2016-11-19第十週做業

系統的INPUT和OUTPUT默認策略爲DROP，請完成如下關於iptables的題目；

一、限制本地主機的web服務器在週一不容許訪問；新請求的速率不能超過100個每秒；web服務器包含了admin字符串的頁面不容許訪問；web服務器僅容許響應報文離開本機；

iptables -A  INPUT -p tcp --dport 80 -m time ! --weekdays  Mon  -m state --state NEW -m limit --limit 100/s -j ACCEPT
iptables -A INPUT -p tcp -d 192.168.1.124 --dport 80 -m string --algo bm --string ‘admin‘  -j DROP
iptables -A  OUTPUT  -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

二、在工做時間，即週一到週五的8:30-18:00，開放本機的ftp服務給172.16.0.0網絡中的主機訪問；數據下載請求的次數每分鐘不得超過5個；

iptables -A INPUT  -p tcp --dport 21 -s 172.16.0.0/16 -m time --weekdays 1,2,3,4,5 -m time --timestart 8:30 --timestop 18:00 -m limit --limit 5/minute -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT

三、開放本機的ssh服務給172.16.x.1-172.16.x.100中的主機，x爲你的座位號，新請求創建的速率一分鐘不得超過2個；僅容許響應報文經過其服務端口離開本機；

iptables -A INPUT -d 172.16.1.10 -p tcp --dport 22 -m iprange --src-range 172.16.1.1.-172.16.1.100 -j ACCEPT 
iptables -A OUTPUT -s 172.16.1.10 -p tcp --sport 22 -m state --state ESTABLISED -j ACCEPT

四、拒絕TCP標誌位所有爲1及所有爲0的報文訪問本機；

iptables -A INPUT -d 192.168.1.124 -p tcp --tcp-flags ALL ALL -j DROP 
iptables -A INPUT -d 192.168.1.124 -p tcp --tcp-flags ALL NONE -j DROP

五、容許本機ping別的主機；但不開放別的主機ping本機；

iptables -A OUTPUT -s 192.168.1.124 -p icmp --icmp-type 8 -j ACCEPT             
iptables -A INPUT -d 192.168.1.124 -p icmp --icmp-type 0 -j ACCEPT

六、判斷下述規則的意義：

# iptables -N clean_in

建立自定義鏈，取名clean_in

# iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP

丟棄廣播域的包

# iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP
禁止目標爲172.16網段的icmp報文

# iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP

丟棄非tcp請求的報文

# iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP

丟棄tcp標誌位全爲1的報文

# iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP
丟棄tcp標誌位全爲0的報文

# iptables -A clean_in -d 172.16.100.7 -j RETURN
目標地址爲172.16.100.7的報文返回調用鏈

# iptables -A INPUT -d 172.16.100.7 -j clean_in
對於目標地址是172.16.100.7的報文就調用clean_in鏈過濾

# iptables -A INPUT -i lo -j ACCEPT
容許迴環接口進

# iptables -A OUTPUT -o lo -j ACCEPT
容許回還接口出

# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP
丟棄從eth0接口進來的tcp協議的53，113，135，137，139，445端口報文

# iptables -A INPUT -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP

丟棄從eth0接口出去的udp協議的53,113,135,137,139,445端口報文

# iptables -A INPUT -i eth0 -p udp --dport 1026 -j DROP

丟棄從eth0進來的udp協議的1026端口報文

# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP
丟棄從eth0接口進來的tcp協議的1433,4899端口報文

# iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT

容許icmp協議頻率爲每秒10個報文訪問

七、經過tcp_wrapper控制vsftpd僅容許172.16.0.0/255.255.0.0網絡中的主機訪問，但172.16.100.3除外；對所被被拒絕的訪問嘗試都記錄在/var/log/tcp_wrapper.log日誌文件中；

[root@localhost ~]# vim /etc/hosts.allow
vsftpd:172.16.0.0/255.255.0.0 EXCEPT 172.16.100.3
vim /etc/hosts.deny
vsftpd:ALL :spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log

八、刪除/boot/grub/grub.conf文件中全部行的行首的空白字符；

[root@localhost ~]# sed ‘s@^[[:space:]]@@g‘ /boot/grub/grub.conf

九、刪除/etc/fstab文件中全部以#開頭，後跟至少一個空白字符的行的行首的#和空白字符；

 [root@localhost~]# sed ‘s@^#[[:space:]]@@‘ /etc/fstab

十、把/etc/fstab文件的奇數行另存爲/tmp/fstab.3；

[root@localhost~]# sed ‘n;d‘ /etc/fstab

十一、echo一個文件路徑給sed命令，取出其基名；進一步地，取出其路徑名；

取路徑名：
[root@localhost ~]# echo /etc/sysconfig/network-scripts/ | sed ‘s@[^/]\+\/\?$@@‘
取基名： 
[root@localhost ~]# echo /etc/sysconfig/network-scripts | sed ‘s@/.*/@@‘

十二、統計當前系統上全部tcp鏈接的各類狀態的個數；

[root@localhost ~]# ss -tan |sed ‘1d‘| awk ‘{print $1}‘| uniq -c

1三、統計指定的web訪問日誌中各ip的資源訪問次數：

[root@localhost ~]# awk ‘{print $1}‘ www1.access | sort |uniq -c

1四、受權centos用戶能夠運行fdisk命令完成磁盤管理，以及使用mkfs或mke2fs實現文件系統管理；

[root@localhost ~]# vim sudoers
Centos  ALL=(root)   /sbin/mkfs, /sbin/mke2fs, /sbin/fdisk

1五、受權gentoo用戶能夠運行邏輯卷管理的相關命令；

[root@localhost ~]# vim sudoers
Gentoo ALL=(root) lvm

1六、基於pam_time.so模塊，限制用戶經過sshd服務遠程登陸只能在工做時間進行；

[root@localhost ~]# vim /etc/pam.d/sshd
在account required pam_nologin.so上插入一行：
account required pam_time.so
[root@localhost ~]# vim /etc/security/time.conf
*;*;*;MoTuWeThFr0900-1800
上面表示工做時間的9點到下午6點

1七、基於pam_listfile.so模塊，定義僅某些用戶，或某些組內的用戶可登陸系統；

[root@localhost ~]# vim /etc/users
[root@localhost ~]# cat /etc/users
root 
centos
gentoo
而後修改文件的權限和屬主
[root@localhost ~]# chmod 600 /etc/users
[root@localhost ~]# chown root /etc/users
再編輯/etc/pam.d/sshd文件，加入如下一行內容：
auth required pam_listfile.so item=user sense=allow file=/etc/users onerr=succeed