模塊A 基礎(chǔ)設(shè)施設(shè)置與安全加固

一、項(xiàng)目和任務(wù)描述：

假定你是某企業(yè)的網(wǎng)絡(luò)安全工程師，對于企業(yè)的服務(wù)器系統(tǒng)，根據(jù)任務(wù)要求確保各服務(wù)正常運(yùn)行，并通過綜合運(yùn)用登錄和密碼策略、流量完整性保護(hù)策略、事件監(jiān)控策略、防火墻策略等多種安全策略來提升服務(wù)器系統(tǒng)的網(wǎng)絡(luò)安全防御能力。

二、服務(wù)器環(huán)境說明

AServer08(windows)、 ?用戶名：administrator，密碼：P@ssw0rd

AServer09(linux) ???用戶名：root，密碼：123456

三、說明：

1.所有截圖要求截圖界面、字體清晰，并粘貼于相應(yīng)題目要求的位置；

2.文件名命名及保存：網(wǎng)絡(luò)安全模塊A-XX（XX為工位號），PDF格式保存；

3.文件保存到U盤提交。

A-1任務(wù)一 登錄安全加固（Windows, Linux）

請對服務(wù)器Windows、Linux按要求進(jìn)行相應(yīng)的設(shè)置，提高服務(wù)器的安全性。

1.密碼策略（Windows, Linux）

a.最小密碼長度不少于13個(gè)字符；

b.密碼必須符合復(fù)雜性要求。

2.用戶安全管理(Windows)

a.設(shè)置取得文件或其他對象的所有權(quán)，將該權(quán)限只指派給administrators組；

b.禁止普通用戶使用命令提示符;

c.設(shè)置不顯示上次登錄的用戶名。

A-2任務(wù)二 Nginx安全策略（Linux）

3.禁止目錄瀏覽和隱藏服務(wù)器版本和信息顯示；

vim /etc/nginx/nginx.conf，在http{}里，添加

4.限制HTTP請求方式，只允許GET、HEAD、POST；

vim /etc/nginx/nginx.conf ，添加

5.設(shè)置客戶端請求主體讀取超時(shí)時(shí)間為10；

vim /etc/nginx/nginx.conf

6.設(shè)置客戶端請求頭讀取超時(shí)時(shí)間為10；

vim /etc/nginx/nginx.conf

7.將Nginx服務(wù)降權(quán)，使用www用戶啟動(dòng)服務(wù)。

vim /etc/nginx/nginx.conf

A-3任務(wù)三 日志監(jiān)控（Windows）

8.安全日志文件最大大小為128MB，設(shè)置當(dāng)達(dá)到最大的日志大小上限時(shí)，按需要覆蓋事件（舊事件優(yōu)先）；

計(jì)算機(jī)-管理-診斷-windows日志-安全-右鍵屬性-設(shè)置日志大小注意，1024KB=1MB，所以128MB=1024*128=131072KB這里應(yīng)該寫入131072，點(diǎn)擊應(yīng)用

win加r輸入rsop.msc 選擇windows設(shè)置，安全設(shè)置，點(diǎn)擊事件日志

9.應(yīng)用日志文件最大大小為64MB，設(shè)置當(dāng)達(dá)到最大的日志大小上限時(shí)將其存檔，不覆蓋事件；

win加r輸入rsop.msc 選擇windows設(shè)置，安全設(shè)置，點(diǎn)擊事件日志

10.系統(tǒng)日志文件最大大小為32MB，設(shè)置當(dāng)達(dá)到最大的日志大小上限時(shí)，不覆蓋事件（手動(dòng)清除日志）。

win加r輸入rsop.msc 選擇windows設(shè)置，安全設(shè)置，點(diǎn)擊事件日志

A-4任務(wù)四 中間件服務(wù)加固SSHD\VSFTPD\IIS（Windows, Linux）

11.SSH服務(wù)加固（Linux）

a.修改ssh服務(wù)端口為2222；

linux操作步驟：vim /etc/ssh/sshd_config

輸入/Port，#Port 22修改Port 2222

驗(yàn)證：service sshd restart，netstat -anltp | grep sshd

b.ssh禁止root用戶遠(yuǎn)程登錄；

linux操作步驟：vim /etc/ssh/sshd_config

輸入/Root, #PermitRootLogin yes 修改PermitRootLogin no

c.設(shè)置root用戶的計(jì)劃任務(wù)。每天早上7:50自動(dòng)開啟ssh服務(wù)，22:50關(guān)閉；每周六的7:30重新啟動(dòng)ssh服務(wù)；

linux操作步驟：vim /etc/crontab，在下面添加

50 7 * * * /etc/init.d/vsftpd start

50 22 * * * /etc/init.d/vsftpd stop

30 7 * * 6 /etc/init.d/vsftpd restart

d.修改SSHD的PID檔案存放地。

vim /etc/ssh/sshd_config，添加

12.VSFTPD服務(wù)加固（Linux）

a.設(shè)置運(yùn)行vsftpd的非特權(quán)系統(tǒng)用戶為pyftp；

vim /etc/vsftpd/vsftpd.conf，修改

b.限制客戶端連接的端口范圍在50000-60000；

vim /etc/vsftpd/vsftpd.conf，添加

c.限制本地用戶登錄活動(dòng)范圍限制在home目錄。

vim /etc/vsftpd/vsftpd.conf，修改

13.IIS加固（Windows）

a.開啟IIS的日志審計(jì)記錄(日志文件保存格式為W3C,只記錄日期、時(shí)間、客戶端IP地址、用戶名、方法)；

操作步驟：打開iis服務(wù)器，打開默認(rèn)網(wǎng)站，找到日志，如下圖勾選

b.關(guān)閉IIS的WebDAV功能增強(qiáng)網(wǎng)站的安全性。

操作步驟：添加角色服務(wù)，webdav發(fā)布，打開iis服務(wù)器，打開默認(rèn)網(wǎng)站，找到webdav創(chuàng)作規(guī)則，webdav設(shè)置，禁用webdav。

A-5任務(wù)五 本地安全策略（Windows）

14.禁止匿名枚舉SAM帳戶；

15.禁止系統(tǒng)在未登錄的情況下關(guān)閉；

16.禁止存儲網(wǎng)絡(luò)身份驗(yàn)證的密碼和憑據(jù)；

17.禁止將Everyone權(quán)限應(yīng)用于匿名用戶；

18.在超過登錄時(shí)間后強(qiáng)制注銷。

A-6任務(wù)六 防火墻策略（Linux）

19.設(shè)置防火墻允許本機(jī)轉(zhuǎn)發(fā)除ICMP協(xié)議以外的所有數(shù)據(jù)包；

iptables -A FORWARD ! -p icmp -j ACCEPT

20.為防止SSH服務(wù)被暴力枚舉，設(shè)置iptables防火墻策略僅允許172.16.10.0/24網(wǎng)段內(nèi)的主機(jī)通過SSH連接本機(jī)；

iptables -A INPUT -p tcp –dport ssh -j DROP

iptables -A INPUT -p tcp --dport 22 -s 172.16.10.0/24 -j ACCEPT

21.為防御拒絕服務(wù)攻擊，設(shè)置iptables防火墻策略對傳入的流量進(jìn)行過濾，限制每分鐘允許3個(gè)包傳入，并將瞬間流量設(shè)定為一次最多處理6個(gè)數(shù)據(jù)包（超過上限的網(wǎng)絡(luò)數(shù)據(jù)包將丟棄不予處理）；

iptables -A INPUT -m limit --limit 3/m --limit-burst 6 -j ACCEPT

22.只允許轉(zhuǎn)發(fā)來自172.16.0.0/24局域網(wǎng)段的DNS解析請求數(shù)據(jù)包。

iptables -A FORWARD -p udp --dport 53 -s 172.16.0.0/24 -j ACCEPT