A-1:登錄安全加固 (windows、linux）

1.密碼策略 (windows、linux)(1)最小密碼長度不少于8個寧符、密碼最短使用期限30天:

linux　

cd /etc/
vim login.defs

/PASS

修改
PASS_MIN_DAYS 30

cd /etc/pam.d
vim common-password

password　　[success=1 default=ignore]  pam_unix.so obsure sha51 minlen=8

:wq

密碼策略必須同時滿足大小寫寧母、數字、特殊寧符

看看有沒有cracklib和pwquaility模塊

pass required pam_cracklib.so lcredit=-1 ocredit=-1 dcredit=-1 ucredit=-1

2.登錄策略

用戶登錄服務器系統時，應該有警告標題“warning”內容為“Fr authorized users only”提示資訊(windows)

設定賬戶鎖定聞值為 6 次錯誤鎖定賬戶，鎖定時間為 1分鐘，復位賬戶鎖定計數器為1分鐘之后，(windows)

一分鐘內僅允許5次登錄失敗的嘗試，超過5次登錄帳號鎖定5分鐘， (linux)

cd /etc/pam.d

vim common-auth

#注意后面時間的單位是秒

3.用戶安全管理(Windows)

在組策略中只允許管理員賬號從網路訪問本機.

禁止發送未加密的密碼到第三方 SMB 服務器

查找并洗掉服務器中可能存在的后門用戶賬戶hacker

兩種方法

1.直接在cmd上看有沒有hacker賬號

發現賬戶直接進行洗掉

2.一種是后面添加了$符號，在注冊表查看是否有hacker賬戶

HKLM/SAM/SAM/Domain/account/users/names

如果有的話就直接洗掉

#這里要授予administeror完全控制權限并且重新打開注冊表才有

A-2: 資料庫加固(Linux)

1.洗掉默認資料庫(test):

show databases;

drop database test;

洗掉用戶

drop user a@localhost;

2.改變默認MySgl管理員用戶為:SuperRoot;

更新數值用update 修改權限采用alter

update user set user='SuperRoot' where user='root'

3.使用MySql內置MD5加密函式加密用戶user1的密碼為(P@sswOrd1!);

update user set password=md5('P@wsswOrd1!) where user='user1';

4.財予user1用戶對資料庫所有表只有select、insert、delete、update權限:

grant select,insert,delete,update on *.* to user1@localhost;#可以變成 'user1'@'localhost'; 是不是localhost還得從

select host,user from msyql.user;查看user1的主機號是多少，還有可能是 %

5.對忘記mysql資料庫SuperRoot管理員密碼進行重置操作;

cd /etc/mysql/mariadb.conf.d

vim 50-server.conf

[mysqld]
skip-grant-tables
:wq

systemctl restart mariadb

mysql -uroot -p 

use mysql;
update user set password='root' where user='SuperRoot';
flush privileges;
exit

2.VSFTPD 服務加固

(1)設定資料連接的超時時間為 2分鐘無何操作的超時時間為5分鐘

cd /etc/
vim vsftpd.conf
idle_connection_timeout=300　　units is second
data_connection_timeout=120

(2)設定站點本地用戶訪問的最大傳輸速率為1M，

local_max_rate=1000000

(3)禁止匿名用戶登錄

/anon

anonymous_enable=NO

(4)關閉ascii模式下載，防止被用于DoS攻擊

/ascii

ascii_download-enable=no

5.banner資訊控制

ftpd_banner=xx

6.僅接受ssl/TLS連接（FTP需要從CA獲取證書）

先在CA虛擬機上做自簽

修改組態檔

c:\program file\common file\ssl/openssl.cnf

防火墻策略 (Linux)

只允許轉發來自172.16.0.0/24 局域網段的DNS 決議請求資料包

iptables -A FARWARD -p udp -s 172.16.0.0/24 --dport 53 -j ACCEPT

僅允許 172.16.10.0/24 網段內的主機通過 SSH 連接本機

iptables -A INPUT  -p tcp -s 172.16.0.0/24 -d x.x.x.x --dport 22 -j ACCEPT

防止Nmap掃描軟體探測到關鍵資訊，設定iptables防火墻策略對80、3306號埠進行流量處理

iptables -A INPUT -p udp -d x.x.x.x -m multiport -dport 80,3306 -j DROP
iptables -A INPUT -p tcp -d x.x.x.x -m multiport -dport 80,3306 -j DROP

轉載請註明出處，本文鏈接：https://www.uj5u.com/qita/550678.html

標籤：其他

上一篇：【ACM演算法競賽日常訓練】DAY16【奇♂妙拆分】【區區區間間間】【小AA的數列】數學 | 位運算 | 前綴和

下一篇：返回列表

福建省練習題

A-1:登錄安全加固 (windows、linux）

1.密碼策略 (windows、linux)(1)最小密碼長度不少于8個寧符、密碼最短使用期限30天:

linux

密碼策略必須同時滿足大小寫寧母、數字、特殊寧符

2.登錄策略

用戶登錄服務器系統時，應該有警告標題“warning”內容為“Fr authorized users only”提示資訊(windows)

設定賬戶鎖定聞值為 6 次錯誤鎖定賬戶，鎖定時間為 1分鐘，復位賬戶鎖定計數器為1分鐘之后，(windows)

一分鐘內僅允許5次登錄失敗的嘗試，超過5次登錄帳號鎖定5分鐘， (linux)

3.用戶安全管理(Windows)

在組策略中只允許管理員賬號從網路訪問本機.

禁止發送未加密的密碼到第三方 SMB 服務器

查找并洗掉服務器中可能存在的后門用戶賬戶hacker

A-2: 資料庫加固(Linux)

1.洗掉默認資料庫(test):

2.改變默認MySgl管理員用戶為:SuperRoot;

3.使用MySql內置MD5加密函式加密用戶user1的密碼為(P@sswOrd1!);

4.財予user1用戶對資料庫所有表只有select、insert、delete、update權限:

5.對忘記mysql資料庫SuperRoot管理員密碼進行重置操作;

2.VSFTPD 服務加固

(1)設定資料連接的超時時間為 2分鐘無何操作的超時時間為5分鐘

(2)設定站點本地用戶訪問的最大傳輸速率為1M，

(3)禁止匿名用戶登錄

(4)關閉ascii模式下載，防止被用于DoS攻擊

5.banner資訊控制

6.僅接受ssl/TLS連接（FTP需要從CA獲取證書）

防火墻策略 (Linux)

只允許轉發來自172.16.0.0/24 局域網段的DNS 決議請求資料包

僅允許 172.16.10.0/24 網段內的主機通過 SSH 連接本機

防止Nmap掃描軟體探測到關鍵資訊，設定iptables防火墻策略對80、3306號埠進行流量處理

linux　