1. B. A subnet declaration begins w

1. SINH Một tuyên bố mạng con bắt đầu với từ khóa đó theo sau là một số mạng con, mặt nạ mạng từ khóa và giá trị mặt nạ mạng. Do đó, tùy chọn B là đúng; dữ liệu mặt nạ mạng nên được trình bày. Tùy chọn A, C, và D là tất cả đúng quan sát nhưng câu trả lời không chính xác vì những mẩu thông tin có thể tất cả được tuyên bố là ở nơi khác và trong thực tế aren ' t nghiêm chỉnh cần thiết. 2. mất DHCP cho thuê thông tin được lưu trữ trong một gỡ được gọi là dhcpd.leases. Gỡ này thường, nhưng không phải luôn luôn được lưu trữ trong /var/lib/dhcp, làm cho lựa chọn D chính xác. Mặc dù vị trí specifi ed trong tùy chọn A, B, và D là tất cả về lý thuyết chính đáng, tất cả đều chỉ định không chính xác fi lenames và như vậy là không chính xác. 3. tùy chọn A. A một cách chính xác mô tả ý nghĩa của tùy chọn này. (Lưu ý, Tuy nhiên, tùy chọn này được bỏ qua cho các khách hàng sử dụng BOOTP chứ không phải là DHCP.) Tùy chọn B mô tả ảnh hưởng của các tùy chọn mặc định - thuê - thời gian, và tùy chọn C mô tả ảnh hưởng của min - thuê - thời gian tùy chọn. Tùy chọn D là không chính xác vì một fi xed IP địa chỉ confi guration không tự động ghi đè các tùy chọn thời gian cho thuê. (Một fi xed IP địa chỉ khối có thể bao gồm tối đa riêng của mình - cho thuê - thời gian tùy chọn để ghi đè lên các tùy chọn toàn cầu, mặc dù.) 4. trả lời: C, mất chương trình dhcrelay hoạt động như một máy chủ proxy cho một máy chủ DHCP nằm ở những nơi khác; dhcrelay đáp ứng các khách hàng DHCP, nhưng nó chuyển tiếp yêu cầu của khách hàng một mạng con phục vụ DHCP và sau đó cung cấp phản ứng của máy chủ trở lại cho khách hàng. Chương trình dhcrelay không cần phải trên mạng con cùng như máy chủ DHCP, nhưng nếu nó là (như, ví dụ, trong trường hợp của một bộ định tuyến), nó sẽ làm việc fi ne. Do đó, tùy chọn C và D là cả hai địa điểm hợp lệ cho một máy tính chạy dhcrelay. Tùy chọn A là không chính xác bởi vì specifi ed máy tính chạy tuyến một đầy đủ DHCP server (dhcpd), rất dhcrelay isn ' t có khả năng để làm bất kỳ tốt; ngay cả khi nó đã được sử dụng như là một bản sao lưu hoặc để xử lý một vài máy tính trong một configuration kỳ lạ, các máy tính duy nhất mà nó có thể chuyển tiếp traffi c được phân lập từ các mạng mục tiêu bởi một bộ định tuyến NAT. Vì vậy, guration confi này sẽ là kỳ quái tốt nhất và nguy hiểm lúc tồi tệ nhất. Tùy chọn B là không chính xác bởi vì dhcrelay sẽ có không có cách nào để liên hệ với một máy chủ DHCP. Nếu tùy chọn B của mạng là chức năng, nó có lẽ là confi gured bằng cách sử dụng địa chỉ IP tĩnh chứ không phải là DHCP, làm cho dhcrelay vô nghĩa. 5. MẤT Thuộc tính uid LDIF tên identifi es một tên người dùng Linux, vì vậy nó có thể mất giá trị của bất kỳ tên người dùng Linux quy phạm pháp luật. Tsparker là một tên người dùng Linux quy phạm pháp luật, không có gì sai với cụm từ này, làm cho lựa chọn D chính xác. Không có không có tên thuộc tính tên người dùng trong một Linux tài khoản quản lý LDIF gỡ, do đó, tùy chọn A là không chính xác. Bởi vì các thuộc tính uid là một tên người dùng Linux, không phải một tên phân biệt (DN), tùy chọn B là không chính xác. Gây nhầm lẫn, uid thuộc tính tên đề cập đến một tên người dùng Linux; Linux UID giá trị là specifi ed với tên thuộc tính uidNumber, làm cho lựa chọn C không chính xác. 6. mất tùy chọn D trình bày chính xác cú pháp để thực hiện nhiệm vụ specifi ed trong câu hỏi. Tùy chọn A và C đều không chính xác nhận tên phân biệt (DN) cho tài khoản được sử dụng để thực hiện tác vụ quản trị, và bỏ qua tùy chọn A và B-W (dấu nhắc cho xác thực) và - f (để vượt qua một lename fi) tùy chọn. Answers to Review Questions 353c07.indd 353 c07.indd 353 3/28/11 1:04:26 PM 3/28/11 1:04:26 PM354 Chapter 7 ■ Advanced Network Configuration7. D. The ldapsearch utility searches an LDAP directory for records matching the specifi ed fi eld. Option D presents the correct syntax to perform a search for accounts using /bin/zsh as the default shell. The ldapmodify and ldappasswd commands are used to submit a modifi ed LDIF fi le and change a password, respectively; neither is used to search records. There is no standard utility called ldap . 8. C. By default, LDAP uses SSHA for password encryption. Cleartext, MD5, and CRYPT are all valid alternatives, but none of them is the default. (Cleartext is also very inadvisable, since this refers to no encryption at all.) 9. D. By its nature, NAT blocks access to the protected network ’ s servers. This feature can be overcome by port redirection, but doing so requires extra confi guration effort; thus, option D is correct. Options A and B both describe features of NAT, but these features are advantages, not disadvantages, of NAT. Option C is incorrect because NAT does not affect the ability to run servers on an internal network for use by clients on that same network; only outside access to those servers is affected. 10. C. The FORWARD chain controls packets that a router forwards between networks, which is the type of action the question describes; thus, option C is correct. The INPUT and OUTPUT chains affect packets accepted by or sent by the computer, respectively, so modifying those chains would affect the router itself. (You could add rules based on IP addresses or other criteria to accomplish the stated goals using these chains, but that adds complexity, making these chains less desirable choices at best.) There is no standard ACCEPT chain, although this is a common action, meaning that a packet is to be passed. 11. B. The DROP policy causes the computer to respond as described in option B. Option A describes the REJECT policy, not the DROP policy. Contrary to option C, DROP may be used on any port, whether it ’ s used by clients or servers. Contrary to option D, DROP may be used either as a default policy or on a port - by - port basis. 12. C. Linux uses the localhost (127.0.0.1) IP address for local communications; network - enabled programs use this address for communications even on one system. If your default iptables policy is DROP or REJECT , this interface will be blocked, so it ’ s necessary to unblock it using lines like those shown in the question, making option C correct. The default policy, referenced in options A and D, is set using the - P option, as in iptables - t filter - P FORWARD DROP , so these options are incorrect. Routing of localhost traffi c makes no logical sense — localhost traffi c is, by definition, local and therefore is not routed — so option B is incorrect. 13. A. The FORWARD chain is used for forwarding traffi c, as in a router, so a router ’ s fi rewall will include rules that affect the way the router forwards network traffi c. A workstation doesn ’ t normally forward traffi c, so there will be few or no rules affecting the FORWARD chain on a workstation, making option A correct. Contrary to option B, both workstations and routers may use either the DROP policy or the ACCEPT policy (or the REJECT policy) as a default, although ACCEPT is the least - preferred policy. Although both scripts and GUI tools can be used to create a fi rewall, there is no necessary link between these tools and the type of computer, as option C suggests, so that option is incorrect. Option D is incorrect because, although the distinction between privileged and unprivileged port numbers is an important one, only the server ’ sport numbers (which are, by and large, privileged) are fi xed, so even a workstation ’ s iptables rules will emphasize these port numbers. c07.indd 354 c07.indd 354 3/28/11 1:04:26 PM 3/28/11 1:04:26 PM
14. B. The ssh_keygen utility generates SSH keys, including private keys for individuals, that can be used instead of passwords for remote logins to SSH servers. (These keys must be transferred and added to appropriate files on the server; using ssh - keygen alone isn’t enough to accomplish the goal.) Option A ’ s authorized_keys is a fi le in which keys are stored on a server; it ’ s not a program to generate them. Option C ’ s sshpasswd is fi ctitious. Option D ’ s id_rsa is the fi le in which private keys are stored on the client; it ’ s not a program to generate them. 15. D. SSH private keys are extremely sensitive, and they should not normally be distributed to anybody, since possession of another system ’ s private key will make it easier for a miscreant to pretend to be you. Thus, option D is correct. It ’ s safe to distribute public keys widely, as in any of the other options, and in fact SSH does this automatically; but private keys should remain just that: private . 16. A. The - X option to ssh enables X forwarding on the SSH client side, and - C enables compression. Thus, option A does as the question asks. (Compression was not specifi ed as required in the question but was also not forbidden.) Option B might work, but only if the system is confi gured to forward X connections by default; since the question specifi es that X forwarding is defi nitely required, option B is not correct. Option C is incorrect because there is no - - ForwardX11 option to ssh ; however, ForwardX11 is a valid option in the ssh confi guration fi le, /etc/ssh_config . A lowercase - x , as in option D, disables X forwarding, so this option is incorrect. 17. Answers: B, C. SSH is most directly a replacement for Telnet, but SSH also includes fi le - transfer features that enable it to replace FTP in many situations. SSH is not a direct replacement for either SMTP or NFS. 18. A. The ssh_host_dsa_key fi le holds one of three critical private keys for SSH. The fact that this key is readable (and writeable!) to the entire world is disturbing. In principle, a miscreant who has acquired this fi le might be able to redirect traffic and masquerade as your system, duping users into delivering passwords and other sensitive data. 19. B. SSH protocol level 2 is more secure than protocol level 1; thus, option B (specifying acceptance of level 2 only) is the safest approach. Option A is the least safe approach because it precludes the use of the safer level 2. Options C and D are exactly equivalent in practice; both support both pr

1. B. Một tuyên bố subnet bắt đầu với từ khóa đó theo sau bởi một số mạng con, các từ khóa netmask, và một giá trị mặt nạ mạng. Vì vậy, lựa chọn B là chính xác; các dữ liệu mặt nạ mạng nên có mặt. Tùy chọn A, C, và D là tất cả các quan sát chính xác, nhưng câu trả lời không chính xác vì những mẩu thông tin có thể được khai báo tất cả các nơi khác và trong thực tế aren 't thực sự cần thiết. 2. D. DHCP thông tin thuê được lưu trữ trong một fi le gọi dhcpd.leases. Fi le này thường là, nhưng không phải luôn luôn, được lưu trữ trong thư mục / var / lib / dhcp, làm cho tùy chọn D đúng. Mặc dù các địa điểm Speci fi ed trong lựa chọn A, B, và D là tất cả các lý thuyết chính đáng, tất cả họ đều chỉ định lenames fi không chính xác và như vậy là không chính xác. 3. A. Lựa chọn A đúng mô tả ý nghĩa của tùy chọn này. (Lưu ý, tuy nhiên, tùy chọn này được bỏ qua cho khách hàng sử dụng BOOTP hơn là DHCP.) Lựa chọn B mô tả ảnh hưởng của mặc định - cho thuê - tùy chọn thời gian, và tùy chọn C mô tả ảnh hưởng của các min - tùy chọn thời gian - cho thuê. Lựa chọn D là không chính xác vì một fi cố định địa chỉ IP con fi guration không tự động ghi đè lên các tùy chọn thời gian cho thuê. (. Một cổ định khối địa chỉ IP có thể bao gồm tối đa riêng của mình - cho thuê - tùy chọn thời gian để ghi đè lên các tùy chọn toàn cầu, mặc dù) 4. Đáp: C, D. Các chương trình dhcrelay hoạt động như một máy chủ proxy cho một máy chủ DHCP nằm ở nơi khác; dhcrelay đáp DHCP khách hàng, nhưng nó chuyển tiếp các 's yêu cầu để subnet khác' client DHCP server s và sau đó cung cấp những câu trả lời của máy chủ lại cho khách hàng. Các chương trình dhcrelay không cần phải được trên cùng một subnet với máy chủ DHCP, nhưng nếu nó là (như, ví dụ, trong trường hợp của router), nó sẽ làm việc fi ne. Vì vậy, lựa chọn C và D là cả hai địa điểm hợp lệ cho một dhcrelay máy tính chạy. Lựa chọn A là không chính xác bởi vì máy tính fi ed Speci chạy một máy chủ DHCP đầy đủ (dhcpd), vì vậy dhcrelay isn 't có thể làm bất kỳ tốt; ngay cả khi nó đã được sử dụng như là một bản sao lưu hoặc để xử lý một số máy tính trong một con fi guration kỳ lạ, các máy tính duy nhất mà nó có thể chuyển tiếp traf fi c được phân lập từ các mạng mục tiêu của một router NAT. Như vậy, con này fi guration sẽ là kỳ lạ lúc tốt nhất và nguy hiểm nhất. Lựa chọn B là không chính xác vì dhcrelay sẽ không có cách để liên lạc với một máy chủ DHCP. Nếu mạng tùy chọn B là chức năng, nó có lẽ fi con gured sử dụng địa chỉ IP tĩnh hơn là DHCP, làm dhcrelay vô nghĩa. 5. D. Các LDIF tên thuộc tính uid identi fi es một tên người dùng Linux, vì vậy nó có thể mất giá trị của bất kỳ tên người dùng Linux pháp lý. Như tsparker là một tên người dùng Linux pháp lý, không có gì sai với entry này, làm cho tùy chọn D đúng là. Không có username tên thuộc tính trong việc quản lý tài khoản LDIF Linux fi le, vì vậy tùy chọn A là không chính xác. Bởi vì các thuộc tính uid là một tên người dùng Linux, không phải là một tên phân biệt (DN), tùy chọn B là không chính xác. Gây nhầm lẫn, tên thuộc tính uid đề cập đến một tên người dùng Linux; Giá trị Linux UID là Speci fi ed với uidNumber tên thuộc tính, làm cho tùy chọn C không chính xác. 6. D. Lựa chọn D trình bày cú pháp chính xác để thực hiện nhiệm vụ Speci fi ed trong câu hỏi. Tùy chọn A và C đều đúng thể hiện tên phân biệt (DN) cho các tài khoản được sử dụng để thực hiện các công việc hành chính, và các tùy chọn A và B đều bỏ qua - W (nhắc xác thực) và -. F (để vượt qua một lename fi) tùy chọn
Answers soát xét Câu hỏi 353
c07.indd 353 c07.indd 353 3/28/11 01:04:26 3/28/11 01:04:26
354 Chương 7 ■ nâng cao Cấu hình mạng
7. D. Các tiện ích ldapsearch tìm kiếm một thư mục LDAP cho các hồ sơ phù hợp với các Speci fi ed fi lĩnh. Lựa chọn D trình bày cú pháp chính xác để thực hiện tìm kiếm cho các tài khoản sử dụng / bin / zsh như vỏ mặc định. Các lệnh ldapmodify và ldappasswd được sử dụng để gửi một ed Modi fi LDIF fi le và thay đổi mật khẩu, tương ứng; không được sử dụng để tìm kiếm các bản ghi. Không có tiện ích tiêu chuẩn gọi ldap. 8. C. Theo mặc định, sử dụng LDAP SSHA để mã hóa mật khẩu. Cleartext, MD5, và hầm mộ là tất cả các lựa chọn thay thế hợp lệ, nhưng không ai trong số họ là mặc định. (Cleartext cũng rất không khôn ngoan, vì điều này liên quan đến mã hóa không có ở tất cả.) 9. D. Bởi bản chất của nó, NAT chặn truy cập vào các máy chủ của mạng lưới bảo vệ. Tính năng này có thể được khắc phục bằng cách chuyển hướng cổng, nhưng làm như vậy đòi hỏi phải có thêm con nỗ lực fi guration; do đó, lựa chọn D là đúng. Tùy chọn A và B đều mô tả các tính năng của NAT, nhưng các tính năng này là ưu điểm, nhược điểm không, của NAT. Lựa chọn C là không chính xác bởi vì NAT không ảnh hưởng đến khả năng chạy các máy chủ trên một mạng nội bộ để sử dụng bởi các khách hàng trên cùng một mạng; chỉ bên ngoài truy cập tới các máy chủ bị ảnh hưởng. 10. C. HƯỚNG điều khiển chuỗi các gói tin rằng một router chuyển tiếp giữa các mạng, đó là các loại hành động câu mô tả; do đó, lựa chọn C là đúng. Các chuỗi INPUT và OUTPUT ảnh hưởng đến các gói tin được chấp nhận bởi hoặc được gửi bởi máy tính, tương ứng, do đó thay đổi các chuỗi sẽ ảnh hưởng đến bản thân router. (Bạn có thể thêm các quy tắc dựa trên địa chỉ IP hoặc các tiêu chí khác để thực hiện các mục tiêu đã nêu sử dụng các dây chuyền, nhưng có thêm tính phức tạp, làm cho các chuỗi sự lựa chọn ít hấp dẫn nhất.) Không có tiêu chuẩn CHẤP NHẬN chuỗi, mặc dù đây là một hành động chung, nghĩa là một gói tin là sẽ được thông qua. 11. B. Các chính sách thả gây ra máy tính để đáp ứng như được mô tả trong lựa chọn B. Phương án A mô tả các REJECT chính sách, không phải là chính sách thả. Trái ngược với tùy chọn C, DROP có thể được sử dụng trên bất kỳ cổng, cho dù nó được sử dụng bởi khách hàng hoặc máy chủ. Trái ngược với tùy chọn D, DROP có thể được sử dụng như một chính sách mặc định hoặc trên một cổng - by - nền tảng cổng. 12. C. Linux sử dụng localhost (127.0.0.1) địa chỉ IP cho truyền thông địa phương; mạng - chương trình cho phép sử dụng địa chỉ này để liên lạc ngay cả trên một hệ thống. Nếu chính sách iptables mặc định của bạn là thả hoặc REJECT, giao diện này sẽ bị chặn, vì vậy nó cần thiết để mở khóa bằng cách sử dụng các dòng như những thể hiện trong các câu hỏi, đưa tùy chọn C đúng. Các chính sách mặc định, tham chiếu trong các lựa chọn A và D, được thiết lập bằng cách sử dụng tùy chọn - P, như trong iptables - t lọc - P thả FORWARD, vì vậy các tùy chọn này là không chính xác. Routing của localhost traf fi c làm cho không có ý nghĩa hợp lý - localhost traf fi c được, bởi định nghĩa fi de, địa phương và do đó không được định tuyến - vì vậy tùy chọn B là không chính xác. 13. A. Chuỗi HƯỚNG được sử dụng để chuyển tiếp traf fi c, như trong một bộ định tuyến, do đó, một router fi công nghệ tường lửa sẽ bao gồm các quy tắc mà ảnh hưởng đến cách mạng chuyển bộ định tuyến traf fi c. Một máy trạm doesn 't thường mong traf fi c, như vậy sẽ có ít hoặc không có quy tắc ảnh hưởng tới chuỗi HƯỚNG trên một máy trạm, làm cho lựa chọn A đúng. Trái ngược với tùy chọn B, cả hai máy trạm và router có thể sử dụng một trong hai chính sách thả hoặc các chính sách ACCEPT (hoặc các chính sách REJECT) như một mặc định, mặc dù CHẤP NHẬN là ít nhất - chính sách ưu đãi. Mặc dù cả hai kịch bản và các công cụ GUI có thể được sử dụng để tạo ra một công nghệ tường lửa fi, không có liên kết cần thiết giữa các công cụ và các loại máy tính, như tùy chọn C cho thấy, vì vậy tùy chọn đó là không chính xác. Lựa chọn D là không chính xác bởi vì, mặc dù sự khác biệt giữa các số cổng đặc quyền và đặc quyền là một điều quan trọng, chỉ có máy chủ 'số môn thể thao (đó là, và lớn, đặc quyền) là cổ định, vì vậy ngay cả một máy trạm' s quy tắc iptables sẽ nhấn mạnh những con số cổng.
c07.indd 354 c07.indd 354 3/28/11 01:04:26 3/28/11 13:04:26
14. B. Các tiện ích ssh_keygen tạo phím SSH, bao gồm các khóa riêng cho cá nhân, có thể được sử dụng thay cho mật khẩu cho lần đăng nhập từ xa vào máy chủ SSH. (Các phím phải được chuyển và bổ sung để chiếm fi les trên máy chủ;. Sử dụng ssh - keygen một mình là không đủ để hoàn thành mục tiêu) authorized_keys Lựa chọn A 's là một fi le trong đó các phím được lưu trữ trên một máy chủ; nó không phải là một chương trình để tạo ra chúng. Sshpasswd tùy chọn C 's là fi ctitious. Id_rsa tùy chọn D 's là các fi le trong đó phím tin được lưu trữ trên máy khách; nó không phải là một chương trình để tạo ra chúng. 15. D. SSH phím tin cực kỳ nhạy cảm, và họ nên thường không được phân phối với bất kỳ ai, kể từ khi sở hữu tư nhân chủ chốt của hệ thống khác sẽ làm cho nó dễ dàng hơn cho một người hèn hạ để giả vờ là bạn. Vì vậy, lựa chọn D là đúng. Nó an toàn để phân phối khóa công khai rộng rãi, như trong bất kỳ các tùy chọn khác, và trong thực tế SSH thực hiện điều này tự động; nhưng các khóa riêng nên vẫn chỉ là: tư nhân. 16. A. - tùy chọn X để ssh phép X chuyển tiếp trên các mặt hàng SSH, và - C cho phép nén. Vì vậy, lựa chọn A nào như câu hỏi. (Compression là không Speci fi ed theo yêu cầu trong câu hỏi nhưng cũng không được cấm.) Lựa chọn B có thể làm việc, nhưng chỉ nếu hệ thống là con fi gured để chuyển tiếp các kết nối X theo mặc định; kể từ khi câu hỏi fi Speci es đó chuyển tiếp X là nitely fi de yêu cầu, tùy chọn B là không đúng. Lựa chọn C là không chính xác vì không có - tùy chọn - ForwardX11 ssh; Tuy nhiên, ForwardX11 là một lựa chọn hợp lệ trong ssh con fi guration fi le, / etc / ssh_config. Một chữ thường - x, như trong lựa chọn D, vô hiệu hóa X chuyển tiếp, vì vậy tùy chọn này là không chính xác. 17. Trả lời: B, C. SSH là trực tiếp nhất một sự thay thế cho Telnet, SSH, nhưng cũng bao gồm các fi le - tính năng chuyển giao cho phép nó để thay thế FTP trong nhiều tình huống. SSH không phải là một thay thế trực tiếp cho một trong hai SMTP hoặc NFS. 18. A. Các ssh_host_dsa_key fi le nắm giữ một trong ba phím tin quan trọng cho SSH. Thực tế là phím này là có thể đọc được (và ghi được!) Cho toàn bộ thế giới là đáng lo ngại. Về nguyên tắc, một người hèn hạ người nào có được fi le này có thể có thể chuyển hướng traf fi c và mạo nhận là hệ thống của bạn, lừa người dùng vào mật khẩu cung cấp và dữ liệu nhạy cảm khác. 19. B. SSH giao thức cấp 2 là an toàn hơn so với mức giao thức 1; do đó, lựa chọn B (xác định sự chấp nhận của cấp 2 chỉ) là phương pháp an toàn nhất. Lựa chọn A là phương pháp an toàn nhất vì nó ngăn cản việc sử dụng các mức độ an toàn hơn 2. Tùy chọn C và D tương đương với nhau trong thực tế; cả hai hỗ trợ cả hai pr