精华内容
下载资源
问答
  • CentOS 6 服务器安全策略配置

    千次阅读 2016-08-30 09:08:08
    场景方案检查最小密码长度在文件/etc/login.defs中设置 PASS_MIN_LEN 不小于标准值检查密码复杂度策略中设置的特殊字符个数Redhat系统:修改/etc/pam.d/system-auth文件, 在ucredit=-1 lcredit=-1 dcredit=-1 ...

    场景

    方案

    检查最小密码长度

    在文件/etc/login.defs中设置 PASS_MIN_LEN 不小于标准值

    检查密码复杂度策略中设置的特殊字符个数

    Redhat系统:修改/etc/pam.d/system-auth文件, 
    在ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-13种,追加到password requisite pam_cracklib.so后面,添加到配置文件中。 
    例如:password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1 
    注:ucredit:大写字母个数;lcredit:小写字母个数;dcredit:数字个数;ocredit:特殊字符个数

    检查是否使用PAM认证模块禁止wheel组之外的用户su为root

    编辑su文件(vi /etc/pam.d/su),在开头添加下面两行: 
    auth sufficient pam_rootok.so 和 
    auth required pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。 
    你可以把用户添加到wheel组,以使它可以使用su命令成为root用户。 
    添加方法为:usermod –G wheel username

    检查文件/etc/profile中umask设置

    在文件/etc/profile中设置umask 027或UMASK 027,如果文件中含有umask参数,则需要在最前面设置该参数

    检查是否禁止root用户远程telnet登录

    编辑 /etc/pam.d/login文件,配置auth required pam_securetty.so

    检查是否禁止root用户远程ssh登录

    修改/etc/ssh/sshd_config文件,配置PermitRootLogin no。重启服务,/etc/init.d/sshd restart。

    syslog-ng是否配置远程日志功能

    在/etc/syslog-ng/syslog-ng.conf中配置destination logserver { udp("10.10.10.10" port(514)); }; 
    log { source(src); destination(logserver); }; 
    可以将此处10.10.10.10替换为实际的IP

    rsyslog是否配置远程日志功能

    修改配置文件vi /etc/rsyslog.conf, 
    加上这一行: 
    *.* @192.168.0.1 
    可以将"*.*"替换为你实际需要的日志信息。比如:kern.* ; mail.* 等等。 
    可以将此处192.168.0.1替换为实际的IP或域名(域名格式形如:www.nsfocus.com,根据具体情况填写)。 

    syslog是否配置远程日志功能

    修改配置文件vi /etc/syslog.conf, 
    加上这一行: 
    *.* @192.168.0.1 
    可以将"*.*"替换为你实际需要的日志信息。比如:kern.* ; mail.* 等等。 
    可以将此处192.168.0.1替换为实际的IP或域名(域名格式形如:www.nsfocus.com,根据具体情况填写)。 

    限制用户FTP缺省访问权限

    配置方法: 
    打开/etc/vsftpd/chroot_list 文件,将需要限制的用户名加入到文件中。

    应删除系统banner信息,避免泄漏操作系统泄漏

    删除"/etc"目录下的 issue.net 和 issue 文件: 
    # mv /etc/issue /etc/issue.bak 
    # mv /etc/issue.net /etc/issue.net.bak
    展开全文
  • 适用于Windows 服务器安全策略配置文件,关闭所有危险端口, 保留安全端口
  • 服务器基本安全策略配置

    万次阅读 2018-03-07 09:39:26
    windows服务器安全策略设置为加强windows服务器的安全性,针对windows服务器运行的程序和服务,制定相关安全策略。 一、 服务器基本情况 二、 计算机安全策略配置 (一) 修改远程桌面端口:将默认端口XXX修改为...

    windows服务器安全策略设置

    为加强windows服务器的安全性,针对windows服务器运行的程序和服务,制定相关安全策略。

     

    一、 服务器基本情况

     

    二、 计算机安全策略配置

     

    (一) 修改远程桌面端口:将默认端口XXX修改为XXX。

    (二) 帐户:对系统管理员默认帐户administrator进行重命名,停用guest用户。

    (三) 开启windows防火墙:

    Ø 取消网络连接中的文件和打印共享。

    Ø 在例外里面添加远程桌面端口XXX。

    Ø 在防火墙高级设置时勾选Web 服务和安全的Web服务。

    Ø 在防火墙开放FTP端口XX。

    Ø 开放短信发送平台端口:XXX

    (四) 禁用无关服务。

    Ø Print spooler  打印服务

    Ø Wireless configuration  无线服务

    Ø Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务。

    Ø NTLMSecuritysupportprovide:telnet服务和Microsoft Serch服务使用。 

    Ø Telnet 允许远程用户登录到此计算机并运行程序。

    Ø Remote Desktop Help Session Manager:远程协助服务。

    Ø Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序。

    Ø Remote Registry  远程注册表操作。

    (五) 禁止IPC空连接:打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

    (六) 删除默认共享:打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters,新建 AutoShareServer类型是REG_DWORD把值改为0

    (七) 策略配置

    1. 组策略配置:gpedit—>计算机配置—>windows设置—>安全设置—>本地策略。

    Ø 在用户权利分配下,从通过网络访问此计算机中删除Power Users和Backup Operators;

    Ø 启用不允许匿名访问SAM帐号和共享;

    Ø 启用不允许为网络验证存储凭据或Passport;

    Ø 从文件共享中删除允许匿名登录的DFS$和COMCFG;

    Ø 启用交互登录:不显示上次的用户名;

    Ø 启用在下一次密码变更时不存储LANMAN哈希值;

    Ø 禁止IIS匿名用户在本地登录。

     

    2. 本地安全策略设置:

      开始菜单—>管理工具—>本地安全策略

    A、本地策略——>审核策略

    Ø 审核策略更改 成功 失败

    Ø 审核登录事件 成功 失败

    Ø 审核对象访问失败

    Ø 审核过程跟踪 无审核

    Ø 审核目录服务访问失败

    Ø 审核特权使用失败

    Ø 审核系统事件 成功 失败

    Ø 审核账户登录事件 成功 失败

    Ø 审核账户管理 成功 失败

    注:在设置审核登陆事件时选择记失败,这样在事件查看器里的安全日志就会记录登陆失败的信息。

     

    B、本地策略——>用户权限分配

    Ø 关闭系统:只有Administrators组、其它全部删除。

    Ø 通过终端服务拒绝登陆:加入Guests、User组

    Ø 通过终端服务允许登陆:只加入Administrators组,其他全部删除。

     

    C、本地策略——>安全选项

    Ø 交互式登陆:不显示上次的用户名 启用

    Ø 网络访问:不允许SAM帐户和共享的匿名枚举启用

    Ø 网络访问:不允许为网络身份验证储存凭证 启用

    Ø 网络访问:可匿名访问的共享 全部删除

    Ø 网络访问:可匿名访问的名全部删除

    Ø 网络访问:可远程访问的注册表路径全部删除

    Ø 网络访问:可远程访问的注册表路径和子路径全部删除

     

    D:本地策略>软件限制策略>其它规则

    Ø 新建规则不允许运行以下文件: scrrun.dll,shell.dll,QQ.exe,thunder.exe,telnet.exe等等。随着维护的深入,逐步追加服务器不需要运行的应用程序。

    三、 安全策略的作用

    对服务器进行以上的设置和相关策略的制定,可以有效的增加服务器的自身防御能力,防止黑客利用常见的攻击手段和方法对服务器进行入侵和破坏。

     

    展开全文
  • 如何配置服务器安全策略

    千次阅读 2019-04-11 13:52:06
    如何配置服务器安全策略? 内容摘要:如何配置服务器安全策略服务器安全策略的核心价值在于保障数据中心服务器的安全性。数据中心是应用虚拟化的基础平台,保证了这个平台的稳定和安全,各种操作才会流畅无阻。...

    如何配置服务器安全策略?

     

    内容摘要:如何配置服务器安全策略?服务器安全策略的核心价值在于保障数据中心服务器的安全性。数据中心是应用虚拟化的基础平台,保证了这个平台的稳定和安全,各种操作才会流畅无阻。

     

     

    1、功能描述

     

      接入防火墙是为了保证合法客户端的访问,而服务器安全策略则是为了保证被访问服务器的安全,在很多情况下,服务器都是数据中心重要的资源,一旦服务器遭到损坏,都会带来重大的损失。

     

      服务器安全策略可以有效的保证用户访问指定的服务器资源,未被许可访问的资源均无法访问,和接入防火墙形成遥相呼应的安全控制机制!

     

    2、应用价值

     

      服务器安全策略的核心价值在于障数据中心服务器的安全性。数据中心是应用虚拟化的基础平台,保证了这个平台的稳定和安全,各种操作才会流畅无阻。

     

      应用场景:服务器发布了若干资源,供外部公司和个人访问,但这资源往往都有存储接口,比如链接网页、另存为等,通过些接口,可以访问到服务器上其他资源。这时,可以利用安全策略 设置,将这些接口全部封堵住。让用户只是单一的访问应用程序,除此以外,其他均不能操作!

     

    3、实现过程

     

    3.1 服务器端配置

     

    配置服务器安全策略--教程分享

     

     

     

      可以选择上百项安全策略设置,基本上囊括了服务器系统的方方面面,体现了VA虚拟应用管理平台的细粒化、专业化!

     

     

    配置服务器安全策略--教程分享

     

     

     

    3.2 用户关联

     

      服务器安全策略设置是关联用户的,只i在建立用户时做了设置,才会对此用户生效

     

     

    配置服务器安全策略--教程分享

     

     

     

       访问受限制的资源就会提示:

     

    3.3 安全策略备份

     

      当服务器重新部署或者需要将相应的安全策略设置摞到别的机器上,那么可以用安全策略的快速导出和导入实现该需求

     

     

    配置服务器安全策略--教程分享

     

     

     

        结论: 服务器安全策略设置简单,鼠标轻轻一点,操作方便,但后台两百余项的安全策略子项则需要高度的专业精神和技能!真所谓“台上一分钟,台下十年功!”

    展开全文
  • 服务器安全审计策略配置,压缩包里是截图,对应设置密码长度策略,修改时间时间策略,输错密码锁定策略,安全设计策略等
  • 服务器安全策略

    2013-12-22 12:45:31
    服务器安全策略 windows2003 服务器的安全配置。提高服务器安全防御。
  • Windows2003服务器配置安全策略大全
  • SEP11项目服务器策略基本配置手册 SEP11项目服务器策略基本配置手册 中国XXXSEP11项目 服务器策略 基本配置手册 文档日期 2009/06/09 文档版本 1.0 文档创建 任宇驰 前言 基于中XXX正在实施SEP 11项目需要一个基本...
  • CentOS服务器安全配置策略

    千次阅读 2017-01-14 21:16:00
    近期服务器频繁有被暴力破解,大致分析了一下入侵行为,整理了常用的安全策略: 最小的权限+最少的服务=最大的安全 1. 修改ssh默认连接22端口 和 添加防火墙firewalld 通过端口步骤:1) 修改ssh的默认端口22:vi /...

    近期服务器频繁有被暴力破解,大致分析了一下入侵行为,整理了常用的安全策略:

    最小的权限+最少的服务=最大的安全


    1. 修改ssh默认连接22端口 和 添加防火墙firewalld 通过端口


    步骤:

    1) 修改ssh的默认端口22:

    vi /etc/ssh/sshd_config

    这里写图片描述

    2)让防火墙通过这个端口

    firewall-cmd --state【firewalld是否运行】
    firewall-cmd --permanent --list-port【查看端口列表】
    firewall-cmd --permanent --zone=public --add-port=48489/tcp【添加端口】
    firewall-cmd --permanent --remove-port=48489/tcp【删除端口】
    

    3)重启SSH服务,并退出当前连接的SSH端口

    service sshd restart

    4)然后通过putty ssh连接软件链接一下,使用默认22号端口无法进入SSH,达到目的,就OK了~


    2. 禁止root帐号直接登录


    Linux的默认管理员名即是root,只需要知道ROOT密码即可直接登录SSH。禁止Root从SSH直接登录可以提高服务器安全性。经过以下操作后即可实现。

    1)新建帐户和设置帐户密码

    useradd ityangs
    passwd ityangs
    

    2)不允许root直接登陆

    vi /etc/ssh/sshd_config

    查找“#PermitRootLogin yes”,将前面的“#”去掉,短尾“Yes”改为“No”,并保存文件。

    这里写图片描述

    systemctl restart sshd.service【重启ssh,另一种方法重启】

    3)下次登陆

    • 先使用新建账号“ityangs”以普通用户登陆。

    • 若要获得ROOT权限,在SSH中执行以下命令

    su root

    执行以上命令并输入root密码后即可获得root权限。

    4)WinSCP下su切换到root的技巧(禁止root远程ssh登录时)

    限制了root用户的远程登录,但是重要的数据文件都是700。更可悲的是,WinSCP完全失去了用武之地。因为root账户无法登陆,而像是FTP,SFTP,SCP这些协议都不支持在登录以后切换用户。
    SCP协议在登录的时候可以指定shell,一般默认的也就是推荐的是/bin/bash,但是我们可以修改它来玩花样,比如改成sudo su -
    但是新问题又来了,sudo需要输入密码,但是WinSCP在登录的时候并没有交互过程。但是天无绝人只要在root权限之路,只要在root权限下visudo,添加如下一行即可取消sudu时的密码:
    yourusername ALL=NOPASSWD: ALL
    为了可以在非putty的环境下sudo,我们还需要注释掉下面一行:
    Defaults requiretty
    然后保存,即可在登录到WinSCP的时候享受root的快感啦!

    步骤:

    • 普通用户ssh到服务器,切换到root权限
    • visudo,然后添加 yourusername ALL=NOPASSWD: ALL 这一行,注释掉Defaults requiretty
    [root@iZ252wo3Z ~]# visudo
    ityangs ALL=NOPASSWD: ALL
    #Defaults requiretty 【没有可不用管】
    • 修改WinSCP的文件协议为SCP

    这里写图片描述

    • 修改环境-SCP/Shell下的shell为sudo su-

    这里写图片描述

    • 登录WinSCP即可。

    3. 安装DenyHosts【拦截获取攻击的IP,生成黑名单,防止再次攻击】


    DenyHosts(项目主页:http://denyhosts.sourceforge.net/)是运行于Linux上的一款预防SSH暴力破解的软件,可以从http://sourceforge.net/projects/denyhosts/files/进行下载,然后将下载回来的DenyHosts-2.6.tar.gz源码包上传到Linux系统中。
    
    下面是安装过程
    ****************************************************************
    tar zxvf DenyHosts-2.6.tar.gz                                           #解压源码包
    cd DenyHosts-2.6                                                            #进入安装解压目录
    python setup.py install                                                    #安装DenyHosts
    cd /usr/share/denyhosts/                                                #默认安装路径
    cp denyhosts.cfg-dist denyhosts.cfg                                #denyhosts.cfg为配置文件
    cp daemon-control-dist daemon-control                        #daemon-control为启动程序
    chown root daemon-control                                           #添加root权限
    chmod 700 daemon-control                                            #修改为可执行文件
    ln -s /usr/share/denyhosts/daemon-control /etc/init.d     #对daemon-control进行软连接,方便管理
    
    安装到这一步就完成了。
    /etc/init.d/daemon-control start          #启动denyhosts
    chkconfig daemon-control on             #将denghosts设成开机启动
    ******************************************************************
    
    vi /usr/share/denyhosts/denyhosts.cfg       #编辑配置文件,另外关于配置文件一些参数,通过grep -v "^#" denyhosts.cfg查看
    SECURE_LOG = /var/log/secure                  #ssh 日志文件,redhat系列根据/var/log/secure文件来判断;Mandrake、FreeBSD根据 /var/log/auth.log来判断
                                                                      #SUSE则是用/var/log/messages来判断,这些在配置文件里面都有很详细的解释。
    HOSTS_DENY = /etc/hosts.deny                 #控制用户登陆的文件
    PURGE_DENY = 30m                                  #过多久后清除已经禁止的,设置为30分钟;
    # ‘m’ = minutes
    # ‘h’ = hours
    # ‘d’ = days
    # ‘w’ = weeks
    # ‘y’ = years
    BLOCK_SERVICE = sshd                           #禁止的服务名,当然DenyHost不仅仅用于SSH服务
    DENY_THRESHOLD_INVALID = 1             #允许无效用户失败的次数
    DENY_THRESHOLD_VALID = 3                 #允许普通用户登陆失败的次数
    DENY_THRESHOLD_ROOT = 3                 #允许root登陆失败的次数
    DAEMON_LOG = /var/log/denyhosts      #DenyHosts日志文件存放的路径,默认
    
    更改DenyHosts的默认配置之后,重启DenyHosts服务即可生效: 
    /etc/init.d/daemon-control restart         #重启denyhosts
    展开全文
  • 主要介绍了win服务器防止安全策略或防火墙配置错误而导致远程无法连接的bat,需要的朋友可以参考下
  • Windows服务器安全策略

    千次阅读 2019-09-25 21:20:48
    Windows 操作系统配 置“管理工具”—“本地 安全策略”—“帐户策略” --“密码策略”,启用“密 码必须符合复杂度要求” , “密码长度最小值”设定 为 8。“密码最长使用期 限”设定为 90 天。“密 码最短...
  • 即便如此,为每个服务器配置本地安全策略也是同样重要的。 Windows Server本地安全策略与Active Directory组策略有些相似,但是,前者可以在不依赖Active Directory前提下依旧提供保护功能。如果有人想要将服务器从...
  • IP安全策略配置

    2012-10-04 10:13:56
    通过IP安全策略设置可以允许某电脑远程到服务器或禁止远程到服务器
  • 服务器安全配置规则

    2018-04-12 10:00:01
    服务器安全配置规则从 补丁管理、用户管理、服务管理、组件管理、端口和防火墙管理、共享设置、安全策略等多方面进行安全配置,实现服务器安全的最大化。
  • 利用组策略实现 citrix 服务器安全配置 利用组策略实现 citrix 服务器安全配置 首假设在没有域管理的情况下 citrix 服务器的命令行中输入 gpedit.msc 打开组策略编辑器打开计算配置 -----windows 设置 -----软件...
  • Linux服务器安全策略

    千次阅读 2018-10-12 15:04:02
    1.常见的服务器攻击类型 (1)密码暴力破解攻击 密码暴力破解攻击的目的是破解用户的密码,从而进入服务器获取系统资源或者是进行破坏。 (2)拒绝服务攻击 拒绝服务攻击基本原理就是利用合理的服务请求来占用...
  • 合理部署防火墙安全策略以及安全区域 实现内网用户可以访问外网用户,反之不能访问 内网用户和外网用户均可以访问公司服务器 实验配置 步骤一:配置各个终端、防火墙端口IP地址 终端以服务器为例: 防火墙进入...
  • PAGE / NUMPAGES windows 2003服务器安全策略 windows server2003是目前最为成熟的网络 \o "服务器" 服务器平台 \o "安全" 安全性相对于windows 2000有大大的提高,但是2003默认的 \o "安全" 安全配置不一定适合我们...
  • 1. 配置源IP地址集,将几个不允许访问服务器的IP加入地址集 配置安全策略时可以直接指定多个IP地址或地址段,但是对于零散的、不连续...本例中服务器使用的是非知名端口,必须配置自定义服务集,然后在安全策略中引用。
  • ensp练习:防火墙安全策略配置

    万次阅读 多人点赞 2019-09-26 22:12:49
    2、 掌握华为防火墙安全策略配置。 二、实验仪器: 计算机、华为ensp模拟器、华为防火墙 三、实验内容: 根据网络拓扑图如上(交换机不需要配置),在防火墙配置安全策略,要求: (1) 192.168.0.0/24网段可以...
  • ubuntu服务器基本安全配置

    千次阅读 2017-11-19 23:36:32
    ummm,学院的一个月赛,关于linux的安全配置,学习一些之前不了解的知识,这里记录下注释:所以配置位于个人购买的腾讯云服务器,部分步骤为博客地址(个人以前写的,附截图的,这里就直接放个人博客的链接)1....
  • 我们知道服务器的各种服务要依赖端口来实现,我们可以将安全组想象成服务器各个端口的开关,默认创建购买的ECS云服务器,阿里云默认只开放了22号和2239号端口,所以配置安全组是新手必须要完成的作业。 安全配置通俗的...
  • 公司总部的网络分成了三个区域,包括内部区域(Trust)、外部区域(Untrust)和服务器区域(DMZ)。你设计通过防火墙来实现对数据的控制,确保公司内部网络安全,并通过DMZ区域对外网提供服务。 拓扑图 步骤一. ...
  • 本文将着重介绍三种工具,您可以单独或配合使用这些工具来管理服务器上的安全策略: 安全配置向导 (SCW) 和 Scwcmd 命令行工具 “安全模板”管理单元 “安全配置和分析”管理单元 虽然这些工具不是...
  • 前两种云服务器安全策略这块做的比较好,提供简单明了的配置界面,而且给了默认的安全策略,反观阿里云服务器安全策略需要自己去配置,甚至centos机器上都没有预装iptables(起码我们申请两台上都没有),算好...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 228,824
精华内容 91,529
关键字:

服务器安全策略配置