江西省职业院校技能大赛“信创适配及安全管理”赛项

江西省职业院校技能大赛

“信创适配及安全管理”赛项

样  题

2025年8月29日

模块 A 基础理论测试模块

模块A请直接在在答题平台上完成。

模块 B 信创系统环境部署模块

信创系统安装

为Server3安装 openEuler 操作系统。

设置系统语言：English

设置系统时区：Asia/Shanghai

设置安装类型：Server

设置启用root密码，使用SM3加密技术

设置分区采用LVM形式，自动分配，并且对分区进行修改：除系统启动分区保持不变，其他分区设置要求如下：

注意：其他未提及的配置内容均保持系统默认设置。

信创系统管理

在Server3上使用ens3和ens4配置网口绑定，使用balance-alb模式，连接名称为nm_bond1，设备名称为bond1。成员连接名称为bond1_port1和bond1_port2，分别对应设备ens3和ens4。

确认并且配置所有服务器的地址及名称：

所有主机间的访问均通过FQDN的形式进行访问。

确认并且配置为所有Server主机网关为172.16.50.1，确保服务器能与网关通信。

为所有Server主机启用防火墙，防火墙区域为public。根据不同服务，在系统防火墙中使用添加端口的方式配置放行策略，并且确保此设置是永久有效的。

确认并且保持所有Server主机中的root用户密码为：Admin@0000，确保该账户能够通过SSH进行远程登录

为所有Server主机生成2组（RSA算法和国密算法）SSH公私钥对，其中RSA密钥长度为4096，所有密钥对的名称和保存位置保持默认。配置实现Server主机之间利用完全合格域名进行SSH免密登录。

DNS服务搭建

为Server1和Server2安装DNS服务器

利用bind和bind-utils，配置Server1为主dns服务器，配置Server2为备用dns服务器，为所有Server主机提供冗余 dns 正反向解析服务。

主DNS服务器上正向解析文件为： /var/named/db.server.itai.org，反向解析文件为： /var/named/db.0.50.16.172，域名为itai.org，解析网段为：172.16.50.0/24

配置域名解析：(后续试题如使用其他域名的，也需使用此DNS提供解析服务)

证书服务搭建

配置Server1为CA服务器（RSA），为所有Server主机颁发证书。配置CA的默认路径为/etc/pki/CA，其他CA相关文件保持在CA路径下的默认位置，私钥为cakey.pem，CA证书为cacert.pem，私钥长度为4096。证书颁发策略要求检查国家和组织两个字段是否匹配，其他字段为可选，公用名必填。为确保CA安全可靠，CA证书有效期为1年，证书信息必须完整，证书详细信息：

• 公用名：ca-rsa.itai.org
• 国家：CN
• 省：Beijing
• 城市：Beijing
• 组织：itai.org
• 组织单位：ca-rsa

申请并颁发一张供Server主机使用的证书，私钥为server-rsa.key，私钥长度为4096，证书为server-rsa.pem。为确保主机证书安全可靠，证书有效期2年，证书信息必须完整，证书详细信息：

• 公用名：*.itai.org
• 国家：CN
• 省：jiangxi
• 城市：nanchang
• 组织：itai.org
• 组织单位：server

完成签发后将主机证书复制到所有Server主机的/etc/ssl目录。后续服务如需要使用普通证书的均使用此证书。

证书签发过程中法采用国密算法。

企业应用环境准备

为Server1和Server2安装redis服务器，部署reids cluster。

配置redis节点完成以下内容：

• 为每个redis节点单独准备配置文件，存放在 /opt/redis-cluster/[node_name].conf

例如：node1的路径为 /opt/redis-cluster/node1.conf

• 配置redis节点启用持久化，持久化目录为：/opt/redis-cluster/[node_name]/data

例如：node1的路径为 /opt/redis-cluster/node1/data

• 配置redis集群节点分布如下，集群每个主节点配置1个从节点

为Server1安装apache服务器

使用itai.org或其他itai.org的三级域名访问时，自动跳转到www.itai.org。

使用ip地址访问时被拒绝，httpd服务器返回服务默认的403页面

使用域名访问时，httpd服务器默认页面返回信息为：JX_ITAI

配置客户端通过http访问服务器时自动跳转到https，SSL证书采用国密证书以提供安全可靠的连接。

部署企业应用服务

在Server2安装LAMP环境，并部署wordpress应用服务。

安装完成初始化数据库并设置root（密码为：Admin@0000）。创建wordpress库，供wordpress项目使用。

创建数据库用户wpadmin（密码为：wpAdmin@0000），对wordpress数据库有读写权限，wordpress应用程序使用该用户访问数据库。

利用wordpress搭建博客网站，站点标题为"Technology Innovation @ CHINA"，站点管理员名称为admin密码为1234567890A，管理员邮箱为mail@itai.org，使用http://blog.itai.org能够正常访问站点。

文件存储配置

在Server3安装NFS服务。

创建目录 /data/nfs/share 为node1和node2提供共享存储空间

配置采用FQDN形式，允许为node1和node2以读写模式访问共享空间

集群数据写入要求完成磁盘写入后，返回成功确保数据安全

创建存储专用用户nfsusers(uid=9011,gid=9011)将所有所有操作映射到该用户

配置node1和node2开机自动挂载远程共享空间，启用服务器超时检测功能，超时时间为100ms，重试3次

模块 C 系统适配及安全管理模块

在Server3安装opengauss数据库及配套工具。

• 利用yum仓库安装opengauss数据库
• 设置数据库管理员opengauss（密码为：dbadmin@00）
• 设置系统用户opengauss（密码为：dbadmin@123）
• 创建数据库用户oaadmin（密码为：oaadmin@123）

创建数据库实例名为：dbx，并且在dbx下创建名称为schex的模式，用户oaadmin 是schex、dbx的拥有者，配置用户oaadmin登录数据库dbx默认查询模式为schex。

完成后在sche_oa中创建下表，表名为：tb_userinfo。

完成后将数据库dbx以纯文本形式导出到/data/opengauss1.sql中。

在Server3创建opengauss数据库用户opsadmin（密码为：opsadmin@123）。

创建数据库实例名为：db_wordpress，并且在db_wordpress下创建名称为schema_wordpress的模式，设置opsadmin是schema_wordpress和db_wordpress的拥有者。设置opsadmin登录数据库db_wordpress后的默认查询模式为schema_wordpress。

将Server2上的wordpress数据库完整迁移至opengauss的db_wordpress中。（只需将数据完成迁移）

迁移完成后对数据进行检查，确保数据完整性、可用性，并将迁移完后的数据库备份到/data/opengauss2.sql。

系统登录加固：

• 对所有系统进行登录加固。
• 修改全局环境变量实现终端超时时间300秒，超时后自动登出
• 删除不必要的用户games和ftp，避免安全隐患

SSH服务加固：

• 对所有系统进行SSH加固配置，配置内容保存在SSH服务默认配置文件中。
• 客户端存活性检测10妙一次，客户端3次无应答则断开连接
• 禁用TCP转发功能
• 禁用X11转发功能
• 避免暴力攻击，用户最大尝试次数8次

系统审计管理：

使用auditd服务对所有Server进行审计。

• 为了便于区分，在审计日志中使用主机的完全合格域名
• 审计文件系统访问 /etc/hosts的改动情况
• 审计文件系统访问/etc/resolv.conf的改动情况
• 审计文件系统访问/etc/passwd和/etc/shadow的改动情况
• 审计文件系统访问/etc/sudoers和/etc/sudoers.d的改动情况
• 审计系统调用运行 /usr/bin/rm 的具体情况
• 审计系统调用运行 /usr/bin/reboot 的具体情况
• 审计系统调用运行 /usr/bin/chmod 的具体情况

导出审计报告到 /var/log/audit.report.log