网络空间技能大赛A模块（乱）

A-1任务一登录安全加固（Windows, Linux）

请对服务器Windows、Linux按要求进行相应的设置，提高服务器的安全性。

1.密码策略（Windows, Linux）

a.最小密码长度不少于16个字符

Windows只能设置14是yao要设置域，太懒了就不设置了

密码必须符合复杂性要求；(windows)

强制密码历史为5个密码；（winodws）

密码最长存留期为45天。

密码策略必须同时满足大小写字母、数字、特殊字符。

密码最短使用期限为10天。

2.登录策略（Windows, Linux）

a.在用户登录系统时，应该有“For authorized users only”提示信息；

设置账户锁定阈值为3次错误锁定账户，锁定时间为30分钟，复位账户锁定计数器为30分钟之后。

一分钟内仅允许4次登录失败，超过4次，登录帐号锁定1分钟。

远程用户非活动会话连接超时应小于等于5分钟。

3.用户安全管理(Windows)

设置取得文件或其他对象的所有权，将该权限只指派给administrators组；

禁止从远端系统强制关机，将该权限只指派给administrators组；

对服务器进行远程管理安全性SSL加固，防止敏感信息泄露被监听;

禁止发送未加密的密码到第三方SMB服务器。

设置user1用户只能在上班时间（周一至周五的9:00~18:00）可以登录，将user1的登录时间配置界面截图；
在组策略中只允许管理员账号从网络访问本机。

禁止普通用户使用命令提示符;
c.设置不显示上次登录的用户名。
交互式登录时不显示用户名。

禁止普通用户使用注册表编辑工具以及Ctrl+Alt+Del；

禁用来宾账户，禁止来宾用户访问计算机或访问域的内置账户；

c.普通用户进行最小权限管理，对关闭系统仅限管理员账号。

A-2任务二本地安全策略设置（Windows）

要求登录时不显示用户名；
在密码过期的前5天开始提示用户在过期之前更改密码；

要求任何用户在登录到Windows前都必须按CTRL+ALT+DEL；
禁止SAM 帐户和共享的匿名枚举；

禁用来宾帐户。

禁止系统在未登录的情况下关闭；
禁止存储网络身份验证的密码和凭据；

禁止将Everyone权限应用于匿名用户；

7.在超过登录时间后强制注销。

4.关闭系统时清除虚拟内存页面文件；

禁止系统在未登录的情况下关闭；
禁止软盘复制并访问所有驱动器和所有文件夹；

禁止自动管理登录；

8.禁止显示上次登录的用户名。

A-2任务二数据库加固（Linux）

以普通帐户mysql安全运行mysql服务，禁止mysql以管理员帐号权限运行；
删除默认数据库(test)；

改变默认mysql管理员用户为:SuperRoot；
使用mysql内置MD5加密函数加密用户user1的密码为(P@ssw0rd1!)；

对mysql数据库SuperRoot管理员密码进行重置操作；

为防止数据库操作信息泄露，请禁止使用mysql命令行历史记录；

为了分析数据库运行过程中的一些异常活动，请开启mysql二进制日志；

设置数据库最大连接数为512，最大错误连接数为100。

赋予user1用户对数据库所有表只有select,insert,delete,update权限。

A-3任务三流量完整性保护（Windows）

对Web网站进行HTTP重定向HTTPS设置，仅使用HTTPS协议访问网站（Windows）(注：证书颁发给test.com 并通过https://www.test.com访问Web网站)。

使用openssl申请证书，创建自签名证书server.crt和私钥server.key，要求只允许使用域名通过SSL加密访问。(此处比较难看懂可私信)

为了防止密码在登录或者传输信息中被窃取，仅使用证书登录SSH（Linux）。

A-3任务三 Web安全加固(Web)

为了防止web中.mdb数据库文件非法下载，请对Web配置文件进行安全加固;

A-5任务五服务加固SSH\VSFTPD\IIS（Windows, Linux）

11.SSH服务加固（Linux）

ssh禁止root用户远程登录。

b.设置root用户的计划任务。每天早上7:50自动开启ssh服务，22:50关闭；每周六的7:30重新启动ssh服务。

12.VSFTPD服务加固（Linux）

a.vsftpd禁止匿名用户上传；

设置数据连接的超时时间为2分钟；

4.激活vsFTPd上传下载日志;

b.设置无任何操作的超时时间为5分钟。

用户访问的最大传输速率为1M；

b.匿名用户访问的最大传输速率为512KB/S。

vsFTPd将使客户端连接时的端口范围在50000和60000之间；

b.同一客户机IP地址允许最大客户端连接数10。

13.IIS加固（Windows）

a.开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法)；

vsFTPd使本地用户登录活动范围限制在home目录。

为了减轻网站负载，设置网站最大并发连接数为1000。

b.关闭IIS的WebDAV功能增强网站的安全性。

b.防止文件枚举漏洞枚举网络服务器根目录文件，禁止IIS短文件名泄露。

A-6任务六防火墙策略（Windows, Linux）

所有服务器开启防火墙,为防止勒索病毒攻击对防火墙进行加固策略：只允许转发来自172.16.0.0/24局域网段的DNS解析请求数据包；

Windows系统禁用445端口；
Windows系统禁用23端口；

16.Linux系统禁用23端口；

Linux系统禁止别人ping通；

16.禁止本机ping任何机器；（两个都行）

为防止Nmap扫描软件探测到关键信息，设置iptables防火墙策略对3306号端口进行流量处理；

为防止SSH服务被暴力枚举，设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机；
为防御IP碎片攻击，设置iptables防火墙策略限制IP碎片的数量，仅允许每秒处理1000个；

允许本机开放从TCP端口20-1024提供的应用服务；
限制本机的Web服务在周一不允许访问。

18.禁止转发来自MAC地址为29:0E:29:27:65:EF主机的数据包。

在工作时间，即周一到周五的8:30-18:00，开放本机的ftp服务给 192.168.1.0网络中的主机访问，
要求从ftp服务的数据下载请求次数每分钟不得超过 5 个；

拒绝 TCP 标志位全部为 1 及全部为 0 的报文访问本机；
配置iptables防火墙过滤规则，以封堵目标网段（172.16.1.0/24），并在两小时后解除封锁；

拒绝访问防火墙的新数据包，但允许响应连接或与已有连接相关的数据包。

设置防火墙允许本机对外开放TCP端口21以及被动模式FTP端口1250-1280；

16.设置防火墙允许本机转发除ICMP协议以外的所有数据包；

18.为防御拒绝服务攻击，设置iptables防火墙策略对传入的流量进行过滤，限制每分钟允许3个包传入，并将瞬间流量设定为一次最多处理6个数据包（超过上限的网络数据包将丢弃不予处理）。