目录
七.Nginx安全策略(linux)/etc/nginx/conf
八.日志监控(windows)cmd输入eventvwr进入右击各属性就可以完成配置了
六.数据库安全策略
a. 以普通帐户mysql安全运行mysql服务,禁止mysql以管理员帐号权限运行;/etc/my.cnf文件
b. 删除默认数据库(test);
mysql>drop database test;
c. 改变默认mysql管理员用户为:SuperRoot;
mysql>update user set user="SuperRoot" where user="root";
flush privileges;
d. 使用mysql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!);
mysql>update mysql.user set password=md5(“P@ssw0rd1!”) where user = ‘user1’;
七.Nginx安全策略(linux)/etc/nginx/conf
a. 禁止目录浏览和隐藏服务器版本和信息显示;
Server_Tokens off
b. 限制HTTP请求方式,只允许GET、HEAD、POST;
if ($(required_method !~^(GET|HEAD|POST)$) {
reture 501 ;
}
c. 设置客户端请求主体读取超时时间为10;
client_body_timeout=10
d. 设置客户端请求头读取超时时间为10;
client_header_timeout=10
e. 将Nginx服务降权,使用www用户启动服务
两种方式任意一种即可
1.user www
2.user www www
八.日志监控(windows)cmd输入eventvwr进入右击各属性就可以完成配置了
a. 安全日志文件大小至少为128MB,设置当达到最大的日志大小上限时,覆盖早于30天的日志;
b. 应用日志文件大小至少为64MB,设置当达到最大的日志大小上限时,覆盖早于15天的日志;
c. 系统日志大小至少为32MB,设置当达到最大的日志大小上限时,按需要覆盖事件
九.防火墙策略
a. 设置防火墙允许本机转发除ICMP协议以外的所有数据包;
iptables -A FORWARD -p icmp -j ACCEPT
b. 为防止Nmap等扫描软件探测到关键信息,设置iptables防火墙策略对80号端口进行流量处理;
iptables -A INOUT -p tcp --dport 80 -j DROP
c. 为防御拒绝服务攻击,设置iptables防火墙策略对传入的流量进行过滤,限制每分钟允许3个包传入,并将瞬间流量设定为一次最多处理6个数据包(超过上限的网络数据包将丢弃不予处理);
iptables -A INPUT -p tcp -m limit --limit 3/minute --limit-burst 6 -j ACCEPT
d. 只允许转发来自172.16.0.0/24局域网段的DNS解析请求数据包
iptables -A FORWARD -p tcp --dport 53 -s 172.16.0.0/24 -j ACCEPT
e. 禁止任何机器ping本机,将iptables配置命令截图
iptables -A INPUT -p icmp -j DROP
f. 禁止本机ping任何机器,将iptables配置命令截图
iptables -A OUTPUT -p icmp -j DROP
g. 禁用23端口
iptables -A INOUT -p tcp --dport 23 -j DROP
iptables -A INOUT -p udp --dport 23 -j DROP
h. 禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包,将iptables配置命令截图
iptables -A FORWARD -m mac --mac 29:OE:29:27:65:EF -j DROP
i. 为防御IP碎片攻击,设置iptables防火墙策略限制IP碎片的数量,仅允许每秒处理1000个,将iptables配置命令截图
iptables -A INOUT -m limit --limit 1000/s -j ACCEPT
j. 为防止SSH服务被暴力枚举,设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机,将iptables配置命令截图
iptables -A INOUT -p tcp --dport 22 -s 172.16.10.0./24 -j ACCEPT
iptables -A INOUT -p tcp --dport 22 -j DROP
k. 允许本机开放从TCP端口20-1024提供的服务
iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT
l. 在工作时间,即周一到周五的8:30-18:00,开放本机的ftp给192.168.1.0/24网络中的主机访问
iptables -A INOUT -p tcp --dport 21 -s 192.168.0/24 -m time --timestart 8:30 --timestop 18:00 --weekdays 1,2,3,4,5 -j ACCEPT
m.为确保安全,仅允许172.16.10.0/24网段内的主机通过SSH连接本机
iptables -A INPUT -p tcp -s 172.16.10.0/24 --dport 22 -j ACCEPT
十.IP协议安全配置
(cmd>regedit打开注册表,在HKEY_LOCAL_MACHINE/SYSTEM/services/Tcpip/Parameters路径进行修改)
a. 指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5;
b.指定处于SYN_RCVD状态的TCP连接数的阈值为500;
c. 指定处于至少已发送一次重传的SYN_RVCD状态中的TCP连接数的阈值为400
QQ群交流:809706080