全国职业技能大赛_网络安全_中职A模块解析

A-1登录安全加固 请对服务器Windows、Linux按要求进行相应设置，提高服务器的安全性 1.密码策略（windows，linux） a.最小密码长度不小于13个字符，将密码长度最小值的属性配置界面截图

b.密码必须符合复杂性要求，配置截图

c.普通用户进行最小权限管理，对关闭系统仅限管理员帐号。

d.密码最长存留期为45天；

e.一分钟内仅允许4次登录失败，超过4次，登录帐号锁定1分钟。（注意是超过4次登录，也就是5次，4次不计分。）

2.用户安全管理(windows) a.设置取得文件或其他对象的所有权，将该权限只指派给administrators组，配置截图

b.禁止普通用户使用命令行提示符，将阻止访问命令提示符的配置界面截图

c.设置不显示上次登录的用户名，将交互式登录：不显示最后的用户名属性配置界面截图：

d.对服务器进行远程管理安全性SSL加固，防止敏感信息泄露被监听;（Windows）

e.禁用来宾账户，禁止来宾用户访问计算机或访问域的内置账户；

f.禁止从远端系统强制关机，将该权限只指派给administrators组

g.禁止普通用户使用注册表编辑工具以及Ctrl+Alt+Del；

h.在组策略中只允许管理员账号从网络访问本机

i.设置操作系统中的关键目录（system32、hosts、Program Files、Perflogs）的权限为最优状态，即仅允许管理员用户进行读取及运行

3.登录策略（Windows，linux） a.在用户登录系统时，应该有“For authorized users only”提示信息;

b.远程用户非活动会话连接超时应小于等于5分钟。

c.远程用户非活动会话连接超时应小于等于5分钟，将RDP-Tcp属性对应的配置界面截图。

d.设置user1用户只能在上班时间（周一至周五的9:00~18:00可以登录，将user1的登录时间配置界面截图；

e.设置禁止使用最近用过的6个旧密码，将配置文件中对应的部分截图;

A-2Web安全加固 1.数据库加固 a.为了防止web中.mdb数据库文件非法下载，请对Web配置文件进行安全加固，将C:\Windows\System32\inetsrv\config\applicationHost配置文件中对应的部分截图；

2.限制目录 2.限制目录执行权限,对picture和upload目录设置执行权限为无，将编辑功能权限的配置界面截图 1.在iis中选取文件夹之后属性修改去掉读取和指定 2.选择文件夹之后选择处理映射程序，编辑功能权限去掉执行权限

3.开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法)，将W3C日志记录字段的配置界面截图；

4.为了减轻网站负载，设置网站最大并发连接数为1000，将编辑网站限制的配置界面截图；

5.防止文件枚举漏洞枚举网络服务器根目录文件，禁止IIS短文件名泄露，将配置命令截图；

6.关闭IIS的WebDAV功能增强网站的安全性，将警报提示信息截图。

A-3.Nginx安全策略（Linux） a.禁止目录浏览和隐藏服务器版本和信息显示；

b.限制HTTP请求方式，只允许GET、HEAD、POST；

c.设置客户端请求主体读取超时时间为10；

d.设置客户端请求头读取超时时间为10；

e.将Nginx服务降权，使用www用户启动服务。

这个题目要记得检查/etc/passwd文件，然后删除nginx用户，闯将www用户

A-4.数据库加固（DATA） a.以普通帐户mysql安全运行mysql服务，禁止mysql以管理员帐号权限运行；

b.删除默认数据库(test)；

c.改变默认mysql管理员用户为:SuperRoot；

d.使用mysql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!)。 在高版本中的password字段被替换为了authentication_string

e.赋予user1用户对数据库所有表只有select,insert,delete,update权限

f.对忘记mysql数据库SuperRoot管理员密码进行重置操作: 1.在etc/my.cnf里面添加skip_grant_tables然后重启mysqld，空密码给登录进行修改密码，然后删除my.cnf中的skip_grant_tabels之后重启mysqld即可

g.禁用LOCAL INFILE命令防止非授权用户访问本地文件，

h.为防止数据库操作信息泄露,请禁止使用MySql命令行历史记录;

i.为了分析数据库运行过程中的一些异常只活动,请开启MySql二进制日志。

编辑配置文件，开启二进制日志

如下已经开启了

A-5.流量完整性保护 a.为了防止密码在登录或者传输信息时被窃取，仅使用证书登录SSH（Log），将/etc/ssh/sshd_config配置文件中对应的部分截图

b.将Web服务器开启审核策略 登录事件 成功/失败; 特权使用 成功; 策略更改 成功/失败; 进程跟踪 成功/失败; 将审核策略的配置界面截图；

c.配置Splunk接收Web服务器，安全日志，系统日志，CPU负载，内存，磁盘空间，网络状态。将转发器：部署成功的页面截图

然后安装windwos的splunk服务

这里为空就行

用户名和密码跟linux一样就行

服务器ip地址配置为linux的，因为这就是一个转发器

这个也是linux的ip地址、

最后安装即可

添加服务器

通过管理员来关闭开启转发器

然后再次来到linux的页面

然后搜索event，选择所有时间

d.对Web网站进行HTTP重定向HTTPS设置，仅使用HTTPS协议访问网站(Web)(注证书颁发给test.com 并通过https://www.test.com访问Web网站);

申请证书，我们要先配置一个虚拟网站，目录是C:\Windows\System32\certsrv

需要安装AD，ca证书，不然不行

A-6.日志监控 a.1.安全日志文件最大大小为 128MB，设置当达到最大的日志大小上限时，按需要覆盖事件(旧事件优先)，将日志属性-安全(类型:管理的)配置界面截图:

b.应用日志文件最大大小为 64MB,设置当达到最大的日志大小上限时将其存档，不覆盖事件，将日志属性-应用程序(类型:管理的)配置界面截图:

c.3.系统日志文件最大大小为 32MB,设置当达到最大的日志大小上限时，不覆盖事件(手动清除日志)，将日志属性-系统(类型:管理的)配置界面截图:

A-7.防火墙策略 a.Windows系统禁用445端口；

b.Windows系统禁用23端口； 23端口和上一题类似，把445端口改为23即可 c.Linux系统使用iptables禁用23端口；

d.为防止Nmap扫描软件探测到关键信息，设置iptables防火墙策略对3306号端口进行流量处理；

e.为防止Nmap等扫描软件探测到关键信息，设置iptables防火墙策略对80号端口进行流量处理；

f.为防止SSH服务被暴力枚举，设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机

g.为防御IP碎片攻击，设置iptables防火墙策略限制IP碎片的数量，仅允许每秒处理1000个。

h.设置防火墙允许本机转发除ICMP协议以外的所有数据包；

i.为防御拒绝服务攻击，设置iptables防火墙策略对传入的流量进行过滤，限制每分钟允许3个包传入，并将瞬间流量设定为一次最多处理6个数据包（超过上限的网络数据包将丢弃不予处理）；

j.只允许转发来自172.16.0.0/24局域网段的DNS解析请求数据包。

k.禁止任何机器ping本机；

l.禁止本机ping任何机器；

m.拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机；

n.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包。

o.为确保安全Linux系统禁止所有人通过ssh连接除了172.16.1.1这个ip；

p.在工作时间，即周一到周五的8:30-18:00，开放本机的ftp服务给 192.168.1.0网络中的主机访问；

q.要求从ftp服务的数据下载请求次数每分钟不得超过 5 个

r.配置iptables防火墙过滤规则，以封堵目标网段（172.16.1.0/24），并在两小时后解除封锁

s.设置防火墙允许本机转发除ICMP协议以外的所有数据包

A-7 中间件服务加固SSHD\VSFTPD\IIS（Windows, Linux） SSH服务加固（Linux） a.修改ssh服务端口为2222

b.ssh禁止root用户远程登录

c.设置root用户的计划任务。每天早上7:50自动开启ssh服务，22:50关闭；每周六的7:30重新启动ssh服务

d.修改SSHD的PID档案存放地。

e.修改SSH连接界面静置时间

设置修改登录记录等级为INFO

f.禁止登陆后显示信息

VSFTPD服务加固 a.同一客户机IP地址允许最大客户端连接数10；

b.最大客户端连接数为100；

c.设置数据连接的超时时间为2分钟；

d.设置本地用户创建文件的权限为022。

e.设置运行vsftpd的非特权系统用户为pyftp；

f.限制客户端连接的端口范围在50000-60000；

g.限制本地用户登陆活动范围限制在home目录。

h.vsftpd禁止匿名用户上传；

i.设置无任何操作的超时时间为5分钟；

j.匿名用户访问的最大传输速率为512KB/S

k.用户访问的最大传输速率为1M。

l.为了解决IIS短文件名漏洞，设置URL序列为~；

HTTPD m.更改默认监听端口为6666；

n.设置禁止目录浏览

o.将Apache服务降权，用户为apache，用户组为www。

p.隐藏bind版本号

r.设置不提供递归服务

s.设置关闭ftp-data端口不使用主动模式，使用ipv4进行监听，将配置文件中对应的部分截图；

t.将Telnet服务的端口号修改为2323 ,查看Telnet服务端口信息，将回显结果截图；

u..限制Telnet用户连接，单个IP允许的最大连接数为1，总的最大连接数为10，将配置文件中对应的部分截图；

v.配置SSH服务，设置RSA证书登录，将配置文件中对应的部分截图；

w.设置HTTP服务，修改网站的配置文件，配置滚动日志按天记录网站的访问

日志和错误日志，将配置文件中对应的部分截图。 x.激活vsFTPd上传下载日志;

y.禁用IIS内核缓存，避免对方利用ms15_034漏洞进行DOS攻击，出现蓝屏的现象，将编辑输出缓存设置的配置界面截图；

A-8.IP协议安全配置 a.指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5

b.指定处于SYN_RCVD状态的TCP连接数的阈值为500；

c.指定处于至少已发送一次重传的SYN_RVCD状态中的TCP连接数的阈值为400。

A-9.服务安全配置（Windows） a.禁用TCP/IP上的NetBIOS协议，关闭监听的 UDP 137（netbios-ns）、UDP 138（netbios-dgm）以及 TCP 139（netbios-ssn）端口；

b.设置从屏幕保护恢复时需要输入密码，并将屏幕保护自动开启时间设定为五分钟；

c.对于远程登录的帐户，设置不活动超过时间5分钟自动断开连接。