1141 LSA-I 期中考題 - 筆試題

# 1141 LSA-I 期中考題 - 筆試題 1. 嘗試說明圖中各個欄位是甚麼（2 分） ![](https://hackmd.io/_uploads/B1SE4G01-l.png) `drwxrwxr`-x：表示檔案類型與權限，\ `d` 表示這是一個「目錄」\ :::info - `-` = 一般檔案 - `l` = 符號連結 (symbolic link) ::: 前三個 `rwx`：表擁有者有讀、寫、執行權限 \ 中三個 `rwx`：所屬群組（joanna）有讀、寫、執行權限 \ 後三個 `r-x`：其他人只有讀和執行權限 \ `5`：目錄表示該目錄中子目錄 + 自身（.）與父目錄（..）的引用數量。 \ :::info 有點繞口，可以把他理解成我能從多少目錄進到 `.` 這個目錄，包含 1. 從家目錄(`~`) cd ldap 2. 從 `~/ldap/ldap-certs` cd .. 3. 從 `~/ldap/ldap-config` cd .. 4. 從 `~/ldap/ldap-data` cd .. 5. 從 `~/ldap/` cd . 自己 ::: `joanna joanna`：擁有者、所屬群組皆為 joanna \ `4096`：目錄本身佔用 4KB 空間 \ `十 22 14:10`：目錄內容最後修改時間為 10 月 22 日 14:10 \ `.`：代表目前所在目錄（在ldap） 2. 簡述 Samba 套件中的 smbd 和 nmbd 這兩個核心服務程式各自的主要功能和職責。 ?（2 分） :::success smbd 是最主要的 Samba 服務程序，smbd = 提供共享檔案、列印、驗證等核心 SMB 通訊。\ nmbd 專門負責 NetBIOS 相關功能，讓 Windows 網路環境中的主機名稱與工作群組能正常顯示與解析。nmbd = 負責主機名稱解析、網路芳鄰瀏覽及 WINS Server 功能。 ::: 3. sudo 是幹嘛用的？為什麼需要？(2 分) :::success 主要功能：\ 允許經過授權的一般使用者在需要時以 root 或其他指定帳號的權限執行指令，而不需要直接登入 root 帳號。為什麼需要 sudo 機制： - 最小權限原則（Principle of Least Privilege） - 避免長期使用 root 帳號登入 - 完整操作稽核與控管 sudo 預設會將所有執行紀錄寫入 `/var/log/secure` 或 `/var/log/auth.log`，記錄「誰、在什麼時間、以誰的身份、執行了什麼指令」，方便事後追蹤。 - 更精細地權限控管，透過 `/etc/sudoers` 可設定非常精細的規則，例如：允許某人只執行特定指令 ::: 4. 目前通用的 SSH 版本中，使用的是哪種加密？（1 分） 1. 對稱式加密 2. 非對稱式加密 3. 對稱式 ROT13 加密 4. 非對稱式及凱薩加密 5. 非對稱式加上對稱式加密 :heavy_check_mark: :::success 先用非對稱加密交換並運算出 session key，再用這把 key 去加密整個通訊過程 ::: 5. DNS（8 分） 1. 你是網域 lsa.tw 的管理者，並擁有對外 ip：155.94.154.162（僅 IPv4），需要設定哪些 DNS 紀錄，並說明（寫出需要的紀錄型別與用途）（5 分） - 讓別人可以用 moli.lsa.tw 瀏覽網站 - 讓外部可以寄信給 @lsa.tw，且你寄出的信不易被當成垃圾郵件 :::success - `moli A 155.94.154.162` - `@ MX 10 mail.lsa.tw. mail A 155.94.154.162` - `TXT : @ : "v=spf1 a mx ip4:155.94.154.162 ~all"` - `TXT : _dmarc : "v=DMARC1; p=quarantine; rua=mailto:admin@lsa.tw"` ::: 2. ftp.ubuntu-tw.org 的 IPv6 address 是哪個（1 分） :::success - `2001:e10:6840:2::11` - `nslookup ftp.ubuntu-tw.org` ::: 3. 說明為什麼會需要 DNSSEC？（2 分） :::success - 傳統 DNS多用 UDP/53 port、資料不加密也無簽章，相信第一個收到的回應容易遭受 DNS 汙染 - DNSSEC 驗證回應的數位簽章，杜絕資料被偽造或篡改 ::: 6. Mail server（5 分） 1. 根據下方結果，如果我寄信給 @kaiwha.com 信會優先寄去哪台？（1 分） ``` $ dig kaiwha.com MX | grep MX ; <<>> DiG 9.18.39-0ubuntu0.24.04.2-Ubuntu <<>> kaiwha.com MX ;kaiwha.com. IN MX kaiwha.com. 292 IN MX 10 route2.mx.cloudflare.net. kaiwha.com. 292 IN MX 20 route1.mx.cloudflare.net. kaiwha.com. 292 IN MX 30 route3.mx.cloudflare.net. ``` :::success - route2.mx.cloudflare.net. - MX 紀錄中，數字越小，優先權越高 ::: 2. SPF 的作用是什麼？（1 分） - 驗證寄件人網域是否被允許寄信 :heavy_check_mark: - 檢查郵件內容是否被竄改 - 驗證信件主體簽章 3. DKIM 的核心機制是什麼？（1 分） - 雜湊比對內容 - 使用公私鑰簽章驗證信件內容未被竄改 :heavy_check_mark: - 驗證發件人 IP 4. 如何找出哪台電腦被允許替 lsa.tw 寄信呢？ - 請寫出你會用的指令 + 那台電腦的 IPv4 address :::success - `dig lsa.tw TXT | grep TXT` - `dig mailwish.com TXT | grep TXT` - `dig relay.mailwish.com TXT | grep TXT` - `15.235.10.99` - `192.96.143.0/24` ::: 7. OSI & TCP/IP（7 分） 1. OSI、TCP/IP 分別有幾層（2 分） - OSI 模型：7 層 - TCP/IP 模型：4 層 3. 下列哪一項屬於傳輸層（Transport Layer）的協定？（1 分） - IP --> Internet Layer - TCP :heavy_check_mark: - ARP --> Link Layer - HTTP --> Application Layer 4. 有一個 ip 為：192.168.12.34/24，請問下列哪個 ip 與此 ip 同網段？（2 分） - 192.168.12.210/25 - 192.162.12.35/24 - 192.168.12.255/24 :heavy_check_mark: - 192.168.12.66/24 :heavy_check_mark: > 這兩個都給對 5. 甚麼是 NAT？請說明特性、應用範例（2 分）\ NAT 是一種網路位址轉換技術，因為 ipv4 的數量有限而出現的技術，用來在私有 IP 與公有 IP 之間進行轉換。它能讓多台內部主機共用同一個公有 IP 上網，因為內部位址不能上網。常見類型包括 SNAT 與 DNAT。較典型的應用是家用路由器利用 NAT 讓所有設備共用一個公有 IP 8. 防火牆 & iptables（12 分） 1. Netfilter 情境題 (3 題) ``` 一台 Linux 主機同時扮演路由器角色，擁有兩張網卡： - eth0：連接內網（192.168.1.0/24） - eth1：連接外網（203.0.113.0/24）請根據下列情境，判斷封包會經過哪些 Netfilter hook 點 ``` 1. 內網主機 192.168.1.10 要連線到外部網站 8.8.8.8，封包經過該 Linux 路由器轉送出去。（2 分） 1. NF_INET_PRE_ROUTING 2. NF_INET_FORWARD 3. NF_INET_POST_ROUTING 2. 外部主機 8.8.8.8 回傳封包給這台 Linux 主機本身（例如回應 ping）。（3 分） 1. NF_INET_PRE_ROUTING 2. NF_INET_LOCAL_IN 3. 這台 Linux 主機自己使用 ping 8.8.8.8。（3 分） 1. NF_INET_LOCAL_OUT 2. NF_INET_POST_ROUTING 2. 何為 DMZ，描述功能及用途，若沒有 DMZ 又會如何？（4 分）\ DMZ 是位於內網與外網之間的隔離區，用來放置對外服務的伺服器（如 Web、Mail），讓外部能連線但不直接接觸內網。功能是提高安全性，即使伺服器被攻破也不會直接影響內網。若沒有 DMZ，對外服務必須放在內網，一旦被入侵就會造成整個內網暴露於風險中。