认证目标1.06 系统设置选项

基线配置非常重要。一旦配置好基线系统，就可以把它克隆后按需要安装很多系统。在实际网络上，一个好的基线可以用来创建专用于某些特定服务的系统。为了启动远程访问，系统必须具有一个Secure Shell（安全Shell, SSH）服务器，普通用户可以对其进行设置。

对于引导过程，RHEL 7包含了systemd，它取代了RHEL 6中基于SysVinit的Upstart系统。它决定了系统引导时激活的控制台、服务、显示器以及目标单元。有些系统使用远程认证，将其配置好后连接到远程服务，从远程服务器读取用户名和密码验证。虽然这些系统也在其他章中有论述，但是本节提供的信息足以建立一个基线系统。

1.6.1 初始设置和Firstboot

大部分时候，RHEL 7第一次引导时，会启动两个应用程序：Initial Setup屏幕，然后是Firstboot。下面的步骤假定使用GUI安装RHEL 7：

（1）在初始设置屏幕，接受许可协议。对于操作系统是RHEL 7还是重构的发行版，协议会存在区别。

（2）如果在安装过程中没有创建普通用户账户，可以在Initial Setup屏幕中创建。

（3）单击Finish Configuration按钮。

（4）下一个屏幕允许启用和定制Kdump的配置，Kdump是一个服务，收集与内核崩溃有关的数据。这不在RHCSA考试要求中，所以保留默认设置，然后单击Forward。

（5）在RHEL 7系统上，提示将系统连接到Red Hat Subscription Management（RHSM）。要进行注册，需要有一个RHSM账户和可用的订阅。完成此步骤，然后单击Forward按钮继续。

（6）在下一个屏幕上，检查语言和键盘设置，以及本地系统的日期和时间。做出需要的修改，然后单击Next按钮继续。

1.6.2 默认的安全设置

RHEL 7安装结束后，还有一些与SELinux和基于区域的防火墙相关的默认设置。有关SELinux安全选项的详细信息请阅读第4章、第10章和其他内容。

首先，默认情况下SELinux在强制模式下被启用，用sestatus命令可以确认这个设置，输出信息如下：

        SELinux status:                enabled
        SELinuxfs mount:               /sys/fs/selinux
        SELinux root directory:       /etc/selinux
        Loaded policy name:            targeted
        Current mode:                  enforcing
        Mode from config file:        enforcing
        Policy MLS status:             enabled
        Policy deny_unknown status:   allowed
        Max kernel policy version:    28

第4章将介绍有关SELinux和RHCSA考试的更多信息。如果你要考RHCE，从第10章开始还要学习如何配置SELinux来支持各种服务。

如果想了解默认区域的当前防火墙配置的详细内容，可运行下面的命令：

        firewall-cmd --list-all

此命令列出默认防火墙区域的网络接口，以及允许的入站服务。

在允许的服务列表中，至少会看到SSH服务，该服务支持远程管理本地系统。如果网络连接良好，将能够远程连接到这个系统。如果本地IP地址为192.168.122.50，可以使用下面的命令远程连接到Michael的用户账户：

        # ssh michael@192.168.122.50

配置SSH服务器以进一步加强安全级别。详细内容请阅读第11章。

1.6.3 虚拟机的特殊设置选项

在运行KVM超级监视程序的物理主机中，可以看到额外的防火墙规则。例如，如果运行iptables-L来列出防火墙规则，将看到下面的规则，它们接受连接到虚拟机的默认子网上的流量：

        Chain FORWARD（policy ACCEPT）
        target    prot opt source             destination
        ACCEPT    all  --  anywhere          192.168.122.0/24    ↲
        cstate RELATED, ESTABLISHED
        ACCEPT    all  --  192.168.122.0/24    anywhere

这些规则利用文件/proc/sys/net/ipv4/ip_forward完成IPv4网络连接功能中IP的转发功能。如果此文件的内容置为1，则IPv4转发功能启动。当IPv4转发功能启动时，主机作为路由器，将流量从一个接口转发到另一个接口。

在独立主机上，默认情况下禁用IPv4转发功能。但是，在运行KVM超级监视程序的物理主机上，启用了IP转发功能，以便允许在虚拟机网络段和外部网络之间进行路由。

如果安装了Virtualization Hypervisor增件，会启用此功能。为验证这一点，可检查/proc/sys/net/ipv4/ip_forward文件的内容。

可将其设置为1，但是仅这么做还不够，因为重启后所做的修改会丢弃。为了永久激活IP转发，可打开/etc/sysctl.conf文件，添加下面的一行内容：

        net.ipv4.ip_forward=1

为了将此修改立即应用于本地系统，要执行以下命令：

        # sysctl -p

有关/proc文件系统的细节属于RHCE考试的内容，将在第12章介绍内核的运行时参数时讨论。