# cicd

**Repository Path**: cicdjs/cicd

## Basic Information

- **Project Name**: cicd
- **Description**: 测试中测试中测试中测试中。。。
- **Primary Language**: JavaScript
- **License**: MIT
- **Default Branch**: master
- **Homepage**: None
- **GVP Project**: No

## Statistics

- **Stars**: 0
- **Forks**: 0
- **Created**: 2020-12-30
- **Last Updated**: 2024-05-11

## Categories & Tags

**Categories**: Uncategorized

**Tags**: liusq

## README

### 应急响应复盘过程中，安全运维人员发现防火墙未能发挥作用，分析原因  
1、防火墙的规则设置可能存在错误，比如检测流量有无经过防火墙，因为防火墙仅能对通过它的数据实施控制，故而在对其进行设置时，一定要使其处于不同网络安全区域间的唯一通道处。  
2、策略错误，检查管理员有没有依据安全需求妥善设计安全策略与规则。  
3、若条件许可，可尝试对攻击流量进行重放，以此来判别防火墙自身是否存在防护漏洞，并确保防火墙的规则版本保持更新。  
4、评估攻击发生时防火墙处理能力是否达到极限，并审查其应对大流量的策略  
5、网络结构发生较大改变，而防火墙未相应调整配置以适应新的拓扑。  


### 综述在实际安全工作中如何加固 Linux上的ssh 服务及相关安全注意事项(以 CentOS 7为例,需保护具体路径及命令)?  
1.加固方法  
修改SSH端口，使用命令vim /etc/ssh/sshd _config编辑配置文件，将默认的 22 端口修改为其他不常用端口。  
禁止root用户直接登录，在sshd_config中设置 PermitRootLogin的值为no。修改SSH 使用的协议版本:设置 Protocol 的版本为2。  
限制登录尝试次数(默认6次):设置 MaxAuthTries的值为3。  
禁用密码登录，只允许密钥登录，生成密钥对并将公钥添加到服务器的授权文件中。  
可以通过配置仅允许特定的 IP 地址或网段访问 SSH 服务。   
相关的配置文件修改完成后，需要重启 sshd 服务生效，执行命令: sudo systemctl restart sshd。  
2.安全注意事项  
在修改配置文件后，一定要确保正确重启 SSH 服务使配置生效。保管好密钥，避免密钥泄露。定期检查 SSH 服务的运行状态和日志，及时发现异常情况。  
确保 /etc/ssh/sshd_config 文件的权限设置正确，防止被恶意修改。  
在关闭 root 远程登录前，要先执行这些操作：用“sudo useradd 新用户名”添加新用户，用“sudo passwd 新用户名”改新用户密码，然后用“sudo vi /etc/sudoers”并根据实际给新用户及其所属组添加以获得 sudo 命令使用权限。  

### linux中如何禁止root用户登录到sshd?  
1、新建用户：使用sudo useradd 新用户名命令添加新用户。  
2、修改/etc/ssh/sshd_config文件：  
    找到RSAAuthentication yes、PubkeyAuthentication yes和AuthorizedKeysFile .ssh/authorized_keys这三行命令，如果前面带有#，则把#删掉，以启用密钥登录。  
    找到PermitRootLogin yes这一行，将其改为PermitRootLogin no，以禁止 root 用户登录。  
3、重启 sshd 服务：使用systemctl restart sshd.service命令重启 sshd 服务。  
（可选）测试：使用新用户登录，确保登录成功且 root 用户无法登录。  
4、请注意，修改/etc/ssh/sshd_config文件需要管理员权限。此外，还可以根据需要修改 sshd 服务的端口号，以提高安全性。  

### 某天,单位IT部门发现网段的计算机遭受了ARP攻击,如果你负责单位网络安全工作,请问你采用哪些防范技术进行防御或减小影响范围?  
1、构建 DHCP 服务器，确保所有客户机的 IP 地址及相关主机信息仅能从网关获取；为每块网卡绑定固定且唯一的 IP 地址，以维持网内主机 IP-MAC 地址对的对应关系。  
2、限制IP访问，通过设置访问控制列表（ACL）来限制特定IP地址的网络访问权限，防止未经授权的IP地址和MAC地址访问网络，降低ARP攻击的风险。  
3、使用静态ARP记录，在关键设备上（如路由器、交换机和服务器）设置静态ARP记录，这样即使有伪造的ARP请求，这些设备的ARP缓存也不会被篡改。  
4、在网络设备上启用ARP监控功能，以检测异常的ARP流量，并将这些事件记录到日志中，便于分析。以太网数据包头源地址和目标地址与 ARP 数据包协议地址不匹配，ARP 数据包发送和目标地址不在自身网络网卡 MAC 数据库内，或与数据库内 IP-MAC 地址对不匹配，故可据此分析局域网内 ARP 数据包。  
5、对于敏感数据和交易，使用VPN可以加密通信，即使ARP攻击成功，攻击者也无法读取加密的数据。  
6、使用私有VLan或PVLan技术可以隔离不同用户组的流量，减少ARP欺骗的影响范围。  

### 实操 Windows中启用审核与日志查看,将详细操作步骤进行阐述。  
1.打开审核策略  
按下组合键“Win+R”打开运行，输入“control”并回车。  
在打开的控制面板中，找到并点击“系统和安全”。  
在“系统和安全”页面中，点击“管理工具”。  
在“管理工具”窗口中，找到并点击“本地安全策略”。  
在“本地安全策略”窗口中，点击左侧的“本地策略”，然后在下拉菜单中选择“审核策略”。  
在右侧的“审核策略”列表中，可以看到多个审核策略选项，例如对“审核账户登录事件”，  
双击“审核账户登录事件”，在弹出的策略属性窗口中，将“成功”和“失败”两个选项都勾选上，然后点击“确定”保存设置。这样就启用了该策略的审核功能。  
其它审核策略选项采用同样的方法进行设置操作。  
2.查看事件日志  
按下组合键“Win+R”打开运行，输入“eventvwr”并回车。  
在打开的事件查看器中，展开“Windows 日志”，双击“安全”，在单击“筛选当前日志”，在事件ID中输入“4624/4625”，点击确定按钮。  
双击第一条日志，弹出对话框，可以看到日中的详细的记录了记录时间、级别、关键字等信息。其中,“事件 ID”用于标示各事件的类型。  

### 实操 Windows中授权管理配置,将详细操作步骤进行阐述。“diskmgmt.msc”  
1.本地关机与远程关机授权  
按下组合键“Win+R”打开运行，输入“control”并回车。  
在打开的控制面板中，找到并点击“系统和安全”。  
在“系统和安全”页面中，点击“管理工具”。  
在“管理工具”窗口中，找到并点击“本地安全策略”。  
在“本地安全策略”窗口中，点击左侧的“安全设置”，然后在下拉菜单中选“本地策略”，然后在下拉菜单中选择“用户权限分配”。  
在右侧窗口中，找到“关闭系统权限”选项，双击打开，在属性窗口中，删除除了Administrators组以外的账号，并点击确认。  
在右侧窗口中，找到“远程系统强制关机”选项，双击打开，在属性窗口中，删除除了Administrators组以外的账号，并点击确认。  
2.授权帐户从网络访问  
按下组合键“Win+R”打开运行，输入“control”并回车。  
在打开的控制面板中，找到并点击“系统和安全”。  
在“系统和安全”页面中，点击“管理工具”。  
在“管理工具”窗口中，找到并点击“本地安全策略”。  
在“本地安全策略”窗口中，点击左侧的“安全设置”，然后在下拉菜单中选“本地策略”，然后在下拉菜单中选择“用户权限分配”。  
在右侧窗口中，找到“从网络访问此计算机”选项，双击打开，在“添加用户和组”属性窗口中，点击“添加用户或组”按钮。可以选择添加单个用户、组或内置组。  
添加完成后，点击“确定”按钮。  
3.授权帐户登录  
按下组合键“Win+R”打开运行，输入“control”并回车。  
在打开的控制面板中，找到并点击“系统和安全”。  
在“系统和安全”页面中，点击“管理工具”。  
在“管理工具”窗口中，找到并点击“本地安全策略”。  
在“本地安全策略”窗口中，点击左侧的“安全设置”，然后在下拉菜单中选“本地策略”，然后在下拉菜单中选择“用户权限分配”。  
在右侧窗口中，找到“允许本地登录”选项，双击打开。在“允许本地登录”属性窗口中，点击“添加用户和组”按钮。可以选择添加单个用户、组或内置组。  
添加完成后，点击“确定”按钮。  
4.共享文件夹授权访问  
按下组合键“Win+R”打开运行，输入“control”并回车。  
在打开的控制面板中，找到并点击“系统和安全”。  
在“系统和安全”页面中，点击“管理工具”。  
在“管理工具”窗口中，找到并点击“计算机管理”。  
在“计算机管理”窗口中，点击左侧的“系统工具”，然后在下拉菜单中选“共享文件夹”，然后在下拉菜单中选择“共享”。  
在右侧窗口中，在文件夹共享名中，右键打开找到共享的文件夹，点击共享视图，点击共享，  
在弹出的属性窗口中，在下拉框中根据业务需要，可以选择添加单个用户、组或内置组。  
添加完成后，点击“共享”按钮。注意，不要设置成为 Everyone。  

### 实操Windows帐户和口令的安全设置,将详细操作步骤进行阐述。  
1.删除或禁用不再使用的帐户并禁用guest帐户  
按下组合键“Win+R”打开运行，输入“control”并回车。  
在打开的控制面板中，找到并点击“用户帐户”。在“用户帐户”窗口中，选择“管理其他帐户”，  
在列出的所有账户中，点击对应的账户，进行删除或禁用操作。  
2.启用密码策略和帐户锁定策略  
按下组合键“Win+R”打开运行，输入“control”并回车。  
在打开的控制面板中，找到并点击“系统和安全”。  
在“系统和安全”页面中，点击“管理工具”。  
在“管理工具”窗口中，找到并点击“本地安全策略”。  
在“本地安全策略”窗口中，点击左侧的“安全设置”，然后在下拉菜单中选“账户策略”，然后在下拉菜单中选择“密码策略”。  
    (1)双击“密码必须符合复杂性要求”，选择“启用”  
    (2)双击“密码长度最小值”，在弹出的对话框中，设置可被系统接纳的帐户密码长度最小值为8。  
    (3)双击“密码最长使用期限”，在弹出的对话框中，设置系统要求的帐户密码的最长使用期限为60天。  
    (4)双击“密码最短使用期限”，在弹出的对话框中，修改设置密码最短存留期为10天。  
    (5)双击“为域中所有用户使用可还原的加密存储密码”，在弹出的对话框中，选择“已启用”选项，然后点击“确定”按钮。  
    (6)双击“强制密码历史”，在“强制密码历史”选项卡中，选择“已启用”；在“密码历史记录”框中，将其设置为24。  
同上，使用相同的方法打开“安全设置”，然后在下拉菜单中选“帐户锁定策略”，。打开“帐户锁定策略”  
(1)双击“账户锁定阈值”项，在弹出的对话框中设定数值为3，点击确定后生效。  
(2)双击“帐户锁定时间"项，在弹出的对话框中设定数值为5min，点击确定后生效。  
3.查看“用户权限分配”  
4.查看“用户组权限分配”  
5.在安全选项中设置“开机不自动显示上次登录帐户”  
同上，使用相同的方法打开“控制面板”，找到并点击“系统和安全”，在“系统和安全”页面中，点击“管理工具”。  
在“管理工具”窗口中，找到并点击“本地安全策略”。选择“本地策略”中的“安全选项”，  
选择“交互式登录:不显示最后的用户名”选项，在弹出的对话框中，选择“已启用”,完成设置。   
6.禁止枚举帐户名  
同上，使用相同的方法找到并打开“安全选项”，选择“网络访问:不允许SAM帐户和共享的匿名枚举”选项，在弹出的对话框中，选择“已启用”，完成设置。  
7.禁止远程访问注册表  
同上，使用相同的方法找到并打开“安全选项”，在右侧找到“网络访问:可远程访问的注册表路径”和“网络访问:可远程访问的注册表路径和子路径”，  
分别双击打开，在属性窗口中，删除文本框中的所有内容，点击“确定”保存设置。