首页 > 代码库 > 第十周作业
第十周作业
系统的INPUT和OUTPUT默认策略为DROP,请完成以下关于iptables的题目;
通用策略
]# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT ]# iptables -P INPUT DROP ]# iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT ]# iptables -P OUTPUT DROP
1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允许访问;web服务器仅允许响应报文离开本机;
]# iptables -A INPUT -p tcp --dport 80 -m time ! --weekdays 1 -m limit --limit 100/second -j ACCEPT ]# iptables -A OUTPUT -p tcp --sport 80 -m string --algo bm --string ‘admin‘ -j DROP 测试用例 修改时间 ]# date -s ‘2016-11-28 12:00‘ Mon Nov 28 12:00:00 CST 2016 修改内容 ]# vim /var/www/html/index.html admin 访问测试 ]# curl -I --connect-timeout 5 http://172.16.100.7 curl: (28) Connection timed out after 5007 milliseconds 修正时间 ]# date -s ‘2016-11-30 11:45‘ Wed Nov 30 11:45:00 CST 2016 修正内容 ]# vim /var/www/html/index.html test 访问测试 ]# curl -I --connect-timeout 5 http://172.16.100.7 HTTP/1.1 200 OK Date: Wed, 30 Nov 2016 03:45:01 GMT Server: Apache/2.4.6 (CentOS) Last-Modified: Wed, 30 Nov 2016 03:45:01 GMT ETag: W/"7-5427c8d23e8c7" Accept-Ranges: bytes Content-Length: 7 Content-Type: text/html; charset=UTF-8
2、在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给172.16.0.0网络中的主机访问;数据下载请求的次数每分钟不得超过5个;
]# iptables -A INPUT -p tcp --dport 21 -s 172.16.0.0/16 -m limit --limit 5/minute -m time --timestart 08:30 --timestop 18:00 --weekdays 1,2,3,4,5 -j ACCEPT 测试用例 修改时间 ]# date -s ‘2016-12-01 02:30‘ 2016年 12月 01日 星期四 02:30:00 CST 访问测试 ]# ftp 172.16.100.7 ftp: Can‘t connect to `172.16.100.7‘: Operation timed out ftp: Can‘t connect to `172.16.100.7‘ 修正时间 ]# date -s ‘2016-12-01 17:30‘ 2016年 12月 01日 星期四 17:30:00 CST 访问测试 ]# ftp 172.16.100.7 Connected to 172.16.100.7. 220 (vsFTPd 3.0.2) Name (172.16.100.7:Fan): anonymous 331 Please specify the password. Password: 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp> ls 229 Entering Extended Passive Mode (|||13045|). 150 Here comes the directory listing. drwxr-xr-x 2 0 0 22 Dec 01 2016 pub 226 Directory send OK.
3、开放本机的ssh服务给172.16.x.1-172.16.x.100中的主机,x为你的座位号,新请求建立的速率一分钟不得超过2个;仅允许响应报文通过其服务端口离开本机;
]# iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 2/minute -m iprange --src-range 172.16.100.1-172.16.100.100 -j ACCEPT
4、拒绝TCP标志位全部为1及全部为0的报文访问本机;
]# iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP ]# iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
5、允许本机ping别的主机;但不开放别的主机ping本机;
]# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT ]# iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
6、判断下述规则的意义:
# iptables -N clean_in 创建自定义链clean_in # iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP 丢弃广播地址包 # iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP 丢弃172.16.255.255的icmp报文 # iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP 丢弃syn标志不为1,链接状态为新建的包 # iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP 丢弃tcp标志全部为1的报文 # iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP 丢弃tcp标志全部为0的报文 # iptables -A clean_in -d 172.16.100.7 -j RETURN 在结束clean_in过滤后国到主链 # iptables -A INPUT -d 172.16.100.7 -j clean_in 目标地址为172.16.100.7的报文交给clean_in链处理 # iptables -A INPUT -i lo -j ACCEPT 允许本地回环地址报文流入 # iptables -A OUTPUT -o lo -j ACCEPT 允许本地回环地址报文流出 # iptables -A INPUT -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP 拒绝流入到eth0网卡上的tcp 53,113,135,137,139,445 端口报文 # iptables -A INPUT -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP 拒绝流入到eth0网卡上的udp 53,113,135,137,139,445 端口报文 # iptables -A INPUT -i eth0 -p udp --dport 1026 -j DROP 拒绝流入到eth0网卡上的udp 1026端口 # iptables -A INPUT -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP 拒绝流入到eth0网卡上的tcp 1433,4899 端口 # iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT 允许流入icmp报文,并限制网卡速率为每秒10个包
7、通过tcp_wrapper控制vsftpd仅允许172.16.0.0/255.255.0.0网络中的主机访问,但172.16.100.3除外;对所被被拒绝的访问尝试都记录在/var/log/tcp_wrapper.log日志文件中;
]# vim /etc/hosts.allow vsftpd:172.16.0.0/255.255.0.0 EXCEPT 172.16.100.3 # vim /etc/hosts.deny vsftpd: ALL :spawn /bin/echo `date` login attenpt from %c to %s,%d >> /var/log/tcp_wrapper.log ]# cat /var/log/tcp_wrapper.log Fri Dec 2 17:38:28 CST 2016 login attenpt from 172.16.100.108 to vsftpd@172.16.100.7,vsftpd
8、删除/boot/grub/grub.conf文件中所有行的行首的空白字符;
]# sed -i ‘s@^[[:space:]]\+@@g‘ /boot/grub/grub.conf
9、删除/etc/fstab文件中所有以#开头,后跟至少一个空白字符的行的行首的#和空白字符;
]# sed -i ‘s/^#[[:space:]]\+//p‘ /etc/fstab
10、把/etc/fstab文件的奇数行另存为/tmp/fstab.3;
]# sed -n ‘1~2p‘ /etc/fstab > /tmp/fstab.3
11、echo一个文件路径给sed命令,取出其基名;进一步地,取出其路径名;
]# echo ‘/etc/sysconfig/network-scripts/ifcfg-lo‘ | sed -n ‘s@/.*/@@p‘ ifcfg-lo ]# echo ‘/etc/sysconfig/network-scripts/ifcfg-eno16777736‘ | grep -o ‘/.*/‘ /etc/sysconfig/network-scripts/
12、统计当前系统上所有tcp连接的各种状态的个数;
]# netstat -an | awk ‘/^tcp/{tcp[$NF]++}END{for(i in tcp){print i,tcp[i]}}‘ LISTEN 6 ESTABLISHED 1
13、统计指定的web访问日志中各ip的资源访问次数:
]# awk ‘{ip[$1]++}END{for(i in ip){print i,ip[i]}}‘ /var/log/httpd/access_log 10.2.100.7 18 10.2.100.108 4 ::1 61 10.2.100.165 406
14、授权centos用户可以运行fdisk命令完成磁盘管理,以及使用mkfs或mke2fs实现文件系统管理;
]# visudo centos ALL=(root) /usr/sbin/mke2fs,/usr/sbin/mkfs
15、授权gentoo用户可以运行逻辑卷管理的相关命令;
]# visudo gentoo ALL=(root) /sbin/vgdisplay
16、基于pam_time.so模块,限制用户通过sshd服务远程登录只能在工作时间进行;
在account required pam_nologin.so上插入一行: ]# vim /etc/pam.d/sshd account required pam_time.so ]# vim /etc/security/time.conf *;*;*;MoTuWeThFr0800-1700
17、基于pam_listfile.so模块,定义仅某些用户,或某些组内的用户可登录系
]# vim /etc/users root gentoo ]# chmod 600 /etc/users 再编辑/etc/pam.d/sshd文件,加入以下一行内容: ]# vim /etc/pam.d/sshd auth required pam_listfile.so item=user sense=allow file=/etc/users onerr=succeed
第十周作业