2012年4月RHCE6.0考试心得

我很黑！

　　这个月的RHCE考试是结束了，就考试本身谈一下心得。
　　1. 通知都是早上九点开考，但是北京红帽公司的考点其实是10点开考，别去太早
　　2. 中午休息一段时间，下午大概是2:00到3:00开考，这个时间有考官灵活掌握，考场环境不算太严肃紧张，不用太担心。
　　

　　考试内容和网上的接近，但是有几处是需要注意的，因为我下午是满分，上午不是，这里只说下午考试的几个需要注意的知识点，上午的考试很简单，不用太担心，还要注意甄别，大部分复习材料上的题的解答不是全部正确的，有错误和遗漏的地方，不要当那些是标准答案。
　　

　　1. 拒绝域方面
　　有的材料建议直接清空iptables，然后用一条命令
　　iptables -A INPUT -s XX.拒绝域IP.XX -j REJECT
　　或者
　　iptables -A INPUT ! -s XX.本域IP.XX -j REJECT
　　请在考试过程中注意，有些题是要求不能拒绝域访问，有些题是要求只能本域访问，综合起来，因为第三方域的行为未定，用第二条确实可能可以达到目的，但会引起某些服务启动和响应速度很慢比如NFS，但是我的建议是，不要这样做，不要全体拒绝，针对每项服务单独对它控制，不会多花几分钟的时间，而且有保障，并且每个服务都可以通过好几个手段来控制，选择余地很大。原则上几乎每个服务都可以有下面三个手段来控制访问：
　　

• 使用/etc/hosts.deny和/etc/hosts.allow
  
• 使用iptables控制端口
  
• 使用配置文件里本身提供的选项
  

下面我们针对几个主要服务大概实际讲解一下。　　
　　我从RHCE考试的经验来说，建议如下：
　　对于只允许本域的，建议用hosts文件，hosts.deny里面写ALL，hosts.allow里面写本域IP
　　而对于拒绝某域的，用iptables。
　　<1> ftp 服务
　　ftp我推荐用host文件来做
　　<<HOSTS文件>>

　　如果是要求只对本域172.55.10.0/24开放：
　　/etc/hosts.deny
　　vsftpd:ALL
　　/etc/hosts.allow
　　vsftpd172.55.10.0/24

　　<<iptables>>

　　iptables -A INPUT ! -s 172.55.10.0/24 -p tcp --dport 21 -j REJECT
　　iptables -A INPUT ! -s 172.55.10.0/24 -p udp --dport 21 -j REJECT

<2> ssh 服务
ftp我推荐用host文件来做
<<HOSTS文件>>

　　如果是要求拒绝域172.55.20.0/24不能访问：
/etc/hosts.deny
sshd:172.55.20.0/24

<<iptables>>

　　iptables -A INPUT -s 172.55.20.0/24 -p tcp --dport 22 -j REJECT

　　iptables -A INPUT -s 172.55.20.0/24 -p udp --dport 22 -j REJECT
　　

　　&#20540;得注意的事，在ssh服务里面，一定要认真读题，看清楚是要求某一用户可以访问，某一用户不能访问，还是只可以某一用户访问，还是对组的控制
　　这时候需要使用配置文件/etc/ssh/sshd_config里面的选项AllowUsers或者AllowGroups，man sshd_config会看到详细介绍。

　　<3> samba 服务
　　这个真的很好办，你可以用hosts如上面两个做，也可以在配置文件smb.conf里面写：
　　[common]
　　path = /common
　　hosts allow = 172.55.10.0/24
　　<4> httpd服务
　　一般如果是拒绝某个域使用全部httpd的服务，那么就用iptables，但是也可能是针对服务器上的某个虚拟主机或者某个目录，这时候就要配置httpd.conf里面的目录访问控制。
　　/etc/httpd/conf/httpd.conf
　　<Directory &quot;/var/www/html&quot;>
　　Order allow,deny
　　allow from all
　　deny from 172.55.20.0/24
　　</Directory>
　　注意order里的allow和deny的顺序，顺序在前的规则，假如下面没有给具体from的定义，那么就是默认为all
　　<5>postfix 服务
　　这个用配置文件/etc/postfix/main.cf里面的mynetwork项配置即可
　　也许是我考试的时候没有涉及，所以只用了postfix，根本没用到dovecot
　　<6>nfs 服务
　　这个直接把允许的域在配置文件写就行了，如果还有别的域也允许，多写一行就是了
　　/etc/exports
　　/common *.xxx.com(rw,sync)
　　
　　好吧，拒绝域就先说这些。
　　

　　2. 脚本方面
　　注意题目的要求，有的输出时要求输出到标准输出，有的是要求到标准错误输出，需要知道默认情况下，是输出到标准输出，比如
　　echo &quot;Hello&quot;
　　如果是要求标准错误输出，那么：
　　echo &quot;Hello stderr&quot;>&2
　　
　　
　　还有就是一些小陷阱了，只要细心就可以对付，熟悉系统本身是最重要的，有问题去看/var/log/message，实在不行了现场看man手册，怎么也能搞懂的，时间也足够。
　　

　　声明： 本文只是梳理知识点，没有违法和红帽的保密协议。
　　xiaoduo.lian@gmail.com
　　

　　祝各位考试顺利。

　　

         版权声明：本文为博主原创文章，未经博主允许不得转载。