实训第八天

博主： Xherlock
发布时间：2022 年 07 月 20 日
280 次浏览
暂无评论
3822字数
分类：实训

实训第八天

安全加固

Windows加固

账户管理和认证授权

定期检查并删除与无关的账户

步骤：win+R>compmgmt.msc>系统工具>本地用户和组>用户>右键选中要删除的用户>删除

不显示最后的用户名

步骤：win+R>secpol.msc>本地策略>安全选项>交互式登录：不显示上次的用户名>已启用

密码复杂度，打开步骤同上，点击账户策略下的密码策略，启用密码必须符合复杂性要求

密码最长使用期限，设置为不长于90天

账户锁定策略，设置为不大于10次

本地关机权限只分配给administrators组

账户策略>账户锁定策略，找到关闭系统属性，删除其他用户或组

日志配置操作

日志配置

配置日志大小

IP协议安全配置

SYN防护启用

Linux加固

添加口令策略

使用命令 vi /etc/login.defs 修改配置文件

设置连续输错三次密码，账号锁定五分钟。使用命令 vi /etc/pam.d/common-auth修改配置文件，在配置文件中添加 auth required pam_tally.so onerr=fail deny=3 unlock_time=300

SSH服务安全

使用命令 vim /etc/ssh/sshd_config 编辑配置文件

Nginx加固

日志配置

备份nginx.conf，修改配置和定义日志路径

禁止目录浏览

限制目录执行权限

错误页面重定向

错误重定向页面放在网站根目录下

最佳经验实践

未隐藏版本信息前

隐藏版本信息后，版本信息没了

限制HTTP请求方法，防止PUT和DELETE操作服务器文件

限制IP访问，这里我们限制物理机IP访问根目录

尝试ban掉整个IP访问

控制超时时间

PHP加固

屏蔽PHP错误输出

先写了个错误的php文件，可以看到输出了错误文件的路径和小部分代码，非常危险

修改：display_errors=Off，可以看到无法显示页面

屏蔽PHP版本

未屏蔽如下，攻击者轻而易举的了解到你使用的PHP版本，进而去找相应漏洞

我们修改：expose_php=Off

关闭全局变量

如果开启了全局变量，则服务器端PHP脚本可以用$username和$password来获取到用户名和密码，这会造成极大的脚本注入危险

但是php.ini中没有register_globals=On

开启magic_quotes_gpc

这个需要php<5.4，我们的大于了已经被修复

禁用危险函数

最后修改：2022 年 07 月 20 日

© 允许规范转载

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

Win11新机鼓捣记录
浏览次数: 1846
C++学习
浏览次数: 1170
栈~数制转换
浏览次数: 1143
Python实现文件管理系统（重命名和删除）
浏览次数: 1120
汇编语言学习（一）~基础知识
浏览次数: 1089

顶点软件
你写得非常清晰明了，让我很容易理解你的观点。
mars
博主你好，请问怎么知道的alloc函数属于Buffer下的方法...
lj
该评论仅登录用户及评论双方可见
Mr.Guan
:@(赞一个)
Typecho
欢迎加入 Typecho 大家族

实训第八天

Xherlock • 2022 年 07 月 20 日

<h1>实训第八天</h1><h2>安全加固</h2><h3>Windows加固</h3><h4>账户管理和认证授权</h4><ol><li>定期检查并删除与无关的账户</li></ol><p>步骤：win+R&gt;compmgmt.msc&gt;系统工具&gt;本地用户和组&gt;用户&gt;右键选中要删除的用户&gt;删除</p><p><img src="http://xherlock.top/usr/uploads/2022/07/96969621.png" alt="image-20220719095144443.png" title="image-20220719095144443.png"style=""></p><ol><li>不显示最后的用户名</li></ol><p>步骤：win+R&gt;secpol.msc&gt;本地策略&gt;安全选项&gt;交互式登录：不显示上次的用户名&gt;已启用</p><p><img src="http://xherlock.top/usr/uploads/2022/07/1883397825.png" alt="image-20220719095619577.png" title="image-20220719095619577.png"style=""></p><ol><li>密码复杂度，打开步骤同上，点击账户策略下的密码策略，启用密码必须符合复杂性要求</li></ol><p><img src="http://xherlock.top/usr/uploads/2022/07/1999090075.png" alt="image-20220719100143340.png" title="image-20220719100143340.png"style=""></p><ol><li>密码最长使用期限，设置为不长于90天</li></ol><p><img src="http://xherlock.top/usr/uploads/2022/07/1506473352.png" alt="image-20220719100641666.png" title="image-20220719100641666.png"style=""></p><ol><li>账户锁定策略，设置为不大于10次</li></ol><p><img src="http://xherlock.top/usr/uploads/2022/07/3698415856.png" alt="image-20220719100742827.png" title="image-20220719100742827.png"style=""></p><p><img src="http://xherlock.top/usr/uploads/2022/07/3106465652.png" alt="image-20220719100835736.png" title="image-20220719100835736.png"style=""></p><ol><li>本地关机权限只分配给administrators组</li></ol><p>账户策略&gt;账户锁定策略，找到关闭系统属性，删除其他用户或组</p><p><img src="http://xherlock.top/usr/uploads/2022/07/3666044395.png" alt="image-20220719101140164.png" title="image-20220719101140164.png"style=""></p><p><img src="http://xherlock.top/usr/uploads/2022/07/3707131510.png" alt="image-20220719101433190.png" title="image-20220719101433190.png"style=""></p><h4>日志配置操作</h4><ol><li>日志配置</li></ol><p><img src="http://xherlock.top/usr/uploads/2022/07/3833028123.png" alt="image-20220719101803017.png" title="image-20220719101803017.png"style=""></p><ol><li>配置日志大小</li></ol><h4>IP协议安全配置</h4><ol><li>SYN防护启用</li></ol><h3>Linux加固</h3><h4>添加口令策略</h4><ol><li>使用命令 vi /etc/login.defs 修改配置文件</li></ol><p><img src="http://xherlock.top/usr/uploads/2022/07/3188425174.png" alt="image-20220719112049853.png" title="image-20220719112049853.png"style=""></p><ol><li>设置连续输错三次密码，账号锁定五分钟。使用命令 vi /etc/pam.d/common-auth修改配置文件，在配置文件中添加 auth required pam_tally.so onerr=fail deny=3 unlock_time=300</li></ol><p><img src="http://xherlock.top/usr/uploads/2022/07/1639601743.png" alt="image-20220719112836814.png" title="image-20220719112836814.png"style=""></p><h4>SSH服务安全</h4><p>使用命令 vim /etc/ssh/sshd_config 编辑配置文件</p><p><img src="http://xherlock.top/usr/uploads/2022/07/3344964404.png" alt="image-20220719113413895.png" title="image-20220719113413895.png"style=""></p><h3>Nginx加固</h3><h4>日志配置</h4><p>备份nginx.conf，修改配置和定义日志路径</p><p><img src="http://xherlock.top/usr/uploads/2022/07/1924594735.png" alt="image-20220719143439174.png" title="image-20220719143439174.png"style=""></p><h4>禁止目录浏览</h4><p><img src="http://xherlock.top/usr/uploads/2022/07/1911456206.png" alt="image-20220719145608989.png" title="image-20220719145608989.png"style=""></p><h4>限制目录执行权限</h4><p><img src="http://xherlock.top/usr/uploads/2022/07/742451213.png" alt="image-20220719145434614.png" title="image-20220719145434614.png"style=""></p><h4>错误页面重定向</h4><p>错误重定向页面放在网站根目录下</p><p><img src="http://xherlock.top/usr/uploads/2022/07/2965410087.png" alt="image-20220719151119163.png" title="image-20220719151119163.png"style=""></p><p><img src="http://xherlock.top/usr/uploads/2022/07/3943253516.png" alt="image-20220719151058324.png" title="image-20220719151058324.png"style=""></p><h4>最佳经验实践</h4><p>未隐藏版本信息前</p><p><img src="http://xherlock.top/usr/uploads/2022/07/3771494348.png" alt="image-20220719151257012.png" title="image-20220719151257012.png"style=""></p><p>隐藏版本信息后，版本信息没了</p><p><img src="http://xherlock.top/usr/uploads/2022/07/3039641266.png" alt="image-20220719151333093.png" title="image-20220719151333093.png"style=""></p><p><img src="http://xherlock.top/usr/uploads/2022/07/3668837700.png" alt="image-20220719151359631.png" title="image-20220719151359631.png"style=""></p><p>限制HTTP请求方法，防止PUT和DELETE操作服务器文件</p><p><img src="http://xherlock.top/usr/uploads/2022/07/2464863276.png" alt="image-20220719151708147.png" title="image-20220719151708147.png"style=""></p><p>限制IP访问，这里我们限制物理机IP访问根目录</p><p><img src="http://xherlock.top/usr/uploads/2022/07/645221968.png" alt="image-20220719152129651.png" title="image-20220719152129651.png"style=""></p><p>尝试ban掉整个IP访问</p><p><img src="http://xherlock.top/usr/uploads/2022/07/2980642871.png" alt="image-20220719152532648.png" title="image-20220719152532648.png"style=""></p><p>控制超时时间</p><p><img src="http://xherlock.top/usr/uploads/2022/07/1404508525.png" alt="image-20220719152920757.png" title="image-20220719152920757.png"style=""></p><h3>PHP加固</h3><h4>屏蔽PHP错误输出</h4><p>先写了个错误的php文件，可以看到输出了错误文件的路径和小部分代码，非常危险</p><p><img src="http://xherlock.top/usr/uploads/2022/07/1473361628.png" alt="image-20220719163006672.png" title="image-20220719163006672.png"style=""></p><p>修改：display_errors=Off，可以看到无法显示页面</p><p><img src="http://xherlock.top/usr/uploads/2022/07/294470815.png" alt="image-20220719163135282.png" title="image-20220719163135282.png"style=""></p><h4>屏蔽PHP版本</h4><p>未屏蔽如下，攻击者轻而易举的了解到你使用的PHP版本，进而去找相应漏洞</p><p><img src="http://xherlock.top/usr/uploads/2022/07/529613450.png" alt="image-20220719163245814.png" title="image-20220719163245814.png"style=""></p><p>我们修改：expose_php=Off</p><p><img src="http://xherlock.top/usr/uploads/2022/07/3844122632.png" alt="image-20220719163528015.png" title="image-20220719163528015.png"style=""></p><h4>关闭全局变量</h4><p>如果开启了全局变量，则服务器端PHP脚本可以用$username和$password来获取到用户名和密码，这会造成极大的脚本注入危险</p><p>但是php.ini中没有register_globals=On</p><h4>开启magic_quotes_gpc</h4><p>这个需要php&lt;5.4，我们的大于了已经被修复</p><h4>禁用危险函数</h4><p><img src="http://xherlock.top/usr/uploads/2022/07/1500749494.png" alt="image-20220719164142320.png" title="image-20220719164142320.png"style=""></p>