Linux面试经典题目(三)

常识

💠 初级系统管理员

系统问题

什么是数据包过滤器，它是如何工作的？

数据包过滤是一种防火墙技术，用于通过监控传出和传入数据包并允许它们根据源和目标 Internet 协议 （IP） 地址、协议和端口通过或停止来控制网络访问。

在安全要求不高的情况下，数据包筛选是合适的。许多组织的内部（专用）网络没有高度分段。高度复杂的防火墙对于将组织的一个部分与另一个部分隔离不是必需的。

但是，谨慎的做法是提供某种形式的生产网络保护，使其免受实验室或实验网络的影响。数据包过滤设备是将一个子网与另一个子网隔离的非常合适的措施。

在 TCP/IP 协议栈的网络层和传输层运行，每个数据包在进入协议栈时都会被检查。将仔细检查 network 和 transport 标头以获取以下信息：

• protocol （IP header， network layer） – 在 IP 报头中，字节 9（记住字节计数以零开头）标识数据包的协议。大多数过滤器设备都能够区分 TCP、UPD 和 ICMP。
• 源地址（IP 报头、网络层） – 源地址是创建数据包的主机的 32 位 IP 地址。
• 目标地址（IP 报头、网络层） – 目标地址是数据包目标主机的 32 位 IP 地址。
• 源端口（TCP 或 UDP 报头、传输层）- TCP 或 UDP 网络连接的每一端都绑定到一个端口。TCP 端口是独立的，与 UDP 端口不同。编号低于 1024 的端口是保留的 – 它们具有专门定义的用途。编号为 1024 （含） 以上的端口称为临时端口。供应商可以选择如何使用它们。有关 “众所周知” 端口的列表，请参阅 RFP1700。源端口是伪随机分配的临时端口号。因此，在 source 端口上进行过滤通常不是很有用。
• 目标端口（TCP 或 UDP 报头、传输层）- 目标端口号指示数据包发送到的端口。目标主机上的每项服务都侦听一个端口。一些可能被过滤的已知端口是 20/TCP 和 21/TCP – ftp 连接/数据、23/TCP – telnet、80/TCP – http 和 53/TCP – DNS 区域传输。
• 连接状态（TCP 标头、传输层）- 连接状态指示数据包是否是网络会话的第一个数据包。TCP 报头中的 ACK 位设置为 “false” 或 0 （如果这是会话中的第一个数据包）。通过拒绝或丢弃任何 ACK 位设置为 “false” 或 0 的数据包，禁止主机建立连接非常简单。

有用的资源：

• 构建 Internet 防火墙 – 数据包过滤

使用反向代理服务器有什么好处？

隐藏后端服务器的拓扑和特征

反向代理服务器可以隐藏源服务器的存在和特征。它充当 Internet 云和 Web 服务器之间的中介。出于安全原因，尤其是当您使用网络托管服务时，这是很好的。

允许对后端服务器进行透明维护

您对在反向代理后面运行的服务器所做的更改对最终用户是完全透明的。

负载均衡

然后，反向代理将强制执行负载均衡算法，如循环、加权循环、最少连接、加权最少连接或随机，以在集群中的服务器之间分配负载。

当一台服务器出现故障时，系统将自动故障转移到另一台服务器，用户可以继续进行他们的安全文件传输活动。

SSL 卸载/终止

处理传入的 HTTPS 连接，解密请求并将未加密的请求传递到 Web 服务器。

IP 掩码

使用单个 IP 但使用不同的 URL 路由到不同的后端服务器。

有用的资源：

• 反向代理的好处

路由器和网关有什么区别？什么是默认网关？

路由器描述一般技术功能（第 3 层转发）或用于此目的的硬件设备，而网关描述本地网段的功能（提供与其他地方的连接）。您还可以声明 “you set up a router as gateway”。另一个术语是跃点，它描述子网之间的转发。

术语 default gateway 用于表示 LAN 上的路由器，它负责作为 LAN 外部计算机流量的第一个联系点。

这只是一个视角问题，设备是一样的。

有用的资源：

• 路由器和网关的区别（原版）

解释以下每个 DNS 记录的功能：SOA、PTR、A、MX 和 CNAME。

DNS 记录基本上是映射文件，告诉 DNS 服务器每个域与哪个 IP 地址相关联，以及如何处理发送到每个域的请求。几乎所有 DNS 记录配置中常用的一些 DNS 记录语法是 、 和 。AAAAACNAMEMXPTRNSSOASRVTXTNAPTR

• SOA – 权威的开始
• A – 地址映射记录
• AAAA – IP 版本 6 地址记录
• CNAME – 规范名称记录
• MX – 邮件交换器记录
• NS – 名称服务器记录
• PTR – 反向查找指针记录

有用的资源：

• DNS 记录类型列表

为什么不能使用 MAC 地址代替 IPv4/6 进行联网？

OSI 模型解释了为什么根据物理的第 2 层机制进行路由（第 3 层概念）的决策没有意义。

现代网络分为许多不同的层，以完成您的端到端通信。您的网卡（由 mac 地址寻址 – 物理地址）只需要负责与其物理网络上的对等体通信。

允许您使用 MAC 地址完成的通信将仅限于驻留在与您的计算机物理接触中的其他设备。例如，在 Internet 上，您没有物理连接到每台计算机。这就是为什么当我们需要与没有物理连接的机器通信时，我们使用 TCP/IP（第 3 层，逻辑地址）机制的原因。

IP 是一种以分层方式施加在一组计算机上的任意编号方案，用于在逻辑上将它们区分为一个组（这就是子网）。在这些组之间发送消息是通过路由表完成的，路由表本身分为多个级别，因此我们不必跟踪每个子网。

也很容易将其与另一对系统联系起来。您有一个州颁发的 ID 号，如果该 ID 号已经对您是唯一的，为什么还需要一个邮寄地址呢？您需要邮寄地址，因为它是一个任意系统，用于描述与您通信的唯一目的地应该去哪里。

另一方面，MAC 地址在网络上的分布是随机的，与拓扑完全无关。路由分组是不可能的，每个路由器都需要跟踪通过其中继流量的每个设备的路由。这就是第 2 层交换机的作用，它不会扩展到超过一定数量的主机。

有用的资源：

• 为什么不能使用 MAC 地址代替 IPv4|6 进行联网？（原文）

可应用于最多包含 30 台设备的网络的最小 IPv4 子网掩码是多少？

无论您有用于最终用户的标准 VLAN、用于点对点链路的 VLAN，还是介于两者之间的 VLAN，并且必须包含多达 30 个设备的子网，都可以称为 – 或子网掩码。/24/30/27255.255.255.224

有用的资源：

• 如何计算前缀、网络、子网和主机号？
• IP 地址后的斜杠 – CIDR 表示法
• 为什么私有 IPv4 地址有 3 个范围？
• IP 计算器

有哪些常见的 HTTP 状态代码？

• 1xx – 信息响应 – 传达传输协议级别信息
• 2xx – 成功 – 表示已成功接受客户端的请求
• 3xx — 重定向 — 表示客户端必须采取一些其他操作才能完成其请求
• 4xx – 客户端错误 – 此类错误状态代码将矛头指向客户端
• 5xx – 服务器端错误 – 服务器负责这些错误状态代码

有用的资源：

• HTTP 状态代码

Devops 问题 （5）

什么是 DevOps？对于任何 DevOps 社区的成功来说，哪个更重要：人们如何沟通或您选择部署的工具？***

DevOps 是一个有凝聚力的团队，同时参与开发和运营任务，或者是各个运营和开发团队密切合作。它更像是一种与其他部门合作以实现共同目标的 “方式”。

什么是版本控制？你的提交信息好看吗？

它是一个系统，用于记录文件或文件集随时间的变化，以便您以后可以调用特定版本。版本控制系统由一个中央共享存储库组成，团队成员可以在其中提交对一个文件或一组文件的更改。然后，您可以提及版本控制的用途。

版本控制允许您：

• 将文件恢复到以前的状态
• 将整个项目恢复到以前的状态
• 比较随时间的变化
• 查看谁上次修改了可能导致问题的内容
• 谁在何时引入了问题

出色的提交消息的七条规则：

• 用空行将主题与正文分开
• 将主题行限制为 50 个字符
• 将主题行大写
• 不要以句点结束主题行
• 在主题行中使用祈使语气
• 将正文换行为 72 个字符
• 使用正文来解释什么、为什么与如何

有用的资源：

• 入门 – 关于版本控制（原始版本）

解释一些基本的 git 命令。

• git init- 创建新的本地仓库
• git commit -m "message"- 将更改提交到 head
• git status- 列出您添加的文件，并提交您从那时起更改的任何文件git add
• git push origin master- 将更改发送到远程仓库的 master 分支

解释一个简单的 Continuous Integration 管道。

• 克隆存储库
• 部署阶段 （QA）
• 测试环境 （QA）
• 部署阶段 （PROD）

解释一些基本的 docker 命令。

• docker ps- 显示正在运行的容器
• docker ps -a- 显示所有容器
• docker images- 显示 Docker 镜像
• docker logs <container-id|container-name>- 从容器获取日志
• docker network ls- 显示所有 Docker 网络
• docker volumes ls- 显示所有 Docker 卷
• docker exec -it <container-id|container-name> bash- 在具有交互式 shell 的容器中执行 BASH

网络安全问题 （1）

什么是安全配置错误？

安全配置错误是指设备/应用程序/网络的配置方式可被攻击者利用时出现的漏洞。这可以像保持默认用户名/密码不变一样简单，或者对于设备帐户等来说太简单了。