第十週作業內容:
系統的INPUT和OUTPUT默認策略爲DROP,請完成以下關於iptables的題目;
1、限制本地主機的web服務器在週一不允許訪問;新請求的速率不能超過100個每秒;web服務器包含了admin字符串的頁面不允許訪問;web服務器僅允許響應報文離開本機;
問題分解:
①限制外部訪問本地主機: 使用INPUT鏈
②限制訪問web服務: 使用基本規則匹配器,協議匹配 -p tcp 端口匹配 --dport 80
③限制週一不能訪問: 使用擴展規則匹配器,時間匹配 -m time --weekdays Mon
④限制新請求的速率不能超過100個每秒: 使用擴展規則匹配器,速率匹配 -m limit --limit 100/second
⑤限制web服務器包含了admin字符串的頁面被訪問: 使用擴展規則匹配器,字符串匹配 -m string --algo kmp --string "admin" 注:匹配算法 --algo 【bm(Boyer-Moore算法,默認算法)/kmp(Knuth-Pratt-Morris算法,更爲複雜)】
⑥允許微博服務器數據外發: 使用OUTPUT鏈
⑦僅允許響應報文: 使用擴展規則匹配器,狀態匹配 -m state --state ESTABLISED 注:【NEW:已經或將啓動新的連接;INVALID:非法或無法識別的;ESTABLISHED:已建立的連接;RELATED:正在啓動新連接】
#iptables -A INPUT -d 192.168.2.35 -p tcp --dport 80 -m time --weekdays Mon -m limit --limit 100/second -m string --algo kmp --string "admin" -j DROP #iptables -A OUTPUT -m state --state ESTABLISED -j ACCEPT
2、在工作時間,即週一到週五的8:30-18:00,開放本機的ftp服務給172.16.0.0網絡中的主機訪問;數據下載請求的次數每分鐘不得超過5個;
問題分析:
FTP服務爲主動式
客戶端從一個任意的非特權端口N(N>1024)連接到FTP服務器的命令端口,也就是21端口。然後客戶端開始 監聽端口N+1,併發送FTP命令“port N+1”到FTP服務器。接着服務器會從它自己的數據端口(20)連接到客戶端指定的數據端口(N+1)。
針對FTP服務器前面的防火牆來說,必須允許以下通訊才能支持主動方式FTP:
(1)任何大於1024的端口到FTP服務器的21端口。(客戶端初始化的連接)
(2)FTP服務器的21端口到大於1024的端口。 (服務器響應客戶端的控制端口)
(3)FTP服務器的20端口到大於1024的端口。(服務器端初始化數據連接到客戶端的數據端口)
(4)大於1024端口到FTP服務器的20端口(客戶端發送ACK響應到服務器的數據端口)
# iptables -A INPUT -s 172.16.0.0/16 -p tcp --dport 21 -m time --timestart 08:30 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri -m limit --limit 5/minute -j ACCEPT # iptables -A OUTPUT -d 172.16.0.0/16 -p tcp --sport 20 -j ACCEPT # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
有關related狀態的說明:
RELATED狀態在有雙通道的服務中會出現的。比如ftp服務的控制通道和數據通道。client發送syn請求到server的21端口,中間的linux系統變爲NEW狀態。server回覆syn+ack應答包給client,中間的linux變爲ESTABLISHED狀態。當ftp的控制通道建立完後,會建立數據通道,而數據通道的第一個包就是RELATED狀態,以後的包又變成ESTABLISHED狀態。
3、開放本機的ssh服務給172.16.x.1-172.16.x.100中的主機,x爲你的座位號,新請求建立的速率一分鐘不得超過2個;僅允許響應報文通過其服務端口離開本機;
# iptables -A INPUT -d 172.16.6.10 -p tcp --dport 22 -m iprange --src-range 172.16.6.1-192.168.6.100 -m limit --limit 2/min -j ACCEPT # iptables -A OUTPUT -s 172.16.6.10 -p tcp --sport 22 -m iprange --dst-range 172.16.6.1-192.168.6.100 -m state --state ESTABLISHED -j ACCEPT
4、拒絕TCP標誌位全部爲1及全部爲0的報文訪問本機;
#iptables -A INPUT -d 192.168.2.35 -p tcp --tcp-flags ALL ALL -j DROP #iptables -A INPUT -d 192.168.2.35 -p tcp --tcp-flags ALL NONE -j DROP
5、允許本機ping別的主機;但不開放別的主機ping本機;
icmp-type 8 Echo request——回顯請求(Ping請求)
icmp-type 0 Echo request——回顯應答(Ping應答)
#iptables -A OUTPUT -s 192.168.2.35 -p icmp --icmp-type 8 -j ACCEPT #iptables -A INPUT -d 192.168.2.35 -p icmp --icmp-type 0 -j DROP
6、判斷下述規則的意義:
# iptables -N clean_in //創建自定義鏈clean_in
# iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP //丟棄廣播地址包
# iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP //丟棄172.16.255.255的icmp報文
# iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP //丟棄syn標誌不爲1,鏈接狀態爲新建鏈接的包
# iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP // 丟棄tcp標誌全部爲1的報文
# iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP //丟棄tcp標誌全部爲0的報文
# iptables -A clean_in -d 172.16.100.7 -j RETURN //在結束clean_in鏈過濾後回到主鏈
# iptables -A INPUT -d 172.16.100.7 -j clean_in //目標爲172.16.100.7的報文交給clean_in處理
# iptables -A INPUT -i lo -j ACCEPT //指定流入報文接口爲本地迴環
# iptables -A OUTPUT -o lo -j ACCEPT //指定流出報文接口爲本地迴環
# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP //指定流入報文接口爲eth0,協議爲tcp,目標端口爲53,113,135,137,139,445的報文丟棄
# iptables -A INPUT -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP //指定流入報文接口爲eth0,協議爲udp,目標端口爲53,113,135,137,139,445的報文丟棄
# iptables -A INPUT -i eth0 -p udp --dport 1026 -j DROP //指定流入報文接口爲eth0,協議爲udp,目標端口爲1026的報文丟棄
# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP //指定流入報文接口爲eth0,協議爲tcp,目標端口爲1433,4899的報文丟棄
# iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT //限定ping速率爲每秒10次
7、通過tcp_wrapper控制vsftpd僅允許172.16.0.0/255.255.0.0網絡中的主機訪問,但172.16.100.3除外;對所被被拒絕的訪問嘗試都記錄在/var/log/tcp_wrapper.log日誌文件中;
[root@TESTSVR1 ~]vim /etc/hosts.allow vsftpd:172.16.0.0/255.255.0.0 EXCEPT 172.16.100.3 vim /etc/hosts.deny vsftpd:ALL :spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log
8、刪除/boot/grub/grub.conf文件中所有行的行首的空白字符;
[root@STCO6 tmp]# cp /boot/grub/grub.conf /tmp [root@STCO6 tmp]# sed -i 's@^[[:space:]]\+@@' grub.conf
9、刪除/etc/fstab文件中所有以#開頭,後跟至少一個空白字符的行的行首的#和空白字符;
[root@STCO6 tmp]# cp /etc/fstab /tmp [root@STCO6 tmp]# sed -i 's@^#[[:space:]]\+@@' fstab
10、把/etc/fstab文件的奇數行另存爲/tmp/fstab.3;
方法一:
[root@STCO6 ~]# sed 'n;d' /etc/fstab > /tmp/fstab.3 [root@STCO6 ~]# cat /tmp/fstab.3
# /etc/fstab # # See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info /dev/mapper/vg_stco6-lv_root / ext4 defaults 1 1 /dev/mapper/vg_stco6-lv_swap swap swap defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 proc /proc proc defaults 0 0 /dev/testvg/mylv1 /users ext4 defaults,acl,nodiratime 0 0
方法二:
[root@STCO6 ~]# sed -n '1~2p' /etc/fstab > /tmp/fstab.3 [root@STCO6 ~]# cat /tmp/fstab.3
# /etc/fstab # # See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info /dev/mapper/vg_stco6-lv_root / ext4 defaults 1 1 /dev/mapper/vg_stco6-lv_swap swap swap defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 proc /proc proc defaults 0 0 /dev/testvg/mylv1 /users ext4 defaults,acl,nodiratime 0 0
11、echo一個文件路徑給sed命令,取出其基名;進一步地,取出其路徑名;
取基名
[root@STCO6 ~]# echo "/home/suyi/test/testA" | grep -E -o "[^/]+/?$" | cut -d"/" -f1 testA
取路徑名
[root@STCO6 ~]# echo "/home/suyi/test/testA" | grep -oP "^.*(?=/)" /home/suyi/test
12、統計當前系統上所有tcp連接的各種狀態的個數;
[root@STCO6 ~]# netstat -nat
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:43314 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN
tcp 0 64 192.168.2.30:22 192.168.2.11:57654 ESTABLISHED
tcp 0 0 :::48782 :::* LISTEN
tcp 0 0 :::111 :::* LISTEN
tcp 0 0 :::22 :::* LISTEN
tcp 0 0 ::1:631 :::* LISTEN
tcp 0 0 ::1:25 :::* LISTEN
[root@STCO6 ~]# netstat -nat | awk 'FNR>2{print $NF}' | sort | uniq -c
1 ESTABLISHED
10 LISTEN13、統計指定的web訪問日誌中各ip的資源訪問次數:
[root@STCO6 tmp]# cat IP statistics.sh
#!/bin/bash
#將11/Nov/2016全天的訪問日誌放到Access_log.txt文本
cat access.log |sed -rn '/11\/Nov\/2016/p' > Access_log.txt
#統計Access_log.txt裏面IP訪問數量
cat Access_log.txt |awk '{print $1}'|sort |uniq > IP_NUM.txt
#通過shell統計每個ip訪問次數
for i in `cat IP_NUM.txt`
do
IP_Total=`cat access.log |grep $i |wc -l`
echo "IP地址"$i"在2016-11-11日全天(24小時)累計成功請求"$IP_Total"次,平均每分鐘請求次數爲:"$(($IP_Total/1440)) >> result.txt
done14、授權centos用戶可以運行fdisk命令完成磁盤管理,以及使用mkfs或mke2fs實現文件系統管理;
[root@STCO6 ~]# visudo centos ALL=(root) /sbin/fdisk, /sbin/mke2fs
15、授權gentoo用戶可以運行邏輯卷管理的相關命令;
[root@STCO6 ~]# visudo gentoo ALL=(root) /sbin/vgdisplay
16、基於pam_time.so模塊,限制用戶通過sshd服務遠程登錄只能在工作時間進行;
# vim /etc/pam.d/sshd
在account required pam_nologin.so上插入一行:
account required pam_time.so
# vim /etc/security/time.conf *;*;*;MoTuWeThFr0800-1700
上面表示工作時間的8點到下午5點
17、基於pam_listfile.so模塊,定義僅某些用戶,或某些組內的用戶可登錄系統;
[root@STCO6 ~]# vim /etc/users [root@STCO6 ~]# cat /etc/users root gentoo [root@STCO6 ~]# chmod 600 /etc/users [root@STCO6 ~]# chown root /etc/users [root@STCO6 ~]# vim /etc/pam.d/sshd
再編輯/etc/pam.d/sshd文件,加入以下一行內容:
auth required pam_listfile.so item=user sense=allow file=/etc/users onerr=succeed