1)关闭非必要服务,减少攻击面
2)修复安全问题,解决隐患
3)优化策略,增加限制,提高入侵难度
4)优化日志储存,提供可溯源
windows
计算机管理-》查看用户中的guest是否被禁用
本地安全策略-》账户策略-》密码策略-》密码复杂度,最小值,使用周期,强制密码历史(与前几次密码不能相同)
-》本地策略-》安全选项-》启用交互式登录(不显示最后登录用户名)
改默认管理员用户名和默认端口
注册表regedit打开
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal Server/Wds/Repwd/Tds/Tcp
和HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations/RDP-tcp
找到portnumber 然后十进制 改完重启
组件服务-》服务(本地)-》把无用的 例如服务,共享的服务关闭(DSCP Client自动分配ip,云主机ip固定;dns client;print s'p'ooler;tcp/ip netbios helper;windows romote mangement)
防火墙-》开启-》高级-》入站规则-》新建规则,阻止端口连接-》禁ping:文件和打印共享,ICMPV4启用
事件查看器-》应用程序和安全两个的属性-》日志最大大小改大,设置不覆盖事件
linux
vi /etc/login.defs
找到pass_max_day(多少天后必须修改密码)
vi /etc/pam.d/common-password
找到pam_cracklib minlen最小长度 ucredit大写字母 lcredit小写字母 dcredit数字 ocredit特殊字符
vi /etc/pam.d/su
找到两个auth 除了pam_rootok pam_wheel 其他用户组不能使用suid提权为6
awk '{print "a"}' /etc/passwd
看是否有除了root以外的用户uid为0(最高权限)
特殊文件权限限制,设置默认权限
vi /etc/pro
vi /etc/profile(在最后面设置umask 0,7)
chmod 400 /etc/shadow
chmod 400 /etc/gr (只允许文件所有者进行读的操作)
chmod 644 /etc/group (文件所有者可以读写)
vi /etc/profile 加上tmout=300 (连接五分钟不活动自动断开)
source /etc/profile
iptables命令开放端口(系统防火墙)
chattr +i /etc/hosts 限制文件只可读(-i解除限制,不解除root也操作不了,这样是为了防止黑客修改文件,如对文件加密勒索)