做業07

系統的INPUT和OUTPUT默認策略爲DROP，請完成如下關於iptables的題目；

iptables -P INPUT DROP

iptables -P OUTPUT DROP

 

一、限制本地主機的web服務器在週一不容許訪問；新請求的速率不能超過100個每秒；web服務器包含了admin字符串的頁面不容許訪問；web服務器僅容許響應報文離開本機；

答:

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED-j ACCEPT

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -jACCEPT

 

iptables -A INPUT -p tcp --dport 80 -m time --weekdays 1-j DROP

 

iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/second-m state --state NEW -j ACCEPT

 

iptables -A OUTPUT -m string --algo bm --string 'admin'-j DROP

 

二、在工做時間，即週一到週五的8:30-18:00，開放本機的ftp服務給172.16.0.0網絡中的主機訪問；數據下載請求的次數每分鐘不得超過5個；

答:

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED-j ACCEPT

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -jACCEPT

 

iptables -A INPUT -p tcp --dport 21 -m time --weekdays1,2,3,4,5 --timestart 8:30 --timestop 18:00 -m limit --limit 5/minute -m state --state NEW -j ACCEPT

 

 

 

三、開放本機的ssh服務給172.16.x.1-172.16.x.100中的主機，x爲你的座位號，新請求創建的速率一分鐘不得超過2個；僅容許響應報文經過其服務端口離開本機；

答:

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED-j ACCEPT

 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -jACCEPT

 

iptables -A INPUT -p tcp--dport 22 -m iprange --src-range 172.16.35.1-172.16.35.100 -m state --stateNEW -j ACCEPT

 

 

四、拒絕TCP標誌位所有爲1及所有爲0的報文訪問本機；

答:

iptables -A INPUT -p tcp--tcp-flags ALL ALL -j DROP

 

iptables -A INPUT -p tcp--tcp-flags ALL NONE -j DROP

 

五、容許本機ping別的主機；但不開放別的主機ping本機；

答:

iptables -A INPUT -p icmp--icmp-type 0 -j ACCEPT

 

iptables -I OUTPUT -p icmp--icmp-type 8 -j ACCEPT

 

 

六、判斷下述規則的意義：

# iptables -N clean_in

在filter表中添加自定義鏈，名爲clean_in

 

# iptables -A clean_in -d 255.255.255.255-p icmp -j DROP

丟棄廣播中的icmp數據包

 

# iptables -A clean_in -d 172.16.255.255 -picmp -j DROP

丟棄目標地址爲172.16.255.255的icmp數據包

 

# iptables -A clean_in -p tcp ! --syn -mstate --state NEW -j DROP

將狀態爲NEW,但tcp狀態不爲syn(只有syn的標記位是1)的tcp數據包丟棄

 

# iptables -A clean_in -p tcp --tcp-flagsALL ALL -j DROP

丟棄tcp標記位都爲1的數據包

 

# iptables -A clean_in -p tcp --tcp-flagsALL NONE -j DROP

丟棄tcp標記位都爲0的數據包

 

# iptables -A clean_in -d 172.16.100.7 -jRETURN

當目標地址爲172.16.100.7時，返回主鏈繼續檢查其餘規則

 

# iptables -A INPUT -d 172.16.100.7 -jclean_in

當目標地址爲172.16.100.7時，轉到自定義的clean_in鏈上，依次檢查相應規則

 

# iptables -A INPUT  -i lo -j ACCEPT

傳入loopback的全部流量容許經過

 

# iptables -A OUTPUT -o lo -j ACCEPT

從loopback傳出的全部流量容許經過

 

# iptables -A INPUT  -i eth0 -m multiport -p tcp --dports53,113,135,137,139,445 -j DROP

將傳入eth0，且目標端口爲53,113,135,137,139,445的tcp數據包丟棄

 

# iptables -A INPUT  -i eth0 -m multiport -p udp --dports53,113,135,137,139,445 -j DROP

將傳入eth0，且目標端口爲53,113,135,137,139,445的udp數據包丟棄

 

# iptables -A INPUT  -i eth0 -p udp --dport 1026 -j DROP

將傳入eth0，且目標端口爲1026的udp數據包丟棄

 

# iptables -A INPUT  -i eth0 -m multiport -p tcp --dports1433,4899 -j DROP

將傳入eth0，且目標端口爲1433,4899的tcp數據包丟棄

 

# iptables -A INPUT  -p icmp -m limit --limit 10/second -j ACCEPT

每秒只接收10個icmp數據包

 

七、經過tcp_wrapper控制vsftpd僅容許172.16.0.0/255.255.0.0網絡中的主機訪問，但172.16.100.3除外；對所被被拒絕的訪問嘗試都記錄在/var/log/tcp_wrapper.log日誌文件中；

答:

vim /etc/hosts.allow

 

vim /etc/hosts.deny

 

 

八、刪除/boot/grub/grub.conf文件中全部行的行首的空白字符；

答：

sed -i 's@^[[:space:]]\+@@' /boot/grub/grub.conf

 

 

九、刪除/etc/fstab文件中全部以#開頭，後跟至少一個空白字符的行的行首的#和空白字符；

答:

sed -i 's@^#[[:space:]]\+@@' /etc/fstab

 

 

十、把/etc/fstab文件的奇數行另存爲/tmp/fstab.3；

答:

sed 'n;d' /etc/fstab > /tmp/fstab.3

 

十一、echo一個文件路徑給sed命令，取出其基名；進一步地，取出其路徑名；

答:

取出基名:   echo "/fstab" |sed -r 's@^/.*/([^/]+)/?@\1@'

取出路徑名:  echo "/etc/fstab" | sed's@/[^/]\+/\?$@@'

 

十二、統計當前系統上全部tcp鏈接的各類狀態的個數；

答：

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S)print a, S[a]}'

 

1三、統計指定的web訪問日誌中各ip的資源訪問次數：

答：

以nginx爲例，輸出日誌格式:

 

awk '{++S[$1]} END {for(a in S) print a,'+'S[a]}'/var/log/nginx/access.log

 

 

1四、受權centos用戶能夠運行fdisk命令完成磁盤管理，以及使用mkfs或mke2fs實現文件系統管理；

答:

useradd centos

//添加用戶

 

visudo

//編輯sudo權限

 

效果：

 

 

1五、受權gentoo用戶能夠運行邏輯卷管理的相關命令；

答：

useradd gentoo

//添加用戶

 

visudo

 

效果：

 

1六、基於pam_time.so模塊，限制用戶經過sshd服務遠程登陸只能在工做時間進行；

答:

vim /etc/pam.d/sshd

//添加sshd的檢查規則

 

vim /etc/security/time.conf

//配置pam_time.so模塊的規則

 

 

1七、基於pam_listfile.so模塊，定義僅某些用戶，或某些組內的用戶可登陸系統；

答:

基於用戶來作限制

vim /etc/pam.d/sshd

vim /etc/login_userlist

基於組來作限制

vim /etc/pam.d/sshd

 

vim /etc/login_grouplist