第十周作业

Posted 2020-08-21

系统的INPUT和OUTPUT默认策略为DROP，请完成以下关于iptables的题目；

通用策略

]# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
]# iptables -P INPUT DROP
]# iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
]# iptables -P OUTPUT DROP

1、限制本地主机的web服务器在周一不允许访问；新请求的速率不能超过100个每秒；web服务器包含了admin字符串的页面不允许访问；web服务器仅允许响应报文离开本机；

]# iptables -A INPUT -p tcp --dport 80 -m time ! --weekdays 1 -m limit --limit 100/second -j ACCEPT
]# iptables -A OUTPUT -p tcp --sport 80  -m  string --algo bm  --string ‘admin‘ -j DROP

测试用例
修改时间
]# date -s ‘2016-11-28 12:00‘
Mon Nov 28 12:00:00 CST 2016

修改内容
]# vim /var/www/html/index.html
admin

访问测试
]# curl -I --connect-timeout 5 http://172.16.100.7           
curl: (28) Connection timed out after 5007 milliseconds

修正时间
]# date -s ‘2016-11-30 11:45‘
Wed Nov 30 11:45:00 CST 2016

修正内容
]# vim /var/www/html/index.html
test

访问测试
]# curl -I --connect-timeout 5 http://172.16.100.7
HTTP/1.1 200 OK
Date: Wed, 30 Nov 2016 03:45:01 GMT
Server: Apache/2.4.6 (CentOS)
Last-Modified: Wed, 30 Nov 2016 03:45:01 GMT
ETag: W/"7-5427c8d23e8c7"
Accept-Ranges: bytes
Content-Length: 7
Content-Type: text/html; charset=UTF-8

2、在工作时间，即周一到周五的8:30-18:00，开放本机的ftp服务给172.16.0.0网络中的主机访问；数据下载请求的次数每分钟不得超过5个；

]# iptables -A INPUT  -p tcp --dport 21 -s 172.16.0.0/16 -m limit --limit 5/minute -m time --timestart 08:30  --timestop 18:00 --weekdays 1,2,3,4,5 -j ACCEPT

测试用例
修改时间
]# date -s ‘2016-12-01 02:30‘
2016年 12月 01日 星期四 02:30:00 CST

访问测试
]# ftp 172.16.100.7
ftp: Can‘t connect to `172.16.100.7‘: Operation timed out
ftp: Can‘t connect to `172.16.100.7‘

修正时间
]# date -s ‘2016-12-01 17:30‘
2016年 12月 01日 星期四 17:30:00 CST

访问测试
]#  ftp 172.16.100.7
Connected to 172.16.100.7.
220 (vsFTPd 3.0.2)
Name (172.16.100.7:Fan): anonymous
331 Please specify the password.
Password: 
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
229 Entering Extended Passive Mode (|||13045|).
150 Here comes the directory listing.
drwxr-xr-x    2 0        0              22 Dec 01  2016 pub
226 Directory send OK.

3、开放本机的ssh服务给172.16.x.1-172.16.x.100中的主机，x为你的座位号，新请求建立的速率一分钟不得超过2个；仅允许响应报文通过其服务端口离开本机；

]# iptables -A INPUT -p tcp --dport 22 -m state --state NEW  -m limit --limit 2/minute -m iprange --src-range 172.16.100.1-172.16.100.100 -j ACCEPT

4、拒绝TCP标志位全部为1及全部为0的报文访问本机；

]# iptables -A INPUT  -p tcp --tcp-flags ALL ALL -j DROP
]# iptables -A INPUT  -p tcp --tcp-flags ALL NONE -j DROP

5、允许本机ping别的主机；但不开放别的主机ping本机；

]# iptables -A INPUT  -p icmp --icmp-type 0 -j ACCEPT
]# iptables -A OUTPUT  -p icmp --icmp-type 8 -j ACCEPT

6、判断下述规则的意义：

# iptables -N clean_in   创建自定义链clean_in
# iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP   丢弃广播地址包
# iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP    丢弃172.16.255.255的icmp报文
# iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP   丢弃syn标志不为1,链接状态为新建的包
# iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP            丢弃tcp标志全部为1的报文       
# iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP           丢弃tcp标志全部为0的报文
# iptables -A clean_in -d 172.16.100.7 -j RETURN                     在结束clean_in过滤后国到主链
# iptables -A INPUT -d 172.16.100.7 -j clean_in 目标地址为172.16.100.7的报文交给clean_in链处理
# iptables -A INPUT  -i lo -j ACCEPT                                 允许本地回环地址报文流入
# iptables -A OUTPUT -o lo -j ACCEPT                                 允许本地回环地址报文流出
# iptables -A INPUT  -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP      拒绝流入到eth0网卡上的tcp 53,113,135,137,139,445 端口报文
# iptables -A INPUT  -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP      拒绝流入到eth0网卡上的udp 53,113,135,137,139,445 端口报文
# iptables -A INPUT  -i eth0 -p udp --dport 1026 -j DROP     拒绝流入到eth0网卡上的udp 1026端口
# iptables -A INPUT  -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP    拒绝流入到eth0网卡上的tcp 1433,4899 端口
# iptables -A INPUT  -p icmp -m limit --limit 10/second -j ACCEPT    允许流入icmp报文，并限制网卡速率为每秒10个包

7、通过tcp_wrapper控制vsftpd仅允许172.16.0.0/255.255.0.0网络中的主机访问，但172.16.100.3除外；对所被被拒绝的访问尝试都记录在/var/log/tcp_wrapper.log日志文件中；

]# vim /etc/hosts.allow 
vsftpd:172.16.0.0/255.255.0.0 EXCEPT 172.16.100.3
# vim /etc/hosts.deny
vsftpd: ALL :spawn /bin/echo `date` login attenpt from %c to %s,%d >> /var/log/tcp_wrapper.log
]# cat /var/log/tcp_wrapper.log 
Fri Dec 2 17:38:28 CST 2016 login attenpt from 172.16.100.108 to [email protected],vsftpd

8、删除/boot/grub/grub.conf文件中所有行的行首的空白字符；

]# sed -i ‘[email protected]^[[:space:]]\[email protected]@g‘ /boot/grub/grub.conf

9、删除/etc/fstab文件中所有以#开头，后跟至少一个空白字符的行的行首的#和空白字符；

]# sed -i ‘s/^#[[:space:]]\+//p‘ /etc/fstab

10、把/etc/fstab文件的奇数行另存为/tmp/fstab.3；

]# sed -n ‘1~2p‘ /etc/fstab  > /tmp/fstab.3

11、echo一个文件路径给sed命令，取出其基名；进一步地，取出其路径名；

]# echo ‘/etc/sysconfig/network-scripts/ifcfg-lo‘ | sed -n ‘[email protected]/.*/@@p‘
ifcfg-lo
]# echo ‘/etc/sysconfig/network-scripts/ifcfg-eno16777736‘ | grep -o  ‘/.*/‘
/etc/sysconfig/network-scripts/

12、统计当前系统上所有tcp连接的各种状态的个数；

]# netstat -an | awk ‘/^tcp/{tcp[$NF]++}END{for(i in tcp){print i,tcp[i]}}‘
LISTEN 6
ESTABLISHED 1

13、统计指定的web访问日志中各ip的资源访问次数：

]# awk ‘{ip[$1]++}END{for(i in ip){print i,ip[i]}}‘ /var/log/httpd/access_log
10.2.100.7 18
10.2.100.108 4
::1 61
10.2.100.165 406

14、授权centos用户可以运行fdisk命令完成磁盘管理，以及使用mkfs或mke2fs实现文件系统管理；

]# visudo 
centos  ALL=(root)  /usr/sbin/mke2fs,/usr/sbin/mkfs

15、授权gentoo用户可以运行逻辑卷管理的相关命令；

]# visudo
gentoo ALL=(root) /sbin/vgdisplay

16、基于pam_time.so模块，限制用户通过sshd服务远程登录只能在工作时间进行；

在account required pam_nologin.so上插入一行：
]# vim /etc/pam.d/sshd
account required pam_time.so

]# vim /etc/security/time.conf
*;*;*;MoTuWeThFr0800-1700

17、基于pam_listfile.so模块，定义仅某些用户，或某些组内的用户可登录系

]# vim /etc/users
root 
gentoo
]# chmod 600 /etc/users

再编辑/etc/pam.d/sshd文件，加入以下一行内容：
]# vim /etc/pam.d/sshd
auth required pam_listfile.so item=user sense=allow file=/etc/users onerr=succeed