服务器安全加固操作指南(47页).doc

《服务器安全加固操作指南(47页).doc》由会员分享，可在线阅读，更多相关《服务器安全加固操作指南(47页).doc（47页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、-服务器安全加固操作指南-第 47 页网络通信安全管理员培训WEB安全加固操作指南陕西邮电职业技术学院培训中心二零一二年五月1、Windows server 2003系统加固4采集系统信息4账号5优化账号5检测隐藏帐号6更改默认管理员用户名7口令策略7授权9补丁管理10安全配置11协议安全配置11屏幕保护13安装防病毒软件14病毒查杀15木马查杀16日志审核18增强日志18增强审核20关闭不必要的端口、服务20修改远程桌面端口20关闭高危的数据库端口21优化服务22修改SNMP服务23启动项24关闭自动播放功能25关闭共享26使用NTFS26网络访问27会话超时设置28注册表设置28其他29网

2、络限制29安全性增强30检查Everyone权限30限制命令操作权限31防病毒软件建立计划任务，每天深夜执行全盘扫描32进行IP-MAC双向绑定32第三方软件升级33开启360safe arp防火墙33Apache系统加固34帐号34授权35日志36禁止访问外部文件37目录列出38错误页面重定向38拒绝服务防范39隐藏Apache 的版本号39关闭trace40禁用CGI41监听地址绑定41补丁42更改默认端口42删除缺省安装的无用文件42HTTP 加密协议43连接数设置43禁用非法HTTP44其他45禁止SSI45上传目录设置45保护敏感目录46限制IP访问rrr471、Windows se

3、rver 2003系统加固采集系统信息操作名称采集系统的相关信息检查方法查看系统版本 ver查看SP版本 wmic os get ServicePackMajorVersion查看Hotfix wmic qfe get hotfixid,InstalledOn查看主机名 hostname查看网络配置 ipconfig /all查看路由表 route print查看开放端口 netstat -ano检查结果通过上述查看方法，采集到的系统信息如下：加固方法无需加固操作目的了解系统的相关信息加固结果无需加固账号优化账号操作名称优化账号检查要求应按照不同的用户分配不同的账号，避免不同用户间共享账号。避

4、免用户账号和设备间通信使用的账号共享；查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定；按照用户分配账号。对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。检查方法开始-运行-（计算机管理）-本地用户和组，检查结果使用net user查看到的账号：在计算机管理中看到的账号：加固方法删除或锁定与设备运行、维护等无关的账号。使用“net user 用户名 /del”命令删除账号使用“net user 用户名 /active:no”命令锁定账号。操作目的减少系统无用账号，降低风险加固结果下图中蓝色标记的账号为本次禁用的无关账号。检测隐藏帐号操作名称检测隐藏帐号检

5、查要求通过查看计算机管理-本地用户和组-用户，注册表中的SAM，查找是否有类似admin$之类的隐藏帐号。检查方法开始-运行-（计算机管理）-本地用户和组；开始-运行- regedit - HKEY_LOCAL_MACHINESAMSAM，右键点击SAM，点击权限，允许Administrators组完全控制和读取SAM，刷新后查看SAMDomainsAccoutUsersNames。检查结果开始-运行-（计算机管理）-本地用户和组：HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames：加固方法删除HKEY_LOCAL_MACHINESAMSAMDom

6、ainsAccountUsersNames中非法的隐藏账号。操作目的删除系统中非法的隐藏账号，降低风险加固结果.3更改默认管理员用户名操作名称新建隐藏帐号、禁用默认管理员账号administrator；检查结果默认管理员账号为administrator加固方法更改默认管理员用户名，建立一个复杂的隐藏管理员账号，并禁用默认管理员账号。操作目的默认管理员账号可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该账号被锁定。加固结果禁用了管理员账号，并新建了一个隐藏管理员账号xadminy55$口令策略操作名称账号口令策略修改要求内容密码长度要求：最少 8 位密码复杂度要求：至少包含以下

7、四种类别的字符中的三种：􀁺 英语大写字母 A, B, C, Z􀁺 英语小写字母 a, b, c, z􀁺 阿拉伯数字 0, 1, 2, 9􀁺 非字母数字字符，如标点符号，, #, $, %, &, *等检查方法开始-运行- （本地安全策略）-安全设置检查结果从下图蓝圈标记处可以看出，密码的复杂性没有作要求，长度、最长和最短使用期限未设置，强制密码历史未设置。从下图蓝圈处可以看出，账号锁定策略设置的比较安全。下图蓝圈处标记出本地策略-安全选项中不显示上次的用户名未启用。加固方法1，账户设置-密码策略密码必须符合复杂性要求：启用

8、密码长度最小值：8个字符密码最长存留期：90天密码最短存留期：30天强制密码历史：5个记住密码2，账户设置-账户锁定策略复位帐户锁定计数器：1分钟帐户锁定时间：30分钟帐户锁定阀值：6次无效登录3，本地策略-安全选项交互式登录：不显示上次的用户名：启用最后，使用gpupdate /force立即生效操作目的增强口令的复杂度及锁定策略等，降低被暴力破解的可能性，保障账号及口令的安全加固结果下图为加固后“账户设置-密码策略”中各项的参数(标红处为本次做过修改)。 另外，还将“本地策略-安全选项”中的“交互式登录：不显示上次的用户名”项设为了启用。授权操作名称口令授权要求内容在本地安全设置中从远端系

9、统强制关机只指派给Administrators组；在本地安全设置中关闭系统仅指派给Administrators组；在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators；在本地安全设置中配置指定授权用户允许本地登陆此计算机；在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务此计算机。检查方法开始-运行- -查看“本地策略”-“用户权限分配”检查结果从下图可以看出，只有Administrators组从本地和远端系统强制关机，但是还有其他两个用户组具有关机功能，修要修改加固。加固方法在本地安全设置中从远端系统强制关机只指派给Administrators组；

10、在本地安全设置中关闭系统仅指派给Administrators组；在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators；在本地安全设置中配置指定授权用户允许本地登陆此计算机；在组策略中只允许授权帐号从网络访问(包括网络共享等，但不包括终端服务)此计算机。操作目的设置用户组的关机权限加固结果将关闭系统功能仅指派给Administrators组补丁管理操作名称安装系统补丁，修补漏洞检查方法先使用FTP工具将提前准备好的软件传至演练主机上，然后安装360安全卫士，使用360安全卫士对电脑进行安全体验。检查结果使用360安全卫士对电脑进行体验后发现，服务器存在的问题很多，主要问

11、题如下：电脑体验得分为0分；电脑存在87个高危漏洞；系统关键位置发现木马或高危文件；内层中发现运行的木马或高风险文件；未安装杀毒软件。加固方法使用360安全卫士进行漏洞修补。操作目的安装系统补丁，修补漏洞。加固结果最终，使用360安全卫士完修补了扫描到的87个漏洞。1.6安全配置1.6.1IP协议安全配置操作名称IP协议安全配置检查方法开始-设置-控制面板-防火墙检查结果下图为服务器防火墙的初始设置，未开启防火墙。加固方法审核策略更改：对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和I

12、P协议；启用Windows 2003 自带防火墙。根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围；操作目的根据业务需要限定允许访问网络的应用程序，和允许远程登陆该设备的IP地址范围加固结果启用防火墙，并允许远程桌面例外，设置访问范围。1.6.2屏幕保护操作名称屏幕保护检查方法桌面-属性-屏幕保护程序检查结果加固方法设置带密码的屏幕保护，并将时间设定为5分钟。对于远程登陆的帐号，设置不活动断连时间10分钟。操作目的防止其他人使用你的电脑加固结果1.6.3安装防病毒软件操作名称安装防病毒软件检查方法通过360安全卫士对电脑进行体验检查结果提示未安装杀毒软件加固方法下载并

13、安装360杀毒软件操作目的删除系统中高危病毒文件和程序加固结果下载并安装360杀毒软件。1.6.4病毒查杀操作名称病毒查杀检查方法使用360杀毒软件对系统进行病毒扫描检查结果因已进行过360安全卫士的扫描和查杀，使用360杀毒软件对系统进行病毒扫描时扫描出下图病毒。加固方法使用360杀毒软件进行查杀加固结果1.6.5木马查杀操作名称木马查杀检查方法使用多种木马专杀软件对系统进行木马查杀检查结果使用360安全卫士扫描，扫描到了7个木马，如下图所示：使用windows清理助手扫描，扫描到了两个木马，如下图所示：再次使用windows清理助手扫描，又扫描到了1个木马，如下图所示：使用windows清

14、理助手上推荐的恶意软件查杀工具扫描，描到了1个木马，如下图所示：加固方法使用多种木马专杀软件对系统进行木马查杀操作目的删除系统中的高危木马加固结果1.7日志审核1.7.1增强日志操作名称调整事件日志的大小、覆盖策略检查方法开始-运行- -查看“应用程序”“安全性”“系统”的属性检查结果经查看，“应用程序”“安全性”“系统”的属性的日志大小都为16384KB，但为设置达到日志上限时，需修改，下面以“安全性”的属性为例。加固方法设置：日志上限大小：16384 KB；达到日志上限大小时：改写久于90天的事件。操作目的增大日志量大小，避免由于日志文件容量过小导致日志记录不全加固结果完成了对“应用程序”

15、“安全性”“系统”的属性的日志大小、设置达到日志上限时值的设置。1.7.2增强审核操作名称设置主机审核策略检查方法开始-运行- -安全设置-本地策略-审核策略检查结果安全设置-本地策略-审核策略的设置如下图所示，存在很多安全问题，需加固。加固方法开始-运行计算机配置-Windows 设置-安全设置-本地策略-审核策略以下审核是必须开启的，其他的可以根据需要增加：􀁹 审核系统登陆事件 成功，失败􀁹 审核帐户管理 成功，失败􀁹 审核登陆事件 成功，失败􀁹 审核对象访问 成功􀁹 审核策略更改 成功，失败

16、48697; 审核特权使用 成功，失败􀁹 审核系统事件 成功，失败备注：gpupdate /force立即生效操作目的对系统事件进行审核，在日后出现故障时用于排查故障加固结果下图为安全设置-本地策略-审核策略加固后的参数值（标红处表示已修改）。关闭不必要的端口、服务操作名称修改远程桌面端口要求内容如对互联网开放 WindowsTerminial 服务(Remote Desktop)，需修改默认服务端口。检查方法开始-运行 Regedt32并转到此项:HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/TerminalServ

17、er/WinStations/RDP-Tcp找到“PortNumber”子项，设定值非00000D3D，即十进制3389检查结果远程桌面端口为默认的3389.加固结果开始-运行 Regedt32并转到此项:HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp找到“PortNumber”子项，会看到默认值 00000D3D，它是 3389的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。注意：软件防火墙中必须允许远程桌面的端口通过。操作名称对于无需提供外部数据库连接的服务器，关

18、闭其数据库端口的对外访问加固结果1.8.3优化服务操作名称暂停不需要开放的服务端口检查方法 查看高危和不需要的服务检查结果当前系统的高危和不需要的服务状态和启动情况如下表所示：服务状态启动类型Automatic Updates关闭手动Background Intelligent Transfer Service关闭手动DHCP Client已启用自动Messenger关闭禁用Remote Registry关闭禁用Print Spooler已启用自动Server（不使用文件共享可以关闭）已启用自动Simple TCP/IP ServiceSimple Mail Transport Protoco

19、l (SMTP)SNMP ServiceTask Schedule已启用自动TCP/IP NetBIOS Helper已启用自动Remote Desktop Help Session Manager关闭手动加固方法将高危和不需要的服务停止，并将启动方式修改为手动。操作目的关闭不需要的服务，减小风险加固结果下表为加固后高危和不需要的服务状态和启动情况表：服务吗状态启动类型Automatic Updates关闭手动Background Intelligent Transfer Service关闭手动DHCP Client关闭手动Messenger关闭禁用Remote Registry关闭禁用Pri

20、nt Spooler关闭手动Server（不使用文件共享可以关闭）关闭手动Simple TCP/IP ServiceSimple Mail Transport Protocol (SMTP)SNMP ServiceTask Schedule关闭手动TCP/IP NetBIOS Helper关闭手动Remote Desktop Help Session Manager关闭手动1.8.4修改SNMP服务操作名称修改SNMP服务检查方法 查看SNMP服务，如需启用 SNMP服务，则修改默认的SNMP Community String 设置。检查结果打开“控制面板”，打开“管理工具”中的“服务”，找到

21、“SNMP Service”，单击右键打开“属性”面板中的“安全”选项卡，在这个配置界面中，可以修改community strings，也就是微软所说的“团体名称”。加固方法修改community strings，不是默认的“public”操作目的防止非法用户使用SNMP的默认团体名称连接主机。加固结果无需加固启动项操作名称口令授权检查方法通过360安全卫士中的开机加速进行查看检查结果通过360安全卫士中的开机加速进行查看，发现开机启动项中有4个程序可以禁止启用；1个服务可禁止启用；6项启动项目需优化；2项系统优化与整理。如下图所示：加固方法按照360安全卫士的开机加速提示，关闭可禁止的启动项

22、操作目的加快开机速度，阻止不必要的程序自动打开加固结果按照360安全卫士的开机加速提示，已关闭可禁止的启动项1.10关闭自动播放功能操作名称关闭自动播放功能检查方法开始运行，打开组策略编辑器，浏览到计算机配置管理模板系统，检查结果 加固方法在右边窗格中双击“关闭自动播放”，对话框中，选择所有驱动器，确定即可。操作目的加固结果无需加固关闭共享操作名称删除主机默认共享检查方法开始-运行-cmd.exe-net share，查看共享检查结果 下图标红处为本项所要检查的参数，键值为0，表示关闭C$等默认共享，无需加固。加固方法如无此项，通过开始-运行-regedit-找到HKEY_LOCAL_MACH

23、INESYSTEMCurrentControlSetServiceslanmanserverparameters，新建AutoShareServer（REG_DWORD），键值为0操作目的删除主机因为管理而开放的共享加固结果无需加固1.12使用NTFS操作名称使用NTFS检查方法查看每个系统驱动器是否使用NTFS文件系统检查结果远程服务器只有C盘，且文件系统格式为NTFS，无需加固。加固方法无需加固操作目的利用NTFS实现文件系统的安全加固结果无需加固1.13网络访问操作名称禁用匿名访问命名管道和共享检查方法查看“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可匿名访

24、问的共享、可匿名访问的命名管道是否设置为全部删除检查结果加固方法“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可匿名访问的共享 设置为全部删除“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可匿名访问的命名管道 设置为全部删除操作目的禁用匿名访问命名管道和共享加固结果操作名称禁用可远程访问的注册表路径和子路径检查方法查看“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问中，查看，可远程访问的注册表路径、可远程访问的注册表路径和子路径是否设置为全部删除检查结果加固方法“控制面板-管理工具-本地安全策略”，在“本地策略-安

25、全选项”:网络访问：可远程访问的注册表路径 设置为全部删除“控制面板-管理工具-本地安全策略”，在“本地策略-安全选项”:网络访问：可远程访问的注册表路径和子路径 设置为全部删除操作目的加固结果1.14会话超时设置操作名称对于远程登录的账户，设置不活动所连接时间 15 分钟检查方法进入“控制面板管理工具本地安全策略”，在“安全策略安全选项”：查看“Microsoft 网络服务器”设置检查结果加固方法进入“控制面板管理工具本地安全策略”，在“安全策略安全选项”：“Microsoft 网络服务器”设置为“在挂起会话之前所需的空闲时间”为15 分钟操作目的加固结果1.15注册表设置操作名称在不影响系

26、统稳定运行的前提下，对注册表信息进行更新检查方法点击开始-运行，然后在打开行里输入regedit，然后单击确定，查看相关注册表项进行查看；使用空连接扫描工具无法远程枚举用户名和用户组检查结果加固方法􀁹 自动登录：HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonAutoAdminLogon (REG_DWORD) 0􀁹 源路由欺骗保护：HKLMSystemCurrentControlSetServicesTcpipParametersDisableIPSourceRouting(REG_DWORD) 2&

27、#1048697; 删除匿名用户空链接HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa将restrictanonymous 的值设置为1，若该值不存在，可以自己创建，类型为REG_DWORD修改完成后重新启动系统生效􀁹 碎片攻击保护：HKLMSystemCurrentControlSetServicesTcpipParametersEnablePMTUDiscovery(REG_DWORD) 1􀁹 Syn flood 攻击保护：HKEY_LOCAL_MACHINESYSTEMCurrentControlS

28、etServices之下，可设置：TcpMaxPortsExhausted。推荐值：5。TcpMaxHalfOpen。推荐值数据：500。TcpMaxHalfOpenRetried。推荐值数据：400操作目的加固结果1.16其他1.16.1网络限制操作名称网络限制检查方法开始-运行- -安全设置-本地策略-安全选项检查结果 查看安全设置-本地策略-安全选项，发现不允许 SAM 帐户的匿名枚举：启用，无需加固；不允许 SAM 帐户和共享的匿名枚举：启用，无需加固；使用空白密码的本地帐户只允许进行控制台登录：启用，无需加固。加固方法无需加固操作目的网络访问限制加固结果无需加固1.16.2安全性增强

29、操作名称禁止匿名用户连接(空链接)检查方法开始-运行-cmd.exe-net share检查结果HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa，restricanonymous，值为0加固方法无需加固操作目的可以禁止匿名用户列举主机上所有用户、组、共享资源加固结果无需加固1.16.3检查Everyone权限操作名称检查Everyone权限检查方法查看每个系统驱动器根目录是否设置为Everyone有所有权限检查结果经查看，Everyone具有C盘的所有权限，需加固。加固方法删除Everyone的权限或者取消Everyone的写权限操作目的限

30、制Everyone账号的权限，至少取消Everyone的写权限。加固结果删除Everyone的权限。1.16.4限制命令操作权限 操作名称限制特定执行文件权限检查方法使用cacls命令或资源管理器查看以下文件权限检查结果经查看，许多命令未作用户组权限限制，一下以cmd.exe为例，需加固。加固方法对以下命令做限制，只允许system、Administrator组访问、w、a操作目的限制部分命令的权限加固结果已全部限制为只允许system、Administrator组访问1.16.5防病毒软件建立计划任务，每天深夜执行全盘扫描操作名称防病毒软件建立计划任务，每天深夜执行全盘扫描。加固结果1.16

31、.6进行IP-MAC双向绑定操作名称进行IP-MAC双向绑定，防止ARP欺骗。加固结果1.16.7第三方软件升级操作名称将winrar、flash插件、ser-U等几个常用软件升到最新版本。加固结果1.16.8开启360safe arp防火墙操作名称开启360safe arp防火墙加固结果Apache系统加固1.17.1帐号操作名称以专门的用户帐号和组运行 Apache检查方法User ApacheGroup Apache上面两行，代表Apache子进程的运行用户为Apache；检查是否使用非专用账户（如 root）运行apache。检查结果加固方法Unix系统：如果没有设置用户和组，则新建用

32、户，并在Apache配置文件中指定(1) 创建Apache组：groupadd Apache(2) 创建Apache用户并加入Apache组：useradd Apache g ApacheUser ApacheGroup ApacheWindows系统：(1) 新建一个Apache用户(2) 设置Apache用户对Apache目录的相关权限(3) 在服务管理器 (service.msc) 中找到Apache服务，右键选择属性，设置登录身份为Apache用户操作目的加固结果.2授权操作名称严格控制Apache 主目录的访问权限，非超级用户不能修改该目录中的内容检查方法Apache 的主目录对应于

33、Apache Server配置文件httpd.conf 的Server Root控制项中，应为：Server Root /usr/local/apache检查结果加固方法尝试修改，看是否能修改操作目的加固结果1.17.3日志操作名称设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP 地址等内容。检查方法（1）错误日志ErrorLog logs/error_log #存放诊断信息和处理请求中出现的错误LogLevel warn #设置错误日志中的信息的详细程度，可以选择下列level：Level 描述 例子 emerg 紧急(系统无法使用)Child canno

34、t open lock file. Exitingalert 必须立即采取措施getpwuid: couldnt determine user name from uidcrit 致命情况socket: Failed to get a socket, exiting childerror 错误情况Premature end of script headerswarn 警告情况child process 1234 did not exit, sending another SIGHUPnotice 一般重要情况httpd: caught SIGBUS, attempting to dump co

35、re in .info 普通信息Server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers).debug 调试信息Opening config file .（2）访问日志CustomLog logs/access_log common #记录服务器所处理的所有请求LogFormat %h %l %u %t %r %s %b common #设置日志格式检查结果编辑 httpd.conf 配置文件，设置日志记录文件、记录内容、记录格式。其中，错误日志：LogLevel notice #日志的级

36、别ErrorLog /./logs/error_log #日志的保存位置（错误日志）访问日志：LogFormat %h %l %u %t %r %s %b %Accepti%Refereri %User-Agenti combinedCustomLog /./logs/access_log combined （访问日志）ErrorLog 指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apache httpd 将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：ErrorLog syslog。CustomLog 指令指定了保存日志文件的具体位置以

37、及日志的格式。访问日志中会记录服务器所处理的所有请求。LogFormat 设置日志格式，建议设置为combined 格式。LogLevel 用于调整记录在错误日志中的信息的详细程度，建议设置为notice加固方法修改Apache配置文件httpd.conf，正确设置错误日志和访问日志后，重新启动Apache操作目的加固结果.4禁止访问外部文件操作名称禁止 Apache 访问Web 目录之外的任何文件检查方法1、参考配置操作编辑 httpd.conf 配置文件，Order Deny,AllowDeny from all2、补充操作说明设置可访问目录，Order Allow,DenyAllow f

38、rom all其中/web 为网站根目录。检查结果加固方法操作目的加固结果.5目录列出操作名称禁止 Apache 列表显示文件检查方法1、参考配置操作(1) 编辑httpd.conf 配置文件，Options Indexes FollowSymLinks #删掉IndexesAllowOverride NoneOrder allow,denyAllow from all将Options Indexes FollowSymLinks 中的Indexes 去掉，就可以禁止Apache 显示该目录结构。Indexes 的作用就是当该目录下没有 index.html 文件时，就显示目录结构。(2)重新

39、启动Apache 服务检查结果加固方法操作目的加固结果.6错误页面重定向操作名称Apache 错误页面重定向检查方法检查结果加固方法1、参考配置操作(1) 修改httpd.conf 配置文件：Customxxx.html 为要设置的错误页面。(2)重新启动Apache 服务操作目的加固结果.7拒绝服务防范操作名称web服务扩展检查方法根据业务需要，合理设置 session 时间，防止拒绝服务攻击检查结果加固方法1、参考配置操作(1) 编辑httpd.conf 配置文件，Timeout 10 #客户端与服务器端建立连接前的时间间隔KeepAlive OnKeepAliveTimeout 15 #

40、限制每个session 的保持时间是15 秒注：此处为一建议值，具体的设定需要根据现实情况。(2)重新启动Apache 服务操作目的加固结果.8隐藏Apache 的版本号操作名称隐藏 Apache 的版本号及其它敏感信息检查方法检查 httpd.conf 配置文件。客户端：telnet IP 80输入，两次回车服务器返回：HTTP/1.1 400 Bad RequestDate: Wed, 13 May 2009 07:07:20 GMTServer: Apache/Connection: closeContent-Type: text/html; charset=iso-8859-1检查结果

41、加固方法1、参考配置操作修改 httpd.conf 配置文件：ServerSignature OffServerTokens Prod操作目的加固结果.9关闭trace作名称关闭 TRACE，防止TRACE 方法被访问者恶意利用检查方法判定条件2、检测操作客户端：#telnet IP 80输入下面两行内容后，两次回车HOST:.4服务器返回：HTTP/1.1 200 OKDate: Wed, 13 May 2009 07:09:31 GMTServer: Apache/ (CentOS)Allow: GET,HEAD,POST,OPTIONS,TRACEContent-Length: 0Con

42、nection: closeContent-Type: text/plain; charset=UTF-8表示支持TRACE 方法，注意查看是否还支持其他方法，如：PUT，DELETE 等，一般情况下都不应该出现在生产主机上检查结果加固方法使用命令“”修改配置文件，添加“TraceEnable Off”注：适用于 Apache 2.0 以上版本操作目的加固结果1.17.10禁用CGI操作名称如果服务器上不需要运行 CGI 程序，建议禁用CGI检查方法使用命令“”查看配置文件#加载的模块ScriptAlias /cgi-bin/ /var/www/cgi-bin/AllowOverride NoneOptions NoneOrder allow,denyA