Bài thực hành dịch vụ mạng linux

TRUNG TÂM TIN H C - I H C KHOA H C T NHIÊN TP.HCM 227 Nguy n V n C - Qu n – TP H Chí Minh Tel: 8351056 – Fax 8324466 – Email: ttth@hcmuns.edu.vn BÀI T P Ngành M NG & PH N C NG H c ph n IV MÔN H C D CH V M NG LINUX Mã tài li u: DT_NCM_MG_BT_DVLNX Phiên b n 1.0 – Tháng 09/2005 Bài t p M CL C M C L C Bài 01 Qu n Lý Ti n Trình Bài t p 1.1 Bài 02 D ch V DNS – BIND Bài 2.1 Bài T p 2.2 .6 Bài 03 D ch V FTP – VSFTP Bài 3.1 Bài 04 D ch V Web – APACHE Bài 4.1 Bài 05 D ch V Mail– Sendmail 10 Bài 5.1 10 Bài 06 D ch V Proxy– SQUID 11 Bài 6.1 11 Bài 07 Linux Security 12 Bài 7.1 12 Bài 08 Webmin 13 Bài 8.1 13 H NG D N GI I BÀI T P 14 Bài 01 Qu n Lý Ti n Trình 15 Bài t p 1.1 15 Bài 02 D ch V DNS – BIND 16 Bài 2.1 16 Bài T p 2.2 20 Bài 03 D ch V FTP – VSFTP 21 Bài 3.1 21 Bài 04 D ch V Web – APACHE 22 Bài 4.1 22 Bài 05 D ch V Mail– Sendmail 24 Bài 5.1 24 Bài 06 D ch V Proxy– SQUID 26 Bài 6.1 26 Bài 07 Linux Security 27 H c ph n IV - Môn H c: D ch V M ng Linux Trang 1/34 Bài t p Bài 7.1 27 Bài 08 Webmin 35 Bài 8.1 35 H c ph n IV - Môn H c: D ch V M ng Linux Trang 2/34 Bài t p Ch ng Qu n Lý Ti n Trình Bài t p 1) Trong home directory t o th m c tientrinh 2) Tìm t t c nh ng ti n trình h th ng t o k t qu tìm đ c đ a vào t p tin ketqua th m c tientrinh 3) Cho l nh “find / -name abc –print” t m d ng ch y ch đ h u c nh Cho bi t tr ng thái c a ti n trình Cho l nh ch y ti n c nh 4) Ki m tra xem h th ng có ti n trình sshd hay không N u có xu t k t qu tìm đ c vào t p tin sshd th m c tientrinh 5) Cho bi t ti n trình sendmail t o có PID, PPID bao nhiêu? Hãy h y ti n trình sau ki m tra xem ti n trình có ho t đ ng h th ng hay không ? 6) Dùng l nh man tìm hi u nh ng l nh vmstat, mpstat, stat, iostat, pgrep,… 7) S d ng nh ng l nh đ tìm hi u nh ng thông tin c a h th ng 8) L p l ch cho phút sau (tính t th i gian hi n hành) tìm h th ng t p tin có tên b t đ u b ng ab k t qu xu t vào t p tin /root/tientrinh/timkiem 9) Hãy l p l ch cho công vi c câu s hi n vào 17h th hàng tu n 10) T o ng i dùng hv1, sau đ ng nh p vào l p l ch b ng nh ng l nh at, batch, crontab 11) C m không cho ng i dùng hv1 s d ng l nh l p l ch Ki m tra xem H c ph n IV - Môn H c: D ch V M ng Linux Trang 3/34 Bài t p Ch ng D ch V DNS – BIND Bài t p Cài đ t Linux v i yêu c u sau: o Computer name: serverXX o IP addres: 192.168.10.100+XX (XX s th t c a máy tính) tv nđ Máy Máy Máy Máy Máy …… M t m ng LAN có s đ nh hình v có đ ng m ng 192.168.10.0/255.255.255.0 Các máy tính m ng có tên đ a ch IP nh sau : • Máy có tên serverXX đ a ch IP 192.168.10.100+XX • Máy có tên server2 đ a ch IP 192.168.10.201 • Máy có tên com1 đ a ch IP 192.168.10.202 • Máy có tên com2 đ a ch IP 192.168.10.203 Gi s máy tính mà ta ng i máy tính ServerXX d đ nh dùng làm DNS Server Còn máy Server làm Web Server, FTP Server, Mail Server Ta đ ng ký m t domain name “netXX.com” Yêu c u : C u hình ServerXX m t Primary Name Server cho domain name c a v i nh ng d li u cho C u hình dns server c a b n m t secondary name server cho domain c a nh ng ng i khác có tên netXX.com Gi s b n có m t chi nhánh có domain csc.netxx.com C u hình máy dns server c a b n primary name server cho domain H c ph n IV - Môn H c: D ch V M ng Linux Trang 4/34 Bài t p Bài T p Cho s đ k t n i m ng nh sau: Máy2 Máy1 m ng Máy3 Máy4 …… Máy5 netXX.com b1.netXX.co Máy Máy b2.netXX.co Máy Máy2 Máy Máy Máy4 Máy3 …… …… Máy Máy5 Subnet1 Subnet2 M t m ng LAN có s đ nh hình v có đ ng m ng 172.29.0.0/255.255.255.0 (XX s th t máy) M ng n m đ ng backbone có đ ng m ng 172.29.50+XX.0/255.255.255.0 Subnet1 có đ ng m ng 172.29.100.0/255.255.255.0 subnet2 có đ ng m ng 172.29.101.0/255.255.255.0 Các máy tính m ng có tên đ a ch IP nh sau : • Máy có tên server1 đ a ch IP 172.29.50+XX.1 • Máy có tên server2 đ a ch IP 172.29.50+XX.20 • Máy có tên com1 đ a ch IP 172.29.50+XX.21 • Máy có tên com2 đ a ch IP 172.29.50+XX.22 Các máy tính subnet1 có tên đ a ch IP nh sau : • Máy có tên server1 đ a ch IP 172.29.50+XX.2 172.29.100.1 • Máy có tên server2 đ a ch IP 172.29.100.2 • Máy có tên com1 đ a ch IP 172.29.100.3 • Máy có tên com2 đ a ch IP 172.29.100.4 Các máy tính subnet2 có tên đ a ch IP nh sau : • Máy có tên server1 đ a ch IP H c ph n IV - Môn H c: D ch V M ng Linux 172.29.50+XX.3 172.29.101.1 Trang 5/34 Bài t p • • • Máy có tên server2 Máy có tên com1 Máy có tên com2 đ a ch IP đ a ch IP đ a ch IP 172.29.101.2 172.29.101.3 172.29.101.4 Ta đ ng ký m t domain name “netXX.com” Sau đó, ta cung c p cho m i subnet m t subdomain b1.netXX.com b2.netXX.com Yêu c u : ng i l p thành m t nhóm đ hoàn thành t p Ng i th nh t qu n tr m ng ng i máy Server1 s c u hình DNS Server cho domain netXX.com Ng i th qu n tr subnet1 ng i máy Server1 s c u hình DNS Server cho subdomain b1.netXX.com Ng i th qu n tr subnet2 ng i máy Server1 s c u hình DNS Server cho subdomain b2.netXX.com Ng i th nh t: C u hình Server1 m t Primary Name Server cho domain name netXX.com c a v i nh ng d li u cho C u hình Server1 y quy n cho hai domain b1.netXX.com, b2.netXX.com cho mi n Ki m tra s phân gi i c a domain v a c u hình s liên thông v i nh ng domain khác Ng i th hai: C u hình Server1 m t Primary Name Server cho subdomain b1.netXX.com c a v i nh ng d li u cho forwarders PNS qu n lý CSDL cho mi n “netXX.com” Ki m tra s phân gi i c a domain v a c u hình s liên thông v i nh ng domain khác Ng i th ba: C u hình Server1 m t Primary Name Server cho subdomain b2.netXX.com c a v i nh ng d li u cho forwarders PNS qu n lý CSDL cho mi n “netXX.com” Ki m tra s phân gi i c a domain v a c u hình s liên thông v i nh ng domain khác H c ph n IV - Môn H c: D ch V M ng Linux Trang 6/34 Bài t p Ch ng D ch V FTP – VSFTP Bài t p Cài đ t Linux v i yêu c u sau: o Computer name: serverX o IP addres: 192.168.100.X (XX s th t c a máy tính) tv nđ gi s b n s d ng máy serverXX d đ ng ký m t tên mi n “netXX.com” đ nh dùng làm DNS server ftp server Ta Yêu c u: 1) C u hình Primary Name Server cho domain v i nh ng d li u cho 2) C u hình ftp server cho m i ng i có th truy c p đ n ftp server v i đ ng d n ftp://ftp.netXX.com tho mãn nh ng yêu c u sau: a) M i ng i có th truy c p đ n ftp server theo user anonymous nh ng user c c b có th dùng username c a đ truy c p ftp server b) Th m c g c c a user anonymous ftp server th m c /home/ftp/netxx c) User anonymous có th upload d li u lên th m c upload đ c phép t o th m c d) C m t t c nh ng user c c b truy c p đ n ftp server ngo i tr hai user admin1 admin2 e) User admin1 admin2 có th upload d li u lên home directory c a 3) C m ng i dùng m ng 192.168.10.0/24 truy xu t vào ftpserver 4) T o Virtual FTP server có tên vftp.netxx.com v i ftproot /usr/vftp 5) Dùng m t s ch ng trình FTP Client đ ki m tra nh : Windows commander, IE, … H c ph n IV - Môn H c: D ch V M ng Linux Trang 7/34 Bài t p Ch ng D ch V Web – APACHE Bài t p Cài đ t Linux v i yêu c u sau: o Computer name: serverXX o IP addres: 192.168.10.100+X X (X s th t c a máy tính) tv nđ Gi s máy tính mà ta ng i máy tính ServerXX d FTP server, Web server đ nh dùng làm DNS Server Ta đ ng ký m t domain name “netXX.com” Yêu c u : 1) C u hình Primary Name Server cho domain v i nh ng d li u cho 2) Th m c /home/webdata/netXX th m c l u nh ng trang web c a webserver C u hình web server cho m i ng i có th truy c p đ n web server v i đ ng d n http://www.netXX.com 3) Cho th m c /home/webdata/security ch a nh ng trang web C u hình web server cho ch có user admin1, admin2 đ c quy n truy c p đ n nh ng trang web v i đ ng d n http://www.netXX.com/security 4) C u hình web server cho user có th đ a nh ng trang web cá nhân c a lên WebServer truy c p theo đ ng d n http://www.netXX.com/~username 5) C u hình cho ng i dùng có th li t kê n i dung th m c mà đ c c u hình UserDir 6) Ng i đ a ch IP trên, b n c u hình cho đ a ch 192.168.10.100+XX s ph c v cho server chính, www.netXX.com a ch 192.168.10.100+XX ph c v virtual host cho hai mi n khác www.psv.netXX.com www.tma.netXX.com 7) T o m t s Virtual Directory /soft ánh x vào th m c /usr/share cho Virtual Web có đ a ch www.psv.netXX.com H c ph n IV - Môn H c: D ch V M ng Linux Trang 8/34 Bài t p Ch ng D ch V Mail– Sendmail Bài t p Cài đ t máy Linux Server theo yêu c u sau : − − a ch IP : 192.168.10.200+XX/255.255.255.0 (x s th t c a máy) Tn my tính : server V n đ đ t ra: Trong công ty c a Anh ch có m t m ng LAN có nhu c u trao đ i thông tin v i Do đó, công ty mu n c u hình m t Mail Server đ nhân viên công ty có m t account mail trao đ i thông tin v i thông qua email Ta gi l p m t domain name c c b “netXX.com” Và máy tính ta ng i máydùng đ c u hình DNS Server Mail Server Yêu c u: C u hình DNS cho mi n netXX.com v i d li u − netXX.com IN MX mail.netXX.com − mail IN A 192.168.10.200+XX − server IN A 192.168.10.200+XX − www, ftp, proxy IN CNAME server.netXX.com Mail server qu n lý domain mail netXX.com Mail relay cho mail server mail server c a ISP T o cc group mail sau: − Admins (Nguy n V n Bình, ng Công Ph ng) − Phongmay(Nguy n V n Hùng, Nguy n V n D ng ) − Vanphong(Nguy n Th C m Thuý, Nguy n Th Thu Dung) − Nhanvien(Admins, Phongmay,Vanphong) − Giamdoc(Nguy n ình Chinh, La Thanh C n) Ngoài g i mail nhóm có alias sau: − Admins Quantrimang − Phongmay Phong-may − Vanphong Van-phong − Nhanvien Nhan-vien − everyone Nhan-vien, Van-phong, Phong-may, Quantrimang a Trong qu n lý d ch v mail ta th y r ng email: netuser@yahoo.com g i vào server mail có ch a nhi u virus B n ng n đ a ch mail b Cài đ t t ch c Webmail s d ng ph n m m OpenWebmail c Ta t ch c h th ng cho phép mail có th g i nh n mail gi a mi n “psv.netXX.com”, “hitech.netXX.com” “netXX.com” d C u hình cho mail t g i vào mi n “psv.netXX.com” “hitech.netXX.com” ph i chuy n v máy ch mail.netXX.com sau m i chuy n mail v cho mail server n i b mi n x lý e T ch c h th ng mail offline cho mi n có tên “dongtam.netXX.com” v i Account (user: dongtam, password: dongtam123) l u tr th có dung l ng 100MB H c ph n IV - Môn H c: D ch V M ng Linux Trang 9/34 Bài t p Ch ng D ch V FTP – VSFTP Bài t p 1) Tham kh o t p ph n c u hình d ch v DNS 2) th c hi n câu ta c n làm b c sau: B1: Khai báo m t tên dns ftp.netXX.com B2: cài đ t vsftpd vào h th ng B3: m file c u hình /etc/vsftpd/vsftpd.conf gi i quy t câu sau: a) Mô t anonymous_enable=YES Local_enable=YES b) thay đ i th m c g c c a user anonymous ta dùng Anon_root=/home/ftp/netxx c) anon đ c quy n upload ta c n mô t anon_mkdir_write_enable=YES anon_upload_enable=YES write_enable=YES d) c m user c c b truy xu t vào ftp server ta th c hi n nh sau: Mô t hai user admin1 & admin2 vào file /etc/vsftpd.user_list userlist_deny = NO userlist_enable = YES userlist_file = /etc/vsftpd.user_list 3) Mu n c m host/network truy xu t vào vsftpd ta ph i k t h p v i tcpwrapper b ng cách ta mô t file /etc/host.deny thông tin sau: Vsftpd: Address_c a _host/network 4) t o virtual ftp server ta th c hi n b c sau: T o thêm Virtual IP address ( ví d đ a ch 1.2.3.4) T o t p tin /etc/vsftpd/.conf ho c copy /etc/vsftpd/vsftpd.conf vào file m i s a đ i thông tin sau: t t p - listen=YES - listen_address=1.2.3.4 - connect_from_port_20=YES - anonymous_enable=YES - anon_root=/srv/ftp/knusper - ftpd_banner=Welcome to FTP at knusper.wiremonkeys.org Behave! tin Ch nh s file /etc/vsftpd/vsftpd.conf thêm ch d n listen_address= Sau restart l i d ch v vsftpd b ng l nh /etc/init.d/vsftpd restart H c ph n IV - Môn H c: D ch V M ng Linux Trang 20/34 Bài t p Ch ng D ch V Web – APACHE Bài t p Tham kh o t p c u hình DNS T o m t tên dns www.netXX.com sau ta cài đ t http-server vào h th ng th c hi n b c c u hình sau file /etc/httpd/config/httpd.conf: ServerName www.netXX.com DocumentRoot /home/webdata/netxx Sau ta c n t o m t t p tin index.htm đ làm trang ch cho website www.netXX.com th m c webroot đ th nghi m Dùng l nh /etc/init.d/httpd restart Ti n hành ki m tra ho t đ ng c a webserver b ng trình ti n ích lynx ho c dùng trình t webbrowser khác c a Xwindows th m c /home/webdata/security ch có user admin1 admin2 đ c quy n truy xu t ta th c hi n c ch ch ng th c th m c /home/webdata/security b ng cách mô t nh sau: B c 1: t o user t p tin password Ti n ích htpasswd – di apache h tr - giúp t o user password t m t cách d dàng Cách s d ng nh sau: ng ng #htpasswd –c Ví d : #htpasswd –c /etc/httpd/conf/htpasswd admin1 New password: Re-type new password: htpasswd s yêu c u nh p password nh p l i m t l n n a Tùy ch n –c s t o m t t p tin password m i N u t p tin t n t i s xóa n i dung c ghi vào n i dung m i Mu n ghi ti p vào t p tin password c b n không dùng tùy ch n –c B c 2: c u hình apache Sau t o user password t th c apache ng ng cho user, b n c n c u hình s ch ng Ví d v s ch ng th c: AuthType Basic AuthName public AuthUserFile /etc/httpd/conf/htpasswd Require users admin1 admin2 Ta dùng Userdir đ c u hình A/C tham kh o mô t sau hi u ch nh cho phù h p v i đ H c ph n IV - Môn H c: D ch V M ng Linux Trang 21/34 Bài t p Trong home directory c a user t o th m c www Ví d dùng l nh sau đ t o th m c www cho user hv1 − #mkdir /home/hv1/www − i ng i s h u nhóm s h u sang cho user hv1:hv1 v i l nh sau: − #chown hv1:hv1 /home/hv1/www − C p quy n cho th m c /home/hv1 v i l nh sau: − #chmod 711 /home/hv1 − Sau c u hình apache Ví d : − UserDir www Order deny,allow Allow from all Ta ch c n mô t tùy ch n Options Indexes Multilinks… Trong directive Dùng VirtualHost đ c u hình cho yêu c u đ A/C c n tham kh o b c sau: B1: Mô t hai tên dns www.psv.netXX.com www.tma.netXX.com DNS server b ng hai record CNAME ánh x v đ a ch www.netXX.com c a webserver B2: khai báo NameVirtualHost 192.168.10.100+XX DocumentRoot /home/webdata/netxx ServerName www.netXX.com … DocumentRoot /home/webhosting/psv ServerName www.psv.netXX.com … DocumentRoot /home/webhosting/tma ServerName www.tma.netXX.com … H c ph n IV - Môn H c: D ch V M ng Linux Trang 22/34 Bài t p Ch ng D ch V Mail– Sendmail Bài t p B c 1: C u hình Primary Name Server cho domain name “netXX.com” đ cho (t t nh nh ng t p tr c) Trong c n l u ý t o record MX ng Ví d : netXX.com IN B MX server.netXX.com c 2: M t p tin /etc/sendmail.cf ch nh s a nh ng th ng tin sau: tham s c n hi u ch nh Gi i thích Cwlocalhost netXX.com c u hình cho sendmail nh n mail cho mi n localhost netXX.com O MaxRecipientsPerMessage=50 gi i h n s ng O MaxMessageSize=3000000 gi i h n kích th c t i đa c a m t th , tính theo đ n v bytes O DaemonPortOptions=Name=MTA Thay th đ a ch 127.0.0.1 thành đ a ch IP c a máy Mail Server (Ví d 192.168.10.200+XX) B B i nh n m t th c 3: M t p tin /etc/mail/access ch nh s a t p tin có n i dung sau : 192.168.10.0 RELAY (đ a ch đ netXX.com RELAY (tn domain) ng m ng) c 4: Sau t o xong l u t p tin l I th c hi n l nh sau: #cd /etc/mail #makemap hash access < access #/etc/init.d/sendmail restart B c 5: T o hai user Ví d t o user1 (password 123), user2 (password 123) B c 6: Login vào mail server dùng user1 th c hi n g i mail cho user2 b ng l nh sau: #mail -v user2@abc.com Subject: H c ph n IV - Môn H c: D ch V M ng Linux Trang 23/34 Bài t p CC: /proc/sys/net/ipv4/tcp_syncookies echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time echo > /proc/sys/net/ipv4/tcp_window_scaling echo > /proc/sys/net/ipv4/tcp_sack echo > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo > /proc/sys/net/ipv4/conf/eth0/accept_source_route tcp_syncookies=1 b t ch c n ng ch ng DoS SYN qua syncookie c a Linux tcp_fin_timeout=10 đ t th i gian timeout cho trình đóng k t n i TCP 10 giây tcp_keepalive_time=1800 đ t th i gian gi k t n i TCP 1800 giây Các tham s khác b n có th xem chi ti t tài li u kèm c a nhân Linux N p môđun c n thi t cho Iptables s d ng Iptables, b n c n ph i n p tr c môđun c n thi t Ví d n u b n mu n dùng ch c n ng LOG Iptables, b n ph i n p môđun ipt_LOG vào tr c b ng l nh # modprobe ipt_LOG MODULES="ip_tables iptable_filter ipt_LOG ipt_limit ipt_REJECT ipt_state for i in $MODULES; /sbin/modprobe $MODULES done Nguyên t c đ t lu t "drop tr c, accept sau" ây nguyên t c mà b n nên tuân theo u tiên đóng h t c ng, sau m d n cách c ng c n thi t Cách tránh cho b n g p sai sót đ t lu t cho Iptables iptables -P INPUT DROP th packet tr c iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT gi k t n i hi n t i ch p nh n k t n i có liên quan iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT ch p nh n gói vào looback t IP 127.0.0.1 iptables -A INPUT -i lo -s 1.2.3.4 -j ACCEPT 1.2.3.4 BANNED_IP="10.0.0.0/8 192.168.0.0/16 172.16.0.0/12 224.0.0.0/4 240.0.0.0/5" H c ph n IV - Môn H c: D ch V M ng Linux Trang 27/34 Bài t p for i in $BANNED_IP; iptables -A INPUT -i eth0 -s $i -j DROP th gói d li u đ n t IP n m danh sách c m BANNER_IP done b L c ICMP vào ch n ng p l t PING LOG c a Iptables s đ cho SYSLOG nh sau: c ghi vào file /var/log/firewall.log B n ph i s a l i c u hình # vi /etc/syslog.conf kern.=debug /var/log/firewall.log # /etc/rc.d/init.d/syslogd restart i v i gói ICMP đ n, s đ y qua chain CHECK_PINGFLOOD đ ki m tra xem hi n t i đamg b ng p l t PING hay không, sau m i cho phép gói vào N u b ng p l t PING, môđun LOG s ti n hành ghi nh t kí m c gi i h n limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST, gói PING ng p l t s b th h t LOG_LEVEL="debug" LOG_LIMIT=3/m LOG_LIMIT_BURST=1 PING_LIMIT=500/s PING_LIMIT_BURST=100 iptables -A CHECK_PINGFLOOD -m limit limit $PING_LIMIT limit-burst $PING_LIMIT_BURST -j RETURN iptables -A CHECK_PINGFLOOD -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=PINGFLOOD:warning a=DROP " iptables -A CHECK_PINGFLOOD -j DROP iptables -A INPUT -i eth0 -p icmp icmp-type echo-request -j CHECK_PINGFLOOD iptables -A INPUT -i eth0 -p icmp icmp-type echo-request -j ACCEPT c reject quét c ng TCP UDP b n t o s n chain reject quét c ng, s đ y vào chain INPUT sau i v i gói TCP, reject b ng gói TCP v i c SYN=1 đ i v i gói UDP, s reject b ng gói ICMP `port-unreachable` H c ph n IV - Môn H c: D ch V M ng Linux Trang 28/34 Bài t p iptables-N REJECT_PORTSCAN iptables-A REJECT_PORTSCAN -p tcp -m limit limit $LOG_LIMIT limitburst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=PORTSCAN:tcp a=REJECT " iptables-A REJECT_PORTSCAN -p udp -m limit limit $LOG_LIMIT limitburst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=PORTSCAN:udp a=REJECT " iptables-A REJECT_PORTSCAN -p tcp -j REJECT reject-with tcp-reset iptables-A REJECT_PORTSCAN -p udp -j REJECT reject-with icmp-portunreachable d phát hi n quét c ng b ng Nmap iptables-N DETECT_NMAP iptables-A DETECT_NMAP -p tcp tcp-flags ALL FIN,URG,PSH -m limit -limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:XMAS a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags ALL SYN,RST,ACK,FIN,URG m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG loglevel $LOG_LEVEL log-prefix "fp=NMAP:XMAS-PSH a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags ALL ALL -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:XMAS-ALL a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags ALL FIN -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:FIN a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags SYN,RST SYN,RST -m limit -limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:SYN-RST a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags SYN,FIN SYN,FIN -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:SYN-FIN a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags ALL NONE -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:NULL a=DROP " iptables-A DETECT_NMAP -j DROP iptables-A INPUT -i eth0 -p tcp ! syn -m state state NEW -j DETECT_NMAP i v i gói TCP đ n eth0 m k t n i nh ng không đ t SYN=1 s chuy n sang chain DETECT_NMAP ây nh ng gói không h p l h u nh quét c ng b ng nmap ho c kênh ng m Chain DETECT_NMAP s phát hi n h u h t ki u quét c a Nmap ti n hành ghi nh t kí m c limit $LOG_LIMIT H c ph n IV - Môn H c: D ch V M ng Linux Trang 29/34 Bài t p limit-burst $LOG_LIMIT_BURST Ví d đ ki m tra quét XMAS, b n dùng tùy ch n -tcp-flags ALL FIN,URG,PSH ngh a c FIN, URG PSH đ c b t, c khác đ u b t t Các gói qua chain DETECT_NMAP sau s b DROP h t e ch n ng p l t SYN Gói m TCP v i c SYN đ c set h p l nh ng không ngo i tr kh n ng gói SYN dùng đ ng p l t Vì v y, dây b n đ y gói SYN l i qua chain CHECK_SYNFLOOD đ ki m tra ng p l t SYN nh sau: iptables-N CHECK_SYNFLOOD iptables-A CHECK_SYNFLOOD -m limit limit $SYN_LIMIT limit-burst $SYN_LIMIT_BURST -j RETURN iptables-A CHECK_SYNFLOOD -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=SYNFLOOD:warning a=DROP " iptables-A CHECK_SYNFLOOD -j DROP iptables-A INPUT -i eth0 -p tcp syn -j CHECK_SYNFLOOD f gi i h n truy c p SSH cho admin SSH_IP="1.1.1.1" iptables -N SSH_ACCEPT iptables -A SSH_ACCEPT -m state state NEW -j LOG log-level $LOG_LEVEL log-prefix "fp=SSH:admin a=ACCEPT " iptables -A SSH_ACCEPT -j ACCEPT iptables -N SSH_DENIED iptables -A SSH_DENIED -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=SSH:attempt a=REJECT " iptables -A SSH_DENIED -p tcp -j REJECT reject-with tcp-reset for i in $SSH_IP; iptables -A INPUT -i eth0 -p tcp -s $i dport 22 -j SSH_ACCEPT done iptables -A INPUT -i eth0 -p tcp dport 22 -m state state NEW -j SSH_DENIED g gi i h n FTP cho web-master FTP_IP="2.2.2.2" iptables -N FTP_ACCEPT H c ph n IV - Môn H c: D ch V M ng Linux Trang 30/34 Bài t p iptables -A FTP_ACCEPT -m state state NEW -j LOG log-level $LOG_LEVEL log-prefix "fp=FTP:webmaster a=ACCEPT " iptables -A FTP_ACCEPT -j ACCEPT iptables -N FTP_DENIED iptables -A FTP_DENIED -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=FTP:attempt a=REJECT " iptables -A FTP_DENIED -p tcp -j REJECT reject-with tcp-reset for i in $FTP_IP; iptables -A INPUT -i eth0 -p tcp -s $i dport 21 -j FTP_ACCEPT done iptables -A INPUT -i eth0 -p tcp dport 21 -m state state NEW -j FTP_DENIED h l c TCP vào iptables -N TCP_INCOMING iptables -A TCP_INCOMING -p tcp dport 80 -j ACCEPT iptables -A TCP_INCOMING -p tcp -j REJECT_PORTSCAN iptables -A INPUT -i eth0 -p tcp -j TCP_INCOMING i l c UDP vào ch n ng p l t UDP iptables -N CHECK_UDPFLOOD iptables -A CHECK_UDPFLOOD -m limit limit $UDP_LIMIT limit-burst $UDP_LIMIT_BURST -j RETURN iptables -A CHECK_UDPFLOOD -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=UDPFLOOD:warning a=DROP " iptables -A CHECK_UDPFLOOD -j DROP iptables -A INPUT -i eth0 -p udp -j CHECK_UDPFLOOD iptables -N UDP_INCOMING iptables -A UDP_INCOMING -p udp dport 53 -j ACCEPT iptables -A UDP_INCOMING -p udp -j REJECT_PORTSCAN iptables -A INPUT -i eth0 -p udp -j UDP_INCOMING j Redirect port Iptables h tr tùy ch n -j REDIRECT cho phép b n đ i h dàng Ví d nh SQUID listen c ng 3128/tcp c ng 3128 b n làm nh sau: H c ph n IV - Môn H c: D ch V M ng Linux ng c ng m t cách d redirect c ng 80 đ n Trang 31/34 Bài t p # iptables -t nat -A PREROUTING -p tcp dport 80 -j REDIRECT to-port 3128 L u ý: tùy ch n -j REDIRECT cho có chain PREROUTING k DNAT: Gi s b n đ t máy ch Proxy, Mail DNS m ng DMZ su t t Internet vào máy ch b n nh sau: t ok tn i # echo > /proc/sys/net/ipv4/ip_forward # iptables -t nat -A PREROUTING -i eth0 -p tcp dport 80 -j DNAT todestination 192.168.1.2 # iptables -t nat -A PREROUTING -i eth0 -p tcp dport 25 -j DNAT todestination 192.168.1.3 # iptables -t nat -A PREROUTING -i eth0 -p udp dport 53 -j DNAT todestination 192.168.1.4 m Masquerading (Many to One NAT) Là k thu t NAT Many to One đ cho phép nhi u máy c c b có th s th c(đ c cung c p t ISP) đ truy xu t internet # N p module c n thi t cho NAT # mô t modprobe iptable_nat vào file /etc/rc.local d ng m t đ a ch IP modprobe iptable_nat # b t ch c n ng đ nh n b ng cách thay đ i thông tin ip_forward /proc filesystem file ho c s d ng l nh sau echo > /proc/sys/net/ipv4/ip_forward # cho phép s d ng NAT gi m o # - Interface eth0 interface liên k t lên m ng internet H c ph n IV - Môn H c: D ch V M ng Linux Trang 32/34 Bài t p # - Interface eth1 liên k t vào m ng n i b iptables -A POSTROUTING -t nat -o eth0 -s 192.168.1.0/24 -d 0/0 -j MASQUERADE # cho phép outbound traffic thu c lo i: New, established and related connections # cho phép inbound traffic thu c lo i: Established and related connections iptables -A FORWARD -t filter -o eth0 -m state state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -t filter -i eth0 -m state state ESTABLISHED,RELATED -j ACCEPT n Dùng iptables đ th c thi NAT t nh (one to one) S d ng one to one NAT đ cho phép server có đ a ch 192.168.1.100 m ng n i b truy xu t internet thông qua đ a ch th t 97.158.253.26 T o many to one NAT đ cho m ng 192.168.1.0 có th truy xu t đ n t t các server internet thông qua đ a ch 97.158.253.29 modprobe iptable_nat echo > /proc/sys/net/ipv4/ip_forward ý: thông tin mô t # đích (to): FROM(ngu n): 97.158.253.26 Anywhere Anywhere MAP TO SERVER: 192.168.1.100 (1:1 NAT Inbound) 192.168.1.100 97.158.253.26 (1:1 NAT - Outbound) # PREROUTING statements for 1:1 NAT # (Connections originating from the Internet) iptables –t nat -A PREROUTING -j DNAT to-destination 192.168.1.100 -d 97.158.253.26 -i eth0 # POSTROUTING statements for 1:1 NAT # (Connections originating from the home network servers) iptables -t nat -A POSTROUTING -s 192.168.1.100 -o eth0 97.158.253.26 H c ph n IV - Môn H c: D ch V M ng Linux -j SNAT to-source Trang 33/34 Bài t p Ch ng Webmin Bài t p H C VIÊN T NGHIÊN C U VÀ THAM KH O GIÁO TRÌNH H c ph n IV - Môn H c: D ch V M ng Linux Trang 34/34 [...]... H c: D ch V M ng Linux Trang 11/34 Bài t p Ch ng 8 Webmin Bài t p 1 Cài đ t máy Linux theo nh ng yêu c u sau: Computer Name: serverXX IP address: 192.168.10.100+XX/255.255.255.0 Default gateway: 192.168.10.1 Tình hu ng + Yêu c u Gi s trong m ng c a Anh/Ch đã có Linux server và ta mu n đ n gi n hóa trong công tác qu n tr và s d ng, b ng cách s d ng Webmin, Usermin ta có th qu n tr Linux thông qua giao... dùng l nh tail –f /var/log/squid/access_log H c ph n IV - Môn H c: D ch V M ng Linux Trang 25/34 Bài t p Ch ng 7 Linux Security Bài t p 1 1 Tham kh o giáo trình 2 Dùng l nh service iptables save, tham kh o ý ki n c a giáo viên h hành đ hi u chi ti t t ng lu t trong file /etc/sysconfig/iptables 3 Tham kh o giáo trình DVM Linux a Cho phép truy xu t DNS đ n Firewall: ng d n th c iptables -A OUTPUT -p... s thao tác qu n tr Linux qua Web bao g m: ̇ C u hình m ng, qu n lý user, qu n lý h th ng t p tin,… ̇ C u hình các d ch v DNS, FTP, Mail, Web, Proxy,… ̇ Thi t l p Firewall s d ng iptables ̇ Thi t l p các tham s c u hình cho h th ng ̇ Thi t l p clustering trên Linux 3 Cho phép truy c p Webmin server qua HTTPS H c ph n IV - Môn H c: D ch V M ng Linux Trang 12/34 Bài t p H NG D N GI I BÀI T P H c ph n IV... mi n fpt.vn ̇ Ch cho phép 10 Web session cho các máy tr m 3 C u hình web browser dùng proxy c a mình đ ki m tra các c u hình trên H c ph n IV - Môn H c: D ch V M ng Linux Trang 10/34 Bài t p Ch ng 7 Linux Security Bài t p 1 Cài đ t máy Linux theo nh ng yêu c u sau: Computer Name: serverXX IP address:192.168.XX.100+XX/255.255.255.0 Default gateway: 192.168.XX.1 Tình hu ng + Yêu c u 1 Th c thi quá trình... b2.netXX.com Gi s ta s d ng NetID.in-addr.arpa đ c mô t trong zone ngh ch B3: /etc/init.d/named restart đ restart l i d ch v DNS H c ph n IV - Môn H c: D ch V M ng Linux Trang 19/34 Bài t p Ch ng 3 D ch V FTP – VSFTP Bài t p 1 1) Tham kh o bài t p ph n c u hình d ch v DNS 2) th c hi n câu này ta c n làm các b c sau: B1: Khai báo m t tên dns ftp.netXX.com B2: cài đ t vsftpd vào h th ng B3: m file c u... /etc/vsftpd/vsftpd.conf và thêm ch d n listen_address= Sau đó restart l i d ch v vsftpd b ng l nh /etc/init.d/vsftpd restart H c ph n IV - Môn H c: D ch V M ng Linux Trang 20/34 Bài t p Ch ng 4 D ch V Web – APACHE Bài t p 1 Tham kh o bài t p c u hình DNS T o m t tên dns www.netXX.com sau đó ta cài đ t http-server vào h th ng và th c hi n các b c c u hình sau trong file /etc/httpd/config/httpd.conf:... www.tma.netXX.com> DocumentRoot /home/webhosting/tma ServerName www.tma.netXX.com … H c ph n IV - Môn H c: D ch V M ng Linux Trang 22/34 Bài t p Ch ng 5 D ch V Mail– Sendmail Bài t p 1 B c 1: C u hình Primary Name Server cho domain name “netXX.com” đ cho (t t nh nh ng bài t p tr c) Trong đó c n l u ý t o record MX ng Ví d : netXX.com IN B MX 0 server.netXX.com c 2: M t p tin /etc/sendmail.cf... M ng Linux Trang 17/34 Bài t p }; Chú ý r ng khi th c hành câu này thì b n nên ch n máy c a mình là secondary name cho b n bên c nh đ ti n th nghi m, file “netXX.com.thuan” b n không c n ph i t o tr c Sau khi mô t xong b n ch c n restart l i d ch v named là xong, sau đó dùng l nh nslookup đ ki m tra l i c ng nh xem CSDL đã đ c copy xong ch a? 3) T ng t câu 1 H c ph n IV - Môn H c: D ch V M ng Linux. .. home network servers) iptables -t nat -A POSTROUTING -s 192.168.1.100 -o eth0 97.158.253.26 H c ph n IV - Môn H c: D ch V M ng Linux -j SNAT to-source Trang 33/34 Bài t p Ch ng 8 Webmin Bài t p 1 H C VIÊN T NGHIÊN C U VÀ THAM KH O GIÁO TRÌNH H c ph n IV - Môn H c: D ch V M ng Linux Trang 34/34 ... AuthName public AuthUserFile /etc/httpd/conf/htpasswd Require users admin1 admin2 Ta dùng Userdir đ c u hình A/C tham kh o mô t sau và hi u ch nh cho phù h p v i đ bài H c ph n IV - Môn H c: D ch V M ng Linux Trang 21/34 Bài t p Trong home directory c a user t o th m c www Ví d dùng l nh sau đ t o th m c www cho user hv1 − #mkdir /home/hv1/www − i ng i s h u và nhóm s h u sang cho user hv1:hv1 ... 11 Bài 6.1 11 Bài 07 Linux Security 12 Bài 7.1 12 Bài 08 Webmin 13 Bài 8.1 13 H NG D N GI I BÀI T P 14 Bài. .. Bài 03 D ch V FTP – VSFTP Bài 3.1 Bài 04 D ch V Web – APACHE Bài 4.1 Bài 05 D ch V Mail– Sendmail 10 Bài 5.1 10 Bài. .. 15 Bài t p 1.1 15 Bài 02 D ch V DNS – BIND 16 Bài 2.1 16 Bài T p 2.2 20 Bài 03 D ch V FTP – VSFTP 21 Bài 3.1 21 Bài

Bài thực hành dịch vụ mạng linux

Thông tin tài liệu

Từ khóa liên quan

Tài liệu cùng người dùng

Tài liệu liên quan