2022年全国职业院校技能大赛网络安全A模块安全加固解析

Battle me

已于 2023-04-28 12:08:09 修改

阅读量3.7k

点赞数 30

分类专栏：笔记文章标签： linux 服务器 centos 网络安全

于 2023-04-27 09:59:29 首次发布

本文链接：https://blog.csdn.net/qq_53365018/article/details/130399502

版权

笔记专栏收录该内容

10 篇文章 3 订阅

订阅专栏

A-1任务一登录安全加固

1.密码策略（Windows，Linux）
a.设置最短密码长度为15；
linux

Windows

c.密码最长存留期为45天；
linux

Windows

b.一分钟内仅允许4次登录失败，超过4次，登录帐号锁定1分钟。（注意是超过4次登录，也就是5次，4次不计分。）
Linux

Auth required pam_tally2.so dent=5 unlock_time=60

Windows

b.密码策略必须同时满足大小写字母、数字、特殊字符。
Windows

Linux

2.登录策略（Windows，linux）
a.在用户登录系统时，应该有“For authorized users only”提示信息;
windows

Linux

c.远程用户非活动会话连接超时应小于等于5分钟。
Windows

Linux

3.用户安全管理(Windows)
a.对服务器进行远程管理安全性SSL加固，防止敏感信息泄露被监听;

b.查找并删除服务器中可能存在的帐号hacker;

c.普通用户进行最小权限管理，对关闭系统仅限管理员帐号。

设置取得文件或其他对象的所有权，将该权限只指派给administrators组；

禁止普通用户使用命令提示符;

禁用来宾账户，禁止来宾用户访问计算机或访问域的内置账户；

禁止从远端系统强制关机，将该权限只指派给administrators组。

禁止普通用户使用注册表编辑工具以及Ctrl+Alt+Del；

设置不显示上次登录的用户名。

在组策略中只允许管理员账号从网络访问本机；

设置操作系统中的关键目录（system32、hosts、Program Files、Perflogs）的权限为最优状态，即仅允许管理员用户进行读取及运行。

System32

Hosts

Program Files

PerfLogs

A-2任务二 Nginx安全策略（Linux）
3.禁止目录浏览和隐藏服务器版本和信息显示；

隐藏版本号

4.限制HTTP请求方式，只允许GET、HEAD、POST；

5.设置客户端请求主体读取超时时间为10；

6.设置客户端请求头读取超时时间为10；

7.将Nginx服务降权，使用www用户启动服务。

A-3任务三日志监控（Windows）
8.安全日志文件大小至少为128MB，设置当达到最大的日志大小上限时，覆盖早于30天的日志；

9.应用日志文件大小至少为64MB，设置当达到最大的日志大小上限时，覆盖早于15天的日志；

10.系统日志大小至少为32MB，设置当达到最大的日志大小上限时，按需要覆盖事件。

A-2任务二日志安全配置（Windows）

4.配置审核登陆，记录内容包括用户登录使用的账户、登录是否成功、登录时间、以及远程登录时间、及用户使用的IP地址；

5.启用本地安全策略中对Windows系统的审核策略更改，成功和失败操作都需要审核；

6.启用本地安全策略中对Windows系统的审核对象访问，成功和失败操作都需要审核。

A-4任务四日志安全审计（Windows）

12.启用本地安全策略中对Windows系统的审核目录服务访问，仅需要审核失败操作；

13.启用本地安全策略中对Windows系统的审核特权使用，成功和失败操作都需要审核；

14.启用本地安全策略中对Windows系统的审核系统事件，成功和失败操作都需要审核。

11.启用本地安全策略中对Windows系统的审核帐户管理，成功和失败操作都要审核；

12.启用本地安全策略中对Windows系统的审核进程追踪，仅失败操作需要审核。

A-2任务二数据库安全策略

3.以普通帐户mysql安全运行mysql服务，禁止mysql以管理员帐号权限运行；

4.删除默认数据库(test)；

5.改变默认mysql管理员用户为:SuperRoot；

6.使用mysql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!)。

17.赋予user1用户对数据库所有表只有select,insert,delete,update权限。

A-3任务三流量完整性

7.对Web网站进行HTTP重定向HTTPS设置，仅使用HTTPS协议访问网站（Windows）(注：证书颁发给test.com 并通过https://www.test.com访问Web网站)。
打开iis管理器，点击创建证书申请

打开浏览器访问http://127.0.0.1/certsrv

打开证书颁发机构，将挂起的证书颁发
右键打开证书

打开iis管理器完成证书申请

创建两个文件网站

打开iis添加两个网站

修改hosts文件

修改applicationHost文件

Ctrl+F搜索443

访问www.test.com

A-5任务五防火墙策略

9.Windows系统禁用445端口；

10.Windows系统禁用23端口；

11.Linux系统使用iptables禁用23端口；

11.为防止Nmap扫描软件探测到关键信息，设置iptables防火墙策略对3306号端口进行流量处理；

20.为防止Nmap等扫描软件探测到关键信息，设置iptables防火墙策略对80号端口进行流量处理；

12.为防止SSH服务被暴力枚举，设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机

13.为防御IP碎片攻击，设置iptables防火墙策略限制IP碎片的数量，仅允许每秒处理1000个。

19.设置防火墙允许本机转发除ICMP协议以外的所有数据包；

21.为防御拒绝服务攻击，设置iptables防火墙策略对传入的流量进行过滤，限制每分钟允许3个包传入，并将瞬间流量设定为一次最多处理6个数据包（超过上限的网络数据包将丢弃不予处理）；

22.只允许转发来自172.16.0.0/24局域网段的DNS解析请求数据包。

18.禁止任何机器ping本机；

19.禁止本机ping任何机器；

20.拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机；

21.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包。

17.为确保安全Linux系统禁止所有人通过ssh连接除了172.16.1.1这个ip；

22.在工作时间，即周一到周五的8:30-18:00，开放本机的ftp服务给 192.168.1.0网络中的主机访问；

19.要求从ftp服务的数据下载请求次数每分钟不得超过 5 个

21.配置iptables防火墙过滤规则，以封堵目标网段（172.16.1.0/24），并在两小时后解除封锁。

设置防火墙允许本机转发除ICMP协议以外的所有数据包；

A-6任务六 WEB安全加固（Windows）

14.为了防止web中.mdb数据库文件非法下载，请对Web配置文件进行安全加固;

15.限制目录执行权限,对picture和upload目录设置执行权限为无；
pivture

upload

16.开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法)。

A-5任务五 Web安全加固（Linux）
18.为了减轻网站负载，设置网站最大并发连接数为1000；

19.防止文件枚举漏洞枚举网络服务器根目录文件，禁止IIS短文件名泄露；

20.关闭IIS的WebDAV功能增强网站的安全性。

A-4任务四中间件服务加固SSHD\VSFTPD\IIS（Windows, Linux）
11.SSH服务加固（Linux）
a.修改ssh服务端口为2222；

在这里插入图片描述

ssh禁止root用户远程登录；

设置root用户的计划任务。每天早上7:50自动开启ssh服务，22:50关闭；每周六的7:30重新启动ssh服务；

在这里插入图片描述

修改SSHD的PID档案存放地。

A-5任务五中间件安全加固SSHD\VSFTPD\IIS（Windows, Linux）

15．SSHD服务加固
a.修改SSH连接界面静置时间;

在这里插入图片描述

b.修改登录记录的等级为INFO;

在这里插入图片描述

c.禁止登陆后显示信息。
在这里插入图片描述

16．VSFTPD服务加固
a.同一客户机IP地址允许最大客户端连接数10；
在这里插入图片描述

b.最大客户端连接数为100；

c.设置数据连接的超时时间为2分钟；

设置本地用户创建文件的权限为022。

a.设置运行vsftpd的非特权系统用户为pyftp；
在这里插入图片描述

b.限制客户端连接的端口范围在50000-60000；

限制本地用户登陆活动范围限制在home目录。

7.VSFTPD
a.vsftpd禁止匿名用户上传；

b.设置无任何操作的超时时间为5分钟；

c.匿名用户访问的最大传输速率为512KB/S；

用户访问的最大传输速率为1M。

b为了解决IIS短文件名漏洞，设置URL序列为~；

A-3任务三中间件服务安全加固VSFTPD/HTTPD/BIND（Linux）

7.VSFTPD
a.vsftpd禁止匿名用户上传；

b.设置无任何操作的超时时间为5分钟；

c.匿名用户访问的最大传输速率为512KB/S；

用户访问的最大传输速率为1M。

8.HTTPD
a.更改默认监听端口为6666；

保存修改，退出。
//如果没有semanage命令，则执行：
# yum -y install policycoreutils-python

b.设置禁止目录浏览；

c.隐藏Apache版本号；

将Apache服务降权，用户为apache，用户组为www。

9.BIND
a.隐藏bind版本号；

b.设置不提供递归服务。

Recursion no

A-6任务六 IP协议安全配置

13.指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5；

14.指定处于SYN_RCVD状态的TCP连接数的阈值为500；

15.指定处于至少已发送一次重传的SYN_RVCD状态中的TCP连接数的阈值为400。

A-5任务五本地安全策略（Windows）
14.禁止匿名枚举SAM帐户；

16.禁止存储网络身份验证的密码和凭据；

17.禁止将Everyone权限应用于匿名用户；

4.在密码过期的前5天开始提示用户在过期之前更改密码；

5.要求任何用户在登录到Windows前都必须按CTRL+ALT+DEL；

6.禁止SAM 帐户和共享的匿名枚举；

7.禁用来宾帐户。

3.关闭系统时清除虚拟内存页面文件；

4.禁止系统在未登录的情况下关闭；

5.禁止软盘复制并访问所有驱动器和所有文件夹；

17.禁止自动管理登录；

A-3任务三服务安全配置（Windows）

8.禁用TCP/IP上的NetBIOS协议，关闭监听的 UDP 137（netbios-ns）、UDP 138（netbios-dgm）以及 TCP 139（netbios-ssn）端口；

10.设置从屏幕保护恢复时需要输入密码，并将屏幕保护自动开启时间设定为五分钟；

11.对于远程登录的帐户，设置不活动超过时间5分钟自动断开连接。