A-1任务一 登录安全加固(Windows,Linux)
1.密码策略(Windows,linux)
a.最小密码长度不少于8个字符;4
Windows:
Linux:
vim /etc/login.defs
b.密码策略必须同时满足大小写字母、数字、特殊字符。
Windows:
Linux:
vim /etc/pam.d/system-auth 
2.登录策略(Windows,linux)
a.在用户登录系统时,应该有“For authorized users only”提示信息;
Windows:
Linux:
vim /etc/issue
b.一分钟内仅允许5次登录失败的尝试,超过5次,登录帐号锁定1分钟;
Windows:
Linux:
vim /etc/pam.d/system-auth
c.远程用户非活动会话连接超时应小于等于5分钟。
Windows:
Linux:
/etc/ssh/sshd_config
3.用户安全管理(Windows)
a.对服务器进行远程管理安全性SSL加固,防止敏感信息泄露被监听;
b.查找并删除服务器中可能存在的帐号hacker;
c.普通用户进行最小权限管理,对关闭系统仅限管理员帐号。
A-2任务二 日志安全配置(Windows)
4.配置审核登陆,记录内容包括用户登录使用的账户、登录是否成功、登录时间、以及远程登录时间、及用户使用的IP地址;
5.启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需要审核;
6.启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。
A-3任务三 中间件服务安全加固VSFTPD/HTTPD/BIND(Linux)
7.VSFTPD
a.vsftpd禁止匿名用户上传;
b.设置无任何操作的超时时间为5分钟;
c.匿名用户访问的最大传输速率为512KB/S;
d.用户访问的最大传输速率为1M。
8.HTTPD
a.更改默认监听端口为6666;
b.设置禁止目录浏览;
c.隐藏Apache版本号;
d.将Apache服务降权,用户为apache,用户组为www。
9.BIND
a.隐藏bind版本号;
修改/etc/named.conf ,在named.conf文件里添加
options {
directory "/var/named";
version "[no about your business]";
};
b.设置不提供递归服务。
A-4任务四 流量完整性保护(Windows)
10.对Web网站进行HTTP重定向HTTPS设置,仅使用HTTPS协议访问网站(Windows)(注:证书颁发给test.com 并通过https://www.test.com访问Web网站)。
创建自签名证书
使用证书搭建网站
修改host文件
修改application.config文件
设置重定向
A-5任务五 防火墙策略(Linux)
11.为防止Nmap扫描软件探测到关键信息,设置iptables防火墙策略对3306号端口进行流量处理;
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,SYN --dport 3306 -j DROP
12.为防止SSH服务被暴力枚举,设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机;
13.为防御IP碎片攻击,设置iptables防火墙策略限制IP碎片的数量,仅允许每秒处理1000个。
A-6任务六 WEB安全加固(Windows)
14.为了防止web中.mdb数据库文件非法下载,请对Web配置文件进行安全加固;
15.限制目录执行权限,对picture和upload目录设置执行权限为无;
16.开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法)。
//仅供参考
908
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
