1. 应急响应复盘过程中,安全运维人员发现防火墙未能发挥作用,分析原因。
一是检查流量是否经过了防火墙:由于防火墙只能对流经它的数据进行控制,因此在对防火墙设置时,必须让其位于不同网络安全区域之间的唯一通道上;
二是检查管理员是否根据安全需求合理设计安全策略与规则。
三是在条件允许情况下尝试重放攻击流量,判断防火墙本身是否有防护漏洞,保持防火墙更新规则版本。
四是判断攻击发生时流量是否超过了防火墙本身处理能力,审查防火墙应对超大流量时的应对策略。
2. 综述在实际安全工作中如何加固Linux上的ssh服务及相关安全注意事项(以CentOS 7 为例,需保护具体路径及命令)?
1.加固部分操作步骤
使用命令 vim /etc/ssh/sshd_config 编辑配置文件。
不允许 root 账号直接登录系统:设置 PermitRootLogin 的值为 no。
修改 SSH 使用的协议版本:设置 Protocol 的版本为 2。
修改允许密码错误次数(默认 6 次):设置 MaxAuthTries 的值为 3。
配置文件修改完成后,重启 sshd 服务生效,命令:sudo systemctl restart sshd
2.注:在关闭root用户远程登录前,需要新建用户并赋予sudo权限。相关命令如下:
添加新用户:sudo useradd 新用户名
为新用户更改密码:sudo passwd 新用户名
为新用户赋予sudo使用权限:sudo vi /etc/sudoers,根据实际情况,在其中添加新用户或其所属组,使其获得使用sudo命令的权限。
3. linux中如何禁止root用户登录到sshd?
创建普通权限账号并配置密码, 防止无法远程登录;
使用命令 vi /etc/ssh/sshd_config
修改配置文件将 PermitRootLogin 的值改成 no
保存,然后使用service sshd restart重启服务。
4. 某天,单位IT部门发现网段的计算机遭受了ARP攻击,如果你负责单位网络安全工作,请问你采用哪些防范技术进行防御或减小影响范围?
建立 DHCP 服务器,使得所有客户机的 IP 地址及其相关主机信息,只能从网关取得;给每个网卡绑定固定唯一的IP 地址,以保持网内的主机IP-MAC 地址对的对应关系。
建立MAC 数据库,把网内所有网卡的MAC 地址记录下来,将每个MAC 和IP地理位置信息统统装入数据库,以便及时查询备案。
给网关关闭 ARP 动态刷新的过程,使用静态路由,使得攻击者无法用 ARP 欺骗攻击网关,确保局域网的安全。
利用网关监听网络安全。由于ARP 欺骗攻击包一般有两个特点,存在任何一个特点即可视为攻击包,立刻报警:
① 以太网数据包头的源地址、目标地址与 ARP 数据包的协议地址不匹配;
② ARP 数据包的发送和目标地址不在自己网络网卡的MAC 数据库内,或者与自己网络网卡内MAC 数据库的IP-MAC 地址对不匹配。因此可以据此对局域网内的ARP 数据包进行分析。
使用VLan 或PVLan 技术,将网络分段使ARP 欺骗的影响范围降至最小
5. 实操Windows中启用审核与日志查看,将详细操作步骤进行阐述。
1.打开审核策略
Win+r输入”control”回车打开控制面板
点击搜索按钮,输入”控制面板”
打开“控制面板”中的“管理工具”,选择“本地安全策略”;
打开“本地策略”中的“审核策略”,可以看到当前系统的审核策略;
双击每项策略可以选择是否启用该项策略。例如“审核账户管理”将对每次建立新用户、删除用户等操作进行记录,“审计登录事件”将对每次用户的登录进行记录;“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录,根据需要启用相关的审核策略。审核策略启用后,审核结果放在各种事件日志中。
2.查看事件日志
打开“控制面板”中的“管理工具”,双击“事件查看器”,安全日志用于记录刚才上面审核策略中所设置的安全事件。
双击“安全日志”,可查看有效无效、登陆尝试等安全事件的具体记录。例如,查看用户登录/注销的日志,弹出分别为登录事件的失败审核与成功审核的对话框。可以看到日志中详细记录了登录的时间、账户名、错误类型等信息。其中,“事件ID”用于标示各事件的类型。
6. 实操Windows中授权管理配置,将详细操作步骤进行阐述。
1.本地关机与远程关机授权
打开“本地安全策略->安全设置->本地策略->用户权限分配”
关闭系统权限分配给Administrators组(本地关机)
远程系统强制关机权限只分配给Administrators组(远程关机)
2.授权帐户从网络访问
打开“本地安全策略->安全设置->本地策略->用户权限分配”
配置从网络访问此计算机权限给指定授权用户
3.授权帐户登录
打开“本地安全策略->安全设置->本地策略->用户权限分配”
4.共享文件夹授权访问
打开“控制面板 -> 管理工具 -> 计算机管理”
共享文件夹“中,查看每个共享文件夹的共享权限
共享文件夹的共享权限仅限于业务需要,不要设置成为 Everyone
7. 实操Windows帐户和口令的安全设置,将详细操作步骤进行阐述。
1.删除不再使用的帐户并禁用guest帐户
右键单击“开始”按钮,打开“资源管理器”,选择“控制面板”中的“用户帐户”项,再点击“用户帐户”、“管理帐户”,列出了系统的所有帐户,点击对应的账户,进行删除或禁用
2.启用密码策略和帐户锁定策略
打开“控制面板”,“查看方式”选择“小图标”,点击“管理工具”—“本地安全策略”,选择“帐户策略”,双击“密码策略”
(1)双击“密码必须符合复杂性要求”,选择“启用”
(2)双击“密码长度最小值”,在弹出的对话框中设置可被系统接纳的帐户密码长度最小值,例如设置为6个字符。一般为了达到较高的安全性,建议密码长度的最小值为8。
(3)双击“密码最长使用期限”,在弹出的对话框中设置系统要求的帐户密码的最常使用期限为42天。设置密码自动保留期,可以提醒用户定期修改密码,防止密码使用时间过长带来的安全问题。
(4)双击“密码最短使用期限”,在弹出的对话框中修改设置密码最短存留期为7天。在密码最短存留期内用户不能修改密码。这项设置是为了避免入侵的攻击者修改密码帐户。
(5)双击“强制密码历史”和“为域中所有用户使用可还原的加密存储密码”,在相继弹出的类似对话框中,设置让系统记住的密码数量和是否设置加密存储密码。 至此,密码策略设置完毕。
帐户策略中的第2项是帐户锁定策略,它决定系统锁定帐户的时间等相关设置。 打开“帐户锁定策略”
(1)双击“帐户锁定阈值”,在弹出的对话框中设置帐户被锁定之前经过的无效登录次数,如3次,以便防范攻击者利用管理员身份登录后无限次的猜测帐户的密码(穷举法攻击)。
(2)双击“帐户锁定时间”,在弹出的对话框中设置帐户被锁定的时间,如5min。此后,当某帐户无效登录(如密码错误)的次数超过3次时,系统将锁定该帐户5min。
3.查看“用户权限分配”
4.查看“用户组权限分配”
5.在安全选项中设置“开机不自动显示上次登录帐户”
打开“控制面板”,打开“管理工具”选项下“本地安全策略”项,选择“本地策略”中的“安全选项”,选择“交互式登录:不显示最后的用户名”选项,在弹出的对话框中选择“已启用”,完成设置。
6.禁止枚举帐户名
打开“本地安全策略”项,选择“本地策略”中的“安全选项”,选择“网络访问:不允许SAM帐户和共享的匿名枚举” 选项,在弹出的对话框中选择“已启用”,完成设置。
7.禁止远程访问注册表
打开控制面板,选择“管理工具”,双击“本地安全策略”,依次打开“本地策略”—“安全选项”,在右侧找到“网络访问:可远程访问的注册表路径”和“网络访问:可远程访问的注册表路径和子路径”,双击打开,将路径删除。