网络空间安全解析A模块解析

  • Post author:
  • Post category:其他


前言

这是作者第一次写文章,可能会有一些不好的地方。 有要环境+QQ:3464531613



任务一:登录安全加固


任务环境说明:

✓ 服务器场景:LOG:(开放链接)

✓ 用户名:root密码:root

✓ 服务器场景:Web:(开放链接)

✓ 用户名:administrator密码:P@ssw0rd

1.密码策略(Web)

a.最小密码长度不少于 8 个字符,将密码长度最小值的属性配置界面截图;

b.密码策略必须同时满足大小写字母、数字、特殊字符,将密码必须符合复 杂性要求的属性配置界面截图。

c.设置密码策略必须同时满足大小写字母、数字、特殊字符,最小密码长度 不少于 8 个字符,密码最长使用期限为 15 天。将服务器上密码策略配置信息截图;

2.登录策略(Web)

a.在用户登录系统时,应该有“For authorized users only”提示信息,将 登录系统时系统弹出警告信息窗口截图;

b.一分钟内仅允许 5 次登录失败的尝试,超过 5 次,登录帐号锁定 1 分钟, 将账户锁定策略配置界面截图;

c.设置 user1 用户只能在上班时间(周一至周五的 9:00~18:00)可以登录。 将 user1 的登录时间配置界面截图。

d.远程用户非活动会话连接超时应小于等于5分钟。

3.用户安全管理(Web)

a.对服务器进行远程管理安全性 SSL 加固,防止敏感信息泄露被监听,将 RDP-Tcp 属性对应的配置界面截图;

b.仅允许超级管理员账号关闭系统,将关闭系统属性的配置界面截图。

c.禁止普通用户使用注册表编辑工具以及Ctrl+Alt+Del;

d.交互式登录时不显示用户名;

e.设置取得文件或其他对象的所有权,将该权限只指派给administrators组;

f.禁止普通用户使用命令提示符;

方法一:

方法2:


任务二:Web 安全加固(Web)


任务环境说明:

✓ 服务器场景:LOG:(开放链接)

✓ 用户名:root密码:root

✓ 服务器场景:Web:(开放链接)

✓ 用户名:administrator密码:P@ssw0rd

1.为了防止 web 中.mdb 数据库文件非法下载,请对 Web 配置文件进行安全加 固,将 C:\Windows\System32\inetsrv\config\applicationHost 配置文件中对应 的部分截图;

2.限制目录执行权限,对 picture 和 upload 目录设置执行权限为无,将编辑 功能权限的配置界面截图;

picture目录设置:

upload目录设置:

方法2:

picture目录设置:

upload目录设置:

3.开启 IIS 的日志审计记录(日志文件保存格式为 W3C,只记录日期、时间、客 户端 IP 地址、用户名、方法),将 W3C 日志记录字段的配置界面截图;

4.为了减轻网站负载,设置网站最大并发连接数为 1000,将编辑网站限制的 配置界面截图;

5.防止文件枚举漏洞枚举网络服务器根目录文件,禁止 IIS 短文件名泄露, 将配置命令截图。

6.关闭 IIS 的 WebDAV 功能增强网站的安全性,将警报提示信息截图。

7.设置网站的最大并发连接数为 1000,网站连接超时为 60s,将编辑网站限制的配置界面截图;

8. 禁用 IIS 内核缓存,避免对方利用 ms15_034 漏洞进行 DOS 攻击,出现蓝屏 的现象,将编辑输出缓存设置的配置界面截图;


任务三:流量完整性保护与事件监控(Web,Log)


任务环境说明:

✓ 服务器场景:LOG:(开放链接)

✓ 用户名:root密码:root

✓ 服务器场景:Web:(开放链接)

✓ 用户名:administrator密码:P@ssw0rd

1.为了防止密码在登录或者传输信息时被窃取,仅使用证书登录 SSH(Log), 将/etc/ssh/sshd_config 配置文件中对应的部分截图;

2.将 Web 服务器开启审核策略

登录事件成功/失败;

特权使用成功;

策略更改成功/失败;

进程跟踪成功/失败;

将审核策略的配置界面截图;

3.配置 Splunk 接收 Web 服务器,安全日志,系统日志,CPU 负载,内存,磁

盘空间,网络状态。将转发器:部署成功的页面截图。


任务四: 防火墙策略-1



任务环境说明:

✓ 服务器场景:LOG:(开放链接)

✓ 用户名:root密码:root

✓ 服务器场景:Web:(开放链接)

✓ 用户名:administrator密码:P@ssw0rd

所有服务器开启防火墙,为防止勒索病毒攻击对防火墙进行加固策略:

1.Windows 系统禁用 445 端口,将防火墙入站规则截图;

2.Linux 系统禁用 23 端口,将 iptables 配置命令截图;

3.Linux 系统禁止别人 ping 通,将 iptables 配置命令截图;

4.Linux 系统为确保安全禁止所有人连接 SSH 除了 172.16.1.1 这个 ip,将 iptables 配置命令截图。

任务五:Linux 操作系统安全配置-1


任务环境说明:

✓ 服务器场景:LinuxServer:(开放链接)

✓ 用户名:root,密码:123456

✓ 数据库用户名:root,密码:123456

请对服务器 LinuxServer 按要求进行相应的设置,提高服务器的安全性。

1.设置最小密码长度不少于 8 个字符,密码最长使用期限为 15 天。将

/etc/login.defs 配置文件中对应的部分截图;

2.设置在用户登录系统时,会有“For authorized users only”提示信息,

将登录系统时系统弹出提示信息界面截图;

3.设置 root 用户的计划任务。每天早上 7:50 自动开启 vsftpd 服务,22 点 50 时关闭;每周六的 7:30 时,重新启动 vsftpd 服务。使用 crontab –l 查看计 划任务,将回显结果截图;

4.禁止匿名用户登录 vsftpd 服务,将/etc/vsftpd/vsftpd.conf 配置文件中 对应的部分截图;

5.限制客户端连接 vsftpd 服务时,同一个 IP 最多只能打开两个连接,将 /etc/vsftpd/vsftpd.conf 配置文件中对应的部分截图;

6.将 SSH 服务的端口号修改为 2222 ,使用命令 netstat -anltp | grep sshd 查看 SSH 服务端口信息,将回显结果截图;

7.禁止 root 用户通过 SSH 远程登录,将/etc/ssh/sshd_config 配置文件中 对应的部分截图;

8.禁止 mysql 服务以管理员权限的账号运行,将/etc/my.cnf 配置文件中对应的部分截图;

9.删除默认数据库 test, 然后使用 show databases;命令查看当前的数据库信息,将回显结果截图;

10.将数据库用户 user1 的密码使用 MD5 加密,然后在数据库中使用 select password from user where user=’user1’;命令查看 user1 的密码,将回显结 果截图。


任务六:数据库加固


任务环境说明:

  • (Linux)系统:用户名root,密码123456 mysql 8版本

1.删除默认数据库(test);

2.改变默认MySql管理员用户为:SuperRoot;

3.使用MySql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!)

4.赋予user1用户对数据库所有表只有select、insert、delete、update权限;

5.对忘记mysql数据库SuperRoot管理员密码进行重置操作;


任务七:服务加固 SSH\VSFTPD


任务环境说明:

  • (Linux)系统:用户名root,密码123456

1.SSH服务加固

(1)SSH 禁止 root 用户远程登录。

(2)设置 root 用户的计划任务。每天早上 7:50 自动开启 SSH 服务,22:50 关闭;每周六的 7:30 重新启动 SSH 服务。

(3)修改 SSH 服务端口为 2222。

(4) 修改SSHD的PID档案存放地。

2.VSFTPD 服务加固

(1)设置数据连接的超时时间为 2 分钟、无任何操作的超时时间为5分钟。

(2)设置站点本地用户访问的最大传输速率为1M。

(3)禁止匿名用户登录。

(4)关闭ascii模式下载,防止被用于DoS攻击。

(5)设置运行vsftpd的非特权系统用户为pyftp;

(6)限制客户端连接的端口范围在50000-60000;

(7)限制本地用户登陆活动范围限制在home目录。


任务八:防火墙策略-2


任务环境说明:

  • (Linux)系统:用户名root,密码123456

1.只允许转发来自172.16.0.0/24 局域网的DNS解析请求数据包;

2.为确保安全,仅允许 172.16.10.0/24 网段内的主机通过 SSH 连接本机。

3.为防止Nmap扫描软件探测到关键信息,设置iptables防火墙策略对80、3306号端口进行流量处理;

4. 为防御 IP 碎片攻击,设置 iptables 防火墙策略限制 IP 碎片 的数量,仅允许每秒处理 1000 个,将 iptables 配置命令截图:

5. 为防御拒绝服务攻击,设置iptables防火墙策略对传入的流量进行过滤,限制每分钟允许三个包传入,并将瞬间流量设置为一次最多处理6个数据包,(超过上限的网络数据包将丢弃不予处理)。

6. 禁止转发来自 MAC 地址为 29:0E:29:27:65:EF 主机的数据包, 将 iptables 配置命令截图:


任务九:Linux操作系统安全配置-2


任务环境说明:

(Linux Centos7)系统:用户名root,密码123456

1. 设置禁止使用最近用过的6个旧密码,将配置文件中对应的部分截图;

2. 设置密码复杂程度,允许重试3次,新密码必须与旧密码有4位不同,密码最小长度为6位,大写字母至少包含2位,小写字母至少包含3位,特殊字符个数至少含1位,将配置文件中对应的部分截图;

3.禁止匿名用户登录vsftpd服务,将配置文件中的对应部分截图;

4.设置关闭ftp-data端口不使用主动模式,使用ipv4进行监听,将配置文件对应的部分截图;

5. 将telnet服务的端口修改为2323,查看telnet服务端口信息,将回显结果截图;

6.限制Telnet用户连接,单个IP允许的最大连接数为1,总的最大连接数为10,将配置文件中对应的部分截图。

7.允许root用户通过ssh远程登录,将配置文件中对应的部分截图。

8.配置SSH服务,设置RSA证书登录,将配置文件中对应的部分截图。

9.修改网站的http服务为root权限,将配置文件中对应的部分截图。

10.设置http服务,修改网站的配置文件,配置滚动日志分割按天记录网站的访问日志和错误日志,将配置文件中的部分截图。


任务十:Linux操作系统安全配置-3


任务环境说明:

(Linux Centos7)系统:用户名root,密码123456

1.设置账户密码有效期,密码最大有效期为30,可修改密码最小天数为5,密码长度为6,密码失效前4天通知,将配置文件login.defs中对应的部分截图;

2.设置root的密码策略,密码过期时间为10天,密码失效时间为2天,在密码过期之前警告的天数为3天,两次改变密码之间相距的最大天数为8天,使用chage查看root结果并截图;

3.允许匿名用户登录vsftpd服务,禁止匿名用户上传文件,将配置文件中对应的部分截图;

4.限制FTP客户端连接,最大连接数为4,将配置文件中对应的部分截图;

5.配置samba服务,允许匿名用户访问share文件目录下,将配置文件中对应的部分截图;

6.配置Samba服务,允许访问public文件目录,只可以上传不可以删除,且只有创建者和root可以删除,将配置文件中对应的部分截图;

7.设置访问网站时需要账户认证访问,将配置文件中对应的部分截图;

8.配置证书,以HTTTPS协议访问网页,将网页访问结果截图;

9.为网站设置DNS地址,网站域名为

www.test.com

,使用nslookup将正向解析的内容截图;

10.设置DNS服务,只允许192.168.1.1解析查询,将配置文件中对应的部分截图。


任务十一:IP安全协议配置


任务环境说明:

(Windows 2008)系统:用户名Administrator,密码P@ssw0rd

1.指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5;

2.指定处于SYN_RCVD状态的TCP连接数的阈值为500;

3.指定处于至少已发送一次重传的SYN_RVCD状态中的TCP连接数的阈值为400。


任务十二:中间件服务安全加固VSFTPD/HTTPD/BIND(Linux)


任务环境说明:

(Linux)系统:用户名root,密码123456


1.VSFTPD

a.vsftpd禁止匿名用户上传;

b.设置无任何操作的超时时间为5分钟。

c.匿名用户访问的最大传输速率为512KB/s。

d.用户访问的最大传输速率为1M。


2.HTTPD


a.更改默认监听端口为6666;

b.设置禁止目录浏览;

c.隐藏Apache版本号;

d.将apache用户降权为apache用户,组为www;


3.BIND

a.隐藏bind版本号;

b.设置不提供递归服务。


任务十三:流量完整性保护(Windows)


任务环境说明:

(Windows 2008)系统:用户名Administrator,密码P@ssw0rd

1.对Web网站进行HTTP重定向HTTPS设置,仅使用HTTPS协议访问网站(Windows)(注:证书颁发给

test.com

并通过

https://www.test.com

访问Web网站)。


任务十四:防火墙策略-3(Linux)


任务环境说明:

(Linux)系统:用户名root,密码123456

1.为防止Nmap扫描软件探测到关键信息,设置iptables防火墙策略对3306号端口进行流量处理;

2.为防止SSH服务被暴力枚举,设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机;

3.为防御IP碎片攻击,设置iptables防火墙策略限制IP碎片的数量,仅允许每秒处理1000个。


任务十五:Nginx安全策略(Linux)


任务环境说明:

(Linux)系统:用户名root,密码123456


1.

禁止目录浏览和隐藏服务器版本和信息显示;

2.限制HTTP请求方式,只允许GET、HEAD、POST;

3.设置客户端请求主体读取超时时间为10;

4.设置客户端请求头读取超时时间为10;

5. 将Nginx服务降权,使用www用户启动服务。


任务十六:日志监控


任务环境说明:

(windows 2003)系统:用户名Administrator,密码123456

1.安全日志文件大小至少为128MB,设置当达到最大的日志大小上限时,覆盖早于30天的日志;

2. 应用日志文件大小至少为64MB,设置当达到最大的日志大小上限时,覆盖早于15天的日志;

3.系统日志大小至少为32MB,设置当达到最大的日志大小上限时,按需要覆盖事件。


任务十七:本地安全策略


任务环境说明:

(windows 2008)系统:用户名Administrator,密码P@ssw0rd

1.禁止匿名枚举SAM帐户;

2.禁止系统在未登录的情况下关闭;

3.禁止存储网络身份验证的密码和凭据;

4.禁止将Everyone权限应用于匿名用户;

5.在超过登录时间后强制注销。


任务十八:服务安全配置(Windows)


任务环境说明:

(windows 2008)系统:用户名Administrator,密码P@ssw0rd

1.禁用TCP/IP上的NetBIOS协议,关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口;

2.在本地策略里配置禁用未登陆前关机;

3.设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟;

4.对于远程登录的帐户,设置不活动超过时间5分钟自动断开连接。


任务十九:中间件安全加固SSHD\VSFTPD\IIS(Windows, Linux)


任务环境说明:

(windows 2008)系统:用户名Administrator,密码P@ssw0rd

(Linux) 系统:用户名 root 密码123456

1.SSHD服务加固

a.修改SSH连接界面静置时间;

b.修改登录记录的等级为INFO;

c.禁止登陆后显示信息。

2.VSFTPD服务加固

a.同一客户机IP地址允许最大客户端连接数10;

b.最大客户端连接数为100;

c.设置数据连接的超时时间为2分钟;

d.设置本地用户创建文件的权限为022。

3. IIS服务加固

a.关闭FTP匿名访问;

b.为了解决IIS短文件名漏洞,设置URL序列为~;

c.设置网站最大并发连接数为10。


任务二十:防火墙策略-4(Linux)


任务环境说明:

(Linux) 系统:用户名 root 密码123456


1.

禁止任何机器ping本机;

2.禁止本机ping任何机器;

3.拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机;

4.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包。

5.配置iptables防火墙过滤规则,以封堵目标网段(172.16.1.0/24),并在两小时后解除封锁。

6.在工作时间,即周一到周五的8:30-18:00,开放本机的ftp服务给 192.168.1.0网络中的主机访问;


任务二十一:本地安全策略设置(Windows)


任务环境说明:

(Windows 2008) 系统:用户名 Administrator密码 P@ssw0rd

1.关闭系统时清除虚拟内存页面文件;

2.禁止软盘复制并访问所有驱动器和所有文件夹;

3.禁止自动管理登录;

4.禁止显示上次登录的用户名。


任务二十二:Windows操作系统安全配置(Windows)


任务环境说明:

(Windows server2012) 系统:用户名 Administrator密码 P@ssw0rd

1.在系统中查看软件授权服务器版本,提高服务器的安全性;

2.在系统中设置telnet,设置telnet最大连接数不超过3,将登录超出的信息窗口即过程截图;

3.在系统中设置telnet,设置telnet登录尝试的最大失败数不超过5,将登录错误的信息窗口及过程截图;

4,在系统中设置用户的登录脚本,用户登录后弹出信息框为”Welcome 登录脚本”将登录界面全屏及过程截图;

5.在系统策略中锁定.vbs不可执行,并将执行结果截图;

6.在系统中将本地磁盘(C:)里面的sharefile文件用管理员用户映射,将映射后的这台电脑窗口界面截图;

7.在系统中设置bitLocker,使操作系统磁盘加密,将输入密码以解锁此驱动器窗口截图;

8.设置用户只能在工作日登录,将用户的登录时间配置界面截图;

9.在系统中设置网站首页只能用证书以域名的方式访问,将域名设置成

www.baidu.com

,将访问网站后的浏览器全屏及过程截图;

10.在系统中设置用户登录审核,将审核成功与失败的结果即过程分别截图;



版权声明:本文为weixin_72466436原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。