2016-11-19第十週作業

系統的INPUT和OUTPUT默認策略爲DROP，請完成以下關於iptables的題目；

1、限制本地主機的web服務器在週一不允許訪問；新請求的速率不能超過100個每秒；web服務器包含了admin字符串的頁面不允許訪問；web服務器僅允許響應報文離開本機；

iptables -A  INPUT -p tcp --dport 80 -m time ! --weekdays  Mon  -m state --state NEW -m limit --limit 100/s -j ACCEPT
iptables -A INPUT -p tcp -d 192.168.1.124 --dport 80 -m string --algo bm --string ‘admin‘  -j DROP
iptables -A  OUTPUT  -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

2、在工作時間，即週一到週五的8:30-18:00，開放本機的ftp服務給172.16.0.0網絡中的主機訪問；數據下載請求的次數每分鐘不得超過5個；

iptables -A INPUT  -p tcp --dport 21 -s 172.16.0.0/16 -m time --weekdays 1,2,3,4,5 -m time --timestart 8:30 --timestop 18:00 -m limit --limit 5/minute -j ACCEPT
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT

3、開放本機的ssh服務給172.16.x.1-172.16.x.100中的主機，x爲你的座位號，新請求建立的速率一分鐘不得超過2個；僅允許響應報文通過其服務端口離開本機；

iptables -A INPUT -d 172.16.1.10 -p tcp --dport 22 -m iprange --src-range 172.16.1.1.-172.16.1.100 -j ACCEPT 
iptables -A OUTPUT -s 172.16.1.10 -p tcp --sport 22 -m state --state ESTABLISED -j ACCEPT

4、拒絕TCP標誌位全部爲1及全部爲0的報文訪問本機；

iptables -A INPUT -d 192.168.1.124 -p tcp --tcp-flags ALL ALL -j DROP 
iptables -A INPUT -d 192.168.1.124 -p tcp --tcp-flags ALL NONE -j DROP

5、允許本機ping別的主機；但不開放別的主機ping本機；

iptables -A OUTPUT -s 192.168.1.124 -p icmp --icmp-type 8 -j ACCEPT             
iptables -A INPUT -d 192.168.1.124 -p icmp --icmp-type 0 -j ACCEPT

6、判斷下述規則的意義：

# iptables -N clean_in

創建自定義鏈，取名clean_in

# iptables -A clean_in -d 255.255.255.255 -p icmp -j DROP

丟棄廣播域的包

# iptables -A clean_in -d 172.16.255.255 -p icmp -j DROP
禁止目標爲172.16網段的icmp報文

# iptables -A clean_in -p tcp ! --syn -m state --state NEW -j DROP

丟棄非tcp請求的報文

# iptables -A clean_in -p tcp --tcp-flags ALL ALL -j DROP

丟棄tcp標誌位全爲1的報文

# iptables -A clean_in -p tcp --tcp-flags ALL NONE -j DROP
丟棄tcp標誌位全爲0的報文

# iptables -A clean_in -d 172.16.100.7 -j RETURN
目標地址爲172.16.100.7的報文返回調用鏈

# iptables -A INPUT -d 172.16.100.7 -j clean_in
對於目標地址是172.16.100.7的報文就調用clean_in鏈過濾

# iptables -A INPUT -i lo -j ACCEPT
允許迴環接口進

# iptables -A OUTPUT -o lo -j ACCEPT
允許回還接口出

# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 53,113,135,137,139,445 -j DROP
丟棄從eth0接口進來的tcp協議的53，113，135，137，139，445端口報文

# iptables -A INPUT -i eth0 -m multiport -p udp --dports 53,113,135,137,139,445 -j DROP

丟棄從eth0接口出去的udp協議的53,113,135,137,139,445端口報文

# iptables -A INPUT -i eth0 -p udp --dport 1026 -j DROP

丟棄從eth0進來的udp協議的1026端口報文

# iptables -A INPUT -i eth0 -m multiport -p tcp --dports 1433,4899 -j DROP
丟棄從eth0接口進來的tcp協議的1433,4899端口報文

# iptables -A INPUT -p icmp -m limit --limit 10/second -j ACCEPT

允許icmp協議頻率爲每秒10個報文訪問

7、通過tcp_wrapper控制vsftpd僅允許172.16.0.0/255.255.0.0網絡中的主機訪問，但172.16.100.3除外；對所被被拒絕的訪問嘗試都記錄在/var/log/tcp_wrapper.log日誌文件中；

[root@localhost ~]# vim /etc/hosts.allow
vsftpd:172.16.0.0/255.255.0.0 EXCEPT 172.16.100.3
vim /etc/hosts.deny
vsftpd:ALL :spawn /bin/echo `date` login attempt from %c to %s, %d >> /var/log/tcp_wrapper.log

8、刪除/boot/grub/grub.conf文件中所有行的行首的空白字符；

[root@localhost ~]# sed ‘s@^[[:space:]]@@g‘ /boot/grub/grub.conf

9、刪除/etc/fstab文件中所有以#開頭，後跟至少一個空白字符的行的行首的#和空白字符；

 [root@localhost~]# sed ‘s@^#[[:space:]]@@‘ /etc/fstab

10、把/etc/fstab文件的奇數行另存爲/tmp/fstab.3；

[root@localhost~]# sed ‘n;d‘ /etc/fstab

11、echo一個文件路徑給sed命令，取出其基名；進一步地，取出其路徑名；

取路徑名：
[root@localhost ~]# echo /etc/sysconfig/network-scripts/ | sed ‘s@[^/]\+\/\?$@@‘
取基名： 
[root@localhost ~]# echo /etc/sysconfig/network-scripts | sed ‘s@/.*/@@‘

12、統計當前系統上所有tcp連接的各種狀態的個數；

[root@localhost ~]# ss -tan |sed ‘1d‘| awk ‘{print $1}‘| uniq -c

13、統計指定的web訪問日誌中各ip的資源訪問次數：

[root@localhost ~]# awk ‘{print $1}‘ www1.access | sort |uniq -c

14、授權centos用戶可以運行fdisk命令完成磁盤管理，以及使用mkfs或mke2fs實現文件系統管理；

[root@localhost ~]# vim sudoers
Centos  ALL=(root)   /sbin/mkfs, /sbin/mke2fs, /sbin/fdisk

15、授權gentoo用戶可以運行邏輯卷管理的相關命令；

[root@localhost ~]# vim sudoers
Gentoo ALL=(root) lvm

16、基於pam_time.so模塊，限制用戶通過sshd服務遠程登錄只能在工作時間進行；

[root@localhost ~]# vim /etc/pam.d/sshd
在account required pam_nologin.so上插入一行：
account required pam_time.so
[root@localhost ~]# vim /etc/security/time.conf
*;*;*;MoTuWeThFr0900-1800
上面表示工作時間的9點到下午6點

17、基於pam_listfile.so模塊，定義僅某些用戶，或某些組內的用戶可登錄系統；

[root@localhost ~]# vim /etc/users
[root@localhost ~]# cat /etc/users
root 
centos
gentoo
然後修改文件的權限和屬主
[root@localhost ~]# chmod 600 /etc/users
[root@localhost ~]# chown root /etc/users
再編輯/etc/pam.d/sshd文件，加入以下一行內容：
auth required pam_listfile.so item=user sense=allow file=/etc/users onerr=succeed