网络空间安全解析A模块解析

前言

这是作者第一次写文章，可能会有一些不好的地方。 有要环境+QQ：3464531613

---

任务一:登录安全加固

任务环境说明:

✓ 服务器场景:LOG:(开放链接)

✓ 用户名:root密码:root

✓ 服务器场景:Web:(开放链接)

✓ 用户名:administrator密码:P@ssw0rd

1.密码策略(Web)

a.最小密码长度不少于 8 个字符，将密码长度最小值的属性配置界面截图;

b.密码策略必须同时满足大小写字母、数字、特殊字符，将密码必须符合复 杂性要求的属性配置界面截图。

c.设置密码策略必须同时满足大小写字母、数字、特殊字符，最小密码长度 不少于 8 个字符，密码最长使用期限为 15 天。将服务器上密码策略配置信息截图;

2.登录策略(Web)

a.在用户登录系统时，应该有“For authorized users only”提示信息，将 登录系统时系统弹出警告信息窗口截图;

b.一分钟内仅允许 5 次登录失败的尝试，超过 5 次，登录帐号锁定 1 分钟， 将账户锁定策略配置界面截图;

c.设置 user1 用户只能在上班时间(周一至周五的 9:00~18:00)可以登录。 将 user1 的登录时间配置界面截图。

d.远程用户非活动会话连接超时应小于等于5分钟。

3.用户安全管理(Web)

a.对服务器进行远程管理安全性 SSL 加固，防止敏感信息泄露被监听，将 RDP-Tcp 属性对应的配置界面截图;

b.仅允许超级管理员账号关闭系统，将关闭系统属性的配置界面截图。

c.禁止普通用户使用注册表编辑工具以及Ctrl+Alt+Del；

d.交互式登录时不显示用户名；

e.设置取得文件或其他对象的所有权，将该权限只指派给administrators组；

f.禁止普通用户使用命令提示符;

方法一：

方法2：

任务二:Web 安全加固(Web)

任务环境说明:

✓ 服务器场景:LOG:(开放链接)

✓ 用户名:root密码:root

✓ 服务器场景:Web:(开放链接)

✓ 用户名:administrator密码:P@ssw0rd

1.为了防止 web 中.mdb 数据库文件非法下载，请对 Web 配置文件进行安全加 固，将 C:\Windows\System32\inetsrv\config\applicationHost 配置文件中对应 的部分截图;

2.限制目录执行权限,对 picture 和 upload 目录设置执行权限为无，将编辑 功能权限的配置界面截图;

picture目录设置：

upload目录设置：

方法2：

picture目录设置：

upload目录设置：

3.开启 IIS 的日志审计记录(日志文件保存格式为 W3C,只记录日期、时间、客 户端 IP 地址、用户名、方法)，将 W3C 日志记录字段的配置界面截图;

4.为了减轻网站负载，设置网站最大并发连接数为 1000，将编辑网站限制的 配置界面截图;

5.防止文件枚举漏洞枚举网络服务器根目录文件，禁止 IIS 短文件名泄露， 将配置命令截图。

6.关闭 IIS 的 WebDAV 功能增强网站的安全性，将警报提示信息截图。

7.设置网站的最大并发连接数为 1000，网站连接超时为 60s，将编辑网站限制的配置界面截图;

8. 禁用 IIS 内核缓存，避免对方利用 ms15_034 漏洞进行 DOS 攻击，出现蓝屏 的现象，将编辑输出缓存设置的配置界面截图;

任务三:流量完整性保护与事件监控(Web,Log)

任务环境说明:

✓ 服务器场景:LOG:(开放链接)

✓ 用户名:root密码:root

✓ 服务器场景:Web:(开放链接)

✓ 用户名:administrator密码:P@ssw0rd

1.为了防止密码在登录或者传输信息时被窃取，仅使用证书登录 SSH(Log)， 将/etc/ssh/sshd_config 配置文件中对应的部分截图;

2.将 Web 服务器开启审核策略

登录事件成功/失败;

特权使用成功;

策略更改成功/失败;

进程跟踪成功/失败;

将审核策略的配置界面截图;

3.配置 Splunk 接收 Web 服务器，安全日志，系统日志，CPU 负载，内存，磁

盘空间，网络状态。将转发器:部署成功的页面截图。

任务四: 防火墙策略-1

任务环境说明:

✓ 服务器场景:LOG:(开放链接)

✓ 用户名:root密码:root

✓ 服务器场景:Web:(开放链接)

✓ 用户名:administrator密码:P@ssw0rd

所有服务器开启防火墙,为防止勒索病毒攻击对防火墙进行加固策略:

1.Windows 系统禁用 445 端口，将防火墙入站规则截图;

2.Linux 系统禁用 23 端口，将 iptables 配置命令截图;

3.Linux 系统禁止别人 ping 通，将 iptables 配置命令截图;

4.Linux 系统为确保安全禁止所有人连接 SSH 除了 172.16.1.1 这个 ip，将 iptables 配置命令截图。

任务五:Linux 操作系统安全配置-1

任务环境说明:

✓ 服务器场景:LinuxServer:(开放链接)

✓ 用户名:root，密码:123456

✓ 数据库用户名:root，密码:123456

请对服务器 LinuxServer 按要求进行相应的设置，提高服务器的安全性。

1.设置最小密码长度不少于 8 个字符，密码最长使用期限为 15 天。将

/etc/login.defs 配置文件中对应的部分截图;

2.设置在用户登录系统时，会有“For authorized users only”提示信息，

将登录系统时系统弹出提示信息界面截图;

3.设置 root 用户的计划任务。每天早上 7:50 自动开启 vsftpd 服务，22 点 50 时关闭;每周六的 7:30 时，重新启动 vsftpd 服务。使用 crontab –l 查看计 划任务，将回显结果截图;

4.禁止匿名用户登录 vsftpd 服务，将/etc/vsftpd/vsftpd.conf 配置文件中 对应的部分截图;

5.限制客户端连接 vsftpd 服务时，同一个 IP 最多只能打开两个连接，将 /etc/vsftpd/vsftpd.conf 配置文件中对应的部分截图;

6.将 SSH 服务的端口号修改为 2222 ,使用命令 netstat -anltp | grep sshd 查看 SSH 服务端口信息，将回显结果截图;

7.禁止 root 用户通过 SSH 远程登录，将/etc/ssh/sshd_config 配置文件中 对应的部分截图;

8.禁止 mysql 服务以管理员权限的账号运行，将/etc/my.cnf 配置文件中对应的部分截图;

9.删除默认数据库 test, 然后使用 show databases;命令查看当前的数据库信息，将回显结果截图;

10.将数据库用户 user1 的密码使用 MD5 加密，然后在数据库中使用 select password from user where user=’user1’;命令查看 user1 的密码，将回显结 果截图。

任务六：数据库加固

任务环境说明：

• (Linux)系统：用户名root，密码123456 mysql 8版本

1.删除默认数据库(test)；

2.改变默认MySql管理员用户为:SuperRoot;

3.使用MySql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!)

4.赋予user1用户对数据库所有表只有select、insert、delete、update权限；

5.对忘记mysql数据库SuperRoot管理员密码进行重置操作；

任务七：服务加固 SSH\VSFTPD

任务环境说明：

• (Linux)系统：用户名root，密码123456

1.SSH服务加固

（1）SSH 禁止 root 用户远程登录。

（2）设置 root 用户的计划任务。每天早上 7:50 自动开启 SSH 服务，22:50 关闭；每周六的 7:30 重新启动 SSH 服务。

（3）修改 SSH 服务端口为 2222。

(4) 修改SSHD的PID档案存放地。

2.VSFTPD 服务加固

（1）设置数据连接的超时时间为 2 分钟、无任何操作的超时时间为5分钟。

（2）设置站点本地用户访问的最大传输速率为1M。

（3）禁止匿名用户登录。

（4）关闭ascii模式下载，防止被用于DoS攻击。

（5）设置运行vsftpd的非特权系统用户为pyftp；

（6）限制客户端连接的端口范围在50000-60000；

（7）限制本地用户登陆活动范围限制在home目录。

任务八：防火墙策略-2

任务环境说明：

• (Linux)系统：用户名root，密码123456

1.只允许转发来自172.16.0.0/24 局域网的DNS解析请求数据包；

2.为确保安全，仅允许 172.16.10.0/24 网段内的主机通过 SSH 连接本机。

3.为防止Nmap扫描软件探测到关键信息，设置iptables防火墙策略对80、3306号端口进行流量处理；

4. 为防御 IP 碎片攻击，设置 iptables 防火墙策略限制 IP 碎片 的数量，仅允许每秒处理 1000 个，将 iptables 配置命令截图:

5. 为防御拒绝服务攻击，设置iptables防火墙策略对传入的流量进行过滤，限制每分钟允许三个包传入，并将瞬间流量设置为一次最多处理6个数据包，(超过上限的网络数据包将丢弃不予处理)。

6. 禁止转发来自 MAC 地址为 29:0E:29:27:65:EF 主机的数据包， 将 iptables 配置命令截图:

任务九：Linux操作系统安全配置-2

任务环境说明： (Linux Centos7)系统：用户名root，密码123456

1. 设置禁止使用最近用过的6个旧密码，将配置文件中对应的部分截图；

2. 设置密码复杂程度，允许重试3次，新密码必须与旧密码有4位不同，密码最小长度为6位，大写字母至少包含2位，小写字母至少包含3位，特殊字符个数至少含1位，将配置文件中对应的部分截图；

3.禁止匿名用户登录vsftpd服务，将配置文件中的对应部分截图；

4.设置关闭ftp-data端口不使用主动模式，使用ipv4进行监听，将配置文件对应的部分截图；

5. 将telnet服务的端口修改为2323，查看telnet服务端口信息，将回显结果截图；

6.限制Telnet用户连接，单个IP允许的最大连接数为1，总的最大连接数为10，将配置文件中对应的部分截图。

7.允许root用户通过ssh远程登录，将配置文件中对应的部分截图。

8.配置SSH服务，设置RSA证书登录，将配置文件中对应的部分截图。

9.修改网站的http服务为root权限，将配置文件中对应的部分截图。

10.设置http服务，修改网站的配置文件，配置滚动日志分割按天记录网站的访问日志和错误日志，将配置文件中的部分截图。

任务十：Linux操作系统安全配置-3

任务环境说明： (Linux Centos7)系统：用户名root，密码123456

1.设置账户密码有效期，密码最大有效期为30，可修改密码最小天数为5，密码长度为6，密码失效前4天通知，将配置文件login.defs中对应的部分截图;

2.设置root的密码策略，密码过期时间为10天，密码失效时间为2天，在密码过期之前警告的天数为3天，两次改变密码之间相距的最大天数为8天，使用chage查看root结果并截图;

3.允许匿名用户登录vsftpd服务，禁止匿名用户上传文件，将配置文件中对应的部分截图；

4.限制FTP客户端连接，最大连接数为4，将配置文件中对应的部分截图；

5.配置samba服务，允许匿名用户访问share文件目录下，将配置文件中对应的部分截图；

6.配置Samba服务，允许访问public文件目录，只可以上传不可以删除，且只有创建者和root可以删除，将配置文件中对应的部分截图；

7.设置访问网站时需要账户认证访问，将配置文件中对应的部分截图；

8.配置证书，以HTTTPS协议访问网页，将网页访问结果截图；

9.为网站设置DNS地址，网站域名为www.test.com，使用nslookup将正向解析的内容截图；

10.设置DNS服务，只允许192.168.1.1解析查询，将配置文件中对应的部分截图。

任务十一：IP安全协议配置

任务环境说明： (Windows 2008)系统：用户名Administrator，密码P@ssw0rd

1.指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5；

2.指定处于SYN_RCVD状态的TCP连接数的阈值为500；

3.指定处于至少已发送一次重传的SYN_RVCD状态中的TCP连接数的阈值为400。

任务十二：中间件服务安全加固VSFTPD/HTTPD/BIND（Linux）

任务环境说明： (Linux)系统：用户名root，密码123456

1.VSFTPD

a.vsftpd禁止匿名用户上传；

b.设置无任何操作的超时时间为5分钟。

c.匿名用户访问的最大传输速率为512KB/s。

d.用户访问的最大传输速率为1M。

2.HTTPD

a.更改默认监听端口为6666；

b.设置禁止目录浏览；

c.隐藏Apache版本号；

d.将apache用户降权为apache用户，组为www；

3.BIND

a.隐藏bind版本号；

b.设置不提供递归服务。

任务十三：流量完整性保护（Windows）

任务环境说明： (Windows 2008)系统：用户名Administrator，密码P@ssw0rd

1.对Web网站进行HTTP重定向HTTPS设置，仅使用HTTPS协议访问网站（Windows）(注：证书颁发给test.com 并通过https://www.test.com访问Web网站)。

任务十四：防火墙策略-3(Linux)

任务环境说明： (Linux)系统：用户名root，密码123456

1.为防止Nmap扫描软件探测到关键信息，设置iptables防火墙策略对3306号端口进行流量处理；

2.为防止SSH服务被暴力枚举，设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机；

3.为防御IP碎片攻击，设置iptables防火墙策略限制IP碎片的数量，仅允许每秒处理1000个。

任务十五：Nginx安全策略(Linux)

任务环境说明： (Linux)系统：用户名root，密码123456

1.禁止目录浏览和隐藏服务器版本和信息显示；

2.限制HTTP请求方式，只允许GET、HEAD、POST；

3.设置客户端请求主体读取超时时间为10；

4.设置客户端请求头读取超时时间为10；

5. 将Nginx服务降权，使用www用户启动服务。

任务十六：日志监控

任务环境说明： (windows 2003)系统：用户名Administrator，密码123456

1.安全日志文件大小至少为128MB，设置当达到最大的日志大小上限时，覆盖早于30天的日志；

2. 应用日志文件大小至少为64MB，设置当达到最大的日志大小上限时，覆盖早于15天的日志；

3.系统日志大小至少为32MB，设置当达到最大的日志大小上限时，按需要覆盖事件。

任务十七：本地安全策略

任务环境说明： (windows 2008)系统：用户名Administrator，密码P@ssw0rd

1.禁止匿名枚举SAM帐户；

2.禁止系统在未登录的情况下关闭；

3.禁止存储网络身份验证的密码和凭据；

4.禁止将Everyone权限应用于匿名用户；

5.在超过登录时间后强制注销。

任务十八：服务安全配置（Windows）

任务环境说明： (windows 2008)系统：用户名Administrator，密码P@ssw0rd

1.禁用TCP/IP上的NetBIOS协议，关闭监听的 UDP 137（netbios-ns）、UDP 138（netbios-dgm）以及 TCP 139（netbios-ssn）端口；

2.在本地策略里配置禁用未登陆前关机；

3.设置从屏幕保护恢复时需要输入密码，并将屏幕保护自动开启时间设定为五分钟；

4.对于远程登录的帐户，设置不活动超过时间5分钟自动断开连接。

任务十九：中间件安全加固SSHD\VSFTPD\IIS（Windows, Linux）

任务环境说明： (windows 2008)系统：用户名Administrator，密码P@ssw0rd

(Linux) 系统：用户名 root 密码123456

1.SSHD服务加固

a.修改SSH连接界面静置时间;

b.修改登录记录的等级为INFO;

c.禁止登陆后显示信息。

2.VSFTPD服务加固

a.同一客户机IP地址允许最大客户端连接数10；

b.最大客户端连接数为100；

c.设置数据连接的超时时间为2分钟；

d.设置本地用户创建文件的权限为022。

3. IIS服务加固

a.关闭FTP匿名访问；

b.为了解决IIS短文件名漏洞，设置URL序列为~；

c.设置网站最大并发连接数为10。

任务二十：防火墙策略-4（Linux）

任务环境说明： (Linux) 系统：用户名 root 密码123456

1.禁止任何机器ping本机；

2.禁止本机ping任何机器；

3.拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机；

4.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包。

5.配置iptables防火墙过滤规则，以封堵目标网段（172.16.1.0/24），并在两小时后解除封锁。

或

6.在工作时间，即周一到周五的8:30-18:00，开放本机的ftp服务给 192.168.1.0网络中的主机访问；

任务二十一：本地安全策略设置（Windows）

任务环境说明： (Windows 2008) 系统：用户名 Administrator密码 P@ssw0rd

1.关闭系统时清除虚拟内存页面文件；

2.禁止软盘复制并访问所有驱动器和所有文件夹；

3.禁止自动管理登录；

4.禁止显示上次登录的用户名。

任务二十二：Windows操作系统安全配置（Windows）

任务环境说明： (Windows server2012) 系统：用户名 Administrator密码 P@ssw0rd

1.在系统中查看软件授权服务器版本，提高服务器的安全性；

2.在系统中设置telnet，设置telnet最大连接数不超过3，将登录超出的信息窗口即过程截图；

3.在系统中设置telnet，设置telnet登录尝试的最大失败数不超过5，将登录错误的信息窗口及过程截图；

4，在系统中设置用户的登录脚本，用户登录后弹出信息框为"Welcome 登录脚本"将登录界面全屏及过程截图；

5.在系统策略中锁定.vbs不可执行，并将执行结果截图；

6.在系统中将本地磁盘(C:)里面的sharefile文件用管理员用户映射，将映射后的这台电脑窗口界面截图；

7.在系统中设置bitLocker,使操作系统磁盘加密，将输入密码以解锁此驱动器窗口截图；

8.设置用户只能在工作日登录，将用户的登录时间配置界面截图；

9.在系统中设置网站首页只能用证书以域名的方式访问，将域名设置成www.baidu.com，将访问网站后的浏览器全屏及过程截图；

10.在系统中设置用户登录审核，将审核成功与失败的结果即过程分别截图；文章来源地址https://www.toymoban.com/news/detail-787852.html