中职网络空间安全技能竞赛A模块解析,将user1的登录时
中职网络空间安全技能竞赛A模块解析,将user1的登录时
第一次写文,请多理解
有什么问题可以联系博主或者qq:2424996616交流
目录
一.登录安全加固
二.Web安全加固
三.流量完整性保护
四.IIS加固(windows)
五.本地安全策略(windows)
六.中间件服务加固SSH\VSFTPD\IIS\HTTPD(windows,linux)
SSH加固(linux) /etc/ssh/sshd_config文件
VSFTPD(linux) /etc/vsftpd/vsftpd.conf文件
IIS加固(windows)
HTTP加固 /etc/httpd/conf/httpd.conf文件
七.数据库安全策略
八.Nginx安全策略(linux)/etc/nginx/conf
九.日志监控(windows)cmd输入eventvwr进入右击各属性就可以完成配置了
十.防火墙策略
十一.IP协议安全配置
一.登录安全加固
Windows:
Linux: /etc/login.defs
b. 密码策略必须同时满足大小写字母、数字、特殊字符,将密码必须符合复杂性要求的属性配置界面截图;
windows:
Linux: /etc/pam.d/system-auth
Cmd>gpedit.msc
c. 设置不显示上次登录的用户名
Windows:
Linux:(/etc/pam.d/system-auth)
b. 设置user1用户只能在上班时间(周一至周五的9:00~18:00)可以登录。将user1的登录时间配置界面截图;
二.Web安全加固
a. 为了防止web中.mdb数据库文件非法下载,请对Web配置文件进行安全加固;
C:\Windows\System32\inetsrv\config路径下打开这个文件application.config(记事本下)
三.流量完整性保护
a.创建 www.chinaskills.com 站点,在 C:\web 文件夹内中创建
名称为 chinaskills.html 的主页,主页显示内容“热烈庆祝 2021 年
全国职业技能大赛开幕”,同时只允许使用 SSL 且只能采用域名(域
名为 www.test.com)方式进行访问,将网站绑定的配置界面截图;(windows)
可以参考一下雨泽大佬的博客视频:流量完整保护windows-CSDN直播
b.使用openssl申请证书,创建自签名证书server.crt和私钥server.key要求只允许使用域名通过SSL加密访问;(Linux)
openssl req -new -x509 -keyout server.key -out server.crt -config ../openssl.cnf
四.IIS加固(windows)
五.本地安全策略(windows)
六.中间件服务加固SSH\VSFTPD\IIS\HTTPD(windows,linux)
SSH加固(linux) /etc/ssh/sshd_config文件
a.修改ssh服务端口为2222;
b.ssh禁止root用户远程登录;
d. 修改SSHD的PID档案存放地;
e.配置SSH服务,设置RSA证书登录,将配置文件中对应的部分截图;
VSFTPD(linux) /etc/vsftpd/vsftpd.conf文件
a. 设置运行vsftpd的非特权系统用户为pyftp;
b. 限制客户端连接的端口范围在 50000-60000,将配置文件下的相关配置项截图;
c. 匿名用户访问的最大传输速率为512KB/S
d. 限制本地用户登陆活动范围限制在home目录
e. 设置站点本地用户访问的最大传输速率为1M;配置文件中对应的部分截图
f. vsftpd禁止匿名用户登录
g.vsftpd禁止匿名用户上传
h. 设置无任何操作的超时时间为5分钟
i. 同一个客户端IP最多只能打开两个连接
j. 设置数据连接的超时时间为2分钟
IIS加固(windows)
a. 开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法);
b. 关闭IIS的WebDAV功能增强网站的安全性
c. 防止文件枚举漏洞枚举网络服务器根目录文件,禁止IIS短文件名泄露,将配置命令截图
HTTP加固 /etc/httpd/conf/httpd.conf文件
a.更改默认监听端口为6666;
b. 隐藏Apache版本号;
c. 将Apache服务降权,用户为apache,用户组为www;
d. 修改网站的httpd服务为root权限,将配置文件中对应的部分截图;
e. 设置禁止目录浏览;
f. 设置HTTP服务,修改网站的配置文件,配置滚动日志按天记录网站的访问日志和错误日志,将配置文件中对应的部分截图;
配置文件 :/etc/httpd.conf/httpd.conf
七.数据库安全策略
a. 以普通帐户mysql安全运行mysql服务,禁止mysql以管理员帐号权限运行;/etc/my.cnf文件
b. 删除默认数据库(test);
mysql>drop database test;
c. 改变默认mysql管理员用户为:SuperRoot;
mysql>update user set user="SuperRoot" where user="root";
flush privileges;
d. 使用mysql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!);
mysql>update mysql.user set password=md5(“P@ssw0rd1!”) where user = ‘user1’;
八.Nginx安全策略(linux)/etc/nginx/conf
a. 禁止目录浏览和隐藏服务器版本和信息显示;
Server_Tokens off
b. 限制HTTP请求方式,只允许GET、HEAD、POST;
if ($(required_method !~^(GET|HEAD|POST)$) {
reture 501 ;
}
c. 设置客户端请求主体读取超时时间为10;
client_body_timeout=10
d. 设置客户端请求头读取超时时间为10;
client_header_timeout=10
e. 将Nginx服务降权,使用www用户启动服务
两种方式任意一种即可
1.user www
2.user www www
九.日志监控(windows)cmd输入eventvwr进入右击各属性就可以完成配置了
a. 安全日志文件大小至少为128MB,设置当达到最大的日志大小上限时,覆盖早于30天的日志;
b. 应用日志文件大小至少为64MB,设置当达到最大的日志大小上限时,覆盖早于15天的日志;
c. 系统日志大小至少为32MB,设置当达到最大的日志大小上限时,按需要覆盖事件
十.防火墙策略
a. 设置防火墙允许本机转发除ICMP协议以外的所有数据包;
iptables -A FORWARD -p icmp -j ACCEPT
b. 为防止Nmap等扫描软件探测到关键信息,设置iptables防火墙策略对80号端口进行流量处理;
iptables -A INOUT -p tcp --dport 80 -j DROP
c. 为防御拒绝服务攻击,设置iptables防火墙策略对传入的流量进行过滤,限制每分钟允许3个包传入,并将瞬间流量设定为一次最多处理6个数据包(超过上限的网络数据包将丢弃不予处理);
iptables -A INOUT -m limit --limit 3/minute --limit-burst 6 -j ACCEPT
d. 只允许转发来自172.16.0.0/24局域网段的DNS解析请求数据包
iptables -A FORWARD -p tcp --dport -s 172.16.0.0/24 -j ACCEPT
e. 禁止任何机器ping本机,将iptables配置命令截图
iptables -A INOUT -p icmp -j DROP
f. 禁止本机ping任何机器,将iptables配置命令截图
iptables -A OUTPUT -p icmp -j DROP
g. 禁用23端口
iptables -A INOUT -p tcp --dport 23 -j DROP
iptables -A INOUT -p udp --dport 23 -j DROP
h. 禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包,将iptables配置命令截图
iptables -A FORWARD -m mac --mac 29:OE:29:27:65:EF -j DROP
i. 为防御IP碎片攻击,设置iptables防火墙策略限制IP碎片的数量,仅允许每秒处理1000个,将iptables配置命令截图
iptables -A INOUT -m limit --limit 1000/s -j ACCEPT
j. 为防止SSH服务被暴力枚举,设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机,将iptables配置命令截图
iptables -A INOUT -p tcp --dport 22 -s 172.16.10.0./24 -j ACCEPT
iptables -A INOUT -p tcp --dport 22 -j DROP
k. 允许本机开放从TCP端口20-1024提供的服务
iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEPT
l. 在工作时间,即周一到周五的8:30-18:00,开放本机的ftp给192.168.1.0/24网络中的主机访问
iptables -A INOUT -p tcp --dport 21 -s 192.168.0/24 -m time --timestart 8:30 --timestop 18:00 --weekdays 1,2,3,4,5 -j ACCEPT
十一.IP协议安全配置
(cmd>regedit打开注册表,在HKEY_LOCAL_MACHINE/SYSTEM/services/Tcpip/Parameters路径进行修改)
a. 指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5;
b.指定处于SYN_RCVD状态的TCP连接数的阈值为500;
c. 指定处于至少已发送一次重传的SYN_RVCD状态中的TCP连接数的阈值为400
QQ群交流:809706080
评论暂时关闭