1101 LSA 期中考

• 1101 LSA 期中考
  • 規則
  • 甲. 上機 56+5%
    • A. 檔案權限設定 4%
    • B. Forward Agent 4%
    • C. iptables 20%
    • D. Web Server 28% (可以分次 DEMO)
    • E. [加分題] 火車快飛 5%
  • 乙. 筆試 70+15%
    • A. 綜合 20+3%
    • B. iptables 20%
    • C. 子網路遮罩 30%
    • D. [加分題] 支語警察 7%
    • E. [加分題] 大家來找碴 5%

規則

• 如有問題請舉手發問
• 請勿編輯本頁面
• 請勿以私訊或聊天室等任何方式彼此溝通
  • 當然也請不要直接實體溝通啦… 那算作弊哦
• 可以上網自由地找資料。
• 筆試請依題號依序答題，並在答案卷上標明題號，未依序答題者，該題以零分計算
• 請確定執行正確，再找助教 DEMO
  • DEMO 時，助教發現答案錯誤，還有一次更正的機會，若同一題第二次 DEMO，答案還是錯誤，便 無法 擁有再更改的權利（即為該題錯誤）
• 上機考時間只到 9 點，筆試時間視同學作答情況調整

We Are Watching You.

甲. 上機 56+5%

A. 檔案權限設定 4%

1. 請在家目錄底下建一個檔案名稱為 1101LSA_學號，並依照以下條件設定存取權限 (2%)
   • 擁有者可以 「 讀、寫、執行 」
   • 跟擁有者同一群組的可以 「 讀、執行 」
   • 其他人只能 「執行 」
   • 無論任何人在執行當下都會自動被變身為「此檔案擁有者」的身份和權限
2. 檔案執行時會顯示以下內容： (2%)
   
   ​​​​你的名字 :
   ​​​​你的學號 :
   

   Hint: 在檔案內寫指令，執行此檔案時會自動執行寫在檔案內的指令

   ex :

   檔案內容 : ifconfig

   執行結果 : enp0s3: flags=4163<UP,BROADCAST,RUNNING,M… (執行 ifconfig 這個指令的執行結果)

B. Forward Agent 4%

開啟並設定 Forward Agent 功能，使私鑰在 firewall 上進行轉送，不需要透過帳號密碼才能連進 internal zone 和 DMZ

C. iptables 20%

MOLi 大學的阿明近期想針對學校資安部分做加強
想要先幫學生們過濾封包抵擋攻擊
並保護防火牆，只留需要的功能其餘皆不准進來
便委託小美幫忙架設，
阿明針對防火牆要夠酷提了幾點要求：

1. internal zone 的所有要去外網的封包會經由 firewall 送出去 (3%)
2. 在 firewall 開 port 80 (public network) 導向 DMZ 中的 web-server 的 80 port，並且 web-server 要能夠知道使用者的 IP (3%)
3. DMZ 可以透過 firewall 向 lsa.kija.io 建立 http 連線 (3%)
4. 准許外網 ssh 連線至 firewall (3%)
5. internal zone 中的 student 可以透過 private IP ssh 連線至 DMZ 中的 web-server，並且 web-server 要能夠知道使用者的 IP (3%)
6. 所有對外的 DNS request 皆會被 firewall 導向 1.1.1.1 (3%)
7. (WARRING) INPUT, FORWARD chain 預設的 policy 為 DROP (2%)

只要不符合以上要求，就是個不夠酷的防火牆
各位小美們，請幫忙小明實作個防火牆

D. Web Server 28% (可以分次 DEMO)

以下 service 需架在 DMZ 中的 web server 上

• 使用 nginx 設定以下 domain name 使他們連到對應的網頁

  • s<學號>-lb.1101.lsa
    • :80 : load balance
  • s<學號>-proxy.1101.lsa
    • :80 : proxy 到 lsa.kija.io
  • s<學號>-apache.1101.lsa
    • :8091 : 老師的各項資訊
  • s<學號>-lighttpd.1101.lsa
    • :8092 : 助教們的中文姓名
    • :8092/~<username> : 課程資訊

• apache (8091)

  • 連線 8091 port，會顯示老師的各項資訊
    
    
    
    
    
    
    ​​​​​​​​<head>
    ​​​​​​​​        <meta charset='UTF-8'>
    ​​​​​​​​        <h1>LSA 的老師</h1>
    ​​​​​​​​        <h2>中文名字：（請作答）</h2>
    ​​​​​​​​        <h2>英文全名：（請作答）</h2>
    ​​​​​​​​        <h2>常用 ID：（請作答）</h2>
    ​​​​​​​​</head>
    

  配分標準 (7%)

  • 連線成功且網頁顯示無誤 (7%)
  • 連線成功但網頁顯示有誤 (4%)
  • 連線失敗 (0%)

• lighttpd (8092)

  • 連線 8092 port，會顯示 5 位正職助教的名字
    
    
    
    
    ​​​​​​​​<head>
    ​​​​​​​​        <meta charset='UTF-8'>
    ​​​​​​​​        <h1>助教們的中文名字</h1>
    ​​​​​​​​        <h2>（請在此處填寫 5 位正職助教的名字（有在台上出現過的））</h2>
    ​​​​​​​​</head>    
    

  • 在網址後加入 /~<username>，顯示課程資訊

    <username> 是 s<你的學號>

    
    
    
    ​​​​​​​​本課程的
    ​​​​​​​​中文名稱: {請填寫內容}
    ​​​​​​​​英文名稱: {請填寫內容}
    ​​​​​​​​英文縮寫: {請填寫內容}
    

  配分標準 (7%)

  • 連線成功且網頁顯示無誤 (7%)
  • 連線成功但網頁顯示有誤 (4%)
  • 連線失敗 (0%)

• nginx (80)

  • 連線 80 port，load balance 到以下網頁
    • apache 老師的各項資訊
    • lighttpd 助教們的中文姓名
  • proxy 到 lsa.kija.io

  配分標準 (7%)

  • 連線成功且網頁顯示無誤 (7%)
  • 連線成功但網頁顯示有誤 (4%)
  • 連線失敗 (0%)

E. [加分題] 火車快飛 5%

做不出來夠酷的防火牆，至少做個有點酷的火車吧

• 在 firewall 主機新建一個使用者 train，登入此使用者之後會直接自動執行印出火車的指令，執行結束後，就直接登出

乙. 筆試 70+15%

A. 綜合 20+3%

1. Open Source 與 Free Software 的差別是？ (2%)

2. 以學生角度，使用 Linux 的好處與壞處 (4%)

3. Ubuntu 最新的 LTS 版是？(2%)

4. 全世界公認的根域名伺服器的數量有多少? (2%)

5. 請說明 FTPS 與 SFTP 的不同 (4%)

6. 如何使用 dig 指令指定使用 8.8.8.8 這台 DNS server 查詢 www.google.com 的 IP？請寫出完整指令。 (2%)

7. 若我想針對單一使用者 testUser ，對 LSAtest 這個檔案的權限只有讀及執行，我要下甚麼指令 (2%)

   testUser 不是檔案擁有者，也不與檔案擁有者同一 group

   hint : 不是用 chmod 喔

8. 在使用 rsync 時，若希望備份出來的檔案與原始檔案有相同的屬性，並且在網路頻寬少、電腦 CPU 強的狀況下，建議加上什麼參數指令比較好？ (2%)

9. [加分題] 3 位愛心助教的名字 (3%)

B. iptables 20%

1. 請問為什麼 student 無法連上 http://163.22.17.121，但 Pubilc Network 的人卻可以呢? (10%)
2. 請問要修改對 firewall 的 iptables 下得哪些指令使 student 可以連上 http://163.22.17.121？ (10%)

• 下圖為網路架構圖
  

• 對 firewall 的 iptables 下以下指令：

sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 10.31.24.25:80
sudo iptables -A FORWARD -d 10.31.24.25 -p tcp --dport 80 -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth3 -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE

• student 那台的 routing table 為：

• http-service 在 80 port 有提供 http 服務
• http-service 無做任何網路阻擋（如 iptables

C. 子網路遮罩 30%

1. What is eth1 IP? (2%)

   eth1 use the first usable IP of the whole NAT network.

   • eth1 使用整個 NAT 網路中第一個可用的 IP

2. What is eth2 IP? (2%)

   eth2 use the second to last usable IP of the whole NAT network.

   • eth2 使用整個 NAT 網路中倒數第二個可用的 IP

3. What is eth3 IP? (2%)

   eth3 use the last usable IP of the whole NAT network.

   • eth3 使用整個 NAT 網路中最後一個可用 IP

   eth3 is in a private network

   • eth3 在內網

4. What the max number of IP Student Zone can have? (2%)

   Student Zone only has one gateway

   • Student Zoen 只有一個 gateway

   The gateway only has one network interface which hold one IP

   • 該 IP 是 gateway 擁有的唯一網路介面卡

5. If firewall want to broadcast on DMZ What IP it will call? (2%)

   firewall 想在 DMZ 上 broadcast，該使用哪個 IP ?

6. 如果你是 Mr.郭你會如何分配網路? (15+5%)

   說明：

   • 使用 IPv4 協定
   • 分配的 IP 是使用 Private IP

   題目敘述：

   有一個 MOLi 大學，有三個院，根據統計每層樓使用網路的裝置大概有 4000 左右，每個院都有無線網路跟有線網路，現在身為網管的 Mr.郭要分配網路 IP。
   BT 學院有 5 層樓，老俞學院有 4 層樓，Foca 學院有 7 層樓。

   • (必要條件 - 1) 要從 IP 可以看出是哪個院的封包，以方便管理
   • (必要條件 - 2) 各院要可以互相溝通
   • (加分條件 - 1) 從 IP 可以看出是透過無線網路還是有線網路來連上網路
   • (加分條件 - 2) 其他未列舉之條件，但可以更好管控網路

D. [加分題] 支語警察 7%

• 故事背景 :
  • 小明剛修 LSA ，上網找資料的時候發現很多看不懂的支那用語，請你幫他把下面的句子翻譯成臺灣用語 (中英混雜也可以)
• 題目 :
  • 我激活了一個網絡端口，他是應用程序默認的套接字，因為他會優化宿主機與客戶端的報文交換質量，並且軟件的計算機內存使用量也會是最少。

  找到 13 個 7 分、10 個 6 分、7 個 4 分、3 個 2 分、1 個 1 分 (要翻譯正確才算喔)

E. [加分題] 大家來找碴 5%

1. 為什麼 www.google.com 並沒有辦法如我想做的導向 127.0.0.1
   • host: mid-1.lsa.kija.io
   • user: lsa
   • key: Download link