Linux做業10

時間  2019-12-20
標籤 linux 欄目 Linux 简体版
原文   原文鏈接

系統的INPUT和OUTPUT默認策略爲DROP,請完成如下關於iptables的題目;web

一、限制本地主機的web服務器在週一不容許訪問;新請求的速率不能超過100個每秒;web服務器包含了admin字符串的頁面不容許訪問;web服務器僅容許響應報文離開本機;正則表達式

[root@C1 ~]# iptables -F    #清空filter表上的全部規則鏈
[root@C1 ~]# iptables -X    #刪除用戶自定鏈
[root@C1 ~]# iptables -t filter -A INPUT -d 192.168.1.71 -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT    #放行SSH和HTTP的SYN報文
[root@C1 ~]# iptables -t filter -I INPUT -d 192.168.1.71 -m state --state ESTABLISHED -j ACCEPT    #放行全部目標爲192.168.1.71的已創建連接的請求報文
[root@C1 ~]# iptables -t filter -A OUTPUT -s 192.168.1.71 -m state --state ESTABLISHED -j ACCEPT    #只放行已創建連接的出部請求
[root@C1 ~]# iptables -P INPUT DROP    #INPUT鏈的默認規置爲則爲DROP
[root@C1 ~]# iptables -P OUTPUT DROP    #OUTPUT鏈的默認規置爲則爲DROP
[root@C1 ~]# iptables -t filter -I INPUT -d 192.168.1.71 -p tcp --dport 80 -m time --weekdays Mon -j REJECT    #週一禁止訪問httpd服務
[root@C1 ~]# iptables -t filter -I INPUT -d 192.168.1.71 -m limit --limit-burst 200 --limit 100/second -j ACCEPT    #設置能夠接受的請求報文的速率爲平均100個/秒,峯值爲200個。
[root@C1 ~]# iptables -R OUTPUT 1 -s 192.168.1.71 -p tcp --sport 80 -m string --algo bm --string "admin" -j REJECT    #攔截http響應報文中包含「admin」字符串的報文

二、在工做時間,即週一到週五的8:30-18:00,開放本機的ftp服務給172.16.0.0網絡中的主機訪問;數據下載請求的次數每分鐘不得超過5個;shell

 (1). 檢查並裝載nf_conntrack_ftp模塊:centos

[root@C1 ~]# ll /lib/modules/3.10.0-327.el7.x86_64/kernel/net/netfilter/nf_conntrack_ftp.ko 
-rw-r--r--. 1 root root 26181 11月 20 2015 /lib/modules/3.10.0-327.el7.x86_64/kernel/net/netfilter/nf_conntrack_ftp.ko
[root@C1 ~]# modprobe nf_conntrack_ftp
[root@C1 ~]# lsmod | grep ftp
nf_conntrack_ftp       18638  0 
nf_conntrack          105745  3 xt_conntrack,nf_conntrack_ftp,nf_conntrack_ipv4

 (2). 在1題的基礎上進行修改iptables:api

[root@C1 ~]# iptables -L -n -v --line-number
Chain INPUT (policy DROP 18 packets, 2321 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     1030 74542 ACCEPT     all  --  *      *       0.0.0.0/0            192.168.1.71         limit: avg 100/sec burst 200
2        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            192.168.1.71         tcp dpt:80 TIME on Mon UTC reject-with icmp-port-unreachable
3     2616  210K ACCEPT     all  --  *      *       0.0.0.0/0            192.168.1.71         state ESTABLISHED
4        7   420 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.71         multiport dports 22,80 state NEW
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy DROP 28 packets, 8506 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       22  7434 REJECT     tcp  --  *      *       192.168.1.71         0.0.0.0/0            tcp spt:80 STRING match  "admin" ALGO name bm TO 65535 reject-with icmp-port-unreachable
2     2290  413K ACCEPT     all  --  *      *       192.168.1.71         0.0.0.0/0            state ESTABLISHED
[root@C1 ~]# iptables -D INPUT 1    #刪除INPUT鏈中的1-2行規則
[root@C1 ~]# iptables -D INPUT 1
[root@C1 ~]# iptables -R INPUT 1 -d 192.168.1.71 -s 192.168.1.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@C1 ~]# iptables -I INPUT -d 192.168.1.71 -s 192.168.1.0/24 -p tcp --dport 21 -m state --state NEW -m time --weekdays 1,2,3,4,5 --timestart 8:30 --timestop 18:00 -j ACCEPT
[root@C1 ~]# iptables -L -n --line-number
Chain INPUT (policy DROP)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  192.168.1.0/24       192.168.1.71         tcp dpt:21 state NEW TIME from 08:30:00 to 18:00:00 on Mon,Tue,Wed,Thu,Fri UTC
2    ACCEPT     tcp  --  192.168.1.0/24       192.168.1.71         state RELATED,ESTABLISHED
3    ACCEPT     tcp  --  0.0.0.0/0            192.168.1.71         multiport dports 22,80 state NEW
Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
Chain OUTPUT (policy DROP)
num  target     prot opt source               destination         
1    REJECT     tcp  --  192.168.1.71         0.0.0.0/0            tcp spt:80 STRING match  "admin" ALGO name bm TO 65535 reject-with icmp-port-unreachable
2    ACCEPT     all  --  192.168.1.71         0.0.0.0/0            state ESTABLISHED   #確保ESTABLISHED連接能夠出棧

三、開放本機的ssh服務給172.16.x.1-172.16.x.100中的主機,x爲你的座位號,新請求創建的速率一分鐘不得超過2個;僅容許響應報文經過其服務端口離開本機;bash

 本題中172.16.x替換爲192.168.x服務器

 (1). 初始化iptables:網絡

[root@C1 ~]# iptables -P INPUT ACCEPT
[root@C1 ~]# iptables -P OUTPUT ACCEPT
[root@C1 ~]# iptables -F
[root@C1 ~]# iptables -X

 (2). 設置鏈規則:app

[root@C1 ~]# iptables -A INPUT -d 192.168.1.71 -m iprange --src-range 192.168.1.1-192.168.1.100 -p tcp --dport 22 -m limit --limit 2/minute -m state --state NEW -j ACCEPT
[root@C1 ~]# iptables -I INPUT -d 192.168.1.71 -p tcp --dport 22 -m state --state ESTABLISHED -j ACCEPT
[root@C1 ~]# iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
[root@C1 ~]# iptables -P INPUT DROP
[root@C1 ~]# iptables -P OUTPUT DROP
[root@C1 ~]# iptables -L -n -v --line-number
Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      279 19728 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.71         tcp dpt:22 state ESTABLISHED
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.71         source IP range 192.168.1.1-192.168.1.100 tcp dpt:22 limit: avg 2/min burst 5 state NEW
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy DROP 1 packets, 76 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       87  8008 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state ESTABLISHED

四、拒絕TCP標誌位所有爲1及所有爲0的報文訪問本機;框架

[root@C1 ~]# iptables -A  INPUT -d 192.168.1.71 -p tcp --tcp-flags ALL ALL -j DROP
[root@C1 ~]# iptables -A  INPUT -d 192.168.1.71 -p tcp --tcp-flags ALL NONE -j DROP

五、容許本機ping別的主機;但不開放別的主機ping本機;

# iptables -I OUTPUT -s 192.168.1.71 -p icmp --icmp-type 8 -j ACCEPT
# iptables -I INPUT -d 192.168.1.71 -p icmp --icmp-type 0 -j ACCEPT
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP

六、判斷下述規則的意義:

# iptables -N clean_in    //建立名爲「clean_in」的自定義鏈

# iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP    //禁止廣播ping

# iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP    //禁止對172.16網段的主機進行廣播ping


# iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP    //禁止非TCP第一次握手請求報文中狀態爲NEW的全部連接

# iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP    //禁止TCP標誌位全部爲1的報文

# iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP    //禁止TCP標誌位中全部爲0的報文

# iptables -A clean_in -d 172.16.100.7 -j RETURN    //返回目標主機爲172.16.100.7的報文到主鏈



# iptables -A INPUT -d 172.16.100.7 -j clean_in    //配置目標主機爲172.16.100.7的報文交於clean_in鏈進行檢查


# iptables -A INPUT -i lo -j ACCEPT    //接受來自迴環接口的流量

# iptables -A OUTPUT -o lo -j ACCEPT    //容許去住迴環接口的流量



# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP    //拒絕eth0接口上的TCP 53,113,135,137,139,445流量(DNS及Samba相關)

# iptables -A INPUT -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP    //拒絕eth0接口上的UDP 53,113,135,137,139,445流量(DNS及Samba相關)

# iptables -A INPUT -i eth0 -p udp --dport 1026 -j DROP    //拒絕eth0接口上的cap協議

# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP    //拒絕eth0接口上的MSSQL和遠程控制報文


# iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT    //限制ping流量爲10/秒

七、經過tcp_wrapper控制vsftpd僅容許172.16.0.0/255.255.0.0網絡中的主機訪問,但172.16.100.3除外;對所被被拒絕的訪問嘗試都記錄在/var/log/tcp_wrapper.log日誌文件中;

聲明:此題中的172.16.0.0/16改成192.168.1.0/24,172.16.100.3改成192.168.1.72

[root@C1 ~]# grep -v '^#' /etc/hosts.deny 
vsftpd: ALL :spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log
[root@C1 ~]# grep -v '^#' /etc/hosts.allow 
vsftpd: 192.168.1. EXCEPT 192.168.1.72
[root@C1 ~]# tail -2 /var/log/tcp_wrapper.log 
Sun Nov 27 22:46:38 CST 2016 login attempt from 192.168.1.72 to vsftpd@192.168.1.71, vsftpd
Sun Nov 27 22:46:54 CST 2016 login attempt from 192.168.1.72 to vsftpd@192.168.1.71, vsftpd

八、刪除/boot/grub/grub.conf文件中全部行的行首的空白字符;

# sed -i 's@^[[:space:]]\+@@' grub.conf

九、刪除/etc/fstab文件中全部以#開頭,後跟至少一個空白字符的行的行首的#和空白字符;

# grep -i 's@^#[[:space:]]\+@@' fstab

十、把/etc/fstab文件的奇數行另存爲/tmp/fstab.3;

# cat -n /etc/fstab | sed -n '1~2w /tmp/fstab.3'

十一、echo一個文件路徑給sed命令,取出其基名;進一步地,取出其路徑名;

基名: 

# echo /etc/sysconfig/network-scripts/ | sed -r 's@^.*/([^/]+)/?$@\1@'   #-r:使用擴展正則表達式
network-scripts

路徑名:

# echo /etc/sysconfig/network-scripts/ | sed 's@[^/]\+/\?$@@'
/etc/sysconfig/

十二、統計當前系統上全部tcp鏈接的各類狀態的個數;

# netstat -tan | awk '/^tcp\>/{state[$NF]++} END{for(i in state) {print i,state[i]}}'
LISTEN 2
ESTABLISHED 1

1三、統計指定的web訪問日誌中各ip的資源訪問次數:

# awk '{ip[$1]++} END{for(i in ip) {print i,ip[i]}}' /var/log/httpd/access_log
192.168.1.103 139
192.168.1.104 19
::1 29

1四、受權centos用戶能夠運行fdisk命令完成磁盤管理,以及使用mkfs或mke2fs實現文件系統管理;

在/etc/sudoers中添加對centos用戶的受權,受權centos用戶只能以root身份執行/usr/sbin/{fdisk,mkfs,mke2fs}命令:

# tail -n 3 /etc/sudoers
User_Alias  POWERUSER = centos
Cmnd_Alias  DISKMANAGE = /usr/sbin/fdisk,/usr/sbin/mkfs,/usr/sbin/mke2fs
POWERUSERALL=(root)NOPASSWD: DISKMANAGE

驗證:

[centos@C1 ~]$ sudo -l
匹配此主機上 centos 的默認條目:
    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT
    LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS
    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
用戶 centos 能夠在該主機上運行如下命令:
    (root) NOPASSWD: /usr/sbin/fdisk, /usr/sbin/mkfs, /usr/sbin/mke2fs
[centos@C1 ~]$ sudo fdisk -l
磁盤 /dev/sda:85.9 GB, 85899345920 字節,167772160 個扇區
Units = 扇區 of 1 * 512 = 512 bytes
扇區大小(邏輯/物理):512 字節 / 512 字節
I/O 大小(最小/最佳):512 字節 / 512 字節
磁盤標籤類型:dos
磁盤標識符:0x000a33c9
   設備 Boot      Start         End      Blocks   Id  System
/dev/sda1   *        2048     1026047      512000   83  Linux
/dev/sda2         1026048     5222399     2098176   82  Linux swap / Solaris
/dev/sda3         5222400   167772159    81274880   83  Linux

1五、受權gentoo用戶能夠運行邏輯卷管理的相關命令;

[root@C1 ~]# tail -4 /etc/sudoers
Cmnd_Alias  DISKMANAGE = /usr/sbin/fdisk,/usr/sbin/mkfs,/usr/sbin/mke2fs
Cmnd_AliasLVMCOMMAND = /usr/sbin/pv*, /usr/sbin/lv*, /usr/sbin/vg*
POWERUSERALL=(root)NOPASSWD: DISKMANAGE
gentooALL=(root)NOPASSWD: LVMCOMMAND,DISKMANAGE

驗證:

[gentoo@C1 ~]$ sudo -l
匹配此主機上 gentoo 的默認條目:
    requiretty, !visiblepw, always_set_home, env_reset, env_keep="COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS",
    env_keep+="MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE", env_keep+="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT
    LC_MESSAGES", env_keep+="LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE", env_keep+="LC_TIME LC_ALL LANGUAGE LINGUAS
    _XKB_CHARSET XAUTHORITY", secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin
用戶 gentoo 能夠在該主機上運行如下命令:
    (root) NOPASSWD: /usr/sbin/pv*, /usr/sbin/lv*, /usr/sbin/vg*, (root) /usr/sbin/fdisk, /usr/sbin/mkfs, /usr/sbin/mke2fs
[gentoo@C1 ~]$ sudo pvs
  PV         VG   Fmt  Attr PSize   PFree  
  /dev/sdb1       lvm2 ---  500.00m 500.00m
  /dev/sdb2       lvm2 ---  500.00m 500.00m
  /dev/sdb3       lvm2 ---  500.00m 500.00m

1六、基於pam_time.so模塊,限制用戶經過sshd服務遠程登陸只能在工做時間進行;

(1).修改pam_time.so模塊對應的配置文件:

配置文件:/etc/security/time.conf

語法:services;ttys;users;times

# egrep -v '^#|^$' /etc/security/time.conf
sshd;pts/*;gentoo;Wd0000-2400 | Wk1800-0800   #禁止gentoo用戶經過sshd服務在週末以及工做日的18-8點登錄到pts終端

(2). 修改sshd調用PAM通用框架時的配置文件,以啓用pam_time.so模塊進行檢測

配置文件:/etc/pam.d/sshd

起始處添加如下行:

auth        required     pam_time.so


說明:用戶登錄時強制使用pam_time.so認證,若經過需進一步檢查其餘項目,若不經過直結拒絕

驗證:

$ ssh gentoo@192.168.1.71
gentoo@192.168.1.71's password: 
Permission denied, please try again.
gentoo@192.168.1.71's password: 
Permission denied, please try again.
gentoo@192.168.1.71's password: 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).   #即便輸入正常的密碼也沒法登錄

1七、基於pam_listfile.so模塊,定義僅某些用戶,或某些組內的用戶可登陸系統;

(1).pam_listfile.so模塊沒有專用的配置文件,可經過在調用該模塊時爲其指定模塊變量來實現功能說明

在sshd的PAM定義文件/etc/pam.d/sshd中的起始處添加下行:

auth        required    pam_listfile.so item=user sense=deny file=/etc/pam.d/users.deny onerr=succeed

說明:

item=user:定義對哪些項目啓用規則,可選項有[tty|user|rhost|ruser|group|shell]

sense=deny:定義匹配文件中的用戶後拒絕,即黑名單

file=/etc/pam.d/users.deny:指定檢查的匹配文件

onerr=succeed:定義了當出現錯誤(好比沒法打開配置文件)時的缺省返回值

(2).建立pam_listfile.so模塊的匹配文件

# echo centos > /etc/pam.d/users.deny
# ll /etc/pam.d/users.deny
-rw-r--r-- 1 root root 7 12月  4 00:40 /etc/pam.d/users.deny
# chmod 600 /etc/pam.d/users.deny

驗證:

yinkai@yinkai-NB-X230 ~ $ ssh gentoo@192.168.1.71
gentoo@192.168.1.71's password: 
Last login: Sun Dec  4 01:07:42 2016 from 192.168.1.104
[gentoo@C1 ~]$ exit
登出
Connection to 192.168.1.71 closed.
yinkai@yinkai-NB-X230 ~ $ ssh centos@192.168.1.71
centos@192.168.1.71's password: 
Permission denied, please try again.
centos@192.168.1.71's password: 
Permission denied, please try again.
centos@192.168.1.71's password: 
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程