服务器安全加固操作指南.doc

资源描述

网络通信安全管理员培训 WEB安全加固操作指南陕西邮电职业技术学院培训中心二零一二年五月 1、Windows server 2003系统加固4 1.1采集系统信息4 1。2账号5 1.2.1优化账号5 1。2。2检测隐藏帐号6 1.2.3更改默认管理员用户名7 1。3口令策略7 1.4授权9 1。5补丁管理10 1.6安全配置11 1。6。1IP协议安全配置11 1.6。2屏幕保护13 1。6.3安装防病毒软件14 1.6.4病毒查杀15 1。6.5木马查杀16 1。7日志审核18 1。7。1增强日志18 1。7.2增强审核20 1。8关闭不必要的端口、服务20 1。8。1修改远程桌面端口20 1。8.2关闭高危的数据库端口21 1.8.3优化服务22 1。8。4修改SNMP服务23 1.9启动项24 1.10关闭自动播放功能25 1。11关闭共享26 1.12使用NTFS26 1。13网络访问27 1。14会话超时设置28 1.15注册表设置28 1。16其他29 1。16。1网络限制29 1。16.2安全性增强30 1.16.3检查Everyone权限30 1。16。4限制命令操作权限31 1。16.5防病毒软件建立计划任务，每天深夜执行全盘扫描32 1。16。6进行IP—MAC双向绑定32 1。16。7第三方软件升级33 1.16。8开启360safe arp防火墙33 1。17Apache系统加固34 1。17。1帐号34 1.17。2授权35 1.17。3日志36 1.17.4禁止访问外部文件37 1。17。5目录列出38 1。17.6错误页面重定向38 1.17。7拒绝服务防范39 1。17。8隐藏Apache 的版本号39 1。17.9关闭trace40 1.17。10禁用CGI41 1。17.11监听地址绑定41 1。17。12补丁42 1。17.13更改默认端口42 1。17.14删除缺省安装的无用文件42 1。17。15HTTP 加密协议43 1。17。16连接数设置43 1。17。17禁用非法HTTP44 1。18其他45 1.18.1禁止SSI45 1。.18。2上传目录设置45 1。18.3保护敏感目录46 1.18。4限制IP访问rrr47 1、Windows server 2003系统加固 1。1采集系统信息操作名称采集系统的相关信息检查方法查看系统版本 ver 查看SP版本 wmic os get ServicePackMajorVersion 查看Hotfix wmic qfe get hotfixid,InstalledOn 查看主机名 hostname 查看网络配置 ipconfig /all 查看路由表 route print 查看开放端口 netstat —ano 检查结果通过上述查看方法，采集到的系统信息如下：加固方法无需加固操作目的了解系统的相关信息加固结果无需加固 1。2账号 1.2.1优化账号操作名称优化账号检查要求应按照不同的用户分配不同的账号，避免不同用户间共享账号.避免用户账号和设备间通信使用的账号共享；查看是否有不用的账号,系统账号所属组是否正确以及guest账号是否锁定;按照用户分配账号。对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾)帐号。检查方法开始-〉运行—〉compmgmt。msc（计算机管理）-〉本地用户和组，检查结果使用net user查看到的账号：在计算机管理中看到的账号: 加固方法删除或锁定与设备运行、维护等无关的账号。使用“net user 用户名 /del"命令删除账号使用“net user 用户名 /active:no”命令锁定账号。操作目的减少系统无用账号，降低风险加固结果下图中蓝色标记的账号为本次禁用的无关账号。 1。2。2检测隐藏帐号操作名称检测隐藏帐号检查要求通过查看计算机管理—本地用户和组—用户,注册表中的SAM,查找是否有类似admin＄之类的隐藏帐号。检查方法开始—>运行—〉compmgmt.msc（计算机管理)—〉本地用户和组；开始->运行—〉regedit —>HKEY_LOCAL_MACHINE\SAM\SAM，右键点击SAM,点击权限，允许Administrators组完全控制和读取SAM，刷新后查看SAM\Domains\Accout\Users\Names. 检查结果开始—〉运行—〉compmgmt.msc（计算机管理）-〉本地用户和组： HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names：加固方法删除HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中非法的隐藏账号。操作目的删除系统中非法的隐藏账号，降低风险加固结果 1。2。3更改默认管理员用户名操作名称新建隐藏帐号、禁用默认管理员账号administrator；检查结果默认管理员账号为administrator 加固方法更改默认管理员用户名，建立一个复杂的隐藏管理员账号，并禁用默认管理员账号. 操作目的默认管理员账号可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该账号被锁定。加固结果禁用了管理员账号,并新建了一个隐藏管理员账号xadminy55＄ 1.3口令策略操作名称账号口令策略修改要求内容密码长度要求：最少8 位密码复杂度要求：至少包含以下四种类别的字符中的三种： 􀁺 英语大写字母A， B, C， … Z 􀁺 英语小写字母a， b, c， … z 􀁺 阿拉伯数字0, 1, 2， … 9 􀁺 非字母数字字符，如标点符号，＠，＃，＄，％, ＆, ＊等检查方法开始->运行—〉secpol。msc （本地安全策略）->安全设置检查结果从下图蓝圈标记处可以看出，密码的复杂性没有作要求,长度、最长和最短使用期限未设置,强制密码历史未设置. 从下图蓝圈处可以看出，账号锁定策略设置的比较安全。下图蓝圈处标记出本地策略->安全选项中不显示上次的用户名未启用。加固方法 1，账户设置—〉密码策略密码必须符合复杂性要求：启用密码长度最小值：8个字符密码最长存留期:90天密码最短存留期：30天强制密码历史:5个记住密码 2，账户设置->账户锁定策略复位帐户锁定计数器：1分钟帐户锁定时间:30分钟帐户锁定阀值:6次无效登录 3，本地策略—>安全选项交互式登录：不显示上次的用户名：启用最后，使用gpupdate /force立即生效操作目的增强口令的复杂度及锁定策略等，降低被暴力破解的可能性,保障账号及口令的安全加固结果下图为加固后“账户设置->密码策略”中各项的参数（标红处为本次做过修改）。另外,还将“本地策略-〉安全选项”中的“交互式登录：不显示上次的用户名"项设为了启用。 1。4授权操作名称口令授权要求内容在本地安全设置中从远端系统强制关机只指派给Administrators组；在本地安全设置中关闭系统仅指派给Administrators组；在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators; 在本地安全设置中配置指定授权用户允许本地登陆此计算机; 在组策略中只允许授权帐号从网络访问（包括网络共享等，但不包括终端服务此计算机. 检查方法开始—>运行—>eventvwr.msc -〉查看“本地策略”—“用户权限分配” 检查结果从下图可以看出，只有Administrators组从本地和远端系统强制关机,但是还有其他两个用户组具有关机功能，修要修改加固。加固方法在本地安全设置中从远端系统强制关机只指派给Administrators组；在本地安全设置中关闭系统仅指派给Administrators组；在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators；在本地安全设置中配置指定授权用户允许本地登陆此计算机；在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机. 操作目的设置用户组的关机权限加固结果将关闭系统功能仅指派给Administrators组 1.5补丁管理操作名称安装系统补丁,修补漏洞检查方法先使用FTP工具将提前准备好的软件传至演练主机上，然后安装360安全卫士，使用360安全卫士对电脑进行安全体验。检查结果使用360安全卫士对电脑进行体验后发现，服务器存在的问题很多，主要问题如下：电脑体验得分为0分；电脑存在87个高危漏洞;系统关键位置发现木马或高危文件；内层中发现运行的木马或高风险文件;未安装杀毒软件。加固方法使用360安全卫士进行漏洞修补。操作目的安装系统补丁，修补漏洞。加固结果最终,使用360安全卫士完修补了扫描到的87个漏洞。 1。6安全配置 1。6。1IP协议安全配置操作名称 IP协议安全配置检查方法开始—设置—控制面板—防火墙检查结果下图为服务器防火墙的初始设置，未开启防火墙。加固方法审核策略更改：对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制（IPSec）或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议；启用Windows 2003 自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围；操作目的根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围加固结果启用防火墙，并允许远程桌面例外，设置访问范围。 1.6。2屏幕保护操作名称屏幕保护检查方法桌面-属性-屏幕保护程序检查结果加固方法设置带密码的屏幕保护，并将时间设定为5分钟. 对于远程登陆的帐号，设置不活动断连时间10分钟。操作目的防止其他人使用你的电脑加固结果 1.6。3安装防病毒软件操作名称安装防病毒软件检查方法通过360安全卫士对电脑进行体验检查结果提示未安装杀毒软件加固方法下载并安装360杀毒软件操作目的删除系统中高危病毒文件和程序加固结果下载并安装360杀毒软件。 1。6.4病毒查杀操作名称病毒查杀检查方法使用360杀毒软件对系统进行病毒扫描检查结果因已进行过360安全卫士的扫描和查杀，使用360杀毒软件对系统进行病毒扫描时扫描出下图病毒。加固方法使用360杀毒软件进行查杀加固结果 1.6.5木马查杀操作名称木马查杀检查方法使用多种木马专杀软件对系统进行木马查杀检查结果使用360安全卫士扫描，扫描到了7个木马，如下图所示：使用windows清理助手扫描,扫描到了两个木马，如下图所示：再次使用windows清理助手扫描，又扫描到了1个木马,如下图所示：使用windows清理助手上推荐的恶意软件查杀工具扫描，描到了1个木马，如下图所示：加固方法使用多种木马专杀软件对系统进行木马查杀操作目的删除系统中的高危木马加固结果 1。7日志审核 1。7.1增强日志操作名称调整事件日志的大小、覆盖策略检查方法开始—>运行->eventvwr.msc —〉查看“应用程序”“安全性"“系统"的属性检查结果经查看，“应用程序”“安全性"“系统”的属性的日志大小都为16384KB,但为设置达到日志上限时，需修改，下面以“安全性”的属性为例。加固方法设置:日志上限大小:16384 KB;达到日志上限大小时：改写久于90天的事件。操作目的增大日志量大小，避免由于日志文件容量过小导致日志记录不全加固结果完成了对“应用程序”“安全性"“系统”的属性的日志大小、设置达到日志上限时值的设置。 1。7.2增强审核操作名称设置主机审核策略检查方法开始->运行—>secpol。msc —〉安全设置—>本地策略—〉审核策略检查结果安全设置—〉本地策略—>审核策略的设置如下图所示,存在很多安全问题，需加固。加固方法开始—运行-gpedit。msc 计算机配置—Windows 设置-安全设置—本地策略—审核策略以下审核是必须开启的，其他的可以根据需要增加: 􀁹 审核系统登陆事件成功，失败 􀁹 审核帐户管理成功，失败 􀁹 审核登陆事件成功，失败 􀁹 审核对象访问成功 􀁹 审核策略更改成功，失败 􀁹 审核特权使用成功，失败 􀁹 审核系统事件成功，失败备注：gpupdate /force立即生效操作目的对系统事件进行审核,在日后出现故障时用于排查故障加固结果下图为安全设置—>本地策略—〉审核策略加固后的参数值（标红处表示已修改）。 1。8关闭不必要的端口、服务 1.8。1修改远程桌面端口操作名称修改远程桌面端口要求内容如对互联网开放WindowsTerminial 服务（Remote Desktop），需修改默认服务端口。检查方法开始-〉运行 Regedt32 并转到此项: HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal Server/WinStations/RDP—Tcp 找到“PortNumber”子项，设定值非00000D3D，即十进制3389 检查结果远程桌面端口为默认的3389. 加固结果开始-〉运行 Regedt32 并转到此项: HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP—Tcp 找到“PortNumber"子项，会看到默认值00000D3D，它是3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。注意：软件防火墙中必须允许远程桌面的端口通过。 1.8.2关闭高危的数据库端口操作名称对于无需提供外部数据库连接的服务器，关闭其数据库端口的对外访问加固结果 1。8.3优化服务操作名称暂停不需要开放的服务端口检查方法开始->运行—〉services。msc查看高危和不需要的服务检查结果当前系统的高危和不需要的服务状态和启动情况如下表所示: 服务状态启动类型 Automatic Updates 关闭手动 Background Intelligent Transfer Service 关闭手动 DHCP Client 已启用自动 Messenger 关闭禁用 Remote Registry 关闭禁用 Print Spooler 已启用自动 Server（不使用文件共享可以关闭) 已启用自动 Simple TCP/IP Service Simple Mail Transport Protocol （SMTP） SNMP Service Task Schedule 已启用自动 TCP/IP NetBIOS Helper 已启用自动 Remote Desktop Help Session Manager 关闭手动加固方法将高危和不需要的服务停止,并将启动方式修改为手动。操作目的关闭不需要的服务，减小风险加固结果下表为加固后高危和不需要的服务状态和启动情况表: 服务吗状态启动类型 Automatic Updates 关闭手动 Background Intelligent Transfer Service 关闭手动 DHCP Client 关闭手动 Messenger 关闭禁用 Remote Registry 关闭禁用 Print Spooler 关闭手动 Server（不使用文件共享可以关闭）关闭手动 Simple TCP/IP Service Simple Mail Transport Protocol (SMTP) SNMP Service Task Schedule 关闭手动 TCP/IP NetBIOS Helper 关闭手动 Remote Desktop Help Session Manager 关闭手动 1.8。4修改SNMP服务操作名称修改SNMP服务检查方法开始-〉运行—〉services。msc查看SNMP服务，如需启用SNMP服务,则修改默认的SNMP Community String 设置。检查结果打开“控制面板”，打开“管理工具”中的“服务”,找到“SNMPService”,单击右键打开“属性"面板中的“安全”选项卡，在这个配置界面中，可以修改community strings，也就是微软所说的“团体名称"。加固方法修改community strings，不是默认的“public” 操作目的防止非法用户使用SNMP的默认团体名称连接主机。加固结果无需加固 1.9启动项操作名称口令授权检查方法通过360安全卫士中的开机加速进行查看检查结果通过360安全卫士中的开机加速进行查看,发现开机启动项中有4个程序可以禁止启用;1个服务可禁止启用;6项启动项目需优化;2项系统优化与整理.如下图所示：加固方法按照360安全卫士的开机加速提示,关闭可禁止的启动项操作目的加快开机速度，阻止不必要的程序自动打开加固结果按照360安全卫士的开机加速提示,已关闭可禁止的启动项 1。10关闭自动播放功能操作名称关闭自动播放功能检查方法开始→运行→gpedit。msc，打开组策略编辑器，浏览到计算机配置→管理模板→系统，检查结果加固方法在右边窗格中双击“关闭自动播放"，对话框中，选择所有驱动器，确定即可。操作目的加固结果无需加固 1。11关闭共享操作名称删除主机默认共享检查方法开始-〉运行->cmd。exe->net share，查看共享检查结果下图标红处为本项所要检查的参数，键值为0，表示关闭C$等默认共享，无需加固. 加固方法如无此项, 通过开始-〉运行->regedit—>找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters，新建AutoShareServer（REG_DWORD），键值为0 操作目的删除主机因为管理而开放的共享加固结果无需加固 1.12使用NTFS 操作名称使用NTFS 检查方法查看每个系统驱动器是否使用NTFS文件系统检查结果远程服务器只有C盘,且文件系统格式为NTFS，无需加固。加固方法无需加固操作目的利用NTFS实现文件系统的安全加固结果无需加固 1。13网络访问操作名称禁用匿名访问命名管道和共享检查方法查看“控制面板-〉管理工具—〉本地安全策略",在“本地策略—〉安全选项"：网络访问:可匿名访问的共享、可匿名访问的命名管道是否设置为全部删除检查结果加固方法 “控制面板—>管理工具->本地安全策略"，在“本地策略—〉安全选项":网络访问：可匿名访问的共享设置为全部删除 “控制面板—〉管理工具—>本地安全策略”,在“本地策略—〉安全选项”：网络访问：可匿名访问的命名管道设置为全部删除操作目的禁用匿名访问命名管道和共享加固结果操作名称禁用可远程访问的注册表路径和子路径检查方法查看“控制面板—>管理工具-〉本地安全策略”，在“本地策略-〉安全选项”：网络访问中，查看,可远程访问的注册表路径、可远程访问的注册表路径和子路径是否设置为全部删除检查结果加固方法 “控制面板—〉管理工具—〉本地安全策略”，在“本地策略—〉安全选项"：网络访问：可远程访问的注册表路径设置为全部删除 “控制面板—〉管理工具-〉本地安全策略”，在“本地策略—〉安全选项"：网络访问：可远程访问的注册表路径和子路径设置为全部删除操作目的加固结果 1.14会话超时设置操作名称对于远程登录的账户,设置不活动所连接时间15 分钟检查方法进入“控制面板—管理工具—本地安全策略"，在“安全策略—安全选项"：查看“Microsoft 网络服务器"设置检查结果加固方法进入“控制面板—管理工具—本地安全策略”,在“安全策略-安全选项”：“Microsoft 网络服务器"设置为“在挂起会话之前所需的空闲时间”为15 分钟操作目的加固结果 1.15注册表设置操作名称在不影响系统稳定运行的前提下,对注册表信息进行更新检查方法点击开始—>运行，然后在打开行里输入regedit，然后单击确定，查看相关注册表项进行查看;使用空连接扫描工具无法远程枚举用户名和用户组检查结果加固方法 􀁹 自动登录： HKLM\Software\Microsoft\WindowsNT\ CurrentVersion\Winlogon\AutoAdminLogon (REG_DWORD） 0 􀁹 源路由欺骗保护： HKLM\System\CurrentControlSet\ Services\Tcpip\Parameters\DisableIPSourceRouting （REG_DWORD) 2 􀁹 删除匿名用户空链接 HKEY_LOCAL_MACHINE SYSTEM\Current\Control\Set\Control\Lsa 将restrictanonymous 的值设置为1,若该值不存在,可以自己创建，类型为REG_DWORD 修改完成后重新启动系统生效 􀁹 碎片攻击保护： HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery （REG_DWORD） 1 􀁹 Syn flood 攻击保护： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 之下，可设置： TcpMaxPortsExhausted。推荐值：5。 TcpMaxHalfOpen.推荐值数据：500。 TcpMaxHalfOpenRetried。推荐值数据：400 操作目的加固结果 1。16其他 1。16。1网络限制操作名称网络限制检查方法开始—〉运行—>secpol.msc —>安全设置—〉本地策略—>安全选项检查结果查看安全设置—>本地策略—>安全选项，发现不允许 SAM 帐户的匿名枚举：启用，无需加固;不允许 SAM 帐户和共享的匿名枚举:启用，无需加固;使用空白密码的本地帐户只允许进行控制台登录：启用，无需加固。加固方法无需加固操作目的网络访问限制加固结果无需加固 1。16.2安全性增强操作名称禁止匿名用户连接（空链接) 检查方法开始—〉运行—>cmd.exe—>net share 检查结果 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa，restricanonymous,值为0 加固方法无需加固操作目的可以禁止匿名用户列举主机上所有用户、组、共享资源加固结果无需加固 1.16。3检查Everyone权限操作名称检查Everyone权限检查方法查看每个系统驱动器根目录是否设置为Everyone有所有权限检查结果经查看，Everyone具有C盘的所有权限，需加固。加固方法删除Everyone的权限或者取消Everyone的写权限操作目的限制Everyone账号的权限，至少取消Everyone的写权限. 加固结果删除Everyone的权限. 1。16。4限制命令操作权限操作名称限制特定执行文件权限检查方法使用cacls命令或资源管理器查看以下文件权限检查结果经查看,许多命令未作用户组权限限制，一下以cmd.exe为例，需加固. 加固方法对以下命令做限制,只允许system、Administrator组访问 cmd。exe、regsvr32。exe、tftp.exe、ftp。exe、telnet。exe、net。exe、net1.exe、cscript.exe、wscript。exe、regedit。exe、regedt32.exe、cacls.exe、command。com、at.exe 操作目的限制部分命令的权限加固结果已全部限制为只允许system、Administrator组访问 1。16。5防病毒软件建立计划任务，每天深夜执行全盘扫描操作名称防病毒软件建立计划任务,每天深夜执行全盘扫描. 加固结果 1.16。6进行IP-MAC双向绑定操作名称进行IP—MAC双向绑定,防止ARP欺骗。加固结果 1。16。7第三方软件升级操作名称将winrar、flash插件、ser-U等几个常用软件升到最新版本。加固结果 1。16。8开启360safe arp防火墙操作名称开启360safe arp防火墙加固结果 1.17Apache系统加固 1.17。1帐号操作名称以专门的用户帐号和组运行Apache 检查方法查看Apache配置文件httpd。conf User Apache Group Apache 上面两行，代表Apache子进程的运行用户为Apache；检查是否使用非专用账户（如root）运行apache。检查结果加固方法 Unix系统: 如果没有设置用户和组,则新建用户，并在Apache配置文件中指定（1）创建Apache组：groupadd Apache （2）创建Apache用户并加入Apache组：useradd Apache –g Apache （3）将下面两行加入Apache配置文件httpd。conf中 User Apache Group Apache Windows系统：（1）新建一个Apache用户（2）设置Apache用户对Apache目录的相关权限 (3）在服务管理器（service。msc）中找到Apache服务，右键选择属性，设置登录身份为Apache用户操作目的加固结果 1。17。2授权操作名称严格控制Apache 主目录的访问权限，非超级用户不能修改该目录中的内容检查方法 Apache 的主目录对应于Apache Server配置文件httpd。conf 的 Server Root控制项中,应为： Server Root /usr/local/apache 检查结果加固方法尝试修改，看是否能修改操作目的加固结果 1。17.3日志操作名称设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间,用户使用的IP 地址等内容。检查方法查看Apache配置文件httpd.conf （1)错误日志 ErrorLog logs/error_log ＃存放诊断信息和处理请求中出现的错误 LogLevel warn ＃设置错误日志中的信息的详细程度，可以选择下列level： Level 描述例子 emerg 紧急（系统无法使用） "Child cannot open lock file. Exiting" alert 必须立即采取措施 ”getpwuid: couldn't determine user name from uid” crit 致命情况 ”socket： Failed to get a socket， exiting child" error 错误情况 ”Premature end of script headers" warn 警告情况 ”child process 1234 did not exit, sending another SIGHUP" notice 一般重要情况 ”httpd： caught SIGBUS, attempting to dump core in ..。” info 普通信息 "Server seems busy, (you may need to increase StartServers， or Min/MaxSpareServers)。。。” debug 调试信息 ”Opening config file 。。.” （2)访问日志 CustomLog logs/access_log common ＃记录服务器所处理的所有请求 LogFormat ”％h ％l ％u ％t \"％r\” %>s ％b” common ＃设置日志格式检查结果编辑httpd。conf 配置文件，设置日志记录文件、记录内容、记录格式。其中，错误日志: LogLevel notice #日志的级别 ErrorLog /..。/logs/error_log ＃日志的保存位置(错误日志）访问日志: LogFormat "％h ％l ％u ％t \”％r\” ％>s %b ”％{Accept｝i\” \"％｛Referer｝i\” \”％{User—Agent｝i\”” combined CustomLog /.。./logs/access_log combined (访问日志） ErrorLog 指令设置错误日志文件名和位置.错误日志是最重要的日志文件，Apache httpd 将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：ErrorLog syslog。 CustomLog 指令指定了保存日志文件的具体位置以及日志的格式。访问日志中会记录服务器所处理的所有请求。 LogFormat 设置日志格式,建议设置为combined 格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice 加固方法修改Apache配置文件httpd.conf，正确设置错误日志和访问日志后,重新启动Apache 操作目的加固结果 1.17。4禁止访问外部文件操作名称禁止Apache 访问Web 目录之外的任何文件检查方法 1、参考配置操作编辑httpd。conf 配置文件， <Directory /〉 Order Deny，Allow Deny from all </Directory〉 2、补充操作说明设置可访问目录, 〈Directory /web〉 Order Allow，Deny Allow from all</Directory〉其中/web 为网站根目录。检查结果加固方法操作目的加固结果 1。17。5目录列出操作名称禁止Apache 列表显示文件检查方法 1、参考配置操作 (1) 编辑httpd。conf 配置文件，〈Directory "/web"〉 Options Indexes FollowSymLinks ＃删掉Indexes AllowOverride None Order allow，deny Allow from all </Directory> 将Options Indexes FollowSymLinks 中的Indexes 去掉，就可以禁止Apache 显示该目录结构。Indexes 的作用就是当该目录下没有index.html 文件时，就显示目录结构. （2)重新启动Apache 服务检查结果加固方法操作目的加固结果 1。17.6错误页面重定向操作名称 Apache 错误页面重定向检查方法检查结果加固方法 1、参考配置操作（1）修改httpd。conf 配置文件： ErrorDocument 400 /custom400.html ErrorDocument 401 /custom401。html ErrorDocument 403 /custom403.html ErrorDocument 404 /custom404。html ErrorDocument 405 /custom405。html ErrorDocument 500 /custom500.html Customxxx。html 为要设置的错误页面。（2)重新启动Apache 服务操作目的加固结果 1。17。7拒绝服务防范操作名称 web服务扩展检查方法根据业务需要，合理设置session 时间,防止拒绝服务攻击检查结果加固方法 1、参考配置操作（1）编辑httpd。conf 配置文件， Timeout 10 #客户端与服务器端建立连接前的时间间隔 KeepAlive On KeepAliveTimeout 15 #限制每个session 的保持时间是15 秒注:此处为一建议值，具体的设定需要根据现实情况. （2)重新启动Apache 服务操作目的加固结果 1.17。8隐藏Apache 的版本号操作名称隐藏Apache 的版本号及其它敏感信息检查方法检查httpd。conf 配置文件. 客户端：telnet IP80 输入HEAD / HTTP/1.1，两次回车服务器返回： HTTP/1。1 400 Bad Request Date： Wed， 13 May 2009 07：07：20 GMT Server： Apache/2。2。3 Connection： close Content—Type： text/html; charset=iso-8859—1 检查结果加固方法 1、参考配置操作修改httpd.conf 配置文件: ServerSignature Off ServerTokens Prod 操作目的

展开阅读全文