第一次写文,请多理解
有什么问题可以联系博主
目录
五.中间件服务加固SSH\VSFTPD\IIS\HTTPD(windows,linux)
一.登录安全加固
- 密码策略(windows,Linux)
- 最小密码长度不少于8个字符,属性配置界面截图;
Windows:
Linux: /etc/login.defs
b. 密码策略必须同时满足大小写字母、数字、特殊字符,将密码必须符合复杂性要求的属性配置界面截图;
windows:
Linux: /etc/pam.d/system-auth
- 用户安全管理
- .设置取得文件或其他对象的所有权,将该权限只指派给administrators组
- 禁止普通用户使用命令提示符
Cmd>gpedit.msc
c. 设置不显示上次登录的用户名
- 登录策略
- 设置账户锁定阈值为6次错误锁定账户,锁定时间为1分钟复位账户锁定计数器为1分钟之后,将账户锁定策略配界面截图;
Windows:
Linux:(/etc/pam.d/system-auth)
b. 设置user1用户只能在上班时间(周一至周五的9:00~18:00)可以登录。将user1的登录时间配置界面截图;
二.Web安全加固
a. 为了防止web中.mdb数据库文件非法下载,请对Web配置文件进行安全加固;
C:\Windows\System32\inetsrv\config路径下打开这个文件application.config(记事本下)
- 限制目录执行权限,对picture和upload目录设置执行权限为无,将编辑功能权限的配置界面截图;
三.流量完整性保护
a.创建 www.chinaskills.com 站点,在 C:\web 文件夹内中创建
名称为 chinaskills.html 的主页,主页显示内容“热烈庆祝 2021 年
全国职业技能大赛开幕”,同时只允许使用 SSL 且只能采用域名(域
名为 www.test.com)方式进行访问,将网站绑定的配置界面截图;(windows)
- 先新建证书
- 新建www.chinaskills.com站点
- 更改这个路径C:\Windows\System32\drivers\etc的hosts文件添加一句ip地址和www.test.com
- 再更改application.config文件
- http重定向
- 网站绑定一下
b.使用openssl申请证书,创建自签名证书server.crt和私钥server.key要求只允许使用域名通过SSL加密访问;(Linux)
openssl req -new -x509 -keyout server.key -out server.crt -config ../openssl.cnf
四.本地安全策略(windows)
- 禁止匿名枚举SAM账户;
- 禁止系统在未登录的情况下关闭;
- 禁止存储网络身份验证的密码和凭据;
- 禁止将Everyone权限应用于匿名用户;
- 在超过登录时间后强制注销;
五.中间件服务加固SSH\VSFTPD\IIS\HTTPD(windows,linux)
SSH加固(linux) /etc/ssh/sshd_config文件
a.修改ssh服务端口为2222;
b.ssh禁止root用户远程登录;
- 设置root用户的计划任务。每天早上7:50自动开启ssh服务,22:50关闭;每周六的7:30重新启动ssh服务;
d. 修改SSHD的PID档案存放地;
e.配置SSH服务,设置RSA证书登录,将配置文件中对应的部分截图;
VSFTPD(linux) /etc/vsftpd/vsftpd.conf文件
a. 设置运行vsftpd的非特权系统用户为pyftp;
b. 限制客户端连接的端口范围在 50000-60000,将配置文件下的相关配置项截图;
c. 匿名用户访问的最大传输速率为512KB/S
d. 限制本地用户登陆活动范围限制在home目录
e. 设置站点本地用户访问的最大传输速率为1M;配置文件中对应的部分截图
f. vsftpd禁止匿名用户登录
g.vsftpd禁止匿名用户上传
h. 设置无任何操作的超时时间为5分钟
i. 同一个客户端IP最多只能打开两个连接
j. 设置数据连接的超时时间为2分钟
IIS加固(windows)
a. 开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法);
b. 关闭IIS的WebDAV功能增强网站的安全性
c. 防止文件枚举漏洞枚举网络服务器根目录文件,禁止IIS短文件名泄露,将配置命令截图
HTTP加固 /etc/httpd/conf/httpd.conf文件
a.更改默认监听端口为6666;
b. 隐藏Apache版本号;
c. 将Apache服务降权,用户为apache,用户组为www;
d. 修改网站的httpd服务为root权限,将配置文件中对应的部分截图;
e. 设置禁止目录浏览;
f. 设置HTTP服务,修改网站的配置文件,配置滚动日志按天记录网站的访问日志和错误日志,将配置文件中对应的部分截图;
配置文件 :/etc/httpd.conf/httpd.conf