前言
这是作者第一次写文章,可能会有一些不好的地方。 有要环境+QQ:3464531613
任务一:登录安全加固
任务环境说明:
✓ 服务器场景:LOG:(开放链接)
✓ 用户名:root密码:root
✓ 服务器场景:Web:(开放链接)
✓ 用户名:administrator密码:P@ssw0rd
1.密码策略(Web)
a.最小密码长度不少于 8 个字符,将密码长度最小值的属性配置界面截图;
![](https://i-blog.csdnimg.cn/blog_migrate/5b6a9ce4b238b473b7dc82f23bd18aa7.png)
b.密码策略必须同时满足大小写字母、数字、特殊字符,将密码必须符合复 杂性要求的属性配置界面截图。
![](https://i-blog.csdnimg.cn/blog_migrate/94104ceec1837f1e848bda88f669c4e9.png)
c.设置密码策略必须同时满足大小写字母、数字、特殊字符,最小密码长度 不少于 8 个字符,密码最长使用期限为 15 天。将服务器上密码策略配置信息截图;
![](https://i-blog.csdnimg.cn/blog_migrate/970b0534dfd6808009287816f63d86fb.png)
2.登录策略(Web)
a.在用户登录系统时,应该有“For authorized users only”提示信息,将 登录系统时系统弹出警告信息窗口截图;
![](https://i-blog.csdnimg.cn/blog_migrate/ae781c460de04a6dd5652621a8ae25ec.png)
b.一分钟内仅允许 5 次登录失败的尝试,超过 5 次,登录帐号锁定 1 分钟, 将账户锁定策略配置界面截图;
![](https://i-blog.csdnimg.cn/blog_migrate/3c55b28c93a733ae4400ed69f36e3a31.png)
c.设置 user1 用户只能在上班时间(周一至周五的 9:00~18:00)可以登录。 将 user1 的登录时间配置界面截图。
![](https://i-blog.csdnimg.cn/blog_migrate/3b47c5fc2a62fece92d1ace5ae920f8f.png)
d.远程用户非活动会话连接超时应小于等于5分钟。
![](https://i-blog.csdnimg.cn/blog_migrate/76af5d5f02b34e282462a537412fad6a.png)
3.用户安全管理(Web)
a.对服务器进行远程管理安全性 SSL 加固,防止敏感信息泄露被监听,将 RDP-Tcp 属性对应的配置界面截图;
![](https://i-blog.csdnimg.cn/blog_migrate/dd3630765f5e32a4898c2be410f6dff8.png)
b.仅允许超级管理员账号关闭系统,将关闭系统属性的配置界面截图。
![](https://i-blog.csdnimg.cn/blog_migrate/ed2310a4b6b427fe9e0eab5759c6d205.png)
c.禁止普通用户使用注册表编辑工具以及Ctrl+Alt+Del;
![](https://i-blog.csdnimg.cn/blog_migrate/6f53b07cfbe830984173c845bc9741bf.png)
![](https://i-blog.csdnimg.cn/blog_migrate/708677a420e12f3eeb0e2be07b945f64.png)
d.交互式登录时不显示用户名;
![](https://i-blog.csdnimg.cn/blog_migrate/012b25047003db6cc4e6a015c60b6925.png)
e.设置取得文件或其他对象的所有权,将该权限只指派给administrators组;
![](https://i-blog.csdnimg.cn/blog_migrate/9ff53bf3e4e242ffda5e6d5ac8baeaba.png)
f.禁止普通用户使用命令提示符;
方法一:
![](https://i-blog.csdnimg.cn/blog_migrate/7fbf3ba579d1e52d0de091f6aa78bcea.png)
方法2:
![](https://i-blog.csdnimg.cn/blog_migrate/441ea843fac3c3b6db676a72abd815e7.png)
任务二:Web 安全加固(Web)
任务环境说明:
✓ 服务器场景:LOG:(开放链接)
✓ 用户名:root密码:root
✓ 服务器场景:Web:(开放链接)
✓ 用户名:administrator密码:P@ssw0rd
1.为了防止 web 中.mdb 数据库文件非法下载,请对 Web 配置文件进行安全加 固,将 C:\Windows\System32\inetsrv\config\applicationHost 配置文件中对应 的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/e7f12976dbb3d83408e58a16b36715a6.png)
2.限制目录执行权限,对 picture 和 upload 目录设置执行权限为无,将编辑 功能权限的配置界面截图;
picture目录设置:
![](https://i-blog.csdnimg.cn/blog_migrate/060ac3b6bc0337ef2d7ca7659e5d0fa8.png)
upload目录设置:
![](https://i-blog.csdnimg.cn/blog_migrate/b91256863cdfad90d554671a842514cd.png)
方法2:
picture目录设置:
![](https://i-blog.csdnimg.cn/blog_migrate/fddf7d3d7232ae7063ea712c02afee08.png)
upload目录设置:
![](https://i-blog.csdnimg.cn/blog_migrate/3a48dbb52ae6d784cc1abd28e711e5c3.png)
3.开启 IIS 的日志审计记录(日志文件保存格式为 W3C,只记录日期、时间、客 户端 IP 地址、用户名、方法),将 W3C 日志记录字段的配置界面截图;
![](https://i-blog.csdnimg.cn/blog_migrate/c0e2d962c6e87c3befe13af35dd272b7.png)
4.为了减轻网站负载,设置网站最大并发连接数为 1000,将编辑网站限制的 配置界面截图;
![](https://i-blog.csdnimg.cn/blog_migrate/0de2d6af050331b4933a12d9231b10d3.png)
5.防止文件枚举漏洞枚举网络服务器根目录文件,禁止 IIS 短文件名泄露, 将配置命令截图。
![](https://i-blog.csdnimg.cn/blog_migrate/277437c4f3b8edb7da5ddf231757ec9d.png)
6.关闭 IIS 的 WebDAV 功能增强网站的安全性,将警报提示信息截图。
![](https://i-blog.csdnimg.cn/blog_migrate/f8bb121977d31c92388f519e9ed24b2b.png)
7.设置网站的最大并发连接数为 1000,网站连接超时为 60s,将编辑网站限制的配置界面截图;
![](https://i-blog.csdnimg.cn/blog_migrate/2ea69ce8971843415bfe1f6eb68046e7.png)
8. 禁用 IIS 内核缓存,避免对方利用 ms15_034 漏洞进行 DOS 攻击,出现蓝屏 的现象,将编辑输出缓存设置的配置界面截图;
![](https://i-blog.csdnimg.cn/blog_migrate/82f3a373760a789a97f1935fde8fa912.png)
任务三:流量完整性保护与事件监控(Web,Log)
任务环境说明:
✓ 服务器场景:LOG:(开放链接)
✓ 用户名:root密码:root
✓ 服务器场景:Web:(开放链接)
✓ 用户名:administrator密码:P@ssw0rd
1.为了防止密码在登录或者传输信息时被窃取,仅使用证书登录 SSH(Log), 将/etc/ssh/sshd_config 配置文件中对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/899f6862f7b41e59008f59f6f2e09c52.png)
2.将 Web 服务器开启审核策略
登录事件成功/失败;
特权使用成功;
策略更改成功/失败;
进程跟踪成功/失败;
将审核策略的配置界面截图;
![](https://i-blog.csdnimg.cn/blog_migrate/aa9a3dd67770262d1967350a0d44c998.png)
3.配置 Splunk 接收 Web 服务器,安全日志,系统日志,CPU 负载,内存,磁
盘空间,网络状态。将转发器:部署成功的页面截图。
![](https://i-blog.csdnimg.cn/blog_migrate/fd6cf934f410e15c640e9414b71b6092.png)
任务四: 防火墙策略-1
任务环境说明:
✓ 服务器场景:LOG:(开放链接)
✓ 用户名:root密码:root
✓ 服务器场景:Web:(开放链接)
✓ 用户名:administrator密码:P@ssw0rd
所有服务器开启防火墙,为防止勒索病毒攻击对防火墙进行加固策略:
1.Windows 系统禁用 445 端口,将防火墙入站规则截图;
![](https://i-blog.csdnimg.cn/blog_migrate/f7cd407b9df47582ea1445d2e411d194.png)
2.Linux 系统禁用 23 端口,将 iptables 配置命令截图;
![](https://i-blog.csdnimg.cn/blog_migrate/8dc8483a1c668174b04e1394bb25be85.png)
3.Linux 系统禁止别人 ping 通,将 iptables 配置命令截图;
![](https://i-blog.csdnimg.cn/blog_migrate/2c6a4d1ef2cc00d0c7879a46268f094a.png)
4.Linux 系统为确保安全禁止所有人连接 SSH 除了 172.16.1.1 这个 ip,将 iptables 配置命令截图。
![](https://i-blog.csdnimg.cn/blog_migrate/e71ae7dd3a2a14facefd68d936fc5cff.png)
任务五:Linux 操作系统安全配置-1
任务环境说明:
✓ 服务器场景:LinuxServer:(开放链接)
✓ 用户名:root,密码:123456
✓ 数据库用户名:root,密码:123456
请对服务器 LinuxServer 按要求进行相应的设置,提高服务器的安全性。
1.设置最小密码长度不少于 8 个字符,密码最长使用期限为 15 天。将
/etc/login.defs 配置文件中对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/db878c09d5c04d5b335e2196342c6175.png)
2.设置在用户登录系统时,会有“For authorized users only”提示信息,
将登录系统时系统弹出提示信息界面截图;
![](https://i-blog.csdnimg.cn/blog_migrate/ef8a4b9df49fd49eb8bddd6313a7e689.png)
3.设置 root 用户的计划任务。每天早上 7:50 自动开启 vsftpd 服务,22 点 50 时关闭;每周六的 7:30 时,重新启动 vsftpd 服务。使用 crontab –l 查看计 划任务,将回显结果截图;
![](https://i-blog.csdnimg.cn/blog_migrate/a056e480ec5948474dd6255ea5181ac6.png)
4.禁止匿名用户登录 vsftpd 服务,将/etc/vsftpd/vsftpd.conf 配置文件中 对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/d4466c12f44f5c8f36c93be335ff8442.png)
5.限制客户端连接 vsftpd 服务时,同一个 IP 最多只能打开两个连接,将 /etc/vsftpd/vsftpd.conf 配置文件中对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/1e52a47e7d64efcceffecd54cdc104cd.png)
6.将 SSH 服务的端口号修改为 2222 ,使用命令 netstat -anltp | grep sshd 查看 SSH 服务端口信息,将回显结果截图;
![](https://i-blog.csdnimg.cn/blog_migrate/a2bd869b00b3a7c27cd3e0a4bbf053e2.png)
7.禁止 root 用户通过 SSH 远程登录,将/etc/ssh/sshd_config 配置文件中 对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/b8001e80bed3d6af637e870535cc2ab8.png)
8.禁止 mysql 服务以管理员权限的账号运行,将/etc/my.cnf 配置文件中对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/487ce9f9d99ffa4c1e6413fd1f1f9e6d.png)
9.删除默认数据库 test, 然后使用 show databases;命令查看当前的数据库信息,将回显结果截图;
![](https://i-blog.csdnimg.cn/blog_migrate/8e867601d22a0da876a4b79e1c00e56f.png)
10.将数据库用户 user1 的密码使用 MD5 加密,然后在数据库中使用 select password from user where user=’user1’;命令查看 user1 的密码,将回显结 果截图。
![](https://i-blog.csdnimg.cn/blog_migrate/d20ef27a0000216ecf0059e865c43c62.png)
任务六:数据库加固
任务环境说明:
(Linux)系统:用户名root,密码123456 mysql 8版本
1.删除默认数据库(test);
![](https://i-blog.csdnimg.cn/blog_migrate/88f979171d3c5635adabdee2d3c2254d.png)
2.改变默认MySql管理员用户为:SuperRoot;
![](https://i-blog.csdnimg.cn/blog_migrate/4a724e457e5cd039eaf964e8bf0bc8b0.png)
3.使用MySql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!)
![](https://i-blog.csdnimg.cn/blog_migrate/854c98fcfb87abff4a7a21b9fe731a8d.png)
4.赋予user1用户对数据库所有表只有select、insert、delete、update权限;
![](https://i-blog.csdnimg.cn/blog_migrate/d0da7a122c7be315ba162c185685af47.png)
5.对忘记mysql数据库SuperRoot管理员密码进行重置操作;
![](https://i-blog.csdnimg.cn/blog_migrate/851f5277c6f8cf611a3b69b4e9b27df7.png)
任务七:服务加固 SSH\VSFTPD
任务环境说明:
(Linux)系统:用户名root,密码123456
1.SSH服务加固
(1)SSH 禁止 root 用户远程登录。
![](https://i-blog.csdnimg.cn/blog_migrate/1f6ae8aa4fa4cd9aad9b02cb8f82003f.png)
(2)设置 root 用户的计划任务。每天早上 7:50 自动开启 SSH 服务,22:50 关闭;每周六的 7:30 重新启动 SSH 服务。
![](https://i-blog.csdnimg.cn/blog_migrate/2dd7689575370844841bb200e2dd1457.png)
(3)修改 SSH 服务端口为 2222。
![](https://i-blog.csdnimg.cn/blog_migrate/b5bfbf82451330a859d01f6867703e2a.png)
![](https://i-blog.csdnimg.cn/blog_migrate/62b77ba808ff8078ecb6e9e708ee2f24.png)
(4) 修改SSHD的PID档案存放地。
![](https://i-blog.csdnimg.cn/blog_migrate/dda0a82e9ac29e6054a5c9242a9a23e5.png)
2.VSFTPD 服务加固
(1)设置数据连接的超时时间为 2 分钟、无任何操作的超时时间为5分钟。
![](https://i-blog.csdnimg.cn/blog_migrate/804878956e7686a931e7dc23e2e868f0.png)
(2)设置站点本地用户访问的最大传输速率为1M。
![](https://i-blog.csdnimg.cn/blog_migrate/52c4cd4a1e518bc3f1eadc9ed06f87b0.png)
(3)禁止匿名用户登录。
![](https://i-blog.csdnimg.cn/blog_migrate/f8702dd301f99987748f1e407937c49c.png)
(4)关闭ascii模式下载,防止被用于DoS攻击。
![](https://i-blog.csdnimg.cn/blog_migrate/6f90e65a7920e16aed78370fe15fffd0.png)
(5)设置运行vsftpd的非特权系统用户为pyftp;
![](https://i-blog.csdnimg.cn/blog_migrate/b853aec4858e6fb9ece0d97d4dfce9e0.png)
(6)限制客户端连接的端口范围在50000-60000;
![](https://i-blog.csdnimg.cn/blog_migrate/2fc266923e203d13f7332d229a9639eb.png)
(7)限制本地用户登陆活动范围限制在home目录。
![](https://i-blog.csdnimg.cn/blog_migrate/07ef8912239fece5fd7a6bbd851ba8c2.png)
任务八:防火墙策略-2
任务环境说明:
(Linux)系统:用户名root,密码123456
1.只允许转发来自172.16.0.0/24 局域网的DNS解析请求数据包;
![](https://i-blog.csdnimg.cn/blog_migrate/b55e5de15bca344f0dcb39bb63c60c56.png)
2.为确保安全,仅允许 172.16.10.0/24 网段内的主机通过 SSH 连接本机。
![](https://i-blog.csdnimg.cn/blog_migrate/7fb9546d911b8d52c81a8b5097416f3e.png)
3.为防止Nmap扫描软件探测到关键信息,设置iptables防火墙策略对80、3306号端口进行流量处理;
![](https://i-blog.csdnimg.cn/blog_migrate/a0634930aefd5c243c9947d8b35fc53e.png)
4. 为防御 IP 碎片攻击,设置 iptables 防火墙策略限制 IP 碎片 的数量,仅允许每秒处理 1000 个,将 iptables 配置命令截图:
![](https://i-blog.csdnimg.cn/blog_migrate/58d5858fea2757a049b07f8d932044e4.png)
5. 为防御拒绝服务攻击,设置iptables防火墙策略对传入的流量进行过滤,限制每分钟允许三个包传入,并将瞬间流量设置为一次最多处理6个数据包,(超过上限的网络数据包将丢弃不予处理)。
![](https://i-blog.csdnimg.cn/blog_migrate/13064bebb801afc3703232c6b6529f88.png)
6. 禁止转发来自 MAC 地址为 29:0E:29:27:65:EF 主机的数据包, 将 iptables 配置命令截图:
![](https://i-blog.csdnimg.cn/blog_migrate/b80f6b1c4bb12837fc780f97de524d8d.png)
任务九:Linux操作系统安全配置-2
任务环境说明: (Linux Centos7)系统:用户名root,密码123456
1. 设置禁止使用最近用过的6个旧密码,将配置文件中对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/e46e4a516928a0ac4de5ebf3a94d1382.png)
2. 设置密码复杂程度,允许重试3次,新密码必须与旧密码有4位不同,密码最小长度为6位,大写字母至少包含2位,小写字母至少包含3位,特殊字符个数至少含1位,将配置文件中对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/046106bef5deed7bdfac3228f439bd01.png)
3.禁止匿名用户登录vsftpd服务,将配置文件中的对应部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/2ef6b092109ace922e80df1fd6e95519.png)
4.设置关闭ftp-data端口不使用主动模式,使用ipv4进行监听,将配置文件对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/975517f947a1355657fcca56400cb886.png)
![](https://i-blog.csdnimg.cn/blog_migrate/a4992c871feded5265f556f8db1156a9.png)
5. 将telnet服务的端口修改为2323,查看telnet服务端口信息,将回显结果截图;
![](https://i-blog.csdnimg.cn/blog_migrate/4a1843bbf9abd3536dfa85c82b014fd6.png)
6.限制Telnet用户连接,单个IP允许的最大连接数为1,总的最大连接数为10,将配置文件中对应的部分截图。
![](https://i-blog.csdnimg.cn/blog_migrate/16f1e850321a552ae9ecc32402467a8d.png)
7.允许root用户通过ssh远程登录,将配置文件中对应的部分截图。
![](https://i-blog.csdnimg.cn/blog_migrate/cd2e74c8e75953919ac58bc9089c0de9.png)
8.配置SSH服务,设置RSA证书登录,将配置文件中对应的部分截图。
![](https://i-blog.csdnimg.cn/blog_migrate/b8d7b67385236aa70e3572742af6d79b.png)
9.修改网站的http服务为root权限,将配置文件中对应的部分截图。
![](https://i-blog.csdnimg.cn/blog_migrate/c1e90dd602d1fca1a42601f12cec3b00.png)
10.设置http服务,修改网站的配置文件,配置滚动日志分割按天记录网站的访问日志和错误日志,将配置文件中的部分截图。
![](https://i-blog.csdnimg.cn/blog_migrate/aca1b377615f4f9ca8d98c34b26a4732.png)
![](https://i-blog.csdnimg.cn/blog_migrate/45c7beeffeeb4a26fd1a68e0f8569897.png)
任务十:Linux操作系统安全配置-3
任务环境说明: (Linux Centos7)系统:用户名root,密码123456
1.设置账户密码有效期,密码最大有效期为30,可修改密码最小天数为5,密码长度为6,密码失效前4天通知,将配置文件login.defs中对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/198928267d6c489abe6cf2c92e3d3461.png)
2.设置root的密码策略,密码过期时间为10天,密码失效时间为2天,在密码过期之前警告的天数为3天,两次改变密码之间相距的最大天数为8天,使用chage查看root结果并截图;
![](https://i-blog.csdnimg.cn/blog_migrate/2b0c67b63fd75533346ac5c36b73ed33.png)
3.允许匿名用户登录vsftpd服务,禁止匿名用户上传文件,将配置文件中对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/7e365538f5958dffe62c210cace9bb24.png)
![](https://i-blog.csdnimg.cn/blog_migrate/28e529f27992d860beb8cd1554688d4c.png)
4.限制FTP客户端连接,最大连接数为4,将配置文件中对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/2394a3d3a4eab40a9b1ba3b724c4d000.png)
5.配置samba服务,允许匿名用户访问share文件目录下,将配置文件中对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/71768db28df16c7e6037fa17302e6a33.png)
6.配置Samba服务,允许访问public文件目录,只可以上传不可以删除,且只有创建者和root可以删除,将配置文件中对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/16e0a70be6ac237402e642e323cdf6f9.png)
7.设置访问网站时需要账户认证访问,将配置文件中对应的部分截图;
![](https://i-blog.csdnimg.cn/blog_migrate/53d5bcf141ee5bbe1c7ee7b64a82b6f0.png)
8.配置证书,以HTTTPS协议访问网页,将网页访问结果截图;
![](https://i-blog.csdnimg.cn/blog_migrate/1ad3c940ec644b7518fb8c2488c3ac8d.png)
9.为网站设置DNS地址,网站域名为www.test.com,使用nslookup将正向解析的内容截图;
![](https://i-blog.csdnimg.cn/blog_migrate/9dd46b5713e65234eabbfe530670c7e9.png)
10.设置DNS服务,只允许192.168.1.1解析查询,将配置文件中对应的部分截图。
![](https://i-blog.csdnimg.cn/blog_migrate/5c7a59643dd96ef6778e64ba9dc52d0c.png)
任务十一:IP安全协议配置
任务环境说明: (Windows 2008)系统:用户名Administrator,密码P@ssw0rd
1.指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5;
![](https://i-blog.csdnimg.cn/blog_migrate/f6f07de9c7a9e14a42f5728ff2cf4d56.png)
![](https://i-blog.csdnimg.cn/blog_migrate/3349519fa9ae9ac73e333e5a52c87923.png)
2.指定处于SYN_RCVD状态的TCP连接数的阈值为500;
![](https://i-blog.csdnimg.cn/blog_migrate/0b9ff8d684aa8e62544cc55059d5ed51.png)
3.指定处于至少已发送一次重传的SYN_RVCD状态中的TCP连接数的阈值为400。
![](https://i-blog.csdnimg.cn/blog_migrate/a4be1ff517423ac87e8c26374a9fd780.png)
任务十二:中间件服务安全加固VSFTPD/HTTPD/BIND(Linux)
任务环境说明: (Linux)系统:用户名root,密码123456
1.VSFTPD
a.vsftpd禁止匿名用户上传;
![](https://i-blog.csdnimg.cn/blog_migrate/f4f15a8aaac216a5a1338a94dab868cf.png)
b.设置无任何操作的超时时间为5分钟。
![](https://i-blog.csdnimg.cn/blog_migrate/585ec75f4396de5796a6f7ecd2b3c66d.png)
c.匿名用户访问的最大传输速率为512KB/s。
![](https://i-blog.csdnimg.cn/blog_migrate/325dfdd062871557459fd1805e07c79a.png)
d.用户访问的最大传输速率为1M。
![](https://i-blog.csdnimg.cn/blog_migrate/5e7f4da06205e4eefe22cb9f3e61b3b3.png)
2.HTTPD
a.更改默认监听端口为6666;
![](https://i-blog.csdnimg.cn/blog_migrate/7bdb39ef0e644f50919b0ef1182c0fcc.png)
b.设置禁止目录浏览;
![](https://i-blog.csdnimg.cn/blog_migrate/2ef1bf40cbce704eb504d34eeffa9f7f.png)
c.隐藏Apache版本号;
![](https://i-blog.csdnimg.cn/blog_migrate/dd8df1bdda754da69ee7a346a28294fd.png)
d.将apache用户降权为apache用户,组为www;
![](https://i-blog.csdnimg.cn/blog_migrate/89f8e876fb80226cadc150c110786765.png)
3.BIND
a.隐藏bind版本号;
![](https://i-blog.csdnimg.cn/blog_migrate/455c28dc0f03111463ce114b7419566a.png)
b.设置不提供递归服务。
![](https://i-blog.csdnimg.cn/blog_migrate/6ce6ace56dc850cef8d2ea4152d1a6bc.png)
任务十三:流量完整性保护(Windows)
任务环境说明: (Windows 2008)系统:用户名Administrator,密码P@ssw0rd
1.对Web网站进行HTTP重定向HTTPS设置,仅使用HTTPS协议访问网站(Windows)(注:证书颁发给test.com 并通过https://www.test.com访问Web网站)。
![](https://i-blog.csdnimg.cn/blog_migrate/b473a6bd12bc5151de1c80a51452dcd2.png)
![](https://i-blog.csdnimg.cn/blog_migrate/f6f9408ab591ecabeb20860e6481dbe3.png)
任务十四:防火墙策略-3(Linux)
任务环境说明: (Linux)系统:用户名root,密码123456
1.为防止Nmap扫描软件探测到关键信息,设置iptables防火墙策略对3306号端口进行流量处理;
![](https://i-blog.csdnimg.cn/blog_migrate/15455b8cbc4db673e229380cd67403ed.png)
2.为防止SSH服务被暴力枚举,设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机;
![](https://i-blog.csdnimg.cn/blog_migrate/9f69fd7f65433151c8e22cb4b24b2ddd.png)
3.为防御IP碎片攻击,设置iptables防火墙策略限制IP碎片的数量,仅允许每秒处理1000个。
![](https://i-blog.csdnimg.cn/blog_migrate/880c489e25539c2e6ea86e819dbfed05.png)
任务十五:Nginx安全策略(Linux)
任务环境说明: (Linux)系统:用户名root,密码123456
1.禁止目录浏览和隐藏服务器版本和信息显示;
![](https://i-blog.csdnimg.cn/blog_migrate/bbbdb7676ad0fa004bf39fa7620bd162.png)
2.限制HTTP请求方式,只允许GET、HEAD、POST;
![](https://i-blog.csdnimg.cn/blog_migrate/5823434c72a75705f42d7b6faf426fd2.png)
3.设置客户端请求主体读取超时时间为10;
![](https://i-blog.csdnimg.cn/blog_migrate/c638a9eeaf9988a90e0a62171546a725.png)
4.设置客户端请求头读取超时时间为10;
![](https://i-blog.csdnimg.cn/blog_migrate/e1a8884c216bf177b6e49227e7cf89a3.png)
5. 将Nginx服务降权,使用www用户启动服务。
![](https://i-blog.csdnimg.cn/blog_migrate/b9dc0453e72c720b1b41c5e150bda83c.png)
任务十六:日志监控
任务环境说明: (windows 2003)系统:用户名Administrator,密码123456
1.安全日志文件大小至少为128MB,设置当达到最大的日志大小上限时,覆盖早于30天的日志;
![](https://i-blog.csdnimg.cn/blog_migrate/3cc0a41fd3addcf54cb19843ed39fa68.png)
2. 应用日志文件大小至少为64MB,设置当达到最大的日志大小上限时,覆盖早于15天的日志;
![](https://i-blog.csdnimg.cn/blog_migrate/418ee5178fb403d5db2a97f44b964986.png)
3.系统日志大小至少为32MB,设置当达到最大的日志大小上限时,按需要覆盖事件。
![](https://i-blog.csdnimg.cn/blog_migrate/49fbd50d6fa89efaaf34b60ba976b23e.png)
任务十七:本地安全策略
任务环境说明: (windows 2008)系统:用户名Administrator,密码P@ssw0rd
1.禁止匿名枚举SAM帐户;
![](https://i-blog.csdnimg.cn/blog_migrate/244663379576a4da262b9e4f2b952e00.png)
2.禁止系统在未登录的情况下关闭;
![](https://i-blog.csdnimg.cn/blog_migrate/cef284e2c9a9eb8058857d67b6f0f353.png)
3.禁止存储网络身份验证的密码和凭据;
![](https://i-blog.csdnimg.cn/blog_migrate/285cb2425c852768ab42160da05d001d.png)
4.禁止将Everyone权限应用于匿名用户;
![](https://i-blog.csdnimg.cn/blog_migrate/0296325bed5840daaea8f6fd704a00fa.png)
5.在超过登录时间后强制注销。
![](https://i-blog.csdnimg.cn/blog_migrate/76152ca6c25cc653634e60a041dfaf41.png)
任务十八:服务安全配置(Windows)
任务环境说明: (windows 2008)系统:用户名Administrator,密码P@ssw0rd
1.禁用TCP/IP上的NetBIOS协议,关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口;
![](https://i-blog.csdnimg.cn/blog_migrate/47fa57882d24699645e4e8a084880f0a.png)
![](https://i-blog.csdnimg.cn/blog_migrate/a38e1da660e015a3a8ff24fe074681fa.png)
2.在本地策略里配置禁用未登陆前关机;
![](https://i-blog.csdnimg.cn/blog_migrate/df50eee57d3da8701355f721ea3a64c8.png)
3.设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟;
![](https://i-blog.csdnimg.cn/blog_migrate/694bf7ae76f6d8980714dd6cf04a2875.png)
4.对于远程登录的帐户,设置不活动超过时间5分钟自动断开连接。
![](https://i-blog.csdnimg.cn/blog_migrate/30f698095b794fe5582d383e8620cf86.png)
任务十九:中间件安全加固SSHD\VSFTPD\IIS(Windows, Linux)
任务环境说明: (windows 2008)系统:用户名Administrator,密码P@ssw0rd
(Linux) 系统:用户名 root 密码123456
1.SSHD服务加固
a.修改SSH连接界面静置时间;
![](https://i-blog.csdnimg.cn/blog_migrate/b91cccf0ffbc31417205868651003da5.png)
b.修改登录记录的等级为INFO;
![](https://i-blog.csdnimg.cn/blog_migrate/64976373ab8cc5bfb385baafc778dd92.png)
c.禁止登陆后显示信息。
![](https://i-blog.csdnimg.cn/blog_migrate/6de15c4cc7699ceb841f53c579edc7d9.png)
2.VSFTPD服务加固
a.同一客户机IP地址允许最大客户端连接数10;
![](https://i-blog.csdnimg.cn/blog_migrate/054812f0f30ae06da33cedde2dea59f7.png)
b.最大客户端连接数为100;
![](https://i-blog.csdnimg.cn/blog_migrate/a0abe575a1dea958a898009222a42bb3.png)
c.设置数据连接的超时时间为2分钟;
![](https://i-blog.csdnimg.cn/blog_migrate/b9338097423aafe528921dfd673839c6.png)
d.设置本地用户创建文件的权限为022。
![](https://i-blog.csdnimg.cn/blog_migrate/4adaa1dc4432028d4e5aef6060a951f6.png)
3. IIS服务加固
a.关闭FTP匿名访问;
![](https://i-blog.csdnimg.cn/blog_migrate/9f76dec267fd78fb2cfa4ea395b5d055.png)
b.为了解决IIS短文件名漏洞,设置URL序列为~;
![](https://i-blog.csdnimg.cn/blog_migrate/885364253736a104cf75b5ba2fd0a188.png)
c.设置网站最大并发连接数为10。
![](https://i-blog.csdnimg.cn/blog_migrate/6af41e2934ec6bc047014dd32e01747e.png)
任务二十:防火墙策略-4(Linux)
任务环境说明: (Linux) 系统:用户名 root 密码123456
1.禁止任何机器ping本机;
![](https://i-blog.csdnimg.cn/blog_migrate/1fdf47b9942b559f8db5dc9705366313.png)
2.禁止本机ping任何机器;
![](https://i-blog.csdnimg.cn/blog_migrate/c908f8978e566e105eb9348037b0b926.png)
3.拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机;
![](https://i-blog.csdnimg.cn/blog_migrate/f7551221747d9ec815614758e6cc64ce.png)
4.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包。
![](https://i-blog.csdnimg.cn/blog_migrate/b0762a85099b135b0d8ab1cd3447134f.png)
5.配置iptables防火墙过滤规则,以封堵目标网段(172.16.1.0/24),并在两小时后解除封锁。
![](https://i-blog.csdnimg.cn/blog_migrate/b63f869e41f16ee188184cb71d5f034a.png)
或
![](https://i-blog.csdnimg.cn/blog_migrate/8e8c62af3e9d3a84dabd4f905df270ba.png)
6.在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给 192.168.1.0网络中的主机访问;
![](https://i-blog.csdnimg.cn/blog_migrate/0cc31162ca5d453705b2e8a342cf7cbb.png)
任务二十一:本地安全策略设置(Windows)
任务环境说明: (Windows 2008) 系统:用户名 Administrator密码 P@ssw0rd
1.关闭系统时清除虚拟内存页面文件;
![](https://i-blog.csdnimg.cn/blog_migrate/a38378519b6665ecfb28ccb856431615.png)
2.禁止软盘复制并访问所有驱动器和所有文件夹;
![](https://i-blog.csdnimg.cn/blog_migrate/b4cddbc60015e6392d6edd0206441458.png)
3.禁止自动管理登录;
![](https://i-blog.csdnimg.cn/blog_migrate/0784da8cf2bc3a6ddb097e33fc340fc5.png)
4.禁止显示上次登录的用户名。
![](https://i-blog.csdnimg.cn/blog_migrate/2202921e8adaaf2f0c81b00d034d73eb.png)
任务二十二:Windows操作系统安全配置(Windows)
任务环境说明: (Windows server2012) 系统:用户名 Administrator密码 P@ssw0rd
1.在系统中查看软件授权服务器版本,提高服务器的安全性;
![](https://i-blog.csdnimg.cn/blog_migrate/b56b5230b716eb00a038e05a3ff56707.png)
2.在系统中设置telnet,设置telnet最大连接数不超过3,将登录超出的信息窗口即过程截图;
![](https://i-blog.csdnimg.cn/blog_migrate/4a1ab5b55c90e03a5a9f63325f6b0a0d.png)
![](https://i-blog.csdnimg.cn/blog_migrate/1b63c511318e82ac95572028cba39b2a.png)
3.在系统中设置telnet,设置telnet登录尝试的最大失败数不超过5,将登录错误的信息窗口及过程截图;
![](https://i-blog.csdnimg.cn/blog_migrate/327b2197c3f80223975653d4fe3ff147.png)
![](https://i-blog.csdnimg.cn/blog_migrate/d6c265ae31a5d257a97bac3997a243fd.png)
4,在系统中设置用户的登录脚本,用户登录后弹出信息框为"Welcome 登录脚本"将登录界面全屏及过程截图;
![](https://i-blog.csdnimg.cn/blog_migrate/c2e9b57a677651a46d0ef3d082d8f5d3.png)
![](https://i-blog.csdnimg.cn/blog_migrate/9f8c338887970dadd4b36b8cff7462af.png)
![](https://i-blog.csdnimg.cn/blog_migrate/0c037999877f5acc5d64780b43f184b4.png)
5.在系统策略中锁定.vbs不可执行,并将执行结果截图;
![](https://i-blog.csdnimg.cn/blog_migrate/317e1286884e4ca82617e481bb1757e1.png)
6.在系统中将本地磁盘(C:)里面的sharefile文件用管理员用户映射,将映射后的这台电脑窗口界面截图;
![](https://i-blog.csdnimg.cn/blog_migrate/97202072ab80a6bdce117f8c33c89674.png)
7.在系统中设置bitLocker,使操作系统磁盘加密,将输入密码以解锁此驱动器窗口截图;
![](https://i-blog.csdnimg.cn/blog_migrate/26264e20740c69fff399289d96bfa19a.png)
8.设置用户只能在工作日登录,将用户的登录时间配置界面截图;
![](https://i-blog.csdnimg.cn/blog_migrate/16de9e899726e6b20af4b81ee6b11f14.png)
9.在系统中设置网站首页只能用证书以域名的方式访问,将域名设置成www.baidu.com,将访问网站后的浏览器全屏及过程截图;
![](https://i-blog.csdnimg.cn/blog_migrate/79cc710478bfa7cb4bc6f4cfe244a2b5.png)
![](https://i-blog.csdnimg.cn/blog_migrate/f5463c347484db0ce2fe59327cc2725a.png)
10.在系统中设置用户登录审核,将审核成功与失败的结果即过程分别截图;
![](https://i-blog.csdnimg.cn/blog_migrate/0b5efcaca4c77559bc5cef54375ecdd3.png)
![](https://i-blog.csdnimg.cn/blog_migrate/701aa482bc5db9db3a82cff0ee542e81.png)
![](https://i-blog.csdnimg.cn/blog_migrate/60396002c243f76a99bd1331bdccc63f.png)