服务器安全加固操作指南试卷教案

《服务器安全加固操作指南试卷教案》由会员分享，可在线阅读，更多相关《服务器安全加固操作指南试卷教案（47页珍藏版）》请在装配图网上搜索。

1、网络通信安全管理员培训WEB安全加固操作指南陕西邮电职业技术学院培训中心二零一二年五月1、Windows server 2003系统加固41。1采集系统信息41。2账号51。2。1优化账号51.2.2检测隐藏帐号61。2。3更改默认管理员用户名71.3口令策略71.4授权91.5补丁管理101.6安全配置111.6.1IP协议安全配置111。6.2屏幕保护131.6。3安装防病毒软件141.6。4病毒查杀151。6。5木马查杀161.7日志审核181.7.1增强日志181.7。2增强审核201。8关闭不必要的端口、服务201.8。1修改远程桌面端口201.8。2关闭高危的数据库端口211.8.

2、3优化服务221.8.4修改SNMP服务231。9启动项241.10关闭自动播放功能251。11关闭共享261。12使用NTFS261。13网络访问271.14会话超时设置281。15注册表设置281.16其他291.16.1网络限制291。16.2安全性增强301。16.3检查Everyone权限301.16。4限制命令操作权限311。16。5防病毒软件建立计划任务，每天深夜执行全盘扫描321。16。6进行IP-MAC双向绑定321。16。7第三方软件升级331。16.8开启360safe arp防火墙331。17Apache系统加固341。17.1帐号341.17。2授权351.17。3日

3、志361。17.4禁止访问外部文件371。17。5目录列出381。17.6错误页面重定向381。17。7拒绝服务防范391。17。8隐藏Apache 的版本号391.17.9关闭trace401。17.10禁用CGI411.17.11监听地址绑定411。17.12补丁421。17。13更改默认端口421.17。14删除缺省安装的无用文件421。17.15HTTP 加密协议431.17。16连接数设置431.17。17禁用非法HTTP441.18其他451。18。1禁止SSI451.18。2上传目录设置451.18。3保护敏感目录461.18.4限制IP访问rrr471、Windows serv

4、er 2003系统加固1.1采集系统信息操作名称采集系统的相关信息检查方法查看系统版本 ver查看SP版本 wmic os get ServicePackMajorVersion查看Hotfix wmic qfe get hotfixid，InstalledOn查看主机名 hostname查看网络配置 ipconfig /all查看路由表 route print查看开放端口 netstat ano检查结果通过上述查看方法,采集到的系统信息如下:加固方法无需加固操作目的了解系统的相关信息加固结果无需加固1.2账号1.2.1优化账号操作名称优化账号检查要求应按照不同的用户分配不同的账号,避免不同用

5、户间共享账号。避免用户账号和设备间通信使用的账号共享;查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定；按照用户分配账号。对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号.检查方法开始运行compmgmt.msc（计算机管理）本地用户和组，检查结果使用net user查看到的账号:在计算机管理中看到的账号:加固方法删除或锁定与设备运行、维护等无关的账号。使用“net user 用户名 /del”命令删除账号使用“net user 用户名 /active：no命令锁定账号。操作目的减少系统无用账号，降低风险加固结果下图中蓝色标记的账号为本次禁用的无关账号。1

6、。2.2检测隐藏帐号操作名称检测隐藏帐号检查要求通过查看计算机管理本地用户和组-用户，注册表中的SAM,查找是否有类似admin之类的隐藏帐号。检查方法开始运行-compmgmt。msc(计算机管理)-本地用户和组；开始运行-regedit HKEY_LOCAL_MACHINESAMSAM，右键点击SAM，点击权限，允许Administrators组完全控制和读取SAM，刷新后查看SAMDomainsAccoutUsersNames.检查结果开始运行-compmgmt。msc（计算机管理）本地用户和组：HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNam

7、es:加固方法删除HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames中非法的隐藏账号。操作目的删除系统中非法的隐藏账号,降低风险加固结果1。2。3更改默认管理员用户名操作名称新建隐藏帐号、禁用默认管理员账号administrator；检查结果默认管理员账号为administrator加固方法更改默认管理员用户名,建立一个复杂的隐藏管理员账号，并禁用默认管理员账号.操作目的默认管理员账号可能被攻击者用来进行密码暴力猜测,可能由于太多的错误密码尝试导致该账号被锁定。加固结果禁用了管理员账号，并新建了一个隐藏管理员账号xadminy551。3口令策略操作

8、名称账号口令策略修改要求内容密码长度要求：最少8 位密码复杂度要求：至少包含以下四种类别的字符中的三种：􀁺 英语大写字母A， B， C, Z􀁺 英语小写字母a， b， c， z􀁺 阿拉伯数字0, 1, 2, 9􀁺 非字母数字字符，如标点符号， #， ， , &， *等检查方法开始运行secpol。msc (本地安全策略）安全设置检查结果从下图蓝圈标记处可以看出,密码的复杂性没有作要求，长度、最长和最短使用期限未设置，强制密码历史未设置。从下图蓝圈处可以看出,账号锁定策略设置的比较安全。下图蓝圈处标记出本地策略-安全选项中不

9、显示上次的用户名未启用.加固方法1，账户设置密码策略密码必须符合复杂性要求：启用密码长度最小值:8个字符密码最长存留期：90天密码最短存留期:30天强制密码历史:5个记住密码2，账户设置-账户锁定策略复位帐户锁定计数器：1分钟帐户锁定时间：30分钟帐户锁定阀值：6次无效登录3，本地策略安全选项交互式登录：不显示上次的用户名:启用最后，使用gpupdate /force立即生效操作目的增强口令的复杂度及锁定策略等,降低被暴力破解的可能性，保障账号及口令的安全加固结果下图为加固后“账户设置密码策略”中各项的参数(标红处为本次做过修改）。另外,还将“本地策略安全选项”中的“交互式登录：不显示上次的用

10、户名项设为了启用.1。4授权操作名称口令授权要求内容在本地安全设置中从远端系统强制关机只指派给Administrators组；在本地安全设置中关闭系统仅指派给Administrators组；在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators;在本地安全设置中配置指定授权用户允许本地登陆此计算机；在组策略中只允许授权帐号从网络访问（包括网络共享等，但不包括终端服务此计算机。检查方法开始运行eventvwr.msc 查看“本地策略-“用户权限分配”检查结果从下图可以看出，只有Administrators组从本地和远端系统强制关机，但是还有其他两个用户组具有关机功能，修要

11、修改加固.加固方法在本地安全设置中从远端系统强制关机只指派给Administrators组;在本地安全设置中关闭系统仅指派给Administrators组；在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators；在本地安全设置中配置指定授权用户允许本地登陆此计算机；在组策略中只允许授权帐号从网络访问（包括网络共享等,但不包括终端服务)此计算机。操作目的设置用户组的关机权限加固结果将关闭系统功能仅指派给Administrators组1。5补丁管理操作名称安装系统补丁,修补漏洞检查方法先使用FTP工具将提前准备好的软件传至演练主机上，然后安装360安全卫士，使用360安全卫

12、士对电脑进行安全体验。检查结果使用360安全卫士对电脑进行体验后发现，服务器存在的问题很多，主要问题如下：电脑体验得分为0分；电脑存在87个高危漏洞；系统关键位置发现木马或高危文件;内层中发现运行的木马或高风险文件;未安装杀毒软件。加固方法使用360安全卫士进行漏洞修补。操作目的安装系统补丁,修补漏洞.加固结果最终，使用360安全卫士完修补了扫描到的87个漏洞。1.6安全配置1.6.1IP协议安全配置操作名称IP协议安全配置检查方法开始设置控制面板-防火墙检查结果下图为服务器防火墙的初始设置，未开启防火墙。加固方法审核策略更改：对没有自带防火墙的Windows系统，启用Windows系统的IP

13、安全机制（IPSec）或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议；启用Windows 2003 自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围；操作目的根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围加固结果启用防火墙，并允许远程桌面例外，设置访问范围。1。6.2屏幕保护操作名称屏幕保护检查方法桌面-属性-屏幕保护程序检查结果加固方法设置带密码的屏幕保护，并将时间设定为5分钟。对于远程登陆的帐号,设置不活动断连时间10分钟.操作目的防止其他人使用你的电脑加固结果1.6.3安装防病毒软件操作名称

14、安装防病毒软件检查方法通过360安全卫士对电脑进行体验检查结果提示未安装杀毒软件加固方法下载并安装360杀毒软件操作目的删除系统中高危病毒文件和程序加固结果下载并安装360杀毒软件。1。6.4病毒查杀操作名称病毒查杀检查方法使用360杀毒软件对系统进行病毒扫描检查结果因已进行过360安全卫士的扫描和查杀,使用360杀毒软件对系统进行病毒扫描时扫描出下图病毒。加固方法使用360杀毒软件进行查杀加固结果1.6.5木马查杀操作名称木马查杀检查方法使用多种木马专杀软件对系统进行木马查杀检查结果使用360安全卫士扫描，扫描到了7个木马,如下图所示：使用windows清理助手扫描，扫描到了两个木马，如下图

15、所示：再次使用windows清理助手扫描，又扫描到了1个木马，如下图所示：使用windows清理助手上推荐的恶意软件查杀工具扫描，描到了1个木马，如下图所示：加固方法使用多种木马专杀软件对系统进行木马查杀操作目的删除系统中的高危木马加固结果1。7日志审核1。7。1增强日志操作名称调整事件日志的大小、覆盖策略检查方法开始-运行eventvwr.msc -查看“应用程序“安全性”“系统的属性检查结果经查看，“应用程序“安全性”“系统”的属性的日志大小都为16384KB，但为设置达到日志上限时，需修改，下面以“安全性”的属性为例。加固方法设置：日志上限大小：16384 KB;达到日志上限大小时:改写

16、久于90天的事件。操作目的增大日志量大小，避免由于日志文件容量过小导致日志记录不全加固结果完成了对“应用程序”“安全性”“系统的属性的日志大小、设置达到日志上限时值的设置。1。7。2增强审核操作名称设置主机审核策略检查方法开始-运行-secpol。msc 安全设置-本地策略审核策略检查结果安全设置本地策略审核策略的设置如下图所示，存在很多安全问题，需加固.加固方法开始运行-gpedit。msc计算机配置Windows 设置-安全设置-本地策略审核策略以下审核是必须开启的,其他的可以根据需要增加：􀁹 审核系统登陆事件成功，失败􀁹 审核帐户管理成功，失败

17、48697; 审核登陆事件成功，失败􀁹 审核对象访问成功􀁹 审核策略更改成功，失败􀁹 审核特权使用成功,失败􀁹 审核系统事件成功，失败备注：gpupdate /force立即生效操作目的对系统事件进行审核,在日后出现故障时用于排查故障加固结果下图为安全设置本地策略-审核策略加固后的参数值（标红处表示已修改）。1。8关闭不必要的端口、服务1.8。1修改远程桌面端口操作名称修改远程桌面端口要求内容如对互联网开放WindowsTerminial 服务（Remote Desktop），需修改默认服务端口.检查方法开始运行 Rege

18、dt32并转到此项：HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/TerminalServer/WinStations/RDP-Tcp找到“PortNumber子项,设定值非00000D3D，即十进制3389检查结果远程桌面端口为默认的3389.加固结果开始-运行 Regedt32并转到此项：HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp找到“PortNumber”子项，会看到默认值00000D3D，它是3389的十六进制表

19、示形式。使用十六进制数值修改此端口号，并保存新值。注意:软件防火墙中必须允许远程桌面的端口通过。1。8。2关闭高危的数据库端口操作名称对于无需提供外部数据库连接的服务器，关闭其数据库端口的对外访问加固结果1。8.3优化服务操作名称暂停不需要开放的服务端口检查方法开始运行services.msc查看高危和不需要的服务检查结果当前系统的高危和不需要的服务状态和启动情况如下表所示：服务状态启动类型Automatic Updates关闭手动Background Intelligent Transfer Service关闭手动DHCP Client已启用自动Messenger关闭禁用Remote Reg

20、istry关闭禁用Print Spooler已启用自动Server（不使用文件共享可以关闭)已启用自动Simple TCP/IP ServiceSimple Mail Transport Protocol （SMTP）SNMP ServiceTask Schedule已启用自动TCP/IP NetBIOS Helper已启用自动Remote Desktop Help Session Manager关闭手动加固方法将高危和不需要的服务停止，并将启动方式修改为手动。操作目的关闭不需要的服务，减小风险加固结果下表为加固后高危和不需要的服务状态和启动情况表:服务吗状态启动类型Automatic Upd

21、ates关闭手动Background Intelligent Transfer Service关闭手动DHCP Client关闭手动Messenger关闭禁用Remote Registry关闭禁用Print Spooler关闭手动Server（不使用文件共享可以关闭）关闭手动Simple TCP/IP ServiceSimple Mail Transport Protocol (SMTP）SNMP ServiceTask Schedule关闭手动TCP/IP NetBIOS Helper关闭手动Remote Desktop Help Session Manager关闭手动1。8。4修改SNMP

22、服务操作名称修改SNMP服务检查方法开始-运行-services.msc查看SNMP服务，如需启用SNMP服务，则修改默认的SNMP Community String 设置。检查结果打开“控制面板”，打开“管理工具中的“服务”，找到“SNMPService”,单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改community strings，也就是微软所说的“团体名称。加固方法修改community strings,不是默认的“public”操作目的防止非法用户使用SNMP的默认团体名称连接主机。加固结果无需加固1。9启动项操作名称口令授权检查方法通过360安全卫士中的开

23、机加速进行查看检查结果通过360安全卫士中的开机加速进行查看，发现开机启动项中有4个程序可以禁止启用；1个服务可禁止启用；6项启动项目需优化；2项系统优化与整理.如下图所示：加固方法按照360安全卫士的开机加速提示,关闭可禁止的启动项操作目的加快开机速度,阻止不必要的程序自动打开加固结果按照360安全卫士的开机加速提示，已关闭可禁止的启动项1.10关闭自动播放功能操作名称关闭自动播放功能检查方法开始运行gpedit。msc,打开组策略编辑器,浏览到计算机配置管理模板系统,检查结果加固方法在右边窗格中双击“关闭自动播放,对话框中，选择所有驱动器，确定即可。操作目的加固结果无需加固1.11关闭共享

24、操作名称删除主机默认共享检查方法开始-运行cmd。exenet share，查看共享检查结果下图标红处为本项所要检查的参数,键值为0，表示关闭C$等默认共享，无需加固。加固方法如无此项，通过开始-运行regedit找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,新建AutoShareServer(REG_DWORD），键值为0操作目的删除主机因为管理而开放的共享加固结果无需加固1。12使用NTFS操作名称使用NTFS检查方法查看每个系统驱动器是否使用NTFS文件系统检查结果远程服务器只有C盘，且

25、文件系统格式为NTFS，无需加固。加固方法无需加固操作目的利用NTFS实现文件系统的安全加固结果无需加固1.13网络访问操作名称禁用匿名访问命名管道和共享检查方法查看“控制面板管理工具本地安全策略”，在“本地策略安全选项”：网络访问：可匿名访问的共享、可匿名访问的命名管道是否设置为全部删除检查结果加固方法“控制面板-管理工具-本地安全策略”，在“本地策略安全选项”：网络访问:可匿名访问的共享设置为全部删除“控制面板-管理工具本地安全策略”，在“本地策略安全选项”：网络访问:可匿名访问的命名管道设置为全部删除操作目的禁用匿名访问命名管道和共享加固结果操作名称禁用可远程访问的注册表路径和子路径检查

26、方法查看“控制面板-管理工具本地安全策略”,在“本地策略-安全选项：网络访问中,查看，可远程访问的注册表路径、可远程访问的注册表路径和子路径是否设置为全部删除检查结果加固方法“控制面板管理工具本地安全策略，在“本地策略安全选项”:网络访问：可远程访问的注册表路径设置为全部删除“控制面板管理工具本地安全策略”,在“本地策略-安全选项：网络访问：可远程访问的注册表路径和子路径设置为全部删除操作目的加固结果1。14会话超时设置操作名称对于远程登录的账户，设置不活动所连接时间15 分钟检查方法进入“控制面板管理工具本地安全策略”,在“安全策略安全选项”：查看“Microsoft 网络服务器设置检查结果

27、加固方法进入“控制面板管理工具本地安全策略，在“安全策略安全选项”：“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为15 分钟操作目的加固结果1。15注册表设置操作名称在不影响系统稳定运行的前提下,对注册表信息进行更新检查方法点击开始运行，然后在打开行里输入regedit，然后单击确定，查看相关注册表项进行查看;使用空连接扫描工具无法远程枚举用户名和用户组检查结果加固方法􀁹 自动登录:HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonAutoAdminLogon (REG_DWORD) 0

28、48697; 源路由欺骗保护：HKLMSystemCurrentControlSetServicesTcpipParametersDisableIPSourceRouting(REG_DWORD) 2􀁹 删除匿名用户空链接HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa将restrictanonymous 的值设置为1，若该值不存在，可以自己创建，类型为REG_DWORD修改完成后重新启动系统生效􀁹 碎片攻击保护：HKLMSystemCurrentControlSetServicesTcpipParame

29、tersEnablePMTUDiscovery（REG_DWORD） 1􀁹 Syn flood 攻击保护：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices之下，可设置：TcpMaxPortsExhausted.推荐值:5。TcpMaxHalfOpen。推荐值数据:500。TcpMaxHalfOpenRetried。推荐值数据:400操作目的加固结果1。16其他1。16。1网络限制操作名称网络限制检查方法开始-运行secpol.msc 安全设置-本地策略-安全选项检查结果查看安全设置本地策略安全选项，发现不允许 SAM 帐户的匿

30、名枚举:启用，无需加固;不允许 SAM 帐户和共享的匿名枚举:启用，无需加固；使用空白密码的本地帐户只允许进行控制台登录：启用，无需加固.加固方法无需加固操作目的网络访问限制加固结果无需加固1.16.2安全性增强操作名称禁止匿名用户连接(空链接）检查方法开始运行cmd.exenet share检查结果HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa，restricanonymous,值为0加固方法无需加固操作目的可以禁止匿名用户列举主机上所有用户、组、共享资源加固结果无需加固1。16。3检查Everyone权限操作名称检查Everyone权

31、限检查方法查看每个系统驱动器根目录是否设置为Everyone有所有权限检查结果经查看,Everyone具有C盘的所有权限，需加固.加固方法删除Everyone的权限或者取消Everyone的写权限操作目的限制Everyone账号的权限，至少取消Everyone的写权限。加固结果删除Everyone的权限。1。16。4限制命令操作权限操作名称限制特定执行文件权限检查方法使用cacls命令或资源管理器查看以下文件权限检查结果经查看,许多命令未作用户组权限限制,一下以cmd.exe为例，需加固。加固方法对以下命令做限制，只允许system、Administrator组访问cmd.exe、regsvr

32、32。exe、tftp。exe、ftp.exe、telnet。exe、net。exe、net1.exe、cscript.exe、wscript。exe、regedit.exe、regedt32.exe、cacls。exe、command。com、at。exe操作目的限制部分命令的权限加固结果已全部限制为只允许system、Administrator组访问1.16.5防病毒软件建立计划任务，每天深夜执行全盘扫描操作名称防病毒软件建立计划任务,每天深夜执行全盘扫描。加固结果1。16。6进行IP-MAC双向绑定操作名称进行IP-MAC双向绑定，防止ARP欺骗.加固结果1。16。7第三方软件升级操作名

33、称将winrar、flash插件、serU等几个常用软件升到最新版本。加固结果1.16。8开启360safe arp防火墙操作名称开启360safe arp防火墙加固结果1。17Apache系统加固1。17.1帐号操作名称以专门的用户帐号和组运行Apache检查方法查看Apache配置文件httpd。confUser ApacheGroup Apache上面两行，代表Apache子进程的运行用户为Apache；检查是否使用非专用账户（如root）运行apache。检查结果加固方法Unix系统：如果没有设置用户和组，则新建用户，并在Apache配置文件中指定（1） 创建Apache组：group

34、add Apache（2） 创建Apache用户并加入Apache组：useradd Apache g Apache(3) 将下面两行加入Apache配置文件httpd.conf中User ApacheGroup ApacheWindows系统：(1) 新建一个Apache用户（2） 设置Apache用户对Apache目录的相关权限（3) 在服务管理器 (service。msc） 中找到Apache服务，右键选择属性，设置登录身份为Apache用户操作目的加固结果1。17。2授权操作名称严格控制Apache 主目录的访问权限，非超级用户不能修改该目录中的内容检查方法Apache 的主目录对应于

35、Apache Server配置文件httpd.conf 的Server Root控制项中，应为:Server Root /usr/local/apache检查结果加固方法尝试修改,看是否能修改操作目的加固结果1。17。3日志操作名称设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP 地址等内容。检查方法查看Apache配置文件httpd。conf（1）错误日志ErrorLog logs/error_log #存放诊断信息和处理请求中出现的错误LogLevel warn #设置错误日志中的信息的详细程度，可以选择下列level:Level 描述 例子 emerg

36、 紧急（系统无法使用)Child cannot open lock file。 Exitingalert 必须立即采取措施”getpwuid: couldnt determine user name from uid”crit 致命情况socket: Failed to get a socket， exiting childerror 错误情况”Premature end of script headers”warn 警告情况”child process 1234 did not exit， sending another SIGHUP”notice 一般重要情况”httpd: caught

37、SIGBUS, attempting to dump core in 。”info 普通信息Server seems busy, (you may need to increase StartServers， or Min/MaxSpareServers)。debug 调试信息”Opening config file .。（2)访问日志CustomLog logs/access_log common #记录服务器所处理的所有请求LogFormat h l u t ”%r” s b common 设置日志格式检查结果编辑httpd.conf 配置文件,设置日志记录文件、记录内容、记录格式.其中，

38、错误日志：LogLevel notice 日志的级别ErrorLog /。/logs/error_log 日志的保存位置（错误日志)访问日志:LogFormat ”h l u %t ”%r %s b ”%Accepti%Refereri” ”User-Agenti” combinedCustomLog /。./logs/access_log combined （访问日志）ErrorLog 指令设置错误日志文件名和位置。错误日志是最重要的日志文件,Apache httpd 将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置:ErrorLog syslog。C

39、ustomLog 指令指定了保存日志文件的具体位置以及日志的格式。访问日志中会记录服务器所处理的所有请求。LogFormat 设置日志格式，建议设置为combined 格式.LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice加固方法修改Apache配置文件httpd。conf,正确设置错误日志和访问日志后,重新启动Apache操作目的加固结果1.17。4禁止访问外部文件操作名称禁止Apache 访问Web 目录之外的任何文件检查方法1、参考配置操作编辑httpd。conf 配置文件,Directory /Order Deny,AllowDeny from all/

40、Directory2、补充操作说明设置可访问目录,Directory /webOrder Allow，DenyAllow from all/Directory其中/web 为网站根目录。检查结果加固方法操作目的加固结果1。17。5目录列出操作名称禁止Apache 列表显示文件检查方法1、参考配置操作（1） 编辑httpd。conf 配置文件,Directory ”/web”Options Indexes FollowSymLinks 删掉IndexesAllowOverride NoneOrder allow,denyAllow from all/Directory将Options Index

41、es FollowSymLinks 中的Indexes 去掉，就可以禁止Apache 显示该目录结构。Indexes 的作用就是当该目录下没有index.html 文件时,就显示目录结构。(2）重新启动Apache 服务检查结果加固方法操作目的加固结果1。17.6错误页面重定向操作名称Apache 错误页面重定向检查方法检查结果加固方法1、参考配置操作(1) 修改httpd。conf 配置文件：ErrorDocument 400 /custom400。htmlErrorDocument 401 /custom401。htmlErrorDocument 403 /custom403。htmlEr

42、rorDocument 404 /custom404。htmlErrorDocument 405 /custom405。htmlErrorDocument 500 /custom500。htmlCustomxxx。html 为要设置的错误页面。(2）重新启动Apache 服务操作目的加固结果1。17。7拒绝服务防范操作名称web服务扩展检查方法根据业务需要，合理设置session 时间，防止拒绝服务攻击检查结果加固方法1、参考配置操作(1） 编辑httpd。conf 配置文件，Timeout 10 #客户端与服务器端建立连接前的时间间隔KeepAlive OnKeepAliveTimeout

43、15 限制每个session 的保持时间是15 秒注：此处为一建议值,具体的设定需要根据现实情况。(2）重新启动Apache 服务操作目的加固结果1.17.8隐藏Apache 的版本号操作名称隐藏Apache 的版本号及其它敏感信息检查方法检查httpd。conf 配置文件。客户端:telnet IP80输入HEAD / HTTP/1.1,两次回车服务器返回:HTTP/1.1 400 Bad RequestDate： Wed, 13 May 2009 07:07:20 GMTServer： Apache/2。2。3Connection: closeContent-Type： text/html

44、； charset=iso8859-1检查结果加固方法1、参考配置操作修改httpd。conf 配置文件:ServerSignature OffServerTokens Prod操作目的加固结果1。17.9关闭trace作名称关闭TRACE，防止TRACE 方法被访问者恶意利用检查方法判定条件2、检测操作客户端：#telnetIP 80输入下面两行内容后，两次回车OPTIONS HTTP/1.1HOST：1。1.1。4服务器返回:HTTP/1。1 200 OKDate： Wed， 13 May 2009 07:09:31 GMTServer： Apache/2。2。3 （CentOS)Allo

45、w: GET，HEAD，POST，OPTIONS，TRACEContentLength: 0Connection: closeContentType: text/plain; charset=UTF8表示支持TRACE 方法，注意查看是否还支持其他方法，如：PUT，DELETE 等,一般情况下都不应该出现在生产主机上检查结果加固方法使用命令“vi /etc/httpd/conf/httpd.conf修改配置文件，添加“TraceEnable Off”注：适用于Apache 2。0 以上版本操作目的加固结果1。17。10禁用CGI操作名称如果服务器上不需要运行CGI 程序,建议禁用CGI检查方法

46、使用命令“vi /etc/httpd/conf/httpd.conf查看配置文件LoadModule cgi_module modules/mod_cgi。so加载的模块ScriptAlias /cgibin/ ”/var/www/cgibin/AllowOverride NoneOptions NoneOrder allow，denyAllow from all AllowOverride None# Options None Order allow，deny Allow from all/Directory检测操作目的加固结果1.17。11监听地址绑定操作名称服务器有多个IP 地址时,只监

47、听提供服务的IP 地址检查方法使用命令“cat /etc/httpd/conf/httpd。confgrep Listen”查看是否绑定IP 地址检查结果加固方法修改帐号弱密码为包含英文大小写、数字、特殊字符的复杂密码删除不必要的帐户操作目的使用命令“vi /etc/httpd/conf/httpd。conf”修改配置文件，修改Listen x。x.x。x：80加固结果1。17.12补丁操作名称在不影响业务的情况下，升级解决高危漏洞，而且该补丁要通过实验测试。检查方法根据apache 安装路径使用命令行查看版本情况。如：/usr/local/apache/bin/apachectl v与需要的

48、版本进行对比检查结果加固方法访问http:/httpd。apache.org/download.cgi，查看最新的apache 版本,在实验室测试通过的前提下，编译升级apache，以解决高危漏洞。操作目的加固结果1。17。13更改默认端口操作名称更改Apache 服务器非公众服务默认端口检查方法修改httpd。conf 配置文件，更改默认端口到xx 端口（不常见端口）Listen x。x。x.x:xx 端口（2）重启Apache 服务操作目的加固结果1。17。14删除缺省安装的无用文件操作名称删除缺省安装的无用文件。检查方法检查结果加固方法删除缺省HTML 文件： rm -rf /usr/l

49、ocal/apache2/htdocs/删除缺省的CGI 脚本: rm rf /usr/local/apache2/cgibin/删除Apache 说明文件：# rm rf /usr/local/apache2/manual删除源代码文件： rm rf /path/to/httpd-2。2。4根据安装步骤不同和版本不同，某些目录或文件可能不存在或位置不同.操作目的加固结果1。17。15HTTP 加密协议操作名称对于通过HTTP 协议进行远程维护的设备，设备应支持使用HTTPS 等加密协议。检查方法检查结果加固方法不同的apahce 版本,可能对ssl 的支持不一样。有的在编译的时候，就支持mo

50、d_ssl 模块,有的未支持。此处建议，根据不同情况,做具体处理。由于步骤繁琐,不统一提出配置操作建议.操作目的加固结果1.17。16连接数设置操作名称根据机器性能和业务需求，设置最大最小连接数.检查方法1、判定条件httpd。conf 文件中的内容已被修改2、检测操作通过ps -axgrep httpd 命令确认httpd 进程已启动。通过ps ef grep httpd |wc l 命令检查现在的连接数检查结果加固方法使用httpd l 检查Apache 的工作模式，如列出prefork。c，则进行下列操作：修改httpd。conf 文件找到IfModule prefork。cStartS

51、ervers 8MinSpareServers 5MaxSpareServers 20MaxClients 150MaxRequestsPerChild 1000修改MaxClients 150为需要的连接数，如1500ServerLimit 1500 /连接数大于256 需设置此项MaxClients 1500然后保存退出.重新启动http 服务：/etc/rc。d/init。d/httpd restart操作目的加固结果1。17.17禁用非法HTTP操作名称禁用PUT、DELETE等危险的HTTP 方法.检查方法查看httpd。conf 文件，检查如下内容，是否只允许get、post方法L

52、imitExcept GET POST Deny from all检查结果加固方法编辑httpd。conf 文件,只允许get、post 方法LimitExcept GET POST Deny from all操作目的加固结果1。18其他1.18.1禁止SSI操作名称如果服务器上不需要SSI,建议禁用SSI（Server Side Includes）检查方法查看Apache配置文件httpd.confLoadModule include_module modules/mod_include。so 加载的模块Directory ”/var/www/html” Options Indexes Fo

53、llowSymLinks Includes AllowOverride None Order allow,deny allow from all/Directory检查结果加固方法修改Apache配置文件httpd。conf，把相关模块注释掉，在“Include”前面添加减号#LoadModule include_module modules/mod_include。soDirectory /var/www/html Options Indexes FollowSymLinks -Includes AllowOverride None Order allow，deny allow from a

54、ll/Directory操作目的加固结果1。18。2上传目录设置操作名称禁止动态脚本在上传目录的运行权限，防止攻击者绕过过滤系统上传webshell检查方法询问开发工程师，找到存放上传文件的目录检查结果加固方法修改Apache配置文件httpd.conf,添加以下行，以php为例：Directory /var/www/html/upload FilesMatch 。phpOrder allow，denyDeny from all /FilesMatch(2)新建密码文件，并添加一个用户rootLinux htpasswd c /etc/httpd/conf/.htpasswd user1New

55、 password： Re-type new password: Adding password for user user1再添加一个用户rootLinux htpasswd m /etc/httpd/conf/.htpasswd user2New password: Re-type new password: Adding password for user user2添加完成后查看密码文件内容rootLinux # cat /etc/httpd/conf/。htpasswduser1：dy4U7/uW5JVrEuser2:apr176k4P.。.De4fvJ4Qeyded6J6NOElE/操作目的加固结果1.18。4限制IP访问操作名称对网站或敏感目录的访问IP进行限制检查方法未设置此参数时，任意IP地址都可以访问网站或敏感目录检查