第十周作业内容:
系统的INPUT和OUTPUT默认策略为DROP,请完成以下关于iptables的题目;
1、限制本地主机的web服务器在周一不允许访问;新请求的速率不能超过100个每秒;web服务器包含了admin字符串的页面不允许访问;web服务器仅允许响应报文离开本机;
问题分解:
①限制外部访问本地主机: 使用INPUT链
②限制访问web服务: 使用基本规则匹配器,协议匹配 -p tcp 端口匹配 --dport 80
③限制周一不能访问: 使用扩展规则匹配器,时间匹配 -m time --weekdays Mon
④限制新请求的速率不能超过100个每秒: 使用扩展规则匹配器,速率匹配 -m limit --limit 100/second
⑤限制web服务器包含了admin字符串的页面被访问: 使用扩展规则匹配器,字符串匹配 -m string --algo kmp --string "admin" 注:匹配算法 --algo 【bm(Boyer-Moore算法,默认算法)/kmp(Knuth-Pratt-Morris算法,更为复杂)】
⑥允许微博服务器数据外发: 使用OUTPUT链
⑦仅允许响应报文: 使用扩展规则匹配器,状态匹配 -m state --state ESTABLISED 注:【NEW:已经或将启动新的连接;INVALID:非法或无法识别的;ESTABLISHED:已建立的连接;RELATED:正在启动新连接】
#iptables -A INPUT -d 192.168.2.35 -p tcp --dport 80 -m time --weekdays Mon -m limit --limit 100/second -m string --algo kmp --string "admin" -j DROP #iptables -A OUTPUT -m state --state ESTABLISED -j ACCEPT
2、在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给172.16.0.0网络中的主机访问;数据下载请求的次数每分钟不得超过5个;
问题分析:
FTP服务为主动式
客户端从一个任意的非特权端口N(N>1024)连接到FTP服务器的命令端口,也就是21端口。然后客户端开始 监听端口N+1,并发送FTP命令“port N+1”到FTP服务器。接着服务器会从它自己的数据端口(20)连接到客户端指定的数据端口(N+1)。
针对FTP服务器前面的防火墙来说,必须允许以下通讯才能支持主动方式FTP:
(1)任何大于1024的端口到FTP服务器的21端口。(客户端初始化的连接)
(2)FTP服务器的21端口到大于1024的端口。 (服务器响应客户端的控制端口)
(3)FTP服务器的20端口到大于1024的端口。(服务器端初始化数据连接到客户端的数据端口)
(4)大于1024端口到FTP服务器的20端口(客户端发送ACK响应到服务器的数据端口)
# iptables -A INPUT -s 172.16.0.0/16 -p tcp --dport 21 -m time --timestart 08:30 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri -m limit --limit 5/minute -j ACCEPT # iptables -A OUTPUT -d 172.16.0.0/16 -p tcp --sport 20 -j ACCEPT # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
有关related状态的说明:
RELATED状态在有双通道的服务中会出现的。比如ftp服务的控制通道和数据通道。client发送syn请求到server的21端口,中间的linux系统变为NEW状态。server回复syn+ack应答包给client,中间的linux变为ESTABLISHED状态。当ftp的控制通道建立完后,会建立数据通道,而数据通道的第一个包就是RELATED状态,以后的包又变成ESTABLISHED状态。
3、开放本机的ssh服务给172.16.x.1-172.16.x.100中的主机,x为你的座位号,新请求建立的速率一分钟不得超过2个;仅允许响应报文通过其服务端口离开本机;
# iptables -A INPUT -d 172.16.6.10 -p tcp --dport 22 -m iprange --src-range 172.16.6.1-192.168.6.100 -m limit --limit 2/min -j ACCEPT # iptables -A OUTPUT -s 172.16.6.10 -p tcp --sport 22 -m iprange --dst-range 172.16.6.1-192.168.6.100 -m state --state ESTABLISHED -j ACCEPT
4、拒绝TCP标志位全部为1及全部为0的报文访问本机;
#iptables -A INPUT -d 192.168.2.35 -p tcp --tcp-flags ALL ALL -j DROP #iptables -A INPUT -d 192.168.2.35 -p tcp --tcp-flags ALL NONE -j DROP
5、允许本机ping别的主机;但不开放别的主机ping本机;
icmp-type 8 Echo request——回显请求(Ping请求)
icmp-type 0 Echo request——回显应答(Ping应答)
#iptables -A OUTPUT -s 192.168.2.35 -p icmp --icmp-type 8 -j ACCEPT #iptables -A INPUT -d 192.168.2.35 -p icmp --icmp-type 0 -j DROP
6、判断下述规则的意义:
# iptables -N clean_in //创建自定义链clean_in
# iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP //丢弃广播地址包
# iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP //丢弃172.16.255.255的icmp报文
# iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP //丢弃syn标志不为1,链接状态为新建链接的包
# iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP // 丢弃tcp标志全部为1的报文
# iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP //丢弃tcp标志全部为0的报文
# iptables -A clean_in -d 172.16.100.7 -j RETURN //在结束clean_in链过滤后回到主链
# iptables -A INPUT -d 172.16.100.7 -j clean_in //目标为172.16.100.7的报文交给clean_in处理
# iptables -A INPUT -i lo -j ACCEPT //指定流入报文接口为本地回环
# iptables -A OUTPUT -o lo -j ACCEPT //指定流出报文接口为本地回环
# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP //指定流入报文接口为eth0,协议为tcp,目标端口为53,113,135,137,139,445的报文丢弃
# iptables -A INPUT -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP //指定流入报文接口为eth0,协议为udp,目标端口为53,113,135,137,139,445的报文丢弃
# iptables -A INPUT -i eth0 -p udp --dport 1026 -j DROP //指定流入报文接口为eth0,协议为udp,目标端口为1026的报文丢弃
# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP //指定流入报文接口为eth0,协议为tcp,目标端口为1433,4899的报文丢弃
# iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT //限定ping速率为每秒10次
7、通过tcp_wrapper控制vsftpd仅允许172.16.0.0/255.255.0.0网络中的主机访问,但172.16.100.3除外;对所被被拒绝的访问尝试都记录在/var/log/tcp_wrapper.log日志文件中;
[root@TESTSVR1 ~]vim /etc/hosts.allow vsftpd:172.16.0.0/255.255.0.0 EXCEPT 172.16.100.3 vim /etc/hosts.deny vsftpd:ALL :spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log
8、删除/boot/grub/grub.conf文件中所有行的行首的空白字符;
[root@STCO6 tmp]# cp /boot/grub/grub.conf /tmp [root@STCO6 tmp]# sed -i 's@^[[:space:]]\+@@' grub.conf
9、删除/etc/fstab文件中所有以#开头,后跟至少一个空白字符的行的行首的#和空白字符;
[root@STCO6 tmp]# cp /etc/fstab /tmp [root@STCO6 tmp]# sed -i 's@^#[[:space:]]\+@@' fstab
10、把/etc/fstab文件的奇数行另存为/tmp/fstab.3;
方法一:
[root@STCO6 ~]# sed 'n;d' /etc/fstab > /tmp/fstab.3 [root@STCO6 ~]# cat /tmp/fstab.3
# /etc/fstab # # See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info /dev/mapper/vg_stco6-lv_root / ext4 defaults 1 1 /dev/mapper/vg_stco6-lv_swap swap swap defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 proc /proc proc defaults 0 0 /dev/testvg/mylv1 /users ext4 defaults,acl,nodiratime 0 0
方法二:
[root@STCO6 ~]# sed -n '1~2p' /etc/fstab > /tmp/fstab.3 [root@STCO6 ~]# cat /tmp/fstab.3
# /etc/fstab # # See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info /dev/mapper/vg_stco6-lv_root / ext4 defaults 1 1 /dev/mapper/vg_stco6-lv_swap swap swap defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 proc /proc proc defaults 0 0 /dev/testvg/mylv1 /users ext4 defaults,acl,nodiratime 0 0
11、echo一个文件路径给sed命令,取出其基名;进一步地,取出其路径名;
取基名
[root@STCO6 ~]# echo "/home/suyi/test/testA" | grep -E -o "[^/]+/?$" | cut -d"/" -f1 testA
取路径名
[root@STCO6 ~]# echo "/home/suyi/test/testA" | grep -oP "^.*(?=/)" /home/suyi/test
12、统计当前系统上所有tcp连接的各种状态的个数;
[root@STCO6 ~]# netstat -nat
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:43314 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 64 192.168.2.30:22 192.168.2.11:57654 ESTABLISHED
tcp 0 0 :::48782 :::* LISTEN
tcp 0 0 :::111 :::* LISTEN
tcp 0 0 :::22 :::* LISTEN
tcp 0 0 ::1:631 :::* LISTEN
tcp 0 0 ::1:25 :::* LISTEN
[root@STCO6 ~]# netstat -nat | awk 'FNR>2{print $NF}' | sort | uniq -c
1 ESTABLISHED
10 LISTEN13、统计指定的web访问日志中各ip的资源访问次数:
[root@STCO6 tmp]# cat IP statistics.sh
#!/bin/bash
#将11/Nov/2016全天的访问日志放到Access_log.txt文本
cat access.log |sed -rn '/11\/Nov\/2016/p' > Access_log.txt
#统计Access_log.txt里面IP访问数量
cat Access_log.txt |awk '{print $1}'|sort |uniq > IP_NUM.txt
#通过shell统计每个ip访问次数
for i in `cat IP_NUM.txt`
do
IP_Total=`cat access.log |grep $i |wc -l`
echo "IP地址"$i"在2016-11-11日全天(24小时)累计成功请求"$IP_Total"次,平均每分钟请求次数为:"$(($IP_Total/1440)) >> result.txt
done14、授权centos用户可以运行fdisk命令完成磁盘管理,以及使用mkfs或mke2fs实现文件系统管理;
[root@STCO6 ~]# visudo centos ALL=(root) /sbin/fdisk, /sbin/mke2fs
15、授权gentoo用户可以运行逻辑卷管理的相关命令;
[root@STCO6 ~]# visudo gentoo ALL=(root) /sbin/vgdisplay
16、基于pam_time.so模块,限制用户通过sshd服务远程登录只能在工作时间进行;
# vim /etc/pam.d/sshd
在account required pam_nologin.so上插入一行:
account required pam_time.so
# vim /etc/security/time.conf *;*;*;MoTuWeThFr0800-1700
上面表示工作时间的8点到下午5点
17、基于pam_listfile.so模块,定义仅某些用户,或某些组内的用户可登录系统;
[root@STCO6 ~]# vim /etc/users [root@STCO6 ~]# cat /etc/users root gentoo [root@STCO6 ~]# chmod 600 /etc/users [root@STCO6 ~]# chown root /etc/users [root@STCO6 ~]# vim /etc/pam.d/sshd
再编辑/etc/pam.d/sshd文件,加入以下一行内容:
auth required pam_listfile.so item=user sense=allow file=/etc/users onerr=succeed
