一、项目和任务描述:
假定你是某企业的网络安全工程师,对于企业的服务器系统,
根据任务要求确保各服务正常运行,并通过综合运用用户安全管理
与密码策略、Nginx 安全策略、日志监控策略、中间件服务安全策
略、本地安全策略、防火墙策略等多种安全策略来提升服务器系统
的网络安全防御能力。本模块要求根据竞赛现场提供的 A 模块答题
模板对具体任务的操作进行截图并加以相应的文字说明,以 word 文
档的形式书写,以 PDF 格式保存,以“赛位号+模块 A”作为文件
名,PDF 格式文档为此模块评分唯一依据。
二、服务器环境说明
Windows 用户名:administrator,密码:123456
Linux 用户名:root,密码:123456
三、具体任务(每个任务得分以电子答题卡为准)
A-1 任务一 登录安全加固(Windows, Linux)
请对服务器 Windows、Linux 按要求进行相应的设置,提高服务
器的安全性。
1.密码策略(Windows, Linux)
a.最小密码长度不少于 13 个字符;
windows修改方法:本地安全策略----安全设置-----账户策略----密码策略----密码长度最小值修改为13
Linux修改方法:
修改配置文件/etc/login.defs
b.密码必须符合复杂性要求。
Linux配置方法:在配置文件/etc/pam.d/system-auth中添加
Windows配置方法
本地安全策略----安全设置—账户策略----密码策略----密码必须符合复杂性要求—右键—属性—已启用
2.用户安全管理(Windows)
a.设置取得文件或其他对象的所有权,将该权限只指派给
administrators 组;
本地安全策略—安全设置—本地策略—用户权限分配----取得文件或其他对象所有权----右键—属性—添加用户或组—点击对象类型勾选组—确定—输入对象名称administrators并检查—应用
b.禁止普通用户使用命令提示符;
在运行框中输入gpedit.msc进入本地组策略编辑器—用户配置—管理模板—系统—找到阻止使用命令提示符—双击—点击已启用—应用—确定
c.设置不显示上次登录的用户名。
本地安全策略—安全设置—本地策略—安全选项—交互式登录:不显示最后的用户名—右键—属性—已启用—应用—确定
A-2 **任务二 Nginx **安全策略( Linux **) **
禁止目录浏览和隐藏服务器版本和信息显示;
****在配置文件 /etc/nginx/nginx.conf 中
****修改
Server tokens off
**限制 HTTP **请求方式,只允许 GET 、 HEAD 、 POST **; **
vim /etc/nginx/nginx.com 进入配置文件
修改
****If ($request_method ! ∗ ∗ ∗ ∗ ( ∗ ∗ ∗ ∗ G E T ∣ H E A D ∣ P O S T ∗ ∗ ∗ ∗ ) ∗ ∗ ∗ ∗ ^** **(** **GET|HEAD|POST** **)** ** ∗∗∗∗(∗∗∗∗GET∣HEAD∣POST∗∗∗∗)∗∗∗∗){
Return 501;
}
设置客户端请求主体读取超时时间为 10;
Vim /etc/nginx/nginx.conf 进入配置文件
Client_body_timeout 10; 修改
设置客户端请求头读取超时时间为 10 ;
Vim /etc/nginx/nginx.conf 进入配置文件
Client_header_timeout 10; **修改 **
**将 Nginx ****服务降权,使用 www **用户启动服务。
Vim /etc/nginx/nginx.conf 进入配置文件
User www 修改
A-3 任务三 日志监控(Windows )
8. 安全日志文件最大大小为 128MB ,设置当达到最大的日志大小
上限时,按需要覆盖事件(旧事件优先);
右键开始图标 ---- 时间查看器 —windows 日志 — 安全 — 右键 — 属性
—勾选按需覆盖事件并设置文件最大大小131072KB![](https://img-
blog.csdnimg.cn/1a7ce764a62144d0bfcbf269262e7e2b.png)
9. 应用日志文件最大大小为 64MB ,设置当达到最大的日志大小
上限时将其存档,不覆盖事件;
右键开始菜单栏 — 事件查看器 —windows 日志 — 右键应用程序 — 属性 —
勾选达到最大的日志大小上限时,将其存档。修改最大日志文件大小为 65536KB
10. 系统日志文件最大大小为 32MB ,设置当达到最大的日志大小
上限时,不覆盖事件(手动清除日志)。
右键开始菜单栏 — 事件查看器 —windows 日志 — 右键系统 — 属性 —
勾选当达到最大的日志大小上限时,不覆盖事件(手动清除日志)。修改文件大小问 32768KB
A-4 任务四 中间件服务加固 SSHD\VSFTPD\IIS (Windows, Linux )
11.SSH 服务加固(Linux )
a. 修改 ssh 服务端口为 2222 ;
vim /etc /ssh/sshd_config 进如 ssh 配置文件
修改
b.ssh 禁止 root 用户远程登录;
**修改配置文件 /etc/ssh/sshd_config **
****
c. 设置 root 用户的计划任务。每天早上 7:50 自动开启 ssh 服
务,22:50 关闭;每周六的 7:30 重新启动 ssh 服务;
**进入配置文件 crontab -e **任务计划表
配置文件分为 6 **段: ****分 ****时 ****日 ****月 ****周 **要执行的命令
***** 代表任意时间 / 代表每隔多少时间
d. 修改 SSHD 的 PID 档案存放地。
修改配置文件 /etc/ssh/sshd.conf
12.VSFTPD 服务加固(Linux )
a. 设置运行 vsftpd 的非特权系统用户为 pyftp ;
**配置文件 /etc/vsftp/vsftpd.conf **
b. 限制客户端连接的端口范围在 50000-60000 ;
配置文件 /etc/vsftp/vsftpd.conf **中添加两行 **
c. 限制本地用户登录活动范围限制在 home 目录。
****配置文件 /etc/vsftp/vsftpd.conf 中添加
13.IIS 加固(Windows )
a. 开启 IIS 的日志审计记录( 日志文件保存格式为 W3C, 只记录日
期、时间、客户端 IP 地址、用户名、方法) ;
打开 IIS 管理器 — 选择网站 — 点击右侧的日志图标 — 格式选择 W3C—
点击选择字段只勾选日期、时间、客户端、 IP 地址、用户名、方法。
b. 关闭 IIS 的 WebDAV 功能增强网站的安全性。
IIs 管理器 — 选择网站 — 点击右侧的 DAV 创作规则 — 停止
A-5 任务五 本地安全策略(Windows )
14. 禁止匿名枚举 SAM 帐户;
本地安全策略 — 本地策略 — **安全选项 — **网络访问:不允许 SAM 用户匿名枚举 — 右键
— 属性 — 已启用
15. 禁止系统在未登录的情况下关闭;
本地安全策略 — 本地策略 — 安全选项 — 关机:允许系统未登录的情况下关闭 — 右键 — 属性
— 已禁用
16. 禁止存储网络身份验证的密码和凭据;
本地安全策略 — 本地策略 — 安全选项 — 网络访问:不允许存储网络身份验证的密码和凭据 — 右键 —
属性 — **已启用 **
17. 禁止将 Everyone 权限应用于匿名用户;
本地安全策略 — 本地策略 — 安全选项 — 网络访问:将 Everyone 权限应用于匿名用户 — 右键
— 属性 — 已禁用
18. 在超过登录时间后强制注销
本地安全策略 — 本地策略 — 安全选项 ---- 网络安全:在超过登录时间后强制注销 — 右键 —
属性 — 已启用
A-6 **任务六 **防火墙策略( Linux **) **
19. **设置防火墙允许本机转发除 ICMP ****协议以外的所有数据包; **
20. **为防止 Nmap ****等扫描软件探测到关键信息,设置 iptables **防
**火墙策略对 80 ****号端口进行流量处理; **
21. **为防御拒绝服务攻击,设置 iptables **防火墙策略对传入的流
**量进行过滤,限制每分钟允许 3 **个包传入,并将瞬间流量设定为一次
**最多处理 6 **个数据包(超过上限的网络数据包将丢弃不予处理);
4. **只允许转发来自 172.16.0.0/24 ****局域网段的 DNS **解析请求数据包
Iptables **中 –A ****向规则链中添加条目 –P ****指定数据包协议 –dport **指定端口号
-s 指定要匹配数据包源 IP -j< **动作 > **
规则链包括: INPUT 处理输入数据包 OUTPUT 处理输出数据包
FORWARD 处理转发数据包
**动作包括: ACCEPT ****接受数据包 DROP **丢弃数据包
仅个人理解,本人新手,勿喷
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!