Apache安全配置基线.docVIP

Apache安全配置基线 中国移动通信有限公司 管理信息系统部 2009年 03月  版本 版本控制信息 更新日期 更新人 审批人 V1.0 创建 2009年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第2章 日志配置操作 2 2.1 日志配置 2 2.1.1 审核登录 2 第3章 设备其他配置操作 3 3.1 访问权限 3 3.1.1 禁止访问外部文件 3 3.2 防攻击管理 3 3.2.1 错误页面处理 4 3.2.2 目录列表访问限制 4 3.2.3 拒绝服务防范 5 3.2.4 删除无用文件 5 3.2.5 隐藏敏感信息 6 第4章 评审与修订 7 概述 目的 本文档规定了应当遵循的安全性设置标准，本文档旨在指导系统管理人员进行安全配置。本的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。本适用的范围包括：的服务器系统。本的解释权和修改权属于，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准生效。例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交进行审批备案。 安全基线编号 SBL-Apache-02-01-01 安全基线项说明 设备应配置日志功能，对运行错误、用户访问等进行记录，记录内容包括时间，用户使用的IP地址等内容。 检测操作步骤 1、参考配置操作 编辑httpd.conf配置文件，设置日志记录文件、记录内容、记录格式。 LogLevel notice ErrorLog logs/error_log LogFormat %h %l %u %t \%r\ %s %b \%{Accept}i\ \%{Referer}i\ \%{User-Agent}i\ combined CustomLog logs/access_log combined ErrorLog指令设置错误日志文件名和位置。错误日志是最重要的日志文件，Apache httpd将在这个文件中存放诊断信息和处理请求中出现的错误。若要将错误日志送到Syslog，则设置：ErrorLog syslog。 CustomLog指令设置访问日志的文件名和位置。访问日志中会记录服务器所处理的所有请求。 LogFormat设置日志格式。LogLevel用于调整记录在错误日志中的信息的详细程度，建议设置为notice。 基线符合性判定依据 1、判定条件 查看logs目录中相关日志文件内容，记录完整。 2、检测操作 查看相关日志记录。 3、补充说明 备注 设备其他配置操作 访问权限 禁止访问外部文件 安全基线项目名称 Apache目录访问权限安全基线要求项 安全基线编号 SBL-Apache-03-01-01 安全基线项说明 禁止Apache访问Web目录之外的任何文件。 检测操作步骤 1、参考配置操作 编辑httpd.conf配置文件， Directory / Order Deny,Allow Deny from all /Directory 2、补充操作说明 设置可访问目录， Directory /web Order Allow,Deny Allow from all /Directory 其中/web为网站根目录。 基线符合性判定依据 1、判定条件 无法访问Web目录之外的文件。 2、检测操作 访问服务器上不属于Web目录的一个文件，结果应无法显示。 3、补充说明 备注 防攻击管理 错误页面处理 安全基线项目名称 Apache错误页面安全基线要求项 安全基线编号 SBL-Apache-03-02-01 安全基线项说明 Apache错误页面重定向 检测操作步骤 1、参考配置操作 (1) 修改httpd.conf配置文件：ErrorDocument 400 /custom400.html ErrorDocument 401 /custom401.htmlErrorDocument 403 /custom403.html ErrorDocument 404 /custom404.html ErrorDocument 405 /custom405.html ErrorDocument 500 /custom500.html Customxxx.html为要设置的错误页面。 (2)重新启动Apache服务 基线符合性判定依据 1、判定条件 指向指定错误页面 2、检测操作 URL地址栏中输入http://ip/xxxxxxx~~~（