1、计算机 Linux 认证-包管理、用户管理、RHCSA 级的系统管理任务、安全入门及答案解析(总分:100.00,做题时间:90 分钟)一、B简答题/B(总题数:27,分数:100.00)1.从 Red Hat Network、远程代码库或者本地文件系统安装和更新软件包 什么命令可以利用本地的 abc-1.2.3-x86 64.rpm 更新 abc 软件包的当前版本?(分数:3.00)_2.什么命令可以用来从 RHN 安装名为 def 的软件包的最新可用版本?什么命令可以用来在 Scientific Linux 上安装名为 def 的软件包的最新可用版本?假定两个系统均有高速的网络连接。(分数
2、:3.00)_3.yum 的主配置文件是什么?(分数:3.00)_4.什么命令可以安装 FTP 服务器软件包组合?提示:FTP 服务器可以由 yum grouplist 命令的输出列出。(分数:3.00)_5.在保证系统可启动的前提下妥善更新内核包 已知在 IP 地址为 192.168.122.50 的 FTP 服务器上有一个可用的内核更新,文件名为 kernel-2.6.32-220-99.e16.x86_64.rpm,在 pub/os/Packages/子目录中。使用什么命令可以安装该内核?(分数:3.00)_6.新内核一旦被安装,应该会看到至少两个节,分别对应单独的引导选项。各个节中提到
3、的哪两个文件将会有不同的版本号?(分数:3.00)_7.在多用户运行级别登录和切换用户 什么标准运行级别支持多用户的访问?(分数:3.00)_8.创建、删除、修改本地用户账号 给出删除用户 testuser4 账号的命令,同时要保留该用户 home 目录中的文件。(分数:3.00)_9.为本地用户账号修改密码及调整密码时效 对于用户 testuser3,什么命令可以将其最大密码生命周期设置为 7 天?(分数:4.00)_10.创建、删除、修改本地组和组成员 给出与影子密码组件相关的所有文件名,包括用户可能归属的额外组的信息。(分数:4.00)_11.创建和配置用于协作的 set-GID 目录
4、什么命令可以仅设置/home/group1 目录的 set-GID 位?假定适当的所有权和访问模式已经设置。(分数:4.00)_12.假定/home/group1 已经设置了 set-GID 位,并且所有权已赋予 supervisor 用户和 group1 组。当将status.doc 文件复制到/home/group1 目录时,其所有权会发生什么变化?(分数:4.00)_13.配置系统使用已有的 LDAP 目录服务提供关于用户和组的信息 在配置正确的前提下,什么文件会强制系统查找 LDAP 目录服务?(分数:4.00)_14.使用 VNC 访问远程系统 列举两个 VNC 客户端软件包。(分数
5、:4.00)_15.使用 tar、star、gzip、bzip2 归档、压缩、拆包以及解压文件 什么命令可以使用绝对路径并以bzip2 格式压缩和归档/test/remote 目录中的内容?将该归档文件命名为 remotearchive。(分数:4.00)_16.识别 CPU/内存密集进程、使用 renice 调整进程优先级、kill 进程 什么命令可以将 PID 为 2020 的进程修改为可能的最低优先级?(分数:4.00)_17.使用 cron 调度任务 编写一个简单的 cron 脚本,将/vadlog 目录下的文件列表写入 testuser home 目录下名为 loglist 的文件。
6、(分数:4.00)_18.如果想让某脚本以小时为周期运行,那么应该将它放置在哪里?(分数:4.00)_19.定位和解析系统日志文件 可以在什么目录中找到与 SELinux 相关的系统日志文件?(分数:4.00)_20.使用 iptables 实现包过滤并配置网络地址转换(NAT) 什么命令可以显示当前已配置的基于 iptables的防火墙规则?(分数:4.00)_21.如果想要允许来自 IP 地址为 192.168.122.130 的 TCP 数据包访问 2345 端口,那么应该向 iptables 命令添加什么选项?提示:使用与/etc/sysconfig/iptables 文件中相同的格式
7、。(分数:4.00)_22.如果想要拒绝来自 IP 地址为 192.168.122.240 的所有数据包,那么应该向 iptables 命令添加什么选项?(分数:4.00)_23.iptables 命令的什么选项可以丢弃所有 ICMP 相关的数据包,包括与 ping 命令相关的数据包?(分数:4.00)_24.为服务配置基于主机和基于用户的安全 如果/etc/hosts.allow 文件为空,那么/etc/hosts.deny 文件中的什么条目可以禁止对所有使用 TCP Wrappers 库的服务进行访问?(分数:4.00)_25.如果/etc/hosts.allow 文件为空,那么/etc/
8、hosts.deny 文件中的什么条目可以禁止对所有使用TCPWrappers 库的服务进行访问,但 IP 地址为 192.168.122.130 的系统除外?(分数:4.00)_26.如果想要禁止/etc/blackhatters 文件中所列的用户访问你的 FTP 服务器,需要对/etc/pam.d/vsftpd文件中的以下条目作什么修改? auth required pam_listfile.so item=user sense=deny / file=/etc/vsftpd/ftpusers onerr=succeed(分数:4.00)_27.什么命令可以验证 Samba 守护进程/us
9、r/sbin/smbd 是否依赖于 TCP Wrappers 库?(分数:4.00)_计算机 Linux 认证-包管理、用户管理、RHCSA 级的系统管理任务、安全入门答案解析(总分:100.00,做题时间:90 分钟)一、B简答题/B(总题数:27,分数:100.00)1.从 Red Hat Network、远程代码库或者本地文件系统安装和更新软件包 什么命令可以利用本地的 abc-1.2.3-x86 64.rpm 更新 abc 软件包的当前版本?(分数:3.00)_正确答案:(从 Red Hat Network、远程代码库或者本地文件系统安装和更新软件包 可以利用本地的 abc-1.2.3
10、-x86 64.rpm 更新 abc 软件包当前版本的命令是 rpm -Uabc-1.2.3-x86 64.rpm。命令 rpm.F abc-1.2.3-x86_64.rpm 也是可接受的。)解析:2.什么命令可以用来从 RHN 安装名为 def 的软件包的最新可用版本?什么命令可以用来在 Scientific Linux 上安装名为 def 的软件包的最新可用版本?假定两个系统均有高速的网络连接。(分数:3.00)_正确答案:(可以用来从 RHN 或 Scientific Linux 软件库安装名为 def 的软件包最新可用版本的最简单命令是 yum install def。)解析:3.yu
11、m 的主配置文件是什么?(分数:3.00)_正确答案:(yum 的主配置文件是/etc/yum.conf。它会拉取/etc/yum.repos.d 目录下的配置文件,并从/etc/yum 目录下的文件中获取额外的信息。)解析:4.什么命令可以安装 FTP 服务器软件包组合?提示:FTP 服务器可以由 yum grouplist 命令的输出列出。(分数:3.00)_正确答案:(可以安装 FTP 服务器软件包组合的最简单命令是 yum groupinstall “FTP server“。yumgroupinstall FTP/Server 命令也是可接受的(其他变体,例如使用单引号,也是可接受的。
12、这是一个很少见的命令,其中包组合的大小写并不重要)。)解析:5.在保证系统可启动的前提下妥善更新内核包 已知在 IP 地址为 192.168.122.50 的 FTP 服务器上有一个可用的内核更新,文件名为 kernel-2.6.32-220-99.e16.x86_64.rpm,在 pub/os/Packages/子目录中。使用什么命令可以安装该内核?(分数:3.00)_正确答案:(在保证系统可启动的前提下妥善更新内核包 从指定的 FTP 服务器安装所述内核软件包的一条命令是 rpm -ivh ftp:/192.168.122.50/pub/os/Packages/keme1-2.6.32-2
13、20-99.e16.x86 64.rpm。虽然-v 和-h 开关不是必需的,但-U 或-F 开关是不可接受的答案,因为它们会覆盖已存在的内核。)解析:6.新内核一旦被安装,应该会看到至少两个节,分别对应单独的引导选项。各个节中提到的哪两个文件将会有不同的版本号?(分数:3.00)_正确答案:(两个节之间的不同之处是内核的版本号和 initramfs 文件。将这些文件称作 Kernelf 内核)和 Initial RAM disk(初始内存盘)也是可接受的。)解析:7.在多用户运行级别登录和切换用户 什么标准运行级别支持多用户的访问?(分数:3.00)_正确答案:(在多用户运行级别登录和切换用户
14、 支持多用户访问的标准运行级别为 2、3、4 和 5。)解析:8.创建、删除、修改本地用户账号 给出删除用户 testuser4 账号的命令,同时要保留该用户 home 目录中的文件。(分数:3.00)_正确答案:(创建、删除、修改本地用户账号 删除用户 testuser4 账号并且同时保留该用户 home 目录中文件的命令为: Userde1 testuser4)解析:9.为本地用户账号修改密码及调整密码时效 对于用户 testuser3,什么命令可以将其最大密码生命周期设置为 7 天?(分数:4.00)_正确答案:(为本地用户账号修改密码及调整密码时效 将用户 testuser3 的最大密
15、码生命周期设置为 7 天的命令为: chage -M 7 testuser3)解析:10.创建、删除、修改本地组和组成员 给出与影子密码组件相关的所有文件名,包括用户可能归属的额外组的信息。(分数:4.00)_正确答案:(创建、删除、修改本地组和组成员 包含额外组的信息的影子密码组件文件为/etc/group 和/etc/gshadow。/etc/passwd 文件仅包含关于用户所属主要组的信息。)解析:11.创建和配置用于协作的 set-GID 目录 什么命令可以仅设置/home/group1 目录的 set-GID 位?假定适当的所有权和访问模式已经设置。(分数:4.00)_正确答案:(创
16、建和配置用于协作的 set-GID 目录 在给定的条件下,仅设置/home/group1 目录的 set-GID位的命令为: chmod g+s /home/group1)解析:12.假定/home/group1 已经设置了 set-GID 位,并且所有权已赋予 supervisor 用户和 group1 组。当将status.doc 文件复制到/home/group1 目录时,其所有权会发生什么变化?(分数:4.00)_正确答案:(在 set-GID 位的作用下,当把 status.doc 文件复制到/home/group1 目录时,其所有权会被分配给 group1 组。)解析:13.配置系
17、统使用已有的 LDAP 目录服务提供关于用户和组的信息 在配置正确的前提下,什么文件会强制系统查找 LDAP 目录服务?(分数:4.00)_正确答案:(配置系统使用已有的 LDAP 目录服务提供关于用户和组的信息 在配置正确的前提下,会强制系统查找 LDAP 目录服务的文件为/etc/nsswitch.conf。)解析:14.使用 VNC 访问远程系统 列举两个 VNC 客户端软件包。(分数:4.00)_正确答案:(使用 VNC 访问远程系统 RHEL 6 上可用的两个基本的 VNC 客户端软件包为 vinagre 和tigervnc。此外,由于 vnc-viewer 包使用 VNC,因此它也
18、是一个正确答案。)解析:15.使用 tar、star、gzip、bzip2 归档、压缩、拆包以及解压文件 什么命令可以使用绝对路径并以bzip2 格式压缩和归档/test/remote 目录中的内容?将该归档文件命名为 remotearchive。(分数:4.00)_正确答案:(使用 tar、star、gzip、bzip2 归档、压缩、拆包以及解压文件 使用绝对路径并以 bzip2 格式将/test/remote 目录中的内容压缩并归档为 remotearchive 文件的命令是: tar cjf remotearchive.tar.bz2/test/remote)解析:16.识别 CPU/内
19、存密集进程、使用 renice 调整进程优先级、kill 进程 什么命令可以将 PID 为 2020 的进程修改为可能的最低优先级?(分数:4.00)_正确答案:(识别 CPU/内存密集进程、使用 renice 调整进程优先级、kill 进程 renice 19 2020 命令将PID 为 2020 的进程修改为可能的最低优先级。)解析:17.使用 cron 调度任务 编写一个简单的 cron 脚本,将/vadlog 目录下的文件列表写入 testuser home 目录下名为 loglist 的文件。(分数:4.00)_正确答案:(使用 cron 调度任务 一种简单的方法是在文本文件中编写包
20、含以下行的脚本,并使其可执行:/bin/ls/var/log /home/testuser/loglist)解析:18.如果想让某脚本以小时为周期运行,那么应该将它放置在哪里?(分数:4.00)_正确答案:(只要满足此问题的要求,各种该脚本的变体都是可接受的。要使得某个脚本以小时为周期运行,可将其放置在/etc/cron.hourly 目录中。)解析:19.定位和解析系统日志文件 可以在什么目录中找到与 SELinux 相关的系统日志文件?(分数:4.00)_正确答案:(定位和解析系统日志文件 可以在/var/log/audit 目录中找到与 SELinux 相关的系统日志文件。)解析:20.
21、使用 iptables 实现包过滤并配置网络地址转换(NAT) 什么命令可以显示当前已配置的基于 iptables的防火墙规则?(分数:4.00)_正确答案:(使用 iptables 实现包过滤并配置网络地址转换(NAT) 可以显示当前已配置的基于 iptables的防火墙规则的命令为: iptables -L)解析:21.如果想要允许来自 IP 地址为 192.168.122.130 的 TCP 数据包访问 2345 端口,那么应该向 iptables 命令添加什么选项?提示:使用与/etc/sysconfig/iptables 文件中相同的格式。(分数:4.00)_正确答案:(一种允许来自
22、 IP 地址为 192.168.122.130 的 TCP 数据包访问 2345 端口的方法是在 iptables命令后面添加以下选项: -A INPUT -s 192.168.122.130 -m state -state NEW -m tcp/ -p tcp -dport 2345 -j ACCEPT 选项的各种变体都是可接受的,只要它满足问题的基本条件。)解析:22.如果想要拒绝来自 IP 地址为 192.168.122.240 的所有数据包,那么应该向 iptables 命令添加什么选项?(分数:4.00)_正确答案:(一种拒绝来自 IP 地址为 192.168.122.240 的所有
23、数据包的方法是在 iptables 命令后面添加以下选项: -A INPUT -s 192.168.122.240 -j REJECT)解析:23.iptables 命令的什么选项可以丢弃所有 ICMP 相关的数据包,包括与 ping 命令相关的数据包?(分数:4.00)_正确答案:(一种配置 iptables 命令丢弃所有 ICMP 相关数据包的方法是使用以下选项: -A INPUT -p icmp -j DROP 由于 ping 命令使用 ICMP,因此会自动丢弃相关的数据包。你可能会注意到默认的防火墙规则已经使用以下条目接受 ICMP 相关数据包: -A INPUT -p icmp -j
24、 ACCEPT 为了阻止 ICMP 消息,需要将该条目注释或删除。)解析:24.为服务配置基于主机和基于用户的安全 如果/etc/hosts.allow 文件为空,那么/etc/hosts.deny 文件中的什么条目可以禁止对所有使用 TCP Wrappers 库的服务进行访问?(分数:4.00)_正确答案:(为服务配置基于主机和基于用户的安全 如果/etc/hosts.allow 文件为空,那么/etc/hosts.deny 文件中的以下条目可以禁止对所有使用 TCP Wrappers 库的服务进行访问: ALL:ALL)解析:25.如果/etc/hosts.allow 文件为空,那么/et
25、c/hosts.deny 文件中的什么条目可以禁止对所有使用TCPWrappers 库的服务进行访问,但 IP 地址为 192.168.122.130 的系统除外?(分数:4.00)_正确答案:(如果/etc/hosts.allow 文件为空,那么/etc/hosts.deny 文件中的以下条目可以禁止除 IP 地址为 192.168.122.130 以外的系统对所有使用 TCP Wrappers 库的服务进行访问: ALL:ALL EXCEPT 192.168.122.130)解析:26.如果想要禁止/etc/blackhatters 文件中所列的用户访问你的 FTP 服务器,需要对/etc
26、/pam.d/vsftpd文件中的以下条目作什么修改? auth required pam_listfile.so item=user sense=deny / file=/etc/vsftpd/ftpusers onerr=succeed(分数:4.00)_正确答案:(要禁止/etc/blackhatters 文件中所列的用户访问本地的 FTP 服务器,可以在/etc/pam.d/vsftpd 文件中使用以下指令: auth required pam_listfile.so item=user sense=deny / file=/etc/blackhatters onerr=succeed)解析:27.什么命令可以验证 Samba 守护进程/usr/sbin/smbd 是否依赖于 TCP Wrappers 库?(分数:4.00)_正确答案:(一条可以验证 Samba 守护进程/usr/sbin/smbd 是否依赖于 TCP Wrappers 库的命令为: # ldd/usr/sbin/smbd | grep libwrap.so 对于 RHEL 6 来说,Samba 守护进程并不依赖于任何 TCP Wrappers 库;换句话说,该 ldd 命令的输出为空。)解析:
