A-1 任务一 登录安全加固(Windows, Linux)
请对服务器 Windows、Linux 按要求进行相应的设置,提高服务器的安全性。
1.密码策略(Windows, Linux)
a1. 密码策略必须同时满足大小写字母、数字、特殊字符(Windows),将密码必须符合复杂性要求的属性配置界面截图:
a2.密码策略必须同时满足大小写字母、数字、特殊字符(Linux),将/etc/pam.d/system-auth 配置文件中对应的部分截图:
b1.最小密码长度不少于 8 个字符(Windows),将密码长度最小值的属性配置界面截图:
b2.最小密码长度不少于 8 个字符(Linux),将/etc/login.defs配置文件中对应的部分截图:
2.登录策略
a.设置账户锁定阈值为 6 次错误锁定账户,锁定时间为 1 分钟,复位账户锁定计数器为 1 分钟之后(Windows),将账户锁定策略配置界面截图:
(注意,这里锁定阈值应为 6 次,截图中若为 5 次或其他则不计分)
b.一分钟内仅允许 5 次登录失败,超过 5 次,登录帐号锁定 1 分钟(Linux),将/etc/pam.d/login 配置文件中对应的部分截图:
(注意,超过五次次锁定,所以这里锁定阈值应为 6 次,截图中若为 5 次则不计分)
3.用户安全管理(Windows)
a.禁止发送未加密的密码到第三方SMB 服务器,将 Microsoft 网络客户端:将未加密的密码发送到第三方 SMB 服务器的属性配置界面截图:
A-2任务二 本地安全策略设置(Windows)
4.关闭系统时清除虚拟内存页面文件,将关机:清除虚拟内存页面文件的属性配置界面截图:
5.禁止系统在未登录的情况下关闭,将关机:允许系统在未登录的情况下关闭的属性配置界面截图:
6.禁止软盘复制并访问所有驱动器和所有文件夹,将恢复控制台: 允许软盘复制并访问所有驱动器和所有文件夹的属性配置界面截图:
7.禁止显示上次登录的用户名,将交互式登录:不显示最后的用户名的属性配置界面截图:
A-3 任务三 流量完整性保护(Windows, Linux)
8.创建 www.chinaskills.com 站点,在 C:\web 文件夹内中创建名称为chinaskills.html 的主页,主页显示内容“热烈庆祝 2021 年全国职业技能大赛开幕”,同时只允许使用 SSL 且只能采用域名(域名为www.test.com)方式进行访问,将网站绑定的配置界面截图:
9.为了防止密码在登录或者传输信息中被窃取,仅使用证书登录 SSH(Linux),将/etc/ssh/sshd_config 配置文件中对应的部分截图:
A-4 任务四 事件监控(Windows)
10.应用程序日志文件最大大小达到 65M 时将其存档,不覆盖事件,将日志属性-应用程序(类型:管理的)配置界面截图:
A-5 任务五 服务加固 SSH\VSFTPD\IIS(Windows, Linux)
11.SSH 服务加固(Linux)
a.SSH 禁止 root 用户远程登录,将/etc/ssh/sshd_config 配置文件中对应的部分截图:
b.设置 root 用户的计划任务。每天早上 7:50 自动开启 SSH 服务, 22:50 关闭;每周六的 7:30 重新启动SSH 服务,使用命令 crontab -l,
将回显结果截图:
c.修改SSH 服务端口为 2222,使用命令netstat -anltp | grep sshd 查看SSH 服务端口信息,将回显结果截图:
12.VSFTPD 服务加固(Linux)
a.设置数据连接的超时时间为 2 分钟,将/etc/vsftpd/vsftpd.conf 配置文件中对应的部分截图:
b.设 置 站 点 本 地 用 户 访 问 的 最 大 传 输 速 率 为 1M , 将/etc/vsftpd/vsftpd.conf 配置文件中对应的部分截图:1000000 或1048576 均可
13.IIS 加固(Windows)
a.防止文件枚举漏洞枚举网络服务器根目录文件,禁止 IIS 短文件名泄露,将配置命令截图:
b.关闭IIS 的WebDAV 功能增强网站的安全性,将警报提示信息截图:
A-6 任务六 防火墙策略(Linux)
14.只允许转发来自 172.16.0.0/24 局域网段的 DNS 解析请求数据包,将iptables 配置命令截图:
15.禁止任何机器ping 本机,将iptables 配置命令截图:
16.禁止本机ping 任何机器,将iptables 配置命令截图:
17.禁用 23 端口,将iptables 配置命令截图:
18.禁止转发来自MAC 地址为29:0E:29:27:65:EF 主机的数据包, 将iptables 配置命令截图:
19.为防御IP 碎片攻击,设置 iptables 防火墙策略限制IP 碎片的数量,仅允许每秒处理 1000 个,将iptables 配置命令截图:
20.为防止SSH 服务被暴力枚举,设置 iptables 防火墙策略仅允许 172.16.10.0/24 网段内的主机通过SSH 连接本机,将 iptables 配置命令截图: