kerberos认证常用命令

HCIA-Big Data Certification V3.0（CN）Mock Exam1.（判断题）传统数据库先有数据后有模式。

A. FalseB. True2.（单选题）在鲲鹏生态系统中，以下哪款操作系统是华为社区开源版？A. CentOSB. 中标麒麟C. OpenEulerD. Ubuntu3. (多选题) 以下哪些选项是华为云MRS服务低成本的体现？A. 存算分离B．按需扩减容C. 临时集群D. 集群自动弹性伸缩4.（判断题）HDSF文件系统不可以存储大量小文件。

A. FalseB. True5.（单选题）HDSF文件系统中哪个模块用来存储元数据?A. Data nodeB. Name nodeC. ZookeeperD. Client6. (多选题) ZooKeeper客户端常用命令包括哪些？A. 创建节点B. 获取节点数据C. 列出子节点D. 删除节点7.（判断题）因为HDFS有多副本机制，所有不存在单点故障。

A. FalseB. True8.（判断题）元数据持久化过程其实质是将数据从内存落盘到磁盘。

A. FalseB. True9.（判断题）Hive适用于低延时的场景，比如联机事务处理。

A. FalseB. True10.（单选题）Hive定义一个自定义函数类时，需要继承以下哪个类？A. FunctionRegistryB. UDFC. MapReduce11. (多选题) Hive支持以下哪些执行引擎？A. MapReduceB. TezC. SparkD. Loader12.（判断题）HBase是一个高可靠性、面向行、可伸缩的分布式存储系统。

A. FalseB. True13.（单选题）HBase的架构不包括哪个功能组件？A. ClientB. HMasterC. HRegionServerD. ZooKeeper14. (多选题) HBase的特点有哪些？A. HBase是一个分布式，基于列式存储的数据库B. HBase适合存储半结构化和非结构化的数据C. HBase是主从架构，HRegionServer为主节点，HMaster为从节点D. HBase中为NULL的数据不会被存储15. (多选题) MapReduce具有以下哪些特点？A. 函数式编程B. 良好扩展性C. 高容错D. 实时计算16.（单选题）Yarn中负责整个集群的资源管理和任务调度的功能模块是哪一个？A.App MasterB. NodeManagerC. Resource ManagerD. Container17.（判断题）Map阶段的Partition、Sort、Combine、Spill四个步骤缺一不可。

2022～2023中级软考考试题库及答案1. Kerberos 是一种常用的身份认证协议，它采用的加密算法是()A.ElgamalB.DESC.MD5D.RSA正确答案：B2. 以下关于公钥基础设施( PKI)的说法中，正确的是()A.PKI 可以解决公钥可信性问题B.PKI 不能解决公钥可信性问题C. PKI 只能有政府来建立D.PKI 不提供数字证书查询服务正确答案：A3. Windows主机推荐使用()格式。

A.NTFSB.FAT32C.FATD.Linux正确答案：4. 以下关于RISC指令系统特点的叙述中，不正确的是()。

A.对存储器操作进行限制，使控制简单化B.指令种类多，指令功能强C.设置大量通用寄存器D.其指令集由使用频率较高的一些指令构成，以提高执行速度正确答案：B5. 当教师遇到一个实际上的问题时，带着这个问题去学习去使用信息技术，这个过程属于基于问题的行动学习。

正确答案：正确6. 防火墙的主要功能有哪些?()A.过滤进.出网络的数据B.管理进.出网络的访问行为C.封堵某些禁止的业务，对网络攻击进行检测和报警D.记录通过防火墙的信息内容和活动正确答案：ABCD7. 如果Web应用对URL访问控制不当，可能造成用户直接在浏览器中输入URL，访问不该访问的页面。

()正确答案：正确8. Solaris操作系统下，下面哪个命令可以修改/n2kuser/.profile文件的属性为所有用户可读、科协、可执行?()A.chmod744/n2kuser/.profileB.chmod755/n2kuser/.profileC.chmod766/n2kuser/.profileD.chmod777/n2kuser/.profile正确答案：9. DSS 数字签名标准的核心是数字签名算法 DSA，该签名算法中杂凑函数采用的是()。

A.SHA1B.MD5C.MD4D.SHA2正确答案：A10. 在Word的查找/替换功能中，我们不仅可以替换文本内容，还可以替换文本格式。

信息安全基础(习题卷59)第1部分：单项选择题，共57题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]Spark Streaming是一种（）的实时计算框架。

A)无延迟B)低延迟C)高延迟答案:B解析:2.[单选题]传输层向用户提供A)端到端服务B)点到点C)网络到网络服务D)子网到子网服务答案:A解析:3.[单选题]对于采用四种相移的正交相移键控QPSK调制方法，2400波特线路的数据传输率为( )A)1200bpsB)4800bpsC)7200bpsD)9600bps答案:B解析:4.[单选题]关于PKI工作过程的排序，以下哪项是正确的？①通信端申请CA证书；②PKI回复CA证书；③相互获取对端证书并检验有效性；④通信端安装本地证书；⑤PKI颁发本地证书； = 6 \* GB3 ⑥通信端申请本地证书； = 7 \* GB3⑦通信端安装CA证书； = 8 \* GB3 ⑧互相通信A)1-2-6-5-7-4-3-8B)1-2-7-6-5-4-3-8C)6-5-4-1-2-7-3-8D)6-5-4-3-1-2-7-8答案:B解析:5.[单选题]( )是最常用的公钥密码算法A)RSAB)DSAC)椭圆曲线D)量子密码答案:A解析:6.[单选题]为了防御网络监听，最常用的方法是( )A)采用物理传输（非网络）C)无线网D)使用专线传输答案:B解析:7.[单选题]反病毒软件采用（）技术比较好的解决了恶意代码加壳的查杀。

A)特征码技术B)校验和技术C)行为检测技术D)虚拟机技术答案:D解析:8.[单选题]假设（p，q，n，e，d）是根据RSA密钥生成算法生成的，则RSA的公钥为_______。

A)p和qB)nC)e和nD)d和n答案:C解析:9.[单选题]Modem的作用是( )A)实现计算机的远程联网B)在计算机之间传送二进制信号C)实现数字信号与模拟信号之间的转换D)提高计算机之间的通信速度答案:C解析:10.[单选题]入侵检测的目的是( )A)实现内外网隔离与访问控制B)提供实时的检测及采取相应的防护手段，阻止黑客的入侵C)记录用户使用计算机网络系统进行所有活动的过程D)预防、检测和消除病毒答案:D解析:11.[单选题]以下哪种特点是代理服务所具备的 ( ) 。

网络安全试题二一．判断题（每题1分，共25分）1.网络安全管理漏洞是造成网络受攻击的原因之一。

2.人为的主动攻击是有选择地破坏信息的有效性和完整性。

3.防火墙技术是网络与信息安全中主要的应用技术。

4."明文是可理解的数据, 其语义内容是可用的。

"5.移位和置换是密码技术中常用的两种编码方法。

6.在实际应用中，不可以将对称密钥密码体制与非对称密钥密码体制混用。

7.加密算法的安全强度取决于密钥的长度。

8.数字签名一般采用对称密码算法。

9.PEM是基于EDS和RSA算法的。

10.在PGP信任网中用户之间的信任关系可以无限进行下去。

11.在局域网中，由于网络范围小，所以很难监听网上传送的数据。

12.子网掩码用来区分计算机所有的子网。

13.安全检测与预警系统可以捕捉网络的可疑行为，及时通知系统管理员。

14.操作系统的安全设置是系统级安全的主要需求。

15.网络服务对系统的安全没有影响，因此可以随意的增加网络服务。

16.在系统中，不同的用户可以使用同一个帐户和口令，不会到系统安全有影响。

17.在Windows NT操作系统中，用户不能定义自已拥有资源的访问权限。

18.在Windows NT操作系统中，文件系统的安全性能可以通过控制用户的访问权限来实现。

19.在NetWare操作系统中，访问权限可以继承。

20.口令机制是一种简单的身份认证方法。

21.用户身份认证和访问控制可以保障数据库中数据完整、保密及可用性。

22.数据原发鉴别服务对数据单元的重复或篡改提供保护。

23.防火墙是万能的，可以用来解决各种安全问题。

24.在防火墙产品中，不可能应用多种防火墙技术。

25.入侵检测系统可以收集网络信息对数据进行完整性分析，从而发现可疑的攻击特征。

二．单项选择题（每题1分，共25分）1.按TCSEC安全级别的划分，DOS属于哪一个安全级别？A DB C1C C2D B12.以下那些属于系统的物理故障：A. 硬件故障与软件故障B. 计算机病毒C. 人为的失误D. 网络故障和设备环境故障3.UNIX和Windows NT、NetWare操作系统是符合哪个级别的安全标准：A. A级B. B级C. C级D. D级4.下面描述了Kerberos系统认证协议过程，哪一个是正确的？A 请求TGS入场券→请求服务B 请求服务器入场券→请求服务C 请求TGS入场券→请求服务器入场券→请求服务D 请求服务器入场券→请求TGS入场券→请求服务5.在对称密钥密码体制中，加、解密双方的密钥：A. 双方各自拥有不同的密钥B. 双方的密钥可相同也可不同C. 双方拥有相同的密钥D. 双方的密钥可随意改变6.对称密钥密码体制的主要缺点是：A. 加、解密速度慢B. 密钥的分配和管理问题C. 应用局限性D. 加密密钥与解密密钥不同7.数字签名是用来作为：A. 身份鉴别的方法B. 加密数据的方法C. 传送数据的方法D. 访问控制的方法8.在以太网卡中，有一个唯一的物理地址固化在硬件中标识这个网卡，这个物理地址是：A 长度64位B 长度48位C 长度32位D 长度28位9.下面协议哪些属于传输层的协议？A SSLB SMTPC FTPD NetBeui10.对IP层的安全协议进行标准化，已经有很多方案。

网络通信命令大全欢迎来到店铺，本文为大家讲解网络通信命令大全，欢迎大家阅读。

Linux&BSD%Unixab功能说明：HTTP测绘ytalk功能说明：与其他用户交谈。

语法：ytalk [-isxY][-h<主机名称IP地址>][用户名称...]补充说明：通过ytalk指令，你可以和其他用户线上交谈，如果想和其他主机的用户交谈，在用户名称后加上其主机名称或IP地址即可。

参数：-h<主机名称IP地址> 指定交谈对象所在的远端主机。

-i 用提醒声响代替显示信息。

-s 在指令提示符号先开启ytalk交谈窗。

-x 关闭图形界面。

-Y 所有必须回应yes或no的问题，都必须用大写英文字母"Y"或"N"回答。

---write功能说明：传送信息。

语法：write [用户名称][终端机编号]补充说明：通过write指令可传递信息给另一位登入系统的用户，当输入完毕后，键入EOF表示信息结束，write指令就会将信息传给对方。

如果接收信息的用户不只登入本地主机一次，你可以指定接收信息的终端机编号。

wall(write all)功能说明：传送信息。

语法：wall [公告信息]补充说明：通过wall指令可将信息发送给每位同意接收公众信息的终端机用户，若不给予其信息内容，则wall指令会从标准输入设备读取数据，然后再把所得到的数据传送给所有终端机用户。

uux功能说明：在远端的UUCP主机上执行指令。

语法：uux [-bcCIjlnrvz][-a<地址>][-g<等级>][-s<文件>][-x<层级>][--help][指令]补充说明：uux可在远端的UUCP主机上执行指令或是执行本机上的指令，但在执行时会使用远端电脑的文件。

参数：-或-p或--stdin 直接从键盘读取要执行的指令。

-a<地址>或--requestor<地址> 执行邮件地址，以便寄送状态信息。

freeipa 使用手册
FreeIPA是一个集成安全信息管理解决方案，提供集中的身份验证、授权和账户信息。

以下是FreeIPA的使用手册：
1. 安装FreeIPA：
启用idm:DL1存储库。

安装程序以及依赖：执行命令 `yum install -y ipa-server bind bind-dyndb-ldap ipa-server-dns`。

安装完以后配置FreeIPA需要提供服务器的主机名，按enter键代表默认主机名。

2. 设置静态IP：参考常用命令里设置ip方式。

3. 配置Kerberos：在各个节点上面手动安装Kerberos的各个组件。

可以使用操作系统厂商提供的集成安全套件，FreeIPA就是其中的一个。

在安装freeipa的时候，会将kerberos一同装好。

4. 输入注意事项：
安装IPAClient的时候，注意不要多输入空格之类的符号。

节点名称必须满足FQDN的要求，FreeIPA集群必须使用FQDN。

在安装freeipa的时候，安装脚本会自动获取当前的机器名（是freeipa的主节点），并解析出相应的域名。

另外，机器名称绝对不能叫做类似于，通过点号后面的sec19来区分，这是绝对不行的。

5. DNS说明：DNS用于机器名解析，如果安装FreeIPA双机（即主从Server），那就需要DNS。

以上是FreeIPA的使用手册，具体操作可能因版本不同而有所差异，建议咨询专业人士获取帮助。

91ri渗透笔记整理【渗透笔记】（壹）1.避免0day攻击的最好办法是实现启发式（Heuristic）或基于轮廓（Profile-based）的入侵检测系统。

2.常见的安全证书包括CCIE: Security、CEH、CISSP、CCSP、GIAC、OPSTA和Security+。

3.Nmap扫描主机开放端口，能够在运行IPSec的OpenBSD 2.7 系统上引发DOS攻击。

当使用-sO选项运行Nmap时，就会引起OpenBSD系统奔溃。

4.现在已知端口扫描能够在下述环境中引发DOS攻击：Efficient Networks Routers、pcAnywhere9.0、安装了Novell intraNetWare Client的Windows 95/98。

5.湿件（Wetware），湿件就是计算机中人类的因素。

6.被动侦查：用户组会议、Web网站上的信息、Edgars数据库、社工库、UUNet新闻组、商业伙伴、垃圾搜索、社会工程学;主动侦查：端口扫描、DNS查询、区域传输、ping 扫描、路由跟踪、OS特征检测.7.端口扫描的几种类型：TCP Connect（）扫描、SYN扫描、NULL扫描、FIN扫描、ACK扫描、Xmas-Tree扫描、Dumb扫描、Reverse Ident扫描8.灰箱测试（Gray-Box）：测试人员模拟内部雇员。

他们得到了一个内部网络的账号，并且拥有了访问网络的标准方法。

这项测试用于评估来自企业内部职员的攻击。

9.在netcat中，经常使用53端口监听的原因是：这个端口号是分配跟DNS使用的，通常防火墙开放这个端口。

如果选择其他不常用的端口，那么防火墙可能会阻断这些端口的流量。

10.盲注的核心语句：php?id=1 and (select ord(mid(group_concat(SCHEMA_NAME),20,1))from information_schema.schemata)&gt;011.VLAN 跳跃攻击利用了DTP。

1前言假设你的Openldap已经配置好并成功运行，本文只是介绍如何使Openldap使用K e r b e r o s来验证用户身份。

本配置在F C5上通过，在使用r h e时，很可能会有不同的情况。

2名词解释K e r b e r o s 基于共享密钥的安全机制，由MIT发明，现在已经被标准化，最新是版本5，简称krb5。

Kerberos特别适合局域网络，Windows2k及以上系统的安全机制即基于kerberos。

Kerberos有多个实现版本，本文使用的一个它的实现叫做mit-kerberos。

S A S L 简单认证和安全层(SimpleAuthenticationandSecurityLayer)。

也是一套RFC定义的标准。

它的核心思想是把用户认证和安全传输从应用程序中隔离出来。

像SMTP协议在定义之初都没有考虑到用户认证等问题，现在SMTP可以配置使用SASL来完成这方面的工作。

O p e n l d a p同样如此。

S A S L支持多种认证方法，比如A N O N Y M O U S:无需认证。

P L A I N：明文密码方式(c l e a r t e x t p a s s w o r d) DIGEST-MD5:HTTPDigest兼容的安全机制，基于MD5，可以提供数据的安全传输层。

这个是方便性和安全性结合得最好的一种方式。

也是默认的方式。

G S S A P I：G e n e r i c S e c u r i t y S e r v i c e s A p p l i c a t i o n P r o g r a m I n t e r f a c e Gssapi本身是一套API，由IETF标准化。

其最主要也是着名的实现是基于Kerberos 的。

所以一般说到g s s a p i都暗指k e r b e r o s实现。

E X T E R N A L：认证已经在环境中实现了，比如S S L/T L S,I P S e c.C y r u s S A S L Cyrus-SASL是SASL协议最常用的一个实现。

Kerberos基本原理、安装部署及⽤法1. 概述 Kerberos是⼀种认证机制。

⽬的是，通过密钥系统为客户端/服务器应⽤程序提供强⼤的认证系统：保护服务器防⽌错误的⽤户使⽤，同时保护它的⽤户使⽤正确的服务器，即⽀持双向验证；Kerberos协议的整个认证过程实现不依赖于主机操作系统的认证，⽆需基于主机地址的信任，不要求⽹络上所有主机的物理安全，并假定⽹络上传送的数据包可以被任意地读取、修改和插⼊数据，简⽽⾔之，Kerberos通过传统的加密技术（共享密钥）实现了⼀种可信任的第三⽅认证服务。

　 KDC（key distribution center）：是⼀个⽹络服务，提供ticket和临时会话密钥。

AS（Authentication Server）：认证服务器 TGS（Ticket Grantion Server）：许可证服务器 TGT：Ticket-grantion Ticket realm name：包含KDC和许多客户端的Kerberos⽹络，类似于域，俗称为领域；也是principal的⼀个“容器”或者“命名空间”。

相对应的，principal的命名规则是"what_name_you_like@realm"。

在kerberos，⼤家都约定俗成⽤⼤写来命名realm，⽐如“” password：某个⽤户的密码，对应于kerberos中的master_key。

password可以存在⼀个keytab⽂件中。

所以kerberos中需要使⽤密码的场景都可以⽤⼀个keytab作为输⼊。

credential：credential是“证明某个⼈确定是他⾃⼰/某⼀种⾏为的确可以发⽣”的凭据。

在不同的使⽤场景下，credential的具体含义也略有不同：对于某个principal个体⽽⾔，他的credential 就是他的password；在kerberos认证的环节中，credential就意味着各种各样的ticket。

内⽹横向移动常见⽅法最近事情积压太多，想要做些什么，却不知从哪⾥开始索性啥也不⼲了，来，你尽管来，我就整理(⽔)⼀下内⽹渗透横向移动常见的⽅法来happy⼀下吧横向移动，根据定义是指获取内⽹某台机器的控制权之后，以被攻陷主机为跳板，通过搜集域内凭证，找办法访问到域内其他机器，再依次循环往复，直到获得域控权限甚⾄控制内⽹当然成功的横向移动的前提是先窃取好了凭证，⽆论明⽂密⽂，没有凭证，横向移动⽆从谈起（本⽂语境中不做特殊说明，默认已取得凭证，且不考虑⽊马⼯具免杀和跳板机；关于凭证窃取⽇后有机会再说）（填坑：在windows中抓取hash⼩结）实际上，关于横向移动，实际操作过程中可以分析的细节太多，有很多⼤佬说的⾮常详细，可以去看XX社区，本⽂侧重于整理思路和⼀些朴素的思想，观点仅代表我个⼈⼜ workgroup和domain环境下部分⽅法想要成功使⽤可能条件存在差异，本⽂默认讨论域环境0x01 IPC$+计划任务/系统服务⾸先不得不提windows⾃带的远程连接命令IPC$。

IPC$(Internet Process Connection) 是为了让进程之间通信的⼀种“管道”，通过提供⽤户名密码建⽴了⼀条安全的、加密的、⽤于数据交换的通道。

当然，还是在同⼀个时间，还是同样的两个IP，他们之间只能建⽴⼀个IPC$连接，脚踏多条船⽆论什么时候都是不可取的。

通过这个连接，可以实现在被连接的⽬标机器上搞⽂件上传、下载、命令执⾏......啊，关于IPC$+计划任务的横向，我们的⽬的⾮常明确，思路⾮常美好：（1）⾸先建⽴向⽬标主机的IPC$连接（2）其次把命令执⾏的脚本传到⽬标主机（3）再次创建计划任务在⽬标机器上执⾏命令脚本（4）最后过河拆桥删除IPC$连接当然想要⽤IPC$来横向是有条件的：（1）⽬标机器没有禁⽤IPC$连接，没有什么防⽕防盗拦截IPC$，139 445 端⼝也开了（能⾛445⾛445，不能则⾛139）（2）⽬标机器⼩管理员开了IPC$默认共享服务（逻辑盘、系统⽬录；都不开我访问个啥？）（图1）（3）获取了⽬标机器的⼩管理员的管理员权限的账号密码（最好是域管理员账号密码），明⽂的（4）⽬标系统能⽀持IPC$，且和攻击机能彼此互通（废话）建⽴连接命令：net use \\ip\ipc$ "password" /user:"administrator"当然也可以net use \\ip\c$ 。

2023年中级软考《信息安全工程师》考试全真模拟易错、难点精编⑴（答案参考）（图片大小可自由调整）一.全考点综合测验(共50题)1.【单选题】数字信封技术能够()A.对发送者和接收者的身份进行认证B.保证数据在传输过程中的安全性C.防止交易中的抵赖发送D.隐藏发送者的身份正确答案：B2.【单选题】防火墙作为一种被广泛使用的网络安全防御技术，其自身有一些限制，它不能阻止()A.内部威胁和病毒威胁B.外部攻击C.外部攻击、外部威胁和病毒威胁D.外部攻击和外部威胁正确答案：A3.【单选题】数字水印技术通过在数字化的多媒体数据中嵌入隐蔽的水印标记，可以有效地对数字多媒体数据的版权保护等功能。

以下各项工，不属于数字水印在数字版权保护必须满足的基本应用需求的是()A.安全性B.隐蔽性C.鲁棒性D.可见性正确答案：D4.【单选题】关于C2 等级安全性的描述中，错误的是()A.用户与数据分离B.安全性高于C1C.存取控制的单位是用户D.具有托管访问控制正确答案：D本题解析：解析：C2 等级具有受控的访问控制，存取控制以用户为单位，用户与数据分离，安全性高于C1。

B1 是标记安全保护，除了C2 级的安全要求外，增加安全策略模型，数据标号(安全和属性)，托管访问控制等。

根据解析， D 选项错误，故选择 D 选项。

5.【单选题】()是企业在信息时代市场竞争中生存和立足的根本。

A.人才优势B.原材料优势C.经营式优势D.信息优势正确答案：D6.【单选题】扫描技术()A.只能作为攻击工具B.只能作为防御工具C.只能作为检查系统漏洞的工具D.既可以作为工具，也可以作为防御工具正确答案：D7.【单选题】以下关于IPSec 协议的叙述中，正确的是()A.IPSec 协议是解决IP 协议安全问题的一B.IPSec 协议不能提供完整性C.IPSec 协议不能提供机密性保护D.IPSec 协议不能提供认证功能正确答案：A8.【单选题】许多黑客利用软件实现中的缓冲区溢出漏洞进行攻击，对于这一威胁，最可靠的解决方案是()。

2022年职业考证-软考-网络工程师考试全真模拟易错、难点剖析AB卷（带答案）一.综合题(共15题)1.单选题缺省状态下，SNMP协议代理进程使用（）端口向NMS发送告警信息。

问题1选项A.161B.162C.163D.164【答案】B【解析】缺省状态下，SNMP协议代理进程使用162端口向NMS发送告警信息。

2.单选题下列关于项目收尾的说法中错误的是（）。

问题1选项A.项目收尾应收到客户或买方的正式验收确认文件B.项目收尾包括管理收尾和技术收尾C.项目收尾应向客户或买方交付最终产品、项目成果、竣工文档等D.合同中止是项目收尾的一种特殊情况【答案】B【解析】项目收尾(Project Conclusion)；根据PMI（美国项目管理协会）的概念，项目收尾包括合同收尾和管理收尾两部分。

合同收尾就是抓起合同，和客户一项项的核对，是否完成了合同所有的要求，是否可以把项目结束掉，也就是我们通常所讲的验收。

3.单选题在Linux系统通过（）命令，可以拒绝IP地址为192.168.0.2的远程主机登录到该服务器。

问题1选项A.iptables-A input-p tcp-s 192.168.0.2-source-port22-j DENYB.iptables-A input-p tcp-d 192.168.0.2-source-port22-j DENYC.iptables-A input-p tcp-s 192.168.0.2-desination-port22-j DENYD.iptables-A input-p tcp-d 192.168.0.2-desination-port22-j DENY【答案】C【解析】iptables是组成Linux平台下的包过滤防火墙，规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。

规则存储在内核空间的信息包过滤表中，这些规则分别指定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。

网络与信息安全管理员（信息安全管理员）理论（技师、高级技师）练习题库一、单选题（共60题，每题1分，共60分）1、在Cisco交换机中Fastethernet0/1下的配置命令“description to BENET101-2950-01”的作用是（）A、设置交换机名B、设置计算机的名字C、对接口的描述D、欢迎字符串正确答案：C2、Excel工作簿文件的缺省类型是（）。

A、TXTB、XLSC、DOCD、WKS正确答案：B3、weblogic是遵循哪个标准的中间件（）A、DCOMB、J2EEC、DCED、TCPIP正确答案：B4、下面对国家秘密定级和范围的描述中，哪项不符合《保守国家秘密法》要求（）A、国家秘密及其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定B、各级国家机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级具体范围的规定确定密级C、对是否属于国家机密和属于何种密级不明确的事项，可由各单位自行参考国家要求确定和定级，然后报国家保密工作部门确定D、对是否属于国家秘密和属于何种密级不明确的事项。

由国家保密工作部门，省、自治区、直辖市的保密工作部门。

省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定。

正确答案：C5、常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等。

下面描述中错误的是（）A、从安全性等级来看，这三个模型安全性从低到高的排序是自主访问控制模型、强制访问控制模型和基于角色的访问控制模型B、自主访问控制是一种广泛应用的方法，资源的所有者（往往也是创建者）可以规定谁有权访问它们的资源，具有较好的易用性和扩展性C、强制访问控制模型要求主题和客体都一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体。

该模型具有一定的抗恶意程序攻击能力，适用于专用或安全性要求较高的系统D、基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限，该模型便于实施授权管理和安全约束，容易实现最小特权、职责分离等各种安全策略正确答案：A6、对称密钥密码体制的主要缺点是；（）A、应用局限性B、密钥的分配和管理问题C、加密密钥与解密密钥不同D、加、解密速度慢正确答案：B7、数据字典存放在哪个表空间中（）A、SYSTEM表空间B、SYSAUX表空间C、Undo表空间D、D）Temp表空间正确答案：A8、UPS单机运行时负载量不宜长期超过其额定容量的（）。

网络安全试题二一．判断题（每题1分，共25分）1.网络安全管理漏洞是造成网络受攻击的原因之一。

2.人为的主动攻击是有选择地破坏信息的有用性和统统性。

3.防火墙技术是网络与信息安全中主要的应用技术。

4.“明文是可理解的数据,其语义内容是可用的。

“5.移位和置换是密码技术中常用的两种编码方法。

6.在实际应用中，不可以将对称密钥密码体制与非对称密钥密码体制混用。

7.加密算法的安全强度取决于密钥的长度。

8.数字签名大凡采用对称密码算法。

9.PEM是基于EDS和RSA算法的。

10.在PGP信任网中用户之间的信任关系可以无限进行下去。

11.在局域网中，由于网络范围小，所以很难监听网上传送的数据。

12.子网掩码用来区分计算机所有的子网。

13.安全检测与预警系统可以捕捉网络的可疑行为，及时通知系统管理员。

14.操作系统的安全设置是系统级安全的主要需求。

15.网络服务对系统的安全没有影响，因此可以随意的增加网络服务。

16.在系统中，例外的用户可以使用同一个帐户和口令，不会到系统安全有影响。

17.在Windows NT操作系统中，用户不能定义自已拥有资源的访问权限。

18.在WindowsNT操作系统中，文件系统的安全性能可以通过控制用户的访问权限来实现。

19.在NetWare操作系统中，访问权限可以继承。

20.口令机制是一种简单的身份认证方法。

21.用户身份认证和访问控制可以保障数据库中数据统统、保密及可用性。

22.数据原发鉴别服务对数据单元的重复或篡改提供保护。

23.防火墙是万能的，可以用来解决各种安全问题。

24.在防火墙产品中，不可能应用多种防火墙技术。

25.入侵检测系统可以收集网络信息对数据进行统统性分析，从而发现可疑的攻击特征。

二．单项选择题（每题1分，共25分）1.按TCSEC安全级别的划分，DOS属于哪一个安全级别？ADBC1CC2DB12.以下那些属于系统的物理故障：A.硬件故障与软件故障B.计算机病毒C.人为的失误D.网络故障和设备环境故障3.UNIX和Windows NT、NetWare操作系统是符合哪个级别的安全标准：A.A级4.5.6.7.8.B.B级C.C级D.D级下面描述了Kerberos系统认证协议过程，哪一个是正确的？A请求TGS入场券→请求服务B请求服务器入场券→请求服务C请求TGS入场券→请求服务器入场券→请求服务D请求服务器入场券→请求TGS入场券→请求服务在对称密钥密码体制中，加、解密双方的密钥：A.双方各自拥有例外的密钥B.双方的密钥可相同也可例外C.双方拥有相同的密钥D.双方的密钥可随意改变对称密钥密码体制的主要缺点是：A.加、解密速度慢B.密钥的分配和管理问题C.应用局限性D.加密密钥与解密密钥例外数字签名是用来作为：A.身份鉴别的方法B.加密数据的方法C.传送数据的方法D.访问控制的方法在以太网卡中，有一个唯一的物理地址固化在硬件中标识这个网卡，这个物理地址是：A长度64位B长度48位C长度32位D长度28位9.下面协议哪些属于传输层的协议？ASSLBSMTPCFTPDNetBeui10.对IP层的安全协议进行标准化，已经有很多方案。

CDH6.2开启Kerberos认证⼀、配置KDC服务 由于使⽤的是内⽹机器，这⾥使⽤rpm包安装。

需要的rpm包括： 服务端：krb5-server， krb5-workstation， krb5-libs，libkadm5 客户端：krb5-workstation， krb5-libs，libkadm5 安装的时候可能报找不到words的rpm包：rpm -ivh words-3.0-22.el7.noarch.rpmKDC服务配置（服务端配置）vim /var/kerberos/krb5kdc/kdc.conf# 更改下⾯的地⽅即可，配置⾃⼰的域名为, 授权票的有效期为1天，免密7天[realms] = { #master_key_type = aes256-ctsmax_life = 1dmax_renewable = 7dacl_file = /var/kerberos/krb5kdc/kadm5.acldict_file = /usr/share/dict/wordsadmin_keytab = /var/kerberos/krb5kdc/kadm5.keytabsupported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal camellia256-cts:normal camellia128-cts:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal }KRB5配置（客户端配置）vim /etc/krb5.conf[libdefaults]pkinit_anchors = /etc/pki/tls/crets/ca-bundle.crtdefault_realm = udp_preference_limit = 1# default_ccache_name = ...[realms] = {kdc = server的主机名, 我的这⾥是hadoop001admin_server = server的主机名, hadoop001}# 将krb配置⽂件发送到其他节点scp /etc/krb5.conf root@hadoop00x:/etc/配置# ⽣成数据库, 设置密码，123456kdb5_util create -s# 创建管理员账号kadmin.local -q "addprinc admin/admin@"# 赋予kerberos管理员所有的权限vim /var/kerberos/krb5kdc/kadm5.ac1*/admin@ *# 开启服务并设置⾃启systemctl enable krb5kdcsystemctl enable kadminsystemctl start krb5kdcsystemctl start kadmin⼆、在CDH上开启Kerberos认证 1）创建CM管理⽤户，记住密码后⾯要⽤ kadmin.local -q "addprinc cloudera-scm/admin" 2）进⼊CM界⾯，启动Kerberos认证 3）确保以下配置都已经完成 4）KDC类型：MIT KDC； Kerberos加密类型：aes128-cts, des3-hmac-sha1, arcfour-hmac; 填写KDC所在服务所在的主机 5）不勾选 “通过CM管理krb5.conf” 6）输⼊cm的kerberos的管理账号，点击继续，直到安装结束三、kerberos常⽤命令创建⽤户和keytab⽂件# 创建linux⽤户useradd -m baronecho "123456" | passwd baron --stdin# 创建kerberos⽤户kadmin.local -q "addprinc -pw 123456 baron"# ⽣成keytab⽂件kadmin.localktadd -k /home/baron/baron.keytab -norandkey baron# 查看keytab问价klist -kt /home/baron/baron.keytab在CM启动Kerberos过程中，CM会⾃动创建Princpal，访问集群的所有资源都需要相应的账号密码进⾏访问，否则⽆法通过Kerberos的认证# 查看当前所有的princpalkadmin.local -q "list_princpals"# 创建⼀个hdfs超级⽤户，⼀般⼀个服务对应⼀个user，每⼀个节点上都需要创建相应的linux⽤户kadmin.local -q "addprinc hdfs"kadmin.localktadd -k /home/hdfs/hdfs.keytab -norandkey hdfs# 将keytab发送到每⼀个节点scp -r /home/hdfs/hdfs.keytab root@hadoop00x:/home/hdfs/# 在每⼀个节点initkinit -kt /home/hdfs/hdfs.keytab hdfs@ 或者 kinit hdfs -> 输⼊密码四、datax中配置Kerberos以及shell中initShell中使⽤#!/bin/bash# ⾸先需要kinit登录kinit -kt /home/hdfs/hdfs.keytab hdfs@if ! klist -sthenecho"kerberos no init ----"exit 1else# 执⾏程序echo"success"fiDatax中配置{"job": {"setting": {"speed": {"channel": 1}},"content": [{"reader": {"name": "hdfsreader","parameter": {"path": "/workspace/*","defaultFS": "hdfs://hadoop001:8020","column": [{"index": 0,"type": "long"},{"index": 1,"type": "string"},{"index": 2,"type": "double"}],"fileType": "text","encoding": "UTF-8","fieldDelimiter": ",","haveKerberos": true,"kerberosKeytabFilePath": "/home/hdfs/hdfs.keytab","kerberosPrincipal": "hdfs@"}},"writer": {"name": "streamwriter","parameter": {"print": true}}}]}}View Code{"job": {"setting": {"speed": {"channel": 1}},"content": [{"reader": {"name": "mysqlreader","parameter": {"username": "root","password": "root","column": ["uid","event_type","time"],"splitPk": "uid","connection": [{"table": ["action"],"jdbcUrl": ["jdbc:mysql://node:3306/aucc"]}]}},"writer": {"name": "hdfswriter","parameter": {"defaultFS": "hdfs://hadoop001:8020","fileType": "text","path": "/workspace","fileName": "u","column": [{"name": "uid","type": "string"},{"name": "event_type","type": "string"},{"name": "time","type": "string"}],"writeMode": "append","fieldDelimiter": "\t","compress":"bzip2","haveKerberos": true,"kerberosKeytabFilePath": "/home/hdfs/hdfs.keytab","kerberosPrincipal": "hdfs@"}}}]}}View Code五、禁⽤Kerberos 1、停⽌集群的所有服务 2、Zookeeper： 1）Zookeeper的enableSecurity为false（取消勾选） 2）Zookeeper的Enable Kerberos Authentication为false（取消勾选） 3、修改hdfs的配置 1）hadoop.security.authentication选择simple 2）hadoop.security.authorization选择false（取消勾选） 3）修改dfs.datanode.data.dir.perm的数据⽬录权限为755 4）修改DataNode服务的端⼝号，dfs.datanode.address，9866 (for Kerberos) 改为 50010 (default)；dfs.datanode.http.address，1006 (for Kerberos) 改为 9864 (default) 4、修改HBase的配置 1）hbase.security.authentication修改为simple 2）hbase.security.authorization选择false（取消勾选） 3）hbase.thrift.security.qop选择none 5、可能存在HBase启动不了，需要设置下zookeeper⽬录权限，跳过检查 zookeeper中的配置项中搜索 “Zookeeper Server中java配置项” 增加 -Dzookeeper.kipACL=true。

FreeIPA是一款开源的身份认证解决方案，它结合了LDAP目录服务、Kerberos认证和证书管理等多种功能，为企业提供了一套完善的身份管理解决方案。

在FreeIPA中，sudo策略是非常重要且常用的功能之一，它可以帮助管理员对系统上的用户进行授权管理，提高系统的安全性和管理效率。

本文将分析FreeIPA中sudo策略的相关内容，包括其作用、配置方法和应用场景等，帮助读者更加深入地了解这一功能。

1. sudo策略的作用在Linux系统中，sudo是一条命令，它允许普通用户以超级用户的权限来执行特定的命令，这在管理和维护系统时非常有用。

而在企业级环境中，如果有多个系统管理员需要对多台服务器进行管理，那么如何有效地管理这些管理员对系统的权限就成为了一个挑战。

这时，就需要使用sudo策略来对系统管理员的权限进行精细化的管理，确保每个管理员只能执行自己所需的操作，而不能越权操作系统。

sudo策略在企业级系统管理中起着至关重要的作用。

2. sudo策略的配置方法在FreeIPA中，配置sudo策略需要以下几个步骤：1) 登录FreeIPA Web界面，在“策略”选项中选择“sudo”；2) 点击“添加”按钮，输入sudo策略的名称和描述信息；3) 在“命令”标签下，可以配置允许执行的命令列表；4) 在“用户”标签下，可以配置被授权的用户或用户组；5) 在“主机”标签下，可以配置被授权的主机或主机组。

通过以上步骤，管理员可以将sudo策略绑定到相应的用户或用户组上，实现对其权限的精细化管理。

这样一来，就可以根据实际需求，为不同的用户分配不同的权限，确保系统在安全的同时保持灵活性。

3. sudo策略的应用场景sudo策略在实际应用中有着广泛的应用场景，以下是一些常见的场景： 1) 系统管理员管理：针对不同的系统管理员，可以配置不同的sudo策略，确保他们只能执行与其工作任务相关的操作，避免越权操作造成的安全问题；2) 员工权限管理：企业员工可能需要在服务器上执行一些特定的操作，但并不需要全部权限，这时可以通过sudo策略为其分配适当的权限，避免误操作或滥用权限；3) 项目组权限管理：对于一些特定的项目组，可能需要执行一些特定的操作，而涉及到的命令和主机也可能是不固定的，这时可以通过sudo策略动态地管理其权限。