1. Trang chủ
  2. » Công Nghệ Thông Tin

Bài thực hành dịch vụ mạng linux

35 138 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 35
Dung lượng 652,39 KB

Nội dung

TRUNG TÂM TIN H C - I H C KHOA H C T NHIÊN TP.HCM 227 Nguy n V n C - Qu n – TP H Chí Minh Tel: 8351056 – Fax 8324466 – Email: ttth@hcmuns.edu.vn BÀI T P Ngành M NG & PH N C NG H c ph n IV MÔN H C D CH V M NG LINUX Mã tài li u: DT_NCM_MG_BT_DVLNX Phiên b n 1.0 – Tháng 09/2005 Bài t p M CL C M C L C Bài 01 Qu n Lý Ti n Trình Bài t p 1.1 Bài 02 D ch V DNS – BIND Bài 2.1 Bài T p 2.2 .6 Bài 03 D ch V FTP – VSFTP Bài 3.1 Bài 04 D ch V Web – APACHE Bài 4.1 Bài 05 D ch V Mail– Sendmail 10 Bài 5.1 10 Bài 06 D ch V Proxy– SQUID 11 Bài 6.1 11 Bài 07 Linux Security 12 Bài 7.1 12 Bài 08 Webmin 13 Bài 8.1 13 H NG D N GI I BÀI T P 14 Bài 01 Qu n Lý Ti n Trình 15 Bài t p 1.1 15 Bài 02 D ch V DNS – BIND 16 Bài 2.1 16 Bài T p 2.2 20 Bài 03 D ch V FTP – VSFTP 21 Bài 3.1 21 Bài 04 D ch V Web – APACHE 22 Bài 4.1 22 Bài 05 D ch V Mail– Sendmail 24 Bài 5.1 24 Bài 06 D ch V Proxy– SQUID 26 Bài 6.1 26 Bài 07 Linux Security 27 H c ph n IV - Môn H c: D ch V M ng Linux Trang 1/34 Bài t p Bài 7.1 27 Bài 08 Webmin 35 Bài 8.1 35 H c ph n IV - Môn H c: D ch V M ng Linux Trang 2/34 Bài t p Ch ng Qu n Lý Ti n Trình Bài t p 1) Trong home directory t o th m c tientrinh 2) Tìm t t c nh ng ti n trình h th ng t o k t qu tìm đ c đ a vào t p tin ketqua th m c tientrinh 3) Cho l nh “find / -name abc –print” t m d ng ch y ch đ h u c nh Cho bi t tr ng thái c a ti n trình Cho l nh ch y ti n c nh 4) Ki m tra xem h th ng có ti n trình sshd hay không N u có xu t k t qu tìm đ c vào t p tin sshd th m c tientrinh 5) Cho bi t ti n trình sendmail t o có PID, PPID bao nhiêu? Hãy h y ti n trình sau ki m tra xem ti n trình có ho t đ ng h th ng hay không ? 6) Dùng l nh man tìm hi u nh ng l nh vmstat, mpstat, stat, iostat, pgrep,… 7) S d ng nh ng l nh đ tìm hi u nh ng thông tin c a h th ng 8) L p l ch cho phút sau (tính t th i gian hi n hành) tìm h th ng t p tin có tên b t đ u b ng ab k t qu xu t vào t p tin /root/tientrinh/timkiem 9) Hãy l p l ch cho công vi c câu s hi n vào 17h th hàng tu n 10) T o ng i dùng hv1, sau đ ng nh p vào l p l ch b ng nh ng l nh at, batch, crontab 11) C m không cho ng i dùng hv1 s d ng l nh l p l ch Ki m tra xem H c ph n IV - Môn H c: D ch V M ng Linux Trang 3/34 Bài t p Ch ng D ch V DNS – BIND Bài t p Cài đ t Linux v i yêu c u sau: o Computer name: serverXX o IP addres: 192.168.10.100+XX (XX s th t c a máy tính) tv nđ Máy Máy Máy Máy Máy …… M t m ng LAN có s đ nh hình v có đ ng m ng 192.168.10.0/255.255.255.0 Các máy tính m ng có tên đ a ch IP nh sau : • Máy có tên serverXX đ a ch IP 192.168.10.100+XX • Máy có tên server2 đ a ch IP 192.168.10.201 • Máy có tên com1 đ a ch IP 192.168.10.202 • Máy có tên com2 đ a ch IP 192.168.10.203 Gi s máy tính mà ta ng i máy tính ServerXX d đ nh dùng làm DNS Server Còn máy Server làm Web Server, FTP Server, Mail Server Ta đ ng ký m t domain name “netXX.com” Yêu c u : C u hình ServerXX m t Primary Name Server cho domain name c a v i nh ng d li u cho C u hình dns server c a b n m t secondary name server cho domain c a nh ng ng i khác có tên netXX.com Gi s b n có m t chi nhánh có domain csc.netxx.com C u hình máy dns server c a b n primary name server cho domain H c ph n IV - Môn H c: D ch V M ng Linux Trang 4/34 Bài t p Bài T p Cho s đ k t n i m ng nh sau: Máy2 Máy1 m ng Máy3 Máy4 …… Máy5 netXX.com b1.netXX.co Máy Máy b2.netXX.co Máy Máy2 Máy Máy Máy4 Máy3 …… …… Máy Máy5 Subnet1 Subnet2 M t m ng LAN có s đ nh hình v có đ ng m ng 172.29.0.0/255.255.255.0 (XX s th t máy) M ng n m đ ng backbone có đ ng m ng 172.29.50+XX.0/255.255.255.0 Subnet1 có đ ng m ng 172.29.100.0/255.255.255.0 subnet2 có đ ng m ng 172.29.101.0/255.255.255.0 Các máy tính m ng có tên đ a ch IP nh sau : • Máy có tên server1 đ a ch IP 172.29.50+XX.1 • Máy có tên server2 đ a ch IP 172.29.50+XX.20 • Máy có tên com1 đ a ch IP 172.29.50+XX.21 • Máy có tên com2 đ a ch IP 172.29.50+XX.22 Các máy tính subnet1 có tên đ a ch IP nh sau : • Máy có tên server1 đ a ch IP 172.29.50+XX.2 172.29.100.1 • Máy có tên server2 đ a ch IP 172.29.100.2 • Máy có tên com1 đ a ch IP 172.29.100.3 • Máy có tên com2 đ a ch IP 172.29.100.4 Các máy tính subnet2 có tên đ a ch IP nh sau : • Máy có tên server1 đ a ch IP H c ph n IV - Môn H c: D ch V M ng Linux 172.29.50+XX.3 172.29.101.1 Trang 5/34 Bài t p • • • Máy có tên server2 Máy có tên com1 Máy có tên com2 đ a ch IP đ a ch IP đ a ch IP 172.29.101.2 172.29.101.3 172.29.101.4 Ta đ ng ký m t domain name “netXX.com” Sau đó, ta cung c p cho m i subnet m t subdomain b1.netXX.com b2.netXX.com Yêu c u : ng i l p thành m t nhóm đ hoàn thành t p Ng i th nh t qu n tr m ng ng i máy Server1 s c u hình DNS Server cho domain netXX.com Ng i th qu n tr subnet1 ng i máy Server1 s c u hình DNS Server cho subdomain b1.netXX.com Ng i th qu n tr subnet2 ng i máy Server1 s c u hình DNS Server cho subdomain b2.netXX.com Ng i th nh t: C u hình Server1 m t Primary Name Server cho domain name netXX.com c a v i nh ng d li u cho C u hình Server1 y quy n cho hai domain b1.netXX.com, b2.netXX.com cho mi n Ki m tra s phân gi i c a domain v a c u hình s liên thông v i nh ng domain khác Ng i th hai: C u hình Server1 m t Primary Name Server cho subdomain b1.netXX.com c a v i nh ng d li u cho forwarders PNS qu n lý CSDL cho mi n “netXX.com” Ki m tra s phân gi i c a domain v a c u hình s liên thông v i nh ng domain khác Ng i th ba: C u hình Server1 m t Primary Name Server cho subdomain b2.netXX.com c a v i nh ng d li u cho forwarders PNS qu n lý CSDL cho mi n “netXX.com” Ki m tra s phân gi i c a domain v a c u hình s liên thông v i nh ng domain khác H c ph n IV - Môn H c: D ch V M ng Linux Trang 6/34 Bài t p Ch ng D ch V FTP – VSFTP Bài t p Cài đ t Linux v i yêu c u sau: o Computer name: serverX o IP addres: 192.168.100.X (XX s th t c a máy tính) tv nđ gi s b n s d ng máy serverXX d đ ng ký m t tên mi n “netXX.com” đ nh dùng làm DNS server ftp server Ta Yêu c u: 1) C u hình Primary Name Server cho domain v i nh ng d li u cho 2) C u hình ftp server cho m i ng i có th truy c p đ n ftp server v i đ ng d n ftp://ftp.netXX.com tho mãn nh ng yêu c u sau: a) M i ng i có th truy c p đ n ftp server theo user anonymous nh ng user c c b có th dùng username c a đ truy c p ftp server b) Th m c g c c a user anonymous ftp server th m c /home/ftp/netxx c) User anonymous có th upload d li u lên th m c upload đ c phép t o th m c d) C m t t c nh ng user c c b truy c p đ n ftp server ngo i tr hai user admin1 admin2 e) User admin1 admin2 có th upload d li u lên home directory c a 3) C m ng i dùng m ng 192.168.10.0/24 truy xu t vào ftpserver 4) T o Virtual FTP server có tên vftp.netxx.com v i ftproot /usr/vftp 5) Dùng m t s ch ng trình FTP Client đ ki m tra nh : Windows commander, IE, … H c ph n IV - Môn H c: D ch V M ng Linux Trang 7/34 Bài t p Ch ng D ch V Web – APACHE Bài t p Cài đ t Linux v i yêu c u sau: o Computer name: serverXX o IP addres: 192.168.10.100+X X (X s th t c a máy tính) tv nđ Gi s máy tính mà ta ng i máy tính ServerXX d FTP server, Web server đ nh dùng làm DNS Server Ta đ ng ký m t domain name “netXX.com” Yêu c u : 1) C u hình Primary Name Server cho domain v i nh ng d li u cho 2) Th m c /home/webdata/netXX th m c l u nh ng trang web c a webserver C u hình web server cho m i ng i có th truy c p đ n web server v i đ ng d n http://www.netXX.com 3) Cho th m c /home/webdata/security ch a nh ng trang web C u hình web server cho ch có user admin1, admin2 đ c quy n truy c p đ n nh ng trang web v i đ ng d n http://www.netXX.com/security 4) C u hình web server cho user có th đ a nh ng trang web cá nhân c a lên WebServer truy c p theo đ ng d n http://www.netXX.com/~username 5) C u hình cho ng i dùng có th li t kê n i dung th m c mà đ c c u hình UserDir 6) Ng i đ a ch IP trên, b n c u hình cho đ a ch 192.168.10.100+XX s ph c v cho server chính, www.netXX.com a ch 192.168.10.100+XX ph c v virtual host cho hai mi n khác www.psv.netXX.com www.tma.netXX.com 7) T o m t s Virtual Directory /soft ánh x vào th m c /usr/share cho Virtual Web có đ a ch www.psv.netXX.com H c ph n IV - Môn H c: D ch V M ng Linux Trang 8/34 Bài t p Ch ng D ch V Mail– Sendmail Bài t p Cài đ t máy Linux Server theo yêu c u sau : − − a ch IP : 192.168.10.200+XX/255.255.255.0 (x s th t c a máy) Tn my tính : server V n đ đ t ra: Trong công ty c a Anh ch có m t m ng LAN có nhu c u trao đ i thông tin v i Do đó, công ty mu n c u hình m t Mail Server đ nhân viên công ty có m t account mail trao đ i thông tin v i thông qua email Ta gi l p m t domain name c c b “netXX.com” Và máy tính ta ng i máydùng đ c u hình DNS Server Mail Server Yêu c u: C u hình DNS cho mi n netXX.com v i d li u − netXX.com IN MX mail.netXX.com − mail IN A 192.168.10.200+XX − server IN A 192.168.10.200+XX − www, ftp, proxy IN CNAME server.netXX.com Mail server qu n lý domain mail netXX.com Mail relay cho mail server mail server c a ISP T o cc group mail sau: − Admins (Nguy n V n Bình, ng Công Ph ng) − Phongmay(Nguy n V n Hùng, Nguy n V n D ng ) − Vanphong(Nguy n Th C m Thuý, Nguy n Th Thu Dung) − Nhanvien(Admins, Phongmay,Vanphong) − Giamdoc(Nguy n ình Chinh, La Thanh C n) Ngoài g i mail nhóm có alias sau: − Admins Quantrimang − Phongmay Phong-may − Vanphong Van-phong − Nhanvien Nhan-vien − everyone Nhan-vien, Van-phong, Phong-may, Quantrimang a Trong qu n lý d ch v mail ta th y r ng email: netuser@yahoo.com g i vào server mail có ch a nhi u virus B n ng n đ a ch mail b Cài đ t t ch c Webmail s d ng ph n m m OpenWebmail c Ta t ch c h th ng cho phép mail có th g i nh n mail gi a mi n “psv.netXX.com”, “hitech.netXX.com” “netXX.com” d C u hình cho mail t g i vào mi n “psv.netXX.com” “hitech.netXX.com” ph i chuy n v máy ch mail.netXX.com sau m i chuy n mail v cho mail server n i b mi n x lý e T ch c h th ng mail offline cho mi n có tên “dongtam.netXX.com” v i Account (user: dongtam, password: dongtam123) l u tr th có dung l ng 100MB H c ph n IV - Môn H c: D ch V M ng Linux Trang 9/34 Bài t p Ch ng D ch V FTP – VSFTP Bài t p 1) Tham kh o t p ph n c u hình d ch v DNS 2) th c hi n câu ta c n làm b c sau: B1: Khai báo m t tên dns ftp.netXX.com B2: cài đ t vsftpd vào h th ng B3: m file c u hình /etc/vsftpd/vsftpd.conf gi i quy t câu sau: a) Mô t anonymous_enable=YES Local_enable=YES b) thay đ i th m c g c c a user anonymous ta dùng Anon_root=/home/ftp/netxx c) anon đ c quy n upload ta c n mô t anon_mkdir_write_enable=YES anon_upload_enable=YES write_enable=YES d) c m user c c b truy xu t vào ftp server ta th c hi n nh sau: Mô t hai user admin1 & admin2 vào file /etc/vsftpd.user_list userlist_deny = NO userlist_enable = YES userlist_file = /etc/vsftpd.user_list 3) Mu n c m host/network truy xu t vào vsftpd ta ph i k t h p v i tcpwrapper b ng cách ta mô t file /etc/host.deny thông tin sau: Vsftpd: Address_c a _host/network 4) t o virtual ftp server ta th c hi n b c sau: T o thêm Virtual IP address ( ví d đ a ch 1.2.3.4) T o t p tin /etc/vsftpd/.conf ho c copy /etc/vsftpd/vsftpd.conf vào file m i s a đ i thông tin sau: t t p - listen=YES - listen_address=1.2.3.4 - connect_from_port_20=YES - anonymous_enable=YES - anon_root=/srv/ftp/knusper - ftpd_banner=Welcome to FTP at knusper.wiremonkeys.org Behave! tin Ch nh s file /etc/vsftpd/vsftpd.conf thêm ch d n listen_address= Sau restart l i d ch v vsftpd b ng l nh /etc/init.d/vsftpd restart H c ph n IV - Môn H c: D ch V M ng Linux Trang 20/34 Bài t p Ch ng D ch V Web – APACHE Bài t p Tham kh o t p c u hình DNS T o m t tên dns www.netXX.com sau ta cài đ t http-server vào h th ng th c hi n b c c u hình sau file /etc/httpd/config/httpd.conf: ServerName www.netXX.com DocumentRoot /home/webdata/netxx Sau ta c n t o m t t p tin index.htm đ làm trang ch cho website www.netXX.com th m c webroot đ th nghi m Dùng l nh /etc/init.d/httpd restart Ti n hành ki m tra ho t đ ng c a webserver b ng trình ti n ích lynx ho c dùng trình t webbrowser khác c a Xwindows th m c /home/webdata/security ch có user admin1 admin2 đ c quy n truy xu t ta th c hi n c ch ch ng th c th m c /home/webdata/security b ng cách mô t nh sau: B c 1: t o user t p tin password Ti n ích htpasswd – di apache h tr - giúp t o user password t m t cách d dàng Cách s d ng nh sau: ng ng #htpasswd –c Ví d : #htpasswd –c /etc/httpd/conf/htpasswd admin1 New password: Re-type new password: htpasswd s yêu c u nh p password nh p l i m t l n n a Tùy ch n –c s t o m t t p tin password m i N u t p tin t n t i s xóa n i dung c ghi vào n i dung m i Mu n ghi ti p vào t p tin password c b n không dùng tùy ch n –c B c 2: c u hình apache Sau t o user password t th c apache ng ng cho user, b n c n c u hình s ch ng Ví d v s ch ng th c: AuthType Basic AuthName public AuthUserFile /etc/httpd/conf/htpasswd Require users admin1 admin2 Ta dùng Userdir đ c u hình A/C tham kh o mô t sau hi u ch nh cho phù h p v i đ H c ph n IV - Môn H c: D ch V M ng Linux Trang 21/34 Bài t p Trong home directory c a user t o th m c www Ví d dùng l nh sau đ t o th m c www cho user hv1 − #mkdir /home/hv1/www − i ng i s h u nhóm s h u sang cho user hv1:hv1 v i l nh sau: − #chown hv1:hv1 /home/hv1/www − C p quy n cho th m c /home/hv1 v i l nh sau: − #chmod 711 /home/hv1 − Sau c u hình apache Ví d : − UserDir www Order deny,allow Allow from all Ta ch c n mô t tùy ch n Options Indexes Multilinks… Trong directive Dùng VirtualHost đ c u hình cho yêu c u đ A/C c n tham kh o b c sau: B1: Mô t hai tên dns www.psv.netXX.com www.tma.netXX.com DNS server b ng hai record CNAME ánh x v đ a ch www.netXX.com c a webserver B2: khai báo NameVirtualHost 192.168.10.100+XX DocumentRoot /home/webdata/netxx ServerName www.netXX.com … DocumentRoot /home/webhosting/psv ServerName www.psv.netXX.com … DocumentRoot /home/webhosting/tma ServerName www.tma.netXX.com … H c ph n IV - Môn H c: D ch V M ng Linux Trang 22/34 Bài t p Ch ng D ch V Mail– Sendmail Bài t p B c 1: C u hình Primary Name Server cho domain name “netXX.com” đ cho (t t nh nh ng t p tr c) Trong c n l u ý t o record MX ng Ví d : netXX.com IN B MX server.netXX.com c 2: M t p tin /etc/sendmail.cf ch nh s a nh ng th ng tin sau: tham s c n hi u ch nh Gi i thích Cwlocalhost netXX.com c u hình cho sendmail nh n mail cho mi n localhost netXX.com O MaxRecipientsPerMessage=50 gi i h n s ng O MaxMessageSize=3000000 gi i h n kích th c t i đa c a m t th , tính theo đ n v bytes O DaemonPortOptions=Name=MTA Thay th đ a ch 127.0.0.1 thành đ a ch IP c a máy Mail Server (Ví d 192.168.10.200+XX) B B i nh n m t th c 3: M t p tin /etc/mail/access ch nh s a t p tin có n i dung sau : 192.168.10.0 RELAY (đ a ch đ netXX.com RELAY (tn domain) ng m ng) c 4: Sau t o xong l u t p tin l I th c hi n l nh sau: #cd /etc/mail #makemap hash access < access #/etc/init.d/sendmail restart B c 5: T o hai user Ví d t o user1 (password 123), user2 (password 123) B c 6: Login vào mail server dùng user1 th c hi n g i mail cho user2 b ng l nh sau: #mail -v user2@abc.com Subject: H c ph n IV - Môn H c: D ch V M ng Linux Trang 23/34 Bài t p CC: /proc/sys/net/ipv4/tcp_syncookies echo 10 > /proc/sys/net/ipv4/tcp_fin_timeout echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time echo > /proc/sys/net/ipv4/tcp_window_scaling echo > /proc/sys/net/ipv4/tcp_sack echo > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo > /proc/sys/net/ipv4/conf/eth0/accept_source_route tcp_syncookies=1 b t ch c n ng ch ng DoS SYN qua syncookie c a Linux tcp_fin_timeout=10 đ t th i gian timeout cho trình đóng k t n i TCP 10 giây tcp_keepalive_time=1800 đ t th i gian gi k t n i TCP 1800 giây Các tham s khác b n có th xem chi ti t tài li u kèm c a nhân Linux N p môđun c n thi t cho Iptables s d ng Iptables, b n c n ph i n p tr c môđun c n thi t Ví d n u b n mu n dùng ch c n ng LOG Iptables, b n ph i n p môđun ipt_LOG vào tr c b ng l nh # modprobe ipt_LOG MODULES="ip_tables iptable_filter ipt_LOG ipt_limit ipt_REJECT ipt_state for i in $MODULES; /sbin/modprobe $MODULES done Nguyên t c đ t lu t "drop tr c, accept sau" ây nguyên t c mà b n nên tuân theo u tiên đóng h t c ng, sau m d n cách c ng c n thi t Cách tránh cho b n g p sai sót đ t lu t cho Iptables iptables -P INPUT DROP th packet tr c iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT gi k t n i hi n t i ch p nh n k t n i có liên quan iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT ch p nh n gói vào looback t IP 127.0.0.1 iptables -A INPUT -i lo -s 1.2.3.4 -j ACCEPT 1.2.3.4 BANNED_IP="10.0.0.0/8 192.168.0.0/16 172.16.0.0/12 224.0.0.0/4 240.0.0.0/5" H c ph n IV - Môn H c: D ch V M ng Linux Trang 27/34 Bài t p for i in $BANNED_IP; iptables -A INPUT -i eth0 -s $i -j DROP th gói d li u đ n t IP n m danh sách c m BANNER_IP done b L c ICMP vào ch n ng p l t PING LOG c a Iptables s đ cho SYSLOG nh sau: c ghi vào file /var/log/firewall.log B n ph i s a l i c u hình # vi /etc/syslog.conf kern.=debug /var/log/firewall.log # /etc/rc.d/init.d/syslogd restart i v i gói ICMP đ n, s đ y qua chain CHECK_PINGFLOOD đ ki m tra xem hi n t i đamg b ng p l t PING hay không, sau m i cho phép gói vào N u b ng p l t PING, môđun LOG s ti n hành ghi nh t kí m c gi i h n limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST, gói PING ng p l t s b th h t LOG_LEVEL="debug" LOG_LIMIT=3/m LOG_LIMIT_BURST=1 PING_LIMIT=500/s PING_LIMIT_BURST=100 iptables -A CHECK_PINGFLOOD -m limit limit $PING_LIMIT limit-burst $PING_LIMIT_BURST -j RETURN iptables -A CHECK_PINGFLOOD -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=PINGFLOOD:warning a=DROP " iptables -A CHECK_PINGFLOOD -j DROP iptables -A INPUT -i eth0 -p icmp icmp-type echo-request -j CHECK_PINGFLOOD iptables -A INPUT -i eth0 -p icmp icmp-type echo-request -j ACCEPT c reject quét c ng TCP UDP b n t o s n chain reject quét c ng, s đ y vào chain INPUT sau i v i gói TCP, reject b ng gói TCP v i c SYN=1 đ i v i gói UDP, s reject b ng gói ICMP `port-unreachable` H c ph n IV - Môn H c: D ch V M ng Linux Trang 28/34 Bài t p iptables-N REJECT_PORTSCAN iptables-A REJECT_PORTSCAN -p tcp -m limit limit $LOG_LIMIT limitburst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=PORTSCAN:tcp a=REJECT " iptables-A REJECT_PORTSCAN -p udp -m limit limit $LOG_LIMIT limitburst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=PORTSCAN:udp a=REJECT " iptables-A REJECT_PORTSCAN -p tcp -j REJECT reject-with tcp-reset iptables-A REJECT_PORTSCAN -p udp -j REJECT reject-with icmp-portunreachable d phát hi n quét c ng b ng Nmap iptables-N DETECT_NMAP iptables-A DETECT_NMAP -p tcp tcp-flags ALL FIN,URG,PSH -m limit -limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:XMAS a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags ALL SYN,RST,ACK,FIN,URG m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG loglevel $LOG_LEVEL log-prefix "fp=NMAP:XMAS-PSH a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags ALL ALL -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:XMAS-ALL a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags ALL FIN -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:FIN a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags SYN,RST SYN,RST -m limit -limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:SYN-RST a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags SYN,FIN SYN,FIN -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:SYN-FIN a=DROP " iptables-A DETECT_NMAP -p tcp tcp-flags ALL NONE -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=NMAP:NULL a=DROP " iptables-A DETECT_NMAP -j DROP iptables-A INPUT -i eth0 -p tcp ! syn -m state state NEW -j DETECT_NMAP i v i gói TCP đ n eth0 m k t n i nh ng không đ t SYN=1 s chuy n sang chain DETECT_NMAP ây nh ng gói không h p l h u nh quét c ng b ng nmap ho c kênh ng m Chain DETECT_NMAP s phát hi n h u h t ki u quét c a Nmap ti n hành ghi nh t kí m c limit $LOG_LIMIT H c ph n IV - Môn H c: D ch V M ng Linux Trang 29/34 Bài t p limit-burst $LOG_LIMIT_BURST Ví d đ ki m tra quét XMAS, b n dùng tùy ch n -tcp-flags ALL FIN,URG,PSH ngh a c FIN, URG PSH đ c b t, c khác đ u b t t Các gói qua chain DETECT_NMAP sau s b DROP h t e ch n ng p l t SYN Gói m TCP v i c SYN đ c set h p l nh ng không ngo i tr kh n ng gói SYN dùng đ ng p l t Vì v y, dây b n đ y gói SYN l i qua chain CHECK_SYNFLOOD đ ki m tra ng p l t SYN nh sau: iptables-N CHECK_SYNFLOOD iptables-A CHECK_SYNFLOOD -m limit limit $SYN_LIMIT limit-burst $SYN_LIMIT_BURST -j RETURN iptables-A CHECK_SYNFLOOD -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=SYNFLOOD:warning a=DROP " iptables-A CHECK_SYNFLOOD -j DROP iptables-A INPUT -i eth0 -p tcp syn -j CHECK_SYNFLOOD f gi i h n truy c p SSH cho admin SSH_IP="1.1.1.1" iptables -N SSH_ACCEPT iptables -A SSH_ACCEPT -m state state NEW -j LOG log-level $LOG_LEVEL log-prefix "fp=SSH:admin a=ACCEPT " iptables -A SSH_ACCEPT -j ACCEPT iptables -N SSH_DENIED iptables -A SSH_DENIED -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=SSH:attempt a=REJECT " iptables -A SSH_DENIED -p tcp -j REJECT reject-with tcp-reset for i in $SSH_IP; iptables -A INPUT -i eth0 -p tcp -s $i dport 22 -j SSH_ACCEPT done iptables -A INPUT -i eth0 -p tcp dport 22 -m state state NEW -j SSH_DENIED g gi i h n FTP cho web-master FTP_IP="2.2.2.2" iptables -N FTP_ACCEPT H c ph n IV - Môn H c: D ch V M ng Linux Trang 30/34 Bài t p iptables -A FTP_ACCEPT -m state state NEW -j LOG log-level $LOG_LEVEL log-prefix "fp=FTP:webmaster a=ACCEPT " iptables -A FTP_ACCEPT -j ACCEPT iptables -N FTP_DENIED iptables -A FTP_DENIED -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=FTP:attempt a=REJECT " iptables -A FTP_DENIED -p tcp -j REJECT reject-with tcp-reset for i in $FTP_IP; iptables -A INPUT -i eth0 -p tcp -s $i dport 21 -j FTP_ACCEPT done iptables -A INPUT -i eth0 -p tcp dport 21 -m state state NEW -j FTP_DENIED h l c TCP vào iptables -N TCP_INCOMING iptables -A TCP_INCOMING -p tcp dport 80 -j ACCEPT iptables -A TCP_INCOMING -p tcp -j REJECT_PORTSCAN iptables -A INPUT -i eth0 -p tcp -j TCP_INCOMING i l c UDP vào ch n ng p l t UDP iptables -N CHECK_UDPFLOOD iptables -A CHECK_UDPFLOOD -m limit limit $UDP_LIMIT limit-burst $UDP_LIMIT_BURST -j RETURN iptables -A CHECK_UDPFLOOD -m limit limit $LOG_LIMIT limit-burst $LOG_LIMIT_BURST -j LOG log-level $LOG_LEVEL log-prefix "fp=UDPFLOOD:warning a=DROP " iptables -A CHECK_UDPFLOOD -j DROP iptables -A INPUT -i eth0 -p udp -j CHECK_UDPFLOOD iptables -N UDP_INCOMING iptables -A UDP_INCOMING -p udp dport 53 -j ACCEPT iptables -A UDP_INCOMING -p udp -j REJECT_PORTSCAN iptables -A INPUT -i eth0 -p udp -j UDP_INCOMING j Redirect port Iptables h tr tùy ch n -j REDIRECT cho phép b n đ i h dàng Ví d nh SQUID listen c ng 3128/tcp c ng 3128 b n làm nh sau: H c ph n IV - Môn H c: D ch V M ng Linux ng c ng m t cách d redirect c ng 80 đ n Trang 31/34 Bài t p # iptables -t nat -A PREROUTING -p tcp dport 80 -j REDIRECT to-port 3128 L u ý: tùy ch n -j REDIRECT cho có chain PREROUTING k DNAT: Gi s b n đ t máy ch Proxy, Mail DNS m ng DMZ su t t Internet vào máy ch b n nh sau: t ok tn i # echo > /proc/sys/net/ipv4/ip_forward # iptables -t nat -A PREROUTING -i eth0 -p tcp dport 80 -j DNAT todestination 192.168.1.2 # iptables -t nat -A PREROUTING -i eth0 -p tcp dport 25 -j DNAT todestination 192.168.1.3 # iptables -t nat -A PREROUTING -i eth0 -p udp dport 53 -j DNAT todestination 192.168.1.4 m Masquerading (Many to One NAT) Là k thu t NAT Many to One đ cho phép nhi u máy c c b có th s th c(đ c cung c p t ISP) đ truy xu t internet # N p module c n thi t cho NAT # mô t modprobe iptable_nat vào file /etc/rc.local d ng m t đ a ch IP modprobe iptable_nat # b t ch c n ng đ nh n b ng cách thay đ i thông tin ip_forward /proc filesystem file ho c s d ng l nh sau echo > /proc/sys/net/ipv4/ip_forward # cho phép s d ng NAT gi m o # - Interface eth0 interface liên k t lên m ng internet H c ph n IV - Môn H c: D ch V M ng Linux Trang 32/34 Bài t p # - Interface eth1 liên k t vào m ng n i b iptables -A POSTROUTING -t nat -o eth0 -s 192.168.1.0/24 -d 0/0 -j MASQUERADE # cho phép outbound traffic thu c lo i: New, established and related connections # cho phép inbound traffic thu c lo i: Established and related connections iptables -A FORWARD -t filter -o eth0 -m state state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -t filter -i eth0 -m state state ESTABLISHED,RELATED -j ACCEPT n Dùng iptables đ th c thi NAT t nh (one to one) S d ng one to one NAT đ cho phép server có đ a ch 192.168.1.100 m ng n i b truy xu t internet thông qua đ a ch th t 97.158.253.26 T o many to one NAT đ cho m ng 192.168.1.0 có th truy xu t đ n t t các server internet thông qua đ a ch 97.158.253.29 modprobe iptable_nat echo > /proc/sys/net/ipv4/ip_forward ý: thông tin mô t # đích (to): FROM(ngu n): 97.158.253.26 Anywhere Anywhere MAP TO SERVER: 192.168.1.100 (1:1 NAT Inbound) 192.168.1.100 97.158.253.26 (1:1 NAT - Outbound) # PREROUTING statements for 1:1 NAT # (Connections originating from the Internet) iptables –t nat -A PREROUTING -j DNAT to-destination 192.168.1.100 -d 97.158.253.26 -i eth0 # POSTROUTING statements for 1:1 NAT # (Connections originating from the home network servers) iptables -t nat -A POSTROUTING -s 192.168.1.100 -o eth0 97.158.253.26 H c ph n IV - Môn H c: D ch V M ng Linux -j SNAT to-source Trang 33/34 Bài t p Ch ng Webmin Bài t p H C VIÊN T NGHIÊN C U VÀ THAM KH O GIÁO TRÌNH H c ph n IV - Môn H c: D ch V M ng Linux Trang 34/34 [...]... H c: D ch V M ng Linux Trang 11/34 Bài t p Ch ng 8 Webmin Bài t p 1 Cài đ t máy Linux theo nh ng yêu c u sau: Computer Name: serverXX IP address: 192.168.10.100+XX/255.255.255.0 Default gateway: 192.168.10.1 Tình hu ng + Yêu c u Gi s trong m ng c a Anh/Ch đã có Linux server và ta mu n đ n gi n hóa trong công tác qu n tr và s d ng, b ng cách s d ng Webmin, Usermin ta có th qu n tr Linux thông qua giao... dùng l nh tail –f /var/log/squid/access_log H c ph n IV - Môn H c: D ch V M ng Linux Trang 25/34 Bài t p Ch ng 7 Linux Security Bài t p 1 1 Tham kh o giáo trình 2 Dùng l nh service iptables save, tham kh o ý ki n c a giáo viên h hành đ hi u chi ti t t ng lu t trong file /etc/sysconfig/iptables 3 Tham kh o giáo trình DVM Linux a Cho phép truy xu t DNS đ n Firewall: ng d n th c iptables -A OUTPUT -p... s thao tác qu n tr Linux qua Web bao g m: ̇ C u hình m ng, qu n lý user, qu n lý h th ng t p tin,… ̇ C u hình các d ch v DNS, FTP, Mail, Web, Proxy,… ̇ Thi t l p Firewall s d ng iptables ̇ Thi t l p các tham s c u hình cho h th ng ̇ Thi t l p clustering trên Linux 3 Cho phép truy c p Webmin server qua HTTPS H c ph n IV - Môn H c: D ch V M ng Linux Trang 12/34 Bài t p H NG D N GI I BÀI T P H c ph n IV... mi n fpt.vn ̇ Ch cho phép 10 Web session cho các máy tr m 3 C u hình web browser dùng proxy c a mình đ ki m tra các c u hình trên H c ph n IV - Môn H c: D ch V M ng Linux Trang 10/34 Bài t p Ch ng 7 Linux Security Bài t p 1 Cài đ t máy Linux theo nh ng yêu c u sau: Computer Name: serverXX IP address:192.168.XX.100+XX/255.255.255.0 Default gateway: 192.168.XX.1 Tình hu ng + Yêu c u 1 Th c thi quá trình... b2.netXX.com Gi s ta s d ng NetID.in-addr.arpa đ c mô t trong zone ngh ch B3: /etc/init.d/named restart đ restart l i d ch v DNS H c ph n IV - Môn H c: D ch V M ng Linux Trang 19/34 Bài t p Ch ng 3 D ch V FTP – VSFTP Bài t p 1 1) Tham kh o bài t p ph n c u hình d ch v DNS 2) th c hi n câu này ta c n làm các b c sau: B1: Khai báo m t tên dns ftp.netXX.com B2: cài đ t vsftpd vào h th ng B3: m file c u... /etc/vsftpd/vsftpd.conf và thêm ch d n listen_address= Sau đó restart l i d ch v vsftpd b ng l nh /etc/init.d/vsftpd restart H c ph n IV - Môn H c: D ch V M ng Linux Trang 20/34 Bài t p Ch ng 4 D ch V Web – APACHE Bài t p 1 Tham kh o bài t p c u hình DNS T o m t tên dns www.netXX.com sau đó ta cài đ t http-server vào h th ng và th c hi n các b c c u hình sau trong file /etc/httpd/config/httpd.conf:... www.tma.netXX.com> DocumentRoot /home/webhosting/tma ServerName www.tma.netXX.com … H c ph n IV - Môn H c: D ch V M ng Linux Trang 22/34 Bài t p Ch ng 5 D ch V Mail– Sendmail Bài t p 1 B c 1: C u hình Primary Name Server cho domain name “netXX.com” đ cho (t t nh nh ng bài t p tr c) Trong đó c n l u ý t o record MX ng Ví d : netXX.com IN B MX 0 server.netXX.com c 2: M t p tin /etc/sendmail.cf... M ng Linux Trang 17/34 Bài t p }; Chú ý r ng khi th c hành câu này thì b n nên ch n máy c a mình là secondary name cho b n bên c nh đ ti n th nghi m, file “netXX.com.thuan” b n không c n ph i t o tr c Sau khi mô t xong b n ch c n restart l i d ch v named là xong, sau đó dùng l nh nslookup đ ki m tra l i c ng nh xem CSDL đã đ c copy xong ch a? 3) T ng t câu 1 H c ph n IV - Môn H c: D ch V M ng Linux. .. home network servers) iptables -t nat -A POSTROUTING -s 192.168.1.100 -o eth0 97.158.253.26 H c ph n IV - Môn H c: D ch V M ng Linux -j SNAT to-source Trang 33/34 Bài t p Ch ng 8 Webmin Bài t p 1 H C VIÊN T NGHIÊN C U VÀ THAM KH O GIÁO TRÌNH H c ph n IV - Môn H c: D ch V M ng Linux Trang 34/34 ... AuthName public AuthUserFile /etc/httpd/conf/htpasswd Require users admin1 admin2 Ta dùng Userdir đ c u hình A/C tham kh o mô t sau và hi u ch nh cho phù h p v i đ bài H c ph n IV - Môn H c: D ch V M ng Linux Trang 21/34 Bài t p Trong home directory c a user t o th m c www Ví d dùng l nh sau đ t o th m c www cho user hv1 − #mkdir /home/hv1/www − i ng i s h u và nhóm s h u sang cho user hv1:hv1 ... 11 Bài 6.1 11 Bài 07 Linux Security 12 Bài 7.1 12 Bài 08 Webmin 13 Bài 8.1 13 H NG D N GI I BÀI T P 14 Bài. .. Bài 03 D ch V FTP – VSFTP Bài 3.1 Bài 04 D ch V Web – APACHE Bài 4.1 Bài 05 D ch V Mail– Sendmail 10 Bài 5.1 10 Bài. .. 15 Bài t p 1.1 15 Bài 02 D ch V DNS – BIND 16 Bài 2.1 16 Bài T p 2.2 20 Bài 03 D ch V FTP – VSFTP 21 Bài 3.1 21 Bài

Ngày đăng: 04/12/2015, 14:42

TỪ KHÓA LIÊN QUAN