系統的INPUT和OUTPUT默認策略爲DROP,請完成以下關於iptables的題目;
[root@localhost ~]# iptables -P INPUT DROP [root@localhost ~]# iptables -P OUTPUT DROP
1、限制本地主機的web服務器在週一不允許訪問;新請求的速率不能超過100個每秒;web服務器包含了admin字符串的頁面不允許訪問;web服務器僅允許響應報文離開本機;
[root@localhost ~]# iptables -I INPUT -d 192.168.2.110 -p tcp --dport 80 -m time --weekdays Mon -m limit --limit 100/second -m string --algo bm --string 'admin' -j DROP
[root@localhost ~]# iptables -I OUTPUT -m state --state ESTABLISHED -j ACCEPT
time擴展:--weekdays 周
limit擴展:--limit rate[/second|/minute|/hour|/day]速率限制
string擴展:--algo {bm|kmp} 指定字符算法 --string pattern :匹配字符串
state擴展: 80服務只是響應,不用發新請求,所以用ESTABLISHED
1 NEW:新發出的請求:連接追蹤模板中不存在此連接相關的信息條目,因此,將其識別爲第一次發出的請求
2 ESTABLISHED:NEW狀態之後,連接追蹤模板中爲其建立的條目失效之前期間內所進行的通信狀態;
3 RELATED:相關的連接,如ftp協議的命令連接與數據連接之間的關係;
4 INVALIED:無法識別的連接;2、在工作時間,即週一到週五的8:30-18:00,開放本機的ftp服務給172.16.0.0網絡中的主機訪問;數據下載請求的次數每分鐘不得超過5個;
[root@localhost ~]# iptables -A INPUT -s 172.16.0.0/16 -p tcp --dport 21 -m time --timestart 08:30 --timestop 18:00 --weekdays Mon,Tue,Wed,Thu,Fri -m limit --limit-burst 5 --limit 5/minute -j ACCEPT [root@localhost ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT [root@localhost ~]# iptables -A OUTPUT -d 172.16.0.0/16 -p tcp --sport 20 -j ACCEPT time擴展:--weekdays 周 --timestart hh:mm[:ss] --timestop hh:mm[:ss] 時間 limit擴展:--limit rate[/second|/minute|/hour|/day]速率限制 --limit-burst number 最大峯值 state擴展: 21響應命令ftp命令連接 之後響應的是ftp數據連接,而數據連接的第一個包就是RELATED狀態,以後的包又變成ESTABLISHED狀態。
3、開放本機的ssh服務給172.16.x.1-172.16.x.100中的主機,x爲你的座位號,新請求建立的速率一分鐘不得超過2個;僅允許響應報文通過其服務端口離開本機;
[root@localhost ~]# iptables -A INPUT -d 172.16.1.1 -p tcp --dport 22 -m iprange --src-range 172.16.1.1-172.16.1.100 -m limit --limit-burst 2 --limit 2/minute -j ACCEPT [root@localhost ~]# iptables -A OUTPUT -s 172.16.1.1 -p tcp --sport 22 -m iprange --dst-range 172.16.1.1-172.16.1.100 -m state --state ESTABLISHED -j ACCEPT iprange擴展:--src-range from[-to]:指明連續的源地址範圍 --dst-range from[-to]:指明連續的目標地址範圍 state擴展: 20服務只是響應,不用發新請求,所以用ESTABLISHED
4、拒絕TCP標誌位全部爲1及全部爲0的報文訪問本機;
[root@localhost ~]# iptables -A INPUT -d 192.168.2.110 -p tcp --tcp-flags ALL ALL -j DROP [root@localhost ~]# iptables -A INPUT -d 192.168.2.110 -p tcp --tcp-flags ALL NONE -j DROP --tcp-flags LIST1 LIST2:檢查list1所指明的所有標誌位,且這其中,list2所表示出的所有標識爲必須爲1,而餘下的必須爲0,沒有list1中指明的,不做檢查。
5、允許本機ping別的主機;但不開放別的主機ping本機;
[root@localhost ~]# iptables -A INPUT -d 192.168.2.110 -p icmp --icmp-type 0 -j DROP [root@localhost ~]# iptables -A OUTPUT -s 192.168.2.110 -p icmp --icmp-type 8 -j ACCEPT --icmp-type: 可用數字表示其類型: 0:echo-reply 回送應答 8:echo-request 請求回送
6、判斷下述規則的意義:
# iptables -N clean_in //創建自定義鏈clean_in # iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP //丟棄廣播包 # iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP //丟棄到172.16.255.255的icmp包 # iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP //丟棄syn包標誌不爲1的包和連接追蹤狀態爲新連接的包 # iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP //丟棄TCP標誌爲全部爲1的報文 # iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP //丟棄TCP標誌爲全部爲0的報文 # iptables -A clean_in -d 172.16.100.7 -j RETURN //在到目的主機172.16.100.7的報文返回到主鏈過濾 # iptables -A INPUT -d 172.16.100.7 -j clean_in //到目的主機172.16.100.7的報文過濾轉給自定義鏈clean_in # iptables -A INPUT -i lo -j ACCEPT //指定流入報文接口爲本地迴環 # iptables -A OUTPUT -o lo -j ACCEPT //指定流出報文接口爲本地迴環
# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP //指定流入報文接口爲eth0,協議爲tcp,目標端口爲53,113,135,137,139,445的報文丟棄 # iptables -A INPUT -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP //指定流入報文接口爲eth0,協議爲udp,目標端口爲53,113,135,137,139,445的報文丟棄 # iptables -A INPUT -i eth0 -p udp --dport 1026 -j DROP //指定流入報文接口爲eth0,協議爲udp,目標端口爲1026的報文丟棄 # iptables -A INPUT -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP //指定流入報文接口爲eth0,協議爲tcp,目標端口爲1433,4899的報文丟棄 # iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT //限定ping速率爲每秒10次
7、通過tcp_wrapper控制vsftpd僅允許172.16.0.0/255.255.0.0網絡中的主機訪問,但172.16.100.3除外;對所被被拒絕的訪問嘗試都記錄在/var/log/tcp_wrapper.log日誌文件中;
[root@localhost ~]# vim /etc/hosts.allow vsftpd:172.16.0.0/255.255.0.0 EXCEPT 172.16.100.3 [root@localhost ~]# vim /etc/hosts.deny vsftpd:ALL :spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log
8、刪除/boot/grub/grub.conf文件中所有行的行首的空白字符;
[root@localhost tmp]# cp /boot/grub/grub.conf . [root@localhost tmp]# sed 's/^[[:space:]]\+//' grub.conf
9、刪除/etc/fstab文件中所有以#開頭,後跟至少一個空白字符的行的行首的#和空白字符;
[root@localhost tmp]# cp /etc/fstab . [root@localhost tmp]# sed 's/^#[[:space:]]\+//' fstab
10、把/etc/fstab文件的奇數行另存爲/tmp/fstab.3;
[root@localhost tmp]# sed -n '1~2p' fstab > fstab.3 [root@localhost tmp]# cat fstab.3 /etc/fstab # See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info /dev/mapper/VolGroup-lv_root / ext4 defaults 1 1 /dev/mapper/VolGroup-lv_home /home ext4 defaults 1 2 tmpfs /dev/shm tmpfs defaults 0 0 sysfs /sys sysfs defaults 0 0 192.168.2.105:/ftproot /mydata nfs defaults 0 0
sed -n 'n;p' file 讀取文件的偶數行 [root@localhost tmp]# sed -n 'n;p' fstab > fstab.4 [root@localhost tmp]# cat fstab.4 # Created by anaconda on Fri Sep 30 03:39:09 2016 Accessible filesystems, by reference, are maintained under '/dev/disk' # UUID=69fadb43-5569-422f-8047-e0a3fa35e041 /boot ext4 defaults 1 2 /dev/mapper/VolGroup-lv_swap swap swap defaults 0 0 devpts /dev/pts devpts gid=5,mode=620 0 0 proc /proc proc defaults 0 0
11、echo一個文件路徑給sed命令,取出其基名;進一步地,取出其路徑名;
取基名: [root@localhost tmp]# echo /etc/sysconfig/network-scripts/ifcfg-eth0 | sed -r 's@(/.*/)@@g' ifcfg-eth0 取路徑名: [root@localhost tmp]# echo "/etc/sysconfig/network-scripts/ifcfg-eth0" | sed 's@[^/]\+$@@' /etc/sysconfig/network-scripts/
12、統計當前系統上所有tcp連接的各種狀態的個數;
[root@localhost tmp]# netstat -nat | awk 'FNR>2{print $NF}' | sort | uniq -c
1 ESTABLISHED
8 LISTEN
[root@localhost ~]# netstat -tan | awk '/^tcp\>/{state[$NF]++}END{for(i in state) { print i,state[i]}}'
ESTABLISHED 1
LISTEN 813、統計指定的web訪問日誌中各ip的資源訪問次數:
[root@localhost tmp]# awk '{ip[$1]++}END{for(i in ip){print i,ip[i]}}' /var/log/httpd/access_log14、授權centos用戶可以運行fdisk命令完成磁盤管理,以及使用mkfs或mke2fs實現文件系統管理;
[root@localhost tmp]# visudo centos ALL=(root) NOPASSWD: /sbin/fdisk, /sbin/mke2fs, /sbin/mkfs
15、授權gentoo用戶可以運行邏輯卷管理的相關命令;
[root@localhost tmp]# visudo gentoo ALL=(root) lvm
16、基於pam_time.so模塊,限制用戶通過sshd服務遠程登錄只能在工作時間進行;
(1)[root@localhost tmp]# vim /etc/pam.d/sshd 在account required pam_nologin.so上插入一行: account required pam_time.so 2).編輯pam_time.so模塊的配置文件 [root@localhost tmp]# vim /etc/security/time.conf *;*;*;MoTuWeThFr0900-1800
17、基於pam_listfile.so模塊,定義僅某些用戶,或某些組內的用戶可登錄系統;
1 創建用戶列表文件 [root@localhost tmp]# vim /etc/sshd/users [root@localhost tmp]#cat /etc/users root gentoo centos jay .... 2 修改文件權限 [root@localhost tmp]# chmod 600 /etc/sshd/users [root@localhost tmp]# chown root /etc/sshd/users 3 編輯/etc/pam.d/sshd文件,加入以下一行內容: [root@localhost tmp]# vim /etc/pam.d/sshd auth required pam_listfile.so item=user sense=allow file=/etc/sshd/users onerr=succeed