A-1任务一 登录安全加固
1.密码策略(Windows,Linux)
a.设置最短密码长度为15;
linux
Windows
c.密码最长存留期为45天;
linux
Windows
b.一分钟内仅允许4次登录失败,超过4次,登录帐号锁定1分钟。(注意是超过4次登录,也就是5次,4次不计分。)
Linux
Auth required pam_tally2.so dent=5 unlock_time=60
Windows
b.密码策略必须同时满足大小写字母、数字、特殊字符。
Windows
Linux
2.登录策略(Windows,linux)
a.在用户登录系统时,应该有“For authorized users only”提示信息;
windows
Linux
c.远程用户非活动会话连接超时应小于等于5分钟。
Windows
Linux
3.用户安全管理(Windows)
a.对服务器进行远程管理安全性SSL加固,防止敏感信息泄露被监听;
b.查找并删除服务器中可能存在的帐号hacker;
c.普通用户进行最小权限管理,对关闭系统仅限管理员帐号。
- 设置取得文件或其他对象的所有权,将该权限只指派给administrators组;
- 禁止普通用户使用命令提示符;
- 禁用来宾账户,禁止来宾用户访问计算机或访问域的内置账户;
- 禁止从远端系统强制关机,将该权限只指派给administrators组。
- 禁止普通用户使用注册表编辑工具以及Ctrl+Alt+Del;
- 设置不显示上次登录的用户名。
- 在组策略中只允许管理员账号从网络访问本机;
- 设置操作系统中的关键目录(system32、hosts、Program Files、Perflogs)的权限为最优状态,即仅允许管理员用户进行读取及运行。
System32
Hosts
Program Files
PerfLogs
A-2任务二 Nginx安全策略(Linux)
3.禁止目录浏览和隐藏服务器版本和信息显示;
隐藏版本号
4.限制HTTP请求方式,只允许GET、HEAD、POST;
5.设置客户端请求主体读取超时时间为10;
6.设置客户端请求头读取超时时间为10;
7.将Nginx服务降权,使用www用户启动服务。
A-3任务三 日志监控(Windows)
8.安全日志文件大小至少为128MB,设置当达到最大的日志大小上限时,覆盖早于30天的日志;
9.应用日志文件大小至少为64MB,设置当达到最大的日志大小上限时,覆盖早于15天的日志;
10.系统日志大小至少为32MB,设置当达到最大的日志大小上限时,按需要覆盖事件。
A-2任务二 日志安全配置(Windows)
4.配置审核登陆,记录内容包括用户登录使用的账户、登录是否成功、登录时间、以及远程登录时间、及用户使用的IP地址;
5.启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需要审核;
6.启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。
A-4任务四 日志安全审计(Windows)
12.启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作;
13.启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核;
14.启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。
11.启用本地安全策略中对Windows系统的审核帐户管理,成功和失败操作都要审核;
12.启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核。
A-2任务二 数据库安全策略
3.以普通帐户mysql安全运行mysql服务,禁止mysql以管理员帐号权限运行;
4.删除默认数据库(test);
5.改变默认mysql管理员用户为:SuperRoot;
6.使用mysql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!)。
17.赋予user1用户对数据库所有表只有select,insert,delete,update权限。
A-3任务三 流量完整性
7.对Web网站进行HTTP重定向HTTPS设置,仅使用HTTPS协议访问网站(Windows)(注:证书颁发给test.com 并通过https://www.test.com访问Web网站)。
打开iis管理器,点击创建证书申请
打开浏览器访问http://127.0.0.1/certsrv
打开证书颁发机构,将挂起的证书颁发
右键打开证书
打开iis管理器完成证书申请
创建两个文件网站
打开iis添加两个网站
修改hosts文件
修改applicationHost文件
Ctrl+F搜索443
访问www.test.com
A-5任务五 防火墙策略
9.Windows系统禁用445端口;
10.Windows系统禁用23端口;
11.Linux系统使用iptables禁用23端口;
11.为防止Nmap扫描软件探测到关键信息,设置iptables防火墙策略对3306号端口进行流量处理;
20.为防止Nmap等扫描软件探测到关键信息,设置iptables防火墙策略对80号端口进行流量处理;
12.为防止SSH服务被暴力枚举,设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机
13.为防御IP碎片攻击,设置iptables防火墙策略限制IP碎片的数量,仅允许每秒处理1000个。
19.设置防火墙允许本机转发除ICMP协议以外的所有数据包;
21.为防御拒绝服务攻击,设置iptables防火墙策略对传入的流量进行过滤,限制每分钟允许3个包传入,并将瞬间流量设定为一次最多处理6个数据包(超过上限的网络数据包将丢弃不予处理);
22.只允许转发来自172.16.0.0/24局域网段的DNS解析请求数据包。
18.禁止任何机器ping本机;
19.禁止本机ping任何机器;
20.拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机;
21.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包。
17.为确保安全Linux系统禁止所有人通过ssh连接除了172.16.1.1这个ip;
22.在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给 192.168.1.0网络中的主机访问;
19.要求从ftp服务的数据下载请求次数每分钟不得超过 5 个
21.配置iptables防火墙过滤规则,以封堵目标网段(172.16.1.0/24),并在两小时后解除封锁。
- 设置防火墙允许本机转发除ICMP协议以外的所有数据包;
A-6任务六 WEB安全加固(Windows)
14.为了防止web中.mdb数据库文件非法下载,请对Web配置文件进行安全加固;
15.限制目录执行权限,对picture和upload目录设置执行权限为无;
pivture
upload
16.开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法)。
A-5任务五 Web安全加固(Linux)
18.为了减轻网站负载,设置网站最大并发连接数为1000;
19.防止文件枚举漏洞枚举网络服务器根目录文件,禁止IIS短文件名泄露;
20.关闭IIS的WebDAV功能增强网站的安全性。
A-4任务四 中间件服务加固SSHD\VSFTPD\IIS(Windows, Linux)
11.SSH服务加固(Linux)
a.修改ssh服务端口为2222;
- ssh禁止root用户远程登录;
- 设置root用户的计划任务。每天早上7:50自动开启ssh服务,22:50关闭;每周六的7:30重新启动ssh服务;
- 修改SSHD的PID档案存放地。
A-5任务五 中间件安全加固SSHD\VSFTPD\IIS(Windows, Linux)
15.SSHD服务加固
a.修改SSH连接界面静置时间;
b.修改登录记录的等级为INFO;
c.禁止登陆后显示信息。
16.VSFTPD服务加固
a.同一客户机IP地址允许最大客户端连接数10;
b.最大客户端连接数为100;
c.设置数据连接的超时时间为2分钟;
- 设置本地用户创建文件的权限为022。
a.设置运行vsftpd的非特权系统用户为pyftp;
b.限制客户端连接的端口范围在50000-60000;
- 限制本地用户登陆活动范围限制在home目录。
7.VSFTPD
a.vsftpd禁止匿名用户上传;
b.设置无任何操作的超时时间为5分钟;
c.匿名用户访问的最大传输速率为512KB/S;
- 用户访问的最大传输速率为1M。
b为了解决IIS短文件名漏洞,设置URL序列为~;
A-3任务三 中间件服务安全加固VSFTPD/HTTPD/BIND(Linux)
7.VSFTPD
a.vsftpd禁止匿名用户上传;
b.设置无任何操作的超时时间为5分钟;
c.匿名用户访问的最大传输速率为512KB/S;
- 用户访问的最大传输速率为1M。
8.HTTPD
a.更改默认监听端口为6666;
保存修改,退出。
//如果没有semanage命令,则执行:
# yum -y install policycoreutils-python
b.设置禁止目录浏览;
c.隐藏Apache版本号;
- 将Apache服务降权,用户为apache,用户组为www。
9.BIND
a.隐藏bind版本号;
b.设置不提供递归服务。
Recursion no
A-6任务六 IP协议安全配置
13.指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5;
14.指定处于SYN_RCVD状态的TCP连接数的阈值为500;
15.指定处于至少已发送一次重传的SYN_RVCD状态中的TCP连接数的阈值为400。
A-5任务五 本地安全策略(Windows)
14.禁止匿名枚举SAM帐户;
16.禁止存储网络身份验证的密码和凭据;
17.禁止将Everyone权限应用于匿名用户;
4.在密码过期的前5天开始提示用户在过期之前更改密码;
5.要求任何用户在登录到Windows前都必须按CTRL+ALT+DEL;
6.禁止SAM 帐户和共享的匿名枚举;
7.禁用来宾帐户。
3.关闭系统时清除虚拟内存页面文件;
4.禁止系统在未登录的情况下关闭;
5.禁止软盘复制并访问所有驱动器和所有文件夹;
17.禁止自动管理登录;
A-3任务三 服务安全配置(Windows)
8.禁用TCP/IP上的NetBIOS协议,关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口;
10.设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟;
11.对于远程登录的帐户,设置不活动超过时间5分钟自动断开连接。