网络系统管理Linux情况——AppSrv之WEB
标题要求服务器AppSrv上的工作任务
4. WEB
安装 WEB 服务;
服务以用户 webuser 系统用户运行;
限定 web 服务只能利用系统 500M 物理内存;
全站点启用 TLS 访问,利用本机上的“CSK Global Root CA”颁发机构颁发,网站证书信息如下:
C = CN
ST = China
L = BeiJing
O = skills
OU = Operations Departments
CN = *.chinaskills.cn
客户端访问 https 时应无浏览器(含终端)安全警告信息;
当用户利用 http 访问时自动跳转到 https 安全连接;
搭建 www.chinaskills.cn 站点;
网页文件放在 StorgeSrv 服务器上;
在 StorageSrv 上安装MriaDB,在本机上安装 PHP,发布 WordPress网站;
MariaDB 数据库管理员信息:User: root/ Password: Chinaskill21!
创建网站 download.chinaskills.cn 站点;
仅允许 ldsgp 用户组访问;
网页文件存放在 StorageSrv 服务器上;
在该站点的根目录下创建以下文件“test.mp3, test.mp4, test.pdf”,其中 test.mp4 文件的大小为 100M,页面访问成功后能够列出目录全部文件;
安全加固,在任何页面不会出现系统和 WEB 服务器版本信息。
项目实验
实验所需压缩包(提取码S1Qk)
点击查看视频剖析
安装httpd软件包:
# yum install httpd mod_ssl -y编辑设置文件:
# vim /etc/httpd/conf/httpd.conf
66 User webuser
67 Group webuser创建系统用户:(利用-r表现创建系统用户)
# useradd -r webuser备份默认访问页:
# cd /etc/httpd/conf.d/
# mv welcome.conf welcome.conf.bak编辑网页文件:
# cat vhost.conf
<Virtualhost *:80>
servername www.chinaskills.cn
Redirect 302 / https://www.chinaskills.cn
</Virtualhost>
<Virtualhost *:443>
servername www.chinaskills.cn
Documentroot /webdata/wordpress
<Directory /webdata/wordpress>
require all granted
</Directory>
sslengine on
sslcertificatefile /csk-rootca/apache.crt
sslcertificatekeyfile /csk-rootca/apache.key
</Virtualhost>
<Virtualhost *:443>
servername download.chinaskills.cn
Documentroot /webdata/download
<Directory /webdata/download>
Options Indexes
authname "download"
authtype basic
authuserfile "/var/passwd"
require valid-user
</Directory>
sslengine on
sslcertificatefile /csk-rootca/apache.crt
sslcertificatekeyfile /csk-rootca/apache.key
</Virtualhost>
#创建download目录并创建文件设置大小:
# mkdir /webdata/download/
# cd /webdata/download
#touch test.mp3
# touch test.pdf
# dd if=/dev/zero of=test.mp4 bs=100M count=1
https://i-blog.csdnimg.cn/img_convert/8a4b4f9affd35ab560576f24d5b44c11.png
创建用户并设置暗码:
# useradd zsuser
# useradd lsusr
# useradd wuusr
# htpasswd -c /var/passwd lsusr
# htpasswd -c /var/passwd zsusr
# htpasswd -c /var/passwd wuusr限定内存500M:
# vim /etc/systemd/system/multi-user.target.wants/httpd.service
# 添加
menmorylimit=500MNFS挂载查看,如未设置点击跳转NFS设置
# mount -a | grep /webdata上传压缩包到root目录下,并解压到/webdata目录下:
# yum install unzip -y
# ls
anaconda-ks.cfgroundcubemail-1.3.8-complete.tar.gzwordpress-4.9.4-zh_CN.zip
#
# unzip -q wordpress-4.9.4-zh_CN.zip
# tar -xf roundcubemail-1.3.8-complete.tar.gz
# mv wordpress /webdata/
# mv roundcubemail-1.3.8 roundcubemail
# mv roundcubemail /webdata/将/webdata/ 目录及其全部子目录和文件的全部者(owner)和所属组(group)都修改为 webuser,并且利用递归(-R)方式操纵,以确保全部子目录和文件都被修改。
# chown webuser:webuser /webdata/ -R证书传入客户端:
# scp /csk-rootca/csk-ca.pem root@192.168.0.190:/root
root@192.168.0.190's password:
csk-ca.pem 100% 1383 1.1MB/s 00:00
#客户端导入证书:
# cp -a csk-ca.pem /etc/pki/ca-trust/source/anchors/
# cd /etc/pki/ca-trust/source/anchors/
# update-ca-trust csk-ca.pem
# rebootStorageSrv 服务器上设置数据库:
安装数据库并启动:
# yum install mariadb-server -y
# systemctl enable mariadb.service --now
Created symlink from /etc/systemd/system/multi-user.target.wants/mariadb.service to /usr/lib/systemd/system/mariadb.service.
#
--now: 这个选项用于在启用服务的同时立即启动它,而不需要等待下一次系统启动。
通常,启用服务只会在下一次系统启动时生效,但使用 --now 选项可以立即启动服务。创建wordpress数据库:
# mysql
MariaDB [(none)]> create database wordpress;
Query OK, 1 row affected (0.00 sec)
MariaDB [(none)]> grant all on wordpress.* to root@"%" identified by "ChinaSkill23!";
Query OK, 0 rows affected (0.00 sec)
#
#
grant all: 这表示你正在授予用户 root 所有权限。
on wordpress.*: 这表示你正在将权限授予 wordpress 数据库中的所有表(* 表示通配符,匹配所有表)。
to root@"%": 这表示你将授予权限给用户 root,允许该用户从任何主机(% 是通配符,匹配所有主机)连接到数据库。
identified by "ChinaSkill23!": 这部分用于设置用户 root 的密码,密码为 "ChinaSkill23!"。
https://i-blog.csdnimg.cn/img_convert/b17805fb2db685bcce16e3269f86a243.png
AppSrv 启动apache:
安装php:
# yum install php php-fpm php-mysql -y启动apache:
# systemctl restart httpd客户端进行访问 https://www.chinaskills.cn
https://i-blog.csdnimg.cn/img_convert/cc63e38b1cbe505243a0d5287e51311f.png
https://i-blog.csdnimg.cn/img_convert/863fed8cbe47ddb92c83fce6cc2175a3.png
https://i-blog.csdnimg.cn/img_convert/c8edd307a851c494a595bcf30c6a1843.png
https://i-blog.csdnimg.cn/img_convert/cdc46e3c0d9e406e0fb86601388a3e32.png
客户端进行访问 https://download.chinaskills.cn
https://i-blog.csdnimg.cn/img_convert/1de51ae4cbb41bb60ba1a0144c304fe7.png
https://i-blog.csdnimg.cn/img_convert/e11b6e526c4fed76fad89024a8e774c5.png
评分标准
(1) 安装 apache2(执行指令: systemctl status httpd) ; 【1 分】
评分要点:
httpd 服务征程运行“active(running)
https://i-blog.csdnimg.cn/img_convert/52bd3882db3fc66c39bebbfc92464b49.png
(2) 网站根目 录(在 appsrv 上执行指令: cat /etc/fstab | grep webdata; 然后利用 vim 查看 wordpress 站点的 wp- config.php 设置内容) ; 【5 分】
评分要点:
cat /etc/fstab | grep webdata 能看到挂载源为 192. 168. 100. 200: /webdata, 挂载点为 /webdata 得 2 分;wordpress 设置文件每个标记点匹配得 1 分
https://i-blog.csdnimg.cn/img_convert/20649fc2bb0055eaa527c64432942c7d.png
https://i-blog.csdnimg.cn/img_convert/05361b859a355a88c841464bc19c57d0.png
(3) 运行用户 (appsrv 上执行 id webuser && ps aux | grep webuser) ; 【2 分】
评分要点:
在 appsrv 上执行: id webuser && ps aux | grep webuser, webuser 的 uid 需要小于 1000, 大于 1000不得分。 表现 httpd 的历程由 webuser 运行。 每个点 1 分
https://i-blog.csdnimg.cn/img_convert/a764263e8b45665b7e6bd259e78fac53.png
(4) 限定内存(在 appsrv 上执行: cat /etc/systemd/system/multi-user.target.wants/httpd.service | grep memory) ;【2 分】
评分要点:
存在下图标记的设置即可得分
https://i-blog.csdnimg.cn/img_convert/6638aa374c67f15425211b589929eeb3.png
(5) www 网页内容(在 insidecli 上利用浏览器访问 www.chinaskills.cn 站点, 打开终端输入 hostname 后, 一起截图) ; 【4 分】
评分要点:
表现出 wordpress 主页面, 得 4 分; URL 中小锁必须为绿色, 不为绿色本题都不得分, 如果不携带 hostname大概 hostname 不是 insidecli 扣 2 分
https://i-blog.csdnimg.cn/img_convert/187bcbf25dfe223f849219166fd4fbb8.png
(6) download 网站身份认证及网站内容【4 分】
评分要点:
(1) 在 insidecli 上输入 download. chinaskills. cn 网址, 弹出输出用户名和暗码框; 【1 分】
(2) 输入LDAP 上设置的三个用户中的一个 zsuser/ lsusr/ wuusr 和相应的暗码, 成功登录该网站; 【1 分】
(3) download 站点页面列出目录文件, 存在 test. mp3\test. mp4\test. pdf 文件, 其它多余文件不作判定; 【1 分】
且 test. mp4 文件大小为100M。 【1 分】
注意 download 页面也要有一个绿色的锁, 没有的话本题不得分。 如果不携带 hostname 大概 hostname 不是insidecli 扣 2 分
https://i-blog.csdnimg.cn/img_convert/7451205eb60c016d6281492b85ed6a2d.png
(7) 证书信息; 【4 分】
评分要点:
在 insidecli 上利用浏览器访问 www. chinaskills. cn 站点后, 打开证书, 查看证书利用者信息。 , 证书利用者信息需要严酷匹配。 两个证书的信息和下图中标记严酷匹配即可。 每个证书匹配得 2 分, 共 4 分
https://i-blog.csdnimg.cn/img_convert/a69393bdb30ad35a1a5791de947e2d94.png
https://i-blog.csdnimg.cn/img_convert/ec6661994046afd8ac3ccff9f2062edb.png
(8) 无证书警告(在 insidecli 上执行: curl -I https://www.chinaskills.cn) ; 【2 分】
评分要点:
curl 指令不允许利用-k 参数, 访问 https 站点不提示任何的证书提示信息
https://i-blog.csdnimg.cn/img_convert/52bc5a58acee0860ae970cb79274fa99.png
(9)http 跳转 https(在 insidecli 上执行:curl -I http://www.chinaskills.cn);【2 分】
评分要点:
能看到 Location:https://www.chinaskills.cn
https://i-blog.csdnimg.cn/img_convert/3a24223add1d6be604db2699626b2021.png
(10) 不表现非安全系统信息;【1 分】
评分要点:
download 站点的任何页面不存在任何的系统版本以及 web 服务器的版本信息
https://i-blog.csdnimg.cn/img_convert/d21876722b51c5a8154cd55ce379c3dd.png
更多详情免费剖析访问——https://blog.51cto.com/lyx888/category3.html
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]