实训第八天

博主： Xherlock
发布时间：2022 年 07 月 20 日
496 次浏览
暂无评论
3822字数
分类：实训

# 实训第八天

## 安全加固

### Windows加固

#### 账户管理和认证授权

1. 定期检查并删除与无关的账户

步骤：win+R>compmgmt.msc>系统工具>本地用户和组>用户>右键选中要删除的用户>删除

![image-20220719095144443.png](http://xherlock.top/usr/uploads/2022/07/96969621.png)
2. 不显示最后的用户名

步骤：win+R>secpol.msc>本地策略>安全选项>交互式登录：不显示上次的用户名>已启用

![image-20220719095619577.png](http://xherlock.top/usr/uploads/2022/07/1883397825.png)
3. 密码复杂度，打开步骤同上，点击账户策略下的密码策略，启用密码必须符合复杂性要求

![image-20220719100143340.png](http://xherlock.top/usr/uploads/2022/07/1999090075.png)
4. 密码最长使用期限，设置为不长于90天

![image-20220719100641666.png](http://xherlock.top/usr/uploads/2022/07/1506473352.png)
5. 账户锁定策略，设置为不大于10次

![image-20220719100742827.png](http://xherlock.top/usr/uploads/2022/07/3698415856.png)

![image-20220719100835736.png](http://xherlock.top/usr/uploads/2022/07/3106465652.png)
6. 本地关机权限只分配给administrators组

账户策略>账户锁定策略，找到关闭系统属性，删除其他用户或组

![image-20220719101140164.png](http://xherlock.top/usr/uploads/2022/07/3666044395.png)

![image-20220719101433190.png](http://xherlock.top/usr/uploads/2022/07/3707131510.png)

#### 日志配置操作

1. 日志配置

![image-20220719101803017.png](http://xherlock.top/usr/uploads/2022/07/3833028123.png)
2. 配置日志大小

#### IP协议安全配置

1. SYN防护启用

### Linux加固

#### 添加口令策略

1. 使用命令 vi /etc/login.defs 修改配置文件

![image-20220719112049853.png](http://xherlock.top/usr/uploads/2022/07/3188425174.png)
2. 设置连续输错三次密码，账号锁定五分钟。使用命令 vi /etc/pam.d/common-auth修改配置文件，在配置文件中添加 auth required pam_tally.so onerr=fail deny=3 unlock_time=300

![image-20220719112836814.png](http://xherlock.top/usr/uploads/2022/07/1639601743.png)

#### SSH服务安全

使用命令 vim /etc/ssh/sshd_config 编辑配置文件

![image-20220719113413895.png](http://xherlock.top/usr/uploads/2022/07/3344964404.png)

### Nginx加固

#### 日志配置

备份nginx.conf，修改配置和定义日志路径

![image-20220719143439174.png](http://xherlock.top/usr/uploads/2022/07/1924594735.png)

#### 禁止目录浏览

![image-20220719145608989.png](http://xherlock.top/usr/uploads/2022/07/1911456206.png)

#### 限制目录执行权限

![image-20220719145434614.png](http://xherlock.top/usr/uploads/2022/07/742451213.png)

#### 错误页面重定向

错误重定向页面放在网站根目录下

![image-20220719151119163.png](http://xherlock.top/usr/uploads/2022/07/2965410087.png)

![image-20220719151058324.png](http://xherlock.top/usr/uploads/2022/07/3943253516.png)

#### 最佳经验实践

未隐藏版本信息前

![image-20220719151257012.png](http://xherlock.top/usr/uploads/2022/07/3771494348.png)

隐藏版本信息后，版本信息没了

![image-20220719151333093.png](http://xherlock.top/usr/uploads/2022/07/3039641266.png)

![image-20220719151359631.png](http://xherlock.top/usr/uploads/2022/07/3668837700.png)

限制HTTP请求方法，防止PUT和DELETE操作服务器文件

![image-20220719151708147.png](http://xherlock.top/usr/uploads/2022/07/2464863276.png)

限制IP访问，这里我们限制物理机IP访问根目录

![image-20220719152129651.png](http://xherlock.top/usr/uploads/2022/07/645221968.png)

尝试ban掉整个IP访问

![image-20220719152532648.png](http://xherlock.top/usr/uploads/2022/07/2980642871.png)

控制超时时间

![image-20220719152920757.png](http://xherlock.top/usr/uploads/2022/07/1404508525.png)

### PHP加固

#### 屏蔽PHP错误输出

先写了个错误的php文件，可以看到输出了错误文件的路径和小部分代码，非常危险

![image-20220719163006672.png](http://xherlock.top/usr/uploads/2022/07/1473361628.png)

修改：display_errors=Off，可以看到无法显示页面

![image-20220719163135282.png](http://xherlock.top/usr/uploads/2022/07/294470815.png)

#### 屏蔽PHP版本

未屏蔽如下，攻击者轻而易举的了解到你使用的PHP版本，进而去找相应漏洞

![image-20220719163245814.png](http://xherlock.top/usr/uploads/2022/07/529613450.png)

我们修改：expose_php=Off

![image-20220719163528015.png](http://xherlock.top/usr/uploads/2022/07/3844122632.png)

#### 关闭全局变量

如果开启了全局变量，则服务器端PHP脚本可以用$username和$password来获取到用户名和密码，这会造成极大的脚本注入危险

但是php.ini中没有register_globals=On

#### 开启magic_quotes_gpc

这个需要php<5.4，我们的大于了已经被修复

#### 禁用危险函数

![image-20220719164142320.png](http://xherlock.top/usr/uploads/2022/07/1500749494.png)

最后修改：2022 年 07 月 20 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

Reverse（十一）
浏览次数: 4717
Win11新机鼓捣记录
浏览次数: 2516
C++学习
浏览次数: 1711
栈~数制转换
浏览次数: 1699
Python实现文件管理系统（重命名和删除）
浏览次数: 1682

mars
博主你好，请问怎么知道的alloc函数属于Buffer下的方法...
lj
该评论仅登录用户及评论双方可见
Mr.Guan
:@(赞一个)
Typecho
欢迎加入 Typecho 大家族

HTTP头部介绍
浏览次数: 901
机试Day1
浏览次数: 1215
考前数据库题型总结
浏览次数: 560
机组Week1~Chapter1：绪论
浏览次数: 867
指令集架构
浏览次数: 798

实训第八天

Xherlock • 2022 年 07 月 20 日

# 实训第八天

## 安全加固

### Windows加固

#### 账户管理和认证授权

1. 定期检查并删除与无关的账户

步骤：win+R>compmgmt.msc>系统工具>本地用户和组>用户>右键选中要删除的用户>删除

![image-20220719095144443.png](http://xherlock.top/usr/uploads/2022/07/96969621.png)
2. 不显示最后的用户名

步骤：win+R>secpol.msc>本地策略>安全选项>交互式登录：不显示上次的用户名>已启用

![image-20220719100143340.png](http://xherlock.top/usr/uploads/2022/07/1999090075.png)
4. 密码最长使用期限，设置为不长于90天

![image-20220719100641666.png](http://xherlock.top/usr/uploads/2022/07/1506473352.png)
5. 账户锁定策略，设置为不大于10次

![image-20220719100742827.png](http://xherlock.top/usr/uploads/2022/07/3698415856.png)

![image-20220719100835736.png](http://xherlock.top/usr/uploads/2022/07/3106465652.png)
6. 本地关机权限只分配给administrators组

账户策略>账户锁定策略，找到关闭系统属性，删除其他用户或组

![image-20220719101140164.png](http://xherlock.top/usr/uploads/2022/07/3666044395.png)

![image-20220719101433190.png](http://xherlock.top/usr/uploads/2022/07/3707131510.png)

#### 日志配置操作

1. 日志配置

![image-20220719101803017.png](http://xherlock.top/usr/uploads/2022/07/3833028123.png)
2. 配置日志大小

#### IP协议安全配置

1. SYN防护启用

### Linux加固

#### 添加口令策略

1. 使用命令 vi /etc/login.defs 修改配置文件

![image-20220719112836814.png](http://xherlock.top/usr/uploads/2022/07/1639601743.png)

#### SSH服务安全

使用命令 vim /etc/ssh/sshd_config 编辑配置文件

![image-20220719113413895.png](http://xherlock.top/usr/uploads/2022/07/3344964404.png)

### Nginx加固

#### 日志配置

备份nginx.conf，修改配置和定义日志路径

![image-20220719143439174.png](http://xherlock.top/usr/uploads/2022/07/1924594735.png)

#### 禁止目录浏览

![image-20220719145608989.png](http://xherlock.top/usr/uploads/2022/07/1911456206.png)

#### 限制目录执行权限

![image-20220719145434614.png](http://xherlock.top/usr/uploads/2022/07/742451213.png)

#### 错误页面重定向

错误重定向页面放在网站根目录下

![image-20220719151119163.png](http://xherlock.top/usr/uploads/2022/07/2965410087.png)

![image-20220719151058324.png](http://xherlock.top/usr/uploads/2022/07/3943253516.png)

#### 最佳经验实践

未隐藏版本信息前

![image-20220719151257012.png](http://xherlock.top/usr/uploads/2022/07/3771494348.png)

隐藏版本信息后，版本信息没了

![image-20220719151333093.png](http://xherlock.top/usr/uploads/2022/07/3039641266.png)

![image-20220719151359631.png](http://xherlock.top/usr/uploads/2022/07/3668837700.png)

限制HTTP请求方法，防止PUT和DELETE操作服务器文件

![image-20220719151708147.png](http://xherlock.top/usr/uploads/2022/07/2464863276.png)

限制IP访问，这里我们限制物理机IP访问根目录

![image-20220719152129651.png](http://xherlock.top/usr/uploads/2022/07/645221968.png)

尝试ban掉整个IP访问

![image-20220719152532648.png](http://xherlock.top/usr/uploads/2022/07/2980642871.png)

控制超时时间

![image-20220719152920757.png](http://xherlock.top/usr/uploads/2022/07/1404508525.png)

### PHP加固

#### 屏蔽PHP错误输出

先写了个错误的php文件，可以看到输出了错误文件的路径和小部分代码，非常危险

![image-20220719163006672.png](http://xherlock.top/usr/uploads/2022/07/1473361628.png)

修改：display_errors=Off，可以看到无法显示页面

![image-20220719163135282.png](http://xherlock.top/usr/uploads/2022/07/294470815.png)

#### 屏蔽PHP版本

未屏蔽如下，攻击者轻而易举的了解到你使用的PHP版本，进而去找相应漏洞

![image-20220719163245814.png](http://xherlock.top/usr/uploads/2022/07/529613450.png)

我们修改：expose_php=Off

![image-20220719163528015.png](http://xherlock.top/usr/uploads/2022/07/3844122632.png)

#### 关闭全局变量

如果开启了全局变量，则服务器端PHP脚本可以用$username和$password来获取到用户名和密码，这会造成极大的脚本注入危险

但是php.ini中没有register_globals=On

#### 开启magic_quotes_gpc

这个需要php<5.4，我们的大于了已经被修复

#### 禁用危险函数

![image-20220719164142320.png](http://xherlock.top/usr/uploads/2022/07/1500749494.png)

发表评论 取消回复

实训第八天

发表评论取消回复