IT评测·应用市场-qidao123.com

标题: 福建省练习题 [打印本页]
作者: 嚴華    时间: 2023-4-20 16:22
标题: 福建省练习题
A-1:登录安全加固 (windows、linux)

1.密码策略 (windows、linux)(1)最小密码长度不少于8个宁符、密码最短使用期限30天:

linux 
  1. cd /etc/
  2. vim login.defs
  4. /PASS
  6. 修改
  7. PASS_MIN_DAYS 30<br><br>cd /etc/pam.d<br>vim common-password<br><br>password  [success=1 default=ignore]  pam_unix.so obsure sha51 minlen=8<br><br>:wq
复制代码
密码策略必须同时满足大小写宁母、数字、特殊宁符

看看有没有cracklib和pwquaility模块
pass required pam_cracklib.so lcredit=-1 ocredit=-1 dcredit=-1 ucredit=-1
2.登录策略

用户登录服务器系统时,应该有警告标题“warning”内容为“Fr authorized users only”提示信息(windows)


 
设置账户锁定闻值为 6 次错误锁定账户,锁定时间为 1分钟,复位账户锁定计数器为1分钟之后。(windows)


一分钟内仅允许5次登录失败的尝试,超过5次登录帐号锁定5分钟。 (linux)
  1. cd /etc/pam.d
  3. vim common-auth<br><br>#注意后面时间的单位是秒
复制代码

 3.用户安全管理(Windows)

在组策略中只允许管理员账号从网络访问本机.


禁止发送未加密的密码到第三方 SMB 服务器


查找并删除服务器中可能存在的后门用户账户hacker

两种方法
1.直接在cmd上看有没有hacker账号

 发现账户直接进行删除

 2.一种是后面添加了$符号,在注册表查看是否有hacker账户
HKLM/SAM/SAM/Domain/account/users/names
如果有的话就直接删除
#这里要授予administeror完全控制权限并且重新打开注册表才有
A-2: 数据库加固(Linux)

1.删除默认数据库(test):

show databases;
drop database test;

 
删除用户
drop user a@localhost;
2.改变默认MySgl管理员用户为:SuperRoot;

更新数值用update 修改权限采用alter
  1. update user set user='SuperRoot' where user='root'
复制代码
3.使用MySql内置MD5加密函数加密用户user1的密码为(P@sswOrd1!);
  1. update user set password=md5('P@wsswOrd1!) where user='user1';
复制代码
4.财予user1用户对数据库所有表只有select、insert、delete、update权限:
  1. grant select,insert,delete,update on *.* to user1@localhost;#可以变成 'user1'@'localhost'; 是不是localhost还得从<br><br>select host,user from msyql.user;查看user1的主机号是多少,还有可能是 %
复制代码
5.对忘记mysql数据库SuperRoot管理员密码进行重置操作;
  1. cd /etc/mysql/mariadb.conf.d
  3. vim 50-server.conf
  5. [mysqld]
  6. skip-grant-tables
  7. :wq
  9. systemctl restart mariadb<br><br>mysql -uroot -p <br><br>use mysql;<br>update user set password='root' where user='SuperRoot';<br>flush privileges;<br>exit
复制代码
 2.VSFTPD 服务加固

(1)设置数据连接的超时时间为 2分钟无何操作的超时时间为5分钟
  1. cd /etc/
  2. vim vsftpd.conf<br>idle_connection_timeout=300  units is second<br>data_connection_timeout=120
复制代码
(2)设置站点本地用户访问的最大传输速率为1M。

local_max_rate=1000000
(3)禁止匿名用户登录

/anon
anonymous_enable=NO
(4)关闭ascii模式下载,防止被用于DoS攻击

/ascii
ascii_download-enable=no
5.banner信息控制

ftpd_banner=xx

 6.仅接受ssl/TLS连接(FTP需要从CA获取证书)

先在CA虚拟机上做自签
修改配置文件 
c:\program file\common file\ssl/openssl.cnf
防火墙策略 (Linux)

只允许转发来自172.16.0.0/24 局域网段的DNS 解析请求数据包
  1. iptables -A FARWARD -p udp -s 172.16.0.0/24 --dport 53 -j ACCEPT
复制代码
仅允许 172.16.10.0/24 网段内的主机通过 SSH 连接本机
  1. iptables -A INPUT  -p tcp -s 172.16.0.0/24 -d x.x.x.x --dport 22 -j ACCEPT
复制代码
防止Nmap扫描软件探测到关键信息,设置iptables防火墙策略对80、3306号端口进行流量处理
  1. iptables -A INPUT -p udp -d x.x.x.x -m multiport -dport 80,3306 -j DROP
  2. iptables -A INPUT -p tcp -d x.x.x.x -m multiport -dport 80,3306 -j DROP
复制代码
 

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!



欢迎光临 IT评测·应用市场-qidao123.com (https://dis.qidao123.com/) Powered by Discuz! X3.4