问题[hardening](server)

尝试使用 OpenSSH_7.4p1 设置高度受限的 SFTP 服务器，以便远程脚本上传数据。目标是一个黑洞，脚本可以使用用户级别的键执行“放置”，而其他服务器命令是不可能的。一切正常，直到最后一步我尝试限制sftp命令集使用-P和-p此sshd_config Match子句中的选项：

Match user globalstat
    ChrootDirectory /inbound
    ForceCommand internal-sftp -d data -p put -P df,pwd,rm,mkdir,rmdir,get,rename,symlink

-P尝试了多种组合，但denied_requests永远不会阻止任何指定的远程命令。应用或中断传输并返回allowed_requests" Couldn't canonicalise: Permission denied Need cwd"。没有or ，写入没有问题，并且基于此错误的其他帖子，我很确定我的目录权限是正确的。我一直在使用此手册页作为参考：https ://www.man7.org/linux/man-pages/man8/sftp-server.8.html-p putput,cd-P-p

这意味着not 是这些选项的位置，但它们在主体中不起作用，并且如果在子句中使用sshd而Subsystem不是.ForceCommandsshd_configSubsystemMatchForceCommand

我真的希望有可能得到这个工作，任何建议将不胜感激。

我正在尝试在 /etc/audit/audit.rules 中设置以下规则

-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete

这没有用，所以我尝试直接从命令行执行它：

auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete

但我收到以下错误： -F 缺少 auid 操作

有人可以指导我如何解决这个问题吗？

在我们公司，我们希望配置符合IASE SCAP 规范的基于 Windows 的基础架构，例如Microsoft Windows Server 2016 STIG Benchmark。在本文档中，有一条规则Computer Configuration >> Policies >> Windows Settings >> Security Settings >> Account Policies >> Kerberos Policy >> Enforce user logon restrictions应该是Enabled.

Windows Server 2016我已经在、Windows 10 Education、Windows 10 Enterprise和中搜索了此设置，Windows 10 Pro但它无处可见....

我必须激活或启用什么才能看到Kerberos Policies？

我们在域控制器上有一个带有 Windows Server 2016 的 Active Directory 域，在所有客户端上都有最新的 Windows 10。不久前，我开始通过组策略在域上部署 Internet 安全中心 (CIS) 1 级安全基准：默认域策略中的 Windows 10 安全基准，覆盖基于 Windows Server 2012 R2 文档（没有2016 年还没有）在默认控制器策略中。我之前一直被Windows粗心的硬化所困扰，所以这次我一直在逐一检查所有设置，并打开相关文档并检查任何不熟悉选项的影响。它工作得很好——直到今天，我终于把事情搞砸了。症状如下

1. 左键单击组策略管理中的任何 GPO 会显示“拒绝访问”错误框。我仍然可以检查和操作对象属性，包括更改 GPO 状态；
2. 打开其中一个用于编辑的 GPO 再次显示“访问被拒绝”，尽管在不同的框中，并且当编辑器启动时，可见的树条目用红色 X 标记；
3. 回到组策略管理，如果我转到 GPO 的详细信息选项卡，我只能看到它的 AD 版本。sysvol 中的那个被描述为不可用；
4. 最后，当我在任何域计算机（包括 DC 本身）上运行gpupdate /force时，我收到如下错误：

组策略处理失败。Windows 尝试从域控制器读取文件 \contoso.com\sysvol\contoso.com\Policies{foo}\gpt.ini，但未成功。在解决此事件之前，可能不会应用组策略设置。此问题可能是暂时性的，可能由以下一项或多项原因引起：a) 与当前域控制器的名称解析/网络连接。b) 文件复制服务延迟（在另一个域控制器上创建的文件尚未复制到当前域控制器）。c) 分布式文件系统 (DFS) 客户端已被禁用。

不幸的是，我刚刚意识到我忘记检查事件日志中的相应错误代码，但是如果我将资源管理器指向 \contoso.com\sysvol\ （或者就此而言，该服务器上的任何共享，同时使用主机和路径中的域名）我被要求提供凭据，但还没有找到有效的凭据，我的赌注是再次“拒绝访问”。顺便说一句，通过 DC 上的本地路径访问 sysvol 可以正常工作。

简而言之，至少后两个症状强烈表明我已经设法将自己锁定在 SYSVOL 共享之外；不知道前两者是不是也是这个原因造成的。附带说明一下，在将域控制器重新启动到 DSRM，然后回到正常模式后，一切都工作了大约 10 分钟。

现在，我有最新的备份，所以我可以恢复到最后的工作状态并完成它。但是，我真正想要的是 a) 了解究竟是什么设置可能导致了这个问题（否则我可能很快会再次遇到同样的问题），并且 b) 弄清楚如何让我的域在所有强化下工作到位（CIS Level-1 基准是基线，它们不应该对功能产生太大影响......）。哦，c）如果我仍然可以用当前配置做任何事情。

任何有一般强化 Windows 或专门应用 CIS 基准的经验的人，谁能给我一个正确的方向？如果是这样，非常感谢您提前！

更新：似乎我能够禁用违规策略，但它没有撤消 SYSVOL 锁定。使用 secedit 将本地安全策略重置为默认值也无济于事，可能是因为该过程产生了所有“拒绝访问”警告。

顺便说一句，我注意到的一件有趣的事情是，如果我从 PowerShell 提示符以提升的权限开始在 DC 上运行“net share SYSVOL”，它确实会返回预期的信息（与从正常提示符运行不同 - 你已经猜到了! - “访问被拒绝”）。

我们正在考虑在不久的将来推出 Outlook 2010。您会推荐哪些建议、指南、设置、工具等来保护和强化 Outlook 2010 的安装和使用？什么有效，什么无效？

注意：我不是在寻找使用 Outlook 的利弊，只是在寻找如何保护它以及应该切换或实施哪些设置。

注 2：这适用于大型企业环境中日常使用电子邮件的普通用户，将来可能会使用个人数字证书。以与我们强化基本操作系统相同的方式从答案中强化它。

在考虑使用WebDAV时应该注意哪些安全后果？如何保护它？我还应该了解什么？

IIS6 有一些用于加固、抵御攻击和漏洞的工具。

IIS7是否有相同的？

如果没有，是否应该采取一些标准措施来保护它？

我正在设置一个新的 debian 服务器，我不需要 FTP，所以我想删除它。根据 netstat -tap，ftp 没有监听任何东西。但是，当我在外部进行端口扫描（nmap）时，它说 ftp 端口是打开的（21）。inetd 没有启动任何东西，xinetd 不在系统上。

我应该怎么办？

netstat 点击的结果

obu1:/etc/pam.d# netstat -tap
活动 Internet 连接（服务器和已建立）
Proto Recv-Q Send-Q 本地地址 外部地址 状态 PID/程序名称
tcp 0 0 *:225 *:* LISTEN 2237/sbadm
tcp6 0 0 *:ssh *:* LISTEN 2399/sshd
tcp6 0 448 obu1.hostname.:ssh rrcs-XXX-XXX-XXX-XXX:56721 ESTABLISHED 16639/sshd: 用户名

来自非本地的 NMap

在东部夏令时间 2009-07-13 10:47 开始 Nmap 4.90RC1 ( http://nmap.org )
obu1.hostname（ipaddress）上的有趣端口：
未显示：972 个封闭端口，26 个过滤端口
港口国服务
21/tcp 打开 ftp
22/tcp 打开 ssh

Nmap 完成：在 3.60 秒内扫描了 1 个 IP 地址（1 个主机启动）

在虚拟化 Red Hat 服务器场中，出于安全原因，需要安装最小系统。最少安装有几个优点（甚至与安全无关）：

1. 更少的漏洞暴露（如果您不需要它，请不要安装它）
2. 更好的更新过程（更新的包更少，破坏系统的可能性更小）
3. 更好的性能（没有不需要的守护进程或进程）
4. 您拥有的软件越少，就越容易强化系统

不幸的是，这并不容易，因为 Red Hat 上的“最小安装”包含许多不必要的软件包。

由于场正在运行 Oracle iAS，因此还有一个额外的挑战。我被告知 iAS 依赖于本地图形环境。所以最后农场中的每台服务器都有 gnome、X 等。

我一直在网上搜索，一个解决方案似乎是制作一个仅安装必要软件包的 kickstart 脚本。但是我觉得这很困难，并且对之后如何维护系统依赖关系有几个疑问。

如何安装最小的 Red Hat 服务器？是否可以使用 kickstart 或者我在安装或更新中会遇到依赖问题？有什么方法可以避免为 iAS 安装图形环境？