• 2022年全国职业院校技能大赛网络安全A模块安全加固解析


    A-1任务一 登录安全加固

    1.密码策略(Windows,Linux)
    a.设置最短密码长度为15;
    linux


    Windows

    c.密码最长存留期为45天;
    linux


    Windows

    b.一分钟内仅允许4次登录失败,超过4次,登录帐号锁定1分钟。(注意是超过4次登录,也就是5次,4次不计分。)
    Linux

    Auth required pam_tally2.so dent=5 unlock_time=60

    Windows

    b.密码策略必须同时满足大小写字母、数字、特殊字符。
    Windows

    Linux


    2.登录策略(Windows,linux)
    a.在用户登录系统时,应该有“For authorized users only”提示信息;
    windows


    Linux


    c.远程用户非活动会话连接超时应小于等于5分钟。
    Windows

    Linux


    3.用户安全管理(Windows)
    a.对服务器进行远程管理安全性SSL加固,防止敏感信息泄露被监听;


    b.查找并删除服务器中可能存在的帐号hacker;

    c.普通用户进行最小权限管理,对关闭系统仅限管理员帐号。

    1. 设置取得文件或其他对象的所有权,将该权限只指派给administrators组;

    1. 禁止普通用户使用命令提示符;

    1. 禁用来宾账户,禁止来宾用户访问计算机或访问域的内置账户;

    1. 禁止从远端系统强制关机,将该权限只指派给administrators组。

    1. 禁止普通用户使用注册表编辑工具以及Ctrl+Alt+Del;

    1. 设置不显示上次登录的用户名。

    1. 在组策略中只允许管理员账号从网络访问本机;

    1. 设置操作系统中的关键目录(system32、hosts、Program Files、Perflogs)的权限为最优状态,即仅允许管理员用户进行读取及运行。

    System32


    Hosts

    Program Files

    PerfLogs

    A-2任务二 Nginx安全策略(Linux)
    3.禁止目录浏览和隐藏服务器版本和信息显示;





    隐藏版本号





    4.限制HTTP请求方式,只允许GET、HEAD、POST;



    5.设置客户端请求主体读取超时时间为10;



    6.设置客户端请求头读取超时时间为10;



    7.将Nginx服务降权,使用www用户启动服务。




    A-3任务三 日志监控(Windows)
    8.安全日志文件大小至少为128MB,设置当达到最大的日志大小上限时,覆盖早于30天的日志;

    9.应用日志文件大小至少为64MB,设置当达到最大的日志大小上限时,覆盖早于15天的日志;

    10.系统日志大小至少为32MB,设置当达到最大的日志大小上限时,按需要覆盖事件。

    A-2任务二 日志安全配置(Windows)

    4.配置审核登陆,记录内容包括用户登录使用的账户、登录是否成功、登录时间、以及远程登录时间、及用户使用的IP地址;

    5.启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需要审核;

    6.启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。

    A-4任务四 日志安全审计(Windows)

    12.启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作;

    13.启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核;

    14.启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。

    11.启用本地安全策略中对Windows系统的审核帐户管理,成功和失败操作都要审核;

    12.启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核。

    A-2任务二 数据库安全策略

    3.以普通帐户mysql安全运行mysql服务,禁止mysql以管理员帐号权限运行;


    4.删除默认数据库(test);

    5.改变默认mysql管理员用户为:SuperRoot;

    6.使用mysql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!)。

    17.赋予user1用户对数据库所有表只有select,insert,delete,update权限。

    A-3任务三 流量完整性

    7.对Web网站进行HTTP重定向HTTPS设置,仅使用HTTPS协议访问网站(Windows)(注:证书颁发给test.com 并通过https://www.test.com访问Web网站)。
    打开iis管理器,点击创建证书申请



    打开浏览器访问http://127.0.0.1/certsrv




    打开证书颁发机构,将挂起的证书颁发
    右键打开证书





    打开iis管理器完成证书申请


    创建两个文件网站

    打开iis添加两个网站


    修改hosts文件


    修改applicationHost文件


    Ctrl+F搜索443


    访问www.test.com

    A-5任务五 防火墙策略

    9.Windows系统禁用445端口;


    10.Windows系统禁用23端口;


    11.Linux系统使用iptables禁用23端口;

    11.为防止Nmap扫描软件探测到关键信息,设置iptables防火墙策略对3306号端口进行流量处理;

    20.为防止Nmap等扫描软件探测到关键信息,设置iptables防火墙策略对80号端口进行流量处理;

    12.为防止SSH服务被暴力枚举,设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机

    13.为防御IP碎片攻击,设置iptables防火墙策略限制IP碎片的数量,仅允许每秒处理1000个。

    19.设置防火墙允许本机转发除ICMP协议以外的所有数据包;

    21.为防御拒绝服务攻击,设置iptables防火墙策略对传入的流量进行过滤,限制每分钟允许3个包传入,并将瞬间流量设定为一次最多处理6个数据包(超过上限的网络数据包将丢弃不予处理);

    22.只允许转发来自172.16.0.0/24局域网段的DNS解析请求数据包。

    18.禁止任何机器ping本机;

    19.禁止本机ping任何机器;

    20.拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机;

    21.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包。

    17.为确保安全Linux系统禁止所有人通过ssh连接除了172.16.1.1这个ip;

    22.在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给 192.168.1.0网络中的主机访问;

    19.要求从ftp服务的数据下载请求次数每分钟不得超过 5 个

    21.配置iptables防火墙过滤规则,以封堵目标网段(172.16.1.0/24),并在两小时后解除封锁。

    1. 设置防火墙允许本机转发除ICMP协议以外的所有数据包;

    A-6任务六 WEB安全加固(Windows)

    14.为了防止web中.mdb数据库文件非法下载,请对Web配置文件进行安全加固;

    15.限制目录执行权限,对picture和upload目录设置执行权限为无;
    pivture

    upload

    16.开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法)。

    A-5任务五 Web安全加固(Linux)
    18.为了减轻网站负载,设置网站最大并发连接数为1000;

    19.防止文件枚举漏洞枚举网络服务器根目录文件,禁止IIS短文件名泄露;

    20.关闭IIS的WebDAV功能增强网站的安全性。

    A-4任务四 中间件服务加固SSHD\VSFTPD\IIS(Windows, Linux)
    11.SSH服务加固(Linux)
    a.修改ssh服务端口为2222;

    在这里插入图片描述

    1. ssh禁止root用户远程登录;



    1. 设置root用户的计划任务。每天早上7:50自动开启ssh服务,22:50关闭;每周六的7:30重新启动ssh服务;

    在这里插入图片描述

    1. 修改SSHD的PID档案存放地。



    A-5任务五 中间件安全加固SSHD\VSFTPD\IIS(Windows, Linux)

    15.SSHD服务加固
    a.修改SSH连接界面静置时间;

    在这里插入图片描述


    b.修改登录记录的等级为INFO;

    在这里插入图片描述

    c.禁止登陆后显示信息。
    在这里插入图片描述



    16.VSFTPD服务加固
    a.同一客户机IP地址允许最大客户端连接数10;
    在这里插入图片描述
    在这里插入图片描述

    b.最大客户端连接数为100;


    c.设置数据连接的超时时间为2分钟;

    1. 设置本地用户创建文件的权限为022。


    a.设置运行vsftpd的非特权系统用户为pyftp;
    在这里插入图片描述

    b.限制客户端连接的端口范围在50000-60000;

    1. 限制本地用户登陆活动范围限制在home目录。


    7.VSFTPD
    a.vsftpd禁止匿名用户上传;



    b.设置无任何操作的超时时间为5分钟;



    c.匿名用户访问的最大传输速率为512KB/S;


    1. 用户访问的最大传输速率为1M。

    b为了解决IIS短文件名漏洞,设置URL序列为~;

    A-3任务三 中间件服务安全加固VSFTPD/HTTPD/BIND(Linux)

    7.VSFTPD
    a.vsftpd禁止匿名用户上传;



    b.设置无任何操作的超时时间为5分钟;



    c.匿名用户访问的最大传输速率为512KB/S;


    1. 用户访问的最大传输速率为1M。


    8.HTTPD
    a.更改默认监听端口为6666;



    保存修改,退出。
    //如果没有semanage命令,则执行:
    # yum -y install policycoreutils-python

    b.设置禁止目录浏览;

    c.隐藏Apache版本号;

    1. 将Apache服务降权,用户为apache,用户组为www。



    9.BIND
    a.隐藏bind版本号;



    b.设置不提供递归服务。

    Recursion no

    A-6任务六 IP协议安全配置

    13.指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5;

    14.指定处于SYN_RCVD状态的TCP连接数的阈值为500;

    15.指定处于至少已发送一次重传的SYN_RVCD状态中的TCP连接数的阈值为400。

    A-5任务五 本地安全策略(Windows)
    14.禁止匿名枚举SAM帐户;

    16.禁止存储网络身份验证的密码和凭据;

    17.禁止将Everyone权限应用于匿名用户;

    4.在密码过期的前5天开始提示用户在过期之前更改密码;

    5.要求任何用户在登录到Windows前都必须按CTRL+ALT+DEL;

    6.禁止SAM 帐户和共享的匿名枚举;

    7.禁用来宾帐户。

    3.关闭系统时清除虚拟内存页面文件;

    4.禁止系统在未登录的情况下关闭;

    5.禁止软盘复制并访问所有驱动器和所有文件夹;

    17.禁止自动管理登录;

    A-3任务三 服务安全配置(Windows)

    8.禁用TCP/IP上的NetBIOS协议,关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口;


    10.设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟;

    11.对于远程登录的帐户,设置不活动超过时间5分钟自动断开连接。

  • 相关阅读:
    netty数据缓冲区之ChannelOutboundBuffer
    java毕业设计茶叶企业管理系统Mybatis+系统+数据库+调试部署
    广义表的存储结构及其基本运算
    TCP的滑动窗口协议有什么用?
    Idea热部署插件(JRebel for IntelliJ)激活(适用于内网、外网激活)
    五分钟了解制造业核心5大系统的联系
    [CISCN2019 华北赛区 Day1 Web1]Dropbox
    算法通过村第十八关-回溯|白银笔记|经典问题
    Vue通过ref修改 <el-input-number> 增减按钮的样式
    学会Dockerfile
  • 原文地址:https://blog.csdn.net/qq_53365018/article/details/130399502