模块A 基础设施设置与安全加固

（本模块20分）

一、项目和任务描述：

假定你是某企业的网络安全工程师，对于企业的服务器系统，根据任务要求确保各服务正常运行，并通过综合运用登录和密码策略、数据库安全策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。本模块要求对具体任务的操作截图并加以相应的文字说明,以word文档的形式书写,以PDF格式保存,以赛位号作为文件名.

二、服务器环境说明

Windows  用户名：administrator，密码：123456

Linux    用户名：root，密码：123456

三、具体任务（每个任务得分以电子答题卡为准）

A-1任务一 登录安全加固（Windows, Linux）

请对服务器Windows、Linux按要求进行相应的设置，提高服务器的安全性。

1.密码策略（Windows, Linux）

a.密码策略必须同时满足大小写字母、数字、特殊字符。

2.登录策略（Windows, Linux）

a.一分钟内仅允许4次登录失败，超过4次，登录帐号锁定1分钟。

3.用户安全管理(Windows)

a.禁用来宾账户，禁止来宾用户访问计算机或访问域的内置账户；

b.查找并删除服务器中可能存在的后门用户；

c.普通用户进行最小权限管理，对关闭系统仅限管理员账号。

A-2任务二 数据库加固（Linux）

4.对mysql数据库SuperRoot管理员密码进行重置操作；

5.禁用LOCAL INFILE命令防止非授权用户访问本地文件；

6.为防止数据库操作信息泄露，请禁止使用mysql命令行历史记录；

7.为了分析数据库运行过程中的一些异常活动，请开启mysql二进制日志；

8.设置数据库最大连接数为512，最大错误连接数为100。

A-3任务三 流量完整性保护（Windows, Linux）

9.对Web网站进行HTTP重定向HTTPS设置，仅使用HTTPS协议访问网站(注证书颁发给test.com 并通过https://www.test.com访问Web网站)（Windows）；

10.为了防止密码在登录或者传输信息中被窃取，仅使用证书登录SSH（Linux）。 

A-4任务四 事件监控（Windows）

11.应用日志文件大小至少为64MB，设置当达到最大的日志大小上限时，覆盖早于15天的日志 。

A-5任务五 服务加固SSHD\VSFTPD\IIS（Windows, Linux）

12.SSH服务加固（Linux）

a.修改ssh服务端口为2222；

b.设置root用户的计划任务。每天早上7:50自动开启ssh服务，22:50关闭；每周六的7:30重新启动ssh服务。

13.VSFTPD服务加固（Linux）

a.匿名用户访问的最大传输速率为512KB/S；

b.最大客户端连接数为100。

14.IIS加固（Windows）

1. 防止文件枚举漏洞枚举网络服务器根目录文件，禁止IIS短文件名泄露；

b.关闭IIS的WebDAV功能增强网站的安全性。 

A-6任务六 防火墙策略（Linux）

15.设置防火墙允许本机对外开放TCP端口21以及被动模式FTP端口1250-1280；

16.设置防火墙允许本机转发除ICMP协议以外的所有数据包；

17.为防止Nmap等扫描软件探测到关键信息，设置iptables防火墙策略对80号端口进行流量处理；

18.为防御拒绝服务攻击，设置iptables防火墙策略对传入的流量进行过滤，限制每分钟允许3个包传入，并将瞬间流量设定为一次最多处理6个数据包（超过上限的网络数据包将丢弃不予处理）。