1.2/24 |
| e0/1 | 192.168.2.2/24 | ||
| e0/2 | 10.1.1.1/24 | ||
| 路由器 | R1 | e0/2 | 10.1.1.2/24 |
| e0/1 | 20.1.1.1/24 | ||
| 防火墙 | Firewall | G1/0/0 | 20.1.1.2/24 |
1.网络排错
1.L3_SW1上交换机需要设置三层网络,现在三层直连路由无法ping通,但是查看接口的状态发现,接口物理状态都是up的,请分析原因并且故障排除。
2.拓扑中R1路由器与交换机所在的服务器网段通信异常,请分析故障排除。
3.Firewall防火墙日志收到了来自内网的ddos攻击,请分析日志将相关的攻击者/或者网络运维人员误操作引起的攻击流量找出,并设置黑名单策略,请分析日志并进行故障排除。
2.数字取证
Server1服务器上出现了黑链,并且入侵者已经将服务器上的痕迹清除,无法在服务器上进行溯源,恰好在前端的防火墙的开启了数据包分析功能。请你在数据包中进行取证工作,找到入侵者的信息。
4.通过对数据包的分析找到黑客的攻击机IP,并将他作为Flag提交;(格式:[192.168.1.1])
5.通过对数据包的分析找到黑客扫描服务器的命令,将服务器开放的端口作为Flag提交;端口从小到大排序提交(格式:[21,22,23,24])
6.通过对数据包的分析找到黑客成功登录网站后台的密码,将他作为Flag提交;(格式:[password])
3.应急响应
防火墙的日志中出现了webshell警告,Server2服务器上出现了webshell连接情况,管理员已经将服务器进行了安全隔离。请登陆到服务器上,对webshell情况进行排查。
7.在服务器上找到webshell文件,并将webshell的文件名作为flag提交;(格式:[abc.xxx])
8.在服务器上找到上传webshell的上传方式和时间,将webshell上传的时间作为flag进行提交;(格式:[10/Apr/2020:09:35:41])
9.分析入侵者在服务器上执行哪些命令,找到执行的第3条命令;(格式:[ipconfig])
10.找出服务器上存在的后门账号,将账号的密码作为flag进行提交。(格式:[password])
