A-1任務一 登錄安全加固
1.密碼策略(Windows,Linux)
主要是針對windows和Linux的系統加固,類似於運維的題目
a.設置最短密碼長度為15;
這里並沒有說明具體是
Windows還是Linux,默認就是全部設置
Windows
Win + R -> secpol.msc -> 賬戶策略 -> 密碼策略 -> 密碼長度最小值
這里Windows server 2008只能設置最小值為14
Linux
vim /etc/login.defs
找到PASS_MIN_LEN,修改改為15
b.一分鍾內僅允許4次登錄失敗,超過4次,登錄帳號鎖定1分鍾。
Windows
Win + R -> secpol.msc -> 賬戶策略 -> 密碼策略 -> 賬戶鎖定策略
這里我們設置為5,由於在一次國賽模擬題答案中,說的超過五次登錄失敗,其中答案設置為6。
Linux
vim /etc/pam.d/login
在首行添加
auth required pam.tally2.so deny=5 unlock_time=60
2.用戶安全管理
a.設置user1用戶只能在上班時間(周一至周五的9:00~18:00可以登錄,將user1的登錄時間配置界面截圖;
net user user1 /time:Monday-Friday,09:00-18:00
net user user1查看
b.在組策略中只允許管理員賬號從網絡訪問本機;
Win + R -> secpol.msc -> 本地策略 -> 用戶權限分配
c.設置操作系統中的關鍵目錄(system32、hosts、Program Files、Perflogs)的權限為最優狀態,即僅允許管理員用戶進行讀取及運行。
首先找到hosts文件的位置,C:\Windows\System32\drivers\etc
右鍵hosts文件屬性 -> 安全 -> 高級 -> 所有者
將所有者改為管理員組
高級 -> 權限 -> 更改權限
將包括可從該對象的父項繼承的權限取消勾選
彈出窗口,點擊刪除
點擊添加,將Administrators組加入,設置權限為讀取和運行
剩下的system32、ProgramFiles、Perflogs設置方法都一樣
A-2任務二 數據庫安全策略
3.以普通帳戶mysql安全運行mysql服務,禁止mysql以管理員帳號權限運行;
這里並沒有說明mysql服務的操作系統,但是配置參數都是一樣的
vim /etc/my.cnf
在mysqld下方添加user=mysql,其實這個默認就有
4.刪除默認數據庫(test);
登錄mysql,執行命令
drop dataabse test;
5.改變默認mysql管理員用戶為:SuperRoot;
update mysql.user set user='SuperRoot' where user='root';
6.使用mysql內置MD5加密函數加密用戶user1的密碼為(P@ssw0rd1!)。
update mysql.user set password=mdt('P@ssw0rd1!') where user='user1';
A-3任務三 流量完整性
7.對Web網站進行HTTP重定向HTTPS設置,僅使用HTTPS協議訪問網站(Windows)(注:證書頒發給test.com 並通過https://www.test.com訪問Web網站)。
簡要概括一下
創建http網站並設置域名
-> 安裝CA證書頒發機構,自己給自己頒發一個證書
-> 使用申請的證書搭建https網站,並設置域名
-> 修改hosts文件可以使用www.test.com訪問網站
-> 修改application.config可以強制修改https域名為www.tes.com
-> 設置網站重定向,如下圖
A-4任務四 事件監控
8.將Web服務器開啟審核策略
登錄事件 成功/失敗;
特權使用成功;
策略更改成功/失敗;
進程跟蹤成功/失敗。
Win + R -> secpol.msc -> 本地策略 -> 審核策略
A-5任務五 防火牆策略
9.Windows系統禁用445端口;
管理工具 -> 高級安全Windows防火牆 -> 右鍵入站規則 -> 新建規則
端口,下一步
特定端口,445端口,下一步
阻止連接,下一步,以后一直下一步設置名字完成即可
答案提交截圖
10.Windows系統禁用23端口;
23端口和上一題類似,把445端口改為23即可
11.Linux系統使用iptables禁用23端口;
由於不知道iptables禁用那一個端口,所以我們全部禁止
iptables -A INPUT -p tcp --dport 23 -j DROP
iptables -A INPUT -p udp --dport 23 -j DROP
iptables -A FORWARD -p tcp --dport 23 -j DROP
iptables -A FORWARD -p udp --dport 23 -j DROP
12.Linux系統使用iptables禁止別人ping通。
iptabls -A INPUT -p icmp --icmp-type 8 -j DROP
A-6任務六 IP協議安全配置
13.指定觸發SYN洪水攻擊保護所必須超過的TCP連接請求數閾值為5;
找打注冊表路徑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters
右鍵空白區域,新建DWORD(32-位)值,名稱為SynAttackProtect
值為2,啟動SYN攻擊保護
繼續新建DWORD(32-位)值,名稱為TcpMaxPortsExhausted,值為5
14.指定處於SYN_RCVD狀態的TCP連接數的閾值為500;
繼續新建DWORD(32-位)值,名稱為TcpMaxHalfOpen,值為500
15.指定處於至少已發送一次重傳的SYN_RVCD狀態中的TCP連接數的閾值為400。
繼續新建DWORD(32-位)值,名稱為TcpMaxHalfOpenRetried,值為400
