前言

這是作者這幾個月來的第一次更新文章，問就是太忙了，最近要去參加國賽，在此重新回來寫文章，也不知道能寫多久，就當練習了，

一.A模塊基礎設施設定/安全加固

A-1.登錄加固

1.密碼策略

a.最小密碼長度不少于8個字符，將密碼長度最小值的屬性配置界面截圖，

練習用的WindowsServer2008,系統左下角開始 > 管理工具 > 本地安全策略 > 賬戶策略 > 密碼策略 > 密碼最小長度，如下圖??，

b.密碼策略必須同時滿足大小寫字母、數字、特殊字符，將密碼必須符合復雜性要求的屬性配置界面截圖

和上面一樣的地方，如下圖??，

2.登錄策略

a.在用戶登錄系統時，應該有“For authorized users only”提示資訊，將登錄系統時系統彈出警告資訊視窗截圖；

和上面一樣只不過變成了，系統左下角開始 > 管理工具 > 本地安全策略 > 本地策略 > 安全選項 > 互動式登錄xx，如下圖，

b.一分鐘內僅允許5次登錄失敗的嘗試，超過5次，登錄帳號鎖定1分鐘，將賬戶鎖定策略配置界面截圖；

位置和上面一樣，具體參考下圖，

c.遠程用戶非活動會話連接超時應小于等于5分鐘，將RDP-Tcp屬性對應的配置界面截圖，

鍵盤win + r之后輸入tsconfig.msc，之后打開RDP-TCP屬性，之后如下圖設定，

3.用戶安全管理(Web)

a.對服務器進行遠程管理安全性SSL加固，防止敏感資訊泄露被監聽，將RDP-Tcp屬性對應的配置界面截圖；

鍵盤win + r之后輸入tsconfig.msc，之后打開RDP-TCP屬性，之后如下圖設定，

b.僅允許超級管理員賬號關閉系統，將關閉系統屬性的配置界面截圖，

和上面一樣，具體如下圖查看??，

A-2.Web安全加固(Web)

1.資料庫加固

1.為了防止web中.mdb資料庫檔案非法下載，請對Web組態檔進行安全加固，將C:\Windows\System32\inetsrv\config\applicationHost組態檔中對應的部分截圖；

根據題目打開路徑檔案，然后找到如下圖行列修改，把false修改為true，

2.限制目錄

2.限制目錄執行權限,對picture和upload目錄設定執行權限為無，將編輯功能權限的配置界面截圖；

左下角開始 > 管理工具 > IIS管理器選擇picture和upload，選擇處理程式映射，之后在選項卡右邊有編輯功能選項，如下圖??，

3.日志審計記錄

3.開啟IIS的日志審計記錄(日志檔案保存格式為W3C,只記錄日期、時間、客戶端IP地址、用戶名、方法)，將W3C日志記錄欄位的配置界面截圖；

打開IIS管理器，選擇默認網站，選擇日志選項，具體操作如下圖??，

4.減輕網站負載

4.為了減輕網站負載，設定網站最大并發連接數為1000，將編輯網站限制的配置界面截圖；

打開IIS管理器，選擇默認網站，找到右邊選項卡限制，具體操作如下圖，

5.防止檔案列舉

5.防止檔案列舉漏洞列舉網路服務器根目錄檔案，禁止IIS短檔案名泄露，將配置命令截圖；

命令是：

FSUTIL 8dot3name set 1

如下圖，

6.關閉IIS的WebDAV功能

6.關閉IIS的WebDAV功能增強網站的安全性，將警報提示資訊截圖，

打開IIS管理器，選擇默認網站，選擇WebDAV創作規則，然后關閉，具體操作如下圖，

A-3.流量完整性保護與事件監控（Web,Log）

1.證書登陸SSH

1.為了防止密碼在登錄或者傳輸資訊時被竊取，僅使用證書登錄SSH（Log），將/etc/ssh/sshd_config組態檔中對應的部分截圖；

打開LogLinux機器，按照題目要求打開路徑具體操作如下圖，

2.開啟審核策略

2.將Web服務器開啟審核策略

登錄事件 成功/失敗;

特權使用 成功;

策略更改 成功/失敗;

行程跟蹤 成功/失敗;

將審核策略的配置界面截圖；

打開windows機器，開始 > 管理工具 > 本地安全策略 > 本地策略 > 審核策略，具體操作如下圖，

3.配置Splunk

3.配置Splunk接收Web服務器，安全日志，系統日志，CPU負載，記憶體，磁盤空間，網路狀態，將轉發器：部署成功的頁面截圖，

參考別人文章：配置Splunk

A-4.防火墻策略

1.Windows禁用445埠

1.Windows系統禁用445埠，將防火墻入站規則截圖；

打開Windows高級防火墻，新建規則，具體操作如下圖，

之后一路下一步下一步，名稱取名字即可，

2.linux禁用埠

2.Linux系統禁用23埠，將iptables配置命令截圖

命令是：

iptables -A INPUT -p tcp --dport 23 -j DROP

具體如下圖，

3.Linux禁Ping

3.Linux系統禁止別人ping通，將iptables配置命令截圖；

命令是：

iptables -A INPUT -p icmp --icmp-type 8 -j DROP

具體如下圖，

4.Linux只允許某IP連接

4.Linux系統為確保安全禁止所有人連接SSH除了172.16.1.1這個ip，將iptables配置命令截圖，

命令是：

iptables -A INPUT -p tcp --dport 22 -s 172.16.1.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

具體如下圖，

A-5.Windows作業系統安全配置

請對服務器WindowsServer按要求進行相應的設定，提高服務器的安全性，

其實和上面的配置差不多，但是還是寫吧，

1.密碼策略

1.設定密碼策略必須同時滿足大小寫字母、數字、特殊字符，最小密碼長度不少于8個字符，密碼最長使用期限為15天，將服務器上密碼策略配置資訊截圖;

開始 > 管理工具 > 本地安全策略 > 密碼策略，具體如下圖，

2.登錄提示資訊

2.在用戶登錄系統時，應該有“For authorized users only”提示資訊，將登錄系統時系統彈出警告資訊視窗截圖;

開始 > 管理工具 > 本地安全策略 > 安全選項 > 互動式登錄，具體如下圖，

3.允許登錄失敗5次

3.一分鐘內僅允許5次登錄失敗的嘗試，超過5次，登錄帳號鎖定1分鐘,將賬號鎖定策略配置資訊截圖；

開始 > 管理工具 > 本地安全策略 > 賬戶策略 > 賬戶鎖定策略，具體如下圖，

4.設定RDP-TCP

4.設定遠程桌面用戶非活動會話連接超時應小于等于5分鐘，將RDP-Tcp屬性對應的配置界面截圖；

win + r輸入tsconfig.msc，選擇RDP-TCP屬性，具體操作如下圖，

5.通過SSL加密服務器遠程桌面

和上面一樣的位置，具體操作如下圖，

6.只允許超級管理員關閉系統

6.僅允許超級管理員賬號關閉系統，將關閉系統屬性的配置界面截圖；

開始 > 管理工具 > 本地安全策略 > 本地策略 > 用戶權限分配，具體如下圖，

7.開啟IIS的日志審計記錄

7.開啟IIS的日志審計記錄，日志檔案保存格式為W3C,只記錄日期、時間、客戶端IP地址、用戶名、服務器埠、方法，將W3C日志記錄欄位的配置界面截圖；

打開IIS管理器，選擇默認網站，選擇日志，具體操作如下圖，

8.設定網站最大并發連接

8.設定網站的最大并發連接數為1000，網站連接超時為60s，將編輯網站限制的配置界面截圖；

在管理工具打開IIS管理器，選擇默認網站，選擇右邊限制，具體操作如下圖，

9.禁用快取

9.禁用IIS內核快取，避免對方利用ms15_034漏洞進行DOS攻擊，出現藍屏的現象，將編輯輸出快取設定的配置界面截圖；

在管理工具打開IIS管理器，選擇默認網站，選擇輸出快取，右邊選單選擇編輯功能設定，具體如下圖，

10.設定某用戶特定時間登錄

10.設定user1用戶只能在上班時間（周一至周五的9:00~18:00）可以登錄，將user1的登錄時間配置界面截圖，

需要輸入命令，創建用戶命令是：

net user 用戶名 密碼 /add

題目要求的命令是，

net user user1 /times:M-F,9:00-18:00

具體如下圖，

A-6.Linux作業系統安全配置

1.設定禁止使用最近用過舊密碼

1.設定禁止使用最近用過的6個舊密碼，將組態檔中對應的部分截圖;

打開機器，對應檔案在/etc/pam.d/system-auth里面，使用vim打開，命令如下，

vim /etc/pam.d/system-auth

具體修改如下圖，最后wq保存退出

2.設定密碼復雜程度

設定密碼復雜程度，允許重試3次，新密碼必須與舊密碼有4位不同，最小位數6位，大寫字母至少包含2位，小寫字母
至少包含3位，特殊字母個數至少包含1位，將組態檔中對應的部分截圖;

首先嚴謹一點，Linux修改這些位置的地方有兩個，第一個是在/etc/login.defs下面，如下圖，

PASS_MAX_DAYS   90  　　    # 密碼最長過期天數
PASS_MIN_DAYS   80  　　　  # 密碼最小過期天數
PASS_MIN_LEN    10  　　　　# 密碼最小長度
PASS_WARN_AGE   7   　　　 # 密碼過期警告天數

第二種方法才是題目需要的方法，位置在/etc/pam.d/system-auth，修改位置如下圖，

3.禁止匿名用戶登錄vsftpd

3.禁止匿名用戶登錄vsftpd服務，將組態檔中對應的部分截圖；

vsftpd服務配置在路徑/etc/vsftpd/vsftpd.conf，具體修改位置如下圖，

4.設定關閉ftp-data埠

4.設定關閉ftp-data埠不使用主動模式，使用ipv4進行監聽，將組態檔中對應的部分截圖；

需要修改的檔案路徑是/etc/vsftpd/vsftpd.conf，具體看下圖，

5.修改Telnet埠

5. 將Telnet服務的埠號修改為2323 ,查看Telnet服務埠資訊，將回顯結果截圖；

環境有問題，怎么也不行，就在網上找了文章修改Telnet埠

6.限制Telnet用戶連接

6.限制Telnet用戶連接，單個IP允許的最大連接數為1，總的最大連接數為10，將組態檔中對應的部分截圖；

環境問題，參考文章限制Telnet用戶連接還有這個限制Telnet用戶連接，

7.允許root用戶通過SSH

7.允許root用戶通過SSH遠程登錄，將組態檔中對應的部分截圖；

修改路徑在/etc/ssh/sshd_config具體如下圖

8.SSH設定RSA證書登錄

8.配置SSH服務，設定RSA證書登錄，將組態檔中對應的部分截圖；

參考文章Centos7 ssh配置RSA證書登錄，

9.修改httpd服務為root權限

9.修改網站的httpd服務為root權限，將組態檔中對應的部分截圖；

修改路徑在/etc/httpd/conf/httpd.conf，具體修改如下圖，

10.設定HTTP服務

10.設定HTTP服務，修改網站的組態檔，配置滾動日志按天記錄網站的訪問日志和錯誤日志，將組態檔中對應的部分截圖，

無，

標籤：其他

上一篇：用Taro配合微信云托管做了一個AI畫圖小程式

下一篇：記一次SQL注入的識訓