红帽Linux网络和安全预评估测试

说明：
在后面的页面中，您需要回答一些问题来测试您的红帽Linux的知识水平。尽量回答，不确定的问题请不要选择任何选项。答题结束后，会按照专题给出分数以及总结性的课程推荐，指出您是否需要参加对应课程，或者更高级别的课程。
请记住这些推荐是基于简短的测试评估而来。一般来讲，测试可以准确的衡量个人的技能情况。如果您认为这些评估低估或者高估了您的技能水平，您可以相应的更大胆／更谨慎的选择要参加的课程。毕竟，您对自己的技术水平最了解。


--------------------------------------------------------------------------------

Topic #1 DNS 和 BIND :
1) 哪个是BIND名称服务器的主配置文件?

  /var/named/bind.conf  
  /etc/bind.conf  
  /etc/named.conf  
2) 默认情况下, 名称服务器监听的端口是:

  UDP 端口 53  
  TCP 端口 53  
  UDP 端口53 或 TCP 端口 53,  
3) 在区域文件中, 如何设置错误请求（对不存在的主机名进行的查询）的生存期：

  在SOA行中设置最后一个数字.  
  设置变量$TTL ,一般位于文件顶部.  
  设置变量 $NEGATIVETTL, 一般位于文件顶部.  


--------------------------------------------------------------------------------

Topic #2 Samba :
4) 以下哪个不是Samba的功能:

  在windows 网络中共享磁盘共享和打印共享.  
  浏览系统中的共享, 报告服务状态.  
  作为后备域控制器工作.  
5) 何种情况下需要使用 /etc/samba/smbpasswd 文件:

  当在本地Samba服务器使用加密密码和验证而非在域控制器或其他服务器上进行验证时.  
  当linux登录名和 Windows 登录名不一致时.  
  当使用Samba服务器端时.  
6) 以下哪个不是正确的安全设置?

  security = domain  
  security = ldap  
  security = user  


--------------------------------------------------------------------------------

Topic #3 Email Servers: Sendmail 和 Postfix :
7) 邮件传输代理监听哪个端口?

  24  
  25  
  143  
8) When using the m4 mechanism to create a sendmail.cf file, what is the comment string in the m4 input file? 当使用m4生成sendmail.cf文件时, 那个是m4输入文件的注释符?

  dnl  
  #  
  //  
9) 为了把目的地址为admin@example.com(这个地址不是你的example.com中的帐户) 的邮件转发至cust8194@admin.com, 应该编辑哪个文件?

  /etc/mail/virtusertable  
  /etc/aliases  
  /etc/mail/mailertable  


--------------------------------------------------------------------------------

Topic #4 Apache Web服务器和Squid 代理服务器 :
10) Apache 的配置文件路径是哪个?

  /etc/httpd/conf.d/httpd.conf  
  /etc/httpd/conf/httpd.conf  
  /etc/httpd.conf  
11) 以下哪些关于Apache服务器的说法是错误的?

  可以通过在目录中存放.htaccess文件对目录进行密码保护, 同时需要在配置文件中设置"AllowOverride authconfig”  
  为了保证不间断运行的服务器不会由于内存泄漏而崩溃, Web 服务器默认是静态工作, 不能动态挂载模块.  
  日志内容可以配置, 管理员可以通过修改配置选项决定记录哪些内容.  
12) 你希望只有来自example.com域的主机能够访问/var/www/html/internal 目录中的内容, 应该用哪个选项?

  order allow,deny
allow from .example.com
deny from all  
  order deny,allow
allow from .example.com
deny from all  
  acl all src 0.0.0.0/0.0.0.0
acl example srcdomain .example.com
http_access accept example
http_access deny all  


--------------------------------------------------------------------------------

Topic #5 NFS 服务器 :
13) 下列哪个是NFS共享的访问控制列表?

  /etc/exports  
  /etc/nfs.conf  
  /etc/nfsd.conf  
14) 你修改了NFS的配置文件, 删除并插入了新的内容. 用哪个命令可以把服务更新到修改后的状态?

  exportfs -a  
  exportfs -r  
  以上两个命令都可以.  
15) 在NFS配置文件的以下两行中，哪一行允许所有可以访问NFS服务器的系统可以挂载共享?

Line 1:
/data (rw,sync)

Line 2:

/data 192.168.0.254 (rw,sync)


  第一行. 第一行没有指定客户机限制, 也就将/data目录共享给所有主机, 而第二行限制共享给特定主机.  
  第二行. 第一行没有限制, 所以将不允许将/data 目录共享给任何主机, 而第二行在客户机限制和选项之间有一个空格, 间接的允许共享给所有主机.  
  一和二都可以。  


--------------------------------------------------------------------------------

Topic #6 安全FTP服务器 (vsftpd) :
16) 以下哪个关于红帽vsftpd服务配置的说法是正确的.

  vsftpd 允许本地用户访问, 但不允许匿名用户访问  
  vsftpd 允许匿名用户访问, 但不允许本地用户访问.  
  可以同时允许本地和匿名用户.  
17) 默认的vsftpd守护进程配置, 有限制匿名用户的访问. 限制配置是怎样的?

  匿名访问FTP是禁用的. 通过以下设置启用:
anonymous_enable=YES
 
  允许匿名用户下载, 但是不允许匿名用户上传. 为了启用匿名上传, 设置:
anon_upload_enable=YES
 
  /etc/vsftpd.ftpusers 文件中的默认配置有关于匿名用户的配置, 并禁止匿名用户访问. 可以通过删除配置启用匿名访问. 
18) 可以在匿名客户切换目录时给予提示消息, 如何在服务端配置?

  创建 .message文件, 写入要显示的内容. 
  I在/etc/vsftpd.conf文件中加入以下配置:
message dirname="mymessage"
dirname是chroot的路径名, mymessage是显示的消息.
 
  两种配置都可以. 


--------------------------------------------------------------------------------

Topic #7 DHCP 服务器 :
19) DHCP服务配置文件的路径是什么?

  /etc/dhcpd.conf 
  /etc/dhcp.conf 
  /etc/dhcpd/conf/dhcpd.conf 
20) DHCP服务的租约列表文件路径是什么?

  /var/log/dhcpd.log 
  /etc/dhcpd/leases/dhcpd.leases 
  /var/lib/dhcp/dhcpd.leases 
21) 以下哪个配置将MAC地址 00:10:60:E7:C3:A6 绑定到192.168.0.25?

  option fixed-address 00:10:60:E7:C3:A6 192.168.0.25; 
  host station25 {
hardware ethernet 00:10:60:E7:C3:A6;
fixed-address 192.168.0.25;
} 
  option fixed-address 192.168.0.25 00:10:60:E7:C3:A6; 


--------------------------------------------------------------------------------

Topic #8 插入式验证模块 :
22) PAM的功能如何实现?

  通过/sbin/pam命令实现. 
  通过动态加载一系列称为共享对象的库实现. 
  如果命令内置对PAM的支持, 可以使用动态挂载的库,否则使用/sbin/pam命令. 
23) PAM服务的名字是什么？ (/etc/pam.d/* 文件的第一个字段)?

  pam_unix, pam_smb, pam_krb5, pam_ldap 
  authentication 和 authorization, 缩写为auth0和auth1 
  auth, account, password, session 
24) 如果一条PAM规则标记为sufficient:

  用户需要满足这个规则,一旦满足后不需要满足后续其他规则. 
  用户不需要满足这个规则，但是如果能够满足，用户不再需要满足后续规则。 
  用户需要满足这个规则，并且需要满足后续规则。 


--------------------------------------------------------------------------------

Topic #9 网络信息服务 NIS :
25) NIS 域名：

  必须匹配DNS域名. 
  必须匹配DNS域名或属于其子集. 
  使用不同的名称空间, 所以和DNS完全无关. 
26) NIS服务 ypserv 监听哪个端口?

  TCP端口111. 
  需要在启动时使用-p 选项指定端口. 
  默认情况下, ypserv 会用portmap 程序指定端口. 
27) 以下哪个是/var/yp/securenets 中的有效记录？

  192.168.0.0/24 
  192.168.0.0 255.255.255.0 
  255.255.255.0 192.168.0.0 


--------------------------------------------------------------------------------

Topic #10 通过iptables 实现包过滤和网络地址转换 :
28) iptables命令:

  是个守护进程; 包过滤可以通过service 命令开始和停止, 或通过其他守护进程控制. 
  在内核中设置包过滤功能. 包过滤不能停止, service命令可以加载和卸载规则. 
  通过xinetd运行. 规则可以通过chkconfig加载. 
29) DROP 和REJECT 行为(target)都会拒绝包通过. 两种行为的区别是什么?

  REJECT记录拒绝事件. 
  DROP行为拒绝包而没有提示, 而REJECT行为会给发包者发送icmp-port-unreachable 消息, 提示包被过滤. 
  没有区别.他们同义.是为了向后兼容ipchains. 
30) 主机station4设置了以下包过滤规则集. 结果如何?

iptables -A INPUT -s station2 -p tcp --syn -j REJECT

  station4 可以向 station2 初始化TCP 连接, 而station2不能向station4初始化连接. 
  双方不能建立TCP连接. 
  station2不能连接station4的特权端口(低于1024的端口), 但是可以连接非特权端口. 


--------------------------------------------------------------------------------

Topic #11 基于xinetd的服务和TCP 封装 :
31) 基于xinetd的服务:

  当有连接请求时由xinetd守护进程启动. 
  持续运行的守护进程, 等待连接请求. 
  必须单独使用TCP封装, xinetd不能调用TCP 封装. 
32) 根据以下/etc/hosts.allow文件和/etc/hosts.deny文件, 哪些描述是对的? (example.com 对应192.168.0.0/24 网段而cracker.org对应192.168.1.0/24网段)?

# /etc/hosts.allow:

vsftpd: 192.168.0.


# /etc/hosts.deny:

ALL: .cracker.org EXCEPT trusted.cracker.org

portmap: ALL

pop3d: 192.168.0. EXCEPT 192.168.0.4


  只有example.com域成员允许访问vsftpd守护进程. 
  允许 192.168.0.4和trusted.cracker.org访问pop3d. 
  trusted.cracker.org被拒绝访问portmap. 
33) 在xinetd.conf文件中, 以下的配置是什么含义?

cps 25 30

  是连接限制: 25或30个并发连接数. 允许25个并发xinetd内部和未列出服务连接, 允许30个并发其他连接. 
  是资源限制: 连接持续25秒后, 用户将收到警告; 连接持续30秒后连接将中断. 
  是安全特性: 如果有每秒25个连接, 在接下来的30秒内会停止响应. 


--------------------------------------------------------------------------------

Topic #12 加密通讯 :
34) 你以用户duncan身分登录. 你希望以dbrand的身分登录到station4.exmaple.com, 如何实现?

  以下命令可以实现: ssh dbrand@station4.example.com 
  以下命令可以实现: ssh station4.example.com -l dbrand 
  两者都可以实现. 
35) 非对称加密

  是基于公钥/私钥对. 公钥用于加密, 私钥用于解密. 
  使用同一个密钥加密和解密. 所以, 你必须给收件人提供加密后的信息和密钥. 
  可以用于加密消息, 但是不能用来附加数字签名. 
36) 你希望用ssh 连接到另一台机器, 并将运行的程序显示到本地. 你将使用Xauthority向远程机器授权. 如何配置远程机器?

  不需要. ssh 和 sshd 将自动生成和处理MIT magic cookie 
  必须设置 DISPLAY 环境变量. 
  你必须运行xauth add命令在远程主机的magic cookie 列表中增加本地