模块A 基础设施设置与安全加固
(本模块20分)
一、项目和任务描述:
假定你是某企业的网络安全工程师,对于企业的服务器系统,根据任务要求确保各服务正常运行,并通过综合运用登录和密码策略、日志安全策略、中间件服务安全策略、流量完整性策略、防火墙策略、WEB安全策略等多种安全策略来提升服务器系统的网络安全防御能力。本模块要求根据竞赛现场提供的A模块答题模板对具体任务的操作进行截图并加以相应的文字说明,以word文档的形式书写,以PDF格式保存,以“赛位号+模块A”作为文件名,PDF格式文档为此模块评分唯一依据。
二、服务器环境说明
Windows 用户名:administrator,密码:123456
Linux 用户名:root,密码:123456
三、具体任务(每个任务得分以电子答题卡为准)
A-1任务一 登录安全加固(Windows,Linux)
1.密码策略(Windows,linux)
a.最小密码长度不少于8个字符
b.密码策略必须同时满足大小写字母、数字、特殊字符。
2.登录策略(Windows,linux)
a.在用户登录系统时,应该有“For authorized users only”提示信息;
b.一分钟内仅允许5次登录失败的尝试,超过5次,登录帐号锁定1分钟;
c.远程用户非活动会话连接超时应小于等于5分钟。
3.用户安全管理(Windows)
a.对服务器进行远程管理安全性SSL加固,防止敏感信息泄露被监听;
b.查找并删除服务器中可能存在的帐号hacker;
c.普通用户进行最小权限管理,对关闭系统仅限管理员帐号。
A-2任务二 日志安全配置(Windows)
4.配置审核登陆,记录内容包括用户登录使用的账户、登录是否成功、登录时间、以及远程登录时间、及用户使用的IP地址;
5.启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需要审核;
6.启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。
A-3任务三 中间件服务安全加固VSFTPD/HTTPD/BIND(Linux)
7.VSFTPD
a.vsftpd禁止匿名用户上传;
b.设置无任何操作的超时时间为5分钟;
c.匿名用户访问的最大传输速率为512KB/S;
d.用户访问的最大传输速率为1M。
8.HTTPD
a.更改默认监听端口为6666;
b.设置禁止目录浏览;
c.隐藏Apache版本号;
d.将Apache服务降权,用户为apache,用户组为www。
9.BIND
a.隐藏bind版本号;
b.设置不提供递归服务。
A-4任务四 流量完整性保护(Windows)
10.对Web网站进行HTTP重定向HTTPS设置,仅使用HTTPS协议访问网站(Windows)(注:证书颁发给test.com 并通过https://www.test.com访问Web网站)。
A-5任务五 防火墙策略(Linux)
11.为防止Nmap扫描软件探测到关键信息,设置iptables防火墙策略对3306号端口进行流量处理;
12.为防止SSH服务被暴力枚举,设置iptables防火墙策略仅允许172.16.10.0/24网段内的主机通过SSH连接本机;
13.为防御IP碎片攻击,设置iptables防火墙策略限制IP碎片的数量,仅允许每秒处理1000个。
A-6任务六 WEB安全加固(Windows)
14.为了防止web中.mdb数据库文件非法下载,请对Web配置文件进行安全加固;
15.限制目录执行权限,对picture和upload目录设置执行权限为无;
16.开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法)。