2022年全国职业院校技能大赛网络安全A模块安全加固解析

avatar
作者
筋斗云
阅读量:1

A-1任务一 登录安全加固

1.密码策略(Windows,Linux)
a.设置最短密码长度为15;
linux


Windows

c.密码最长存留期为45天;
linux


Windows

b.一分钟内仅允许4次登录失败,超过4次,登录帐号锁定1分钟。(注意是超过4次登录,也就是5次,4次不计分。)
Linux

Auth required pam_tally2.so dent=5 unlock_time=60

Windows

b.密码策略必须同时满足大小写字母、数字、特殊字符。
Windows

Linux


2.登录策略(Windows,linux)
a.在用户登录系统时,应该有“For authorized users only”提示信息;
windows


Linux


c.远程用户非活动会话连接超时应小于等于5分钟。
Windows

Linux


3.用户安全管理(Windows)
a.对服务器进行远程管理安全性SSL加固,防止敏感信息泄露被监听;


b.查找并删除服务器中可能存在的帐号hacker;

c.普通用户进行最小权限管理,对关闭系统仅限管理员帐号。

  1. 设置取得文件或其他对象的所有权,将该权限只指派给administrators组;

  1. 禁止普通用户使用命令提示符;

  1. 禁用来宾账户,禁止来宾用户访问计算机或访问域的内置账户;

  1. 禁止从远端系统强制关机,将该权限只指派给administrators组。

  1. 禁止普通用户使用注册表编辑工具以及Ctrl+Alt+Del;

  1. 设置不显示上次登录的用户名。

  1. 在组策略中只允许管理员账号从网络访问本机;

  1. 设置操作系统中的关键目录(system32、hosts、Program Files、Perflogs)的权限为最优状态,即仅允许管理员用户进行读取及运行。

System32


Hosts

Program Files

PerfLogs

A-2任务二 Nginx安全策略(Linux)
3.禁止目录浏览和隐藏服务器版本和信息显示;





隐藏版本号





4.限制HTTP请求方式,只允许GET、HEAD、POST;



5.设置客户端请求主体读取超时时间为10;



6.设置客户端请求头读取超时时间为10;



7.将Nginx服务降权,使用www用户启动服务。




A-3任务三 日志监控(Windows)
8.安全日志文件大小至少为128MB,设置当达到最大的日志大小上限时,覆盖早于30天的日志;

9.应用日志文件大小至少为64MB,设置当达到最大的日志大小上限时,覆盖早于15天的日志;

10.系统日志大小至少为32MB,设置当达到最大的日志大小上限时,按需要覆盖事件。

A-2任务二 日志安全配置(Windows)

4.配置审核登陆,记录内容包括用户登录使用的账户、登录是否成功、登录时间、以及远程登录时间、及用户使用的IP地址;

5.启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需要审核;

6.启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。

A-4任务四 日志安全审计(Windows)

12.启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作;

13.启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核;

14.启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。

11.启用本地安全策略中对Windows系统的审核帐户管理,成功和失败操作都要审核;

12.启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核。

A-2任务二 数据库安全策略

3.以普通帐户mysql安全运行mysql服务,禁止mysql以管理员帐号权限运行;


4.删除默认数据库(test);

5.改变默认mysql管理员用户为:SuperRoot;

6.使用mysql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!)。

17.赋予user1用户对数据库所有表只有select,insert,delete,update权限。

A-3任务三 流量完整性

7.对Web网站进行HTTP重定向HTTPS设置,仅使用HTTPS协议访问网站(Windows)(注:证书颁发给test.com 并通过https://www.test.com访问Web网站)。
打开iis管理器,点击创建证书申请



打开浏览器访问http://127.0.0.1/certsrv




打开证书颁发机构,将挂起的证书颁发
右键打开证书





打开iis管理器完成证书申请


创建两个文件网站

打开iis添加两个网站


修改hosts文件


修改applicationHost文件


Ctrl+F搜索443


访问www.test.com

A-5任务五 防火墙策略

9.Windows系统禁用445端口;


10.Windows系统禁用23端口;


11.Linux系统使用iptables禁用23端口;

11.为防止Nmap扫描软件探测到关键信息,设置iptables防火墙策略对3306号端口进行流量处理;

20.为防止Nmap等扫描软件探测到关键信息,设置iptables防火墙策略对80号端口进行流量处理;

12.为防止SSH服务被暴力枚举,设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机

13.为防御IP碎片攻击,设置iptables防火墙策略限制IP碎片的数量,仅允许每秒处理1000个。

19.设置防火墙允许本机转发除ICMP协议以外的所有数据包;

21.为防御拒绝服务攻击,设置iptables防火墙策略对传入的流量进行过滤,限制每分钟允许3个包传入,并将瞬间流量设定为一次最多处理6个数据包(超过上限的网络数据包将丢弃不予处理);

22.只允许转发来自172.16.0.0/24局域网段的DNS解析请求数据包。

18.禁止任何机器ping本机;

19.禁止本机ping任何机器;

20.拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机;

21.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包。

17.为确保安全Linux系统禁止所有人通过ssh连接除了172.16.1.1这个ip;

22.在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给 192.168.1.0网络中的主机访问;

19.要求从ftp服务的数据下载请求次数每分钟不得超过 5 个

21.配置iptables防火墙过滤规则,以封堵目标网段(172.16.1.0/24),并在两小时后解除封锁。

  1. 设置防火墙允许本机转发除ICMP协议以外的所有数据包;

A-6任务六 WEB安全加固(Windows)

14.为了防止web中.mdb数据库文件非法下载,请对Web配置文件进行安全加固;

15.限制目录执行权限,对picture和upload目录设置执行权限为无;
pivture

upload

16.开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法)。

A-5任务五 Web安全加固(Linux)
18.为了减轻网站负载,设置网站最大并发连接数为1000;

19.防止文件枚举漏洞枚举网络服务器根目录文件,禁止IIS短文件名泄露;

20.关闭IIS的WebDAV功能增强网站的安全性。

A-4任务四 中间件服务加固SSHD\VSFTPD\IIS(Windows, Linux)
11.SSH服务加固(Linux)
a.修改ssh服务端口为2222;

在这里插入图片描述

  1. ssh禁止root用户远程登录;



  1. 设置root用户的计划任务。每天早上7:50自动开启ssh服务,22:50关闭;每周六的7:30重新启动ssh服务;

在这里插入图片描述

  1. 修改SSHD的PID档案存放地。



A-5任务五 中间件安全加固SSHD\VSFTPD\IIS(Windows, Linux)

15.SSHD服务加固
a.修改SSH连接界面静置时间;

在这里插入图片描述


b.修改登录记录的等级为INFO;

在这里插入图片描述

c.禁止登陆后显示信息。
在这里插入图片描述



16.VSFTPD服务加固
a.同一客户机IP地址允许最大客户端连接数10;
在这里插入图片描述
在这里插入图片描述

b.最大客户端连接数为100;


c.设置数据连接的超时时间为2分钟;

  1. 设置本地用户创建文件的权限为022。


a.设置运行vsftpd的非特权系统用户为pyftp;
在这里插入图片描述

b.限制客户端连接的端口范围在50000-60000;

  1. 限制本地用户登陆活动范围限制在home目录。


7.VSFTPD
a.vsftpd禁止匿名用户上传;



b.设置无任何操作的超时时间为5分钟;



c.匿名用户访问的最大传输速率为512KB/S;


  1. 用户访问的最大传输速率为1M。

b为了解决IIS短文件名漏洞,设置URL序列为~;

A-3任务三 中间件服务安全加固VSFTPD/HTTPD/BIND(Linux)

7.VSFTPD
a.vsftpd禁止匿名用户上传;



b.设置无任何操作的超时时间为5分钟;



c.匿名用户访问的最大传输速率为512KB/S;


  1. 用户访问的最大传输速率为1M。


8.HTTPD
a.更改默认监听端口为6666;



保存修改,退出。
//如果没有semanage命令,则执行:
# yum -y install policycoreutils-python

b.设置禁止目录浏览;

c.隐藏Apache版本号;

  1. 将Apache服务降权,用户为apache,用户组为www。



9.BIND
a.隐藏bind版本号;



b.设置不提供递归服务。

Recursion no

A-6任务六 IP协议安全配置

13.指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5;

14.指定处于SYN_RCVD状态的TCP连接数的阈值为500;

15.指定处于至少已发送一次重传的SYN_RVCD状态中的TCP连接数的阈值为400。

A-5任务五 本地安全策略(Windows)
14.禁止匿名枚举SAM帐户;

16.禁止存储网络身份验证的密码和凭据;

17.禁止将Everyone权限应用于匿名用户;

4.在密码过期的前5天开始提示用户在过期之前更改密码;

5.要求任何用户在登录到Windows前都必须按CTRL+ALT+DEL;

6.禁止SAM 帐户和共享的匿名枚举;

7.禁用来宾帐户。

3.关闭系统时清除虚拟内存页面文件;

4.禁止系统在未登录的情况下关闭;

5.禁止软盘复制并访问所有驱动器和所有文件夹;

17.禁止自动管理登录;

A-3任务三 服务安全配置(Windows)

8.禁用TCP/IP上的NetBIOS协议,关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口;


10.设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟;

11.对于远程登录的帐户,设置不活动超过时间5分钟自动断开连接。

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!