前言

这个题看百度上的,在 CSDN 那边要收费
像我这样的白嫖党却无处藏身

所以以做代替买,打算自己做一份算了

A模块

A-1 任务一 登录安全加固(Windows, Linux)

请对服务器 Windows、Linux 按要求进行相应的设置,提高服务

器的安全性。

1.密码策略(Windows, Linux) a.密码策略必须同时满足大小写字母、数字、特殊字符;

Windows

做法:win+R -> 输入 secpol.msc -> 账户策略 -> 密码策略

Linux

做法:打开 Terminal -> vi /etc/pam.d/system-auth -> 找到 pam_cracklib.so 这一行,在后面添加

1
2
3
ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
#注意:这个地方是限制新密码中的元素,-1为至少为一个,
#ucredit表示大写字符,lcredit表示小写字符,dcredit表示数字,ocredit表示特殊符号

b.最小密码长度不少于 8 个字符。

做法:win+R -> 输入 secpol.msc -> 账户策略 -> 密码策略

2.登录策略

a.设置账户锁定阈值为 6 次错误锁定账户,锁定时间为 1 分钟, 复位账户锁定计数器为 1 分钟之后;(Windows)

做法:win+R -> 输入 secpol.msc -> 账户策略 -> 账户锁定策略

b.一分钟内仅允许 5 次登录失败,超过 5 次,登录帐号锁定 1 分 钟。(Linux)

做法:打开 Terminal -> v /etc/pam.d/login

3.用户安全管理(Windows)

a.禁止发送未加密的密码到第三方 SMB 服务器;

做法:win+R -> 输入 secpol.msc -> 本地策略 -> 安全选项

20211130073314

b.禁用来宾账户,禁止来宾用户访问计算机或访问域的内置账户。

做法:win+R -> 输入 secpol.msc -> 本地策略 -> 安全选项

20211130073412

A-2 任务二 本地安全策略设置(Windows)

4.关闭系统时清除虚拟内存页面文件;

做法:win+R -> 输入 secpol.msc -> 本地策略 -> 安全选项

20211130073606

5.禁止系统在未登录的情况下关闭;

做法:win+R -> 输入 secpol.msc -> 本地策略 -> 安全选项

20211130073636

6.禁止软盘复制并访问所有驱动器和所有文件夹;

做法:win+R -> 输入 secpol.msc -> 本地策略 -> 安全选项

20211130073722

7.禁止显示上次登录的用户名。

做法:win+R -> 输入 secpol.msc -> 本地策略 -> 安全选项

20211130073759

A-3 任务三 流量完整性保护(Windows, Linux)

8.创建 www.chinaskills.com 站点,在 C:\web 文件夹内中创建 名称为 chinaskills.html 的主页,主页显示内容“热烈庆祝 2021 年 全国职业技能大赛开幕”,同时只允许使用 SSL 且只能采用域名(域 名为 www.test.com)方式进行访问;

做法:先忽略,有空再搞

9.为了防止密码在登录或者传输信息中被窃取,仅使用证书登录 SSH(Linux)

做法:编辑 SSH 服务的配置文件,将 PasswordAuthentication yes 改为 no

20211130103219

然后再将 SSH 配置文件的 PubkeyAuthentication yes 前面的注释去掉,使其生效

20211130103260

A-4 任务四 事件监控(Windows)

10.应用程序日志文件最大大小达到 65M 时将其存档,不覆盖事 件,将日志属性-应用程序(类型:管理的)配置界面截图:

20211201163923

A-5 任务五 服务加固 SSH\VSFTPD\IIS(Windows)

11.SSH 服务加固(Linux)

a.SSH 禁止 root 用户远程登录,将/etc/ssh/sshd_config 配置文件 中对应的部分截图:

做法:编辑 SSH 服务的配置文件,将 PermitRootLogin no 改为 yes

20211201164849

b.设置 root 用户的计划任务。每天早上 7:50 自动开启 SSH 服务, 22:50 关闭;每周六的 7:30 重新启动 SSH 服务,使用命令 crontab -l, 将回显结果截图;

做法:使用命令 crontab -e

20211202080641

c.修改 SSH 服务端口为 2222,使用命令 netstat -anltp | grep sshd 查看 SSH 服务端口信息,将回显结果截图;

做法:编辑 SSH 配置文件,改 Port 22,去注释

20211202080905

12.VSFTPD 服务加固(Linux)

a.设置数据连接的超时时间为 2 分钟,将/etc/vsftpd/vsftpd.conf 配置文件中对应的部分截图:

20211202081609

b. 设 置 站 点 本 地 用 户 访 问 的 最 大 传 输 速 率 为 1M , 将 /etc/vsftpd/vsftpd.conf 配置文件中对应的部分截图:

20211202081858

13.IIS 加固(Windows)

a.防止文件枚举漏洞枚举网络服务器根目录文件,禁止 IIS 短文件名 泄露,将配置命令截图:

20212020820

b.关闭 IIS 的 WebDAV 功能增强网站的安全性,将警报提示信息截图:

20211202164216

A-6 任务六 防火墙策略(Linux)

14.只允许转发来自 172.16.0.0/24 局域网段的 DNS 解析请求数 据包,将 iptables 配置命令截图:

1
iptables -A FORWARD -p udp -dport 53 -s 172.16.0.0/24 -j ACCEPT

15.禁止任何机器 ping 本机,将 iptables 配置命令截图:

1
iptables -A INPUT -p ICMP --icmp-type 8 -j DROP

16.禁止本机 ping 任何机器,将 iptables 配置命令截图:

1
iptables -A OUTPUT -p ICMP --ICMP-reply echo-reply -j DROP

17.禁用 23 端口,将 iptables 配置命令截图:

1
2
iptables -A INPUT -p tcp --dport 23 -j DROP
iptables -A INPUT -p udp --dport 23 -j DROP

18.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包, 将 iptables 配置命令截图:

1
iptables -A FORWARD -m mac --mac-source 29:0E:29:27:65:EF -j DROP

19.为防御 IP 碎片攻击,设置 iptables 防火墙策略限制 IP 碎片 的数量,仅允许每秒处理 1000 个,将 iptables 配置命令截图:

1
iptables -A -f -m limit 1000/s --limit-burst 1000 -j ACCEPT

20.为防止 SSH 服务被暴力枚举,设置 iptables 防火墙策略仅允 许 172.16.10.0/24 网段内的主机通过 SSH 连接本机,将 iptables 配 置命令截图

1
iptables -I -p tcp --dport 22 -s 172.16.10.0/24 -j ACCEPT