操作系统安全配置(旧)
Windows篇
设置密码策略必须同时满足大小写字母、数字、特殊字符,最小密码长度不少于8个字符,密码最长使用期限为15天
- CMD输入secpol.msc进入本地策略安全
- 账户策略>>密码策略
在用户登录系统时,应该有”For unauthorized users only”提示信息
本地安全策略>>本地策略>>安全选项>>交互式登录
一分钟内仅允许5次登录失败的尝试,超过5次,登录帐号锁定1分钟
本地安全策略>>本地策略>>账户策略>>账户锁定策略
设置远程桌面用户非活动会话连接超时应小于等于5分钟
该题有两种解法:
解法一:
- gpedit.msc进入组策略编辑器
- 计算机配置>>管理模板>>Windows组件>>远程桌面服务>>远程桌面会话主机>>会话时间限制
解法二:
CMD输入tscc.msc进入远程会话主机配置>>RD会话主机配置>>RDP-Tcp属性>>会话,结束已断开的会话—>5分钟,空闲会话限制—>5分钟
注意,优先级:本地组策略编辑器的设置 >(大于) 远程桌面会话主机配置的设置,本地组策略编辑器中的优先级:计算机配置 >(大于) 用户配置。解法二在Windows server2012及以上版本不适用。
仅允许超级管理员账号关闭系统
secpol.msc进入本地策略安全,本地策略>>用户权限分配>>关闭系统
开启IIS的日志审计记录,日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、服务器端口、方法
进入IIS管理器,网站>>日志。格式>w3c,选择字段>>看题目要求
设置网站的最大并发连接数为1000,网站连接超时为60s
IIS管理器>>网站>>操作>>限制
禁用IIS内核缓存,避免对方利用ms15_034漏洞进行DOS攻击,出现蓝屏的现象
IIS管理器>>网站>>输出缓存>>编辑功能设置
设置user1用户只能在上班时间(周一至周五的9:00~18:00)可以登录
添加并配置域服务,创建域,在Active Directory管理中心配置user1登录时间
拓展
- gpedit.msc >> 本地组策略编辑器
- secpol.msc >> 本地安全策略
- msconfig >> 系统配置
- Tscc.msc >> 远程会话主机配置(Windows server2012版本或以上已取消此功能)
Linux篇
设置最小密码长度不少于8个字符,密码最长使用期限为15天
编辑配置文件login.defs
设置在用户登录系统时,会有”For unauthorized users only”提示信息
编辑配置文件issue,在新一行写入”For unauthorized users only”
拓展
配置文件issue中的提示为本地登录,且是在登录前出现
配置文件 motd(系统不自带,需自行在etc下创建)中的提示为本地登录,且是在登录成功后出现
实现 ssh 登录提示语,需要在ssh的配置文件的 banner 中添加提示语文件路径才可以实现
提示语文件需自行创建,且提示语是在输入登录账号后呈现
效果图:
设置root用户的计划任务。每天早上7:50自动开启vsftpd服务,22点50时关闭;每周六的7:30时,重新启动vsftpd服务
输入crontab -e,按照”分钟 小时 天 月 星期 你要执行的命令的”的格式来定时任务
禁止匿名用户登录vsftpd服务
限制客户端连接vsftpd服务时,同一个IP最多只能打开两个连接
在vsftp配置文件中加入以下这句话
禁止root用户通过SSH远程登录
修改ssh配置文件
禁止mysql服务以管理员权限的账号运行
在my.cnf修改以下内容,或者在mysql数据库输入命令”revoke all on . from ‘root‘@’localhost’;”
